Okta

オクタ

概要説明

デバイストラストについて

デバイストラストについて

iOSデバイスのデバイストラストの仕組み

MDMに参加していることを条件としてデバイストラストを行います。(MDMに参加している->認められたデバイスとみなす)

iOSデバイスのデバイストラストの仕組み

iOSのデバイストラスト設定フロー

iOSのデバイストラストは、Ivanti MobileIron(旧MobileIron)、Microsoft Endpoint Manager(旧Intune),VMware WorkSpace OneなどのMDM側でシークレットキーを付与した
Okta Mobileアプリを登録し、対象iOS機器へOkta Mobileを配布することで実現します。

もし、ユーザがシークレットキーが付与されていないOkta Mobileを使用してログインしてきた場合は、シークレットキーがないため信頼できるデバイスではないと判断し、特定のアプリケーションへのアクセスを拒否することが可能です。

以下手順で設定を行います。

  • Okta側でiOSのデバイストラストを有効化しシークレットキーを発行
  • MDM側にてシークレットキーが付与されたOkta Mobileアプリを登録し対象iOSデバイスへアプリを配布
  • Okta側にてアプリケーションへのアクセス制御を行うためのポリシー設定を適用

Okta側でデバイストラスト有効化

  • Security > Device Trust画面へ遷移しiOS Device TrustのEditをクリック
Okta側でデバイストラスト有効化
  • Enable iOS Device Trustにチェックを入れ、MDMを選択後、Nextをクリック
Okta側でデバイストラスト有効化

※上記例では、MobileIronを選択

  • Secret Key valueをクリップボードへコピーし、Enrollment linkへMDM登録用のURL(任意)を入力し、SAVEをクリック
    ※MDM登録用のURLは、MDM非登録デバイスがアクセスした際に、MDM登録を促すためにユーザへ表示される。(MDM非登録デバイスに対してMDM登録を促したくない場合には設定しない)
Okta側でデバイストラスト有効化
  • iOSのデバイストラスト設定内容が問題ないことを確認し、有効化設定完了
Okta側でデバイストラスト有効化

MDM側でOktaアプリを登録(Ivanti MobileIronの場合)

  • 選択したMDMの管理画面を開き、アプリの設定画面へ遷移
    ※対象iOS機器には、既にMDM側からのアプリが配布可能状態である状態を想定
MDM側でOktaアプリを登録(Ivanti MobileIronの場合)

※上記例では、Ivanti MobileIronの管理画面

  • 追加をクリックし、アプリの種類でiOSストアアプリを選択
MDM側でOktaアプリを登録(Ivanti MobileIronの場合)
  • 検索ウィンドウへOkta Mobileと入力し、Okta Mobileを選択し、次へをクリック
MDM側でOktaアプリを登録(Ivanti MobileIronの場合)
  • Okta Mobileの情報が反映されるので、次へをクリック
MDM側でOktaアプリを登録(Ivanti MobileIronの場合)
  • Okta Mobileを配布するユーザ・グループを設定後、次へをクリック
MDM側でOktaアプリを登録(Ivanti MobileIronの場合)
  • 追加するOkta Mobileの情報を確認の上で、完了をクリック。アプリ(Okta Mobile)自体の追加完了
MDM側でOktaアプリを登録(Ivanti MobileIronの場合)
  • 追加したOkta MobileにOkta側シークレットを付与するため、Okta Mobileのアプリ構成タブのiOSマネージドアプリの構成を選択
MDM側でOktaアプリを登録(Ivanti MobileIronの場合)
  • 追加を選択
MDM側でOktaアプリを登録(Ivanti MobileIronの場合)
  • 任意の名前を入力
MDM側でOktaアプリを登録(Ivanti MobileIronの場合)
  • iOSマネージドアプリ構成の追加をクリックし、以下情報を入力
  • Domain:OktaテナントURL(https://demo.okta.comなど)
  • managementHint:事前にコピーしたSecret Key
MDM側でOktaアプリを登録(Ivanti MobileIronの場合)
  • 構成の配布対象を設定し、保存をクリック
MDM側でOktaアプリを登録(Ivanti MobileIronの場合)
  • 追加した構成が一覧に表示されれば、MDM側の設定完了
MDM側でOktaアプリを登録(Ivanti MobileIronの場合)

MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)

  • 選択したMDMの管理画面を開き、アプリの設定画面へ遷移
    ※対象iOS機器には既にMDM側からのアプリが配布可能状態である状態を想定
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)

