はじめに

前回(↓)はサインインを自社拠点IPからのみにする設定を実施しました。
しかし、認証要素はパスワードのみとなっているため、今回はMFAを追加していきたいと思います。
また、あわせてちょっとした調整をしていきます。

Global Session Policy の設定変更

自社用デフォルトポリシーのルールを変更します。

以下の3か所を設定します。

Multifactor authentication (MFA) is
- Required を選択することでMFAを求められるようになります。
Users will be prompted for MFA
- After MFA lifetime expires for the device cookie がおすすめです。
- 新しいデバイスやCookieからの接続だけでなく、既存のCookieであってもMFA lifetime 経過した後、再度サインインする際にMFAを求められるようになります。
MFA lifetime
- 18時間くらいにしておけば大体の人は1日1回、朝出社したときにMFAが求められるくらいになります。

デフォルトポリシーの自社拠点IPを許可するルールで、User must authenticate with を Password + Another factor に変更します。

これによってPassword での認証後にMFAが求めれるようになります。

MFAは Additional factor types に記載のもののうち、ユーザーが設定しているもののいずれかを使用可能です。
※このテナントでは Okta Verify と FIDO2 のみ許可しているため2つしか表示されていません。

これでサインイン時にMFAを求められるようになりました。

セッション時間の最大値が初期状態だと無制限になっているため、 Set time limit を選択します。
MFA lifetime にあわせて18時間（1日1回）くらい認証してもらったほうが良いと思います。

Re-authentication frequency（再認証の頻度）を設定します。
初期値は2時間になっているので、Global Session Policy にあわせて18時間（1日1回求められるくらい）が妥当かなと思います。

テナント内で利用を許可する認証要素の追加・削除は、Security > Authenticators から可能です。
2023/12時点で利用可能なものは以下の通りです。

個人的には、OIEになったことで Security Question（秘密の質問）を削除できるようになったのがうれしかったです。

今回はここまで。ありがとうございました。
次回は、アクセス時のリスクに応じた認証設定について記載していきたいと思います。