Desktop MFAポリシーを構成する
早期アクセスリリース。「早期アクセス機能とBeta機能を管理する」を参照してください。
Desktop MFAがどのように機能するかを定義するポリシーは、Windowsエンドポイントレジストリキーに構成されます。
PowerShellスクリプトを作成し、MDMソリューションを使ってレジストリキーをエンドポイントにデプロイします。詳細については、Microsoftドキュメントで「Use PowerShell scripts on Windows 10/11 devices in Intune(Intune内のWindows 10/11デバイスでのPowerShellスクリプトの使用)」を参照してください。
レジストリキーは、HKLM\Software\Policies\Okta\Okta Device Accessに保存されます。
| 値名 | 説明 | 値 | デフォルト値 |
| MfaRequiredList | パスワード以外にMFAも使って認証する必用があるユーザーグループまたはActive Directoryグループのリスト。このリストに含まれないユーザー(ローカルユーザーを含む)は、MFAを使って認証する必用はありません。リストが空であれば、ユーザーはMFAを使用せずにWindowsにサインインできます。 個々のユーザーを指定するユーザー名の形式は、username@domain.comです。グループについては、グループ名のみを指定します。 コンピューターがオンライン状態になって組織のディレクトリに接続する(直接、またはVPNを使用)際に、ユーザーは少なくとも1回はWindowsにサインインする必要があります。これにより、ユーザーのActive Directoryグループメンバーシップが解決されます。 |
REG_MULTI_SZ | * MFAはすべてのユーザーに適用されます |
| MaxLoginsWithoutEnrolledFactors | ユーザーがMFA方式を使わずにWindowsにサインインできる回数を定義します。このポリシーにより、新規ユーザーは設定されている回数だけMFA方式のセットアップを延期できます。 ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。 |
REG_DWORD | 50 |
| MaxLoginsWithOfflineFactor | ユーザーがインターネットアクセスなしのオフラインMFA方式を使ってWindowsにサインインできる回数を定義します。このポリシーは、コンピューターがオンライン状態でユーザーが認証にオフラインMFA方式を使用する場合も適用されます。 ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。代わりにオンラインサインイン方式を使って認証できるように、ユーザーにはインターネットへの接続が求められます。 |
REG_DWORD | 50 |
| MFAGracePeriodInMinutes | コンピューターのロック後にユーザーがMFAを使用する必要がない猶予期間の長さ(単位は分)を定義します。MFAGracePeriodInMinutesを0に設定した場合、ユーザーはログインのたびにMFAを使ったID検証を求められます。 猶予期間は、コンピューターのロック時にのみ適用されます。ユーザーアカウントを切り替えた、またはコンピューターを再起動した場合、ユーザーはMFAを使ったID検証を求められます。 |
REG_DWORD |
60 |
| AdminContactInfo | ユーザーがコンピューターからロックアウトされた場合に管理者に連絡できるようにするための構成可能な文字列。この文字列にデフォルト値はありません。 例:Contact your Help Desk at help@org.com or call 1-800-xxx-xxxx(ヘルプデスク(help@org.com)に連絡するか、1-800-xxx-xxxxまでお電話ください)。 |
REG_SZ | 空白 |
| ExcludePasswordCredProvider | デフォルトでは、標準のWindowsパスワード資格情報プロバイダーは無効化されます。Windows資格情報プロバイダーを表示するには、この値を0に設定します。エンドユーザー向けにWindowsパスワード資格情報プロバイダーが復元されます。 | REG_DWORD | 空白 |
| CredProvidersToExclude | カスタム資格情報プロバイダーは、プロバイダーのGUID(たとえば、{60b78e88-ead8-445c-9cfd-0b87f74ea6cd})を指定することでフィルタリングできます。このキーによって除外される資格情報プロバイダーはエンドユーザーに表示されません。 OktaDesktop MFA資格情報プロバイダーは、このキーを使っても非表示にできないことに注意してください。 |
REG_MULTI_SZ | 空白 |
コマンドラインパラメーターを使ってOkta Verifyインストーラーを2回目に実行しても、レジストリキーのパラメーターは変更されません。Okta Verifyパラメーターを変更するには、PowerShellを使ってキーの値を更新します。