Windows向けDesktop MFAポリシーを構成してデプロイする

レジストリキーをWindowsエンドポイントにデプロイして、Desktop MFAの動作を構成します。

レジストリキーを構成する

PowerShellスクリプトを作成して、初期デプロイメントとアップデートにMDMソリューションを使用することができます。Microsoftドキュメントで「IntuneのWindows 10/11デバイスでPowerShellスクリプトを使用する」を参照してください。

デプロイメントに管理用テンプレート（ADMX）を使用する別のオプションもあります。「グループポリシーテンプレートを使用してWindows向けDesktop MFAをデプロイする」を参照してください。

構成に関する注記

Oktaでは、すべてのレジストリキーをHKLM\Software\Policies\Okta\Okta Device Accessに保存します（レジストリキー表に記載されている場合は除く）。
コマンドラインパラメーターを使ってOkta Verifyインストーラーをもう一度実行しても、既存のレジストリキー設定は変更されません。

注:

ドメインコントローラーの負荷を軽減するために、MFARequiredListおよびMFABypassListの値は変更に最大10分かかる場合があります。

レジストリキー

レジストリキー	説明
名前（Name）：`AdminContactInfo` タイプ（Type）：`REG_SZ` デフォルト（Default）：なし	ユーザーがコンピューターからロックアウトされた場合に管理者への連絡方法に関する情報を提供する構成可能な文字列。例：`Contact your Help Desk at help@org.com or call 1-800-xxx-xxxx`。
名前（Name）：`AllowedFactors` タイプ（Type）：`REG_MULTI_SZ` デフォルト（Default）：`*`	ユーザーが認証に使用できる要素のリスト。 `AllowedFactors`リストでは、`UseDirectAuth`の有効化も必要です。この設定で取り得る値は次のとおりです。 `*`：すべての要素が許可されます。この値を空に設定するのと同じです。 `OV_Push` `OV_TOTP` `Offline_TOTP` `Offline_Security_key` `FIDO2_USB_key` `RSA_Token` 要素のスペルが正しいことを確認してください。注: `AllowedFactors`リストに含まれる要素が、`OfflineLoginAllowed`および`OnlineLoginAllowed`レジストリ設定によってユーザーに示される要素と一致しない場合、ユーザーがコンピューターからロックアウトされる可能性があります。
名前（Name）：`CredProvidersToExclude` タイプ（Type）：`REG_MULTI_SZ` デフォルト（Default）：空	プロバイダーのGUIDを指定して、ユーザーにカスタム資格情報プロバイダーを非表示にします。注: Okta Desktop MFAの資格情報プロバイダーは、このキーを使っても非表示にできません。
名前（Name）：`DeviceRecoveryPINDuration` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`60`	アクティブ化後のデバイス復旧PINの有効期間です。この期間は、ユーザーがPINを使用してサインイン試行を成功させると開始します。値は分単位で指定します。最大値は`7200`（5日間）です。 WindowsにDesktop MFAの復旧を有効にするを参照してください。
名前（Name）：`DeviceRecoveryValidityInDays` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`90`	デバイスの復旧PINを生成するために使用されるデバイス復旧シークレットのローテーション頻度を指定します。期間が終わると、このシークレットはデバイスの新しいPINを生成できなくなります。ユーザーのデバイスがOkta orgに接続すると、シークレットは自動的にローテーションされます。デバイスがOkta orgに接続できない場合、シークレットはローテーションされません。ユーザーのデバイスが接続してシークレットをローテーションするまで、デバイスの新しい復旧PINは生成できません。値は日単位で指定します。
名前（Name）：`ExcludePasswordCredProvider` タイプ（Type）：`REG_DWORD` デフォルト（Default）：空	デフォルトでは、標準のWindowsパスワード資格情報プロバイダーは無効になっています。 Windowsパスワード資格情報プロバイダーを復元してユーザーに表示するには、この値を`0`に設定します。
名前（Name）：`MaxLoginsWithOfflineFactor` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`50`	ユーザーがインターネットアクセスなしのオフラインMFA方式を使ってWindowsにサインインできる回数を定義します。Windows このポリシー設定は、コンピューターがオンライン状態でユーザーが認証にオフラインMFA方式を使用する場合も適用されます。ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。代わりにオンラインサインイン方式を使って認証できるように、ユーザーにはインターネットへの接続が求められます。
