<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-M74D8PB" height="0" width="0" style="display:none;visibility:hidden">
Loading
ナビゲーションへスキップメインコンテンツへスキップ
システムステータス
お知らせ
お知らせ
検索
検索
Select Language
ナレッジベース
ナレッジ記事
サポート動画 ↗
ドキュメント
製品ドキュメント ↗
開発者用ドキュメント ↗
製品リリースノート ↗
コミュニティー
イベントとウェビナー
Okta Ideas ↗
リソース
製品ハブ
Customer Success Hub
製品リリースの最新情報
学習
Okta Learning ↗
サポートを受ける
ケースをオープン
HomeKnowledge Base
Desktop MFA for Windowsのトラブルシューティング
Dec 24, 2025
Okta Device Access
Okta Identity Engine

概要

このガイドでは、Oktaデスクトップ多要素認証(MFA)に関連する問題を診断して解決するための体系的なアプローチを紹介します。これらの手順を順番に実行して、根本原因を効果的に絞り込みます。

解決策

ステップ1:最初のトリアージとスコーピングに関する質問

まず、問題の範囲とコンテキストを理解するための基本情報を収集します。

  • 新規のセットアップか、既存のセットアップか?これはDesktop MFAの新規実装ですか、それとも既存のセットアップが機能しなくなったのですか?
  • 影響の範囲は?すべてのユーザーが影響を受けますか?それとも単一のユーザーまたは特定のグループに限定されている問題ですか?
  • ブラウザーログインのテスト:影響を受けたユーザーは、Okta Verify Push/TOTPを使用してWebブラウザーからOkta Dashboardに正常にログインできますか?これは、問題がデスクトップクライアントに固有のものかどうかを確認するのに役立ちます。
  • フェデレーションアプリのテスト: Entra参加済みデバイスの場合:Okta Dashboardにログインした後、ユーザーはMicrosoft 365またはその他のフェデレーションアプリケーションにアクセスできますか?これを確認することで、Microsoftとのより広範なフェデレーションやライセンスの問題を除外できます。

 

ステップ2:実装と構成のチェック

最初のトリアージがセットアップの問題を示している場合は、主要な構成を確認します。

  • Okta Verify(OV)のインストール:

    • インストール中に正しいクライアントIDクライアントシークレット、およびOrg URLが使用されたことを確認します。

    • Desktop MFAがセットアップされる前にOkta Verifyがすでにデバイスにインストールされている場合は、Desktop MFAに使用する新しいバージョンが既存のバージョン以上であることを確認します。

  • レジストリ設定:

    • 管理者がデフォルト設定を使用しているか、カスタムポリシーを構成しているかを確認します。

    • カスタム設定を使用している場合は、ドキュメント「Windows向けDesktop MFAポリシーを構成してデプロイする」に従って、HKLM\Software\Policies\Okta\Okta Device Accessにあるすべてのレジストリキーが正しく構成されていることを確認します。

 

ステップ3:一般的な問題と解決策

構成が正しいと思われる場合は、この一般的な問題のリストを参照して具体的な解決手順を確認します。

  1. ユーザーがOkta認証情報プロバイダーをバイパスできる

    • ユーザーがOktaの使用を強制されずにデフォルトのWindowsパスワードプロバイダーまたはWindows Hello for Businessを選択できる場合は、ほかの認証情報プロバイダーの除外に関するガイドを参照してください。

    • 記事: Desktop MFAから認証情報プロバイダーを除外する

  2. ユーザーがMFAを要求されない(またはオフラインMFAのみが表示される)

  3. MFAの選択肢にセキュリティキー(USB)のオプションがない

  4. 直接認証が有効である場合に[ログイン失敗]というエラーが表示される

  5. セルフサービスによるパスワードリセット(SSPR)が失敗している

    • [パスワードを忘れた場合]オプションがない場合:

      • 「アクセスポリシーを構成する」の説明に従って、SelfServicePasswordResetEnabledレジストリキーが1に設定されていることを確認します。

      • OktaのDesktop MFAアプリの[アプリケーションのユーザー名]の形式が、ユーザーのActive Directory(AD)のsamAccountNameまたはAzure ADユーザープリンシパル名(UPN)と一致していることを確認します。

 

  1. ユーザーがオフライン要素を使用したログインを許可されているにもかかわらず、オフライン要素を使用してデバイスにログインできない、またはデバイスのログイン中にオンライン要素方式しか取得できない

