macOCにDesktop MFAの復旧を有効にする

ユーザーがOkta Verifyに登録されたMFAデバイスやその他のAuthenticatorへのアクセス権がないためにコンピューターにサインインできない場合は、アクセスの回復に管理者のサポートが必要になります。Desktop MFAの復旧が有効になっていると、ユーザーはIT管理者に連絡して時間制限のあるデバイス復旧PINを受け取り、コンピューターへのアクセスを一時的に付与されます。

注意:

デバイス、ユーザー、リクエストの認証を完了するためのポリシーまたは手順を実装していない場合、この機能を使用すると攻撃対象領域が増加する可能性があります。

ユーザーは、コンピューターへのアクセスを獲得した後、管理者が設定した期間、復旧PINを再利用できます。ユーザーは、コンピューターへの安全なアクセスを維持するためにできる限り早くOkta Verifyに登録されたMFAデバイスを復旧するか、新しいMFAデバイスを登録する必要があります。

開始する前に

Desktop MFAの復旧をセットアップする前に、デバイスアクセス証明書を構成します。
ユーザーは、DeviceRecoveryValidityInDaysポリシーで定義された設定時間内にDesktop MFAを使用してmacOSコンピューターにサインインする必要があります。デバイスはオンラインでなければなりません。
スーパー管理者、org管理者、ヘルプデスク管理者ロール、またはデバイス復旧PINを生成（Generate device recovery PIN）権限を持つカスタムロールが必要です。

カスタムロール権限を使用するには、Okta デバイスアクセス権限に対してカスタム管理者ロールを有効にする（Enable custom admin roles for permissions）およびデバイス権限に対してカスタム管理者ロールを有効にする（Enable custom admin roles for device permissions）機能をオンにします。

「標準的な管理者ロールと権限」および「カスタム管理者ロール」を参照してください。

Desktop MFAの復旧を有効にする

Desktop MFAの復旧を有効にした後、適切な権限を持つ管理者は復旧PINを生成してユーザーと共有できます。ユーザーが2分の時間制限内に適切な復旧PINを入力しなかった場合、PINは有効期限切れになり、新しいPINの生成が必要になります。

Admin Consoleで、セキュリティ（Security） > 一般（General）に移動します。
Okta Device Access セクションまでスクロールします。
編集（Edit）をクリックします。この機能を有効にするには、スーパー管理者アクセスが必要です。編集（Edit）ボタンが表示されない場合は、管理者アカウントのアクセスレベルを確認してください。
Desktop MFAのデバイス回復PINを有効にする（Enable Device Recovery PIN for Desktop MFA）で、ドロップダウンメニューから有効（Enabled）を選択します。
保存（Save）をクリックします。

Desktop MFAの復旧を構成するDesktop MFA

orgでDesktop MFAの復旧を有効にした後、MDMを使用して構成をデバイスにプッシュします。Desktop MFA for macOSのポリシーを構成してデプロイするを参照してください。

DeviceRecoveryPINDuration：デバイス復旧PINがアクティベート後に有効な期間（分）。名前：DeviceRecoveryPINDurationを参照してください。
DeviceRecoveryValidityInDays：Desktop MFAのデバイス復旧可能期間。名前：DeviceRecoveryValidityInDaysを参照してください。

デバイス復旧PINを作成する

ユーザーがOkta Verifyに登録されたMFAデバイスやその他のAuthenticatorにアクセス場合は、IT管理者に連絡し、デバイス復旧PINを受け取る必要があります。復旧PINを使用することで、ユーザーはコンピューターに一時的にアクセスできます。

ユーザーが組織のIT部門にサポートを求めて連絡した場合、IT管理者は会社のポリシーに従ってユーザーのIDを手動で確認する必要があります。
ユーザーに、アクセスできないコンピューターのモデル、メーカー、シリアル番号を提供してもらいます。この情報により、デバイスが適切なアカウントに関連付けられていることが確認されます。ユーザーに管理者に問い合わせてください（Contact your administrator）というプロンプトが表示されます。
ユーザーのIDとデバイスを確認したら、Admin Consoleを開き、ディレクトリ（Directory） > デバイス（Devices）に移動します。ユーザーのコンピューター情報には、ディレクトリ（Directory） > ユーザー（People） > ユーザー（User） > デバイス（Devices）からアクセスすることもできます。
シリアル番号、コンピューター名、ユーザーの名前を使用してユーザーのコンピューターを見つけ、そのデバイスをクリックして詳細情報を表示します。
デバイスの復旧（Device Recovery）列で、復旧PINを表示（View Recovery PIN）をクリックします。ユーザーの名前と、デバイス復旧PINを生成することの意味に関する警告を含むメッセージが表示されます。警告を確認したら、デバイス復旧PINを作成（Generate device recovery PIN）をクリックします。PINは2分間有効です。
PINをユーザーと共有し、PINを入力できる時間は2分間で、その時間を過ぎるとPINが有効期限切れになることをユーザーに知らせます。ユーザーがPINを使って自分のコンピューターにサインインできることを確認します。

ユーザーがコンピューターへのアクセスに成功すると、PINはMDMとDeviceRecoveryPINDuration設定で構成された期間有効になります。この期間をIT部門と共有します。

PINが機能しない場合は、有効期限が切れている可能性があるため、再生成してください。Desktop MFA for macOSのポリシーを構成してデプロイするを参照してください。
任意。ユーザーがOkta Verifyに登録されたMFAデバイスを紛失した場合は、Authenticatorをリセット（Reset authenticators）をクリックしてユーザーのAuthenticator構成を更新します。こうすることで、ユーザーはMFA用の新しいデバイスを登録できるようになります。
ユーザーに、PINの有効期限が切れる前にOkta Verifyに登録されたMFAデバイスを復旧するか、新しいMFAデバイスを登録するように指示します。PINの有効期限が切れた場合、ユーザーはIT部門に連絡して新しいデバイス復旧PINを受け取る必要があります。これにより、DeviceRecoveryPINDurationタイマーが再開します。

ユーザー側から見たデバイス復旧プロセスについては、デバイス復旧PINをリクエストするに記載されている情報を参照してください。