名前（Name）：`MaxLoginsWithoutEnrolledFactors` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`50`	ユーザーがMFA方式を使わずにWindowsにサインインできる回数を定義します。Windows このポリシー設定により、新規ユーザーは設定されている回数だけMFA方式のセットアップを延期できます。 Oktaが有効なオンラインまたはオフラインMFA要素を検出すると、Okta Verifyはユーザーにその要素を使用するよう求めます。ユーザーがMFA要素を使用してサインインすると、このポリシー制限は期限切れになります。ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。
名前（Name）：`MFABypassList` タイプ（Type）：`REG_MULTI_SZ` デフォルト（Default）：空	MFAによる認証が必要ないユーザーまたはActive Directoryグループのリスト。ユーザーが`MFARequiredList`と`MFABypassList`の両方にリストされている場合は、`MFABypassList`キーが優先されます。この設定で取り得る値は次のとおりです。空：全ユーザーにMFAを適用。 `username@domain.com`：ユーザーをセミコロン（`;`）で区切ります。 `GroupName`：グループ名をセミコロン（`;`）で区切ります。例：`john.doe@company.com;IT_Admins;Finance_Team`
名前（Name）：`MFAGracePeriodInMinutes` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`60`	コンピューターのロック後にユーザーがMFAを使用する必要がない猶予期間。 `MFAGracePeriodInMinutes`を`0`に設定した場合、ユーザーはサインインのたびにMFAを使ったID検証を求められます。猶予期間は、コンピューターのロック時にのみ適用されます。ユーザーアカウントを切り替えた、またはコンピューターを再起動した場合、ユーザーにMFAを使ったID検証が求められます。パスワード自動入力を有効にしている場合、猶予期間は適用されません。
名前（Name）：`MFARequiredList` タイプ（Type）：`REG_MULTI_SZ` デフォルト（Default）：`*`	パスワード以外にMFAも使って認証する必用があるユーザーグループまたはActive Directoryグループのリスト。Active Directory コンピューターがオンライン状態になって組織のネットワークに接続されている（直接、またはVPNを使用）場合、ユーザーは少なくとも1回はWindowsにサインインする必要があります。この接続により、ユーザーのActive Directoryグループメンバーシップが解除されます。このリストに含まれないユーザーは、MFAを使って認証する必要はありません。このリストのユーザーは、パスワード自動入力を使用してサインインする資格もあります。このリストに含まれないユーザーがデスクトップコンピューターにアクセスするには、パスワードを入力する必要があります。この設定で取り得る値は次のとおりです。 `*`：全ユーザーにMFAを適用。 `username@domain.com`：ユーザーをセミコロン（`;`）で区切ります。 `GroupName`：グループ名をセミコロン（`;`）で区切ります。空：ユーザーはMFAを使用せずにWindowsにサインインできます例：`john.doe@company.com;IT_Admins;Finance_Team`
名前（Name）：`NetworkAdapterMaxWaitInSeconds` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`0`	Okta がネットワークアダプターのインターフェイスで待機する最大秒数を設定します。デフォルト値は`0`秒です。これは、再試行なしで1回試行することに相当します。管理者はこのパラメーターを使用して、Desktop MFAアプリがオフライン要素にフェイルオーバーする前に、ネットワークアダプターへの接続を再試行する時間を定義できます。これは、休止状態の後に起動してインターネットへの接続に時間が必要なデバイスの場合に役立ちます。マシン上で他のソフトウェア（たとえば、CrowdStrikeなどのセキュリティユーティリティ）が実行されているために、ネットワークアダプターがダウンしている可能性があります。この値が`0`より大きい値に設定されていると、クライアントは200ミリ秒おきにネットワークアダプターを確認します。たとえば、この値が`1`に設定されている場合、Desktop MFAアプリはネットワークアダプターを5回（200ミリ秒 * 5 = 1秒）確認します。