    • パスHKLM\Software\Policies\Okta\Okta Device Accessで構成されているレジストリキーを見つけてください。
    • エンドユーザーは、構成済みの制限であるMaxLoginsWithoutEnrolledFactorsに達する前に、オフライン確認方法とオンライン確認方法を構成する必要があります。
    • 管理者は、MaxLoginsWithOfflineFactorの制限も考慮する必要があります。オフラインログインのカウンターがMaxLoginsWithOfflineFactorを超えると、ユーザーはオフライン要素を使用してログインすることを許可されなくなり、オンライン要素が登録されていない場合はデバイスからロックアウトされます。その場合、ユーザーはオンライン要素方式で登録する必要があります。
    • パス「HKLM\Software\Okta\Okta Device Access\User Policies\<SID>」でカウンターの値を確認します。
    • 注:ユーザーがオンライン要素方式を使用してログインするたびに、MaxLoginsWithOfflineFactorのカウンターは0にリセットされます。

 

  1. ユーザーまたはユーザーグループがMFABypasslistに追加されているのに、依然としてMFAを要求される

    • 現在、これはドメインに参加しているマシン(ハイブリッド参加)でのみ機能します。
    • 単一のユーザーの場合は、そのユーザーのUPNを追加します。グループの場合は、グループ名を追加するだけで十分です。
    • マシンはドメインコントローラー(DC)と通信して、ユーザーのグループのリストを取得します。
    • MFABypassリストに記載されているグループにユーザーが新しく追加された場合、更新がデバイスに反映されるまでユーザーは10分待つ必要があります。
    • 複数のユーザーグループまたはユーザーをスペースで区切ってレジストリに追加できます。 
    • DCで取得される情報の例については、以下のログを参照してください。

2024-11-05 11:29:59.013 -06:00 [INF] [ ] [UserLogonSession::StartLogonAsync]
| OS: Windows 10 Enterprise  (Build 17763.1935)
| System: manufacturer=Dell Inc. product=OptiPlex 3070 ()
| Software:
|    C:\Program Files\Okta\Okta Device Access\Okta.DeviceAccess.Core.dll version: 0.10.1.13
|    C:\windows\system32\OktaDeviceAccessCredProvider.dll version: 0.10.1.13
|    C:\Program Files\Okta\Okta Verify\OktaVerify.exe version: 5.3.3.0
2024-11-05 11:29:59.013 -06:00 [INF] [OktaDeviceAccessUserPolicies.IsMfaRequired] IsMfaRequired(): islocal=False localmfareq=False
2024-11-05 11:29:59.013 -06:00 [INF] [OktaDeviceAccessUserPolicies.IsMfaRequired] IsMfaRequired=True
2024-11-05 11:29:59.013 -06:00 [INF] [OktaDeviceAccessUserPolicies.IsUserInList] IsUserInList - isLocalUser: False machineName: MFA-D-BD003283 userSAM: OdaTest.atkoepd.com\MarkJ
2024-11-05 11:29:59.013 -06:00 [INF] [OktaDeviceAccessUserPolicies.IsUserInList] User=
  UserIdentity:
    Sid: S-1-5-21-299502267-838170752-682003330-14783
    Sam: ODATest\MarkJ
    Upn: MarkJ@OdaTest.atkoepd.com
    OktaUsername:
  List 'MfaBypassList': Domain Admins;General Admins
2024-11-05 11:29:59.013 -06:00 [INF] [ ] [OfflineFactorManager::GetActiveOfflineFactors] No offline factors found
2024-11-05 11:29:59.044 -06:00 [INF] [OnlineFactorManager.GetAllOnlineFactorsAsync] userName=MarkJ  scopes=openid;profile
2024-11-05 11:29:59.044 -06:00 [INF] [OnlineFactorManager.GetAllOnlineFactorsAsync] userName=MarkJ Scopes=openid
2024-11-05 11:29:59.169 -06:00 [INF] [ActiveDirectoryUtils.GetRecursiveGroupsForUser] User MarkJ belongs to groups: Administrators; Users; Domain Users; WINS Users; Ex Admins; General Admin; Printer Admin; All Internet Access; Accounting Users

グループ名は、ADユーザーグループリストおよびMFABypassListに記載されているグループと一致する必要があります。

ステップ4:クリティカルサービスチェック

単一のサービスがOkta Device Accessの機能を提供しています。

  • 影響を受けたマシンで、services.mscでOktaIdentityServiceが実行されているかどうかを確認します。

  • これはOkta Verifyの自動更新後に確認することが特に重要です。サービスが停止すると、Desktop MFAは失敗します。Okta Verifyアプリケーション内の[Okta Device Access]タブのエラーは、サービス関連の問題である可能性が高いことを示しています。

 

関連資料

 

Recommended content

Still looking for help?
読み込み中
Desktop MFA for Windowsのトラブルシューティング