Desktop MFA for macOSにFIDO2キーを構成する

FIDO2（WebAuthn）Authenticatorをセットアップして、ユーザーがユーザー検証にセキュリティキーを使用してmacOSデバイスに安全にサインインできるようにすることができます。これらのキーは、管理者がユーザーの代わりに登録することも、ユーザーがEnd-User Dashboardで登録することもできます。Yubicoは、ユーザーのデータとorgの構成が事前登録されている新規オンボーディングユーザーにキーを直接提供することもできます。

Desktop MFA for macOSでは、PIN/指紋あり/なしのFIDO2 YubiKeyがサポートされます。認証ポリシーで生体認証によるユーザー検証を有効にしている場合は、FIDO2（WebAuthn）設定でもユーザー検証を有効にしていることを条件に、ユーザーはFIDO2キーを使用して自分のIDを確認できます。PINと生体認証でYubiKeyを使用するには、FIDO2（WebAuthn）Authenticator設定と認証ポリシーでユーザー検証を［Required（必須）］に設定します。「認証ポリシー」を参照してください。

タスク

• FIDO2（WebAuthn）Authenticatorをセットアップする

• FIDO2キーを構成する

• 任意：AppleシリコンデバイスでUSB制限モードを調整する

FIDO2（WebAuthn）Authenticatorをセットアップする

ユーザーがFIDO2キーを使用して認証できるようにするには、Admin ConsoleでFIDO2（WebAuthn）Authenticatorをセットアップします。すでにFIDO2（WebAuthn）Authenticatorを追加している場合、もう1つ追加することはできません。既存のFIDO2（WebAuthn）Authenticatorの設定がorgに適していることを確認してください。

1. Admin Consoleで、［Security（セキュリティ）］［Authenticator］に移動します。

2. ［Add Authenticator（Authenticatorを追加）］をクリックします。

3. Authenticatorのリストで、FIDO2（WebAuthn）の下にある［Add（追加）］をクリックします。

4. ［一般設定］ページで、［Edit（編集）］をクリックします。

5. ［設定］で、ドロップダウンメニューを使用して［User verification（ユーザー検証）］方法を選択します。設定の下の内容を読み、各ユーザー検証タイプの詳細な処理内容を確認します。FIDO2キーによるユーザー認証にPINまたは生体認証を必要にしたい場合は、［Required（必須）］を推奨します。

6. ［Save（保存）］をクリックします。

FIDO2（WebAuthn）をセットアップしたら、各ユーザーがキーを使用できるように個別に構成します。ユーザーは登録を自分で完了することもできます。「ユーザーがFIDO2キーを登録する」を参照してください。

FIDO2キーを構成する

ユーザー向けにFIDO2キーを準備する方法は複数あります。

• Admin Consoleでユーザーのキーを手動で構成する。

• ユーザーにEnd-User Dashboardで自分のFIDO2キーをセットアップしてもらう。

• 事前登録されているYubiKeyワークフローを使用する。「YubiKeyとOkta間のフローを設定する」を参照してください。

orgに最適な登録方法を選択します。

ユーザーの代わりにFIDO2キーを登録する

1. Admin Consoleで［Directory（ディレクトリ）］ ［People（ユーザー）］に移動します。
2. プロファイルを開くユーザーをクリックします。
3. ［More Actions（その他のアクション）］をクリックし、リストから［FIDO2セキュリティキーを登録］を選択します。
4. FIDO2キーをコンピューターに挿入し、［Register（登録）］をクリックします。
5. FIDO2キーがユーザーに正常に登録されたことを確認するメッセージが表示されるまでプロンプトに従います。
6. 登録したFIDO2キーを適切なユーザーに提供します。

管理者は、ユーザーのFIDO2キーに生体認証をセットアップすることはできません。認証ポリシーで［User Verification with Biometrics（生体認証によるユーザー検証）］が必須になっていて、ユーザーがモバイルOkta Verifyの登録時にユーザー検証を有効にしていない場合は、「プッシュが拒否されました」というメッセージが表示されます。このメッセージは、ユーザーが検証要素を選択したときに表示されます。ユーザーはOkta End-User Dashboardでこの設定を変更できます。

ユーザーがFIDO2キーを登録する

ユーザーは、FIDO2セキュリティキーを受け取ったら、Okta End-User Dashboardを使用してキーを登録できます。ユーザーに最も安全なオプションとして生体認証によるセキュリティキーをセットアップするよう勧めます。

1. Okta資格情報を使用してOkta End-User Dashboardにサインインします。
2. 右上にある自分の名前をクリックし、［Settings（設定）］を選択します。
3. ［セキュリティ方式］で、［セキュリティキーまたは生体認証］を見つけて［Set up another（別のAuthenticatorをセットアップ）］をクリックします。
4. 提示されるオプションのいずれかでIDを確認し、［Set up（セットアップ）］をクリックします。
5. プロンプトに従ってFIDO2キーをOktaアカウントに登録します。

正常に登録したら、FIDO2をmacOSデバイスに挿入し、画面のプロンプトに従うことでIDを安全に確認できます。

任意：AppleシリコンデバイスでUSB制限モードを調整する

Appleシリコンチップを搭載し、macOS Ventura以上を実行しているコンピューターでは、YubiKeyやFIDO2キーを含む新しい、または不明なUSBデバイスの接続が許可されるかどうかを判断するUSB制限モード設定が導入されています。デフォルトでは、USB制限モードは［新規アクセサリの場合は確認］に設定されています。この設定を変更すると、ユーザーが登録済みのセキュリティキーを使用してIDを確認する方法が変更されます。

USB制限モードで利用可能な設定を以下に示します。

• ［毎回確認］：次のいずれかの条件に該当する場合を除き、ユーザーはFIDO2キーを使用できません。

  • キーがここ3日以内に接続を承認された。

  • キーがコンピューターから削除されていない。

  • キーが接続を承認されてからコンピューターが再起動されていない。

• ［新規アクセサリの場合は確認］：キーがここ3日以内に接続を承認された場合を除き、ユーザーはFIDO2キーを使用できません。

• ［ロック解除されたときに自動的に許可］：キーがここ3日以内に接続を承認された場合を除き、ユーザーはFIDO2キーを使用できません。

• ［常に許可］：ユーザーはFIDO2キーを使用できます。

USB制限モードはMDMを使用して変更できます。「AppleサポートからのUSB制限モード］を参照してください。

次の手順

Desktop MFAユーザーをサポートする