【Oktane25】セッションレポート:ログイン画面から学ぶデスクトップMFAの導入

まず、なぜPC本体のログインにMFAが必要なのか。これまでSaaSアプリなどにはMFAを導入してきましたが、PCログインはパスワードだけに頼ることが多く、セキュリティの穴になっていました。Desktop MFAは、そのPCログイン自体をOktaで保護し、「なりすましによる不正ログイン」を防ぐのが最大の目的です。

Desktop MFAは、オンライン・オフラインの両方に対応し、ユーザーが使い慣れた方法で認証できるため、スムーズな利用体験を提供します。

2. 導入の前提条件

Desktop MFAを導入するには、事前にいくつかの準備が必要です。Oktaの管理画面で「Desktop MFA」アプリを検索して設定し、PCに専用の電子証明書（SCEP証明書）を配布する必要があります。

3. Windowsへの導入

Windowsでは、Desktop MFAはログイン画面の新しい選択肢（Credential Provider）として追加され、Okta Verifyアプリの追加機能としてインストールされます。

導入はMDMツールなどで行い、レジストリキーを使って詳細な設定（例：パスワードログインを隠すなど）が可能です。

【Windowsでの初回ログインと登録のデモ】 動画では、セキュリティキーを使って初めてログインした後、Okta Verifyが自動で起動し、オフライン用の認証方法を登録する流れが示されています。

4. macOSへの導入

macOSでは、Desktop MFAはログイン処理に割り込む「ログインウィンドウプラグイン」として動作します。

こちらもMDMツールを使い、「MDMプロファイル」という設定ファイルを配布することで、許可する認証方法などを細かく制御します。

【macOSでの初回ログインと登録のデモ】 初回のログイン後、画面の指示に従い、スマートフォンのOkta VerifyアプリでQRコードをスキャンして「オフライン用のコード」を登録する流れです。

【macOSでの通常のログインデモ】 一度登録が完了すれば、次からのログインはパスワード入力後にスマホに届くプッシュ通知を承認するだけで、非常にスムーズです。

5. 導入時の課題と対策（最重要ポイント）

セッションでは、導入を成功させるための3つの重要な課題と、その対策が強調されました。

課題①：ユーザーにMFAを登録してもらう (Enrolling devices)

特にMacユーザーはPCを再起動せずスリープで利用することが多いため、MFAを登録する「ログイン」画面が表示される機会が少なく、登録が進まないことがあります。（スリープからの復帰である「ロック解除（Unlock）」では登録画面は出ません）。

[Image: 1000002250.jpg]

課題②：オフライン用コードの管理 (Offline code health)

ユーザーがスマートフォンを機種変更したり、アプリを再インストールしたりすると、オフライン用のコードも消えてしまいます。そうなると、ネットがない環境でログインできなくなるため注意が必要です。

課題③：完全にログインできなくなった場合の救済措置 (Lockouts)

万が一、ユーザーがPCから締め出されてしまった場合でも、「デバイスリカバリー」という最終手段が用意されています。IT管理者が発行する一時的なPINで緊急ログインが可能です。

【リカバリーコードを使ったログインのデモ】 管理者がOktaの画面でPINを発行し、ユーザーがそれをログイン画面で入力して復旧するまでの一連の流れが示されています。