OneLoginでは、WebAuthn対応デバイスを利用することで、生体認証(指紋認証 / 顔認証)ができます。
Windows HelloはWindows 10 "May 2019 Update 1903"以降は、WebAuthnに対応しているため、OneLoginの多要素認証として、利用することができます。
管理者側の設定
多要素認証デバイスの追加
OneLoginに管理者アカウントでログイン後、管理画面に移動します。
その後、"Security > Authentication Factors"を押します。
右上の"New Auth Factor"を押します。
WebAuthnの項目の"Choose"を押します。
OneLogin上での表示名を任意で設定して"Save"を押します。
セキュリティポリシーの設定
"Security > Policies"を押します。
"New User Policy"を押します。
※既に利用しているポリシーがある場合はポリシー名を選択することで変更が可能です。
ポリシー名を入力して"Save"を押します。
下にスクロールして、MFAデバイスの設定を、以下のいずれかに設定し、右上の"Save"を押します。
・Users without a MFA device must register one before being able to login.
MFAが設定されていないユーザーはログイン時に必ずMFAを設定するように画面が表示され、設定を行わないとログインできません。
・Give users the option to register an MFA device during login (Only available in multi-step login)
MFAが設定されていないユーザーにMFAの設定をするように促す画面が表示されますが、"今はスキップする"を押しても、ポリシー的にMFAが必須となっているので、設定が強要されてしまいます。
・Do not prompt users to register an MFA device during login
MFAが設定されていないユーザーに対して、一切設定を矯正する画面は表示しません。
その他のポリシー設定については、以下の記事をご参照ください。
https://support.serverworks.co.jp/hc/ja/articles/360003569073
ユーザーへのポリシー割当
ポリシーのユーザー割当の方法は2つあり、一つは以下の手順で手動で割り当てる方法です。
"Users > All Users"を開き、該当ユーザーを選択後、"Authentication"の項目を開き、"User Security Policy"を先程設定したポリシーを指定して、"Save User"を押します。
また、MappingとGroupを使い自動設定も可能です。
https://serverworks-msp.zendesk.com/knowledge/articles/360019297053
ユーザー側の設定
MFAを設定しないとOneLoginが利用できないセキュリティポリシーになっている場合、OneLoginへのログイン時に、以下のようにMFA設定が求められます。
まずは、"セットアップを始める"を押します。
次の画面で、先程設定した"WebAuthn"を選択します。
以下の画面が表示されますが、すぐにWindows Helloのポップアップが表示されます。
Windows Helloのポップアップが表示されるので、指定されている生体認証をクリアします。
生体認証が正常に完了するとOKを押すことができるので、"OK"を押すことで設定が完了します。
既にログインしているユーザー等の場合は、右上のユーザー名にマウスオーバーして"プロフィール"を押します。
次の画面で、"2要素認証"の項目にある"+"を押すことで設定をすることができます。