Desktop MFA for macOSにFIDO2キーの使用を構成する

パスキー（FIDO2 WebAuthn）Authenticatorをセットアップすると、ユーザーがセキュリティキーを使用してデバイスに安全にサインインできるようになります。

Admin Consoleでこれらのキーを登録することも、ユーザーがOkta End-User Dashboardで登録することもできます。

Yubicoは、ユーザーのデータとorgの構成が事前登録されているYubiKeyを新規ユーザーに直接提供することもできます。

PINのサポート

Desktop MFA for macOSでは、PIN/指紋あり/なしのFIDO2セキュリティキーがサポートされます。

アプリサインインポリシーで生体認証によるユーザー検証（User verification）を有効にしている場合は、パスキー（FIDO2 WebAuthn）設定でもユーザー検証（User verification）を有効にしていることを条件に、ユーザーはFIDO2キーを使用して自分のIDを確認できます。

PINと生体認証でYubiKeyを使用するには、パスキー（FIDO2 WebAuthn）Authenticator設定とアプリサインインポリシーでユーザー検証（User verification）を必須（Required）に設定します。アプリ・サインイン・ポリシー（App sign-in policies）を参照してください。

タスク

パスキー（FIDO2 WebAuthn）Authenticatorをセットアップする
FIDO2キーを構成する
任意：AppleシリコンデバイスでUSB制限モードを調整する

パスキー（FIDO2 WebAuthn） Authenticatorをセットアップする

ユーザーがFIDO2キーを使用して認証できるようにするには、Admin Consoleでパスキー（FIDO2 WebAuthn）Authenticatorをセットアップします。

Admin Consoleで、セキュリティ（Security） > Authenticatorに移動します。

すでにパスキー（FIDO2 WebAuthn）Authenticatorを追加している場合、もう1つ追加することはできません。既存のパスキー（FIDO2 WebAuthn）Authenticatorの設定がorgに適していることを確認してください。
Authenticatorを追加（Add authenticator）をクリックします。
Authenticatorのリストで、パスキー（FIDO2 WebAuthn）の下にある追加（Add）をクリックします。
一般設定（General settings）ページで、編集（Edit）をクリックします。
設定（Settings）で、ドロップダウンメニューを使用してユーザー検証（User verification）方法を選択します。設定の下の内容を読み、各ユーザー検証タイプの詳細な処理内容を確認します。

FIDO2キーによるユーザー認証でPINまたは生体認証を必須にしたい場合は、必須（Required）を推奨します。
保存（Save）をクリックします。

パスキー（FIDO2 WebAuthn）authenticatorをセットアップしたら、各ユーザー向けにYubiKeyを個別に構成します。ユーザーは登録を自分で完了することもできます。「ユーザーが自分のFIDO2キーを登録する」を参照してください。

FIDO2キーを構成する

ユーザー向けにFIDO2キーを準備する方法は3つあります。orgに最適な登録方法を以下から選択します。

ユーザーの代わりにFIDO2キーを登録する
ユーザーが自分のFIDO2キーを登録する
事前登録されているYubiKeyワークフローを使用する。事前登録のYubiKeyを使用したフィッシング耐性のある認証を必須にするを参照してください。

orgに最適な登録方法を選択します。

ユーザーの代わりにFIDO2キーを登録する

Admin Consoleで、ディレクトリ（Directory） > ユーザー（People）に進みます。
プロファイルを開くユーザーをクリックします。
その他のアクション（More Actions）をクリックし、リストからFIDO2セキュリティキーを登録（Enroll FIDO2 Security Key）を選択します。
FIDO2キーをコンピューターに挿入し、登録（Register）をクリックします。
FIDO2キーがユーザーに正常に登録されたことを確認するメッセージが表示されるまでプロンプトに従います。
登録したFIDO2キーを適切なユーザーに提供します。

管理者は、ユーザーのFIDO2キーに生体認証をセットアップすることはできません。アプリサインインポリシーで生体認証によるユーザー検証（User Verification with Biometrics）が必須になっていて、ユーザーがモバイルOkta Verifyの登録時にユーザー検証（User verification）を有効にしていない場合は、「push denied」というメッセージが表示されます。このメッセージは、ユーザーが検証要素を選択したときに表示されます。ユーザーはOkta End-User Dashboardでこの設定を変更できます。

ユーザーが自分のFIDO2キーを登録する

ユーザーは、FIDO2セキュリティキーを受け取ったら、Okta End-User Dashboardを使用してキーを登録できます。ユーザーに最も安全なオプションとして生体認証によるセキュリティキーをセットアップするよう勧めます。

Okta End-User Dashboardにサインインします。
右上にある自分の名前をクリックし、設定（Settings）を選択します。
セキュリティ方式（Security Methods）で、セキュリティキーまたは生体認証Authenticator（Security Key or Biometric Authenticator）を見つけて別のAuthenticatorをセットアップ（Set up another）をクリックします。
提示されるオプションのいずれかでIDを確認し、セットアップ（Set up）をクリックします。
プロンプトに従ってFIDO2キーをOktaアカウントに登録します。

ユーザーが正常にセキュリティキーを登録したら、FIDO2キーをmacOSデバイスに挿入し、画面のプロンプトに従うことでIDを確認できます。

注:

ユーザーがFIDO2要素を登録すると、使用されるURLに制限されます。たとえば、ユーザーがorgname.okta.com URLにFIDO2要素を登録した場合、その要素によって、同じorgname.okta.com URLを持つorgへのアクセスのみが許可されます。orgのカスタムURLを使用してFIDO2要素を登録すると、要素は、カスタムURLを持つorgへのアクセスのみを許可します。

管理者は、ユーザーがFIDO2認証要素を登録したのと同じドメインを使用するようにDesktop MFAを構成する必要があります。

任意：AppleシリコンデバイスでUSB制限モードを調整する

Appleシリコンチップを搭載しmacOS 14 Sonoma以降を実行するコンピューターに、AppleはUSB制限モード設定を導入しました。この設定で、YubiKeyやFIDO2キーなどの新しいUSBデバイスや不明なUSBデバイスの接続を許可するかどうかを決定します。デフォルトでは、USB制限モードは新規アクセサリの場合は確認（Ask for New Accessories）に設定されています。この設定を変更すると、ユーザーが登録済みのセキュリティキーを使用してIDを確認する方法が変更されます。

USB制限モードで利用可能な設定を以下に示します。

毎回確認（Ask Every Time）：次のいずれかの条件に該当する場合を除き、ユーザーはFIDO2キーを使用できません。
- キーがここ3日以内に接続を承認された。
- キーがコンピューターから削除されていない。
- キーが接続を承認されてからコンピューターが再起動されていない。
新規アクセサリの場合は確認（Ask for New Accessories）：キーがここ3日以内に接続を承認された場合を除き、ユーザーはFIDO2キーを使用できません。
ロック解除されたときに自動的に許可（Automatically When Unlocked）：キーがここ3日以内に接続を承認された場合を除き、ユーザーはFIDO2キーを使用できません。
常に許可（Always）：ユーザーはFIDO2キーを使用できます。

USB制限モードはMDMを使用して変更できます。「AppleサポートからのUSB制限モード］を参照してください。

次の手順

macOS Desktop MFAユーザーをサポートする