パスキーは、複数のオペレーティングシステムプラットフォーム間や、スマートフォン、タブレット、ラップトップなどの複数デバイスでFIDO資格情報が存在する場合があるFIDO2標準の実装です。パスキーがあると、WebAuthn資格情報をバックアップしたりデバイス間で同期させたりできます。これによりWebAuthn/FIDOの強力なキーベース/フィッシング不可能な認証モデルが保持され、現在一部のWebAuthn Authenticatorで利用可能なデバイスバウンドキーや証明などの一部のエンタープライズセキュリティ機能に代わるものになります。ユーザーはセキュリティキーや、多要素認証チャレンジ用に通知を受け取るスマートフォンを用意する必要がなくなります。資格情報はひとつのデバイスに限られていないため、ユーザーは登録済みのあらゆるデバイスを使用して認証できます。管理対象デバイス環境では、ユーザーは管理対象外デバイスをパスキーの資格情報に登録し、そのデバイスを使用して企業システムへのアクセスを得ることができます。

詳細については、Oktaの『パスキー入門』を参照するか、FIDOアライアンスのウェブサイトで「パスキー」の詳細をお読みください。

• iOS 16+
• iWatch iOS 6+
• macOS Ventura +
• iPad

Oktaパスキー管理機能

機能名：FIDO2（WebAuthn）Authenticatorの同期パスキーのブロック

このOktaパスキー管理機能FIDO2（WebAuthn）Authenticatorの同期パスキーのブロックを使用すると、管理者は組織レベルでの新規登録パスキーのブロックを試みることができます。このセルフサービス機能は、Okta ClassicとOkta Identity Engineの両方で使用でき、管理者ダッシュボードの［設定］ページからアクセスできます。この機能を管理者が有効にすると、ユーザーがパスキーなどのマルチデバイスFIDO資格情報を使用して登録することを禁止し、アンマネージドデバイスや安全でないデバイスが機密性の高いアプリケーションにアクセスする潜在的なリスクを未然に防ぎます。
 

注：

• これは、以前の構成に従って引き続き機能する既存の登録には影響しません。この機能は、将来的にアプリケーションのサインオンポリシーにも適用できるよう、現在強化中です。
• orgでパスキーの使用をブロックすると、macOS Montereyを利用するユーザーはSafariブラウザーを使ってTouch IDに登録できなくなります。
• orgでパスキーがブロックされると、デバイスでiOS 16を利用するiPhoneユーザーはFIDO2（WebAuthn）Authenticatorを使用できなくなります。Okta FastPassを有効にするか、NFCまたはUSB-Cをサポートするセキュリティキーを有効にすることをお勧めします。iOS 16を実行しているデバイスの登録は、パスキー以外の用途のためにパスキーがブロックされた後にサポートされます。

よくある質問

これはClassicとOIEのどちらに影響しますか？

このセルフサービス機能FIDO2（WebAuthn）Authenticatorの同期パスキーのブロックは、ClassicとOIEで、管理者ダッシュボードの［設定］ページから利用できます。WebAuthnと同様にMFA/AMFA SKUでも使用できます。

ユーザーにとって、新たにできるようになったことは何ですか？

この機能により、マルチデバイス（パスキーなど）のすべてのWebAuthn Authenticatorと、構成証明のないAuthenticator（マルチデバイスの可能性もある）をブロックできるようになりました。これにより、Monterey OSのSafari Touch IDとiOS 16のChromeの新規登録もブロックされます。

FIDO2 WebAuthn Authenticatorの登録や認証もブロックされますか？

今のところ、このFFはFIDO2 WebAuthn Authenticatorの新規登録のみをブロックします。これは、既存の登録には影響しません。将来的には、認証とアプリサインオンポリシーをブロックする予定です。

現在WebAuthnを使用しているエンドユーザーはどうなりますか？

この機能は新しい登録にのみ影響するため、既存のWebAuthn登録には影響しません。ユーザーは、現在のWebAuthn Authenticatorを変更せずに引き続き使用できます。これはまた、ユーザーがWebAuthnパスキーに登録されていた場合でも、それらはブロックされないことを意味します。将来的には、ASOPで［h/w protected（h/w保護）］チェックボックスを使用してパスキーのブロックを制御できるように、この機能を強化する予定です。これをクリックすると、パスキーなどのすべてのマルチデバイス認証情報がサインオンから除外されます。この作業の日程は未定です。  

現在の認証方法とMac/iOSデバイスを引き続き使用できますか？

MFAのコアソリューションとしてTouch ID/Face IDを使用するWebAuthnに依存している場合、お客様は選択を迫られます。セルフサービスのEA機能では、許可キーのジレンマが解決されたり、今後これらのデバイスでプラットフォームAuthenticatorが使用されなくなったりすることはありません。デスクトップでは、Chromeを必須にして、Safariをサポートしなくても問題ない場合があります。これは、iOSデバイスでは実行できません。

Chromeなど、他のブラウザーではどうですか？

新規登録の場合、iOS 16のすべてのブラウザー（Chromeを含む）がブロックされます。他のオペレーティングシステムへの影響はありません。

ユーザーがパスキーを登録したかどうかを管理者が知るには、どうすればよいですか？

今の時点では、パスキーを登録したかどうかを確認する方法はありません。最善のアプローチはパスキーを完全にブロックすることです。OIEの場合は、FastPassの方が適している可能性があります。

パスキーをブロックする目的でこの機能を使うべきですか？

パスキーはFIDO2認証情報の一種であるため、フィッシング耐性があり、パスワードよりも優れています。ただし、パスキーはマルチデバイス資格情報であり、デバイス間でエクスポートできるため、ハードウェアで保護された資格情報とデバイスにバインドされた資格情報の使用に関するポリシーが企業にある場合は、パスキーをブロックしてください。

ユーザーにパスキーの登録を許可することで生じる可能性のあるデメリットは何ですか？

パスキーはマルチデバイスであるため、安全な管理対象デバイスから、安全でない可能性のある管理対象外のデバイスにエクスポートされる可能性があります。ハードウェアで保護された資格情報とデバイスにバインドされた資格情報に基づくアクセスポリシーが組織にある場合、管理者が指定したデバイスのセキュリティポスチャに準拠していない可能性のある管理対象外のデバイスに機密性の高いアプリケーションが公開されるリスクがあります。これにより、セキュリティ侵害が発生する可能性があります。