Windows向けDesktop MFAのユーザーエクスペリエンス
Desktop MFAは、ユーザーに多要素認証を使用して本人確認を行うよう求めることで、Windowsデスクトップコンピューターのセキュリティ体制を強化します。
ユーザーは、アプリとデータにアクセスする前に、オフライン確認方法を構成する必要があります。このオフライン確認方法により、ユーザーはインターネット接続がないときにコンピューターに安全にアクセスできます。
orgのWindowsポリシーでオフラインサインインフローが無効になっている(OfflineLoginAllowedが0に設定されている)場合、ユーザーはオフライン方式を登録できません。ただし、オンライン認証方法を登録すれば、ユーザーは引き続きサインインできます。
セットアップの前に、ユーザーは以下の要件を満たしている必要があります。
-
モバイルデバイスにOkta Verifyがインストールされている。Okta Verifyは事前にインストールすることも、Desktop MFAのセットアップの一環としてインストールすることもできます。
-
モバイルデバイスでOkta Verifyプッシュ通知を有効にしている。
Desktop MFAを構成してデプロイしたら、ユーザーのセットアップとサインインフローのプロセスを確認し、デプロイのための通信準備を整え、サポートの詳細を確認します。
ユーザーのセットアップ
-
コンピューターを開始した後、ユーザーはWindowsにサインインするよう促されます。この時点で、Desktop MFAはユーザーがサインインするためのオフライン認証方法を登録済みかどうか確認します。オフライン登録が見つからない場合、Desktop MFAはユーザーに確認方法を追加するよう求めます。また、ユーザーがコンピューターからロックアウトされるまでの残りのサインイン試行回数も表示されます。
-
ユーザーは、登録するオフライン確認方法として、オフラインのワンタイムパスワード(Offline one-time password)またはオフラインのセキュリティキー(Offline security key)のいずれかを選択します。
-
ユーザーがセットアップ(Set up)をクリックすると、Okta Verifyがインストールされていることを確認するよう求められます。ユーザーがOkta Verifyをインストールしていない場合は、ソフトウェアをインストールするための適切なアプリストアリンクを選択できます。
-
オフラインのワンタイムパスワード(Offline one-time password):ユーザーがOkta Verifyのインストールを確認すると、Okta VerifyアプリでスキャンするQRコードを表示します。ユーザーは、Okta Verifyに表示されるオフラインのワンタイムパスワードを入力するよう求められます。Windowsデバイス名が付いたオフラインのワンタイムパスワード(Offline one-time password)アカウントがOkta Verifyに追加されます。このアカウントは、ユーザーがオフラインのときにユーザーを確認するために使用できます。認証方法が正しく追加されたことを確認するメッセージが表示されます。
-
オフラインのセキュリティキー(Offline security key):Okta Verifyがインストールされていることを確認した後、ユーザーは次へ(Next)をクリックします。ユーザーは、キーを挿入してタップすることで、デバイスとユーザー自身を確認するよう求められます。これにより、Windowsデバイス名が付いたオフラインのセキュリティキー(Offline security key)アカウントがOkta Verifyに追加されます。このアカウントは、ユーザーがオフラインのときにユーザーを確認するために使用できます。認証方法が正しく追加されたことを確認するメッセージが表示されます。
-
ユーザー認証
コンピューターを開始した後、システムは、ユーザー名を入力するか、ユーザーを選択してパスワードを入力するように求めます。次に、本人確認を行うための認証方法を選択する必要があります。
ユーザーが複数の認証方法を構成している場合は、使用可能な任意の方法を選択できます。
MFAオプションは次のとおりです。
-
Okta Verify Push通知Okta Verify
-
Okta Verifyワンタイムパスコード
-
RSAトークン
-
セキュリティキー(USB)
-
ワンタイムパスワードのオフライン設定
-
OAuthのサポートがあるオフラインのセキュリティキー。
Okta Verifyプッシュ通知、Okta Verifyワンタイムパスコード、RSAトークン、FIDO2キーはインターネット接続がある場合にのみ使用できます。
認証方法を選択したら、検証リクエストを完了する必要があります。
-
Okta Verifyプッシュ通知(Okta Verify push notification)の場合は、プッシュを送信(Send push)をクリックします。モバイルデバイスをチェックし、Okta Verifyアプリでサインイン試行を確認します。
-
Okta Verifyワンタイムパスコード(Okta Verify one-time passcode)の場合は、モバイルデバイスでOkta Verifyを開き、ワンタイムパスコードを探します。サインインフィールドに数字を入力し、矢印をクリックして先に進みます。
