Desktop MFAのポリシーを構成してデプロイする

Desktop MFA for macOSをセットアップし、管理対象プロファイルを作成してmacOSコンピューターでMFA機能を有効にします。macOSインストーラーパッケージと構成プロファイルのデプロイメントに対応した任意のデバイス管理(MDM)ソリューションを利用できます。ここで示す手順は、デバイス管理にJamf Proを使用することを前提としています。

Desktop MFAのMDMプロファイルのデプロイでは、macOS Okta Verifyパッケージをデプロイする前に、デバイスにプロファイルを正しくプッシュしてください。パッケージインストーラーの実行時にユーザーのデバイスにMDMプロファイルが存在しない場合、Desktop MFAはインストールされません。

タスク

macOS向けOkta Verifyパッケージをアップロードする

  1. Okta Admin ConsoleからダウンロードしたmacOS向けOkta VerifyパッケージをMDMにアップロードします。

  2. Jamf Pro[Settings(設定)] [Computer management(コンピューターの管理)] [Packages(パッケージ)]に移動します。

  3. [+ New(新規)]をクリックしてパッケージの詳細を構成します。

macOS向けDesktop MFAのインストールを構成する

  1. Jamf Proで、[Computers(コンピューター)][Policies(ポリシー)]をクリックし、[+ New(新規)]をクリックします。
  2. [Display Name(表示名)]を入力し、ポリシー[Trigger(トリガー)][Login(ログイン)]を選択します。
  3. [Packages(パッケージ)]をクリックし、[Configure(構成)]をクリックします。
  4. 前の手順でアップロードしたOkta Verifyパッケージを探し、パッケージの横の[Add(追加)]をクリックします。
  5. [Distribution point(配布ポイント)]を構成します。
  6. ドロップダウンを使って[Action(アクション)]として[Install(インストール)]を選択します。

  7. [Save(保存)]をクリックします。

macOS Okta Verifyパッケージをデプロイする前に、エンドユーザーデバイスにMDMプロファイルが正しくデプロイされていることを確認してください。

Desktop MFAポリシーを追加する

  1. Jamf Proで、[Configuration Profiles(構成プロファイル)]をクリックし、[+ New(新規)]をクリックします。

  2. このプロファイルの名前を入力します。

  3. [Application & Custom Settings(アプリケーションとカスタム設定)]をクリックしてペイロードを構成します。[Upload (アップロード)]をクリックします。

  4. [+Add(追加)]をクリックします。

  5. 優先ドメインとしてcom.okta.deviceaccess.servicedaemonを入力します。

  6. 組織の値をplistとして追加します。例:

    コピー 
    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
        <key>DMFAClientID</key>
        <string>add-your-client-ID-here</string>
        <key>DMFAClientSecret</key>
        <string>add-your-client-secret-here</string>
        <key>DMFAOrgURL</key>
        <string>https://add-your-org-URL-with-prefix-here</string>
        <key>AccountLinkingMFAFactor</key>
        <string>OV_Push</string>
        <key>AdminEmail</key>
        <string>admin@yourorg.com</string>
        <key>AdminPhone</key>
        <string>111-222-3333</string>
        <key>AllowedFactors</key>
        <array>
            <string>*</string>
        </array>
        <key>DeviceRecoveryPINDuration</key>
        <real>60</real>
        <key>DeviceRecoveryValidityInDays</key>
        <real>90</real>
        <key>LoginPeriodWithoutEnrolledFactor</key>
        <real>48</real>
        <key>LoginPeriodWithOfflineFactor</key>
        <real>168</real>
        <key>MFANotRequiredList</key>
        <array/>
        <key>MFARequiredList</key>
        <array>
            <string>*</string>
        </array>
        <key>OfflineLoginAllowed</key>
        <true/>
    </dict>
    </plist>

ポリシーパラメーター

次の表を使用して、Desktop MFAポリシーに適したパラメーターを構成します。

値名

説明

タイプ

AccountLinkingMFAFactor

OktaアカウントをローカルmacOSアカウントにリンクする際に使用する検証方法。次のオプションが利用可能です。

  • OV_PushOkta Verifyプッシュ通知。これはデフォルト値です。

  • OV_TOTPOkta Verify時間ベースのワンタイムパスワード

 文字列

AdminEmail

エンドユーザーがサポートを受けるためのメールアドレスを入力します。

この値はデフォルトでは空です。

 文字列

AdminPhone

エンドユーザーがサポートを受けるための電話番号を入力します。

この値はデフォルトでは空です。

 文字列

AllowedFactors

ユーザーが認証に使用できる要素のリスト。

許可されている要素は、構成で列挙されている順序で表示されます。要素を指定しない場合、すべての要素が許可されます。列挙されている要素のスペルが正しいことを確認してください。

