エンドポイントセキュリティ統合の認証ポリシーを作成する

エンドポイント検出および応答(EDR)ソリューションによって収集した信頼シグナルを評価する認証ポリシーを、Okta Expression Language(EL)を使用して作成または編集することができます。

この手順を開始する

  1. Admin Consoleで、[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. ルールを追加する認証ポリシーを選択します。

  3. [Add Rule(ルールを追加)]ページをクリックします。

  4. ルールを説明する[Rule name(ルール名)]を入力します。

  5. 適切な[IF]条件を構成して、どのような場合にルールを適用するのかを指定します。

    条件を設定する際には、一部の条件は主にイベントの監査とフィルタリングに役立つものの、セキュリティ体制を定義するための基礎として扱うべきではないことに注意してください。

    たとえば、悪意のあるアクターはデバイスプラットフォームを簡単に偽装できるため、デバイスプラットフォームを認証ポリシールールの主要コンポーネントとして使用しないでください。

  6. 適切な[THEN]条件を構成して、認証の適用方法を指定します。

  7. 必要に応じて、再認証の頻度を構成します。

  8. [Save(保存)]をクリックします。

カスタム式を使用してシグナルを指定する

カスタム式を入力して、ポリシーで評価するEDRシグナルを指定できます。カスタム式では、有効な式言語(EL)構文を使用する必要があります。たとえば、次のような式を使用して、CrowdStrike ZTAシグナルを認証ポリシーに統合できます。

device.provider.zta.overall <= 60またはdevice.provider.zta.overall >= 60

同様に、カスタム式を使用して、Windowsセキュリティ・センターのシグナルを認証ポリシーに統合できます。例:

device.provider.wsc.fireWall == "GOOD"またはdevice.provider.wsc.fireWall == "POOR"

次に、EDRシグナルを使用して、セキュリティニーズを満たせるように許可または拒否のアクセスルールを調整します。利用可能なEDRシグナルの詳細については、「カスタム式のEDRシグナル」を参照してください。

Authenticator保証レベルのコンプライアンス

ルールのTHEN条件では、ユーザーのIDを検証する方法を定義します。これらの設定を構成するときは、必要なコンプライアンスのレベルを考慮する必要があります。EDR統合の場合、推奨される設定は次のとおりです。

目的 以下を実施
THEN[Access is(アクセスの可否)] [Allowed after successful authentication(認証の成功後に許可)]を選択します。
AND [User must authenticate with(ユーザーが認証に使用する要素)]
  • Okta Verify登録がPIN、顔認識、または指紋によるユーザー検証に設定されている場合は、[Any 2 factor(任意の2要素)]を選択します。

  • Okta Verify登録でPIN、顔認識、または指紋によるユーザー検証が必要ない場合は、[Possession factor(所有要素)]を選択します。

AND [Possession factor restraints are(所有要素の制限)] [Device bound (excludes phone and email)(デバイスバウンド(電話とメールを除く))]を選択します。
AND[Access with Okta FastPass is granted(Okta FastPassを使用したアクセスを許可)] Okta FastPassを使用して認証する際にユーザーが物理的に存在することを証明するよう要求するには、[If the user approves a prompt in Okta Verify or provides biometrics (meets NIST AAL2 requirements)(ユーザーがOkta Verifyでプロンプトを承認するか、生体認証を提供する(NIST AAL2要件を満たす)場合)]を選択します。
[Password re-authentication frequency is(パスワードの再認証の頻度)] [Every sign-in attempt(すべてのサインイン試行)]を選択します。
[Re-authentication frequency for all other factors is(ほかのあらゆる要素での再認証の頻度)] [Every sign-in attempt(すべてのサインイン試行)]を選択します。

次の手順

macOS向けエンドポイントセキュリティ統合プラグインを管理する

Windows用エンドポイントセキュリティ統合プラグインを管理する

エンドポイントセキュリティ統合を検証する