番号チャレンジの強制適用を有効にした場合は、アプリサインインポリシーに関係なく、検証のためにユーザーに送信されるすべてのプッシュ通知が番号チャレンジになります。Windows向けDesktop MFAに番号チャレンジを強制適用するを参照してください。
-
RSA SecurIDトークンの場合は、ハードウェアに表示されるトークンコードまたはソフトウェアトークンを入力します。orgでユーザー定義のPINが必要な場合は、トークンコードの前にPINを含めます。間にスペースを入れないでください。
-
セキュリティキー(USB)(Security key (USB))の場合は、PINが必要です。セキュリティキーをUSBポートに挿入し、キーのPINを入力します。キーが検証されると、ユーザーはデバイスにアクセスするためにセキュリティキーをタップするように求められます。
-
オフラインのワンタイムパスワード(Offline one-time password)の場合は、モバイルデバイスでOkta Verifyを開き、ワンタイムパスコードを探します。Windowsのサインインフィールドに数字を入力し、矢印をクリックして先に進みます。Windows
-
オフラインセキュリティキー(Offline security key)の場合は、指示に従ってセキュリティキーを挿入またはタップします。
認証が成功すると、ユーザーはWindowsコンピューターにアクセスできるようになります。WindowsユーザーがWindowsに次回サインインするときには、前回使ったMFA方式が自動的に選択されます。ユーザーが別の認証方法を選択するには、別の方法を試す(Try another way)をクリックし、ドロップダウンメニューを使って本人確認のための別の方法を選択する必要があります。
デスクトップパスワードの自動入力
デスクトップパスワードの自動入力オプションを有効にしている場合、ユーザーはプッシュ通知に応答するか、FIDO2キーを使用して、パスワードを入力せずにWindowsにサインインできます。
ユーザー要件
-
デスクトップパスワードの自動入力を機能させるには、Windowsコンピューターがオンラインになっている必要があります。コンピューターがオフラインの場合でも、ユーザーはパスワードを入力できる。
-
ユーザーに、認証要素としてOkta VerifyプッシュまたはFIDO2キーが登録されていること。
-
Okta Verifyプッシュを使用する場合は、ユーザーのOkta Verifyアカウントで生体認証が有効になっている。
初回のサインインフロー
ユーザーがWindowsコンピューターに初めてサインインするときは、ユーザー名(必要な場合)、パスワード、要素チャレンジを入力します。このチャレンジは、生体認証を使用したOkta Verify PushまたはPINを使用したFIDO2セキュリティキーのいずれかを使用して実行できます。
認証に成功すると、ユーザーはデスクトップパスワードの自動入力に登録されます。
以降のサインインフロー
次回ユーザーがコンピューターにサインインする際は、要素チャレンジによる認証のみで済みます。ユーザーがOkta Verify Pushを使用して登録した場合は、登録済みのモバイルデバイスにプッシュ通知が送信されます。同様に、FIDO2キーを使用する場合、ユーザーはFIDO2キーに設定されたPINを入力する必要があります。
ユーザーがプッシュ通知に応答するか、FIDO2キーのPINを入力すると、パスワードを必要とせずにコンピューターにアクセスできるようになります。
次のいずれかの条件に該当する場合、システムはユーザーの次回サインイン試行時にパスワードの入力を求めます。
- ユーザーのパスワードがリセットされている
- ユーザーのOktaユーザー名が
SamAccountName(SAM)に一致しない - ユーザーのOktaユーザー名が
UserPrincipalName(UPN)に一致しない
Windowsコンピューターがオフラインの場合や、パスワードの自動入力が何らかの理由で失敗した場合、ユーザーはパスワードを入力してサインインできます。
セルフサービスによるパスワードのリセット
セルフサービスによるパスワードリセットオプションが有効になっている場合、ユーザーはパスワードを忘れた場合にパスワードリセットを開始できます。パスワードをリセットするには、ユーザーがオンラインでなければなりません。
ユーザーがパスワードを忘れた場合は、Windowsコンピューターでパスワードを忘れた場合(Forgot password)をクリックします。ユーザーは、モバイルデバイスのOkta VerifyでIDを確認するよう求められます。
ユーザーのIDが確認されたら、新しいパスワードを入力するよう求められます。この新しいパスワードはパスワード要件を満たしている必要があります。パスワードが正常に変更されると、Your password has been changedというメッセージがユーザーに表示されます。
Oktaユーザー名がSamAccountName(SAM)とUserPrincipalName(UPN)のどちらとも一致しない場合は、セルフサービスによるパスワードリセットは利用できません。
次の手順