Desktop MFAアプリ統合を構成する

Desktop MFA for Windowsは、コンピューターへのアクセスを許可する前にユーザーに追加の認証を求めることで、Windowsのサインインプロセスにセキュリティレイヤーを追加します。Desktop MFA for Windowsの構成とデプロイメントが完了すると、ユーザーは、IDを検証するための認証方法を1つ以上セットアップするように求められます。ユーザーは、サインイン制限(構成可能)内に認証方法を少なくとも1つセットアップする必要があります。制限を超過すると、ユーザーはコンピューターからロックアウトされ、管理者の介入なしではアクセスを回復できなくなります。

Admin ConsoleDesktop MFAを構成し、モバイルデバイス管理(MDM)ソリューションを使ってデプロイします。これにより、パッケージ化された1つのインストーラーがデスクトップコンピューターにプッシュされます。ユーザーエクスペリエンスは、有効にしたオプションと、Okta orgの認証ポリシーの構成に応じて異なります。Desktop MFAでは、以下のAuthenticatorがサポートされます。

  • オンライン:Okta Verifyプッシュ、Okta Verifyワンタイムパスワード。

  • オフライン:Okta Verifyワンタイムパスワード、YubiKeyバージョン5.0以降(OATHのサポートあり)。

はじめに

次の要件が満たされていることを確認します。

  • Okta Identity Engine orgを利用できる。

  • Active DirectoryまたはAzure Active Directoryが構成されている。

  • Windows仮想マシンまたはデバイスがActive DirectoryまたはAzure Active Directoryに接続されている。

  • orgでOkta Verify Authenticatorがセットアップされている。

  • Okta VerifyPush通知が有効である。

  • ユーザーのモバイルデバイスにOkta Verifyがインストールされている。

  • Group PolicyやSCCMなどのMDMソリューションがセットアップされ、利用可能である。

  • エンドポイントにWindows 10バージョン1709以降、またはWindows 11がインストールされている。

  • .NET 4.8がインストールされている。

YubiKeyをご利用の場合は、OATHがサポートされるシリーズ5以上である必要があります。YubiKey Bioはサポートされません。

Windows Serverをご利用の場合は、バージョン2019以降である必要があります。Windows Serverでのオフライン認証では、YubiKeyはサポートされません。

Desktop MFAを作成して構成する前に、以下の点に注意してください。

  • Windows Serverでのオフライン認証では、YubiKeyはサポートされません。

  • Desktop MFAでは、番号チャレンジはサポートされません

  • インストールの完了後、インストール済みプログラムのリストにOkta Verifyインスタンスが2つ表示される場合があります。

  • Okta Verifyをダウングレードすることはできません。

タスク

Desktop MFAアプリ統合を作成して構成する

  1. Admin Console[Settings(設定)][Account(アカウント)][Embedded widget sign-in support(組み込みウィジェットサインインサポート)]に移動し、[Interaction Code(インタラクションコード)]チェックボックスが選択されていることを確認します。

  2. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  3. [Browse App Catalog(アプリカタログを参照)]をクリックし、Desktop MFAを探します。

  4. [Add integration(統合を追加)]をクリックします。

    This feature isn’t enabled(この機能は有効化されていません)」というエラーメッセージが返されるときは、アカウント担当者に連絡してください。

  5. [General Settings(一般設定)]ページでアプリケーションラベルを編集します。デフォルト値を受け入れるときは、[Done(完了)] をクリックします。Okta Verify統合アプリが作成されます。

  6. アプリをクリックして構成します。

    1. [Sign On(サインオン)]タブで[Settings(設定)]セクションに移動し、[Edit(編集)]をクリックします。[Application username format(アプリケーション ユーザー名の形式)]ドロップダウンメニューをクリックし、次の形式から組織に適したものを1つ選択します。ドロップダウンメニューに表示される形式は、orgの構成に基づいて決まります。

      • AD従業員ID

      • AD SAMアカウント名

      • AD SAMアカウント名+ドメイン

      • ADユーザープリンシパル名のプレフィックス

      • カスタム

      • メール

      • メールのプレフィックス

      • Okta

      • Oktaユーザー名のプレフィックス

      アプリケーションユーザー名の形式は、デバイスへのサインインに使用されるユーザー名です。ユーザー名の形式を指定すると、Okta Verifyがサインインするユーザーに正しい要素を要求できるようになります。たとば、orgにActive Directoryが構成されている場合、ユーザーはドメイン\ユーザー名またはユーザー名@ドメインでサインインします。

      ユーザー名がOktaですでに使用されているものと同じである場合は、Oktaユーザー名のプレフィックスを使用することを推奨します。Otherwise, use AD SAMアカウント名またはADユーザープリンシパル名のプレフィックスを使用してください。ただし、ADユーザープリンシパル名のプレフィックスは、UPNプレフィックスがSAMアカウント名に一致する場合にのみ機能します。

      お使いの環境がAzure参加型である場合、ユーザーは通常、UPN(ユーザープリンシパル名)を使用してサインインします。これはAzureAD\user@domain.comまたはuser@domain.comという形式にすることができます。Oktaでは、Azure Active DirectoryにはOktaユーザー名プレフィックスを使用することを推奨します。

      お使いの環境がAzure Active DirectoryおよびActive Directory参加デバイスの混合型である場合は、異なるユーザー名形式に対処するために個別のDesktop MFAインスタンスを作成する必要があります。ハイブリッド環境は現在サポートされていません。

    2. [Assignments(割り当て)]タブで、関連ユーザーまたはセキュリティグループにアプリを割り当てます。

    3. [General(一般)]タブで[Client Credentials(クライアントの資格情報)] セクションに移動し、クライアントのIDとシークレットを探します。IDとシークレットは、アプリ統合の作成時に生成されます。これらの値をメモしておきます。MDMソリューションを使ってDesktop MFA for Windowsをデプロイする時に必要になります。

  7. [Save(保存)]をクリックします。

Desktop MFAアプリを統合すると、Desktop MFA認証ポリシーがorgに追加されます。このポリシーは、Desktop MFAを使ってサインインしようとしているユーザーが特定の条件を満たしているかどうかを検証し、それらの条件に基づいて要素の要件を強制適用します。Desktop MFA認証ポリシーは、いかなる理由があろうと変更してはなりません。必要な場合は、orgのニーズを満たす別の認証ポリシーを作成できます。「認証ポリシー」を参照してください。

Okta Verify for Windowsをダウンロードする

Desktop MFAは、デバイスの登録とユーザーの認証にOkta Verifyを使用するOkta Device Accessの一部です。Admin Consoleで、[Settings(設定)] [Downloads(ダウンロード)]に移動し、Okta Verify for Windows (.exe)をダウンロードします。Okta Verifyパッケージは、アプリストアからではなくAdmin Consoleからダウンロードする必要があります。Okta Device Access製品が有効化されている組織であれば、Desktop MFAを構成、デプロイできます。詳しくは、アカウント担当者までお問い合わせください。

次の手順

Desktop MFAをエンドポイントにデプロイする

Desktop MFAポリシーを構成する