Desktop MFAポリシーを構成する

Desktop MFAがどのように機能するかを定義する外部ポリシーは、Windowsエンドポイントレジストリキーに構成されます。レジストリキーを使用して追加の機能を有効化できます。

このページ上

レジストリキーを構成する

PowerShellスクリプトを作成し、MDMソリューションを使ってレジストリキーをエンドポイントにデプロイします。詳細については、Microsoftドキュメントで「Use PowerShell scripts on Windows 10/11 devices in Intune(Intune内のWindows 10/11デバイスでのPowerShellスクリプトの使用)」を参照してください。

レジストリキーは、HKLM\Software\Policies\Okta\Okta Device Accessに保存されます。

初回インストールの後、PowerShellを使ってレジストリキーパラメーターをアップデートできます。コマンドラインパラメーターを使ってOkta Verifyインストーラーを2回目に実行しても、既存のレジストリキーのパラメーターは変更されません。

値名 説明 デフォルト値
MFARequiredList パスワード以外にMFAも使って認証する必用があるユーザーグループまたはActive Directoryグループのリスト。このリストに含まれないユーザー(ローカルユーザーを含む)は、MFAを使って認証する必用はありません。リストが空であれば、ユーザーはMFAを使用せずにWindowsにサインインできます。

個々のユーザーを指定するユーザー名の形式は、username@domain.comです。グループについては、グループ名のみを指定します。

コンピューターがオンライン状態になって組織のディレクトリに接続する(直接、またはVPNを使用)際に、ユーザーは少なくとも1回はWindowsにサインインする必要があります。これにより、ユーザーのActive Directoryグループメンバーシップが解決されます。

このリストのユーザーは、パスワードなしエクスペリエンスを使用してサインインする資格があります。リストに含まれていないユーザーがデスクトップコンピューターにアクセスするには、パスワードを入力する必要があります。

 REG_MULTI_SZ * MFAはすべてのユーザーに適用されます
MFABypassList このリストのユーザーはMFAで認証する必要はありません。ユーザーがMFARequiredListMFABypassListの両方にリストされている場合は、MFABypassListが優先されます。 REG_MULTI_SZ
MaxLoginsWithoutEnrolledFactors ユーザーがMFA方式を使わずにWindowsにサインインできる回数を定義します。このポリシーにより、新規ユーザーは設定されている回数だけMFA方式のセットアップを延期できます。

ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。

ユーザーがこの制限内にあり、特定のパスワードなし要素をまだ設定していない場合は、別の有効なオプションを使用するよう求められます。その他のオプションが使用できない場合、ユーザーはアクセスするためにパスワードを入力するよう求められます。

 REG_DWORD 50
MaxLoginsWithOfflineFactor ユーザーがインターネットアクセスなしのオフラインMFA方式を使ってWindowsにサインインできる回数を定義します。このポリシーは、コンピューターがオンライン状態でユーザーが認証にオフラインMFA方式を使用する場合も適用されます。

ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。代わりにオンラインサインイン方式を使って認証できるように、ユーザーにはインターネットへの接続が求められます。

 REG_DWORD 50
MFAGracePeriodInMinutes コンピューターのロック後にユーザーがMFAを使用する必要がない猶予期間の長さ(単位は分)を定義します。MFAGracePeriodInMinutes0に設定した場合、ユーザーはサインインのたびにMFAを使ったID検証を求められます。

猶予期間は、コンピューターのロック時にのみ適用されます。ユーザーアカウントを切り替えた、またはコンピューターを再起動した場合、ユーザーはMFAを使ったID検証を求められます。

REG_DWORD

60
AdminContactInfo ユーザーがコンピューターからロックアウトされた場合に管理者に連絡できるようにするための構成可能な文字列。この文字列にデフォルト値はありません。

例:Contact your Help Desk at help@org.com or call 1-800-xxx-xxxx(ヘルプデスク(help@org.com)に連絡するか、1-800-xxx-xxxxまでお電話ください)

 REG_SZ
ExcludePasswordCredProvider デフォルトでは、標準のWindowsパスワード資格情報プロバイダーは無効化されます。Windows資格情報プロバイダーを表示するには、この値を0に設定します。エンドユーザー向けにWindowsパスワード資格情報プロバイダーが復元されます。 REG_DWORD
CredProvidersToExclude カスタム資格情報プロバイダーは、プロバイダーのGUID(たとえば、{60b78e88-ead8-445c-9cfd-0b87f74ea6cd})を指定することでフィルタリングできます。このキーによって除外される資格情報プロバイダーはエンドユーザーに表示されません。