名前（Name）：`NetworkTimeoutInSeconds` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`15`	この値は、検証のためのオンラインMFA要素のリストを取得する際のネットワークタイムアウトを設定します。このタイムアウトは、ネットワークオペレーションのみに適用され、ユーザーインタラクションには適用されません。この設定は、ユーザーがDNSの断続的な停止やその他の接続の問題を抱えている場合に役立ちます。デフォルト値は`15`秒です。最小値は`5`、最大値は`60`です。
名前（Name）：`OfflineLoginAllowed` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`1`	この値は、ユーザーがオフライン要素を使用してサインインできるかどうかを示します。デフォルトで値は`1`（true）に設定されています（つまり、使用可能なオフライン要素がユーザーに表示されます）。この値を`1`に設定し、`OnlineLoginAllowed`を`0`（false）に設定すると、オンライン要素のみがユーザーに表示され、ユーザーはそれを使用してサインインできます。この設定は、認証およびサインインフローにオフラインセキュリティキーを使用したいと考えているorgに適しています。
名前（Name）：`OktaJoinEnabled` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`0`	この値を`1`に設定すると、デバイスはOkta-joinedに指定されます。このパラメーターは、デバイスをデバイスバウンドシングルサインオンに登録するために必要です。
名前（Name）：`OnlineLoginAllowed` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`1`	この値は、ユーザーがオンライン要素を使用してサインインできるかどうかを示します。デフォルトでポリシーは`1`（true）に設定されています（つまり、使用可能なオンライン要素がユーザーに表示されます）。このポリシーを`1`に設定し、`OfflineLoginAllowed`を`0`（false）に設定すると、オンライン要素のみがユーザーに表示され、ユーザーはそれを使用してサインインできます。オフライン要素は使用できません。
名前（Name）：`PasswordlessAccessEnabled` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`0`	この値は、パスワードの自動入力を有効にして、ユーザーがパスワード以外の要素を使用してデバイスに安全にサインインできるようにします。パスワードの自動入力はデフォルトでは無効（`0`）になっています。パスワード自動入力では、Okta VerifyプッシュおよびFIDO2キーが`AllowedFactors`として指定されている場合に、これらがサポートされます。 Desktop MFAは常に、FIDO2キーPINを介したユーザー検証の強制適用を試みます。キーにPINがない場合、Desktop MFAはパスワード認証にフォールバックします。
名前（Name）：`SelfServicePasswordResetEnabled` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`0`	この値は、ユーザーがパスワードを忘れた場合にセルフサービスによるパスワードリセットを開始できるようにします。セルフサービスによるパスワードリセットはデフォルトでは無効（`0`）です。 Oktaユーザー名がMicrosoftユーザープリンシパル名（UPN）に一致しない場合は、ユーザープロファイルポリシーで複数の識別子を構成できます。これにより、ユーザーをUPN属性で識別できるようになります。この回避策を実装する手順は、このナレッジベースの記事を参照してください。
名前（Name）：`SelfServicePasswordResetErrorMessage` タイプ（Type）：`REG_SZ` デフォルト（Default）：`Unable to update the password. The value provided doesn't meet the domain's length, complexity, or history requirements.`	セルフサービスによるパスワードリセットに失敗した場合にユーザーにカスタマイズされたエラーメッセージを表示するための構成可能な文字列。
名前（Name）：`UseDirectAuth` タイプ（Type）：`REG_DWORD` デフォルト（Default）：`0`	この値を使用すると、Desktop MFAユーザーはFIDO2またはRSA Authenticatorを使用して認証できるようになります。注意: `UseDirectAuth`キーを`HKLM\Software\Okta\Okta Device Access`に保存します。この設定はデフォルトでは無効（`0`）です。この値は、デバイスバウンドシングルサインオンに必要です。 Oktaユーザー名がMicrosoftユーザープリンシパル名（UPN）に一致しない場合は、ユーザープロファイルポリシーで複数の識別子を構成できます。これにより、ユーザーをUPN属性で識別できるようになります。この回避策を実装する手順は、このナレッジベースの記事を参照してください。

