Windows向けDesktop MFA

Windows向けOkta Desktop MFAは、Windowsのサインインプロセスにセキュリティレイヤーを追加します。これにより、ユーザーは物理または仮想のWindowsマシンにアクセスするために、追加の要素を使用してIDを証明する必要があります。

Admin ConsoleでDesktop MFAを構成した後、モバイルデバイス管理（MDM）ソリューションを使ってデプロイします。これにより、パッケージ化された1つのインストーラーがデスクトップコンピューターにプッシュされます。ユーザーエクスペリエンスは、有効化したオプションと、orgの認証ポリシーの構成に応じて異なります。

Desktop MFAでは、以下のAuthenticatorがサポートされます。

• オンライン：Okta Verifyプッシュ、Okta Verify TOTO（時間ベースのワンタイムパスワード）、またはFIDO2セキュリティキー。

• オフライン：Okta Verify TOTPまたはOATH準拠のセキュリティキー。

Windows向けDesktop MFAの追加機能：

• デスクトップパスワード自動入力：ユーザーはパスワードレスで認証して、Windowsシステムにアクセスできるようになります。ユーザーは、登録済みのモバイルデバイスのプッシュ通知に応答して、またはFIDO2セキュリティキーを使用して認証します。

• セルフサービスによるパスワードリセット：ユーザーはWindowsサインイン画面から直接パスワードリセットを開始できます。この機能は、ロックアウトを防ぎ、ITヘルプデスクの負担を軽減するのに役立ちます。

開始する前に

次の要件が満たされていることを確認します。

• Azure DirectoryまたはMicrosoft Entra IDが構成されている。

• Windows仮想マシンまたはデバイスがActive DirectoryまたはMicrosoft Entra IDに接続されている。リモートデスクトッププロトコル（RDP）アクセスがサポートされていない。

• orgでOkta Verify Authenticatorがセットアップされている。

• Okta Verifyのプッシュ通知が有効になっている。

• ユーザーのモバイルデバイスにOkta Verifyがインストールされている。

• Group PolicyやSCCMなどのMDMソリューションがセットアップされ、利用可能である。

• エンドポイントにWindows 10バージョン1709以降、またはWindows 11がインストールされている。

• .NET 4.8がインストールされている。

• セキュリティ上の理由から、OktaはOkta Verifyとそのエンドポイント間のトラフィックの検査や変更を許可していません。SSLプロキシを使用するときは、組織のデフォルトのOktaドメインを検査から除外します。Oktaドメインは、通常は*.okta.comまたは*.oktapreview.comです。Oktaドメインの完全なリストについては、「Okta IPアドレスへのアクセスを許可する」を参照してください。

タスク

Desktop MFAのタスクは2つのセクションに分かれています。まず、管理者側でDesktop MFAアプリをセットアップし構成します。その後、ユーザーのサインインエクスペリエンスをカスタマイズすることができます。

Desktop MFAのセットアップ

• WindowsにDesktop MFAアプリを作成して構成する

• Okta Verify for Windowsをダウンロードする

• Desktop MFAをWindowsエンドポイントにデプロイする

• Windows向けDesktop MFAポリシーを構成してデプロイする

ユーザーエクスペリエンスを構成する

• 任意。Windowsにセルフサービスによるパスワードリセットを有効にする

• 任意。Windows向けDesktop MFAに番号チャレンジを強制適用する

• 任意。Desktop MFA for WindowsにFIDO2キーの使用を構成する

• 任意。Windowsにデスクトップパスワード自動入力を構成する

• 任意。WindowsにDesktop MFAの復旧を有効にする