この記事では、一連のユーザーに対してグループメンバーシップを活用して多要素認証（MFA）をバイパスするためのベストプラクティスについて説明します。

• MFAから除外する必要があるサービスアカウントまたはユーザー
• 多要素認証（MFA）
• ユーザーグループの利用
• Okta Identity Engine（OIE）

MFAのバイパスルールを作成するには、以下の手順またはビデオに従って認証ルールを適用するグループが必要です。

1. MFAポリシーから除外する必要があるユーザーのグループを作成します。
2. MFAをバイパスする必要があるユーザーを割り当てます。
3. MFAをバイパスするアプリケーションに適用されている認証ポリシーに移動します。
4. ［ルールの追加］をクリックし、［User must authenticate with Password / IdP（ユーザーはパスワード / IdPによる認証が必要）］を指定してMFAが不要な新しいルールを追加し、手順1で作成したグループに適用します。
5. このルールが最優先ルールであり、MFAを必要とするルールより上位であることを確認します。 

構成は以下のようになります。
 

注：

• ユーザー/グループは引き続き登録ポリシーの対象であり、エンドユーザーは、登録ポリシーで必須として設定されていて、グループに適用されるすべての要素への登録を求められます。そのためには、登録ポリシーを変更し、対象のグループに対して要素をオプションまたは無効に設定することが必要になる場合があります。
• OIEのパスワードポリシーの構成では、ユーザーがメールまたは秘密の質問を登録する必要がある場合があります。さらに、ユーザーは、登録ポリシーでオプションまたは無効が選択されていても、電話またはOkta Verifyの登録をするオプションを使用できます。たとえ復旧のみを目的としているとしても、組織がユーザーに特定のAuthenticatorへの登録を望まない場合を覚えておくことが重要です。