WindowsデバイスバウンドSSOを構成する

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

デバイスバウンドシングルサインオンは、ユーザーをセッションハイジャックから保護し、能率的なサインインエクスペリエンスを提供します。Oktaで保護されたアプリにユーザーがアクセスする際の認証プロンプトを少なくできます。

開始する前に

  • org向けにDesktop MFAを構成すること。Windows向けDesktop MFAを参照してください。
  • デバイスがWindowsバージョン1709以降( 10)または Windows 11で動作しており、 トラステッドプラットフォームモジュール(Trusted Platform Module) (TPM)ハードウェアを備えていること。
  • デバイスがActive DirectoryまたはMicrosoft Entra IDに参加していること。
  • デバイスにWindows用のOkta Verify 6.6.2以降がインストールされて動作していること。
  • Simple Certificate Enrollment Protocol(SCEP)を使用して、デバイスアクセス証明書をデバイスにインストールします。デバイスアクセス証明書を参照してください。
  • ユーザーがOkta FastPassに登録されていること。

デバイスバウンドSSOをユーザーデバイスにデプロイする

MDM(Microsoft IntuneWorkspace ONEなど)を使用して、次のレジストリキーを作成してデプロイします。

パス(Path)

名前

タイプ

説明

HKLM\SOFTWARE\Policies\Okta\Okta Device Access

OktaJoinEnabled

REG_DWORD

1

デバイスをOkta-joinedに指定します。

HKLM\SOFTWARE\Okta\Okta Device Access

UseDirectAuth

REG_DWORD

1

直接認証を有効にして、Windowsサインインフロー中にデバイスがOktaで直接認証できるようにします。これは、WindowsでのデバイスバウンドSSOに必要です。

認証ポリシールールを構成する

デバイスバウンドSSOのために認証ポリシーを作成する必要はありません。ただし、既存のルールを追加または編集してデバイスバウンドSSOを含めと、 Okta-joinedのデバイスとアプリとのやり取りを制御できます。

たとえば、暗号で紐づけたデバイスの方がセッションのセキュリティが確実なので、 Okta-joinedのデバイスで認証リクエストの間の期間を長くできます。

アプリサインオンポリシーでデバイスバウンドSSOを適用するには、次の手順に従います。

  1. Admin Consoleセキュリティ(Security) > 認証ポリシー に移動します。

  2. アプリサインインポリシー(App sign-in policies)を開きます。

  3. デバイスバウンドSSOで有効にするアプリに既存のポリシーがある場合は、そのポリシーのアクション(Actions)(Edit)メニューにある編集(Edit)(Actions)をクリックします。ポリシーがない場合は、ポリシーを作成(Create policy)をクリックします。

  4. Okta-joinedのデバイス用にルールを作成します。このルールの下で、Oktaはリソース認証のためのデバイスセッションの使用を許可します。

    1. ルールを追加(Add Rule)(Add rule)をクリックします。

    2. ルールに適切な名前を付けます(例:Devices that are Okta-joined)。

    3. デバイスの状態(Device State)登録済み(Registered)に設定します。

    4. カスタム式フィールドには、Okta式言語ステートメントでdevice.provider.deviceAccess.joined == trueと入力します。

      こうすると、Okta-joinedでありデバイスバウンドSSOに適したデバイスがすべて記録されます。

    5. 認証のためのプロンプト(Prompt for authentication)を以下のいずれかに設定します。

      • アクティブなOktaグローバルセッションによって保護されるリソースにユーザーがアクセスしてから指定の時間が経過したとき(When it's been over a specified length of time since the user accessed any resource protected by the active Okta global session)。指定された期間中にユーザーがサイレントにアプリにアクセスできるようにするには、このオプションを選択します。

      • Oktaグローバルセッションが存在しないとき(When an Okta global session doesn't exist)。デバイスセッション全体でユーザーがサイレントにアプリにアクセスできるようにするには、このオプションを選択します。

デバイスの状態を確認する

Okta FastPass登録中に、デバイスはOkta Okta Universal Directoryに一意のオブジェクトとして登録されます。

  1. Admin Consoleで、ディレクトリ(Directory) > デバイス(Devices)に移動します。

  2. デバイスのステータスを確認します。

    • デバイスを一時停止または非アクティブ化すると、ユーザーはデバイスバウンドSSOで認証できなくなります。ただし、デバイスを再度アクティブにした後(アクティブ化(Activate)または一時停止を解除(Unsuspend)を使用)は、デバイスバウンドSSOを再度使用できます。

    • 非アクティブ化したデバイスを削除した場合は、デバイスアクセス証明書を再デプロイする必要があります。ユーザーは、デバイスバウンドSSOで再度認証を行う前に、Okta FastPassに登録する必要があります。

  3. デバイスのステータスにアクティブ(Active)と表示されていることを確認します。

ユニバーサルWindowsプラットフォームアプリ向けにデバイスバウンドSSOを有効にする

ユーザーがMicrosoft ユニバーサルWindowsプラットフォーム(UWP)およびOffice 365アプリにアクセスときは、これらのアプリに対してデバイスバウンドSSOを有効にするスクリプトを実行する必要があります。

デフォルトでは、ネットワークの分離を維持するために、UWPアプリはIPC(Inter-Process Communication)のループバック接続を無効にします。ただし、Oktaでは、ハードウェアに紐づいたセッションを維持するために、認証アプリとOkta Verify間の通信にループバック接続が必要です。

Okta VerifyがUWPアプリで意図したとおりに確実に動作するには、PowerShellスクリプトからループバック除外を提供する必要があります。「ユニバーサルWindowsプラットフォームアプリにフィッシング耐性のある認証を有効にする」を参照してください。

関連項目

デバイスバウンドSSOに関する問題のトラブルシューティング

のSystem LogイベントデバイスバウンドSSO