Okta Device Trust(Oktaデバイストラスト)

  • hC
  • EF

概要

KandjiのOkta Device Trust(ODT)統合は、 Kandji のデバイス管理機能とOktaのアプリ管理機能を組み合わせたものです。 Kandjiの ODT 統合は、 Okta Identity Engine (OIE) に基づいて構築されています。これは、お客様のOkta環境がOIEでODTに対応していることを検証し、KandjiでOkta Device Trustのスコープ内のデバイスにODT構成を自動的にデプロイすることで、ODTのセットアップと構成を効率化します。

Okta Device Trustを使用すると、Oktaの管理者は、エンドユーザーがデバイスからOktaで保護されたアプリにアクセスする前に、 Kandji がAppleデバイスを管理していることを確認できます。これにより、Okta FastPassはエンドユーザーのパスワードレス認証エクスペリエンスの一部となり、パスワードを必要とせずにOktaとOktaリソースにサインインできるようになります。特に iOSiPadOS、および macOS デバイスの場合、FastPassを使用すると、ユーザーは Face IDTouch ID を活用してリソースにアクセスできます。Okta FastPassはOkta Identity Engineの機能です。

始める前に

統合セットアッププロセス中に、 Kandji は次のアイテムの存在を確認します。これらのアイテムは、 KandjiとのODT統合を設定する前にOktaテナントで構成する必要があります。

  • Okta Verify Apple App Storeアプリは、Apple Business ManagerまたはApple School ManagerApps and Booksを介してKandjiに割り当てる必要があります。これは、Okta Verify for ODTで唯一サポートされている展開方法です。

  • Oktaテナントは、Okta Classic Engineから Okta Identity Engineに移行する必要があります。

    • ODT統合を設定するユーザーは、スーパー管理者の役割を持つOktaユーザーアカウントにアクセスできる必要があります。スーパー管理者の資格情報は、初期認証とAPIサービス統合の追加にのみ必要です。

  • Okta FastPassはOktaテナントで有効にする必要があります。このOktaガイドを使用して、組織のFastPassを有効にして構成します。

  • Okta でデバイス統合を追加するには、Okta アダプティブ MFAが必要です。

設定手順

次に、 Kandjiを使用して ODT を設定およびデプロイする手順の概要を示します。

  1. KandjiでOkta Device Trust統合をセットアップします。

  2. Oktaでのデバイスプラットフォームの追加と構成をします。

  3. Oktaデバイスプラットフォームを Kandjiに追加して構成します。

  4. Okta Device Trustを展開するために、Okta Verify ライブラリアイテムを構成します。

デバイスに展開される設定

ODTがセットアップされ、有効になり、Blueprintにスコープが設定されると、次の設定ペイロードが自動的に構成され、 KandjiでOkta Device Trustのスコープ内のAppleデバイスに配信されます。

ペイロード設定

プラットフォーム

概要

動的 SCEP 証明書

macOS

これは、デバイスごとに一意のOkta SCEP証明書です。証明書は、デバイス登録プロセスで使用されます。

OktaVerify.EnrollmentOptions

macOS

Okta Verify SilentEnrollmentEnabled 構成が macOS デバイスに送信されます。これにより、未登録のデバイスがOktaリソースにアクセスしようとするとOkta Verifyが自動的に起動し、ユーザーの組織URLを事前入力します。

Okta Verifyログイン項目

macOS

このペイロードは、Okta Verifyを macOS のログイン項目として追加し、ユーザーログイン時にOkta Verifyを起動します。

マネージド アプリの構成

iOSiPadOS

このアプリ構成には、Oktaでデバイスを管理対象として登録するために使用される OktaVerify.OrgUrl とデバイス managementHint が含まれています。

SSO拡張ペイロード

macOSiOS、および iPadOS

SSO拡張機能は、ブラウザまたはアプリからOkta Verifyにリクエストを転送し、ユーザーは[Open Okta Verify(Okta Verifyブラウザーを開く)]プロンプトを受け取りません。Chrome または Firefox ではサポートされていません。

EDR プラグイン設定は ODT 統合では展開されませんが、必要に応じて別の構成プロファイルを介して配信できます。この操作を行っても、上記の表に記載されている設定には影響しません。( EDR プラグインプロファイルの例)

Oktaへのエンドユーザーデバイスの登録

ODTの手動構成(別名Oktaデバイス認証)をすでにデプロイしている場合は、 Kandji ODT統合に切り替えるときに既存のデバイスに影響はありません。 Kandji ODT 統合を構成してデバイスに展開したら、デバイス認証構成ライブラリアイテムを非アクティブに設定するか、削除できます。

Okta Verifyと必要な設定がデバイスにインストールされた後、エンドユーザーは次の手順を実行して、管理対象のAppleデバイスをOktaに登録します。

以前に登録済みで、管理ステータスが「管理対象外」のデバイスの場合

デバイスがOkta Verifyを通じてOktaにすでに登録されているが、 Kandji とのODT統合またはOkta Device Attestation(手動ODT構成)を介してOkta Device Trust用にまだ構成されていない(例:Oktaの管理ステータスが「管理対象外」)場合、デバイスレコードをOktaユニバーサルディレクトリから削除する必要があります。 また、エンドユーザーは、以下の手順に従ってデバイスをOktaに再登録する前に、デバイス上のOkta Verifyアプリからサインアウトする必要があります。

macOS

  1. Okta Verifyアプリを開きます(Okta Verifyは macOSのログイン時に自動的に起動します)

  2. Oktaの資格情報でサインインし、パスワードレス認証の Touch ID を設定します。

  3. Webブラウザを起動し、Oktaダッシュボード(例:.okta.com)にサインインし、Okta FastPassで認証します。

  4. 完了です。

iOSiPadOS

  1. Okta Verifyアプリを開きます。

  2. [ アカウントを追加] をタップします。

  3. [組織] をタップします。

  4. サインイン方法として [ No, Sign in instead (いいえ、代わりにサインイン)] を選択します。(エンドユーザーは、利用可能な場合はQRコードメソッドを使用することもできます)

  5. 画面をタップして[ 次へ ]ボタンをタップします。( 組織のサインインURL は事前に入力されています)

  6. Oktaにサインインします。

  7. デバイスでのプッシュ通知を許可するかスキップするかを選択します。

  8. Touch ID または Face IDを有効にします。

  9. 完了です。

上記のプロセスが完了すると、デバイスレコードはOkta Universal Directoryで管理対象として表示されます。

次の記事へ

Okta Device Trust統合をセットアップする