Okta 管理コンソールにアプリのログオン ポリシー ルールを構成します。

アプリへのきめ細かいアクセスを構成するには、以下に基づいて 1 つ以上の優先ルールを作成するときに条件を選択的に適用します。

  • ユーザーが誰であるか、およびユーザーが属するグループ
  • ユーザーがネットワークに接続されているかどうか、または定義されたネットワーク ゾーン内にいるかどうか
  • デバイスで実行されているクライアントのタイプ(Office 365 アプリのみ)
  • モバイルまたはデスクトップ デバイスのプラットフォーム
  • デバイスが信頼されているかどうか

許可リスト アプローチに従ってログオン ポリシー ルールを作成するには、次の手順を実行します。

  1. アプリへのアクセスを許可するシナリオをサポートする 1 つ以上の許容ルールを作成し、それらのルールに最高の優先度を割り当てます。
  2. 手順 1 で作成した許容シナリオに一致しないユーザーに適用される Deny catch-all ルールを作成します。Okta のデフォルト ルールのすぐ上の Deny catchall ルールに、最も低い優先度を割り当てます。ここで説明する許可リスト アプローチでは、デフォルト ルールは Deny catchall ルールによって事実上無効にされるため、アクセスされることはありません。

デバイス信頼を無効にする場合は、次のガイドラインに従ってください。

  • [アプリケーション] > [アプリ] > [ログオン ポリシー] ページで、信頼できるデバイスを許可するアプリのログオン ポリシーも構成している場合は、[セキュリティ] > [デバイス信頼] ページの [デバイス信頼] 設定を選択解除しないでください。選択解除すると、デバイス信頼構成が一貫性のない状態になります。

    組織のデバイス信頼を無効にするには、最初にデバイス信頼設定を含むアプリのログオン ポリシーをすべて削除し、次に [セキュリティ] > [デバイス信頼] ページでデバイス信頼を選択解除します。

  • 組織のデバイス信頼ソリューションを無効にするよう Okta に依頼する場合([セキュリティ] > [デバイス信頼] ページで有効にした [デバイス信頼の有効化] 設定とは別)、アプリのログオン ポリシー ルールの [デバイスの信頼] 設定を [いずれも一致しない] に変更してください。この変更を行わず、後で組織のデバイス信頼ソリューションを Okta で再度有効にすると、アプリのログオン ポリシー ルールの [デバイスの信頼] 設定がすぐに有効になりますが、これは予期しない動作である場合があります。

ログオン ポリシー ルールの作成の詳細については、https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htmを参照してください。

前提条件

アプリ、組織、またはスーパー管理者として Okta 管理コンソールにログインします。これらのロールのみがアプリのログオン ポリシーを構成できます。

手順

  1. Okta 管理コンソールで [アプリケーション] タブをクリックしてから、Device Trust で保護する SAML または WS-Fed 対応のアプリをクリックします。
  2. [ログオン] タブをクリックし、[ログオン ポリシー] セクションまでスクロールし、[ルールを追加] をクリックします。
  3. 許可リストのサンプルをガイドとして使用して、1 つ以上のルールを構成します。
    注: デフォルトでは、[アプリのログオン ルール] ダイアログ ボックスのすべてのクライアント オプションが事前に選択されています。[クライアント] セクションで次のオプションを選択解除しない限り、[デバイス信頼] セクションの [信頼済み] および [信頼しない] オプションは選択できません。
    • [Exchange ActiveSync またはレガシー認証クライアント]
    • [その他のモバイル(BlackBerry など)]
    • [その他のデスクトップ(Linux など)]

例: サンプル許可リスト

信頼できないデバイスを使用しているユーザーは、Workspace ONE の登録の手順に進むか、Okta でのデバイス信頼設定の有効化 で設定された登録リンクの宛先にリダイレクトされます。

サンプル ルール 1: Web ブラウザ ; 最新の認証 ; iOS および/または Android ; 信頼 ; アクセスを許可 + MFA

サンプル ルール 2: Web ブラウザ ; 最新の認証 ; iOS および/または Android を除くすべてのプラットフォーム ; すべての信頼 ; アクセスを許可 + MFA

サンプル ルール 3: Web ブラウザ ; 最新の認証 ; iOS および/または Android ; 信頼できない ; アクセスを拒否

ルール 4: デフォルトのログオン ルール – すべてのクライアント、すべてのプラットフォーム ; すべての信頼 ; アクセスを許可

注: この許可リストの例は、Office 365 へのアクセスを管理するためのデバイス信頼ルールを示しています。他のアプリの場合は、 [ユーザーのクライアントがこれらのいずれかである場合] セクションが存在しないことに注意してください。