デバイスシグナル収集ルールを作成する

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

デバイスシグナル収集ルールを使用すると、アプリ・サインイン・ポリシー・ルールの既存デバイスプローブ機能を拡張できます。これを使用すると、Okta VerifyおよびChrome Device Trustコネクターからのデバイスシグナルをポリシー評価に追加できます。

デバイスシグナルを収集する方法、およびデバイスからユーザーIDを収集するかどうかを指定できます。これらのシグナルをアプリ・サインイン・ポリシーの条件として使用して、アプリへのアクセスリクエストまたはAuthenticatorへの登録リクエストを評価します。Oktaはポリシー内のルールを評価する前に、デバイスシグナルを収集します。

デバイスシグナル収集ルールを使用すると、Okta FastPassが所有要件を満たした上で、スマートカードなど他の所有要素による認証をユーザーに求めない状況を回避できます。

ユーザーIDを収集することで、特定のデバイスで認証を試みるユーザーを特定しやすくなります。これは、Okta Verifyに複数のユーザーIDが存在する場合に便利です。Sign-In Widgetのユーザー名（Username）フィールドにユーザーIDを事前入力することで、ユーザーがこの手順をスキップしてセキュリティ方式を選択できるようになります。

Okta APIでこの機能を使用する手順については、「デバイスシグナル収集ポリシーを構成する」を参照してください。

注:

次のいずれかの設定でアプリ・サインイン・ポリシー・ルールがある場合、デバイスシグナル収集ルールを作成する必要があります。

デバイスの状態が登録済み（Registered）または管理対象（Managed）： Okta Verify を使用してデバイスシグナルを収集するデバイスシグナル収集ルールを作成します。
デバイス属性プロバイダーを使用するデバイス保証ポリシー：同じデバイス属性プロバイダーを使用するデバイスシグナル収集ルールを作成します。

この手順を開始する

Admin Consoleでセキュリティ（Security） > 認証ポリシーに移動します。
アプリのサインイン（App sign-in）をクリックします。
デバイスシグナル収集ルールを追加するポリシーを選択します。
アクション（Actions）をクリックし、デバイスシグナル収集ルールを表示（Show device signals collection rules）（Show device signal collection rules）をクリックします。デバイスシグナル収集ルール（Device signal collection rules）タブが表示されます。
デバイスシグナル収集ルール（Device signal collection rules）タブを選択します。
ルールを追加（Add Rule）（Add rule）をクリックします。
ルール名（Rule name）フィールドに名前を入力します。
デバイスプラットフォーム（Device platform is）ドロップダウンメニューをクリックし、シグナルを収集するプラットフォームを選択します。選択したプラットフォームがドロップダウンメニューの下に表示されます。
ユーザーのIP（User's IP is）ドロップダウンメニューから、ネットワークゾーンオプションを選択します。「ネットワークゾーン」を参照してください。
デバイスシグナル収集を実行する方法（Perform device signals collection with）（Perform device signal collection with）セクションで、構成オプションを選択します。
- Okta Verify ：Okta Verifyからデバイスシグナルを取得します。
- Okta VerifyによるユーザーIDの収集を許可する（Allow Okta Verify to collect user identity）：このオプションは、 Okta Verify を選択すると表示されます。Okta VerifyからユーザーIDを取得し、ユーザーがOktaにサインインするとSign-In Widgetのユーザー名（Username）フィールドが自動入力されます。Sign-In Widgetでユーザー名を明示的に指定するようユーザーに求める場合は、このオプションをオフにしておきます。
- Chromeデバイストラストコネクタ（Chrome Device Trust connector）：Google ChromeブラウザーおよびChromeOSデバイスからデバイスシグナルを取得します。「Chrome Enterpriseデバイストラストコネクタを管理する」を参照してください。
デバイスポスチャIDプロバイダー（Device posture identity provider is ）ドロップダウンメニューで、デバイスポスチャIDプロバイダーを選択します。
保存（Save）をクリックします。デバイスシグナル収集ルール（Device signal collection rules）タブが表示されます。
ルールセットを有効にする（Enable the ruleset）をクリックします。
拒否ルールを追加します。アクセスの可否（THEN Access is）セクションで拒否（Denied）を選択します。このルールは、このポリシー内の他のルールの要件を満たさないデバイスに対してアクセスを拒否します。これにより、脆弱なルールの精査時にUser-AgentやIPの値を偽装する悪意のあるアクターをブロックできます。

デバイスシグナル収集ルールをアクティブ化または非アクティブ化する

ルール作成時はルールを非アクティブ化し、デプロイの準備ができてからアクティブ化できます。

Admin Consoleでセキュリティ（Security） > 認証ポリシーに移動します。
アプリのサインイン（App sign-in）をクリックします。
アクティブ化または非アクティブ化するルールが含まれているポリシーを選択します。
デバイスシグナル収集ルール（Device signal collection rules）タブをクリックします。
アクティブ化または非アクティブ化するルールの横にあるアクション（Actions）をクリックし、アクティブ化（Activate）または非アクティブ化（Deactivate）を選択します。

デバイスシグナル収集ルールを削除する

ルールの削除は元に戻せません。誤ってルールを削除した場合は、別のルールを作成して置換する必要があります。

Admin Consoleでセキュリティ（Security） > 認証ポリシーに移動します。
アプリのサインイン（App sign-in）をクリックします。
ルールを削除するポリシーを選択します。
デバイスシグナル収集ルール（Device signal collection rules）タブをクリックします。
ルールを非アクティブ化します。デバイスシグナル収集ルールをアクティブ化または非アクティブ化するを参照してください。
削除するルールの横にあるアクション（Actions）をクリックし、削除（Delete）をクリックします。

アプリ・サインイン・ポリシーからすべてのデバイスシグナル収集ルールを削除する

アプリ・サインイン・ポリシーでこの機能を使用したくない場合は、すべてのデバイスシグナル収集ルールを削除してこの機能を無効にできます。

Admin Consoleでセキュリティ（Security） > 認証ポリシーに移動します。
アプリのサインイン（App sign-in）をクリックします。
デバイスシグナル収集ルールを削除するポリシーを選択します。
アクション（Actions）をクリックし、デバイスシグナル収集ルールを削除（Remove device signals collection rules）（Remove device signal collection rules）を選択します。
確認のプロンプトでデバイスシグナル収集ルールを削除（Remove device signals collection rules）（Remove device signal collection rules）をクリックします。デバイスシグナル収集ルール（Device signal collection rules）タブが削除されました。
エラーメッセージが表示された場合は、セキュリティ（Security） > 認証ポリシーに移動し、アプリのサインイン（App sign-in）をクリックします。デバイスシグナル収集ルールを使用するアプリ・サインイン・ポリシーを見つけて、これらのルールをポリシーから削除します。デバイスシグナル収集ルールを削除するを参照してください。このセクションに戻って、これらの手順をもう一度実行してください。