アクセスポリシーを構成する
Desktop MFAがどのように機能するかを定義する外部ポリシーは、Windowsエンドポイントにレジストリキーを使用して構成されます。
このページで行う操作
レジストリキーを構成する
Windows PowerShellスクリプトを作成し、MDMソリューションを使ってレジストリキーをエンドポイントにデプロイします。Microsoftドキュメントで「IntuneのWindows 10/11デバイスでPowerShellスクリプトを使用する」を参照してください。
Oktaでは、レジストリキーをWindowsレジストリ内のHKLM\Software\Policies\Okta\Okta Device Accessに保存します。初回インストール後、PowerShellを使ってレジストリキーをアップデートできます。
ドメインコントローラーの負荷を軽減するために、MFARequiredListおよびMFABypassListの値の変更が有効になるまでに最大10分かかる場合があります。
コマンドラインパラメーターを使ってOkta Verifyインストーラーを2回目に実行しても、既存のレジストリキーのパラメーターは変更されません。
|
値名 |
説明 |
タイプ |
デフォルト値 |
||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| MFARequiredList | パスワード以外にMFAも使って認証する必用があるユーザーグループまたはActive Directoryグループのリスト。このリストに含まれないユーザー(ローカルユーザーを含む)は、MFAを使って認証する必用はありません。リストが空であれば、ユーザーはMFAを使用せずにWindowsにサインインできます。 個々のユーザーを指定するユーザー名の形式は、username@domain.comです。グループについては、グループ名のみを指定します。 コンピューターがオンライン状態になって組織のディレクトリに接続する(直接、またはVPNを使用)際に、ユーザーは少なくとも1回はWindowsにサインインする必要があります。これにより、ユーザーのActive Directoryグループメンバーシップが解決されます。 このリストのユーザーは、パスワードレスエクスペリエンスを使用してサインインする資格があります。リストに含まれていないユーザーがデスクトップコンピューターにアクセスするには、パスワードを入力する必要があります。 |
REG_MULTI_SZ | * MFAはすべてのユーザーに適用されます | ||||||||||||
| MFABypassList |
このリストのユーザーはMFAで認証する必要はありません。ユーザーがMFARequiredListとMFABypassListの両方にリストされている場合は、MFABypassListが優先されます。 個々のユーザーを指定するユーザー名の形式は、username@domain.comです。グループについては、グループ名のみを指定します。 |
REG_MULTI_SZ | 空 | ||||||||||||
| MaxLoginsWithoutEnrolledFactors | ユーザーがMFA方式を使わずにWindowsにサインインできる回数を定義します。このポリシーにより、新規ユーザーは設定されている回数だけMFA方式のセットアップを延期できます。 ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。 ユーザーがこの制限内にあり、特定のパスワードレス要素をまだ設定していない場合は、別の有効なオプションを使用するよう求められます。その他のオプションが使用できない場合、ユーザーはアクセスするためにパスワードを入力するよう求められます。 MaxLoginsWithoutEnrolledFactorsを0に設定した場合、ユーザーにオフライン要素は登録されているがオンライン要素が登録されていないとき、オフライン要素を使用するよう求められます。 |
REG_DWORD | 50 | ||||||||||||
| MaxLoginsWithOfflineFactor | ユーザーがインターネットアクセスなしのオフラインMFA方式を使ってWindowsにサインインできる回数を定義します。このポリシーは、コンピューターがオンライン状態でユーザーが認証にオフラインMFA方式を使用する場合も適用されます。 ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。代わりにオンラインサインイン方式を使って認証できるように、ユーザーにはインターネットへの接続が求められます。 |
REG_DWORD | 50 | ||||||||||||
| MFAGracePeriodInMinutes | コンピューターのロック後にユーザーがMFAを使用する必要がない猶予期間の長さ(単位は分)を定義します。MFAGracePeriodInMinutesを0に設定した場合、ユーザーはサインインのたびにMFAを使ったID検証を求められます。 猶予期間は、コンピューターのロック時にのみ適用されます。ユーザーアカウントを切り替えた、またはコンピューターを再起動した場合、ユーザーにMFAを使ったID検証が求められます。 パスワードレスのアクセスを有効にしている場合、猶予期間は適用されません。 |
REG_DWORD |
60 | ||||||||||||
| AdminContactInfo | ユーザーがコンピューターからロックアウトされた場合に管理者に連絡できるようにするための構成可能な文字列。この文字列にデフォルト値はありません。 例:Contact your Help Desk at help@org.com or call 1-800-xxx-xxxx(ヘルプデスク(help@org.com)に連絡するか、1-800-xxx-xxxxまでお電話ください)。 |
REG_SZ | 空 | ||||||||||||
