WindowsDesktop MFAの復旧を有効にする

早期アクセスリリース

ユーザーがOkta Verifyに登録されているMFAデバイスまたは別のAuthenticatorにアクセスできないため自分のコンピューターにサインインできない場合は、アクセスの回復に管理者のサポートが必要になります。Desktop MFAの復旧が有効になっていると、ユーザーはIT管理者に連絡して時間制限のあるデバイス復旧PINを受け取り、コンピューターへの一時的なアクセスを付与されます。

デバイス、ユーザー、リクエストの認証を完了するためのポリシーまたは手順を実装していない場合、この機能を使用すると攻撃対象領域が増加する可能性があります。

ユーザーは、コンピューターへのアクセスを回復した後、管理者が設定した期間、復旧PINを使用できます。ユーザーは、コンピューターへの安全なアクセスを維持するためにできる限り早くOkta Verifyに登録されたMFAデバイスを復旧するか、新しいMFAデバイスを登録する必要があります。

開始する前に

  • Desktop MFAの復旧をセットアップする前に、デバイスアクセス証明書を構成します。

  • システムにOkta Verifyアプリとデバイスアクセス証明書をインストールした後、ユーザーのコンピューターは少なくとも1回はオンラインになっている必要があります。

  • ポリシーパラメーターUseDirectAuth1(有効)に設定します。

  • デバイスがオンラインになって登録され、UseDirectAuthポリシーが有効になった後、ユーザーは少なくとも1回はシステムへサインインする必要があります。

  • ユーザーが、ポリシーパラメーターDeviceRecoveryValidityInDaysを使用して定義された期間内にサインインしない場合、システムは自動的に回復シークレットを再生成します。

  • スーパー管理者、ヘルプデスク管理者、およびorg管理者には、復旧PINを作成または表示するための適切な権限が必要です。「標準的な管理者ロールと権限」を参照してください。

  • カスタム管理者ロールを使用している場合は、[Generate device recovery PIN(デバイス復旧PINを生成)]権限を割り当てます。「ロールの権限」を参照してください。

    この権限を有効化するには、Admin Console[Settings(設定)][Features(機能)]に移動して、[Enable custom admin roles for Okta Device Access permissions(Okta Device Access権限のカスタム管理者ロールを有効化)]および[Enable custom admin roles for device permissions(デバイス権限のカスタム管理者ロールを有効化)]を有効にします。

Desktop MFAの復旧を有効にする

Desktop MFAの復旧を有効にした後、適切な権限を持つ管理者は復旧PINを生成してユーザーと共有できます。ユーザーが2分の時間制限内に適切な復旧PINを入力しなかった場合、PINは有効期限切れになり、新しいPINの生成が必要になります。

  1. Admin Consoleで、[Security(セキュリティ)][General(一般)]の順に進みます。

  2. [Okta Device Access]セクションまでスクロールします。

  3. [Edit(編集)]をクリックします。この機能を有効にするには、スーパー管理者アクセスが必要です。[Edit(編集)]ボタンが表示されない場合は、管理者アカウントのアクセスレベルを確認してください。

  4. [Enable Device Recovery PIN for Desktop MFA(Desktop MFAのデバイス回復PINを有効にする)]で、ドロップダウンメニューから[Enabled(有効)]を選択します。

  5. [Save(保存)]をクリックします。

Desktop MFAの復旧のポリシーパラメーターを構成する

次のパラメーターをデバイスポリシーの構成に追加します。

  • DeviceRecoveryPINDuration:デバイス復旧PINがアクティベート後に有効な期間(分)。「名前:DeviceRecoveryPINDuration」を参照してください。

  • DeviceRecoveryValidityInDays:復旧PINの生成に使用されるデバイス復旧シークレットのローテーション頻度。「名前:DeviceRecoveryValidityInDays」を参照してください。

orgでDesktop MFAの復旧を有効にした後、MDMを使用して構成をデバイスにプッシュします。

デバイス復旧PINを使用する

デバイスでDesktop MFAの復旧が有効になっている場合、ユーザーは管理者に連絡してデバイス復旧PINを受け取ることができます。

  1. ユーザーが組織のIT部門に連絡した場合、IT管理者は会社のポリシーに従ってユーザーのIDを手動で確認する必要があります。

  2. ユーザーに、アクセスできないコンピューターのモデル、メーカー、シリアル番号を提供してもらいます。この情報により、デバイスが適切なアカウントに関連付けられていることが確認されます。ユーザーに[Contact your administrator(管理者に問い合わせてください)]というプロンプトが表示されます。

  3. ユーザーのIDとデバイスを確認したら、Admin Consoleを開き、[Directory(ディレクトリ)] [Devices(デバイス)]に移動します。ユーザーのコンピューター情報には、[Directory(ディレクトリ)] [People(ユーザー)] [User(ユーザー)] [Devices(デバイス)]からアクセスすることもできます。

  4. シリアル番号、コンピューター名、ユーザーの名前を使用してユーザーのコンピューターを見つけ、そのデバイスをクリックして詳細情報を表示します。

  5. [デバイスの復旧]列で、[View Recovery PIN(復旧PINを表示)]をクリックします。ユーザーの名前と、デバイス復旧PINを生成することの意味に関する警告を含むメッセージが表示されます。警告を確認したら、[Generate device recovery PIN(デバイス復旧PINを作成)]をクリックします。PINは2分間有効です。

  6. PINをユーザーと共有し、PINを入力できる時間は2分間で、その時間を過ぎるとPINが有効期限切れになることをユーザーに知らせます。ユーザーがPINを使って自分のコンピューターにサインインできることを確認します。

    ユーザーがコンピューターへのアクセスに成功すると、PINはMDMとDeviceRecoveryPINDuration設定で構成された期間有効になります。この期間をIT部門と共有します。

    PINが機能しない場合は、有効期限が切れている可能性があるため、再生成してください。「Windows向けDesktop MFAポリシーを構成してデプロイする」を参照してください。

  7. 任意。ユーザーがOkta Verifyに登録されたMFAデバイスを所有していない場合は、[Reset authenticators(Authenticatorをリセット)]をクリックしてユーザーのAuthenticator構成を更新します。こうすることで、ユーザーはMFA用の新しいデバイスを登録できるようになります。

  8. ユーザーに、PINの有効期限が切れる前にOkta Verifyに登録されたMFAデバイスを復旧するか、新しいMFAデバイスを登録するように指示します。PINの有効期限が切れた場合、ユーザーはIT部門に連絡して新しいデバイス復旧PINを受け取る必要があります。これにより、DeviceRecoveryPINDurationタイマーが再開します。

既知の制限

  • orgのデバイスインベントリから以前登録した Windowsコンピューターを削除した場合、システム上でDesktop MFAの復旧を有効にすることはできません。このシナリオでは、WindowsコンピューターにOkta Verifyを再インストールしてデバイスインベントリに戻す必要があります。その後、Desktop MFAに登録できます。

  • ユーザーがオフライン要素を登録していないためにシステムからロックアウトされた場合、サインイン画面にDesktop MFAの復旧ボタンは表示されません。ユーザーアクセスを一時的に付与するには、MaxLoginsWithOfflineFactorレジストリキーを増やし、ポリシーを再デプロイします。

関連項目

macOCにDesktop MFAの復旧を有効にする

Desktop MFA for Windows

Windows Desktop MFAユーザーをサポートする

Windows向けDesktop MFAのユーザーエクスペリエンス