グローバルセッションポリシールールに動作を追加する

グローバルセッションポリシールールに動作を追加します。ルールをトリガーするには、ルールのすべての条件と動作を満たす必要があります。

このタスクを開始する

  1. Admin Consoleセキュリティ(Security) > グローバルセッションポリシー に移動します。

  2. ルールを追加するポリシーを選択します。

  3. ルールを追加(Add Rule)をクリックします。

  4. ルール名(Rule Name)(Rule name)フィールドに、作成するルールのわかりやすい名前を追加します。

  5. 任意。ユーザーを除外(Exclude users)フィールドに、ルールから除外するグループの個々のユーザーを示します。

  6. 条件を示します。

    • ユーザーのIP(IF[user's IP is)](If a user's IP is):ドロップダウンを使用して場所のパラメーターを割り当てます。すべての場所(Anywhere)ゾーン内(In zone)ゾーン外(Not in zone)のうち、どの場合に認証を行うように促すかを指定できます。

    • ネットワークの構成を管理(Manage configuration for Network)ネットワークの構成を管理(Manage configuration for Network)(Manage Configurations for Network)リンクをクリックし、ゲートウェイの設定にアクセスして、アクセスの選択を有効にします。このオプションの使用の詳細については、パブリックゲートウェイIPを参照してください。

    • 認証方法(AND[Authenticates via)](And Authenticates via):このドロップダウンを使用して、必要な認証方法を指定します。

    • 動作(AND[Behavior is)](And Behavior is):動作タイプや名前付きの動作を入力します。「動作タイプについて」を参照してください。

    • リスクレベル(AND[Risk is)](And Risk is):リスクレベルを[Low(低)中(]、[Medium)高(]、[High)]から選択して、ルールの一致に必要なリスクのレベルを変更します。「リスクスコアリング」を参照してください。

    • アクセスの可否...(THEN[Access is...)](Then Access is...):前のドロップダウンメニューの認証フォームに基づき、このフォームを使用して条件がアクセスを許可または拒否するかを決定します。

    • プライマリ要素(AND[primary factor is)](And primary factor is)パスワード/IDP(Password / ID)(Password / IDP)を選択するか、パスワード/IDP/アプリのサインオンルールで許可された任意の要素(Password / IDP / any factor allowed by app sign on rules)を選択します。パスワードレス認証を設定するには、パスワードレス・サインイン・エクスペリエンスをセットアップするを参照してください。

    • 予備の要素(AND[secondary factor)](And secondary factor):予備の要素が必要かどうかを示します。プロンプトをデバイスごとに表示するか、サインオンごとに表示するか、指定したセッション時間ごとに表示するか指定するラジオボタンが表示されます。毎回(Every Time)を選択すると、エンドユーザーはMFAプロンプトを制御できなくなります。これらのオプションのユーザーエクスペリエンスの詳細については、「エンドユーザーによるMFAプロンプトの制御」を参照してください。この時点で、こちらをパスワードレスのポリシーにすることが可能です。パスワードレス・サインイン・エクスペリエンスをセットアップするを参照してください。

    • 多要素認証の構成を管理(Manage configuration for Multifactor Authentication)多要素認証の構成を管理(Manage Configurations for Multifactor Authentication)リンクをクリックすると、認証(Authentication)ページとAuthenticator(Authenticators)タブにすばやくアクセスできます。それぞれの認証オプションの詳細については、「多要素認証を構成する」を参照してください。

    • 要素のライフタイム(Factor Lifetime):ユーザーが予備の要素の入力を再度試行できるまでの経過時間を指定します。デフォルトのライフタイムは15分で、最長期間は6か月です。

  7. Oktaグローバルセッション最大アイドル時間(Maximum Okta global session idle time)フィールドには、認証プロンプトがトリガーされるまでの最長のアイドル時間を指定します。エンドユーザーのセッションが期限切れになる5分前に、ダッシュボードにカウントダウンタイマーと、セッションを延長するためのオプションが表示されます。セッションのライフタイムはデフォルトで2時間となっていて、最長の許容期間は90日です。

関連項目

アプリ・サインイン・ポリシー(App sign-in policies)