Desktop MFAポリシーを構成する
Desktop MFAがどのように機能するかを定義する外部ポリシーは、Windowsエンドポイントレジストリキーに構成されます。レジストリキーを使用して追加の機能を有効化します。
このページ上
レジストリキーを構成する
PowerShellスクリプトを作成し、MDMソリューションを使ってレジストリキーをエンドポイントにデプロイします。詳細については、Microsoftドキュメントで「Use PowerShell scripts on Windows 10/11 devices in Intune(Intune内のWindows 10/11デバイスでのPowerShellスクリプトの使用)」を参照してください。
レジストリキーは、HKLM\Software\Policies\Okta\Okta Device Accessに保存されます。
初回インストールの後、PowerShellを使ってレジストリキーパラメーターをアップデートできます。コマンドラインパラメーターを使ってOkta Verifyインストーラーを2回目に実行しても、既存のレジストリキーのパラメーターは変更されません。
値名 | 説明 | 値 | デフォルト値 | ||||||||||||
MFARequiredList | パスワード以外にMFAも使って認証する必用があるユーザーグループまたはActive Directoryグループのリスト。このリストに含まれないユーザー(ローカルユーザーを含む)は、MFAを使って認証する必用はありません。リストが空であれば、ユーザーはMFAを使用せずにWindowsにサインインできます。 個々のユーザーを指定するユーザー名の形式は、username@domain.comです。グループについては、グループ名のみを指定します。 コンピューターがオンライン状態になって組織のディレクトリに接続する(直接、またはVPNを使用)際に、ユーザーは少なくとも1回はWindowsにサインインする必要があります。これにより、ユーザーのActive Directoryグループメンバーシップが解決されます。 このリストのユーザーは、パスワードなしエクスペリエンスを使用してサインインする資格があります。リストに含まれていないユーザーがデスクトップコンピューターにアクセスするには、パスワードを入力する必要があります。 |
REG_MULTI_SZ | * MFAはすべてのユーザーに適用されます | ||||||||||||
MFABypassList |
このリストのユーザーはMFAで認証する必要はありません。ユーザーがMFARequiredListとMFABypassListの両方にリストされている場合は、MFABypassListが優先されます。 個々のユーザーを指定するユーザー名の形式は、username@domain.comです。グループについては、グループ名のみを指定します。 |
REG_MULTI_SZ | 空 | ||||||||||||
MaxLoginsWithoutEnrolledFactors | ユーザーがMFA方式を使わずにWindowsにサインインできる回数を定義します。このポリシーにより、新規ユーザーは設定されている回数だけMFA方式のセットアップを延期できます。 ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。 ユーザーがこの制限内にあり、特定のパスワードなし要素をまだ設定していない場合は、別の有効なオプションを使用するよう求められます。その他のオプションが使用できない場合、ユーザーはアクセスするためにパスワードを入力するよう求められます。 MaxLoginsWithoutEnrolledFactorsを0に設定した場合、ユーザーにオフライン要素は登録されているがオンライン要素が登録されていないとき、オフライン要素を使用するよう求められます。 |
REG_DWORD | 50 | ||||||||||||
MaxLoginsWithOfflineFactor | ユーザーがインターネットアクセスなしのオフラインMFA方式を使ってWindowsにサインインできる回数を定義します。このポリシーは、コンピューターがオンライン状態でユーザーが認証にオフラインMFA方式を使用する場合も適用されます。 ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。代わりにオンラインサインイン方式を使って認証できるように、ユーザーにはインターネットへの接続が求められます。 |
REG_DWORD | 50 | ||||||||||||
MFAGracePeriodInMinutes | コンピューターのロック後にユーザーがMFAを使用する必要がない猶予期間の長さ(単位は分)を定義します。MFAGracePeriodInMinutesを0に設定した場合、ユーザーはサインインのたびにMFAを使ったID検証を求められます。 猶予期間は、コンピューターのロック時にのみ適用されます。ユーザーアカウントを切り替えた、またはコンピューターを再起動した場合、ユーザーはMFAを使ったID検証を求められます。 |
REG_DWORD |
60 | ||||||||||||
AdminContactInfo | ユーザーがコンピューターからロックアウトされた場合に管理者に連絡できるようにするための構成可能な文字列。この文字列にデフォルト値はありません。 例:Contact your Help Desk at help@org.com or call 1-800-xxx-xxxx(ヘルプデスク(help@org.com)に連絡するか、1-800-xxx-xxxxまでお電話ください)。 |
REG_SZ | 空 | ||||||||||||
ExcludePasswordCredProvider | デフォルトでは、標準のWindowsパスワード資格情報プロバイダーは無効化されます。Windows資格情報プロバイダーを表示するには、この値を0に設定します。エンドユーザー向けにWindowsパスワード資格情報プロバイダーが復元されます。 | REG_DWORD | 空 | ||||||||||||
