Desktop MFA for Windowsを構成する

早期アクセスリリース。「早期アクセス機能とBeta機能を管理する」を参照してください。

Desktop MFA for Windowsは、コンピューターへのアクセスを許可する前にユーザーに追加の認証を求めることで、Windowsのサインインプロセスにセキュリティレイヤーを追加します。Desktop MFA for Windowsの構成とデプロイメントが完了すると、ユーザーは、IDを検証するための認証方法を1つ以上セットアップするように求められます。ユーザーは、サインイン制限(構成可能)内に認証方法を少なくとも1つセットアップする必要があります。制限を超過すると、ユーザーはコンピューターからロックアウトされ、管理者の介入なしではアクセスを回復できなくなります。

Okta管理コンソールDesktop MFAを構成し、モバイルデバイス管理(MDM)ソリューションを使ってデプロイします。これにより、パッケージ化された1つのインストーラーがデスクトップコンピューターにプッシュされます。ユーザーエクスペリエンスは、有効にしたオプションと、Okta orgの認証ポリシーの構成に応じて異なります。

前提条件

次の要件が満たされていることを確認します。

  • Okta Identity Engine orgを利用できる。

  • Active DirectoryまたはAzure Active Directoryが構成され、エージェントが稼働している。

  • Windows仮想マシンまたはデバイスがActive DirectoryまたはAzure Active Directoryに接続されている。

  • orgでOkta Verifyオーセンティケーターがセットアップされている。

  • Okta VerifyPush通知が有効である。

  • ユーザーのモバイルデバイスにOkta Verifyがインストールされている。

  • Group PolicyやSCCMなどのMDMソリューションがセットアップされ、利用可能である。

  • エンドポイントにWindows 10バージョン1709以降、またはWindows 11がインストールされている。

  • .NET 4.8がインストールされている。

YubiKeyをご利用の場合は、OATHがサポートされるシリーズ5である必要があります。YubiKey Bioはサポートされません。

Windows Serverをご利用の場合は、2019以降である必要があります。Windows Serverへのオフラインアクセスでは、YubiKeyはサポートされません。

タスク

Desktop MFAアプリ統合を作成して構成する

  1. 管理コンソール[Settings(設定)][Account(アカウント)][Embedded widget sign-in support(組み込みウィジェットサインインサポート)]に移動し、[Interaction Code(インタラクションコード)]チェックボックスが選択されていることを確認します。

  2. 管理コンソールで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  3. [Browse App Catalog(アプリカタログを参照)]をクリックし、Desktop MFAを探します。

  4. [Add integration(統合を追加)]をクリックします。

    This feature isn’t enabled(この機能は有効化されていません)」というエラーメッセージが返されるときは、アカウント担当者に連絡してください。

  5. [General Settings(一般設定)]ページでアプリケーションラベルを編集します。デフォルト値を受け入れるときは、[Done(完了)]をクリックします。Okta Verify統合アプリが作成されます。

  6. アプリをクリックして構成します。

    1. [Sign On(サインオン)]タブで[Settings(設定)]セクションに移動し、[Edit(編集)]をクリックします。[Application username format(アプリケーション ユーザー名の形式)]ドロップダウンメニューをクリックし、次のいずれかの形式を選択します。

      • AD従業員ID

      • AD SAMアカウント名

      • AD SAMアカウント名+ドメイン

      • ADユーザープリンシパル名のプレフィックス

      • カスタム

      • メール

      • メールのプレフィックス

      • Okta

      • Oktaユーザー名のプレフィックス

    2. [Assignments(割り当て)]タブで、関連ユーザーまたはセキュリティグループにアプリを割り当てます。

    3. [General(一般)]タブで[Client Credentials(クライアントの資格情報)] セクションに移動し、クライアントのIDとシークレットを探します。IDとシークレットは、アプリ統合の作成時に生成されます。これらの値をメモしておきます。MDMソリューションを使ってDesktop MFA for Windowsをデプロイする時に必要になります。

  7. [Save(保存)]をクリックします。

Okta Verify for Windowsをダウンロードする

Desktop MFAは、デバイスの登録とユーザーの認証にOkta Verifyを使用するOkta Device Accessの一部です。Okta管理コンソールで、[Settings(設定)] [Downloads(ダウンロード)]に移動し、Okta Verify for Windows (.exe)をダウンロードします。Okta Device Access製品が有効化されている組織であれば、Desktop MFAを構成、デプロイできます。詳しくは、アカウント担当者までお問い合わせください。

次の手順

Desktop MFA for Windowsをエンドポイントにデプロイする

Desktop MFAポリシーを構成する