Desktop MFA for WindowsにFIDO2キーの使用を構成する

早期アクセスリリース

FIDO2(WebAuthn)Authenticatorをセットアップすると、ユーザーがセキュリティキーを使用してデバイスに安全にサインインできるようになります。

Admin Consoleでこれらのキーを登録することも、ユーザーがOkta End-User Dashboardで登録することもできます。

Yubicoは、ユーザーのデータとorgの構成が事前登録されているYubiKeyを新規ユーザーに直接提供することもできます。

PINのサポート

Desktop MFA for Windowsは、PINの有無にかかわらずFIDO2セキュリティキーをサポートします。

認証ポリシーで[User verification(ユーザー検証)]を有効にしている場合は、FIDO2(WebAuthn)設定でも[User verification(ユーザー検証)]を有効にしていることを条件に、ユーザーはFIDO2キーを使用して自分のIDを確認できます。

PINとセキュリティキーを使用するには、FIDO2(WebAuthn)認証器設定と認証ポリシーで[User verification(ユーザー検証)][Required(必須)]に設定します。「アプリ・サインイン・ポリシー」を参照してください。

制限事項

Desktop MFA for Windowsで使用するためにFIDO2セキュリティキーを構成する場合は、次の制限に注意してください。

  • FIDO2セキュリティキーはオフライン認証には使用できません。

  • FIDO2パスキーと生体認証のみのキーはサポートされていません。

  • FIDO2プラットフォームAuthenticatorはサポートされていません。

タスク

FIDO2(WebAuthn)Authenticatorをセットアップする

ユーザーがFIDO2キーを使用して認証できるようにするには、Admin ConsoleFIDO2(WebAuthn)Authenticatorをセットアップします。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

    すでにFIDO2(WebAuthn)Authenticatorを追加している場合、もう1つ追加することはできません。既存のFIDO2(WebAuthn)Authenticatorの設定がorgに適していることを確認してください。

  2. [Add authenticator(Authenticatorを追加)]をクリックします。

  3. Authenticatorのリストで、FIDO2(WebAuthn)の下にある[Add(追加)]をクリックします。

  4. [一般設定]ページで、[Edit(編集)]をクリックします。

  5. [設定]で、ドロップダウンメニューを使用して[User verification(ユーザー検証)]方法を選択します。設定の下の内容を読み、各ユーザー検証タイプの詳細な処理内容を確認します。

    Desktop MFAでは、ユーザーは常にPINが必要です。キーにPINがなく、[User verification(ユーザー検証)]の方式を[Preferred(優先)]または[Discouraged(非推奨)]に設定すると、デスクトップパスワードの自動入力機能がシステムのパスワードを要求します。

  6. [Save(保存)]をクリックします。

FIDO2(WebAuthn)をセットアップしたら、各ユーザーアカウントでキーを使用できるように個別に構成します。ユーザーは登録を自分で完了することもできます。「ユーザーがFIDO2キーを登録する」を参照してください。

Desktop MFAクライアントでFIDO2を有効化する

PowerShellスクリプトを作成し、MDMを使ってレジストリキーをエンドポイントにデプロイします。各レジストリ キーの個別の保存場所を書き留めます。

レジストリキー 説明

名前AllowedFactors

タイプREG_MULTI_SZ

デフォルト*

ユーザーが認証に使用できる要素のリスト。

AllowedFactorsキーをHKLM\Software\Policies\Okta\Okta Device Accessに保存します。

AllowedFactorsリストでは、UseDirectAuthの有効化も必要です。

この設定で取り得る値は次のとおりです。

  • * - すべての要素が許可されます。この値を空に設定するのと同じです。

  • OV_Push

  • OV_TOTP

  • Offline_TOTP

  • FIDO2_USB_key

  • Offline_Security_key

要素のスペルが正しいことを確認してください。

AllowedFactorsリストに含まれる要素が、OfflineLoginAllowedおよびOnlineLoginAllowedレジストリ設定によってユーザーに示される要素と一致しない場合、ユーザーがコンピューターからロックアウトされる可能性があります。

