Desktop MFA for Windowsを構成する
早期アクセスリリース。「早期アクセス機能とBeta機能を管理する」を参照してください。
Desktop MFA for Windowsは、コンピューターへのアクセスを許可する前にユーザーに追加の認証を求めることで、Windowsのサインインプロセスにセキュリティレイヤーを追加します。Desktop MFA for Windowsの構成とデプロイメントが完了すると、ユーザーは、IDを検証するための認証方法を1つ以上セットアップするように求められます。ユーザーは、サインイン制限(構成可能)内に認証方法を少なくとも1つセットアップする必要があります。制限を超過すると、ユーザーはコンピューターからロックアウトされ、管理者の介入なしではアクセスを回復できなくなります。
Okta管理コンソールでDesktop MFAを構成し、モバイルデバイス管理(MDM)ソリューションを使ってデプロイします。これにより、パッケージ化された1つのインストーラーがデスクトップコンピューターにプッシュされます。ユーザーエクスペリエンスは、有効にしたオプションと、Okta orgの認証ポリシーの構成に応じて異なります。
前提条件
次の要件が満たされていることを確認します。
-
Okta Identity Engine orgを利用できる。
-
Active DirectoryまたはAzure Active Directoryが構成され、エージェントが稼働している。
-
Windows仮想マシンまたはデバイスがActive DirectoryまたはAzure Active Directoryに接続されている。
-
orgでOkta Verifyオーセンティケーターがセットアップされている。
-
Okta VerifyPush通知が有効である。
-
ユーザーのモバイルデバイスにOkta Verifyがインストールされている。
-
Group PolicyやSCCMなどのMDMソリューションがセットアップされ、利用可能である。
-
エンドポイントにWindows 10バージョン1709以降、またはWindows 11がインストールされている。
-
.NET 4.8がインストールされている。
YubiKeyをご利用の場合は、OATHがサポートされるシリーズ5である必要があります。YubiKey Bioはサポートされません。
Windows Serverをご利用の場合は、2019以降である必要があります。Windows Serverへのオフラインアクセスでは、YubiKeyはサポートされません。
タスク
Desktop MFAアプリ統合を作成して構成する
-
管理コンソールで に移動し、[Interaction Code(インタラクションコード)]チェックボックスが選択されていることを確認します。
-
管理コンソールで、 に移動します。
-
[Browse App Catalog(アプリカタログを参照)]をクリックし、Desktop MFAを探します。
-
[Add integration(統合を追加)]をクリックします。
「This feature isn’t enabled(この機能は有効化されていません)」というエラーメッセージが返されるときは、アカウント担当者に連絡してください。
-
[General Settings(一般設定)]ページでアプリケーションラベルを編集します。デフォルト値を受け入れるときは、[Done(完了)]をクリックします。Okta Verify統合アプリが作成されます。
-
アプリをクリックして構成します。
-
[Sign On(サインオン)]タブで[Settings(設定)]セクションに移動し、[Edit(編集)]をクリックします。[Application username format(アプリケーション ユーザー名の形式)]ドロップダウンメニューをクリックし、次のいずれかの形式を選択します。
-
AD従業員ID
-
AD SAMアカウント名
-
AD SAMアカウント名+ドメイン
-
ADユーザープリンシパル名のプレフィックス
-
カスタム
-
メール
-
メールのプレフィックス
-
Okta
-
Oktaユーザー名のプレフィックス
-
-
[Assignments(割り当て)]タブで、関連ユーザーまたはセキュリティグループにアプリを割り当てます。
-
[General(一般)]タブで[Client Credentials(クライアントの資格情報)] セクションに移動し、クライアントのIDとシークレットを探します。IDとシークレットは、アプリ統合の作成時に生成されます。これらの値をメモしておきます。MDMソリューションを使ってDesktop MFA for Windowsをデプロイする時に必要になります。
-
-
[Save(保存)]をクリックします。
Okta Verify for Windowsをダウンロードする
Desktop MFAは、デバイスの登録とユーザーの認証にOkta Verifyを使用するOkta Device Accessの一部です。Okta管理コンソールで、 に移動し、Okta Verify for Windows (.exe)をダウンロードします。Okta Device Access製品が有効化されている組織であれば、Desktop MFAを構成、デプロイできます。詳しくは、アカウント担当者までお問い合わせください。