OktaをAndroid向けDevice Trustと統合する
Android向けDevice Trustエンドポイントとの統合をセットアップすることで、Androidデバイスのセキュリティを強化できます。認証ポリシーを構成して、Oktaが保護するアプリにGoogle認定のAndroidデバイスのみがアクセスできるようにします。Android向けDevice Trust は、標準的なセキュリティポスチャシグナルの範囲を拡張します。
前提条件
- Sign-In Widget 7.29以降
- エンドユーザーのデバイスがOkta Verify 8.3.1に登録されていなければなりません。
- Admin Consoleを使って[Android Device Trust(Android向けDevice Trust)]機能を有効にします。
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
Android向けDevice Trustをエンドポイントとして追加する
-
Admin Consoleで[Security(セキュリティ)]
- [Endpoint security(エンドポイントセキュリティ)]タブで[Add endpoint integration(エンドポイント統合を追加)]をクリックします。
- [Android Device Trust(Android向けDevice Trust)]を選択します。
- [Android]を選択します。
-
[Save(保存)]をクリックします。
新しいAndroid Device Trust(Android向けDevice Trust)統合が[Device Integrations(デバイス統合)]ページに表示されます。
Android用Device Trustシグナルを使用するデバイス保証ポリシーを追加する
デバイス保証ポリシーを追加するには、「デバイス保証ポリシーを追加する」を参照してください。
Android向けDevice Trustとの統合により、Oktaは登録済みのAndroidデバイスから追加のシグナルを受信します。このため、ポリシールールで追加の保証条件を構成できます。
-
Enforce latest major OS updates available to device(デバイスで利用可能な最新の主要なOSアップデートを適用する):この条件は、[Dynamic OS version compliance(動的OSバージョンコンプライアンス)]早期アクセス機能を有効化し、OS要件を[OS version must be at least the latest supported major version(OSバージョンは、サポートされるメジャーバージョン以上)]などの動的バージョンに設定すると利用できます。
- [Lock screen(ロック画面)]:画面ロックの複雑さを[None(なし)]、[Low(低)]、[Medium(中)]、[High(高)]のいずれかに構成します。
- Google Play Protect:チェックボックスを選択すると、Google Play Protectスキャンが必須になります。ユーザーがデバイスでスキャンサービスを無効にした場合は、再度有効にすることを促します。スキャンの最大リスクしきい値を構成します。
- Low(低):問題は見つかりませんでした。これは最も安全なオプションです。
- Medium(中):スキャンで潜在的に有害なアプリが検出されました。
- High(高):スキャンで有害なアプリが検出されたか、スキャンが評価されませんでした。これは安全性が最も低いオプションです。
- Device integrity level(デバイス整合性レベル):次のいずれかのオプションを選択します。
- None(なし):デフォルトです。認証中にデバイスの整合性は評価されません。ポリシーでデバイスの整合性をチェックする場合は、この値を変更します。
- Basic(基本):デバイスは基本的なシステム整合性チェックに合格します。Android 13以降のデバイスには、Androidプラットフォームのキー構成証明が必要です。デバイスはAndroidの互換性要件を満たしていないかもしれません。また、Google Playサービスの実行が承認されない可能性があります。たとえば、認識されないバージョンのAndroidがデバイスで実行されている可能性があります。
- Standard(標準):アプリがGoogle Playサービスを搭載したAndroidデバイスで実行されています。デバイスはシステム整合性チェックに合格し、Androidの互換性要件を満たしています。
- Strong(強):デバイスにGoogle Playサービスが搭載されており、Androidの互換性要件に従ってシステムの整合性が高く保証されています。Android 13以降のデバイスでは、過去1年以内にセキュリティアップデートが適用されていなければなりません。
- USB debugging(USBデバッグ):チェックボックスを選択して、USBデバッグを確実に無効にします。ユーザーのデバイスがこの要件を満たしていない場合は、[Developer Options.(開発者オプション)]を使ってデバッグをオフにすることが求められます。
- Network proxies(ネットワークプロキシ):チェックボックスを選択して、ユーザーのデバイスがネットワークプロキシを使用しないようにします。
- WiFi network security(WiFiネットワークセキュリティ):チェックボックスを選択して、ユーザーが安全なワイヤレスネットワークでアプリにアクセスするようにします。ネットワークが安全でない場合、ユーザーにはOktaで保護されたリソースへのアクセスにモバイルデータの使用が求められます。
ユーザーエクスペリエンス
ユーザーがアクセスするアプリがAndroid向けDevice Trustシグナルを使ったポリシーで保護されている場合は、Oktaが認証中に条件を評価します。デバイスがポリシー要件を満たしていない場合、ユーザーはアプリにアクセスできずに、「デバイスはセキュリティ要件を満たしていません」というメッセージを受け取ります。
- OktaがAndroid向けDevice Trustシグナルを収集して適用できるように、Okta VerifyユーザーはAndroid向けDevice Policyアプリをインストールする必要があります。アプリを持っていないユーザーには、認証フローの一部としてアプリのインストールが求められます。ユーザーがAndroid向けDevice Policyをインストールすると、アプリにアクセスできるようになります。インストールが失敗した場合は、トラブルシューティングについてIT部へ問い合わせるように促されます。よりスムーズなオンボーディングエクスペリエンスを実現するために、Google PlayからAndroid向けDevice Policyを前もってインストールしておくようユーザーに勧めることができます。
- メッセージでは、ユーザーがデバイスのコンプライアンスを確保してアプリにアクセスできるようにするための修復手順を提供します。
- Google Play Protectの条件が満たされていないためにアクセスが拒否された場合は、ユーザーがOkta Verifyを強制終了し、再度開いて、再度サインインするように求めます。