Windows Desktop MFAのユーザーエクスペリエンス
Desktop MFAは、ユーザーに多要素認証を使用して本人確認を行うよう求めることで、Windowsデスクトップコンピューターのセキュリティ体制を強化します。ユーザーは、アプリとデータにアクセスする前に、オフライン確認方法を構成する必要があります。このオフライン確認方法により、ユーザーはインターネット接続がないときにコンピューターに安全にアクセスできます。
セットアップの前に、ユーザーは以下の要件を満たしている必要があります。
-
ユーザーはモバイルデバイスにOkta Verifyがインストールしておく必要があります。Okta Verifyは事前にインストールすることも、Desktop MFAのセットアップの一環としてインストールすることもできます。
-
ユーザーはモバイルデバイスでOkta Verifyプッシュ通知を有効にしておく必要があります。
Desktop MFAを構成してデプロイしたら、ユーザーのセットアップとサインインプロセスを確認し、ロールアウトについて連絡する準備を整え、サポートの詳細を確認します。
ユーザーのセットアップ
-
コンピューターを起動またはスリープ解除した後、ユーザーはWindowsにサインインするよう促されます。この時点で、Desktop MFAはユーザーがサインインするためのオフライン認証方法を登録済みかどうか確認します。オフライン登録が見つからない場合、Desktop MFAはユーザーに確認方法を追加するよう求め、ユーザーがコンピューターからロックアウトされるまでの残りのサインイン試行回数を表示します。
-
ユーザーは、登録するオフライン確認方法として、[Offline one-time password(オフラインのワンタイムパスワード)]または[OfflineYubiKey(オフラインのYubiKey)]のいずれかを選択します。[Set up(セットアップ)]をクリックすると、ユーザーはOkta Verifyがインストールされていることを確認するよう求められます。ユーザーがOkta Verifyをインストールしていない場合は、ソフトウェアをインストールするための適切なアプリストアリンクを選択できます。
-
[Offline one-time password(オフラインのワンタイムパスワード)]:Okta Verifyがインストールされていることを確認した後、ユーザーは[Next(次へ)]をクリックし、 Okta Verifyアプリからスキャンする必要があるQRコードを表示します。ユーザーは、Okta Verifyに表示されるオフラインのワンタイムパスワードを入力するよう求められます。Windowsデバイス名が付いたオフラインのワンタイムパスワードアカウントがOkta Verifyに追加されます。このアカウントは、ユーザーがオフラインのときにユーザーを確認するために使用できます。認証方法が正しく追加されたことを確認する、「You can sign in to Windows with "Offline one-time password"(「オフラインのワンタイムパスワード」を使用してWindowsにサインインできます)」というメッセージが表示されます。
-
オフラインのYubiKey:Okta Verifyがインストールされていることを確認した後、ユーザーは[Next(次へ)]をクリックします。ユーザーは、YubiKeyを挿入してタップすることで、デバイスとユーザー自身を確認するよう求められます。これにより、Windowsデバイス名が付いたオフラインのYubiKeyアカウントがOkta Verifyに追加されます。このアカウントは、ユーザーがオフラインのときにユーザーを確認するために使用できます。認証方法が正しく追加されたことを確認する、「You can sign in to Windows with "Offline YubiKey"(「オフラインのYubiKey」を使用してWindowsにサインインできます)」というメッセージが表示されます。
-
ユーザー認証
コンピューターを起動またはスリープ解除した後、ユーザーはユーザー名を入力するか、ユーザーを選択してパスワードを入力するよう求められます。次に、本人確認を行うための認証方法を選択する必要があります。ユーザーが複数の認証方法をセットアップしている場合は、使用可能な任意の方法を選択できます。MFAオプションは、Okta Verify Push、Okta Verifyワンタイムパスワード、オフラインワンタイムパスワード、オフラインYubiKeyです。Okta Verify Pushは、インターネット接続がある場合にのみ使用できます。
認証方法を選択したら、検証リクエストを完了する必要があります。
-
