こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です
ネクストモードではID統合管理(IDaaS)のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています
Oktaで会社支給端末を条件とした認証ポリシーを組む場合はMDMと組み合わせてDevice Trustという考え方で統制を行いますが、業務委託者など自社から端末を支給していない場合はDevice TrustではなくDevice Assurance Policy(デバイス保証ポリシー)を活用し、端末の状態を確認し、設定したポリシーを満たしている場合に認証を行えるようにすることができます
Device Assurance PolicyではOSのバージョンを最新のOSから2つまでのように動的に指定することもできます
今回、このOSバージョン指定において基準を満たしていない場合でも一定の猶予期間中であれば認証を行えるようにするオプション設定がEarly Accessとしてリリースされたのでご紹介します
主なポイントは以下の通りです
2024/10/30時点ではEarly Access機能となっています
はじめにOkta管理画面の Settings > Features から "Grace period for device assurance" を有効化します
また、Dynamic OS version complianceも有効にするとDevice Assurance PolicyでOSバージョンを動的に指定することができるようになります
以下にアクセスすることで、利用しているOktaテナントでの最新のOS定義を確認することができます
https://<your okta domain>.okta.com/.well-known/ov-configurations
なお、7.でYes, by a due dateを選択した場合は日時を指定することができますが、継続的なメンテナンスが必要になる点に注意が必要です
Device Assurance Policyは単体では機能しないため、Authentication Policyで条件として指定する必要があります
以下のようにテスト用のAuthentication Policyに新しいRuleを追加しました
設定としては、Device state isをRegisteredとし、Device assurance policy isで作成したDevice assurance policyを指定します
OSバージョンが古い端末からアクセスしてみます
以下のような表示がされ、Continue to appをクリックすることでアクセスが可能となります
以下のような表記となります
本記事では、Oktaの新機能である「Device Assurance Policyの猶予期間設定」について解説しました
この新機能により、セキュリティ要件を維持しつつ、ユーザーに柔軟性を提供することが可能になります
組織のセキュリティポリシーと運用の実態に合わせて、適切な猶予期間を設定することで、よりバランスの取れたセキュリティ管理が実現できます