OneLoginの多要素認証を生体認証(WindowsHello)で実現したいです

OneLoginでは、WebAuthn対応デバイスを利用することで、生体認証(指紋認証 / 顔認証)ができます。
Windows HelloはWindows 10 "May 2019 Update 1903"以降は、WebAuthnに対応しているため、OneLoginの多要素認証として、利用することができます。

管理者側の設定

多要素認証デバイスの追加

OneLoginに管理者アカウントでログイン後、管理画面に移動します。
その後、"Security > Authentication Factors"を押します。2019-11-15_15h16_34.png

 右上の"New Auth Factor"を押します。

2019-11-15_15h18_46.png

WebAuthnの項目の"Choose"を押します。

2019-11-15_15h20_23.png

OneLogin上での表示名を任意で設定して"Save"を押します。

2019-11-15_15h23_37.png

セキュリティポリシーの設定

"Security > Policies"を押します。

2019-11-15_15h26_50.png

"New User Policy"を押します。
※既に利用しているポリシーがある場合はポリシー名を選択することで変更が可能です。2019-11-15_15h30_22.png

ポリシー名を入力して"Save"を押します。

2019-11-15_15h33_17.png

下にスクロールして、MFAデバイスの設定を、以下のいずれかに設定し、右上の"Save"を押します。

・Users without a MFA device must register one before being able to login.
MFAが設定されていないユーザーはログイン時に必ずMFAを設定するように画面が表示され、設定を行わないとログインできません。

・Give users the option to register an MFA device during login (Only available in multi-step login)
MFAが設定されていないユーザーにMFAの設定をするように促す画面が表示されますが、"今はスキップする"を押しても、ポリシー的にMFAが必須となっているので、設定が強要されてしまいます。

・Do not prompt users to register an MFA device during login
MFAが設定されていないユーザーに対して、一切設定を矯正する画面は表示しません。

2019-11-15_15h37_56.png

その他のポリシー設定については、以下の記事をご参照ください。

https://support.serverworks.co.jp/hc/ja/articles/360003569073

ユーザーへのポリシー割当

ポリシーのユーザー割当の方法は2つあり、一つは以下の手順で手動で割り当てる方法です。

"Users > All Users"を開き、該当ユーザーを選択後、"Authentication"の項目を開き、"User Security Policy"を先程設定したポリシーを指定して、"Save User"を押します。

2019-11-15_16h12_52.png

また、MappingとGroupを使い自動設定も可能です。

https://serverworks-msp.zendesk.com/knowledge/articles/360019297053

ユーザー側の設定

MFAを設定しないとOneLoginが利用できないセキュリティポリシーになっている場合、OneLoginへのログイン時に、以下のようにMFA設定が求められます。

まずは、"セットアップを始める"を押します。

2019-11-15_16h20_27.png

次の画面で、先程設定した"WebAuthn"を選択します。

2019-11-15_16h20_39.png

以下の画面が表示されますが、すぐにWindows Helloのポップアップが表示されます。

2019-11-15_16h20_48.png

Windows Helloのポップアップが表示されるので、指定されている生体認証をクリアします。

2019-11-15_16h20_53.png

生体認証が正常に完了するとOKを押すことができるので、"OK"を押すことで設定が完了します。

2019-11-15_16h21_01.png

 既にログインしているユーザー等の場合は、右上のユーザー名にマウスオーバーして"プロフィール"を押します。
次の画面で、"2要素認証"の項目にある"+"を押すことで設定をすることができます。

2019-11-15_19h41_07.png

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください