Desktop MFA for macOSのポリシーを構成してデプロイする

Desktop MFAの動作を構成し、macOSコンピューターに管理対象プロファイルをデプロイします。

macOSインストーラーパッケージと構成プロファイルのデプロイメントに対応した任意のデバイス管理（MDM）ソリューションを利用できます。ここで示す手順は、デバイス管理にJamf Proを使用することを前提としています。

Desktop MFAのMDMプロファイルのデプロイでは、macOS macOSパッケージをデプロイする前に、デバイスにプロファイルを正しくプッシュしてください。Okta Verifyパッケージインストーラーの実行時にユーザーのデバイスにMDMプロファイルが存在しない場合、Desktop MFAはインストールされません。

タスク

Okta Verify for macOSパッケージをアップロードする
Desktop MFA for macOSのインストールプロセスを構成する
#oda-macos-mfa-configure-and-deploy-macos-mfa-policies__macMFAtask3Desktop MFAポリシーを追加する

Okta Verify for macOSパッケージをアップロードする

Okta Admin ConsoleからダウンロードしたmacOS向けOkta VerifyパッケージをMDMソリューションにアップロードします。
Jamf Proで、設定（Settings） > コンピューターの管理（Computer management） > パッケージ（Packages）に移動します。
新規（+ New）をクリックしてパッケージの詳細を構成します。

Desktop MFA for macOSのインストールプロセスを構成する

Jamf Proで、コンピューター（Computers） > ポリシー（Policies）をクリックし、新規（+ New）をクリックします。
表示名（Display Name）を入力し、ポリシートリガー（Trigger）（Login）のログイン（Login）（Trigger）を選択します。
パッケージ（Packages）をクリックし、構成（Configure）をクリックします。
前の手順でアップロードしたOkta Verifyパッケージを探し、パッケージの横の追加（Add）をクリックします。
配布ポイント（Distribution point）を構成します。
ドロップダウンを使ってアクション（Action）（Install）としてインストール（Install）（Action）を選択します。
保存（Save）をクリックします。

macOS macOSパッケージをデプロイする前に、エンドユーザーデバイスにMDMプロファイルが正しくデプロイされていることを確認してください。Okta Verify

Desktop MFAポリシーを追加する

Jamf Proで、構成プロファイル（Configuration Profiles）をクリックし、新規（+ New）をクリックします。
このプロファイルの名前を入力します。
アプリケーションとカスタム設定（Application & Custom Settings）をクリックしてペイロードを構成します。アップロード（Upload ）をクリックします。
追加（+Add）（+ Add）をクリックします。
優先ドメインとしてcom.okta.deviceaccess.servicedaemonを入力します。

組織の値をplistファイルとして追加します。次にplistファイルの例を示します。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>DMFAClientID</key>
    <string>add-your-client-ID-here</string>
    <key>DMFAClientSecret</key>
    <string>add-your-client-secret-here</string>
    <key>DMFAOrgURL</key>
    <string>https://add-your-org-URL-with-prefix-here</string>
    <key>AccountLinkingMFAFactor</key>
    <string>OV_Push</string>
    <key>AdminEmail</key>
    <string>admin@yourorg.com</string>
    <key>AdminPhone</key>
    <string>111-222-3333</string>
    <key>AllowedFactors</key>
    <array>
        <string>*</string>
    </array>
    <key>DeviceRecoveryPINDuration</key>
    <real>60</real>
    <key>DeviceRecoveryValidityInDays</key>
    <real>90</real>
    <key>LoginPeriodWithoutEnrolledFactor</key>
    <real>48</real>
    <key>LoginPeriodWithOfflineFactor</key>
    <real>168</real>
    <key>MFANotRequiredList</key>
    <array/>
    <key>MFARequiredList</key>
    <array>
        <string>*</string>
    </array>
    <key>OfflineLoginAllowed</key>
    <true/>
</dict>
</plist>

ポリシーパラメーター

次の表を使用して、Desktop MFAポリシーに適したパラメーターを構成します。

パラメーター	説明
名前（Name）：`AccountLinkingMFAFactor` タイプ（Type）：`String` デフォルト（Default）：`OV_Push`	OktaアカウントをローカルmacOSアカウントにリンクする際に使用する検証方法。この設定で取り得る値は次のとおりです。 `OV_Push`：Okta Verifyプッシュ通知。 `OV_TOTP`：Okta Verify時間ベースのワンタイムパスワード `FIDO2_USB_key`：FIDO2 authenticatorを使用します。
名前（Name）：`AdminEmail` タイプ（Type）：`String` デフォルト（Default）：空	エンドユーザーがサポートを受けるためのメールアドレスを入力します。この値はデフォルトでは空です。
名前（Name）：`AdminPhone` タイプ（Type）：`String` デフォルト（Default）：空	エンドユーザーがサポートを受けるための電話番号を入力します。この値はデフォルトでは空です。
名前（Name）：`AllowedFactors` タイプ（Type）：`String array`	ユーザーが認証に使用できる要素のリスト。許可されている要素は、構成で列挙されている順序で表示されます。この設定で取り得る値は次のとおりです。 `*`：すべての要素が許可されます。 `OV_Push` `OV_TOTP` `Offline_TOTP` `FIDO2_USB_key` 要素を指定しない場合は、すべての要素が許可されます。要素のスペルが正しいことを確認してください。
名前（Name）：`DeviceRecoveryPINDuration` タイプ（Type）：`Real` デフォルト（Default）：`60`	アクティブ化後のデバイス復旧PINの有効期間です。値は分単位で指定します。最大値は`7200`（5日間）です。 macOCにDesktop MFAの復旧を有効にするを参照してください。
名前（Name）：`DeviceRecoveryValidityInDays` タイプ（Type）：`Real` デフォルト（Default）：`90`	Desktop MFAでデバイスが復旧可能な期間です。復旧PINを使用して正常に認証するには、ユーザーが所定の期間内でオンライン中に少なくとも1回はDesktop MFAを使用してデバイスにサインインする必要があります。たとえば、この値は`120`に設定されます。ユーザーが120日以上オンラインになることなく、Desktop MFAを使ってサインインしていない場合、復旧PINがまだ有効であっても使用できません。ユーザーはロックアウトされ、復旧PINは生成できません。デバイスがオンラインになると、ユーザーがサインインに使用する復旧PINが生成できるようになります。値は日単位で指定します。
名前（Name）：`LoginPeriodWithoutEnrolledFactor` タイプ（Type）：`Real` デフォルト（Default）：`48`	ユーザーが要素を登録せずにパスワードのみを使ってサインインできる猶予期間を指定します。この猶予期間が切れた後は、ユーザーは自分のアカウントをリンク付けし、コンピューターにアクセスするためのオフライン認証要素を登録する必要があります。値は時間単位で指定します。
名前（Name）：`LoginPeriodWithOfflineFactor` タイプ（Type）：`Real` デフォルト（Default）：`168`	この値を`0`に設定すると、ユーザーはオフライン要素を使ってサインインできなくなります。 `LoginPeriodWithoutEnrolledFactor`の値が`0`より大きい場合、ユーザーは`X`時間おきにオンライン要素を使ってサインインする必要があります。値は時間単位で指定します。
名前（Name）：`MFANotRequiredList` タイプ（Type）：`String array` デフォルト（Default）：空	この配列に記載されているユーザーには、Desktop MFAは強制されません。このリストは`MFARequiredList`配列よりも優先されます。ここにリストされているアカウントでは大文字と小文字が区別されます。
名前（Name）：`MFARequiredList` タイプ（Type）：`String array` デフォルト（Default）：`*`	ユーザーがこのリストに記載され、Desktop MFAがインストールされている場合、ユーザーにはMFAの使用が求められます。ただし、Desktop MFAをインストールした一部のユーザーには、MFAの使用は必要ない場合があります。ユーザーがこのリストに記載されおらず、Desktop MFAがインストールされている場合、ユーザーにはパスワードのみが求められます。デフォルト値は`*`で、MFAがすべてのユーザーに適用されることを意味します。ここにリストされているアカウントでは大文字と小文字が区別されます。たとえば、`john-smith`というローカルユーザーが`MFARequiredList`配列に記載されていれば、MFAの使用は必須となります。
名前（Name）：`OfflineLoginAllowed` タイプ（Type）：`Boolean` デフォルト（Default）：`true`	`true`に設定すると、オフラインの要素がユーザーに表示されます。これによって、ユーザーはオフラインの認証要素を登録できるようになります。 `false`に設定すると、オフライン要素が非表示となり、オフライン要素は強制されません。このポリシーが`true`に変更され、`LoginPeriodWithoutEnrolledFactor`が期限切れになった場合は、ユーザーにオフライン要素の登録が強制されます。

パラメーター

説明

名前（Name）：AccountLinkingMFAFactor

タイプ（Type）：String

デフォルト（Default）：OV_Push

OktaアカウントをローカルmacOSアカウントにリンクする際に使用する検証方法。

この設定で取り得る値は次のとおりです。

OV_Push：Okta Verifyプッシュ通知。
OV_TOTP：Okta Verify時間ベースのワンタイムパスワード
FIDO2_USB_key：FIDO2 authenticatorを使用します。

