多くの組織は、Okta Verify、FastPass、Windows Hello for Business(WHfB)の3つのテクノロジーの利用を同時に開始しようとします。macOSやモバイルではWHfBの導入は生体認証ソリューションに遅れをとっているため、プロジェクトを一緒にまとめようとすると全体が遅れることがよくあります。
Windowsでのパスワードレス認証にはWHfBが必要です。そのロールアウトをOkta Verify + FastPassから切り離すことで、相互に依存する2つのシステムが同時にセットアップされることを回避して、サポートの問題を軽減することができます。
- Okta Identity Engine
- 多要素認証
- Windows 10/11
- Okta Verify 9.x以上
主要な概念
| コンポーネント | 認証における役割 | 管理者のよくある誤解 |
| Okta Verify | WindowsにインストールされたデバイスバウンドAuthenticator | 登録時にWHfBが必要(必要ありません) |
| FastPass | Oktaのフィッシング耐性のあるデバイスベースのログインフロー | 初日にWHfBの生体認証が必要(必要ありません) |
| Windows Hello for Business | WindowsのFastPassで使用されるOSネイティブのユーザー検証(UV)を提供 | Okta Verifyと同時にロールアウトが必要(必要ありません) |
注:WHfBは、生体認証が有効になっている場合でも、常にPINキーを保存します。Oktaでは、ユーザーが顔/指紋とPINのどちらでWHfBをロック解除したかを区別できません。
推奨されるロールアウトシーケンス
| フェーズ | 目的 | 管理者のアクション | 参考情報 |
| 1. WHfBのロールアウト | 会社のデバイスでWHfBをプロビジョニングします。 |
| Microsoftドキュメント→「Configure WHfB using Intune」 |
| 2. Okta VerifyとFastPassの導入 |
WHfBの準備ができていなくても、ユーザーにOkta VerifyとFastPassへの登録をその日のうちに許可します。 ユーザーが証明書ベースのチェックで認証できるようにします。 |
|
Oktaドキュメント→「Okta Verifyオプションの構成」 |
| 3. ユーザーへの通知と後押し | 遅れている人には、WHfBのセットアップを完了するように通知します。 |
| Oktaドキュメント→「デバイス保証ポリシーの追加」 |
| 4. WHfBの導入の追跡 | MDMポリシーが有効であることを確認します。 |
| Microsoftドキュメント→「Intune device configuration assignment status」 |
| 5. OktaでのUVの強制 | パスワードレスでフィッシング耐性のあるサインインを強制します。 |
| Oktaドキュメント→「認証ポリシーでの生体認証によるユーザー検証」 |
エンドユーザーエクスペリエンスのタイムライン
-
事前:ユーザーがOkta Verifyをインストールし、FastPassを登録します。Windows Helloの有効化は必須ではないため、任意でスキップできます。
-
猶予期間中:Okta Sign-in Widgetに、Windows Helloのセットアップを完了するように通知するメッセージがユーザーに繰り返し表示されます。Windows HelloがセットアップされていることがOkta Verifyで検出されていない場合、すべてのサインインでこのメッセージが表示されます。
- 期限後:WHfBが構成されていない場合、サインインは拒否されます。Windows Helloのセットアップが完了していないため、アクセスが拒否されたことを示すメッセージがユーザーに表示されます。
ヒントとまとめ
-
MDMを使用して、WHfBをサイレントにプッシュします。
-
UVを[推奨]に設定して、Okta Verify + FastPassの利用をすぐに開始します。
-
デバイス保証を使用して期限を設定し、期待されることを伝えます。
-
MDMダッシュボードで、導入を監視します。
-
カバレッジが高くなったら、ユーザー検証を強制します。
この段階的なアプローチに従うことで、従業員は、すべてのWindowsユーザーがWindows Helloの登録を完了することを待たずに、パスワードレスでフィッシング耐性のあるログインをすぐに利用することができます。
