WindowsデバイスバウンドSSOを構成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

デバイスバウンドシングルサインオンの機能は、ユーザーをセッションハイジャックから保護し、能率的なサインインエクスペリエンスを提供します。Oktaで保護されたアプリにユーザーがアクセスする際の認証プロンプトを少なくできます。

開始する前に

  • org向けにDesktop MFAを構成すること。「Windows向けDesktop MFA」を参照してください。
  • デバイスがWindows 10(バージョン1709以降)または Windows 11で動作しており、 トラステッドプラットフォームモジュール (TPM)ハードウェアを備えていること。
  • デバイスがActive DirectoryまたはMicrosoft Entra IDに参加していること。
  • デバイスにWindows用のOkta Verify 6.6.2以降がインストールされて動作していること。
  • SCEP(Simple Certificate Enrollment Protocol)を使用して、Device Access証明書をデバイスにインストールすること。「デバイスアクセス証明書」を参照してください。
  • ユーザーがOkta FastPassに登録されていること。

デバイスバウンドSSOをユーザーのデバイスにデプロイする

次のレジストリキーは、デバイスをWindows用のOkta Verify 6.6.2以降に更新した後にのみ有効にしてください。

Okta Verify 6.5.1以前を実行するデバイスにこれらのレジストリキーを追加すると、ユーザーがWindowsデバイスからロックアウトされる可能性があります。

MDM(Microsoft IntuneWorkspace ONEなど)を使用して、次のレジストリキーを作成してデプロイします。

Path(パス)

名前

タイプ

説明

HKLM\SOFTWARE\Policies\Okta\Okta Device Access

OktaJoinEnabled

REG_DWORD

1

デバイスをOkta-joinedに指定します。

HKLM\SOFTWARE\Okta\Okta Device Access

UseDirectAuth

REG_DWORD

1

直接認証を有効にして、Windowsサインインフロー中にデバイスがOktaで直接認証できるようにします。これは、WindowsでのデバイスバウンドSSOに必要です。

認証ポリシールールを構成する

デバイスバウンドSSOのために認証ポリシーを作成する必要はありません。ただし、既存のルールを追加または編集してデバイスバウンドSSOを含めと、 Okta-joinedのデバイスとアプリとのやり取りを制御できます。

たとえば、暗号で紐づけたデバイスの方がセッションのセキュリティが確実なので、 Okta-joinedのデバイスで認証リクエストの間の期間を長くできます。

アプリサインオンポリシーでデバイスバウンドSSOを適用するには、次の手順に従います。

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. [App sign-in policies(アプリサインインポリシー)]を開きます。

  3. デバイスバウンドSSOで有効にするアプリに既存のポリシーがある場合は、そのポリシーの[Actions(アクション)]メニューにある[Edit(編集)]をクリックします。ポリシーがない場合は、[Create policy(ポリシーを作成)]をクリックします。

  4. Okta-joinedのデバイス用にルールを作成します。このルールの下で、Oktaはリソース認証のためのデバイスセッションの使用を許可します。

    1. [Add Rule(ルールを追加)]をクリックします。

    2. ルールに適切な名前を付けます(例:Devices that are Okta-joied)。

    3. [Device State(デバイスの状態)][Registered(登録済み)]に設定します。

    4. カスタム式フィールドには、Okta Expression Languageステートメントでdevice.provider.deviceAccess.joined == trueと入力します。

      こうすると、Okta-joinedでありデバイスバウンドSSOに適したデバイスがすべて記録されます。

    5. [Prompt for authentication(認証のためのプロンプト)]を以下のいずれかに設定します。

      • [When it's been over a specified length of time since the user accessed any resource protected by the active Okta global session(アクティブなOktaグローバルセッションによって保護されるリソースにユーザーがアクセスしてから指定の時間が経過したとき)]。指定された期間中にユーザーがサイレントにアプリにアクセスできるようにするには、このオプションを選択します。

      • [When an Okta global session doesn't exist(Oktaグローバルセッションが存在しないとき)]。デバイスセッション全体でユーザーがサイレントにアプリにアクセスできるようにするには、このオプションを選択します。

デバイスの状態を確認する

Okta FastPass登録中に、デバイスはOkta Universal Directoryに一意のオブジェクトとして登録されます。

  1. Admin Consoleで、[Directory(ディレクトリ)] [Devices(デバイス)]に移動します。

  2. デバイスのステータスを確認します。

    • デバイスを一時停止または非アクティブ化すると、ユーザーはデバイスバウンドSSOで認証できなくなります。ただし、デバイスを再度アクティブにした後([Activate(アクティブ化)]または[Unsuspend(一時停止を解除)]を使用)は、デバイスバウンドSSOを再度使用できます。

    • 非アクティブ化したデバイスを削除した場合は、Device Access証明書を再デプロイする必要があります。ユーザーは、デバイスバウンドSSOで再度認証を行う前に、Okta FastPassに登録する必要があります。

  3. デバイスのステータスに[Active(アクティブ)]と表示されていることを確認します。