MFA登録ポリシーの必須オーセンティケーターを設定する
orgに対して必須のオーセンティケーターを1つ以上有効にしておくと、指定したポリシーに割り当てられるエンドユーザーが確実に多要素認証(MFA)で登録されるようになります。
必須オーセンティケーターを設定したら、サインオンポリシーを更新して、ユーザーが次回サインインするときにオーセンティケーターに登録するように求めることもできます。
Okta HealthInsightタスクの推奨事項
必須オーセンティケーターを設定して、特定のポリシーに割り当てられているエンドユーザーがオーセンティケーターに登録されるようにします。
Oktaの推奨事項 |
MFA登録ポリシーあたり1つ以上のオーセンティケーターを必須とします。 |
セキュリティへの影響 |
中 |
エンドユーザーへの影響 |
なし MFA登録ポリシーの一部としてオーセンティケーターが必須である場合、エンドユーザーは、orgにサインインする前にオーセンティケーターに登録する必要があります。設定は、指定したオーセンティケーターによって異なります。 |
MFA登録ポリシーの必須オーセンティケーターを設定する
-
Admin Consoleで、 に移動します。
-
[Enrollment(登録)]タブをクリックします。
- ポリシーを選択し、[Edit(編集)]をクリックします。
- 有効なオーセンティケーターのリストから、少なくとも1つのオーセンティケーターを[Required(必須)]に設定します。
- [Update Policy(ポリシーを更新)]をクリックします。
プロンプトが表示されたときにユーザーがオーセンティケーターに登録できるようにする登録ポリシールールを設定する
- Admin Consoleで、 に移動します。
- [Enrollment(登録)]タブをクリックします。
- リストからアクティブないずれかのポリシールールを選択し、[Edit(編集)]をクリックします。
- [THEN Enrollment is(登録)]の条件で、[Allow if required authenticators are missing(必須オーセンティケーターがない場合は許可)]を選択します。
- [Update Rule(ルールを更新)]をクリックします。
オーセンティケーターの入力を求めるサインオンポリシールールを設定する
- Admin Consoleで、 に移動します。
-
ルールを追加するポリシーを選択します。
-
ルールを選択し、[Edit(編集)]をクリックします。
- [Then Access is(アクセスの可否)]:前のドロップダウンメニューの認証フォームに基づき、このフォームを使用して条件がアクセスを許可または拒否するかを決定します。
- [Prompt for Factor(要素を求める)]:[Password / IDP(パスワード/IDP)]または[Password / IDP / any factor allowed by app sign on rules(アプリのサインオン・ルールで許可されているパスワード/IDP/任意の要素)]を選択します。
- [Update Rule(ルールを更新)]をクリックします。
「グローバルセッションポリシールールを追加する」を参照してください。