Desktop MFA for macOSのポリシーを構成してデプロイする
Desktop MFA for macOSをセットアップし、管理対象プロファイルを作成してmacOSコンピューターでMFAワークフローを有効にします。macOSインストーラーパッケージと構成プロファイルのデプロイに対応した任意のデバイス管理ソリューションを利用できます。ここで示す手順は、デバイス管理にJamf Proを使用することを前提としています。
Desktop MFAのMDMプロファイルのデプロイでは、macOS Okta Verifyパッケージをデプロイする前に、デバイスにプロファイルを正しくプッシュしてください。パッケージインストーラーの実行時にユーザーのデバイスにMDMプロファイルが存在しない場合、Desktop MFAはインストールされません。
タスク
MDMにOkta Verify for macOSパッケージをアップロードする
Okta Admin ConsoleからダウンロードしたOkta Verify for macOSパッケージをMDMにアップロードします。Jamf Proでに移動します。[+ New(新規)]をクリックしてパッケージの詳細を構成します。
Desktop MFA for macOSのインストールプロセスを構成する
-
Jamfでをクリックし、[+ New(新規)]をクリックします。
-
[表示名]を追加し、ポリシートリガーの[Login(ログイン)]を選択します。
-
[Packages(パッケージ)]をクリックし、[Configure(構成)]をクリックします。前の手順でアップロードしたOkta Verifyパッケージを探し、パッケージの横の[Add(追加)]ボタンをクリックします。
-
[Distribution point(配布ポイント)]を構成します。
-
ドロップダウンを使って[Action(アクション)]として[Install(インストール)]を選択します。
-
[Save(保存)]をクリックします。
macOS Okta Verifyパッケージをデプロイする前に、エンドユーザーデバイスにMDMプロファイルが正しくデプロイされていることを確認してください。
Desktop MFAポリシーをplistで追加する
-
Jamfで[Configuration Profiles(構成プロファイル)]をクリックし、[+ New(新規)]をクリックします。
-
このプロファイルの名前を入力します。
-
[Application & Custom Settings(アプリケーションとカスタム設定)]をクリックしてペイロードを構成します。[Upload (アップロード)]をクリックします。
-
[+Add(追加)]をクリックします。
-
優先ドメインとしてcom.okta.deviceaccess.servicedaemonを入力します。
-
組織の値をplist形式で追加します。orgに適したパラメーターの決定については、plistの例の下の表を参照してください。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>DMFAClientID</key>
<string>add-your-client-ID-here</string>
<key>DMFAClientSecret</key>
<string>add-your-client-secret-here</string>
<key>DMFAOrgURL</key>
<string>https://add-your-org-URL-with-prefix-here</string>
<key>LoginPeriodWithOfflineFactor</key>
<real>24</real>
<key>LoginPeriodWithoutEnrolledFactor</key>
<real>48</real>
<key>AdminEmail</key>
<string>admin@yourorg.com</string>
<key>AdminPhone</key>
<string>111-222-3333</string>
<key>MFARequiredList</key>
<array>
<string>*</string>
</array>
<key>AccountLinkingMFAFactor</key>
<string>OV_Push</string>
</dict>
</plist>| 値名 | 説明 | デフォルト値 |
| LoginPeriodWithoutEnrolledFactor | ユーザーが要素を登録せずにパスワードのみを使ってサインインできる猶予期間を時間単位で設定します。この猶予期間が経過した後は、ユーザーは自分のアカウントをリンク付けし、コンピューターにアクセスするためのオフライン認証要素を登録する必要があります。 | 48時間 |
| LoginPeriodWithOfflineFactor | この値を0に設定すると、ユーザーはオフライン要素を使ってログインできなくなります。LoginPeriodWithoutEnrolledFactorの値が0より大きいときは、ユーザーはX時間おきにオンライン要素を使ってサインインする必要があります。 | 24時間 |
| MFANotRequiredList | MFANotRequiredListに記載されているユーザーには、Desktop MFAは強制されません。このリストは、MFARequiredListより優先されます。ここに記載されるアカウントの大文字/小文字は区別されます。 | 空 |
| MFARequiredList | Desktop MFAをインストールした一部のユーザーには、MFAの使用は必要ない場合があります。たとえば、「john-smith」というローカルユーザーがMFARequiredListに記載されていれば、MFAの使用は必須となります。ユーザーがこのリストに記載されおらず、Desktop MFAがインストールされている場合、ユーザーにはパスワードのみが求められます。ユーザーがこのリストに記載され、Desktop MFAがインストールされている場合、ユーザーにはMFAの使用が求められます。ここに記載されるアカウントの大文字/小文字は区別されます。 | * 全ユーザーにMFAを適用 |
| AdminEmail | エンドユーザーがサポートを受けるためのメールアドレスを入力します。 | 空 |
| AdminPhone | エンドユーザーが緊急サポートを受けるための電話番号を追加します。 | 空 |
| AccountLinkingMFAFactor | OktaアカウントをローカルmacOSアカウントにリンクする際に使用される検証方法。利用できるオプションは、OV_Push(Okta Verifyプッシュ通知)とOV_TOTP(Okta Verify時間ベースのワンタイムパスワード)です。 | OV_Push |
Desktop MFAに番号チャレンジを強制適用する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
Desktop MFAユーザーに番号チャレンジを強制適用できます。この機能を有効にすると、認証ポリシーに関係なくDesktop MFA向けのすべてのプッシュ通知は番号チャレンジになります。
詳しくは、アカウント担当者までお問い合わせください。
-
Admin Consoleでに移動します。
-
[Desktop MFAに番号チャレンジを強制適用する]を探し、トグルをクリックしてこの機能を有効にします。
これにより、orgのセキュリティが強化され、ユーザーはモバイルデバイスとコンピューターの両方を物理的に使用している場合にのみIDを確認できるようになります。