Desktop MFA for WindowsにFIDO2キーの使用を構成する
早期アクセスリリース
FIDO2(WebAuthn)Authenticatorをセットアップして、ユーザーがセキュリティキーを使用してWindowsデバイスに安全にサインインできるようにすることができます。これらのキーは、管理者がユーザーの代わりに登録することも、ユーザーがEnd-User Dashboardで登録することもできます。Yubicoは、ユーザーのデータとorgの構成が事前登録されている新規オンボーディングユーザーにキーを直接提供することもできます。
Desktop MFA for Windowsは、PINの有無にかかわらずFIDO2セキュリティキーをサポートします。認証ポリシーでユーザー検証を有効化している場合は、FIDO2(WebAuthn)設定でもユーザー検証を有効化していることを条件に、ユーザーはFIDO2キーを使用して自分のIDを確認できます。PINとセキュリティキーを使用するには、FIDO2(WebAuthn)Authenticator設定と認証ポリシーでユーザー検証を[Required(必須)]に設定します。詳細については、「認証ポリシー」を参照してください。
Desktop MFA for Windowsで使用するためにFIDO2セキュリティキーを構成する場合は、次の制限に注意してください。
-
FIDO2セキュリティキーはオフライン認証には使用できません。
-
FIDO2パスキーと生体認証のみのキーはサポートされていません。
-
FIDO2セキュリティキーは、デスクトップパスワードレスログインと組み合わせて使用することはできません。orgでデスクトップパスワードレスログインを使用している場合は、UseDirectAuthを有効化しないでください。
-
FIDO2プラットフォームAuthenticatorはサポートされていません。
タスク
FIDO2(WebAuthn)Authenticatorをセットアップする
ユーザーがFIDO2キーを使用して認証できるようにするには、Admin ConsoleでFIDO2(WebAuthn)Authenticatorをセットアップします。すでにFIDO2(WebAuthn)Authenticatorを追加している場合、もう1つ追加することはできません。既存のFIDO2(WebAuthn)Authenticatorの設定がorgに適していることを確認してください。
-
Admin Consoleで、 に移動します。
-
[Add Authenticator(Authenticatorを追加)]をクリックします。
-
Authenticatorのリストで、FIDO2(WebAuthn)の下にある[Add(追加)]をクリックします。
-
[一般設定]ページで、[Edit(編集)]をクリックします。
-
[設定]で、ドロップダウンメニューを使用して[User verification(ユーザー検証)]方法を選択します。設定の下の内容を読み、各ユーザー検証タイプの詳細な処理内容を確認します。FIDO2キーによるユーザー認証にPINを必要としたい場合は、[Required(必須)]を推奨します。
-
[Save(保存)]をクリックします。
FIDO2(WebAuthn)をセットアップしたら、各ユーザーがキーを使用できるように個別に構成します。ユーザーは登録を自分で完了することもできます。「ユーザーがFIDO2キーを登録する」を参照してください。
Desktop MFAクライアントでFIDO2を有効化する
PowerShellスクリプトを作成し、MDMを使ってレジストリキーをエンドポイントにデプロイします。各レジストリ キーの個別の保存場所を書き留めます。
値名 | 説明 | 値 | デフォルト値 |
---|---|---|---|
UseDirectAuth | このレジストリ キーは、Desktop MFAのFIDO2プロトコルを有効化します。デフォルトでは0に設定されています。ユーザーがFIDO2セキュリティキーを使用して認証できるように、設定を1に変更します。パスワードレスアクセスが有効化されている場合は、UseDirectAuthを有効化しないでください。 UseDirectAuthキーをHKLM\Software\Okta\Okta Device Accessに保存します。 |
REG_DWORD | 0 |
AllowedFactors | ユーザーが認証に使用できる要素のリスト。AllowedFactorsリストでは、UseDirectAuthを有効化する必要があります。要素を指定しない場合、すべての要素が許可されます。列挙されている要素のスペルが正しいことを確認してください。 AllowedFactorsキーをHKLM\Software\Policies\Okta\Okta Device Accessに保存します。 AllowedFactorsで受け入れられる値は以下のとおりです。
AllowedFactorsリストにリストされている要素と、OfflineLoginAllowedおよびOnlineLoginAllowedレジストリ設定との間に不一致がある場合、ユーザーはコンピューターからロックアウトされる可能性があることに注意してください。詳細については、「レジストリ キーを構成する」を参照してください。 |
REG_MULTI_SZ |
* |
FIDO2キーを構成する
ユーザー向けにFIDO2キーを準備する方法は複数あります。
-
Admin Consoleでユーザーのキーを手動で構成する。
-
ユーザーにEnd-User Dashboardで自分のFIDO2キーをセットアップしてもらう。
-
事前登録されているYubiKeyワークフローを使用する。「YubiKeyとOkta間のフローを設定する」を参照してください。
orgに最適な登録方法を選択します。Desktop MFAを使用してサインインする前に、ユーザーは少なくとも 1 つの要素に登録されている必要があることに注意してください。
ユーザーの代わりにFIDO2キーを登録する
- Admin Consoleで に移動します。
- プロファイルを開くユーザーをクリックします。
- [More Actions(その他のアクション)]をクリックし、リストから[FIDO2セキュリティキーを登録]を選択します。
- FIDO2キーをコンピューターに挿入し、[Register(登録)]をクリックします。
- FIDO2キーがユーザーに正常に登録されたことを確認するメッセージが表示されるまでプロンプトに従います。
- 登録したFIDO2キーを適切なユーザーに提供します。
ユーザーがFIDO2キーを登録する
ユーザーは、FIDO2セキュリティキーを受け取ったら、Okta End-User Dashboardを使用してキーを登録できます。orgに適切な設定でセキュリティキーをセットアップするようにユーザーに勧めます。
- Okta End-User Dashboardにサインインします。
- 右上にある自分の名前をクリックし、[Settings(設定)]を選択します。
- [セキュリティ方式]で、[セキュリティキーまたは生体認証Authenticator]を見つけて[Set up another(別のAuthenticatorをセットアップ)]をクリックします。
- 提示されるオプションのいずれかでIDを確認し、[Set up(セットアップ)]をクリックします。
- プロンプトに従ってFIDO2キーをOktaアカウントに登録します。
ユーザーが正常にセキュリティキーを登録したら、FIDO2キーをWindowsデバイスに挿入し、画面のプロンプトに従うことでIDを確認できます。
ユーザーがFIDO2要素を登録すると、orgのURLに制限されます。たとえば、ユーザーがorgname.okta.com URLにFIDO2要素を登録した場合、その要素によって、同じorgname.okta.com URLを持つorgへのアクセスのみが許可されます。orgのカスタムURLを使用してFIDO2要素を登録すると、要素は、カスタムURLを持つorgへのアクセスのみを許可します。
管理者は、ユーザーがFIDO2認証要素を登録したのと同じドメインを使用するようにDesktop MFAを構成する必要があります。