Desktop MFA for macOSを構成する

Desktop MFA for macOSは、コンピューターへのアクセスを許可する前にユーザーに追加の認証を求めることで、macOSのサインインプロセスにセキュリティレイヤーを追加します。Desktop MFA for macOSを構成、デプロイするときは、ユーザーは自分のOktaアカウントにサインインした上で、構成可能な制限時間内にオフライン認証要素をセットアップする必要があります。この制限時間が経過すると、ユーザーは自分のOktaアカウントにサインインし直してオフライン要素をセットアップしなければならなくなります。

Okta Admin ConsoleDesktop MFAを構成し、モバイルデバイス管理(MDM)ソリューションを使ってデプロイします。これにより、パッケージ化された1つのインストーラーがデスクトップコンピューターにプッシュされます。ユーザーエクスペリエンスは、有効にしたオプションと、Okta orgの認証ポリシーの構成に応じて異なります。

前提条件

次の要件が満たされていることを確認します。

  • Okta Identity Engine orgを利用できる。

  • macOSコンピューターがmacOS Monterey(12.0)以上を実行している。

  • orgでOkta Verify Authenticatorがセットアップされている。

  • Okta VerifyPush通知が有効である。

  • ユーザーのモバイルデバイスにOkta Verifyがインストールされている。

  • デバイスが、インストーラーパッケージと構成プロファイルのデプロイメントに対応したモバイルデバイス管理ソフトウェアに登録されている。

  • Desktop MFAアプリケーションを組織で利用できる。OktaアプリカタログでDesktop MFAアプリが見つからないときは、アカウント担当者までお問い合わせください。

タスク

Desktop MFAアプリ統合を作成して構成する

  1. Oktaテナントにスーパー管理者としてサインインします。

  2. 管理コンソール[Settings(設定)][Account(アカウント)][Embedded widget sign-in support(組み込みウィジェットサインインサポート)]に移動し、[Interaction Code(インタラクションコード)]チェックボックスが選択されていることを確認します。

  3. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  4. [Browse App Catalog(アプリカタログを参照)]をクリックし、Desktop MFAを探します。

  5. [Add integration(統合を追加)]をクリックします。

    This feature isn’t enabled(この機能は有効化されていません)」というエラーメッセージが返されるときは、アカウント担当者に連絡してください。

  6. [一般設定]ページでアプリケーションラベルを編集します。デフォルト値を受け入れるときは、[Done(完了)]をクリックします。Desktop MFA構成アプリが作成されます。

  7. アプリをクリックして構成します。

    1. [Sign On(サインオン)]タブで[Settings(設定)]セクションに移動し、[Edit(編集)]をクリックします。[Application username format(アプリケーションユーザー名の形式)]ドロップダウンメニューをクリックし、[Okta username prefix(Oktaユーザー名プレフィックス)]を選択します。

    2. [Assignments(割り当て)]タブで、関連するユーザーまたはセグループにアプリを割り当てます。

    3. [General(一般)]タブで[Client Credentials(クライアントの資格情報)] セクションに移動し、クライアントのIDとシークレットを探します。IDとシークレットは、アプリ統合の作成時に生成されます。これらの値をメモします。デプロイするDesktop MFAの構成時に必要になります。

  8. [Save(保存)]をクリックします。

Desktop MFAアプリを統合すると、Desktop MFA認証ポリシーがorgに追加されます。このポリシーは、Desktop MFAを使ってサインインしようとしているユーザーが特定の条件を満たしているかどうかを検証し、それらの条件に基づいて要素の要件を強制適用します。Desktop MFA認証ポリシーは、いかなる理由があろうと変更してはなりません。必要な場合は、orgのニーズを満たす別の認証ポリシーを作成できます。「認証ポリシー」を参照してください。

Okta Verify for macOSをダウンロードする

Desktop MFAは、デバイスの登録とユーザーの認証にOkta Verifyを使用するOkta Device Accessの一部です。Admin Console[Settings(設定)][Downloads(ダウンロード)]に移動し、最新のOkta Verify for macOSパッケージをダウンロードします。Okta Verifyパッケージは、Apple App StoreからではなくAdmin Consoleからダウンロードする必要があります。Okta Device Access製品が有効化されているorgであれば、Desktop MFAを構成、デプロイできます。詳しくは、アカウント担当者までお問い合わせください。

Okta Device Accessを使用するには、Okta VerifyパッケージをAdmin Consoleからダウンロードする必要があります。Apple App Storeからではありません。App StoreバージョンのOkta Verifyは、Okta Device Accessに対応していません。

アップグレードする際に、App StoreバージョンのOkta Verifyがすでにデバイスにインストールされている場合には、Admin Consoleからの新しいOkta Verifyの方がインストール済みのバージョンよりも新しいことを確認してください。新しくない場合には、まず、App StoreバージョンのOkta Verifyをデバイスから削除して、Admin ConsoleバージョンのOkta Verifyをインストールします。

次の手順

Desktop MFA for macOSのポリシーを構成してデプロイする