説明

名前（Name）：AdminContactInfo

タイプ（Type）：REG_SZ

デフォルト（Default）：なし

ユーザーがコンピューターからロックアウトされた場合に管理者への連絡方法に関する情報を提供する構成可能な文字列。

例：Contact your Help Desk at help@org.com or call 1-800-xxx-xxxx。

名前（Name）：AllowedFactors

タイプ（Type）：REG_MULTI_SZ

デフォルト（Default）：*

ユーザーが認証に使用できる要素のリスト。

AllowedFactorsリストでは、UseDirectAuthの有効化も必要です。

この設定で取り得る値は次のとおりです。

*：すべての要素が許可されます。この値を空に設定するのと同じです。
OV_Push
OV_TOTP
Offline_TOTP
Offline_Security_key
FIDO2_USB_key
RSA_Token

要素のスペルが正しいことを確認してください。

注:

AllowedFactorsリストに含まれる要素が、OfflineLoginAllowedおよびOnlineLoginAllowedレジストリ設定によってユーザーに示される要素と一致しない場合、ユーザーがコンピューターからロックアウトされる可能性があります。

名前（Name）：CredProvidersToExclude

タイプ（Type）：REG_MULTI_SZ

デフォルト（Default）：空

プロバイダーのGUIDを指定して、ユーザーにカスタム資格情報プロバイダーを非表示にします。

注:

Okta Desktop MFAの資格情報プロバイダーは、このキーを使っても非表示にできません。

名前（Name）：DeviceRecoveryPINDuration

タイプ（Type）：REG_DWORD

デフォルト（Default）：60

アクティブ化後のデバイス復旧PINの有効期間です。この期間は、ユーザーがPINを使用してサインイン試行を成功させると開始します。

値は分単位で指定します。最大値は7200（5日間）です。

WindowsにDesktop MFAの復旧を有効にするを参照してください。

名前（Name）：DeviceRecoveryValidityInDays

タイプ（Type）：REG_DWORD

デフォルト（Default）：90

デバイスの復旧PINを生成するために使用されるデバイス復旧シークレットのローテーション頻度を指定します。

期間が終わると、このシークレットはデバイスの新しいPINを生成できなくなります。ユーザーのデバイスがOkta orgに接続すると、シークレットは自動的にローテーションされます。

デバイスがOkta orgに接続できない場合、シークレットはローテーションされません。ユーザーのデバイスが接続してシークレットをローテーションするまで、デバイスの新しい復旧PINは生成できません。

値は日単位で指定します。

名前（Name）：ExcludePasswordCredProvider

タイプ（Type）：REG_DWORD

デフォルト（Default）：空

デフォルトでは、標準のWindowsパスワード資格情報プロバイダーは無効になっています。

Windowsパスワード資格情報プロバイダーを復元してユーザーに表示するには、この値を0に設定します。

名前（Name）：MaxLoginsWithOfflineFactor

タイプ（Type）：REG_DWORD

デフォルト（Default）：50

ユーザーがインターネットアクセスなしのオフラインMFA方式を使ってWindowsにサインインできる回数を定義します。Windows

このポリシー設定は、コンピューターがオンライン状態でユーザーが認証にオフラインMFA方式を使用する場合も適用されます。

ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。代わりにオンラインサインイン方式を使って認証できるように、ユーザーにはインターネットへの接続が求められます。

名前（Name）：MaxLoginsWithoutEnrolledFactors

タイプ（Type）：REG_DWORD

デフォルト（Default）：50

ユーザーがMFA方式を使わずにWindowsにサインインできる回数を定義します。Windows

このポリシー設定により、新規ユーザーは設定されている回数だけMFA方式のセットアップを延期できます。

Oktaが有効なオンラインまたはオフラインMFA要素を検出すると、Okta Verifyはユーザーにその要素を使用するよう求めます。ユーザーがMFA要素を使用してサインインすると、このポリシー制限は期限切れになります。

ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。

名前（Name）：MFABypassList

タイプ（Type）：REG_MULTI_SZ

デフォルト（Default）：空

MFAによる認証が必要ないユーザーまたはActive Directoryグループのリスト。

ユーザーがMFARequiredListとMFABypassListの両方にリストされている場合は、MFABypassListキーが優先されます。

この設定で取り得る値は次のとおりです。

空：全ユーザーにMFAを適用。
username@domain.com：ユーザーをセミコロン（;）で区切ります。
GroupName：グループ名をセミコロン（;）で区切ります。

