アップグレード後のDevice Trustのトラブルシューティング

Device TrustClassic Engine)からOkta FastPassに移行する場合は、次のトラブルシューティングと検証手順を検討してください。

Device Trustの無効化エラー

Identity Engineでは、信頼されていないデバイスにアプリサインインポリシーが必要です。これらを正しく構成しなかった場合、Device TrustClassic Engine)を非アクティブ化しようとしたときにエラーが発生します。エラーメッセージは、影響を受けるアプリサインインポリシーによって異なります。

たとえば、Device TrustClassic Engine)のアプリサインオンポリシーは、次の構成にする必要がある場合があります。

  • クライアント(CLIENT):[Windows]および/または[macOS]
  • Device Trust:[Not trusted(非信頼)]
  • アクセス(ACCESS)拒否(:[Denied)]

このポリシーは、次のようにIdentity Engineに移行されます。

  • デバイスの状態(AND[Device state is)](AND Device state is)登録済み(:[Registered)]
  • デバイス管理(AND[Device management is)](AND Device management is)非管理対象(:[Not managed)]
  • アクセスの可否(THEN[Access is)](THEN Access is)拒否(:[Denied)]

次の画像は、これら2つの構成を示しています。

Classic Engineのアプリサインオンポリシー

Identity Engineアプリサインインポリシー

レガシーのDevice Trust構成を削除する前に、Identity Engineアプリサインインポリシーを修正して、Okta FastPassに登録されていないデバイスへのアクセスを拒否してください。

  1. アプリへのアクセスを許可するタイミングを定義する1つまたは複数の許可(Allow)ルールを作成します。これらのルールに最高優先度を割り当てます。
  2. ステップ1で作成した許可ルールに一致しないユーザーに適用するキャッチオール拒否(Denied)ルールを作成します。キャッチオール拒否(Denied)ルールに、Oktaのデフォルトルールのすぐ上の最低優先度を割り当てます。

最初のルールでは、登録済みの管理対象デバイスを許可する必要があります。

  • デバイスの状態(AND[Device state is)](AND Device state is)登録済み(:[Registered)]
  • デバイス管理(AND[Device management is)](AND Device management is)管理対象(:[Managed)]
  • アクセスの可否(THEN[Access is)](THEN Access is)許可(:[Allow)]

後のルールでは、他のすべてのデバイスを拒否する必要があります。

  • デバイスの状態(AND[Device state is)](AND Device state is)すべて(:[Any)]
  • アクセスの可否(THEN[Access is)](THEN Access is)拒否(:[Denied)]

例1:

ルール ルール名 ユーザーグループ IF THEN
1 グループA管理対象 A 登録済み管理対象デバイスが必要 1つのFAで許可
2 グループAその他 A すべてのデバイスの状態 2つのFAで許可
3 グループB管理対象 B 登録済み管理対象デバイスが必要 1つのFAで許可
4 キャッチオールルール すべて すべて 拒否済み

例2:

Windowsデバイスのトラブルシューティング

統合Windows認証が想定どおりに機能することを確認する

クライアントデバイスで次のURLにアクセスし([IWA_DOMAIN_NAME] をIWAドメイン名に置き換えます)、想定どおりに動作することを確認します。

  • http://[IWA_DOMAIN_NAME]/IWA/iwa_test.aspx

    ブラウザーに正しく表示されることを確認します。

  • http://[IWA_DOMAIN_NAME]/IWA/authenticatd.aspx

    UseridUserPrincipalnameUserprincipalName(変換後)、およびセキュリティ識別子(Security Identifier)が表示されていることを確認します。

  • http://[IWA_DOMAIN_NAME]/IWA/auth.aspx

    Oktaサインインページに移動していることを確認します。

Device Trustクライアントがクライアントデバイスにデプロイされていることを確認する

  1. Windowsで、スタート(Start) > プログラムの追加と削除(Add or remove programs)をクリックします。
  2. Oktaデバイス登録タスク(Okta Device Registration Task)を探します。

Device Trust相互TLSクライアント証明書がインストールされていることを確認します

  1. Microsoft管理コンソール(MMC)で、証明書マネージャーを開きます(スタート(Start) > certmgr.mscをクリック)。

  2. [Okta ユーザー名( MTLS - [userName)](MTLS - [userName])証明書が存在することを確認します。

    証明書が存在しない場合は、タスクスケジューラーを開き(スタート(Start) > タスクスケジューラー(Task Scheduler)をクリック)、okta-devicetrust-usertaskを実行します。

Device Trustの登録が想定どおりに機能することを確認する

  1. Microsoft管理コンソール(MMC)で、証明書マネージャーを開きます(スタート(Start) > certmgr.mscをクリック)。
  2. ユーザー名(Okta MTLS - [username)(Okta MTLS - [username])証明書を削除します。
  3. コマンドプロンプトを開きます。
  4. ディレクトリを「Program Files\Okta\DeviceTrust」に変更します。
  5. OktaDeviceReg.exe --user --verbose --forceを実行します。

    新しいコマンドウィンドウが表示されます。

  6. エラーが存在しないこと、および新しい証明書がクライアントデバイスに登録されていることを確認します。

ルールに登録済み管理対象デバイスが必要であることを確認する

  1. Admin Consoleセキュリティ(Security) > 認証ポリシー に移動します。

  2. アプリのサインイン(App sign-in)をクリックします。
  3. アップデートするポリシーを選択します。
  4. ルール(Rules)タブをクリックします。
  5. ポリシー情報を表示し、ポリシー内のルールの1つで次のように指定されていることを確認します。
    • デバイス(Device)登録済み、管理対象(:[Registered, Managed)]
    • ユーザーが使用する認証方法(User must authenticate with)任意の1要素タイプ(:[Any 1 factor type)]

管理者システムのログを確認する

管理対象のWindowsコンピューターにOkta Device Trustを強制適用する(Enforce Okta Device Trust for managed Windows computers)に移動し、トラブルシューティング(Troubleshooting) > 基本的なトラブルシューティング(Basic Troubleshooting) > システムログ(SystemLog)セクションを参照してください。

Trusted Platform Module(TPM)を使用している場合は、Trusted Platform Module(TPM)によるWindows Device Trustのセキュリティ強化を参照してください。

macOSデバイスのトラブルシューティング

Device Trustクライアントがクライアントデバイスにデプロイされていることを確認します。「Jamf Proの管理対象macOSデバイスへのOkta Device Trustの適用」の「端末からインストールを確認するには」を参照してください。

関連項目

モバイルデバイス向けのDevice Trust