Desktop MFA for macOSのポリシーを構成してデプロイする

Desktop MFA for macOSをセットアップし、管理対象プロファイルを作成してmacOSコンピューターでMFAワークフローを有効にします。macOSインストーラーパッケージと構成プロファイルのデプロイに対応した任意のデバイス管理ソリューションを利用できます。ここで示す手順は、デバイス管理にJamf Proを使用することを前提としています。

Desktop MFAのMDMプロファイルのデプロイでは、macOS Okta Verifyパッケージをデプロイする前に、デバイスにプロファイルを正しくプッシュしてください。パッケージインストーラーの実行時にユーザーのデバイスにMDMプロファイルが存在しない場合、Desktop MFAはインストールされません。

タスク

MDMにOkta Verify for macOSパッケージをアップロードする

Okta Admin ConsoleからダウンロードしたOkta Verify for macOSパッケージをMDMにアップロードします。Jamf Pro[Settings(設定)] [Computer management(コンピューターの管理)] [Packages(パッケージ)]に移動します。[+ New(新規)]をクリックしてパッケージの詳細を構成します。

Desktop MFA for macOSのインストールプロセスを構成する

  1. Jamfで[Computers(コンピューター)][Policies(ポリシー)]をクリックし、[+ New(新規)]をクリックします。

  2. [表示名]を追加し、ポリシートリガー[Login(ログイン)]を選択します。

  3. [Packages(パッケージ)]をクリックし、[Configure(構成)]をクリックします。前の手順でアップロードしたOkta Verifyパッケージを探し、パッケージの横の[Add(追加)]ボタンをクリックします。

  4. [Distribution point(配布ポイント)]を構成します。

  5. ドロップダウンを使って[Action(アクション)]として[Install(インストール)]を選択します。

  6. [Save(保存)]をクリックします。

macOS Okta Verifyパッケージをデプロイする前に、エンドユーザーデバイスにMDMプロファイルが正しくデプロイされていることを確認してください。

Desktop MFAポリシーをplistで追加する

  1. Jamfで[Configuration Profiles(構成プロファイル)]をクリックし、[+ New(新規)]をクリックします。

  2. このプロファイルの名前を入力します。

  3. [Application & Custom Settings(アプリケーションとカスタム設定)]をクリックしてペイロードを構成します。[Upload (アップロード)]をクリックします。

  4. [+Add(追加)]をクリックします。

  5. 優先ドメインとしてcom.okta.deviceaccess.servicedaemonを入力します。

  6. 組織の値をplist形式で追加します。orgに適したパラメーターの決定については、plistの例の下の表を参照してください。

コピー 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>DMFAClientID</key>
<string>add-your-client-ID-here</string>
<key>DMFAClientSecret</key>
<string>add-your-client-secret-here</string>
<key>DMFAOrgURL</key>
<string>https://add-your-org-URL-with-prefix-here</string>
<key>LoginPeriodWithOfflineFactor</key>
<real>24</real>
<key>LoginPeriodWithoutEnrolledFactor</key>
<real>48</real>
<key>AdminEmail</key>
<string>admin@yourorg.com</string>
<key>AdminPhone</key>
<string>111-222-3333</string>
<key>MFARequiredList</key>
    <array>
    <string>*</string>
    </array>
<key>AccountLinkingMFAFactor</key>
<string>OV_Push</string>    
</dict>
</plist>
値名 説明 値のタイプ デフォルト値
LoginPeriodWithoutEnrolledFactor ユーザーが要素を登録せずにパスワードのみを使ってサインインできる猶予期間を時間単位で設定します。この猶予期間が経過した後は、ユーザーは自分のアカウントをリンク付けし、コンピューターにアクセスするためのオフライン認証要素を登録する必要があります。 実数 48時間
LoginPeriodWithOfflineFactor この値を0に設定すると、ユーザーはオフライン要素を使ってログインできなくなります。LoginPeriodWithoutEnrolledFactorの値が0より大きいときは、ユーザーはX時間おきにオンライン要素を使ってサインインする必要があります。 実数 24時間
MFANotRequiredList MFANotRequiredListに記載されているユーザーには、Desktop MFAは強制されません。このリストは、MFARequiredListより優先されます。ここに記載されるアカウントの大文字/小文字は区別されます。 文字列配列
MFARequiredList Desktop MFAをインストールした一部のユーザーには、MFAの使用は必要ない場合があります。たとえば、「john-smith」というローカルユーザーがMFARequiredListに記載されていれば、MFAの使用は必須となります。ユーザーがこのリストに記載されおらず、Desktop MFAがインストールされている場合、ユーザーにはパスワードのみが求められます。ユーザーがこのリストに記載され、Desktop MFAがインストールされている場合、ユーザーにはMFAの使用が求められます。ここに記載されるアカウントの大文字/小文字は区別されます。 文字列配列 * 全ユーザーにMFAを適用
AdminEmail エンドユーザーがサポートを受けるためのメールアドレスを入力します。 文字列
AdminPhone エンドユーザーが緊急サポートを受けるための電話番号を追加します。 文字列
AccountLinkingMFAFactor OktaアカウントをローカルmacOSアカウントにリンクする際に使用される検証方法。利用できるオプションは、OV_PushOkta Verifyプッシュ通知)とOV_TOTPOkta Verify時間ベースのワンタイムパスワード)です。 文字列 OV_Push
AllowedFactors ユーザーが認証に使用できる要素のリスト。許可されている要素は、構成で列挙されている順序で表示されます。要素を指定しない場合、すべての要素が許可されます。列挙されている要素のスペルが正しいことを確認してください。AllowedFactorsで受け入れられる値は以下のとおりです。

