Desktop MFA for macOSのポリシーを構成してデプロイする
Desktop MFA for macOSをセットアップし、管理対象プロファイルを作成してmacOSコンピューターでMFAワークフローを有効にします。macOSインストーラーパッケージと構成プロファイルのデプロイに対応した任意のデバイス管理ソリューションを利用できます。ここで示す手順は、デバイス管理にJamf Proを使用することを前提としています。
Desktop MFAのMDMプロファイルのデプロイでは、macOS Okta Verifyパッケージをデプロイする前に、デバイスにプロファイルを正しくプッシュしてください。パッケージインストーラーの実行時にユーザーのデバイスにMDMプロファイルが存在しない場合、Desktop MFAはインストールされません。
タスク
MDMにOkta Verify for macOSパッケージをアップロードする
Okta 管理コンソールから自分のMDMにダウンロードしたOkta Verify for macOSパッケージをアップロードします。Jamf Proで に移動します。[+ New(新規)]をクリックしてパッケージの詳細を構成します。
Desktop MFA for macOSのインストールプロセスを構成する
-
Jamfで[+ New(新規)]をクリックします。
をクリックし、 -
[Display Name(表示名)]を追加し、ポリシー[Trigger(トリガー)]の[Login(ログイン)]を選択します。
-
[Packages(パッケージ)]をクリックし、[Configure(構成)]をクリックします。以前の手順でアップロードしたOkta Verifyパッケージを探し、パッケージの横の[Add(追加)]ボタンをクリックします。
-
[Distribution point(配布ポイント)]を構成します。
-
ドロップダウンを使って[Action(アクション)]として[Install(インストール)]を選択します。
-
[Save(保存)]をクリックします。
macOS Okta Verifyパッケージをデプロイする前に、エンドユーザーデバイスにMDMプロファイルが正しくデプロイされていることを確認してください。
Desktop MFAポリシーをplistで追加する
-
Jamfで[Configuration Profiles(構成プロファイル)]をクリックし、[+ New(新規)]をクリックします。
-
このプロファイルの名前を入力します。
-
[Application & Custom Settings(アプリケーションとカスタム設定)]をクリックしてペイロードを構成します。[Upload (アップロード)]をクリックします。
-
[+Add(追加)]をクリックします。
-
優先ドメインとしてcom.okta.deviceaccess.servicedaemonを入力します。
-
組織の値をplist形式で追加します。orgに適したパラメーターの決定については、plistの例の下の表を参照してください。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>DMFAClientID</key>
<string>add-your-client-ID-here</string>
<key>DMFAClientSecret</key>
<string>add-your-client-secret-here</string>
<key>DMFAOrgURL</key>
<string>https://add-your-org-URL-with-prefix-here</string>
<key>LoginPeriodWithOfflineFactor</key>
<real>24</real>
<key>LoginPeriodWithoutEnrolledFactor</key>
<real>48</real>
<key>AdminEmail</key>
<string>admin@yourorg.com</string>
<key>AdminPhone</key>
<string>111-222-3333</string>
<key>MFARequiredList</key>
<array>
<string>*</string>
</array>
</dict>
</plist>
値名 | 説明 | デフォルト値 |
LoginPeriodWithoutEnrolledFactor | ユーザーが要素を登録せずにパスワードのみを使ってサインインできる猶予期間を時間単位で設定します。この猶予期間が経過した後は、ユーザーは自分のアカウントをリンク付けし、コンピューターにアクセスするためのオフライン認証要素を登録する必要があります。 | 48時間 |
LoginPeriodWithOfflineFactor | この値を0に設定すると、ユーザーはオフライン要素を使ってログインできなくなります。LoginPeriodWithoutEnrolledFactorの値が0より大きいときは、ユーザーはX時間おきにオンライン要素を使ってサインインする必要があります。 | 24時間 |
MFANotRequiredList | MFANotRequiredListに記載されているユーザーには、Desktop MFAは強制されません。このリストは、MFARequiredListより優先されます。ここに記載されるアカウントでは、大文字/小文字が区別されます。 | 空 |
MFARequiredList | Desktop MFAがインストールされている一部のユーザーは、MFAの使用が必要ない場合があります。たとえば、「john-smith」というローカルユーザーがMFARequiredListに記載されていれば、MFAの使用は必須となります。ユーザーがこのリストに記載されおらず、Desktop MFAがインストールされている場合、ユーザーにはパスワードのみが求められます。ユーザーがこのリストに記載され、Desktop MFAがインストールされている場合、ユーザーにはMFAの使用が求められます。ここに記載されるアカウントでは、大文字/小文字が区別されます。 | * 全ユーザーにMFAを適用 |
AdminEmail | エンドユーザーがサポートを受けるためのメールアドレスを入力します。 | 空 |
AdminPhone | エンドユーザーが緊急サポートを受けるための電話番号を追加します。 | 空 |
Desktop MFAに対して番号チャレンジを強制適用する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
Desktop MFAユーザーに対して番号チャレンジを強制適用できます。この機能を有効にすると、認証ポリシーに関係なくDesktop MFAに対するすべてのプッシュ通知が番号チャレンジになります。
詳しくは、アカウント担当者までお問い合わせください。
-
Admin Consoleで、 に移動します。
-
[Desktop MFAに対して番号チャレンジを強制適用する]を見つけ、トグルをクリックしてこの機能を有効にします。
これにより、orgのセキュリティが強化され、ユーザーはモバイルデバイスとコンピューターの両方を物理的に使用している場合にのみIDを確認できるようになります。