Windows用のDesktop MFAアプリ統合を構成する
Desktop MFA for Windowsは、コンピューターへのアクセスを許可する前にユーザーに追加の認証を求めることで、Windowsのサインインプロセスにセキュリティレイヤーを追加します。Desktop MFA for Windowsの構成とデプロイメントが完了すると、ユーザーは、IDを検証するための認証方法を1つ以上セットアップするように求められます。ユーザーは、サインイン制限(構成可能)内に認証方法を少なくとも1つセットアップする必要があります。制限を超過すると、ユーザーはコンピューターからロックアウトされ、管理者の介入なしではアクセスを回復できなくなります。
Admin ConsoleでDesktop MFAを構成し、モバイルデバイス管理(MDM)ソリューションを使ってデプロイします。これにより、パッケージ化された1つのインストーラーがデスクトップコンピューターにプッシュされます。ユーザーエクスペリエンスは、有効にしたオプションと、Okta orgの認証ポリシーの構成に応じて異なります。Desktop MFAでは、以下のAuthenticatorがサポートされます。
-
オンライン:Okta Verifyプッシュ、Okta Verifyワンタイムパスワード。
-
オフライン:Okta Verifyワンタイムパスワード、YubiKeyバージョン5.0以降(OATHのサポートあり)。
Desktop MFA for Windowsでは、パスワードなしログインも使用できます。有効にすると、ユーザーは登録済みのモバイルデバイスに配信されるプッシュ通知に応答することで、認証を受けてデスクトップコンピューターにアクセスできます。
はじめに
次の要件が満たされていることを確認します。
-
Okta Identity Engine orgを利用できる。
-
Active DirectoryまたはAzure Active Directoryが構成されている。
-
Windows仮想マシンまたはデバイスがActive DirectoryまたはAzure Active Directoryに接続されている。リモートデスクトッププロトコル(RDP)アクセスがサポートされていない。
-
orgでOkta Verify Authenticatorがセットアップされている。
-
Okta VerifyPush通知が有効である。
-
ユーザーのモバイルデバイスにOkta Verifyがインストールされている。
-
Group PolicyやSCCMなどのMDMソリューションがセットアップされ、利用可能である。
-
エンドポイントにWindows 10バージョン1709以降、またはWindows 11がインストールされている。
-
.NET 4.8がインストールされている。
Desktop MFAを作成して構成する前に、以下の点に注意してください。
-
リモートデスクトッププロトコル(RDP)はサポートされません。
-
YubiKeyをご利用の場合は、OAuthがサポートされるシリーズ5以上である必要があります。YubiKey Bioはサポートされません。
-
Windows Serverをご利用の場合は、バージョン2019以降である必要があります。Windows Serverでのオフライン認証では、YubiKeyはサポートされません。
-
Windows Serverでのオフライン認証では、YubiKeyはサポートされません。
-
インストールの完了後、インストール済みプログラムのリストにOkta Verifyインスタンスが2つ表示される場合があります。
-
Okta Verifyをダウングレードすることはできません。
タスク
Desktop MFAアプリ統合を作成して構成する
-
Oktaテナントにスーパー管理者としてサインインします。
-
管理コンソールでに移動し、[Interaction Code(インタラクションコード)]チェックボックスが選択されていることを確認します。
-
Admin Consoleで、に移動します。
-
[Browse App Catalog(アプリカタログを参照)]をクリックし、Desktop MFAを探します。
-
[Add integration(統合を追加)]をクリックします。
「This feature isn’t enabled(この機能は有効化されていません)」というエラーメッセージが返されるときは、アカウント担当者に連絡してください。
-
[General Settings(一般設定)]ページでアプリケーションラベルを編集します。デフォルト値を受け入れるときは、[Done(完了)] をクリックします。Okta Verify統合アプリが作成されます。
-
アプリをクリックして構成します。
-
[Sign On(サインオン)]タブで[Settings(設定)]セクションに移動し、[Edit(編集)]をクリックします。[Application username format(アプリケーション ユーザー名の形式)]ドロップダウンメニューをクリックし、次の形式から組織に適したものを1つ選択します。ドロップダウンメニューに表示される形式は、orgの構成に基づいて決まります。
-
ADユーザープリンシパル名
-
AD従業員ID
-
AD SAMアカウント名
-
AD SAMアカウント名+ドメイン
-
ADユーザープリンシパル名のプレフィックス
-
カスタム
-
メール
-
メールのプレフィックス
-
Okta
-
Oktaユーザー名のプレフィックス
[Application username format(アプリケーションユーザー名の形式)]は、デバイスへのサインインに使用されるユーザー名です。ユーザー名の形式を指定すると、Okta Verifyがサインインするユーザーに正しい要素を要求できるようになります。
Entra ID(以前のAzure Active Directory)環境の場合は、[AD user principal name(ADユーザープリンシパル名)]を使用します。Active Directoryまたはハイブリッド環境の場合は、[AD SAM account name(AD SAMアカウント名)]を使用します。ユーザー名がOktaですでに使用されているものと同じである場合は、[Okta username prefix(Oktaユーザー名のプレフィックス)]を使用します。
お使いの環境がAzure Active DirectoryおよびActive Directory参加デバイスの混合型である場合は、異なるユーザー名形式に対処するために個別のDesktop MFAインスタンスを作成する必要があります。
-
-
[Assignments(割り当て)]タブで、関連ユーザーまたはセキュリティグループにアプリを割り当てます。
-
[General(一般)]タブで[Client Credentials(クライアントの資格情報)] セクションに移動し、クライアントのIDとシークレットを探します。IDとシークレットは、アプリ統合の作成時に生成されます。これらの値をメモしておきます。MDMソリューションを使ってDesktop MFA for Windowsをデプロイする時に必要になります。
-
-
[Save(保存)]をクリックします。
Desktop MFAアプリを統合すると、Desktop MFA認証ポリシーがorgに追加されます。このポリシーは、Desktop MFAを使ってサインインしようとしているユーザーが特定の条件を満たしているかどうかを検証し、それらの条件に基づいて要素の要件を強制適用します。Desktop MFA認証ポリシーは、いかなる理由があろうと変更してはなりません。必要な場合は、orgのニーズを満たす別の認証ポリシーを作成できます。「認証ポリシー」を参照してください。
PINまたは生体認証をユーザー検証に使用できるようにする
ユーザーのパスワードなしサインインエクスペリエンスを構成できます。この機能では、ユーザーがPINまたは生体認証を使用してIDを確認する必要があります。Desktop MFAアプリが統合された後にorgに追加されるDesktop MFA認証ポリシーで所有要素の制限が有効になっていることを確認します。このポリシーは、Desktop MFAを使ってサインインしようとしているユーザーが特定の条件を満たしているかどうかを検証し、それらの条件に基づいて要素の要件を強制適用します。
パスワードなしサインイン機能を有効にする前に、プッシュ通知で生体認証を構成するオプションを確認します。詳細については、「認証ポリシー」と「生体認証によるユーザー検証」を参照してください。
Okta Verify for Windowsをダウンロードする
Desktop MFAは、デバイスの登録とユーザーの認証にOkta Verifyを使用するOkta Device Accessの一部です。Admin Consoleで、に移動し、[Okta Verify for Windows (.exe)]をダウンロードします。Okta Verifyパッケージは、アプリストアからではなくAdmin Consoleからダウンロードする必要があります。Okta Device Access製品が有効化されている組織であれば、Desktop MFAを構成、デプロイできます。詳しくは、アカウント担当者までお問い合わせください。
次の手順
Desktop MFA for Windowsをエンドポイントにデプロイする