| ExcludePasswordCredProvider | デフォルトでは、標準のWindowsパスワード資格情報プロバイダーは無効化されます。Windows資格情報プロバイダーを表示するには、この値を0に設定します。エンドユーザー向けにWindowsパスワード資格情報プロバイダーが復元されます。 | REG_DWORD | 空 | ||||||||||||
| CredProvidersToExclude | カスタム資格情報プロバイダーは、プロバイダーのGUID(たとえば、{60b78e88-ead8-445c-9cfd-0b87f74ea6cd})を指定することでフィルタリングできます。このキーによって除外される資格情報プロバイダーはエンドユーザーに表示されません。 Okta Desktop MFAの資格情報プロバイダーは、このキーを使っても非表示にできません。最も一般的な資格情報プロバイダーを除外するには、以下のGUIDを使用してください。
|
REG_MULTI_SZ | 空 | ||||||||||||
| SelfServicePasswordResetEnabled |
この値は、ユーザーがサインインパスワードを忘れた場合にパスワードリセットを開始できるようにします。セルフサービスによるパスワードリセットはデフォルトで無効になっています。 |
REG_DWORD |
0 | ||||||||||||
| PasswordlessAccessEnabled |
この値は、パスワードレスアクセスを有効にして、ユーザーがパスワード以外の要素を使用してデバイスに安全にサインインできるようにします。パスワードレスアクセスはデフォルトで無効になっています。 |
REG_DWORD | 0 | ||||||||||||
| NetworkTimeoutInSeconds | この値は、検証のためのオンラインMFA要素のリストを取得する際のネットワークタイムアウトを秒単位で設定します。このタイムアウトは、ネットワークオペレーションのみに適用され、ユーザーインタラクションには適用されません。デフォルト値は15秒です。この設定は、ユーザーがDNSの断続的な停止やその他の接続の問題を抱えている場合に役立ちます。 最小値は5、最大値は60です。 |
REG_DWORD | 15 | ||||||||||||
| OfflineLoginAllowed |
この値は、ユーザーがオフライン要素を使用してサインインできるかどうかを示します。ポリシーが1に設定されている場合は、使用可能なオフライン要素がユーザーに表示されます。 ポリシーがtrueで、OnlineLoginAllowedがfalseの場合は、オフライン要素のみがユーザーに表示され、ユーザーはそれを使用してサインインできます。この設定は、認証およびサインインフローにオフラインセキュリティキーを使用したいと考えているorgに適しています。 |
REG_DWORD | 1 | ||||||||||||
| OnlineLoginAllowed |
この値は、ユーザーがオンライン要素を使用してサインインできるかどうかを示します。ポリシーが1に設定されている場合、使用可能なオンライン要素がユーザーに表示されます。 ポリシーがtrueで、OfflineLoginAllowedがfalseの場合、オンライン要素のみがユーザーに表示され、ユーザーはそれを使用してサインインできます。オフライン要素は使用できません。 |
REG_DWORD |
1 | ||||||||||||
| SelfServicePasswordResetErrorMessage | エンドユーザー向けのセルフサービスによるパスワードリセットのメッセージをカスタマイズするには、この値を使用します。 | REG_SZ | パスワードを更新できません。入力した値がドメインの要件(長さ、複雑度、履歴)を満たしていません。 | ||||||||||||
| AllowedFactors | ユーザーが認証に使用できる要素のリスト。AllowedFactorsリストでは、UseDirectAuthを有効化する必要があります。要素を指定しない場合、すべての要素が許可されます。列挙されている要素のスペルが正しいことを確認してください。 AllowedFactorsキーをHKLM\Software\Policies\Okta\Okta Device Accessに保存します。 AllowedFactorsで受け入れられる値は以下のとおりです。
AllowedFactorsリストにリストされている要素と、OfflineLoginAllowedおよびOnlineLoginAllowedレジストリ設定との間に不一致がある場合は、ユーザーがコンピューターからロックアウトされる可能性があります。詳細については、「Desktop MFA for WindowsにFIDO2キーの使用を構成する」を参照してください。 |
REG_MULTI_SZ |
* |
セルフサービスによるパスワードリセットを有効にする
セルフサービスによるパスワードリセットを使用すると、ユーザーがコンピューターからロックアウトされている場合にパスワードリセットを開始できます。ユーザーはインターネット接続なしにパスワードリセットを開始できません。セルフサービスによるパスワードリセットは、SelfServicePasswordResetEnabledレジストリを1に設定して有効化します。この機能はデフォルトで無効になっています。セルフサービスによるパスワードリセット機能は次のユーザー向けに設計されています。
-
Oktaで作成されたユーザー
-
代理認証を使用するActive Directoryユーザー
-
OktaがIDプロバイダーである(パスワードがOktaで設定されている)Azure Active Directoryユーザー
ユーザーがセルフサービスによるパスワードリセット機能を使用してパスワードを変更する場合は、Oktaパスワードを変更します。その後、変更したパスワードがActive DirectoryまたはAzure Active Directoryと同期されます。
