Desktop MFA for WindowsにFIDO2キーの使用を構成する

パスキー（FIDO2 WebAuthn）Authenticatorをセットアップすると、ユーザーがセキュリティキーを使用してデバイスに安全にサインインできるようになります。

Admin Consoleでこれらのキーを登録することも、ユーザーがOkta End-User Dashboardで登録することもできます。

Yubicoは、ユーザーのデータとorgの構成が事前登録されているYubiKeyを新規ユーザーに直接提供することもできます。

PINのサポート

Desktop MFA for Windowsは、PINの有無にかかわらずWindowsセキュリティキーをサポートします。FIDO2

アプリサインインポリシーでユーザー検証（User verification）を有効にしている場合は、パスキー（FIDO2 WebAuthn）設定でもユーザー検証（User verification）を有効にしていることを条件に、ユーザーはFIDO2キーを使用して自分のIDを確認できます。

PINとセキュリティキーを使用するには、パスキー（FIDO2 WebAuthn） Authenticator設定とアプリサインインポリシーでユーザー検証（User verification）を必須（Required）に設定します。アプリ・サインイン・ポリシー（App sign-in policies）を参照してください。

制限事項

Desktop MFA for Windowsで使用するためにFIDO2セキュリティキーを構成する場合は、次の制限に注意してください。Windows

FIDO2セキュリティキーはオフライン認証には使用できません。
FIDO2パスキーと生体認証のみのキーはサポートされていません。
FIDO2プラットフォームAuthenticatorはサポートされていません。

タスク

パスキー（FIDO2 WebAuthn） Authenticatorをセットアップする
Desktop MFAクライアントでFIDO2を有効化する
FIDO2キーを構成する

パスキー（FIDO2 WebAuthn） Authenticatorをセットアップする

ユーザーがFIDO2キーを使用して認証できるようにするには、Admin Consoleでパスキー（FIDO2 WebAuthn）Authenticatorをセットアップします。

Admin Consoleで、セキュリティ（Security） > Authenticatorに移動します。

すでにパスキー（FIDO2 WebAuthn）Authenticatorを追加している場合、もう1つ追加することはできません。既存のパスキー（FIDO2 WebAuthn）Authenticatorの設定がorgに適していることを確認してください。
Authenticatorを追加（Add authenticator）をクリックします。
Authenticatorのリストで、パスキー（FIDO2 WebAuthn）の下にある追加（Add）をクリックします。
一般設定（General settings）ページで、編集（Edit）をクリックします。
設定（Settings）で、ドロップダウンメニューを使用してユーザー検証（User verification）方法を選択します。設定の下の内容を読み、各ユーザー検証タイプの詳細な処理内容を確認します。

Desktop MFAでは、ユーザーは常にPINが必要です。キーにPINがなく、ユーザー検証（User verification）の方式を優先（Preferred）または非推奨（Discouraged）に設定すると、デスクトップパスワードの自動入力機能がシステムのパスワードを要求します。
保存（Save）をクリックします。

パスキー（FIDO2 WebAuthn）をセットアップしたら、各ユーザーアカウントでキーを使用できるように個別に構成します。ユーザーは登録を自分で完了することもできます。「ユーザーがFIDO2キーを登録する」を参照してください。

Desktop MFAクライアントでFIDO2を有効化する

PowerShellスクリプトを作成し、MDMを使ってレジストリキーをエンドポイントにデプロイします。各レジストリキーの個別の保存場所を書き留めます。

レジストリキー説明

レジストリキー	説明
名前（Name）：`AllowedFactors` タイプ（Type）：`REG_MULTI_SZ` デフォルト（Default）：`*`	ユーザーが認証に使用できる要素のリスト。注: `AllowedFactors`キーを`HKLM\Software\Policies\Okta\Okta Device Access`に保存します。 `AllowedFactors`リストでは、`UseDirectAuth`の有効化も必要です。この設定で取り得る値は次のとおりです。 `*` - すべての要素が許可されます。この値を空に設定するのと同じです。 `OV_Push` `OV_TOTP` `Offline_TOTP` `Offline_Security_key` `FIDO2_USB_key` `RSA_Token` 要素のスペルが正しいことを確認してください。注: `AllowedFactors`リストに含まれる要素が、`OfflineLoginAllowed`および`OnlineLoginAllowed`レジストリ設定によってユーザーに示される要素と一致しない場合、ユーザーがコンピューターからロックアウトされる可能性があります。
名前（Name）：`PasswordlessAccessEnabled` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`0`	この値は、パスワードの自動入力を有効にして、ユーザーがパスワード以外の要素を使用してデバイスに安全にサインインできるようにします。注: `PasswordlessAccessEnabled`キーを`HKLM\Software\Policies\Okta\Okta Device Access`に保存します。パスワードの自動入力はデフォルトでは無効（`0`）になっています。パスワード自動入力では、Okta VerifyプッシュおよびFIDO2キーが`AllowedFactors`として指定されている場合に、これらがサポートされます。 Desktop MFAは常に、FIDO2キーPINを介したユーザー検証の強制適用を試みます。キーにPINがない場合、Desktop MFAはパスワード認証にフォールバックします。
名前（Name）：`UseDirectAuth` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`0`	この値を使用すると、Desktop MFAユーザーはFIDO2またはRSA Authenticatorを使用して認証できるようになります。注: `UseDirectAuth`キーを`HKLM\Software\Okta\Okta Device Access`に保存します。この設定はデフォルトでは無効（`0`）です。この値は、デバイスバウンドシングルサインオンに必要です。 Oktaユーザー名がMicrosoftユーザープリンシパル名（UPN）に一致しない場合は、ユーザープロファイルポリシーで複数の識別子を構成できます。これにより、ユーザーをUPN属性で識別できるようになります。この回避策を実装する手順は、このナレッジベースの記事を参照してください。