※上記例では、Microsoft Endpoint Managerの管理画面

  • Okta Mobileを有効化するために、プラットフォーム別のiOS/iPadOSを選択
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • 追加をクリックし、アプリの種類にiOSストアアプリを選び、選択をクリック
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • アプリの追加設定画面にて、アプリストアを検索しますをクリック
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • 検索ウィンドウへOkta Mobileと入力し、Okta Mobileを選んだ状態で、選択をクリック
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • Okta Mobileの情報が反映されるので、任意の名前を入力後、次へをクリック
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • Okta Mobileを使用可能なユーザ・グループを設定後、次へをクリック
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • 追加するOkta Mobileの情報を確認の上で、作成をクリック。アプリ(Okta Mobile)自体の追加完了
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • 追加したOkta MobileにOkta側シークレットを付与するため、アプリ構成ポリシーを選択し、追加マネージドデバイスをクリック
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • アプリ構成ポリシーの設定画面が表示されるので、任意の名前とプラットフォームでiOS/iPadOSを選択し、アプリの選択をクリック
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • 追加したOkta Mobileを選択後、次へをクリック
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • 構成設定の形式で構成デザイナーを使用するを選択
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • 構成キーへ以下情報を入力し、次へをクリック
  • Domain:OktaテナントURL(https://demo.okta.comなど)
  • managementHint:事前にコピーしたSecret Key
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • 割り当て先で、任意の割り当て対象を選択し、次へをクリック
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • 追加するポリシー情報を確認し、作成をクリック
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)
  • 追加したポリシーが一覧に表示されれば、MDM側の設定完了
MDM側でOktaアプリを登録(Microsoft Endpoint Managerの場合)

Okta側でポリシーを設定

  • Applications > Applications 画面へ遷移。デバイストラストポリシーを適用する任意のアプリケーションをクリック
Okta側でポリシーを設定
  • Sign Onタブを選択し、ページ最下部まで移動
Okta側でポリシーを設定
  • Sign On PolicyのAdd Ruleをクリック
Okta側でポリシーを設定
  • ポリシー内容設定画面が表示されるので、Rule Nameに名前を入力
Okta側でポリシーを設定
  • CLIENTでiOSのみチェックを入れ、以下項目を選択後SAVEをクリック
  • DEVICE TRUST:Trustedを選択
  • ACTIONSのACCESS:Allowedを選択
Okta側でポリシーを設定
  • ポリシー一覧に該当のポリシーが追加されたことを確認
Okta側でポリシーを設定
  • 再度Sign On PolicyのAdd Ruleをクリック
Okta側でポリシーを設定
  • ポリシー内容設定画面が表示されるので、Rule Nameに任意の名前を入力
Okta側でポリシーを設定
  • CLIENTでiOSのみチェックを入れ、以下項目を選択後SAVEをクリック
  • DEVICE TRUST:Trustedを選択
  • ACTIONSのACCESS:Allowedを選択
Okta側でポリシーを設定
  • ポリシー一覧に該当のポリシーが追加されたことを確認し、設定完了
Okta側でポリシーを設定

【参考】デバイストラストの動作検証

Okta側でポリシーを設定

iPad OSの注意点

iOSデバイスに対してDevice Trustを有効にした場合であっても、iPadのOkta Mobileからアプリへアクセスした際にDevice Trustが実行されません。結果として、非管理のiPadのOkta Mobileからアプリへのアクセスが可能となってしまいます。

本事象はOkta Mobileアプリが、 iPad OS 13以降のiPad OSを、iOSではなくmacOSと認識するためです。(iPad OSの仕様変更により、iPad OS 13からユーザエージェントがMacと同じになったことが起因)

対応方法は以下となります。

  • iPadではOkta Mobileからアプリへアクセスしないようにする
    1. Oktaのアプリ設定のGeneralの「Do not display application icon in the Okta Mobile app」を有効にすることでOkta Mobileへアプリのアイコンが表示されなくなる
    2. 本設定を行った場合、iPhone/iPad/Androidの全デバイスでOkta Mobileへアプリのアイコンが表示されなくなるが、これらのモバイルデバイスの場合は専用アプリを使ったSP-Initiatedでの利用を行う
  • iPad/AndroidデバイスでOkta Mobileからアプリを利用する場合は以下の対処を行う
    1. macOSを使っていない場合には、Sign On PolicyでmacOSのアクセスをDeniedとする
    2. macOSを使っている場合には、Sign On Policyで高優先度でmacOSに対してDevice Trustを行い、Not TrustedのmacOSをDeniedとする

お問い合わせ・資料請求

株式会社マクニカ  Okta 担当

月~金 8:45~17:30