セルフサービスによるパスワードリセットを有効にする前に、OktaパスワードポリシーとADエージェントパスワードポリシーが一致することを確認してください。「サインオンのポリシーとルール」を参照してください。
-
Admin Consoleで、に移動します。
-
IDPマイアカウントAPIパスワードを見つけて有効にします。
-
を開きます。[Password(パスワード)]行で、をクリックします。
-
[Add rule(ルールを追加)]ボタンがあるセクションまでスクロールします。鉛筆アイコンをクリックして、変更するポリシーのルールを編集します。
-
任意:委任権限付与を使用する場合は、ポリシーがActive Directoryに適用されることを確認してください。[Authentication Providers(認証プロバイダー)]見出しの下で、ドロップダウンメニューを使用して[Active Directory]を選択します。
-
-
[Users can perform self-service(ユーザーは次をセルフサービスで実行可能)]の横にある[Password reset(パスワードリセット)]オプションを有効にします。
-
[Recovery Authenticator(復旧Authenticator)]セクションで、[Okta Verify]が選択されていることを確認します。
-
[Additional verification(追加の検証)]を[Not required(任意)]に設定します。追加の検証要件を設定すると、パスワードリセットオプションが失敗します。
-
[Save(保存)]をクリックします。
Desktop MFAに番号チャレンジを強制適用する
Desktop MFAユーザーがコンピューターにサインインすると、プッシュ通知とともに番号チャレンジが送られてきます。これにより、組織のセキュリティが強化され、ユーザーはモバイルデバイスとコンピューターの両方を持っている場合にのみIDを確認できるようになります。
で[Enforce number challenge for Desktop MFA(Desktop MFAに番号チャレンジを強制適用する)]を有効にします。このオプションはDesktop MFAのあるユーザーにのみ適用されます。ユーザーがコンピューターにサインインすると、プッシュ通知で番号チャレンジが送られてきます。
Okta Verifyの[Push notification: number challenge(プッシュ通知:番号チャレンジ)]は、にあります。このオプションは、アプリへのアクセスにOkta Verifyのプッシュ通知で認証するすべてのorgユーザーに適用されます。「Okta Verifyオプションを構成する」を参照してください。
Desktop MFAの番号チャレンジを無効にするには、次の手順に従います。
- Admin Consoleで、の順に進みます。
- [Okta Device Access]セクションを見つけます。
- [Edit(編集)]をクリックします。
- [Enforce number matching challenge for Desktop MFA(Desktop MFAに番号チャレンジを強制適用する)]の横のドロップダウンメニューを使って、[Disabled(無効)]を選択します。
- [Save(保存)]をクリックします。
デスクトップパスワードレスログイン
デスクトップパスワードレスログインは、PasswordlessAccessEnabledレジストリを1に設定して有効化できます。この機能はデフォルトで無効になっています。
デスクトップパスワードレスログインが有効になっている場合、ユーザーは一IDを確認するために一度パスワードを使用してWindowsコンピューターにサインインする必要があります。それ以降は、プッシュ通知に応答することで、パスワードを入力せずにWindowsコンピューターにサインインできます。パスワードレスのアクセスを使用するには、コンピューターがオンライン状態であり、ユーザーがOkta Verifyのプッシュ通知を有効にしていなければなりません。プッシュ通知が使用できない場合、コンピューターがオフラインの場合、またはパスワードレスのサインインが失敗した場合、ユーザーはパスワードを使用することができます。
Windowsコンピューターがオフラインの場合は、ユーザーがパスワードレスのログインに登録していても、サインインにパスワードを入力する必要があります。
生体認証によるユーザー検証
デスクトップパスワードレスログインを使用するには、Okta Verifyオプションで[User Verification with Biometrics(生体認証によるユーザー検証)]を有効にする必要があります。Okta Verifyオプションまたは認証ポリシーでユーザー検証が有効化されていない場合は、デスクトップパスワードレスログインを有効化してはいけません。ユーザーが必ずしもモバイルデバイスで生体認証が有効化しているとは限りません。「Okta Verifyオプションを構成する」を参照してください。
ユーザーがモバイルデバイスでOkta Verifyの生体認証を有効化していない場合は、ユーザーがOkta VerifyやDesktop MFAでパスワードレスサインインフローを使用できないようにorgのポリシーを構成します。
生体認証が有効になっていない場合、ユーザーはオンライン要素を使用して認証できないため、コンピューターからロックアウトされます。また、[User Verification with Biometrics(生体認証によるユーザー検証)]が認証ポリシーとOkta Verifyオプションの両方で無効である場合、ユーザーは単一要素認証を使用してデスクトップにサインインできます。これは推奨されません。例を参照してユーザー認証の予想される動作を判断し、orgのニーズを満たす方法を選択してください。