エンドポイントセキュリティ統合のアプリサインインポリシーを作成する
エンドポイント検出および応答(EDR)ソリューションによって収集した信頼シグナルを評価するアプリサインインポリシーを、Okta Expression Language(EL)を使用して作成または編集することができます。
この手順を開始する
-
Admin Consoleでに移動します。
- アプリのサインイン(App sign-in)をクリックします。
- ルールを追加するアプリサインインポリシーを選択します。
- ルールを追加(Add Rule)(Add rule)ページをクリックします。
- ルールを説明するルール名(Rule name)を入力します。
-
適切な
IF条件を構成して、どのような場合にルールを適用するのかを指定します。条件を設定する際には、一部の条件は主にイベントの監査とフィルタリングに役立つものの、セキュリティ体制を定義するための基礎として扱うべきではないことに注意してください。
たとえば、悪意のあるアクターはデバイスプラットフォームを簡単に偽装できるため、デバイスプラットフォームをアプリサインインポリシールールの主要コンポーネントとして使用しないでください。
- 適切な
THEN条件を構成して、認証の適用方法を指定します。 - 必要に応じて、再認証の頻度を構成します。
- 保存(Save)をクリックします。
カスタム式を使用してシグナルを指定する
カスタム式を入力して、ポリシーで評価するEDRシグナルを指定できます。カスタム式では、有効な式言語(EL)構文を使用する必要があります。たとえば、次のような式を使用して、CrowdStrike ZTAシグナルをアプリサインインポリシーに統合できます。
device.provider.zta.overall <= 60またはdevice.provider.zta.overall >= 60
同様に、カスタム式を使用して、Windowsセキュリティセンターのシグナルをアプリサインインポリシーに統合できます。例:
device.provider.wsc.fireWall == "GOOD"またはdevice.provider.wsc.fireWall == "POOR"
次に、EDRシグナルを使用して、セキュリティニーズを満たせるように許可または拒否のアクセスルールを調整します。利用可能なEDRシグナルの詳細については、「カスタム式のEDRシグナル」を参照してください。
Authenticator保証レベルのコンプライアンス
ルールのTHEN条件では、ユーザーのIDを検証する方法を定義します。これらの設定を構成するときは、必要なコンプライアンスのレベルを考慮する必要があります。EDR統合の場合、推奨される設定は次のとおりです。
| 目的 | 以下を実施 |
|---|---|
THEN アクセス: |
認証の成功後に許可(Allowed after successful authentication)を選択します。 |
AND ユーザーの認証に必要な要素: |
|
AND 所有要素の制限(Possession factor restraints are) |
Device bound (excludes phone and email)(デバイスバウンド(電話とメールを除く))を選択します。 |
Okta FastPassを使用したANDアクセスを許可( Access with is granted) |
Okta FastPassを使用して認証する際にユーザーが物理的に存在することを証明するよう要求するには、ユーザーがOkta Verifyでプロンプトを承認するか、生体認証を提供する(NIST AAL2要件を満たす)場合(If the user approves a prompt in or provides biometrics (meets NIST AAL2 requirements))を選択します。 |
| パスワードの再認証の頻度(Password re-authentication frequency is) | すべてのサインイン試行(Every sign-in attempt)を選択します。 |
| ほかのあらゆる要素での再認証の頻度(Re-authentication frequency for all other factors is) | すべてのサインイン試行(Every sign-in attempt)を選択します。 |
次の手順
macOS向けエンドポイントセキュリティ統合プラグインを管理する