Desktop MFAの復旧

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

ユーザーが、Okta Verifyに登録されているMFAデバイスやその他のAuthenticatorへのアクセス権がないために自分のコンピューターにサインインできない場合は、アクセス権を回復するために管理者のサポートが必要になります。Desktop MFAの復旧が有効になっている場合、ユーザーはIT管理者に連絡して時間制限のあるデバイス復旧PINを受け取り、それを使用してコンピューターに一時的にアクセスすることができます。

監理者とサポート担当者がデバイス、ユーザー、リクエストを認証するのに役立つポリシーまたは手順を実装していない場合、この機能を使用すると攻撃対象領域が増加する可能性があることに注意してください。

macOCにDesktop MFAの復旧を構成するには、Admin Consoleでセキュリティ設定を有効にする必要があります。Desktop MFAの復旧を有効にした後、適切な権限を持つ管理者は復旧PINを表示してユーザーと共有できます。復旧PINは2分以内に使用する必要があります。ユーザーが時間制限内に適切な復旧PINを入力しなかった場合、PINは有効期限切れになり、新しいPINの生成が必要になります。

ユーザーは、コンピューターへのアクセスを獲得した後、管理者が設定した期間、復旧PINを再利用できます。ユーザーは、コンピューターへの安全なアクセスを維持するためにできる限り早くOkta Verifyに登録されたMFAデバイスを復旧するか、新しいMFAデバイスを登録する必要があります。

前提条件

  • Desktop MFAの復旧をセットアップする前にデバイスアクセスSCEP証明書をセットアップします。

  • ユーザーのmacOSコンピューターは、直近7日間以内にオンラインになっている必要があります。

  • スーパー管理者、ヘルプデスク監理者、およびorg管理者は、復旧PINを作成または表示するための適切な権限を持っている必要があります。カスタム管理者ロールを使用している場合は、OKTA_DEVICES_MANAGE権限が必要です。「標準的な管理者ロールと権限」を参照してください。

Desktop MFAの復旧を有効にする

  1. Admin Console[Settings(設定)] [Features(機能)]に移動します。

  2. [Desktop MFA Admin Recovery(Desktop MFA Adminの復旧)]を探し、トグルをクリックしてこの機能を有効にします。

  3. [Security(セキュリティ)] [General(一般)]に移動し、[Okta Device Access]セクションまでスクロールします。

  4. [Edit(編集)]をクリックします。この機能を有効にするには、スーパー管理者アクセスが必要です。[Edit(編集)]ボタンが表示されない場合は、管理者アカウントのアクセスレベルを確認してください。

  5. ドロップダウンメニューを使用して[Enabled(有効)]を選択します。

  6. [Save(保存)]をクリックします。

Desktop MFAの復旧を構成する

orgでDesktop MFAの復旧を有効にした後、MDMを使用して構成をデバイスにプッシュします。「Desktop MFA for macOSのポリシーを構成してデプロイする」を参照してください。

  • 値の名前:DeviceRecoveryPINDuration

  • 説明:デバイス復旧PINのアクティブ化後の有効期間。値は分単位で指定し、最大値は5日間(7200)です。

  • デフォルト値:60分

デバイス復旧PINを作成する

ユーザーが、Okta Verifyに登録されているMFAデバイスやその他のAuthenticatorへのアクセス権がないために自分のコンピューターにサインインできない場合は、IT管理者に連絡し、コンピューターへの一時アクセスを可能にするデバイス復旧PINを受け取る必要があります。

  1. ユーザーが組織のIT部門にサポートを求めて連絡した場合、IT管理者は会社のポリシーに従ってユーザーのIDを手動で確認する必要があります。

  2. ユーザーに、アクセスできないコンピューターのモデル、メーカー、シリアル番号を提供してもらいます。これにより、デバイスが適切なアカウントに関連付けられていることを確認できます。ユーザーは、macOSのログインウィンドウでコンピューター名を確認できます。

  3. ユーザーのIDとデバイスの確認が済んだら、Admin Consoleを開き、[Directory(ディレクトリ)] [Devices(デバイス)]に移動します。ユーザーのコンピューター情報には、[Directory(ディレクトリ)] [People(ユーザー)] [User(ユーザー)] [Devices(デバイス)]からアクセスすることもできます。

  4. シリアル番号、コンピューター名、ユーザーの名前を使用してユーザーのコンピューターを見つけ、そのデバイスをクリックして詳細情報を表示します。

  5. [デバイスの復旧]列で、[View Recovery PIN(復旧PINを表示)]をクリックします。ユーザーの名前と、デバイス復旧PINを生成することの意味に関する警告を含むメッセージが表示されます。警告を確認したら、[Generate device recovery PIN(デバイス復旧PINを作成)]をクリックします。PINは2分間有効です。

  6. PINをユーザーと共有し、PINを入力できる時間は2分間で、その時間を過ぎるとPINが有効期限切れになることをユーザーに知らせます。ユーザーがPINを使って自分のコンピューターにサインインできることを確認します。ユーザーがコンピューターへのアクセスに成功すると、PINはMDMとDeviceRecoveryPINDuration設定で構成された期間有効になります。この期間をIT部門と共有する必要があります。「Desktop MFA for macOSのポリシーを構成してデプロイする」を参照してください。

  7. 任意。ユーザーがOkta Verifyに登録されたMFAデバイスを紛失した場合は、[Reset authenticators(Authenticatorをリセット)]をクリックしてユーザーのAuthenticator構成を更新します。こうすることで、ユーザーはMFA用の新しいデバイスを登録できるようになります。

  8. ユーザーに、PINの有効期限が切れる前にOkta Verifyに登録されたMFAデバイスを復旧するか、新しいMFAデバイスを登録するように指示します。PINの有効期限が切れた場合、ユーザーはIT部門に連絡して新しいデバイス復旧PINを受け取る必要があります。これにより、DeviceRecoveryPINDurationタイマーが再開します。

ユーザー側から見たデバイス復旧プロセスについては、「デバイス復旧PINをリクエストする」に記載されている情報を参照してください。

関連項目

Desktop MFA for macOSを構成する

Desktop MFA for macOSにFIDO2キーを構成する

デバイスアクセスSCEP証明書をセットアップする

macOS Desktop MFAユーザーをサポートする