Desktop MFAのユーザーエクスペリエンス

Desktop MFAは、ユーザーに多要素認証を使用して本人確認を行うよう求めることで、Windowsデスクトップコンピューターのセキュリティ体制を強化します。ユーザーは、アプリとデータにアクセスする前に、オフライン確認方法を構成する必要があります。このオフライン確認方法により、ユーザーはインターネット接続がないときにコンピューターに安全にアクセスできます。

セットアップの前に、ユーザーは以下の要件を満たしている必要があります。

  • ユーザーはモバイルデバイスにOkta Verifyがインストールしておく必要があります。Okta Verifyは事前にインストールすることも、Desktop MFAのセットアップの一環としてインストールすることもできます。

  • ユーザーはモバイルデバイスでOkta Verifyプッシュ通知を有効にしておく必要があります。

Desktop MFAを構成してデプロイしたら、ユーザーのセットアップとサインインプロセスを確認し、ロールアウトについて連絡する準備を整え、サポートの詳細を確認します。

ユーザーのセットアップ

コンピューターを起動またはスリープ解除した後、ユーザーはWindowsにサインインするよう促されます。この時点で、Desktop MFAはユーザーがサインインするためのオフライン認証方法を登録済みかどうか確認します。オフライン登録が見つからない場合、Desktop MFAはユーザーに確認方法を追加するよう求めます。

確認方法をセットアップするよう求めるOkta Verifyウィンドウ

ユーザーが[Skip for now(今はスキップ)]を選択すると、デバイスにアクセスするのに確認方法の登録が必須になるまでの残りのサインイン試行回数を知らせるメッセージが表示されます。この回数は構成可能です。「Desktop MFAポリシーを構成する」を参照してください。

確認方法の登録が必須になるまでの残りのサインイン試行回数が表示されているOkta Device Accessメッセージ

ユーザーが[Add verification(確認方法を追加)]または[Continue setup(セットアップを続行)]を選択すると、オフライン確認方法をセットアップするように求められます。

ユーザーが本人確認を行う方法が表示されているOkta Device Accessウィンドウ

ユーザーは、登録するオフライン確認方法として、デバイスアクセスコードまたはデバイスアクセスキーのいずれかを選択します。[Set up(セットアップ)]をクリックすると、ユーザーはOkta Verifyがインストールされていることを確認するよう求められます。ユーザーがOkta Verifyをインストールしていない場合は、ソフトウェアをインストールするための適切なアプリストアリンクを選択できます。

  • デバイスアクセスコードOkta Verifyがインストールされている確認した後、ユーザーは[Next(次へ)]をクリックしてQRコードを表示し、それをOkta Verifyアプリでスキャンする必要があります。これにより、ユーザーがオフラインのときに本人確認に使用できる、Windowsデバイス名入りのデバイスアクセスコードOkta Verifyに追加されます。認証方法が正しく追加されたことを確認する、「You can sign in to Windows with "Device access code"(「デバイスアクセスコード」を使用してWindowsにサインインできます)」というメッセージが表示されます。

  • デバイスアクセスキーOkta Verifyがインストールされていることを確認した後、ユーザーは[Next(次へ)]をクリックします。ユーザーは、YubiKeyを挿入してタップすることで、デバイスとユーザー自身を確認するよう求められます。これにより、ユーザーがオフラインのときに本人確認に使用できる、Windowsデバイス名入りのデバイスアクセスキーOkta Verifyに追加されます。認証方法が正しく追加されたことを確認する、「You can sign in to Windows with "Device access key"(「デバイスアクセスキー」を使用してWindowsにサインインできます)」というメッセージが表示されます。

ユーザー認証

コンピューターを起動またはスリープ解除した後、ユーザーはユーザー名を入力するか、ユーザーを選択してパスワードを入力するよう求められます。次に、本人確認を行うための認証方法を選択する必要があります。ユーザーが複数の認証方法をセットアップしている場合は、使用可能な任意の方法を選択できます。MFAオプションは、Okta Verify Push、Okta Verifyワンタイムパスワード、オフラインワンタイムパスワード、オフラインYubiKeyです。Okta Verify Pushは、インターネット接続がある場合にのみ使用できます。

認証方法を選択したら、検証リクエストを完了する必要があります。

  • Okta Verify Pushの場合は[Send push(プッシュを送信)]をクリックします。モバイルデバイスをチェックし、Okta Verifyアプリでサインイン試行を確認します。

  • Okta Verifyワンタイムパスワードの場合はモバイルデバイスでOkta Verifyを開き、ワンタイムパスワードを探します。サインインフィールドに数字を入力し、矢印をクリックして先に進みます。

  • オフラインのワンタイムパスワードの場合はモバイルデバイスでOkta Verifyを開き、ワンタイムパスワードを探します。Windowsのサインインフィールドに数字を入力し、矢印をクリックして先に進みます。

  • オフラインのYubiKeyの場合はプロンプト時にYubiKeyを挿入またはタップします。

認証が成功すると、ユーザーはWindowsコンピューターにアクセスできるようになります。ユーザーがWindowsコンピューターに次回サインインするときには、前回使ったMFA方式が自動的に選択されます。ユーザーが別の認証方法を選択するには、[Try another way(別の方法を試す)]をクリックし、ドロップダウンメニューを使って本人確認のための別の方法を選択します。

次の手順

Desktop MFAユーザーをサポートする