Desktop MFA for macOSのポリシーを構成してデプロイする

Desktop MFA for macOSをセットアップし、管理対象プロファイルを作成してmacOSコンピューターでMFAワークフローを有効にします。macOSインストーラーパッケージと構成プロファイルのデプロイに対応した任意のデバイス管理ソリューションを利用できます。ここで示す手順は、デバイス管理にJamf Proを使用することを前提としています。

Desktop MFAのMDMプロファイルのデプロイでは、macOS Okta Verifyパッケージをデプロイする前に、デバイスにプロファイルを正しくプッシュしてください。パッケージインストーラーの実行時にユーザーのデバイスにMDMプロファイルが存在しない場合、Desktop MFAはインストールされません。

MDMにOkta Verify for macOSパッケージをアップロードする

Okta 管理コンソールから自分のMDMにダウンロードしたOkta Verify for macOSパッケージをアップロードします。Jamf Proで［Settings（設定）］［Computer management（コンピューターの管理）］［Packages（パッケージ）］に移動します。［+ New（新規）］をクリックしてパッケージの詳細を構成します。

Desktop MFA for macOSのインストールプロセスを構成する

Jamfで［Computers（コンピューター）］［Policies（ポリシー）］をクリックし、［+ New（新規）］をクリックします。
［Display Name（表示名）］を追加し、ポリシー［Trigger（トリガー）］の［Login（ログイン）］を選択します。
［Packages（パッケージ）］をクリックし、［Configure（構成）］をクリックします。以前の手順でアップロードしたOkta Verifyパッケージを探し、パッケージの横の［Add（追加）］ボタンをクリックします。
［Distribution point（配布ポイント）］を構成します。
ドロップダウンを使って［Action（アクション）］として［Install（インストール）］を選択します。
［Save（保存）］をクリックします。

macOS Okta Verifyパッケージをデプロイする前に、エンドユーザーデバイスにMDMプロファイルが正しくデプロイされていることを確認してください。

Desktop MFAポリシーをplistで追加する

Jamfで［Configuration Profiles（構成プロファイル）］をクリックし、［+ New（新規）］をクリックします。
このプロファイルの名前を入力します。
［Application & Custom Settings（アプリケーションとカスタム設定）］をクリックしてペイロードを構成します。［Upload （アップロード）］をクリックします。
［+Add（追加）］をクリックします。
優先ドメインとしてcom.okta.deviceaccess.servicedaemonを入力します。
組織の値をplist形式で追加します。orgに適したパラメーターの決定については、plistの例の下の表を参照してください。

コピー

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>DMFAClientID</key>
<string>add-your-client-ID-here</string>
<key>DMFAClientSecret</key>
<string>add-your-client-secret-here</string>
<key>DMFAOrgURL</key>
<string>https://add-your-org-URL-with-prefix-here</string>
<key>LoginPeriodWithOfflineFactor</key>
<real>24</real>
<key>LoginPeriodWithoutEnrolledFactor</key>
<real>48</real>
<key>AdminEmail</key>
<string>admin@yourorg.com</string>
<key>AdminPhone</key>
<string>111-222-3333</string>
<key>MFARequiredList</key>
    <array>
    <string>*</string>
    </array>
</dict>
</plist>

値名	説明	デフォルト値
LoginPeriodWithoutEnrolledFactor	ユーザーが要素を登録せずにパスワードのみを使ってサインインできる猶予期間を時間単位で設定します。この猶予期間が経過した後は、ユーザーは自分のアカウントをリンク付けし、コンピューターにアクセスするためのオフライン認証要素を登録する必要があります。	48時間
LoginPeriodWithOfflineFactor	この値を0に設定すると、ユーザーはオフライン要素を使ってログインできなくなります。LoginPeriodWithoutEnrolledFactorの値が0より大きいときは、ユーザーはX時間おきにオンライン要素を使ってサインインする必要があります。	24時間
MFANotRequiredList	MFANotRequiredListに記載されているユーザーには、Desktop MFAは強制されません。このリストは、MFARequiredListより優先されます。ここに記載されるアカウントでは、大文字/小文字が区別されます。	空
MFARequiredList	Desktop MFAがインストールされている一部のユーザーは、MFAの使用が必要ない場合があります。たとえば、「john-smith」というローカルユーザーがMFARequiredListに記載されていれば、MFAの使用は必須となります。ユーザーがこのリストに記載されおらず、Desktop MFAがインストールされている場合、ユーザーにはパスワードのみが求められます。ユーザーがこのリストに記載され、Desktop MFAがインストールされている場合、ユーザーにはMFAの使用が求められます。ここに記載されるアカウントでは、大文字/小文字が区別されます。	* 全ユーザーにMFAを適用
AdminEmail	エンドユーザーがサポートを受けるためのメールアドレスを入力します。	空
AdminPhone	エンドユーザーが緊急サポートを受けるための電話番号を追加します。	空

Desktop MFAに対して番号チャレンジを強制適用する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Desktop MFAユーザーに対して番号チャレンジを強制適用できます。この機能を有効にすると、認証ポリシーに関係なくDesktop MFAに対するすべてのプッシュ通知が番号チャレンジになります。

詳しくは、アカウント担当者までお問い合わせください。

Admin Consoleで、［Settings（設定）］［Features（機能）］に移動します。
［Desktop MFAに対して番号チャレンジを強制適用する］を見つけ、トグルをクリックしてこの機能を有効にします。

これにより、orgのセキュリティが強化され、ユーザーはモバイルデバイスとコンピューターの両方を物理的に使用している場合にのみIDを確認できるようになります。

次の手順

Desktop MFA for macOSにFIDO2キーを構成する

macOS Desktop MFAユーザーをサポートする