デスクトップ向けOkta Device TrustをOkta FastPasssに置き換える

Identity Engineにアップグレードした後で、Device Trustを変更することはできません。代わりに、Okta FastPassおよびOkta Verifyを使用します。

アップグレード後、既存のDevice Trust認証（相互トランスポートレイヤーセキュリティ認証、つまりmTLS）はIdentity Engineで引き続き機能します。

すべてのアプリサインオンポリシーのDevice Trust条件は、Identity Engineのデバイス：登録済み、管理対象（Device: Registered, Managed）条件に変換されます。有効なDevice Trust証明書がデバイスに存在する場合、デバイスは登録され、管理対象になります。証明書がデバイスに存在しない場合、または証明書が存在するが有効でない場合、デバイスは管理対象外です。

この手順を開始する

Device Trustが機能することを確認する
一部のユーザーに対してOkta FastPassを有効にする
すべてのユーザーに対してOkta FastPassを有効にする
Device Trustを削除し、IWAサーバーを廃止する

Device Trustが機能することを確認する

アップグレード後、Device Trustが有効になります。Okta FastPassはまだ有効になっていません。エンドユーザーエクスペリエンスはClassic Engineと同じです。デバイス条件によって保護されているアプリにユーザーがアクセスしようとすると、OktaはDevice Trust証明書を提示するようブラウザーに要求し、それを検証します。検証後、ユーザーはアプリアカウントにアクセスできます。

注:

Device Trustはまだ削除しないでください。このアクションを元に戻すことはできません。

Device Trust構成がIdentity Engineに移行されたことを確認します。
1. Admin Consoleでセキュリティ（Security） > デバイス統合（Device integrations）に移動します。
2. エンドポイント管理（Endpoint Management）タブをクリックします。
3. 一覧表示されるプラットフォームがアップグレード前の手順で特定したデバイスタイプに一致することを確認します。モバイル向けのOkta Device Trustをオフにするを参照してください。
  たとえば、Classic EngineでWindowsおよびmacOS向けDevice Trustが有効になっている場合、これらのプラットフォームはエンドポイント管理（Endpoint management）ページにリストされます。
アプリサインインポリシーに、登録済みおよび管理対象デバイス条件のルールが含まれていることを確認します。
1. Admin Consoleでセキュリティ（Security） > 認証ポリシーに移動します。
2. アプリのサインイン（App sign-in）をクリックします。
3. 確認するポリシーを選択します。
4. ポリシー内のルールの1つは、デバイス（Device）登録済み、管理対象（］：［Registered, Managed）（Device: Registered, Managed）を示すはずです。
次のシステムログ（System Log）イベントを表示して、Device Trustがまだ機能していることを確認します。
- 認証
  - DisplayMessage：証明書によるデバイスの認証
  - EventType：user.authentication.authenticate
- 登録
  - DisplayMessage：Device Trust証明書の登録
  - EventType：user.credential.enroll
- 発行
  - DisplayMessage：Device Trust証明書の発行
  - EventType：pki.cert.issue
- 撤回
  - DisplayMessage：Device Trust証明書の失効化
  - EventType：pki.cert.revoke
- 有（Renewal）
  - DisplayMessage：Device Trust証明書の更新
  - EventType：pki.cert.renew
複数のオペレーティングシステムで次の項目を確認します。
- 既存のユースケースがすべて機能する。たとえば、Device Trustが有効なデスクトップデバイスを使用するユーザーは認証できます。
- すべてのアプリサインオンポリシーが正しく移行されている。Device Trustによって保護されているアプリの場合、ルールには管理対象（Managed）および登録済み（Registered）の条件を含める必要があります。
- 既存のmTLS証明書を使用している。
- 証明書の更新が機能する（該当する場合）。
- 新しい登録が機能する（該当する場合）。

一部のユーザーに対してOkta FastPassを有効にする

次のシナリオを検討し、デバイス登録を読みます。

Okta Verifyがインストールされていない。	ユーザーがDevice Trustで保護されたアプリにアクセスしようとすると、orgのサインインページが表示されます。Oktaは、Okta Verifyに対してユーザーのデバイスを調査します。ユーザーがユーザー名を入力すると、OktaはmTLSチャレンジを完了し、デバイスのDevice Trust証明書から管理証明が収集されます。
Okta Verifyはデバイスにインストールされているが、ユーザーはOkta Classic Engineアカウントのみを持っている。	ユーザーがDevice Trustで保護されたアプリにアクセスしようとすると、orgのサインインページが表示されます。ユーザーがユーザー名を入力すると、OktaはmTLSチャレンジを完了し、デバイスの証明書から管理証明が収集されます。
デバイスにOkta Verifyはインストールされているが、ユーザーはどのアカウントも持っていない。	ユーザーがDevice Trustで保護されたアプリにアクセスしようとすると、Okta Verifyアカウントを追加するよう求められます。Device TrustステータスはOkta Verifyによって提供されたため、認証フローはmTLS認証なしで完了します。

