Windows向けOkta Verifyのユーザー検証タイプを構成する

アプリのデプロイ時にUserVerificationTypeオプションを使用することで、Okta Verifyのユーザー検証タイプを構成できます。デプロイ後にユーザー検証タイプを変更するには、Okta Verifyをアンインストールして別の構成オプションで再インストールします。構成オプションについては、「Windowsデバイス向けのOkta Verifyの構成」を参照してください。

デフォルトのUserVerificationTypeは、AuthenticatorOperationModeの値によって異なります。「物理または仮想Windows環境のOkta Verifyを構成する」を参照してください。

  • AuthenticatorOperationModeVirtualDesktopStaticまたはVirtualDesktopLayeredであれば、UserVerificationTypeはデフォルトでOktaVerifyPasscodeとなります。

    仮想環境にOkta Verifyをデプロイし、ユーザー検証のパスコードを使用する場合は、AuthenticatorOperationModeを適切な値に設定します。これにより、UserVerificationTypeは自動的にOktaVerifyPasscodeに設定されます。

  • AuthenticatorOperationModeNormalであれば、UserVerificationTypeはデフォルトでWindowsHelloとなります。

    ラップトップやデスクトップなどの物理マシンにOkta Verifyをデプロイし、ユーザー検証にWindows Helloを使用するときは、構成は必要ありません。

Windows Helloを使ったユーザー検証

UserVerificationTypeオプションをWindowsHelloに設定します。

登録時に、Okta VerifyはWindows Hello確認の有効化をユーザーに求めます。

Okta VerifyはWindows Hello確認の有効化をユーザーに求めます。

認証ポリシーが2つの要素タイプまたはユーザー検証を必要とする場合、Okta VerifyはWindows Hello生体認証またはPINを使ったユーザーIDの確認をユーザーに求めます。

Okta VerifyはWindows Helloを使った認証をユーザーに求めます。

Okta Verifyパスコードを使ったユーザー検証

バージョン4.9.0以降のOkta Verifyは、Okta Verifyパスコードを使ったユーザー検証をサポートします。これを有効にするには、UserVerificationTypeオプションをOktaVerifyPasscodeに設定します。

登録時に、Okta Verifyは8文字以上のパスコードの作成をユーザーに求めます。パスコードは、Windowsオペレーティングシステムによってセキュアに保存されます。Okta Verifyはユーザーのパスコードを保存しません。

Okta Verifyはパスコードの作成をユーザーに求めます。

認証ポリシーが2つの要素タイプまたはユーザー検証を必要とする場合、Okta Verifyは登録時に作成したパスコードを使ったユーザーIDの確認をユーザーに求めます。ユーザーが入力したパスコードが誤っている場合、Okta Verifyはあと2回の試行を許可します。

Okta Verifyはパスコードを使った認証をユーザーに求めます。

デバイスに信頼できるプラットフォームモジュール(TPM)があるときは、Okta Verifyはパスコードで保護されたユーザー検証キーをTMPに格納します。ユーザーによるパスコードの誤入力が制限を超過すると、TPMはOkta Verifyからのそれ以後のリクエストを無視します。それに応じて、ユーザーはOkta Verifyからエラーメッセージを受信します。Okta Verifyの使用を継続するために、ユーザーにはデバイスの再起動が求められます。

ユーザーがパスコードの誤入力を続けると、一定の期間だけTPMがロックされる場合があります。デバイスを再起動しても、ユーザーはOkta Verifyの使用を継続できなくなる可能性があります。TPMのロックアウト、タイムアウト、リセット、消去の詳細については、該当するメーカーのドキュメントを参照してください。

関連項目

Windowsデバイス向けのOkta Verifyの構成

物理または仮想Windows環境のOkta Verifyを構成する