Okta Desktop MFAの資格情報プロバイダーは、このキーを使っても非表示にできません。

 REG_MULTI_SZ
SelfServicePasswordResetEnabled

ユーザーがサインインパスワードを忘れた場合にパスワードリセットを開始できるようにします。セルフサービスによるパスワードリセットはデフォルトで無効になっています。

REG_DWORD

0
PasswordlessAccessEnabled

パスワードなしアクセスを有効にして、ユーザーがパスワード以外の要素を使用してデバイスに安全にサインインできるようにします。パスワードなしアクセスはデフォルトで無効になっています。

REG_DWORD

0

セルフサービスによるパスワードリセットを有効にする

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

セルフサービスによるパスワードリセットを使用すると、ユーザーがコンピューターからロックアウトされている場合にパスワードリセットを開始できます。セルフサービスによるパスワードリセットでは、ユーザーがオンラインである必要があります。ユーザーはインターネット接続なしにパスワードリセットを開始できません。セルフサービスによるパスワードリセットを有効にするには、SelfServicePasswordResetEnabled レジストリを1に設定します。この機能はデフォルトで無効になっています。セルフサービスによるパスワードリセット機能は次のユーザー向けに設計されています。

  • Oktaで作成されたユーザー

  • 代理認証を使用するActive Directoryユーザー

  • OktaがIDプロバイダーである(パスワードがOktaで設定されている)Azure Active Directoryユーザー

ユーザーがセルフサービスによるパスワードリセット機能を使用してパスワードを変更する場合は、Oktaパスワードを変更します。その後、変更したパスワードがActive DirectoryまたはAzure Active Directoryと同期されます。

セルフサービスによるパスワードリセットを有効にする前に、OktaパスワードポリシーとADエージェントパスワードポリシーが一致することを確認してください。「サインオンのポリシーとルール」を参照してください。

  1. Admin Console[Settings(設定)] [Features(機能)]を開きます。次の早期アクセス機能を見つけて有効にします。

    • 直接認証

    • IdPマイアカウントAPIパスワード

  2. [Security(セキュリティ)] [Authenticators]を開きます。[Password(パスワード)]行で、[Actions(アクション)] [Edit(編集)]をクリックします。

  3. [Add rule(ルールを追加)]ボタンがあるセクションまでスクロールします。鉛筆アイコンをクリックして、変更するポリシーのルールを編集します。

    • 任意:委任権限付与を使用する場合は、ポリシーがActive Directoryに適用されることを確認してください。[Authentication Providers(認証プロバイダー)]見出しの下で、ドロップダウンメニューを使用して[Active Directory]を選択します。

  4. [Users can perform self-service(ユーザーは次をセルフサービスで実行可能)]の横にある[Password reset(パスワードリセット)]オプションを有効にします。

  5. [Recovery authenticators(復旧Authenticator)]セクションで、[Okta Verify]が選択されていることを確認します。

  6. [Additional verification(追加の検証)][Not required(任意)]に設定します。追加の検証要件を設定すると、パスワードリセットオプションが失敗します。

  7. [Save(保存)]をクリックします。

Desktop MFAに対して番号チャレンジを強制適用する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Desktop MFAユーザーに対して番号チャレンジを強制適用できます。この機能を有効にすると、認証ポリシーに関係なくDesktop MFAに対するすべてのプッシュ通知が番号チャレンジになります。

詳しくは、アカウント担当者までお問い合わせください。

  1. Admin Consoleで、[Settings(設定)] [Features(機能)]に移動します。

  2. [Desktop MFAに対して番号チャレンジを強制適用する]を見つけ、トグルをクリックしてこの機能を有効にします。

これにより、orgのセキュリティが強化され、ユーザーはモバイルデバイスとコンピューターの両方を物理的に使用している場合にのみIDを確認できるようになります。

デスクトップパスワードなしログイン

早期アクセスリリース

デスクトップパスワードなしログインを有効にするには、PasswordlessAccessEnabledレジストリを1に設定します。この機能はデフォルトで無効になっています。

