macOS Desktop MFAユーザーをサポートする

Desktop MFAを構成してデプロイしたら、ユーザーは1つまたは複数のオフライン認証要素を登録するよう求められます。これらの要素により、コンピューターまたはユーザーがオフラインの場合でも、コンピューターのアプリとデータへの安全なアクセスが可能になります。

セキュリティ強化のため、Desktop MFAは登録プロセス中に非アクティブな状態が5分間続くとタイムアウトします。このタイムアウトは変更できません。デバイスのディスプレイがロックされ、ユーザーは登録プロセスを再開する必要があります。

Oktaでは、ユーザーがサインインフローの変更に対応できるように、Desktop MFAプランについて伝達するための一連のテンプレートを提供しています。Okta管理者向けローンチキットからテンプレートをダウンロードし、新しい認証プロセスをユーザーに説明するのに役立つ適切な文言をコピーしてください。

バグの報告チャネルを確立する

ユーザーに、ユーザーのモバイルデバイスからOkta Verifyで問題やバグを報告するよう依頼します。ユーザーのOkta Verifyモバイルアプリの[Menu(メニュー)]バーには、[Send Feedback(フィードバックを送信)]リンクがあります。ユーザーは、[Report a bug(バグを報告する)]をタップしてフォームに記入する必要があります。システムログが自動的に添付され、レポートがOktaに送信されます。次に、ユーザーは組織内の別のユーザーに連絡し、コンピューターへのサインインをサポートしてもらう必要があります。

システムログ

システムログは/var/log/com.okta.deviceaccess/OktaDeviceAccess.logにあります。rootまたはsudoのアクセス権でアカウントから次のコマンドを実行する方法もあります:sudo log collect --start "2023-09-18 12:00:00" --output /tmp && tar cvf system_logs.logarchive.tar /tmp/system_logs.logarchive

出力は/tmp/system_logs.logarchive.tarに格納されます。

サインインの問題を解決する

Desktop MFAの問題を解決する前に、前提条件が満たされていることを確認してください。

全ユーザーのDesktop MFAをリセットする

端末から次のコマンドをコピーして実行することで、全ユーザーのDesktop MFAをリセットします。

コピー
sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from enrollment"
sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from factors"
sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from loginhistory"

オフライン要素を削除する

ユーザーのオフライン認証要素を削除する必要があるときは、sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from factors"コマンドを使用します。MDMを介してユーザーのmacOSコンピューターにコマンドをプッシュすると、オフライン要素が削除されます。

認証プラグインをオフにする

マシンがアクセス不能で、エンドユーザーに管理者アカウントへのアクセス権があるときは、そのユーザーは復旧モードを使ってシステムにサインインできます。管理者として復旧モードにあるユーザーは、sudoを実行する必要はありません。

  1. ディスクをロック解除する:[Utilities(ユーティリティ)] [Share Disk(ディスクを共有)]をクリックし、ハード ディスクをクリックします。

  2. [Unlock(ロック解除)]を選択し、管理者パスワードを入力します。

  3. [Share Disk(ディスクを共有)]をクリックし、[Quit Share Disk(ディスクの共有を終了)]を選択します。

  4. 端末を開いて次のコマンドを実行します:rm -rf /Library/Security/SecurityAgentPlugins/OktaDAAuthPlugin.bundle/

このコマンドはマシンから認証プラグインを削除します。ユーザーは、マシンにサインインできるようになります。

デバイスからDesktop MFAを削除する

次のコマンドを実行してmacOSデバイスからDesktop MFAを完全に削除します。

  • macOS Okta Verify内の認証プラグインへのsymlinkを削除します:sudo rm -rf /Library/Security/SecurityAgentPlugins/OktaDAAuthPlugin.bundle

  • サービスデーモンを停止します:sudo launchctl unload /Library/LaunchDaemons/com.okta.deviceaccess.servicedaemon.plist

  • macOS Okta Verify内のサービスデーモンのplistへのsymlinkを削除します: sudo rm -f /Library/LaunchDaemons/com.okta.deviceaccess.servicedaemon.plist

  • macOS Okta Verify内のサービスデーモンの実行可能ファイルへのsymlinkを削除します:sudo rm -f /usr/local/bin/OktaDAServiceDaemon

  • Desktop MFAディレクトリを削除します:sudo rm -rf /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/

  • macOS Okta Verifyを削除します(これにより、認証プラグイン、サービスデーモン、plistが削除されます):sudo rm -rf "/Applications/Okta Verify.app"

関連項目

Okta Device Accessサポートハブ