CredProvidersToExclude | カスタム資格情報プロバイダーは、プロバイダーのGUID(たとえば、{60b78e88-ead8-445c-9cfd-0b87f74ea6cd})を指定することでフィルタリングできます。このキーによって除外される資格情報プロバイダーはエンドユーザーに表示されません。 Okta Desktop MFAの資格情報プロバイダーは、このキーを使っても非表示にできません。最も一般的な資格情報プロバイダーを除外するには、以下のGUIDを使用してください。
|
REG_MULTI_SZ | 空 | ||||||||||||
SelfServicePasswordResetEnabled |
この値は、ユーザーがサインインパスワードを忘れた場合にパスワードリセットを開始できるようにします。セルフサービスによるパスワードリセットはデフォルトで無効になっています。 |
REG_DWORD |
0 | ||||||||||||
PasswordlessAccessEnabled |
この値は、パスワードなしアクセスを有効にして、ユーザーがパスワード以外の要素を使用してデバイスに安全にサインインできるようにします。パスワードなしアクセスはデフォルトで無効になっています。 |
REG_DWORD | 0 | ||||||||||||
NetworkTimeoutInSeconds | この値は、検証のためのオンラインMFA要素のリストを取得する際のネットワークタイムアウトを秒単位で設定します。このタイムアウトは、ネットワークオペレーションのみに適用され、ユーザーインタラクションには適用されません。デフォルト値は15秒です。この設定は、ユーザーがDNSの断続的な停止やその他の接続の問題を抱えている場合に役立ちます。 最小値は5、最大値は60です。 |
REG_DWORD | 15 | ||||||||||||
OfflineLoginAllowed |
この値は、ユーザーがオフライン要素を使用してサインインできるかどうかを示します。ポリシーが1に設定されている場合は、使用可能なオフライン要素がユーザーに表示されます。 ポリシーがtrueで、OnlineLoginAllowedがfalseの場合は、オフライン要素のみがユーザーに表示され、ユーザーはそれを使用してサインインできます。この設定は、認証およびサインインフローにオフラインYubiKeyを使用したいと考えているorgに適しています。 |
REG_DWORD | 1 | ||||||||||||
OnlineLoginAllowed |
この値は、ユーザーがオンライン要素を使用してサインインできるかどうかを示します。ポリシーが1に設定されている場合、使用可能なオンライン要素がユーザーに表示されます。 ポリシーがtrueで、OfflineLoginAllowedがfalseの場合、オンライン要素のみがユーザーに表示され、ユーザーはそれを使用してサインインできます。オフライン要素は使用できません。 |
REG_DWORD |
1 | ||||||||||||
SelfServicePasswordResetErrorMessage | エンドユーザー向けのセルフサービスによるパスワードリセットのメッセージをカスタマイズするには、この値を使用します。 | REG_MULTI_SZ | パスワードを更新できません。入力した値がドメインの要件(長さ、複雑度、履歴)を満たしていません。 |
セルフサービスによるパスワードリセットを有効にする
セルフサービスによるパスワードリセットを使用すると、ユーザーがコンピューターからロックアウトされている場合にパスワードリセットを開始できます。ユーザーはインターネット接続なしにパスワードリセットを開始できません。セルフサービスによるパスワードリセットを有効にするには、SelfServicePasswordResetEnabled レジストリを1に設定します。この機能はデフォルトで無効になっています。セルフサービスによるパスワードリセット機能は次のユーザー向けに設計されています。
-
Oktaで作成されたユーザー
-
代理認証を使用するActive Directoryユーザー
-
OktaがIDプロバイダーである(パスワードがOktaで設定されている)Azure Active Directoryユーザー
ユーザーがセルフサービスによるパスワードリセット機能を使用してパスワードを変更する場合は、Oktaパスワードを変更します。その後、変更したパスワードがActive DirectoryまたはAzure Active Directoryと同期されます。
セルフサービスによるパスワードリセットを有効にする前に、OktaパスワードポリシーとADエージェントパスワードポリシーが一致することを確認してください。「サインオンのポリシーとルール」を参照してください。
-
Admin Consoleで、 に移動します。
-
IDPマイアカウントAPIパスワードを見つけて有効にします。
-
[Password(パスワード)]行で、 をクリックします。
を開きます。 -
[Add rule(ルールを追加)]ボタンがあるセクションまでスクロールします。鉛筆アイコンをクリックして、変更するポリシーのルールを編集します。
-
任意:委任権限付与を使用する場合は、ポリシーがActive Directoryに適用されることを確認してください。[Authentication Providers(認証プロバイダー)]見出しの下で、ドロップダウンメニューを使用して[Active Directory]を選択します。
-
-
[Users can perform self-service(ユーザーは次をセルフサービスで実行可能)]の横にある[Password reset(パスワードリセット)]オプションを有効にします。
-
[Recovery Authenticator(復旧Authenticator)]セクションで、[Okta Verify]が選択されていることを確認します。
-