  • OV_Push

  • OV_TOTP

  • Offline_TOTP

  • FIDO2_USB_key

 文字列配列 *
DeviceRecoveryPINDuration デバイス復旧PINのアクティブ化後の有効期間。値は分単位で指定し、最大値は5日間(7200)です。「Desktop MFAの復旧」を参照してください。 実数 60分
OfflineLoginAllowed

trueに設定すると、オフラインの要素がユーザーに表示されます。これによって、ユーザーはオフラインの認証要素を登録できるようになります。

falseに設定すると、オフラインの要素が非表示となり、オフライン認証要素は強制されません。

このポリシーがtrueに変更され、LoginPeriodWithoutEnrolledFactorが期限切れになると、ユーザーにオフライン要素の登録が強制されます。

文字列ではないブール値。例:
<key>OfflineLoginAllowed</key><true/>

True

Desktop MFAに番号チャレンジを強制適用する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Desktop MFAユーザーに番号チャレンジを強制適用できます。この機能を有効にすると、認証ポリシーに関係なくDesktop MFA向けのすべてのプッシュ通知は番号チャレンジになります。

  1. Admin Consoleで、[Security(セキュリティ)] [General(一般)]の順に進みます。

  2. Okta Device Access」セクションを見つけます。

  3. [Edit(編集)]をクリックします。

  4. [Enforce number matching challenge for Desktop MFA(Desktop MFAの番号照合チャレンジを強制)]の隣にあるドロップダウンメニューから[Enabled(有効)]を選択します。

  5. [Save(保存)]をクリックします。

これにより、orgのセキュリティが強化され、ユーザーはモバイルデバイスとコンピューターの両方を物理的に使用している場合にのみIDを確認できるようになります。

Okta Verifyの番号チャレンジは、Admin Consoleの次の2つの場所で有効にできます。

  1. [Security(セキュリティ)][Okta Device Access][Enforce number challenge for Desktop MFA(Desktop MFAに番号チャレンジを強制適用する)]を有効にします。これを有効にすると、Desktop MFAを持つユーザーのみがプッシュ通知で番号チャレンジを受け取ります。
  2. [Settings(設定)][Authenticators(鑑別工具)][Okta Verify]Okta Verify[Push notification: number challenge(プッシュ通知:番号チャレンジ)]を有効にします。これを構成すると、org全体のすべてのユーザーがプッシュ通知で番号チャレンジを受け取ります。詳細については、「Okta Verifyオプションの構成」を参照してください。

次の手順

Desktop MFA for macOSにFIDO2キーを構成する

Desktop MFAの復旧

Desktop MFAユーザーをサポートする