名前（Name）：AllowedFactors

タイプ（Type）：REG_MULTI_SZ

デフォルト（Default）：*

ユーザーが認証に使用できる要素のリスト。

注:

AllowedFactorsキーをHKLM\Software\Policies\Okta\Okta Device Accessに保存します。

AllowedFactorsリストでは、UseDirectAuthの有効化も必要です。

この設定で取り得る値は次のとおりです。

* - すべての要素が許可されます。この値を空に設定するのと同じです。
OV_Push
OV_TOTP
Offline_TOTP
Offline_Security_key
FIDO2_USB_key
RSA_Token

要素のスペルが正しいことを確認してください。

注:

AllowedFactorsリストに含まれる要素が、OfflineLoginAllowedおよびOnlineLoginAllowedレジストリ設定によってユーザーに示される要素と一致しない場合、ユーザーがコンピューターからロックアウトされる可能性があります。

名前（Name）：PasswordlessAccessEnabled

タイプ（Type）：REG_DWORD

デフォルト（Default）：0

この値は、パスワードの自動入力を有効にして、ユーザーがパスワード以外の要素を使用してデバイスに安全にサインインできるようにします。

注:

PasswordlessAccessEnabledキーをHKLM\Software\Policies\Okta\Okta Device Accessに保存します。

パスワードの自動入力はデフォルトでは無効（0）になっています。

パスワード自動入力では、Okta VerifyプッシュおよびFIDO2キーがAllowedFactorsとして指定されている場合に、これらがサポートされます。

Desktop MFAは常に、FIDO2キーPINを介したユーザー検証の強制適用を試みます。キーにPINがない場合、Desktop MFAはパスワード認証にフォールバックします。

名前（Name）：UseDirectAuth

タイプ（Type）：REG_DWORD

デフォルト（Default）：0

この値を使用すると、Desktop MFAユーザーはFIDO2またはRSA Authenticatorを使用して認証できるようになります。

注:

UseDirectAuthキーをHKLM\Software\Okta\Okta Device Accessに保存します。

この設定はデフォルトでは無効（0）です。

この値は、デバイスバウンドシングルサインオンに必要です。

Oktaユーザー名がMicrosoftユーザープリンシパル名（UPN）に一致しない場合は、ユーザープロファイルポリシーで複数の識別子を構成できます。これにより、ユーザーをUPN属性で識別できるようになります。この回避策を実装する手順は、このナレッジベースの記事を参照してください。

FIDO2キーを構成する

ユーザー向けにFIDO2キーを準備する方法は複数あります。

ユーザーの代わりにFIDO2キーを登録します。
ユーザーが自分のFIDO2キーを登録します。
事前登録されたYubiKey。

orgに最適な登録方法を選択します。

ユーザーの代わりにFIDO2キーを登録する

Admin Consoleで、ディレクトリ（Directory） > ユーザー（People）に進みます。
プロファイルを開くユーザーをクリックします。
その他のアクション（More Actions）をクリックし、リストからFIDO2セキュリティキーを登録（Enroll FIDO2 Security Key）を選択します。
FIDO2キーをコンピューターに挿入し、登録（Register）をクリックします。
FIDO2キーがユーザーに正常に登録されたことを確認するメッセージが表示されるまでプロンプトに従います。
登録したFIDO2キーを適切なユーザーに提供します。

ユーザーがFIDO2キーを登録する

ユーザーがFIDO2セキュリティキーを受け取った場合は、Okta End-User Dashboardを使用してキーを登録できます。orgに適切な設定でセキュリティキーをセットアップするようにユーザーに勧めます。

Okta End-User Dashboardにサインインします。
右上にある自分の名前をクリックし、設定（Settings）を選択します。
セキュリティ方式（Security Methods）で、セキュリティキーまたは生体認証Authenticator（Security Key or Biometric Authenticator）を見つけて別のAuthenticatorをセットアップ（Set up another）をクリックします。
提示されるオプションのいずれかでIDを確認し、セットアップ（Set up）をクリックします。
プロンプトに従ってFIDO2キーをOktaアカウントに登録します。Okta

ユーザーが正常にセキュリティキーを登録したら、FIDO2キーをWindowsデバイスに挿入し、画面のプロンプトに従うことでIDを確認できます。Windows

注:

ユーザーがFIDO2要素を登録すると、orgのURLに制限されます。たとえば、ユーザーがorgname.okta.com URLにFIDO2要素を登録した場合、その要素によって、同じorgname.okta.com URLを持つorgへのアクセスのみが許可されます。orgのカスタムURLを使用してFIDO2要素を登録すると、要素は、カスタムURLを持つorgへのアクセスのみを許可します。

管理者は、ユーザーがFIDO2認証要素を登録したのと同じドメインを使用するようにDesktop MFAを構成する必要があります。

次の手順

任意。Windowsにセルフサービスによるパスワードリセットを有効にする

任意。Windows向けDesktop MFAに番号チャレンジを強制適用する

任意。Windowsにデスクトップパスワード自動入力を構成する