Desktop MFA for macOSのトラブルシューティング

Desktop MFAのトラブルシューティングを行う前に、すべての前提条件が満たされていることを確認してください。

全ユーザーのDesktop MFAをリセットする

端末から次のコマンドをコピーして実行することで、全ユーザーのDesktop MFAをリセットします。

コピー
sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from enrollment"
sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from factors"
sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from loginhistory"

オフライン要素を削除する

ユーザーのオフライン認証要素を削除する必要があるときは、sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from factors"コマンドを使用します。MDMを介してユーザーのmacOSコンピューターにコマンドをプッシュすると、オフライン要素が削除されます。

認証プラグインをオフにする

マシンがアクセス不能で、エンドユーザーに管理者アカウントへのアクセス権があるときは、そのユーザーは復旧モードを使ってシステムにログインできます。管理者として復旧モードにあるユーザーは、sudoを実行する必要はありません。

  1. ディスクをロック解除する:[Utilities(ユーティリティ)] [Share Disk(ディスクを共有)]をクリックし、ハード ディスクをクリックします。

  2. [Unlock(ロック解除)]を選択し、管理者パスワードを入力します。

  3. [Share Disk(ディスクを共有)]をクリックし、[Quit Share Disk(ディスクの共有を終了)]を選択します。

  4. 端末を開いて次のコマンドを実行します:rm -rf /Library/Security/SecurityAgentPlugins/OktaDAAuthPlugin.bundle/

このコマンドはマシンから認証プラグインを削除します。ユーザーは、マシンにサインインできるようになります。

デバイスからDesktop MFAを削除する

次のコマンドを実行してmacOSデバイスからDesktop MFAを完全に削除します。

  • macOS Okta Verify内の認証プラグインへのsymlinkを削除します:sudo rm -rf /Library/Security/SecurityAgentPlugins/OktaDAAuthPlugin.bundle

  • サービスデーモンを停止します:sudo launchctl unload /Library/LaunchDaemons/com.okta.deviceaccess.servicedaemon.plist

  • macOS Okta Verify内のサービスデーモンのplistへのsynlinkを削除します: sudo rm -f /Library/LaunchDaemons/com.okta.deviceaccess.servicedaemon.plist

  • macOS Okta Verify内のサービスデーモンの実行可能ファイルへのsymlinkを削除します:sudo rm -f /usr/local/bin/OktaDAServiceDaemon

  • Desktop MFAディレクトリを削除します:sudo rm -rf /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/

  • macOS Okta Verifyを削除します(これにより、認証プラグイン、サービスデーモン、plistが削除されます):sudo rm -rf "/Applications/Okta Verify.app"

システムログ

ログは/var/log/com.okta.deviceaccess/OktaDeviceAccess.logにあります。rootまたはsudoのアクセス権でアカウントから次のコマンドを実行する方法もあります:sudo log collect --start "2023-09-18 12:00:00" --output /tmp && tar cvf system_logs.logarchive.tar /tmp/system_logs.logarchive

出力は/tmp/system_logs.logarchive.tarに格納されます。

既知の問題

  • Okta Verifyプッシュの使用時に「Unusual sign-in attempt to Desktop MFA(Desktop MFAへの異常なサインイン試行)」というメッセージが表示される場合があります。この問題に対処するには、ユーザーがデスクトップコンピューターからyourorg.okta.comにサインインするようにします。

  • ユーザーに関連付けられているユーザー名が変更されると、Okta Verifyはそのユーザーが新規ユーザーであり、既存のオフライン要素が機能しないものと見なします。Desktop MFAを使ってオフラインアクセスするには、ユーザーは自分のオフライン方式を再登録する必要があります。