Desktop MFAポリシーを構成する

早期アクセスリリース。「早期アクセス機能とBeta機能を管理する」を参照してください。

Desktop MFAがどのように機能するかを定義するポリシーは、Windowsエンドポイントレジストリキーに構成されます。

PowerShellスクリプトを作成し、MDMソリューションを使ってレジストリキーをエンドポイントにデプロイします。詳細については、Microsoftドキュメントで「Use PowerShell scripts on Windows 10/11 devices in Intune(Intune内のWindows 10/11デバイスでのPowerShellスクリプトの使用)」を参照してください。

レジストリキーは、HKLM\Software\Policies\Okta\Okta Device Accessに保存されます。

値名 説明 デフォルト値
MfaRequiredList パスワード以外にMFAも使って認証する必用があるユーザーグループまたはActive Directoryグループのリスト。このリストに含まれないユーザー(ローカルユーザーを含む)は、MFAを使って認証する必用はありません。リストが空であれば、ユーザーはMFAを使用せずにWindowsにサインインできます。

個々のユーザーを指定するユーザー名の形式は、username@domain.comです。グループについては、グループ名のみを指定します。

コンピューターがオンライン状態になって組織のディレクトリに接続する(直接、またはVPNを使用)際に、ユーザーは少なくとも1回はWindowsにサインインする必要があります。これにより、ユーザーのActive Directoryグループメンバーシップが解決されます。

REG_MULTI_SZ * MFAはすべてのユーザーに適用されます
MaxLoginsWithoutEnrolledFactors ユーザーがMFA方式を使わずにWindowsにサインインできる回数を定義します。このポリシーにより、新規ユーザーは設定されている回数だけMFA方式のセットアップを延期できます。

ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。

REG_DWORD 50
MaxLoginsWithOfflineFactor ユーザーがインターネットアクセスなしのオフラインMFA方式を使ってWindowsにサインインできる回数を定義します。このポリシーは、コンピューターがオンライン状態でユーザーが認証にオフラインMFA方式を使用する場合も適用されます。

ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。代わりにオンラインサインイン方式を使って認証できるように、ユーザーにはインターネットへの接続が求められます。

REG_DWORD 50
MFAGracePeriodInMinutes コンピューターのロック後にユーザーがMFAを使用する必要がない猶予期間の長さ(単位は分)を定義します。MFAGracePeriodInMinutes0に設定した場合、ユーザーはログインのたびにMFAを使ったID検証を求められます。

猶予期間は、コンピューターのロック時にのみ適用されます。ユーザーアカウントを切り替えた、またはコンピューターを再起動した場合、ユーザーはMFAを使ったID検証を求められます。

REG_DWORD

60
AdminContactInfo ユーザーがコンピューターからロックアウトされた場合に管理者に連絡できるようにするための構成可能な文字列。この文字列にデフォルト値はありません。

例:Contact your Help Desk at help@org.com or call 1-800-xxx-xxxx(ヘルプデスク(help@org.com)に連絡するか、1-800-xxx-xxxxまでお電話ください)

REG_SZ 空白
ExcludePasswordCredProvider デフォルトでは、標準のWindowsパスワード資格情報プロバイダーは無効化されます。Windows資格情報プロバイダーを表示するには、この値を0に設定します。エンドユーザー向けにWindowsパスワード資格情報プロバイダーが復元されます。 REG_DWORD 空白
CredProvidersToExclude カスタム資格情報プロバイダーは、プロバイダーのGUID(たとえば、{60b78e88-ead8-445c-9cfd-0b87f74ea6cd})を指定することでフィルタリングできます。このキーによって除外される資格情報プロバイダーはエンドユーザーに表示されません。

OktaDesktop MFA資格情報プロバイダーは、このキーを使っても非表示にできないことに注意してください。

REG_MULTI_SZ 空白

コマンドラインパラメーターを使ってOkta Verifyインストーラーを2回目に実行しても、レジストリキーのパラメーターは変更されません。Okta Verifyパラメーターを変更するには、PowerShellを使ってキーの値を更新します。

関連項目

Desktop MFA for Windowsのトラブルシューティング