Windows Desktop MFAのユーザーエクスペリエンス

Desktop MFAは、ユーザーに多要素認証を使用して本人確認を行うよう求めることで、Windowsデスクトップコンピューターのセキュリティ体制を強化します。ユーザーは、アプリとデータにアクセスする前に、オフライン確認方法を構成する必要があります。このオフライン確認方法により、ユーザーはインターネット接続がないときにコンピューターに安全にアクセスできます。

セットアップの前に、ユーザーは以下の要件を満たしている必要があります。

• モバイルデバイスにOkta Verifyがインストールされている。Okta Verifyは事前にインストールすることも、Desktop MFAのセットアップの一環としてインストールすることもできます。

• モバイルデバイスでOkta Verifyプッシュ通知を有効にしている。

Desktop MFAを構成してデプロイしたら、ユーザーのセットアップとサインインプロセスを確認し、ロールアウトについて連絡する準備を整え、サポートの詳細を確認します。

ユーザーのセットアップ

1. コンピューターを開始した後、ユーザーはWindowsにサインインするよう促されます。この時点で、Desktop MFAはユーザーがサインインするためのオフライン認証方法を登録済みかどうか確認します。オフライン登録が見つからない場合、Desktop MFAはユーザーに確認方法を追加するよう求めます。また、ユーザーがコンピューターからロックアウトされるまでの残りのサインイン試行回数も表示されます。

2. ユーザーは、登録するオフライン確認方法として、［Offline one-time password（オフラインのワンタイムパスワード）］または［Offline security key（オフラインのセキュリティキー）］のいずれかを選択します。

3. ユーザーが［Set up（セットアップ）］をクリックすると、Okta Verifyがインストールされていることを確認するよう求められます。ユーザーがOkta Verifyをインストールしていない場合は、ソフトウェアをインストールするための適切なアプリストアリンクを選択できます。

   • ［Offline one-time password（オフラインのワンタイムパスワード）］：ユーザーがOkta Verifyのインストールを確認すると、Okta VerifyアプリでスキャンするQRコードを表示します。ユーザーは、Okta Verifyに表示されるオフラインのワンタイムパスワードを入力するよう求められます。Windowsデバイス名が付いたオフラインのワンタイムパスワードアカウントがOkta Verifyに追加されます。このアカウントは、ユーザーがオフラインのときにユーザーを確認するために使用できます。認証方法が正しく追加されたことを確認するメッセージが表示されます。

   • オフラインのセキュリティキー：Okta Verifyがインストールされていることを確認した後、ユーザーは［Next（次へ）］をクリックします。ユーザーは、キーを挿入してタップすることで、デバイスとユーザー自身を確認するよう求められます。これにより、Windowsデバイス名が付いたオフラインのセキュリティキーアカウントがOkta Verifyに追加されます。このアカウントは、ユーザーがオフラインのときにユーザーを確認するために使用できます。認証方法が正しく追加されたことを確認するメッセージが表示されます。

ユーザー認証

コンピューターを開始した後、システムは、ユーザー名を入力するか、ユーザーを選択してパスワードを入力するように求めます。次に、本人確認を行うための認証方法を選択する必要があります。

ユーザーが複数の認証方法をセットアップしている場合は、使用可能な任意の方法を選択できます。

MFAオプションは次のとおりです。

• Okta Verify Push通知

• Okta Verifyワンタイムパスワード

• セキュリティキー（USB）

• オフラインのワンタイムパスワード

• OATHのサポートがあるオフラインのセキュリティキー

Okta Verifyプッシュ通知、Okta Verifyワンタイムパスワード、FIDO2キーはインターネット接続がある場合にのみ使用できます。

認証方法を選択したら、検証リクエストを完了する必要があります。

• ［Okta Verify push notification（Okta Verifyプッシュ通知）］で［Send push（プッシュを送信）］をクリックします。モバイルデバイスをチェックし、Okta Verifyアプリでサインイン試行を確認します。

