Windows向けDesktop MFAアプリを作成して構成する

Desktop MFAアプリ統合をorgに追加し、関連するユーザーとグループに割り当てます。

開始する前に

Desktop MFAアプリを作成して構成する前に、以下の制限に注意してください。

  • リモートデスクトッププロトコル(RDP)はサポートされません。
  • ARMベースのデバイスはサポートされていません。
  • Yubicoのセキュリティキーを使用している場合、オフライン認証ではYubiKey 5シリーズのみがサポートされます。
  • Windows Serverをご利用の場合は、バージョン2019以降である必要があります。Windows
  • Windows Serverでのオフライン認証では、セキュリティキーはサポートされません。
  • インストールの完了後、インストール済みプログラム(Installed Programs)のリストにOkta Verifyインスタンスが2つ表示される場合があります。
  • Okta Verifyを以前のバージョンにダウングレードすることはできません。

手順

  1. Okta orgにスーパー管理者としてサインインします。

  2. Admin Console設定(Settings) > アカウント(Account)に移動します。

    組み込みウィジェットサインインサポート(Embedded widget sign-in support)インタラクションコード(Interaction Code)チェックボックスが選択されていることを確認します。

  3. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  4. アプリカタログを参照(Browse App Catalog)をクリックし、Desktop MFAを探します。

  5. 統合を追加(Add integration)をクリックします。

    This feature isn't enabled(この機能は有効化されていません)」というエラーメッセージが返された場合は、アカウント担当者に連絡してください。

  6. 一般設定(General Settings)ページでアプリラベルを編集します。デフォルト値を受け入れてアプリを作成するときは、完了(Done)をクリックします。

  7. アプリを開いて構成を完了します。

    1. サインオン(Sign On)(Sign on)タブで設定(Settings)セクションに移動し、編集(Edit)をクリックします。

    2. アプリケーションユーザー名の形式(Application username format)は、デバイスへのサインインに使用されるユーザー名です。ユーザー名の形式を指定すると、Okta Verifyがサインインするユーザーに正しい要素を要求できるようになります。

      アプリケーションユーザー名の形式(Application username format)ドロップダウンメニューをクリックし、次の形式からorgに適したものを選択します。ドロップダウンメニューに表示される形式は、orgの構成によって異なります。

      • ADユーザープリンシパル名(AD user principal name)Microsoft Entra ID(旧Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。))環境の場合に使用します。

      • AD従業員ID(AD employee ID)

      • AD SAMアカウント名(AD SAM account name)Active Directoryまたはハイブリッド環境の場合に使用します。

      • AD SAMアカウント名+ドメイン(AD SAM account name + domain)

      • ADユーザープリンシパル名のプレフィックス(AD user principal name prefix)

      • カスタム(Custom)

      • メール(Email)

      • メールのプレフィックス(Email prefix)

      • Okta :ユーザー名がOktaですでに使用しているものと同じである場合に使用します

      • Oktaユーザー名のプレフィックス(Okta username prefix)

      お使いの環境がMicrosoft Entra IDおよびActive Directory参加デバイスの混合型である場合は、異なるユーザー名形式に対処するためにDesktop MFAアプリの個別のインスタンスを作成します。

    3. 割り当て(Assignments)タブで、関連ユーザーまたはセキュリティグループにアプリを割り当てます。

    4. 一般(General)タブでクライアントの資格情報(Client Credentials) セクションに移動し、クライアントID(Client ID)クライアントシークレット(Client Secret)を探します。IDとシークレットは、アプリ統合の作成時に生成されます。これらの値を記録しておきます。MDMソリューションを使ってDesktop MFA for Windowsをデプロイするときに必要になります。

  8. 保存(Save)をクリックします。

Desktop MFAアプリサインインポリシー

Desktop MFAアプリを統合すると、Desktop MFAアプリ・サインイン・ポリシーがorgに追加されます。

このポリシーは、Desktop MFAを使ってサインインしようとしているユーザーが特定の条件を満たしているかどうかを検証し、それらの条件に基づいて要素の要件を強制適用します。Desktop MFAアプリ・サインイン・ポリシーは、いかなる理由があろうと変更してはなりません。

必要な場合は、orgのニーズを満たす別のアプリ・サインイン・ポリシーを作成できます。アプリ・サインイン・ポリシー(App sign-in policies)を参照してください。

次の手順

Okta Verify for Windowsをダウンロードする