[Okta Verify push notification(Okta Verifyプッシュ通知)]で[Send push(プッシュを送信)]をクリックします。モバイルデバイスをチェックし、Okta Verifyアプリでサインイン試行を確認します。
-
[Okta Verify one-time password(Okta Verifyワンタイムパスワード)]の場合はモバイルデバイスでOkta Verifyを開き、ワンタイムパスワードを探します。サインインフィールドに数値を入力し、矢印をクリックして先に進みます。
-
番号チャレンジを強制適用した場合は、認証ポリシーに関係なく、検証のためにユーザーに送信されるすべてのプッシュ通知が番号チャレンジになります。「Desktop MFAに対して番号チャレンジを強制適用する」を参照してください。
-
-
[Offline one-time password(オフラインのワンタイムパスワード)]の場合はモバイルデバイスでOkta Verifyを開き、ワンタイムパスワードを探します。Windowsのサインインフィールドに数値を入力し、矢印をクリックして先に進みます。
-
[Offline(オフラインの)]YubiKeyの場合はプロンプト時にYubiKeyを挿入またはタップします。
認証が成功すると、ユーザーはWindowsコンピューターにアクセスできるようになります。ユーザーがWindowsコンピューターに次回サインインするときには、前回使ったMFA方式が自動的に選択されます。ユーザーが別の認証方法を選択するには、[別の方法を試す]をクリックし、ドロップダウンメニューを使って本人確認のための別の方法を選択します。
デスクトップパスワードなしログイン
パスワードなしログインオプションが有効になっている場合、ユーザーはプッシュ通知に応答することで、パスワードを入力せずにWindowsコンピューターにサインインできます。
ユーザー要件
- Windowsコンピューターがオンラインになっていること。
- ユーザーがOkta Verifyに登録しており、プッシュ通知を有効にしていること。
- ユーザーのOkta Verify アカウントで生体認証が有効になっていること。
パスワードなしアクセスを使用するには、Windowsコンピューターがオンラインになっている必要があります。ユーザーは引き続き有効なパスワードを保持します。このパスワードは、プッシュ通知が使用できない場合、コンピューターがオフラインの場合、またはパスワードなしサインインに失敗した場合に使用できます。
パスワードなしログインが有効になると、ユーザーはユーザー名(必要な場合)とパスワードを使用してWindowsコンピューターにサインインします。認証に成功すると、ユーザーはパスワードなしログインに暗黙的に登録されます。ユーザーが次回サインインするときには、プッシュ通知が登録済みのモバイルデバイスに送信されます。プッシュ通知に正常に応答すると、ユーザーはパスワードを入力せずにコンピューターにアクセスできるようになります。
Windowsコンピューターがオフラインの場合、ユーザーはパスワードなしログインに登録している場合でも、サインインするためにパスワードを入力する必要があります。
ユーザーのパスワードがリセットされると、パスワードなしログインを機能させるため、ユーザーは次回のサインイン試行の際にパスワードの入力を求められます。
SamAccountName(SAM)とUserPrincipalName(UPN)が一致しない場合、ユーザーは次回のサインイン時にパスワードをもう一度入力するよう求められます。その後、パスワードなしアクセスが再開します。
セルフサービスによるパスワードのリセット
セルフサービスによるパスワードリセットオプションが有効になっている場合、ユーザーはパスワードを忘れた場合にパスワードリセットを開始できます。パスワードをリセットするには、ユーザーがオンラインでなければなりません。
ユーザーがパスワードを忘れ場合は、Windowsコンピューターで[Forgot password?(パスワードを忘れた場合)]ボタンをクリックします。ユーザーは、モバイルデバイスのOkta VerifyでIDを確認するよう求められます。ユーザーのIDが確認されたら、Windowsコンピューターで新しいパスワードを入力するよう求められます。この新しいパスワードはパスワード要件を満たしている必要があり、パスワードの選択を核にするために2回入力します。パスワードが正常に変更されると、「パスワードが変更されました」というメッセージがユーザーに表示されます。コンピューターへのアクセスを続行するには、[OK]をクリックします。
Oktaユーザー名がSamAccountName(SAM)またはUserPrincipalName(UPN)のどちらとも一致しない場合、セルフサービスによるパスワードリセットは利用できません。詳細については、「Desktop MFAアプリ統合を作成して構成する」を参照してください。