Desktop MFAユーザーをサポートする

Desktop MFAを構成してデプロイしたら、ユーザーは1つまたは複数のオフライン認証要素を登録するよう求められます。これらの要素により、コンピューターまたはユーザーがオフラインの場合でも、コンピューターのアプリとデータへの安全なアクセスが可能になります。

Oktaでは、ユーザーがサインインフローの変更に対応できるように、Desktop MFAプランについて伝達するための一連のテンプレートを用意しました。Okta管理者向けローンチキットからテンプレートをダウンロードし、新しい認証プロセスをユーザーに説明するのに役立つ適切な文言をコピーしてください。

バグの報告チャネルを確立する

  • ユーザーに、ユーザーのモバイルデバイスからOkta Verifyで問題やバグを報告するよう依頼します。ユーザーのOkta Verifyモバイルアプリのメニューバーには、[Send Feedback(フィードバックを送信)]リンクがあります。ユーザーは、[Report a bug(バグを報告する)]をタップしてフォームに記入する必要があります。システムログが自動的に添付され、レポートがOktaに送信されます。次に、ユーザーは組織内の別のユーザーに連絡し、コンピューターへのサインインをサポートしてもらう必要があります。

    ユーザーのデスクトップコンピューターのC:\Windows\System32\config\systemprofile\AppData\Local\Okta Device Access\Logsにローカルに保存されているDesktop MFAのシステムログを表示します。

  • ユーザーは、Desktop MFAを登録またはサインインするときにコンピューターからロックアウトされる場合があります。コンピューターにアクセスできなければ、ほとんどのユーザーはサポート情報を探せません。AdminContactInfoのレジストリキーを提供することで、サインインページにある管理者の連絡先情報をユーザーに伝えます。「Desktop MFAポリシーを構成する」を参照してください。

サインインの問題を解決する

  • ユーザー名が変更された場合、Okta Verifyはそれを新規ユーザーと見なします。既存のオフライン要素は機能しなくなります。ユーザーに、オフライン確認方法をもう一度登録してオフラインアクセスを回復させるよう伝えます。

  • オフラインサインイン方法のセットアップ時にユーザーの試行回数がサインイン制限(デフォルトでは50)を超過すると、ユーザーはWindowsにサインインできなくなります。この問題を解決するには、次のオプションの使用を検討してください。

    • MDMソリューションまたはグループポリシーを使ってMfaRequiredListポリシーを変更します。

      • リストからユーザーを削除するか、リストをに設定します。

      • ユーザーのコンピューターに設定をプッシュします。

      • 新しいグループポリシーが有効化され、レジストリが更新されるように、ユーザーに再起動を求めます。

    • カウンターをリセットするか、影響を受けるユーザーのエントリを削除します。ユーザーのサインイン試行は、HKLM\Software\Okta\Okta Device Access\User Policies\<upn username>で追跡されます。ユーザープリンシパル名(UPN)にはドメインのサフィックスは含まれません。UPNがuser@domain.comであれば、レジストリキーのパスはHKLM\Software\Okta\Okta Device Access\User Policies\user@domainとなります。

      ユーザー固有のレジストリキーには、LoginsWithOfflineFactorCounterLoginsWithoutEnrolledFactorsCounterというサインインカウンターがあります。影響を受けるユーザーのレジストリキー(現在の例ではHKLM\Software\Okta\Okta Device Access\User Policies\user@domain)を削除する、サインインカウンターを0に設定する、または両方を行います。

      ユーザーがオンライン認証方法を使ってサインインに成功すると、LoginsWithOfflineFactorCounterは0にリセットされます。

    • ユーザーのLoginsWithOfflineFactorCounterの値がMaxLoginsWithOfflineFactorの設定値を超過すると、ユーザーはサインインにオフライン方法を使用できなくなります。この値を0にリセットすると、ユーザーはオフライン方法を使ってサインインできるようになります。

    • ユーザーがすべてのサインイン制限を超過したときは、ユーザーのLoginsWithoutEnrolledFactorsCounterを0にリセットします。これにより、ユーザーは登録済みの認証方法を使わずにサインインし、必要なオフライン認証方法を作成できます。

    • すべてのオフライン登録を削除するには、C:\Windows\System32\config\systemprofile\appdata\local\Okta Device AccessからOktaDeviceAccessData.dat.dbファイルを削除します。これにより、すべてのオフライン登録が削除され、オフライン認証方法の再登録がユーザーに求められます。

デバイスの問題を解決する

ユーザーが電話またはYubiKeyを喪失し、オンライン確認方法(Okta Verify PushまたはOTP)がまだセットアップされていない場合、サインイン制限内であってもユーザーは自分のコンピューターにアクセスできなくなります。この問題を解決するには、次のオプションの使用を検討してください。

  • MDMソリューションまたはグループポリシーを使ってMfaRequiredListポリシーを変更します。

    1. リストからユーザーを削除するか、リストをに設定します。

    2. ユーザーのコンピューターに設定をプッシュします。

    3. 新しいグループポリシーが有効化され、レジストリが更新されるように、ユーザーに再起動を求めます。

  • ユーザーのオンライン認証方法をリセットし、新しいオンライン方法の登録をユーザーに求めます。

関連項目

Okta Device Accessサポートハブ