例：john.doe@company.com;IT_Admins;Finance_Team

名前（Name）：MFAGracePeriodInMinutes

タイプ（Type）：REG_DWORD

デフォルト（Default）：60

コンピューターのロック後にユーザーがMFAを使用する必要がない猶予期間。

MFAGracePeriodInMinutesを0に設定した場合、ユーザーはサインインのたびにMFAを使ったID検証を求められます。

猶予期間は、コンピューターのロック時にのみ適用されます。ユーザーアカウントを切り替えた、またはコンピューターを再起動した場合、ユーザーにMFAを使ったID検証が求められます。

パスワード自動入力を有効にしている場合、猶予期間は適用されません。

名前（Name）：MFARequiredList

タイプ（Type）：REG_MULTI_SZ

デフォルト（Default）：*

パスワード以外にMFAも使って認証する必用があるユーザーグループまたはActive Directoryグループのリスト。Active Directory

コンピューターがオンライン状態になって組織のネットワークに接続されている（直接、またはVPNを使用）場合、ユーザーは少なくとも1回はWindowsにサインインする必要があります。この接続により、ユーザーのActive Directoryグループメンバーシップが解除されます。

このリストに含まれないユーザーは、MFAを使って認証する必要はありません。

このリストのユーザーは、パスワード自動入力を使用してサインインする資格もあります。このリストに含まれないユーザーがデスクトップコンピューターにアクセスするには、パスワードを入力する必要があります。

この設定で取り得る値は次のとおりです。

*：全ユーザーにMFAを適用。
username@domain.com：ユーザーをセミコロン（;）で区切ります。
GroupName：グループ名をセミコロン（;）で区切ります。
空：ユーザーはMFAを使用せずにWindowsにサインインできます

例：john.doe@company.com;IT_Admins;Finance_Team

名前（Name）：NetworkAdapterMaxWaitInSeconds

タイプ（Type）：REG_DWORD

デフォルト（Default）：0

Okta がネットワークアダプターのインターフェイスで待機する最大秒数を設定します。

デフォルト値は0秒です。これは、再試行なしで1回試行することに相当します。

管理者はこのパラメーターを使用して、Desktop MFAアプリがオフライン要素にフェイルオーバーする前に、ネットワークアダプターへの接続を再試行する時間を定義できます。

これは、休止状態の後に起動してインターネットへの接続に時間が必要なデバイスの場合に役立ちます。マシン上で他のソフトウェア（たとえば、CrowdStrikeなどのセキュリティユーティリティ）が実行されているために、ネットワークアダプターがダウンしている可能性があります。

この値が0より大きい値に設定されていると、クライアントは200ミリ秒おきにネットワークアダプターを確認します。

たとえば、この値が1に設定されている場合、Desktop MFAアプリはネットワークアダプターを5回（200ミリ秒 * 5 = 1秒）確認します。

名前（Name）：NetworkTimeoutInSeconds

タイプ（Type）：REG_DWORD

デフォルト（Default）：15

この値は、検証のためのオンラインMFA要素のリストを取得する際のネットワークタイムアウトを設定します。

このタイムアウトは、ネットワークオペレーションのみに適用され、ユーザーインタラクションには適用されません。この設定は、ユーザーがDNSの断続的な停止やその他の接続の問題を抱えている場合に役立ちます。

デフォルト値は15秒です。最小値は5、最大値は60です。

名前（Name）：OfflineLoginAllowed

タイプ（Type）：REG_DWORD

デフォルト（Default）：1

この値は、ユーザーがオフライン要素を使用してサインインできるかどうかを示します。

デフォルトで値は1（true）に設定されています（つまり、使用可能なオフライン要素がユーザーに表示されます）。

この値を1に設定し、OnlineLoginAllowedを0（false）に設定すると、オンライン要素のみがユーザーに表示され、ユーザーはそれを使用してサインインできます。この設定は、認証およびサインインフローにオフラインセキュリティキーを使用したいと考えているorgに適しています。

