コンテンツまでスキップ

【Okta】新しいAuthenticator導入を成功させる猶予期間設定とレポートでの進捗管理

Picture of こやしぃ

こんにちは、こやしいです。

今回は、Oktaリリースノートの2025年11月で登場した「猶予期間設定」についてご紹介します。

Oktaでは、Okta Verifyをはじめとするさまざまな認証要素(Authenticator)を有効化し、ユーザーに登録を許可したり必須化したりすることができます。

これまで新しい認証要素の登録を必須とした場合、ユーザーは次回のOkta認証時に必ず登録を求められ、登録しない限り先に進めませんでした。

しかし、2025年11月のリリースから、必須とした認証要素の登録に「猶予期間」を設定できるようになりました。

公式ドキュメント情報:Okta Identity Engineリリースノート(本番)

 

目次

 
 

猶予期間 (Grace period)とは?

まず認証要素の登録に「猶予期間」を設定する具体的なユースケースには、以下のようなものがあります。

例えばログイン条件として「Google Authenticatorのみが有効な環境」から、よりセキュアな「Okta Verifyやセキュリティキー」を追加で必須化したいタイミングなどが挙げられます。

従来は、管理者が新しい認証ポリシーを「必須」に設定した瞬間、全ユーザーが次回ログイン時に即座に登録を求められる仕様でした。そのため「今すぐは対応できない」「ログインできず業務が止まった」といったユーザーからの反発を招きやすく、導入の大きな障壁となってしまう場合がありました。

しかし、今回新たに「猶予期間」が設定可能となったことで、ユーザーは業務の都合に合わせて柔軟なタイミングで認証方式を登録できるようになりました。

試験に例えるなら、突然「今から抜き打ちテスト開始するよ!」と告げられるよりも、「○○日までに準備してね」と猶予がある方が、
心理的にもスケジュール的にも負担が少なくなります。今回の新機能も、それと同じような効果が期待できる仕組みだと言えます。

 
 

設定手順

 今回は一例として、「既存のポリシーにOkta Verifyを新たに必須化し、猶予期間を設ける」 ための設定手順を説明します。

💡 注意事項:

    • 設定を進める途中でカレンダーから日時を指定する際に、日本語環境では曜日表記が重なって見づらい場合があります。設定時はOktaの表示言語を一時的に英語に切り替えることを推奨します。
    • 既存のパスワードや、ユーザーが登録済みの認証要素へ猶予期間を設定する必要はございません。あくまで「これから登録を促す新しい認証要素」に対して有効です。
  • Admin Consoleで[Security]>[Authenticator]に移動し、[Enrollment]タブを開きます。 

  • 既存のAuthenticator Enrollment PolicyでAuthenticatorを追加するため、[Actions]のEditをクリックします。

    Authenticatorを追加します
  • 登録が必要なAuthenticatorの一覧から、今回新たに追加する [Okta Verify] を探します。

  • [Okta Verify] の登録設定を [Required(必須)] に変更します。その際に表示される [Grace period] の項目を [By a due date] にし、具体的な最終期限を設定します。例:2026年01月06日
    Authenticatorを追加します2
  • 最後に、画面下までスクロールしてUpdate Policyをクリックします。

 
 

ユーザー体験

レポートの活用:進捗の可視化

認証要素の登録に猶予期間を設けることで、ユーザーにとっては余裕ができ、体験が向上します。しかし、Okta管理者としては、最終的な期日までに全員が登録してくれるかが気になるところです。
特に、より強固な認証要素の導入のようなセキュリティ施策では、経営層への報告が必要な場合もあるでしょう。

そこで、Okta管理画面のレポート機能を活用すれば、「誰がまだ設定していないのか」を把握できます。必要に応じて、未登録ユーザーにリマインドを送るなどの登録促進策を検討するとよいでしょう。レポートは以下の手順で確認できます。

まず、Okta 管理コンソールで「Reports」>「Reports」内の「MFA Enrollment by User」を開きます。
MFA Enrollment by User画面で進捗を可視化します2

以下のようにレポートが表示されます。このレポートでは、Okta Verifyなどの登録状況がグラフで可視化されます。グラフの濃い青色の部分にカーソルを合わせると、対象件数を確認できます。MFA Enrollment by User画面で進捗を可視化します1

その他の認証要素の登録状況も同様に表示されます。
MFA Enrollment by User画面で進捗を可視化します3

また、表形式の一覧では「誰がどのAuthenticatorを登録しているか」が表示されるため、状況把握を行えます。
 「誰がどのAuthenticatorを登録しているか」が表示されます。
 
 

フィルター活用の例

レポートのフィルター機能により抽出条件を定義することはできます。本機能を活用して「Okta Verifyをまだ登録していないユーザー」など、特定の条件で
レポートを作成してみましょう。

  • ページ上部の [Edit Filters] をクリックします。
    MFA Enrollment by User画面で進捗を可視化します4

  • デフォルトでは「User status」に対して「STAGED」「SUSPENDED」「DEPROVISIONED」を含まない(does not include)設定になっています。
    次に、「Authenticator Type」に対して「Okta Verify」を含まない(does not include)という条件を追加し、Applyをクリックします。
    MFA Enrollment by User画面で進捗を可視化します5

  • 膨大なユーザーの中からOkta Verifyを登録していない対象者を瞬時に特定できます。
    MFA Enrollment by User画面で進捗を可視化します6

  • Edit Filters横の [Export] を選択して、抽出されたリストをCSVやGZIPファイルとして、エクスポートすることもできます。
    CSV export方法



まとめ

認証要素の登録に猶予期間を設定すれば、ユーザーはログイン時に登録を促されますが、自分のタイミングに合わせてスキップし、業務を優先することができます。一方、管理者はレポート機能を活用することで未登録者の状況を把握できます。

さらに、レポート機能のCSV出力等を活用すれば、対象者のみにピンポイントでリマインドを送ることができ、全体へのアナウンスよりも高い効果が期待できます。

また、レポートからリストを書き出して手動でリマインドしている作業を自動化できれば、管理者の手間を大きく削減できます。この自動化の部分はOktaのAPIとOkta Workflowsを活用することで実現できそうです。

今回ご紹介した認証要素の「猶予期間」は、ユーザーへの影響を最小限に抑えながら、新しい認証要素の導入を進められるバランスの取れた機能です。

本記事が、新しい認証要素を導入するOkta管理者のお役に立てれば幸いです。

各種 Okta公式アップデート情報/ アーカイブページ


SaaSバナー_Okta
,