モバイル向けDevice Trustを無効にした場合は、モバイルデバイスの管理証明を構成するの手順を完了します。その上で、次の手順に進みます。
Okta FastPass用にエンタープライズデバイスを準備します。Okta Verifyアプリの最新バージョンをすべてのデスクトップデバイスにプッシュします。MDMを使用して、一部のユーザーのインライン登録を有効にします。デバイス登録と管理対象デバイス（Managed devices）を参照してください。EnrollmentOptionsフラグの詳細については、macOSデバイス向けのOkta Verify構成とWindowsデバイス向けのOkta Verify構成を参照してください。
認証局（CA）が構成されていること、および管理証明書がすべてのデスクトップデバイスにデプロイされていることを確認します。OktaをCAとして使用することも、独自のCAを提供することも可能です。認証局を構成するを参照してください。
独自のCAを提供する場合は、次の手順に従います。
1. Admin Consoleでセキュリティ（Security） > デバイス統合（Device integrations）に移動します。
2. 認証局（Certificate Authority）タブをクリックします。
3. 管理証明書をデバイスにデプロイします。
アプリサインインポリシーを更新します。該当するプラットフォームごとに管理対象ルールがあることを確認します。ユーザーが使用する認証方法（User must authenticate with）の値を任意の1要素タイプ（Any 1 factor type）に変更します。
- 信頼できるmacOSを許可（［Allow Trusted macOS）］：
  - プラットフォーム（Platform）：［macOS］
  - デバイス（Device）登録済み、管理対象（：［Registered, Managed）］
  - ユーザーが使用する認証方法（User must authenticate with）任意の1要素タイプ（：［Any 1 factor type）］
- 信頼できるWindowsを許可（［Allow Trusted Windows）］：
  - プラットフォーム（Platform）：［Windows］
  - デバイス（Device）登録済み、管理対象（：［Registered, Managed）］
  - ユーザーが使用する認証方法（User must authenticate with）任意の1要素タイプ（：［Any 1 factor type）］
  アプリサインインポリシーの設定の詳細については、Okta FastPassを使ったパスワードレス認証にアプリサインインポリシーを構成するを参照してください。
  
  この手順を完了すると、ユーザーが次にOktaにアクセスする際にOkta Verifyへの登録が自動的に求められます。ユーザーがOkta Verifyをインストールし、アカウントを追加（登録）した場合、Okta FastPassを使用してサインインするようになります。つまり、デバイスは信頼されています。ユーザーがOkta Verifyアカウントを持っていない場合、Classic Engine Device Trust証明書を使用してサインインします。
Okta FastPassを有効にします。これはグローバル設定ですが、次のユーザーカテゴリのみがOkta FastPassにアクセスできます。
- インライン登録のユーザー（手順2でセットアップ）
- Okta Verifyに登録し、管理証明書を持っているユーザー（手順3でセットアップ）。
注:
Okta FastPassを有効にする場合は、Okta Device Trustを無効にする前に、Okta FastPass（すべてのプラットフォーム）（Okta FastPass (all platforms)）チェックボックスをオンにしてください。
Okta FastPassが有効なときは、次のシナリオを確認します。
- Okta Verifyに登録されていないが、Device Trustに登録されているユーザーは、管理対象のアプリに正常にアクセスできるはずです。
- Okta Verifyに登録されていないユーザーは、Okta Verifyに登録できるはずです。
- 管理対象デバイスからOkta Verifyに登録したユーザーは、管理対象のアプリに正常にアクセスできるはずです。
- 管理対象外デバイスからOkta Verifyに登録したユーザーは、移行前と同じ方法でアプリにアクセスできるはずです。

すべてのユーザーに対してOkta FastPassを有効にする

Okta Verifyに登録し、デバイスに管理証明書を用意するようユーザーに勧めます。理想的には、すべてのユーザーがOkta FastPassが有効になっているOkta Verifyアカウントを持っているため、Device Trustは不要になります。

すべてのユーザーにOkta Verifyへの登録を求めるか、すべてのユーザーデバイスにデプロイします。
この情報をエンドユーザーと共有します。
次の項目を確認します。
- Okta Verifyが、MDMを使用しているすべてのユーザーにデプロイされている。
- すべてのユーザーが、MDMを使用して管理証明書を持っている（タスク2の手順2を参照）。
- すべてのユーザーが、Device TrustではなくOkta Verifyを使用するデバイスからアプリにアクセスする（タスク1の手順3を参照）。

Device Trustを削除し、IWAサーバーを廃止する

すべてのユーザーがOkta FastPassを使用している場合は、Device Trustを削除できます。

システムログイベントを表示して、Device Trustシグナルが存在しないことを確認します（タスク2の手順3を参照）。Device Trustシグナルが存在する場合は、これらのユーザーをOkta Verifyに移行します。これは、Okta Verifyを使用していないすべてのユーザーに影響します。
Device Trustを非アクティブ化します。
1. Admin Consoleでセキュリティ（Security） > デバイス統合（Device integrations）に移動します。
2. エンドポイント管理（Endpoint Management）をクリックします。
3. 必要なプラットフォームについて、アクション（Actions） > 非アクティブ化（Deactivate）をクリックします。
  プラットフォームを削除しようとしたときにエラーが発生した場合は、「Okta Device Trust非アクティブ化エラー」を参照してください。
  
  または
4. 非アクティブ化（Deactivate）をクリックします。
Device Trustを削除します。
1. 非アクティブなプラットフォームについて、アクション（Actions） > 削除（Delete）をクリックします。
2. 削除（Delete）をクリックします。
インフラストラクチャからIWAサーバーを廃止し、好みのツールを使用してデバイスからデバイス登録タスクを削除します。