• ［Okta Verify one-time password（Okta Verifyワンタイムパスワード）］の場合はモバイルデバイスでOkta Verifyを開き、ワンタイムパスワードを探します。サインインフィールドに数字を入力し、矢印をクリックして先に進みます。

  番号チャレンジの強制適用を有効にした場合は、認証ポリシーに関係なく、検証のためにユーザーに送信されるすべてのプッシュ通知が番号チャレンジになります。「Desktop MFAに対して番号チャレンジを強制適用する」を参照してください。

• セキュリティキー（USB）にはPINが必要です。セキュリティキーをUSBポートに挿入し、キーのPINを入力します。キーが検証されると、ユーザーはデバイスにアクセスするためにセキュリティキーをタップするように求められます。

• ［Offline one-time password（オフラインのワンタイムパスワード）］の場合はモバイルデバイスでOkta Verifyを開き、ワンタイムパスワードを探します。Windowsのサインインフィールドに数字を入力し、矢印をクリックして先に進みます。

• ［Offline security key（オフラインセキュリティキー）］の場合は、指示に従ってセキュリティキーを挿入またはタップします。

認証が成功すると、ユーザーはWindowsコンピューターにアクセスできるようになります。ユーザーがWindowsに次回サインインするときには、前回使ったMFA方式が自動的に選択されます。ユーザーが別の認証方法を選択するには、［Try another way（別の方法を試す）］をクリックし、ドロップダウンメニューを使って本人確認のための別の方法を選択する必要があります。

デスクトップパスワードの自動入力

デスクトップパスワードの自動入力オプションを有効にしている場合、ユーザーはプッシュ通知に応答し、パスワードを入力せずにWindowsにサインインできます。

ユーザー要件

• Windowsコンピューターがオンラインになっていること。
• ユーザーがOkta Verifyに登録しており、プッシュ通知を有効にしていること。
• ユーザーのOkta Verify アカウントで生体認証が有効になっていること。

パスワード自動入力を使用するには、Windowsコンピューターがオンラインになっている必要があります。ユーザーは引き続き有効なパスワードを保持します。このパスワードは、プッシュ通知が使用できない場合、コンピューターがオフラインの場合、またはパスワード自動入力に失敗した場合に使用します。

デスクトップパスワードの自動入力が有効になると、ユーザーはユーザー名（必要な場合）とパスワードを使用してWindowsコンピューターにサインインします。認証に成功すると、ユーザーはパスワード自動入力に暗黙的に登録されます。ユーザーが次回サインインするときには、プッシュ通知が登録済みのモバイルデバイスに送信されます。プッシュ通知に正常に応答すると、ユーザーはパスワードを入力せずにコンピューターにアクセスできるようになります。

Windowsコンピューターがオフラインの場合、ユーザーはパスワード自動入力に登録している場合でも、サインインするためにパスワードを入力する必要があります。

ユーザーのパスワードがリセットされると、パスワード自動入力を機能させるため、ユーザーは次回のサインイン試行の際にパスワードの入力を求められます。

セルフサービスによるパスワードのリセット

セルフサービスによるパスワードリセットオプションが有効になっている場合、ユーザーはパスワードを忘れた場合にパスワードリセットを開始できます。パスワードをリセットするには、ユーザーがオンラインでなければなりません。

ユーザーがパスワードを忘れ場合は、Windowsコンピューターで［Forgot password?（パスワードを忘れた場合）］ボタンをクリックします。ユーザーは、モバイルデバイスのOkta VerifyでIDを確認するよう求められます。ユーザーのIDが確認されたら、新しいパスワードを入力するよう求められます。この新しいパスワードはパスワード要件を満たしている必要があります。パスワードが正常に変更されると、「パスワードが変更されました」というメッセージがユーザーに表示されます。

次の手順

ユーザーをサポートする