Windows向けDesktop MFAアプリを作成して構成する

Desktop MFAアプリ統合をorgに追加し、関連するユーザーとグループに割り当てます。

開始する前に

Desktop MFAアプリを作成して構成する前に、以下の制限に注意してください。

  • リモートデスクトッププロトコル(RDP)はサポートされません。
  • ARMベースのデバイスはサポートされていません。
  • Yubicoのセキュリティキーを使用している場合、オフライン認証ではYubiKey 5シリーズのみがサポートされます。
  • Windows Serverをご利用の場合は、バージョン2019以降である必要があります。
  • Windows Serverでのオフライン認証では、セキュリティキーはサポートされません。
  • インストールの完了後、インストール済みプログラムのリストにOkta Verifyインスタンスが2つ表示される場合があります。
  • Okta Verifyを以前のバージョンにダウングレードすることはできません。

手順

  1. Okta orgにスーパー管理者としてサインインします。

  2. Admin Consoleで[Settings(設定)][Account(アカウント)]に移動します。

    [Embedded widget sign-in support(組み込みウィジェットサインインサポート)][Interaction Code(インタラクションコード)]チェックボックスが選択されていることを確認します。

  3. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  4. [Browse App Catalog(アプリカタログを参照)]をクリックし、Desktop MFAを探します。

  5. [Add integration(統合を追加)]をクリックします。

    This feature isn’t enabled(この機能は有効化されていません)」というエラーメッセージが返された場合は、アカウント担当者に連絡してください。

  6. [General Settings(一般設定)]ページでアプリラベルを編集します。デフォルト値を受け入れてアプリを作成するときは、[Done(完了)]をクリックします。

  7. アプリを開いて構成を完了します。

    1. [Sign On(サインオン)]タブで[Settings(設定)]セクションに移動し、[Edit(編集)]をクリックします。

    2. [Application username format(アプリケーションユーザー名の形式)]は、デバイスへのサインインに使用されるユーザー名です。ユーザー名の形式を指定すると、Okta Verifyがサインインするユーザーに正しい要素を要求できるようになります。

      [Application username format(アプリケーションユーザー名の形式)]ドロップダウンメニューをクリックし、次の形式からorgに適したものを選択します。ドロップダウンメニューに表示される形式は、orgの構成によって異なります。

      • [AD user principal name(ADユーザープリンシパル名)]Microsoft Entra ID(旧Azure Active Directory)環境の場合に使用します。

      • AD従業員ID

      • [AD SAM account name(AD SAMアカウント名)]Active Directoryまたはハイブリッド環境の場合に使用します。

      • AD SAMアカウント名+ドメイン

      • ADユーザープリンシパル名のプレフィックス

      • カスタム

      • メール

      • メールのプレフィックス

      • [Okta]:ユーザー名がOktaですでに使用しているものと同じである場合に使用します

      • Oktaユーザー名のプレフィックス

      お使いの環境がMicrosoft Entra IDおよびActive Directory参加デバイスの混合型である場合は、異なるユーザー名形式に対処するためにDesktop MFAアプリの個別のインスタンスを作成します。

    3. [Assignments(割り当て)]タブで、関連ユーザーまたはセキュリティグループにアプリを割り当てます。

    4. [General(一般)]タブで[Client Credentials(クライアントの資格情報)]セクションに移動し、[Client ID(クライアントID)][Client Secret(クライアントシークレット)]を見つけます。IDとシークレットは、アプリ統合の作成時に生成されます。これらの値を記録しておきます。MDMソリューションを使ってDesktop MFA for Windowsをデプロイするときに必要になります。

  8. [Save(保存)]をクリックします。

Desktop MFA認証ポリシー

Desktop MFAアプリを統合すると、Desktop MFAアプリ・サインイン・ポリシーがorgに追加されます。

このポリシーは、Desktop MFAを使ってサインインしようとしているユーザーが特定の条件を満たしているかどうかを検証し、それらの条件に基づいて要素の要件を強制適用します。Desktop MFAアプリ・サインイン・ポリシーは、いかなる理由があろうと変更してはなりません。

必要な場合は、orgのニーズを満たす別のアプリ・サインイン・ポリシーを作成できます。「アプリ・サインイン・ポリシー」を参照してください。

次の手順

Okta Verify for Windowsをダウンロードする