デスクトップパスワードなしログインが有効になっている場合、ユーザーは一IDを確認するために一度パスワードを使用してWindowsコンピューターにサインインする必要があります。それ以降は、プッシュ通知に応答することで、パスワードを入力せずにWindowsコンピューターにサインインできます。パスワードなしアクセスを使用するには、コンピューターがオンラインになっており、ユーザーがOkta Verifyプッシュ通知を有効にしている必要があります。ユーザーは引き続き有効なパスワードを保持します。このパスワードは、プッシュ通知が使用できない場合、コンピューターがオフラインの場合、またはパスワードなしサインインに失敗した場合に使用できます。

Windowsコンピューターがオフラインの場合、ユーザーはパスワードなしログインに登録している場合でも、サインインするためにパスワードを入力する必要があります。

生体認証によるユーザー検証

デスクトップパスワードなしログインを使用するには、Okta Verifyオプションで[User Verification with Biometrics(生体認証によるユーザー検証)]を有効にする必要があります。Okta Verifyオプションまたは認証ポリシーでユーザー検証が有効になっていない場合は、デスクトップパスワードなしログインを有効にしないでください。ユーザーが自分のモバイルデバイスで生体認証を有効にしているとは限らないからです。「Okta Verifyオプションの構成」を参照してください。

ユーザーが自分のモバイルデバイスでOkta Verifyの生体認証を有効にしていない場合は、生体認証が有効になっていないユーザーがOkta VerifyおよびDesktop MFAでパスワードなしサインインフローを使用できないようにorgのポリシーを構成してください。

生体認証が有効になっていない場合、ユーザーはオンライン要素を使用して認証できないため、コンピューターからロックアウトされます。さらに、認証ポリシーOkta Verifyオプションの両方で[User Verification with Biometrics(生体認証によるユーザー検証)]が無効になっている場合、ユーザーは単一要素認証を使用してデスクトップにサインインできます。これは推奨されません。例を参照してユーザー認証の予想される動作を判断し、orgのニーズを満たす方法を選択してください。

認証ポリシー:[User Verification with Biometrics(生体認証によるユーザー検証)] Okta Verifyオプション:[User Verification Required with biometrics only(生体認証のみでユーザー検証が必要)] Okta Verifyで生体認証が有効になっているユーザーエクスペリエンス Okta Verifyで生体認証が有効になっていないユーザーエクスペリエンス
有効でない 有効
  • ユーザーはパスワードなしプッシュで認証できます。

  • ユーザーはOkta Verifyワンタイムパスコードで認証できます。

  • セルフサービスによるパスワードリセットは成功します。

この構成は、安全な環境と優れたユーザーエクスペリエンスの最良のバランスを提供します。
  • パスワードなしプッシュ認証は失敗し、警告が表示されます。

  • Okta Verifyワンタイムパスコード検証は失敗し、警告が表示されます。

  • セルフサービスによるパスワードリセットは失敗します。
有効 有効
  • ユーザーはパスワードなしプッシュで認証できます。
  • Okta Verifyワンタイムパスコード検証オプションは表示されません。
  • セルフサービスによるパスワードリセットは成功します。
  • パスワードなしプッシュ認証は表示されません。

  • Okta Verifyワンタイムパスコード検証オプションは表示されません。

  • セルフサービスによるパスワードリセットは失敗します。

この構成では、オフライン認証要素のみが表示されます。ユーザーがオフライン認証要素を設定していない場合はサインインできません。
有効 有効でない
  • ユーザーはパスワードなしプッシュで認証できます。

  • Okta Verifyワンタイムパスコード検証オプションは表示されません。

  • セルフサービスによるパスワードリセットは成功します。
  • パスワードなしプッシュ認証は表示されません。

  • Okta Verifyワンタイムパスコード検証オプションは表示されません。

  • セルフサービスによるパスワードリセットは成功します。

この構成では、オフライン認証要素のみが表示されます。ユーザーがオフライン認証要素を設定していない場合はサインインできません。
有効でない 有効でない
  • ユーザーはパスワードなしプッシュで認証できます。

  • ユーザーはOkta Verifyワンタイムパスコードで認証できます。

  • セルフサービスによるパスワードリセットは成功します。

 この構成は推奨されません。認証ポリシーとOkta Verifyオプションの両方で[User Verification with Biometrics(生体認証によるユーザー検証)]が無効になっている場合、ユーザーは単一要素認証を使用してサインインでき、ユーザー検証は必要ありません。

次の手順

Windows Desktop MFAのユーザーエクスペリエンス

Desktop MFAユーザーをサポートする