Desktop MFA for Windowsのトラブルシューティング

Desktop MFA for Windowsをトラブルシューティングするには、前提条件が満たされている必要があります。

サインインの問題

オフラインサインイン方式のセットアップ時にユーザーの試行回数がサインイン制限(デフォルトでは50)を超過すると、ユーザーはWindowsにサインインできなくなります。ユーザーには、「Your organization requires an offline method to verify your identity.(組織は、ID検証のためのオフライン方式を必須としています。)You don't have an offline method set up.(オフライン方式がセットアップされていません。)An administrator must update your machine.(管理者がマシンを更新する必要があります。)」というメッセージが表示されます。管理者の詳しい連絡先は、AdminContactInfoレジストリキーを編集することでメッセージに追加できます。「Desktop MFAポリシーを構成する」を参照してください。

この問題を解決するには、次のオプションの使用を検討してください。

  • MDMソリューションまたはグループポリシーを使ってMfaRequiredListポリシーを変更します。

    • リストからユーザーを削除するか、リストをに設定します。

    • ユーザーのコンピューターに設定をプッシュします。

    • 新しいグループポリシーが有効化され、レジストリが更新されるように、ユーザーに再起動を求めます。

  • カウンターをリセットするか、影響を受けるユーザーのエントリを削除します。ユーザーのサインイン試行は、HKLM\Software\Okta\Okta Device Access\User Policies\<upn username>で追跡されます。ユーザープリンシパル名(UPN)にはドメインのサフィックスは含まれません。UPNがuser@domain.comであれば、レジストリキーのパスはHKLM\Software\Okta\Okta Device Access\User Policies\user@domainとなります。ユーザー固有のレジストリキーには、LoginsWithOfflineFactorCounterLoginsWithoutEnrolledFactorsCounterというサインインカウンターがあります。影響を受けるユーザーのレジストリキー(現在の例ではHKLM\Software\Okta\Okta Device Access\User Policies\user@domain)を削除する、サインインカウンターをゼロに設定する、または両方を行います。ユーザーがオンライン認証方式を使ってサインインに成功すると、LoginsWithOfflineFactorCounterは0にリセットされます。

  • ユーザーのLoginsWithOfflineFactorCounterの値がMaxLoginsWithOfflineFactorの設定値を超過すると、ユーザーはサインインにオフライン方式を使用できなくなります。この値を0にリセットすると、ユーザーはオフライン方式を使ってログインできるようになります。

  • ユーザーがすべてのサインイン制限を超過したときは、ユーザーのLoginsWithoutEnrolledFactorsCounterを0にリセットします。これにより、ユーザーは登録済みの認証方式を使わずにサインインし、必要なオフライン認証方式を作成できます。

  • すべてのオフライン登録を削除するには、C:\Windows\System32\config\systemprofile\appdata\local\Okta Device AccessからOktaDeviceAccessData.dat.dbファイルを削除します。これにより、すべてのオフライン登録が削除され、オフライン認証方式の再登録がユーザーに求められます。

デバイスの問題

ユーザーが電話またはYubiKeyを喪失し、オンライン方式(Okta VerifyPushまたはOTP)がまだセットアップされていない場合、サインイン制限内であってもユーザーは自分のコンピューターにアクセスできなくなります。この問題を解決するには、次のオプションの使用を検討してください。

  • MDMソリューションまたはグループポリシーを使ってMfaRequiredListポリシーを変更します。

    1. リストからユーザーを削除するか、リストをに設定します。

    2. ユーザーのコンピューターに設定をプッシュします。

    3. 新しいグループポリシーが有効化され、レジストリが更新されるように、ユーザーに再起動を求めます。

  • ユーザーのオンライン認証方式をリセットし、新しいオンライン方式の登録をユーザーに求めます。

ユーザーに関連するユーザー名が変更されると、Okta Verifyは、そのユーザーが新規ユーザーであり、既存のオフライン要素が機能しないものと見なします。Desktop MFAを使ってオフラインアクセスするには、ユーザーは自分のオフライン方式を再登録する必要があります。

その他の問題

  • Okta FastPassおよびWebAuthnを使ったサインイン方式はサポートされません。

  • Desktop MFAでは、番号チャレンジは機能しません。

  • Desktop MFAのログは、ユーザーのデスクトップコンピューターのC:\Windows\System32\config\systemprofile\AppData\Local\Okta Device Access\Logsにローカルに保存されます。

  • インストールの完了後、インストール済みプログラムのリストにOkta Verifyインスタンスが2つ表示される場合があります。

  • 現時点では、Okta Verifyをダウングレードすることはできません。

  • コマンドラインパラメーターを使ってOkta Verifyインストーラーを2回目に実行しても、レジストリキーのパラメーターは変更されません。Okta Verifyパラメーターを変更するには、PowerShellを使ってキーの値を更新します。