受け入れられる値は次のとおりです。

  • *:すべての要素が許可されます。これはデフォルト値です。

  • OV_Push

  • OV_TOTP

  • Offline_TOTP

  • FIDO2_USB_key

文字列配列

DeviceRecoveryPINDuration

アクティブ化後のデバイス復旧PINの有効期間です。

値は分単位で指定します。デフォルト値は60分で、最大値は5日間(7200)です。

Desktop MFAの復旧」を参照してください。

 実数

DeviceRecoveryValidityInDays

Desktop MFAでデバイスが復旧可能な期間です。

復旧PINを使用して正常に認証するには、ユーザーが所定の期間内でオンライン中に少なくとも1回はDesktop MFAを使用してデバイスにサインインする必要があります。

たとえば、この値は120に設定されます。ユーザーが120日以上オンラインになることなく、Desktop MFAを使ってサインインしていない場合、復旧PINがまだ有効であっても使用できません。ユーザーはロックアウトされ、復旧PINは生成できません。デバイスがオンラインになると、ユーザーがサインインに使用する復旧PINが生成できるようになります。

値は日単位で指定します。デフォルト値は最小90日です。

 実数

LoginPeriodWithoutEnrolledFactor

ユーザーが要素を登録せずにパスワードのみを使ってサインインできる猶予期間を指定します。

この猶予期間が経過した後は、ユーザーは自分のアカウントをリンク付けし、コンピューターにアクセスするためのオフライン認証要素を登録する必要があります。

値は時間単位で指定します。デフォルト値は48時間です。

 実数

LoginPeriodWithOfflineFactor

この値を0に設定すると、ユーザーはオフライン要素を使ってサインインできなくなります。

LoginPeriodWithoutEnrolledFactorの値が0より大きい場合、ユーザーはX時間おきにオンライン要素を使ってサインインする必要があります。

値は時間単位で指定します。デフォルト値は168時間です。

 実数

MFANotRequiredList

この配列に記載されているユーザーには、Desktop MFAは強制されません。

このリストはMFARequiredList配列よりも優先されます。ここにリストされているアカウントでは大文字と小文字が区別されます。

この値はデフォルトでは空です。

 文字列配列

MFARequiredList

ユーザーがこのリストに記載され、Desktop MFAがインストールされている場合、ユーザーにはMFAの使用が求められます。

ただし、Desktop MFAをインストールした一部のユーザーには、MFAの使用は必要ない場合があります。ユーザーがこのリストに記載されおらず、Desktop MFAがインストールされている場合、ユーザーにはパスワードのみが求められます。

たとえば、「john-smith」というローカルユーザーがMFARequiredList配列に記載されていれば、MFAの使用は必須となります。

ここにリストされているアカウントでは大文字と小文字が区別されます。

デフォルト値は*で、 MFAがすべてのユーザーに適用されることを意味します。

 文字列配列

OfflineLoginAllowed

trueに設定すると、オフラインの要素がユーザーに表示されます。これによって、ユーザーはオフラインの認証要素を登録できるようになります。

falseに設定すると、オフライン要素が非表示となり、オフライン要素は強制されません。

このポリシーがtrueに変更され、LoginPeriodWithoutEnrolledFactorが期限切れになった場合は、ユーザーにオフライン要素の登録が強制されます。

デフォルト値はtrueです。

ブール値

Desktop MFAに番号チャレンジを強制適用する

Desktop MFAユーザーがコンピューターにサインインすると、プッシュ通知とともに番号チャレンジが送られてきます。これにより、組織のセキュリティが強化され、ユーザーはモバイルデバイスとコンピューターの両方を持っている場合にのみIDを確認できるようになります。

[Security(セキュリティ)][General(一般)][Okta Device Access][Enforce number challenge for Desktop MFA(Desktop MFAに番号チャレンジを強制適用する)]を有効にします。このオプションはDesktop MFAのあるユーザーにのみ適用されます。ユーザーがコンピューターにサインインすると、プッシュ通知で番号チャレンジが送られてきます。

Okta Verify[Push notification: number challenge(プッシュ通知:番号チャレンジ)]は、[Settings(設定)][Authenticators][Okta Verify]にあります。このオプションは、アプリへのアクセスにOkta Verifyのプッシュ通知で認証するすべてのorgユーザーに適用されます。「Okta Verifyオプションを構成する」を参照してください。

Desktop MFAの番号チャレンジを無効にするには、次の手順に従います。

  1. Admin Consoleで、[Security(セキュリティ)][General(一般)]の順に進みます。
  2. Okta Device Access]セクションを見つけます。
  3. [Edit(編集)]をクリックします。
  4. [Enforce number matching challenge for Desktop MFA(Desktop MFAに番号チャレンジを強制適用する)]の横のドロップダウンメニューを使って、[Disabled(無効)]を選択します。

  5. [Save(保存)]をクリックします。

次の手順

Desktop MFA for macOSにFIDO2キーの使用を構成する

Desktop MFAの復旧

Desktop MFAユーザーをサポートする