[Additional verification(追加の検証)]を[Not required(任意)]に設定します。追加の検証要件を設定すると、パスワードリセットオプションが失敗します。
-
[Save(保存)]をクリックします。
Desktop MFAに対して番号チャレンジを強制適用する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
Desktop MFAユーザーに番号チャレンジを強制適用できます。この機能を有効にすると、認証ポリシーに関係なくDesktop MFA向けのすべてのプッシュ通知は番号チャレンジになります。
- Admin Consoleで、 の順に進みます。
- 「Okta Device Access」セクションを見つけます。
- [Edit(編集)]をクリックします。
- [Enforce number matching challenge for Desktop MFA(Desktop MFAに番号チャレンジを強制適用する)]の横のドロップダウンメニューを使って、[Enabled(有効)]を選択します。
- [Save(保存)]をクリックします。
これにより、orgのセキュリティが強化され、ユーザーはモバイルデバイスとコンピューターの両方を物理的に使用している場合にのみIDを確認できるようになります。
Okta Verifyの番号チャレンジは、Admin Consoleの次の2つの場所で有効にできます。
- [Enforce number challenge for Desktop MFA(Desktop MFAに番号チャレンジを強制適用する)]を有効にします。これを有効にすると、Desktop MFAを持つユーザーのみがプッシュ通知で番号チャレンジを受け取ります。 で
- Okta Verifyの[プッシュ通知:番号チャレンジ]を有効にします。これを構成すると、org全体のすべてのユーザーがプッシュ通知で番号チャレンジを受け取ります。詳細については、「Okta Verifyオプションの構成」を参照してください。 で
デスクトップパスワードなしログイン
デスクトップパスワードなしログインを有効にするには、PasswordlessAccessEnabledレジストリを1に設定します。この機能はデフォルトで無効になっています。
デスクトップパスワードなしログインが有効になっている場合、ユーザーは一IDを確認するために一度パスワードを使用してWindowsコンピューターにサインインする必要があります。それ以降は、プッシュ通知に応答することで、パスワードを入力せずにWindowsコンピューターにサインインできます。パスワードなしアクセスを使用するには、コンピューターがオンラインになっており、ユーザーがOkta Verifyプッシュ通知を有効にしている必要があります。ユーザーは引き続き有効なパスワードを保持します。このパスワードは、プッシュ通知が使用できない場合、コンピューターがオフラインの場合、またはパスワードなしサインインに失敗した場合に使用できます。
Windowsコンピューターがオフラインの場合、ユーザーはパスワードなしログインに登録している場合でも、サインインするためにパスワードを入力する必要があります。
生体認証によるユーザー検証
デスクトップパスワードなしログインを使用するには、Okta Verifyオプションで[User Verification with Biometrics(生体認証によるユーザー検証)]を有効にする必要があります。Okta Verifyオプションまたは認証ポリシーでユーザー検証が有効になっていない場合は、デスクトップパスワードなしログインを有効にしないでください。ユーザーが自分のモバイルデバイスで生体認証を有効にしているとは限らないからです。「Okta Verifyオプションの構成」を参照してください。
ユーザーが自分のモバイルデバイスでOkta Verifyの生体認証を有効にしていない場合は、生体認証が有効になっていないユーザーがOkta VerifyおよびDesktop MFAでパスワードなしサインインフローを使用できないようにorgのポリシーを構成してください。
生体認証が有効になっていない場合、ユーザーはオンライン要素を使用して認証できないため、コンピューターからロックアウトされます。さらに、認証ポリシーとOkta Verifyオプションの両方で[User Verification with Biometrics(生体認証によるユーザー検証)]が無効になっている場合、ユーザーは単一要素認証を使用してデスクトップにサインインできます。これは推奨されません。例を参照してユーザー認証の予想される動作を判断し、orgのニーズを満たす方法を選択してください。
認証ポリシー:[User Verification with Biometrics(生体認証によるユーザー検証)] | Okta Verifyオプション:[User Verification Required with biometrics only(生体認証のみでユーザー検証が必要)] | Okta Verifyで生体認証が有効になっているユーザーエクスペリエンス | Okta Verifyで生体認証が有効になっていないユーザーエクスペリエンス |
有効でない | 有効 |
この構成は、安全な環境と優れたユーザーエクスペリエンスの最良のバランスを提供します。 |
|
有効 | 有効 |
|
この構成では、オフライン認証要素のみが表示されます。ユーザーがオフライン認証要素を設定していない場合はサインインできません。 |
有効 | 有効でない |
|
この構成では、オフライン認証要素のみが表示されます。ユーザーがオフライン認証要素を設定していない場合はサインインできません。 |
有効でない | 有効でない |
|
この構成は推奨されません。認証ポリシーとOkta Verifyオプションの両方で[User Verification with Biometrics(生体認証によるユーザー検証)]が無効になっている場合、ユーザーは単一要素認証を使用してサインインでき、ユーザー検証は必要ありません。 |