名前（Name）：AdminEmail

タイプ（Type）：String

デフォルト（Default）：空

エンドユーザーがサポートを受けるためのメールアドレスを入力します。

この値はデフォルトでは空です。

名前（Name）：AdminPhone

タイプ（Type）：String

デフォルト（Default）：空

エンドユーザーがサポートを受けるための電話番号を入力します。

この値はデフォルトでは空です。

名前（Name）：AllowedFactors

タイプ（Type）：String array

ユーザーが認証に使用できる要素のリスト。

許可されている要素は、構成で列挙されている順序で表示されます。

この設定で取り得る値は次のとおりです。

*：すべての要素が許可されます。
OV_Push
OV_TOTP
Offline_TOTP
FIDO2_USB_key
要素を指定しない場合は、すべての要素が許可されます。

要素のスペルが正しいことを確認してください。

名前（Name）：DeviceRecoveryPINDuration

タイプ（Type）：Real

デフォルト（Default）：60

アクティブ化後のデバイス復旧PINの有効期間です。

値は分単位で指定します。最大値は7200（5日間）です。

macOCにDesktop MFAの復旧を有効にするを参照してください。

名前（Name）：DeviceRecoveryValidityInDays

タイプ（Type）：Real

デフォルト（Default）：90

Desktop MFAでデバイスが復旧可能な期間です。

復旧PINを使用して正常に認証するには、ユーザーが所定の期間内でオンライン中に少なくとも1回はDesktop MFAを使用してデバイスにサインインする必要があります。

たとえば、この値は120に設定されます。ユーザーが120日以上オンラインになることなく、Desktop MFAを使ってサインインしていない場合、復旧PINがまだ有効であっても使用できません。ユーザーはロックアウトされ、復旧PINは生成できません。デバイスがオンラインになると、ユーザーがサインインに使用する復旧PINが生成できるようになります。

値は日単位で指定します。

名前（Name）：LoginPeriodWithoutEnrolledFactor

タイプ（Type）：Real

デフォルト（Default）：48

ユーザーが要素を登録せずにパスワードのみを使ってサインインできる猶予期間を指定します。

この猶予期間が切れた後は、ユーザーは自分のアカウントをリンク付けし、コンピューターにアクセスするためのオフライン認証要素を登録する必要があります。

値は時間単位で指定します。

名前（Name）：LoginPeriodWithOfflineFactor

タイプ（Type）：Real

デフォルト（Default）：168

この値を0に設定すると、ユーザーはオフライン要素を使ってサインインできなくなります。

LoginPeriodWithoutEnrolledFactorの値が0より大きい場合、ユーザーはX時間おきにオンライン要素を使ってサインインする必要があります。

値は時間単位で指定します。

名前（Name）：MFANotRequiredList

タイプ（Type）：String array

デフォルト（Default）：空

この配列に記載されているユーザーには、Desktop MFAは強制されません。

このリストはMFARequiredList配列よりも優先されます。ここにリストされているアカウントでは大文字と小文字が区別されます。

名前（Name）：MFARequiredList

タイプ（Type）：String array

デフォルト（Default）：*

ユーザーがこのリストに記載され、Desktop MFAがインストールされている場合、ユーザーにはMFAの使用が求められます。

ただし、Desktop MFAをインストールした一部のユーザーには、MFAの使用は必要ない場合があります。ユーザーがこのリストに記載されおらず、Desktop MFAがインストールされている場合、ユーザーにはパスワードのみが求められます。

デフォルト値は*で、MFAがすべてのユーザーに適用されることを意味します。

ここにリストされているアカウントでは大文字と小文字が区別されます。

たとえば、john-smithというローカルユーザーがMFARequiredList配列に記載されていれば、MFAの使用は必須となります。

名前（Name）：OfflineLoginAllowed

タイプ（Type）：Boolean

デフォルト（Default）：true

trueに設定すると、オフラインの要素がユーザーに表示されます。これによって、ユーザーはオフラインの認証要素を登録できるようになります。

falseに設定すると、オフライン要素が非表示となり、オフライン要素は強制されません。

このポリシーがtrueに変更され、LoginPeriodWithoutEnrolledFactorが期限切れになった場合は、ユーザーにオフライン要素の登録が強制されます。

次の手順

Desktop MFA for macOSに番号チャレンジを強制適用する

Desktop MFA for macOSにFIDO2キーの使用を構成する

macOCにDesktop MFAの復旧を有効にする

macOS Desktop MFAユーザーをサポートする