名前PasswordlessAccessEnabled

タイプREG_DWORD

デフォルト0

この値は、パスワードの自動入力を有効にして、ユーザーがパスワード以外の要素を使用してデバイスに安全にサインインできるようにします。

PasswordlessAccessEnabledキーをHKLM\Software\Policies\Okta\Okta Device Accessに保存します。

パスワード自動入力はデフォルトでは無効(0)です。

パスワード自動入力では、Okta VerifyプッシュおよびFIDO2キーがAllowedFactorsとして指定されている場合に、これらがサポートされます。

Desktop MFAは常に、FIDO2キーPINを介したユーザー検証の強制適用を試みます。キーにPINがない場合、Desktop MFAはパスワード認証にフォールバックします。

名前UseDirectAuth

タイプREG_DWORD

デフォルト0

この値によって、ユーザーがFIDO2セキュリティキーを使用して認証できるように、Desktop MFAFIDO2プロトコルが有効化されます。

UseDirectAuthキーをHKLM\Software\Okta\Okta Device Accessに保存します。

この設定はデフォルトでは無効(0)です。

Oktaユーザー名がMicrosoftユーザープリンシパル名(UPN)に一致しない場合は、ユーザープロファイルポリシーで複数の識別子を構成できます。これにより、ユーザーをUPN属性で識別できるようになります。この回避策を実装する手順は、このナレッジベースの記事を参照してください。

FIDO2キーを構成する

ユーザー向けにFIDO2キーを準備する方法は複数あります。

  • ユーザーの代わりにFIDO2キーを登録します。

  • ユーザーが自分のFIDO2キーを登録します。

  • 事前登録されたYubiKey。「YubiKeyOkta間のフローを設定する」を参照してください。

orgに最適な登録方法を選択します。

ユーザーの代わりにFIDO2キーを登録する

  1. Admin Console[Directory(ディレクトリ)] [People(ユーザー)]に移動します。
  2. プロファイルを開くユーザーをクリックします。
  3. [More Actions(その他のアクション)]をクリックし、リストから[FIDO2セキュリティキーを登録]を選択します。
  4. FIDO2キーをコンピューターに挿入し、[Register(登録)]をクリックします。
  5. FIDO2キーがユーザーに正常に登録されたことを確認するメッセージが表示されるまでプロンプトに従います。
  6. 登録したFIDO2キーを適切なユーザーに提供します。

ユーザーがFIDO2キーを登録する

ユーザーがFIDO2セキュリティキーを受け取った場合は、Okta End-User Dashboardを使用してキーを登録できます。orgに適切な設定でセキュリティキーをセットアップするようにユーザーに勧めます。

  1. Okta End-User Dashboardにサインインします。
  2. 右上にある自分の名前をクリックし、[Settings(設定)]を選択します。
  3. [セキュリティ方式]で、[セキュリティキーまたは生体認証Authenticator]を見つけて[Set up another(別のAuthenticatorをセットアップ)]をクリックします。
  4. 提示されるオプションのいずれかでIDを確認し、[Set up(セットアップ)]をクリックします。
  5. プロンプトに従ってFIDO2キーをOktaアカウントに登録します。

ユーザーが正常にセキュリティキーを登録したら、FIDO2キーをWindowsデバイスに挿入し、画面のプロンプトに従うことでIDを確認できます。

ユーザーがFIDO2要素を登録すると、orgのURLに制限されます。たとえば、ユーザーがorgname.okta.com URLにFIDO2要素を登録した場合、その要素によって、同じorgname.okta.com URLを持つorgへのアクセスのみが許可されます。orgのカスタムURLを使用してFIDO2要素を登録すると、要素は、カスタムURLを持つorgへのアクセスのみを許可します。

管理者は、ユーザーがFIDO2認証要素を登録したのと同じドメインを使用するようにDesktop MFAを構成する必要があります。

次の手順

任意。Windowsにセルフサービスによるパスワードリセットを有効にする

任意。Windows向けDesktop MFAに番号チャレンジを強制適用する

任意。Windowsにデスクトップパスワード自動入力を構成する