24/10/30 9:00

【Okta】Device Assurance Policyで猶予期間を設定できるようになったので試してみた！

はじめに

ネクストモードではID統合管理(IDaaS）のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています

Oktaで会社支給端末を条件とした認証ポリシーを組む場合はMDMと組み合わせてDevice Trustという考え方で統制を行いますが、業務委託者など自社から端末を支給していない場合はDevice TrustではなくDevice Assurance Policy（デバイス保証ポリシー）を活用し、端末の状態を確認し、設定したポリシーを満たしている場合に認証を行えるようにすることができます

Device Assurance PolicyではOSのバージョンを最新のOSから2つまでのように動的に指定することもできます
今回、このOSバージョン指定において基準を満たしていない場合でも一定の猶予期間中であれば認証を行えるようにするオプション設定がEarly Accessとしてリリースされたのでご紹介します

何が嬉しいのか

主なポイントは以下の通りです

新機能により、Device Assurance Policyを満たしていない場合でも、一定の猶予期間中は認証を許可できるようになりました
猶予期間は最大180日まで設定可能で、ユーザーが認証に成功した時点からカウントされます
この機能はOSアップデートのような即時適用が難しい要件に対して特に有用です

設定方法

Early Access の有効化

2024/10/30時点ではEarly Access機能となっています
はじめにOkta管理画面の Settings > Features から "Grace period for device assurance" を有効化します

Grace-period-for-device-assurance-01

また、Dynamic OS version complianceも有効にするとDevice Assurance PolicyでOSバージョンを動的に指定することができるようになります
以下にアクセスすることで、利用しているOktaテナントでの最新のOS定義を確認することができます

https://<your okta domain>.okta.com/.well-known/ov-configurations

Device Assurance Policyでの設定

Okta管理画面のSecurity > Device Assurance Policies からAdd a policyをクリックします
Policy nameでわかりやすい名前をつけます
PlatformでOSプラットフォームを選択します
OS versionを指定します
Lock screenやDisk encryptionなども必要に応じて設定します
Remediationで"Display remediation instructions"を選択します
Grant users time to remediate issuesで、"Yes, after a number of days"を選択し、日数を指定します
1. 検証時点で指定できる日数は最大180日でした
2. 猶予期間はユーザーが認証を成功したタイミングからカウントされます

Grace-period-for-device-assurance-02

なお、7.でYes, by a due dateを選択した場合は日時を指定することができますが、継続的なメンテナンスが必要になる点に注意が必要です

Device Assurance PolicyをAuthentication Policyに組み込む

Device Assurance Policyは単体では機能しないため、Authentication Policyで条件として指定する必要があります
以下のようにテスト用のAuthentication Policyに新しいRuleを追加しました
設定としては、Device state isをRegisteredとし、Device assurance policy isで作成したDevice assurance policyを指定します

Grace-period-for-device-assurance-03

挙動確認

OSバージョンが古い端末からアクセスしてみます
以下のような表示がされ、Continue to appをクリックすることでアクセスが可能となります

Grace-period-for-device-assurance-04

OSをアップデートしないで猶予期間を経過した場合

以下のような表記となります

Grace-period-for-device-assurance-05

最後に

本記事では、Oktaの新機能である「Device Assurance Policyの猶予期間設定」について解説しました

この新機能により、セキュリティ要件を維持しつつ、ユーザーに柔軟性を提供することが可能になります
組織のセキュリティポリシーと運用の実態に合わせて、適切な猶予期間を設定することで、よりバランスの取れたセキュリティ管理が実現できます

Okta, 技術

【Okta】Device Assurance Policyで猶予期間を設定できるようになったので試してみた！

はじめに

何が嬉しいのか

設定方法

Early Access の有効化

Device Assurance Policyでの設定

Device Assurance PolicyをAuthentication Policyに組み込む

挙動確認

OSをアップデートしないで猶予期間を経過した場合

最後に

関連記事

Okta ✕ AWS Verified Access を使いプライベートアプリにインターネットからアクセスする

【Okta×Netskope】NPAをセキュアに利用するためにOkta認証を挟んでみた

【Okta・Jamf】Jamf Connect収容後のパスワード変更手順【小ネタ】