OktaをAndroid向けDevice Trustと統合する

Android向けDevice Trustエンドポイントとの統合をセットアップすることで、Androidデバイスのセキュリティを強化できます。アプリサインインポリシーを構成して、Oktaが保護するアプリにGoogle認定のAndroidデバイスのみがアクセスできるようにします。Android向けDevice Trust は、標準的なセキュリティポスチャシグナルの範囲を拡張します。

前提条件

  • Sign-In Widget 7.29以降
  • エンドユーザーのデバイスがOkta Verify 8.12以降のバージョンに登録されている。

Android向けDevice Trustをエンドポイントとして追加する

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. エンドポイントセキュリティ(Endpoint security)タブでエンドポイント統合を追加(Add endpoint integration)をクリックします。
  3. Android向けDevice Trust(Android Device Trust)を選択します。
  4. Android を選択します。

  5. 保存(Save)をクリックします。

新しいAndroid向けDevice Trust(Android Device Trust)統合がデバイス統合(Device Integrations)ページに表示されます。

Android向けDevice Trustシグナルを使用するデバイス保証ポリシーを追加する

デバイス保証ポリシーを追加するには、デバイス保証ポリシーを追加するを参照してください。

Android向けDevice Trustとの統合により、Oktaは登録済みのAndroidデバイスから追加のシグナルを受信します。このため、ポリシールールで追加の保証条件を構成できます。

  • デバイスで利用可能な最新の主要なOSアップデートを適用する(Enforce latest major OS updates available to device):この条件は、動的OSバージョンコンプライアンス(Dynamic OS version compliance)早期アクセス機能を有効化し、OS要件をOSバージョンは、サポートされるメジャーバージョン以上(OS version must be at least the latest supported major version)などの動的バージョンに設定すると利用できます。

  • ロック画面(Lock screen):画面ロックの複雑さをなし(None)低(Low)中(Medium)高(High)のいずれかに構成します。
  • Google Play Protect:チェックボックスを選択すると、Google Play Protectスキャンが必須になります。ユーザーがデバイスでスキャンサービスを無効にした場合は、再度有効にすることを促します。スキャンの最大リスクしきい値を構成します。
    • 低(Low):問題は見つかりませんでした。これは最も安全なオプションです。
    • 中(Medium):スキャンで潜在的に有害なアプリが検出されました。
    • 高(High):スキャンで有害なアプリが検出されたか、スキャンが評価されませんでした。これは安全性が最も低いオプションです。
  • デバイス整合性レベル(Device integrity level):次のいずれかのオプションを選択します。
    • なし(None):デフォルトです。認証中にデバイスの整合性は評価されません。ポリシーでデバイスの整合性をチェックする場合は、この値を変更します。
    • 基本(Basic):デバイスは基本的なシステム整合性チェックに合格します。Android 13以降のデバイスには、Androidプラットフォームのキー構成証明が必要です。デバイスはAndroidの互換性要件を満たしていないかもしれません。また、Google Playサービスの実行が承認されない可能性があります。たとえば、認識されないバージョンのAndroidがデバイスで実行されている可能性があります。
    • 標準(Standard):アプリがGoogle Playサービスを搭載したAndroidデバイスで実行されています。デバイスはシステム整合性チェックに合格し、Androidの互換性要件を満たしています。
    • 強(Strong):デバイスにGoogle Playサービスが搭載されており、Androidの互換性要件に従ってシステムの整合性が高く保証されています。Android 13以降のデバイスでは、過去1年以内にセキュリティアップデートが適用されていなければなりません。
  • USBデバッグ(USB debugging):チェックボックスを選択して、USBデバッグを確実に無効にします。ユーザーのデバイスがこの要件を満たしていない場合は、開発者オプション(Developer Options.)を使ってデバッグをオフにすることが求められます。
  • ネットワークプロキシ(Network proxies):チェックボックスを選択して、ユーザーのデバイスがネットワークプロキシを使用しないようにします。
  • WiFiネットワークセキュリティ(WiFi network security):チェックボックスを選択して、ユーザーが安全なワイヤレスネットワークでアプリにアクセスするようにします。ネットワークが安全でない場合、ユーザーにはOktaで保護されたリソースへのアクセスにモバイルデータの使用が求められます。

ユーザーエクスペリエンス

ユーザーがアクセスするアプリがAndroid向けDevice Trustシグナルを使ったポリシーで保護されている場合は、Oktaが認証中に条件を評価します。デバイスがポリシー要件を満たしていない場合、ユーザーはアプリにアクセスできずに、Your device doesn't meet the security requirementsというメッセージを受け取ります。

  • OktaがAndroid向けDevice Trustシグナルを収集して適用できるように、Okta VerifyユーザーはAndroid向けDevice Policyアプリをインストールする必要があります。アプリを持っていないユーザーには、認証フローの一部としてアプリのインストールが求められます。ユーザーがAndroid向けDevice Policyをインストールすると、アプリにアクセスできるようになります。インストールが失敗した場合は、トラブルシューティングについてIT部へ問い合わせるように促されます。よりスムーズなオンボーディングエクスペリエンスを実現するために、Google PlayからAndroid向けDevice Policyを前もってインストールしておくようユーザーに勧めることができます。
  • メッセージでは、ユーザーがデバイスのコンプライアンスを確保してアプリにアクセスできるようにするための修復手順を提供します。
  • Google Play Protectの条件が満たされていないためにアクセスが拒否された場合は、ユーザーがOkta Verifyを強制終了し、再度開いて、再度サインインするように求めます。

関連項目

デバイス保証ポリシーを追加する