名前（Name）：OktaJoinEnabled

タイプ（Type）：REG_DWORD

デフォルト（Default）：0

この値を1に設定すると、デバイスはOkta-joinedに指定されます。

このパラメーターは、デバイスをデバイスバウンドシングルサインオンに登録するために必要です。

名前（Name）：OnlineLoginAllowed

タイプ（Type）：REG_DWORD

デフォルト（Default）：1

この値は、ユーザーがオンライン要素を使用してサインインできるかどうかを示します。

デフォルトでポリシーは1（true）に設定されています（つまり、使用可能なオンライン要素がユーザーに表示されます）。

このポリシーを1に設定し、OfflineLoginAllowedを0（false）に設定すると、オンライン要素のみがユーザーに表示され、ユーザーはそれを使用してサインインできます。オフライン要素は使用できません。

名前（Name）：PasswordlessAccessEnabled

タイプ（Type）：REG_DWORD

デフォルト（Default）：0

この値は、パスワードの自動入力を有効にして、ユーザーがパスワード以外の要素を使用してデバイスに安全にサインインできるようにします。

パスワードの自動入力はデフォルトでは無効（0）になっています。

パスワード自動入力では、Okta VerifyプッシュおよびFIDO2キーがAllowedFactorsとして指定されている場合に、これらがサポートされます。

Desktop MFAは常に、FIDO2キーPINを介したユーザー検証の強制適用を試みます。キーにPINがない場合、Desktop MFAはパスワード認証にフォールバックします。

名前（Name）：SelfServicePasswordResetEnabled

タイプ（Type）：REG_DWORD

デフォルト（Default）：0

この値は、ユーザーがパスワードを忘れた場合にセルフサービスによるパスワードリセットを開始できるようにします。

セルフサービスによるパスワードリセットはデフォルトでは無効（0）です。

Oktaユーザー名がMicrosoftユーザープリンシパル名（UPN）に一致しない場合は、ユーザープロファイルポリシーで複数の識別子を構成できます。これにより、ユーザーをUPN属性で識別できるようになります。この回避策を実装する手順は、このナレッジベースの記事を参照してください。

名前（Name）：SelfServicePasswordResetErrorMessage

タイプ（Type）：REG_SZ

デフォルト（Default）：Unable to update the password. The value provided doesn't meet the domain's length, complexity, or history requirements.

セルフサービスによるパスワードリセットに失敗した場合にユーザーにカスタマイズされたエラーメッセージを表示するための構成可能な文字列。

名前（Name）：UseDirectAuth

タイプ（Type）：REG_DWORD

デフォルト（Default）：0

この値を使用すると、Desktop MFAユーザーはFIDO2またはRSA Authenticatorを使用して認証できるようになります。

注意:

UseDirectAuthキーをHKLM\Software\Okta\Okta Device Accessに保存します。

この設定はデフォルトでは無効（0）です。

この値は、デバイスバウンドシングルサインオンに必要です。

一般的な資格情報プロバイダーのGUID

最も一般的な資格情報プロバイダーを除外するには、以下のGUIDを使用してください。

資格情報プロバイダー	GUID	説明
パスワードプロバイダー	`{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}`	ユーザー名およびパスワード資格情報
NGC資格情報	`{D6886603-9D2F-4EB2-B667-1971041FA96B}`	ビジネスPIN用のWindows Helloの資格情報Windows Hello
FIDO資格情報	`{F8A1793B-7873-4046-B2A7-1F318747F427}`	FIDO2セキュリティキーに使用される資格情報

次の手順

以下の手順は、Desktop MFAに対する組織のニーズに応じて任意です。

Windowsにセルフサービスによるパスワードリセットを有効にする

Windows向けDesktop MFAに番号チャレンジを強制適用する

Desktop MFA for WindowsにFIDO2キーの使用を構成する

Windowsにデスクトップパスワード自動入力を構成する

WindowsにDesktop MFAの復旧を有効にする

Windows向けDesktop MFAのユーザーエクスペリエンス

Windows Desktop MFAユーザーをサポートする