Device Assurance
주요 사항
인증 정책에 기기에 관련된 보안 요구 사항을 반영하기 위해서는 반드시 기기가 등록(Registered) 또는 관리(Managed)된 상태여야 합니다.
Device Registered(등록된 기기): 사용자가 Okta Verify에서 계정을 추가하면 기기가 Universal Directory에 자동으로 등록되는 상태를 의미합니다.
Device Managed(관리된 기기): 사용자의 기기가 Okta에 등록되고, MDM에 의해서 기기가 관리되는 상태를 의미합니다.
반드시 Okta Verify 앱이 기기에 설치되있어야 합니다.
아래의 Okta Verify 이상 Version이 설치되야합니다.
Android: 7.7.1
iOS: 7.7.0
macOS: 3.5.0
Windows: 3.6.0
필요 라이선스
Adaptive MFA License
1. Device Assurance란?
앱에 접근하는 기기에 대한 최소한의 보증을 제공합니다.
Windows, macOS, Android, iOS와 같은 기기의 보안 상태를 점검할 수 있습니다.
OS 버전 : 기기의 OS 버전을 확인합니다.
디스크 암호화 : 기기의 디스크가 암호화 됐는지 확인합니다.
Rooting/Jailbreak : Android 또는 iOS와 같은 모바일 핸드폰의 루팅/탈옥 상태를 확인합니다.
Authentication Policy의 규칙에 하나 이상의 Device Assurance 정책을 추가할 수 있습니다.
Device Assurance Policy에서 설정한 기기 보안 수준을 확인하여 로그인할 수 있도록 인증 정책을 구성할 수 있습니다.
2. Device Health Check
경로: Okta Verify Agent 우클릭 ➡ 설정 ➡ 기기 상태 보기
3. Device 플랫폼에 따른 설정 옵션
Android
Minimum Android version(최소 Andrioid 버전)
Lock screen(화면 잠금) ▪︎ 기기의 화면 잠금 설정을 확인합니다. ▪︎ 생체 인식의 설정을 확인합니다.
Disk encryption(디스트 암호화) ▪︎ 디스크의 암호화를 확인합니다. ▪︎ Andriod 8, 9 버전만 지원합니다.
Hardware keystore(하드웨어 키 저장소) ▪︎ 기기에 Hardware-backed keys를 지원하는지 확인합니다.
Rooting(루팅) ▪︎ 기기의 루팅 여부를 확인합니다.
iOS
Minimum iOS version(최소 iOS 버전)
Lock screen(화면 잠금) ▪︎ 기기의 Passcode 설정을 확인합니다. ▪︎ Touch ID 또는 Face ID 설정을 확인합니다.
Jailbreak(탈옥) ▪︎ 기기의 탈옥 여부를 확인합니다.
macOS
Minimum macOS version(최소 macOS 버전)
Lock screen(화면 잠금) ▪︎ 기기의 비밀번호 설정을 확인합니다.
Disk encryption(디스크 암호화) ▪︎ 디스크의 암호화를 확인합니다. ▪︎ 내부 및 시스템 볼륨의 디스크가 암호화됐는지 확인합니다.
Secure Enclave ▪︎ 기기에 Secure Enclave를 지원해주는지 확인합니다.
Windows
Minimum Windows version(최소 Windows 버전)
Windows Hello must be enabled(Windows Hello 활성화) ▪︎ 사용자의 기기에서 Windows Hello가 활성화됐는지 확인합니다.
Disk encryption(디스크 암호화) ▪︎ 디스크의 암호화를 확인합니다.
Trusted Platform Module(TPM 사용 여부) ▪︎ 기기에 TPM을 사용하는지 확인합니다.
4. Device Assurance Policy 생성
경로: Security ➡ Device Assurance Policies ➡ Add a policy
Policy name: 정책 이름을 설정입니다.
Platform: Android, iOS, macOS, Windows 중 어떤 플랫폼에 정책을 설정할 것인지 선택할 수 있습니다.
4.1 Windows
Minimum Windows version: Windows 버전을 확인합니다. 아래 2가지 방법을 통해 버전을 지정할 수 있습니다.
사전에 정의된 버전을 지정 (e.g., Windows 10 20H2, Windows 11 21H2)
사용자가 설정한 버전을 지정 (e.g., 10.0.19004.2006)
Lock screen: Windows Hello의 설정 여부를 확인합니다.
Disk encryption: 디스크의 암호화 여부를 확인합니다.
Trusted Platform Module: TPM은 Windows Hello, BitLock 암호화 키를 안전하게 저장하고 펌웨어가 변조되지 않은 사실을 확인하는데 사용됩니다. 해당 설정을 선택하면 TPM의 설정 여부를 확인합니다.
4.2 macOS
Minimum macOS version: macOS 버전을 확인할 수 있으며, 아래 2가지 방법을 통해 버전을 지정할 수 있습니다.
사전에 정의된 버전을 지정 (e.g., Monterey 12, Bigsur 11)
사용자가 설정한 버전을 지정 (e.g., 12.5.1)
Lock screen: Password가 필수로 설정됐는지 확인합니다.
Disk encryption: 디스크의 암호화 여부를 확인합니다. ▪︎ 내부 및 시스템 볼륨의 디스크 암호화에 대해서만 평가합니다.
Secure Enclave: Secure Enclave는 mac에서 메인 프로세서와 격리되어 제공되는 보안 시스템이며 사용자의 데이터를 안전하게 보관합니다. 해당 설정을 선택하면 Secure Enclave의 설정 여부를 확인합니다.
4.3 Android
Minimum Android version: Android 버전을 확인할 수 있으며, 아래 2가지 방법을 통해 버전을 지정할 수 있습니다.
사전에 정의된 버전 (e.g., 10, 11, 12, 13)
사용자가 설정한 버전 (e.g., Version 10, Security Patch 2022-01-01)
Lock screen: 기기에 화면 잠금 기능 및 생체 기능이 설정됐는지 확인합니다.
Disk encryption: 디스크의 암호화 여부를 확인합니다. ▪︎ Andriod 8, 9는 전체 디스크 암호화를 지원해주지만 Andriod 10 이상부터 파일 베이스 암호화이기 때문에 전체 디스크 암호화를 지원하지 않습니다.
Hardware keystore: Hardware KeyStore는 안드로이드의 하드웨어 보안 모듈에 있는 안전한 영역으로 앱 및 시스템에서 키를 생성, 저장 및 사용할 수 있게 해줍니다. Hardware-backed keys를 설정됐는지 확인합니다.
Rooting: 기기의 Rooting 여부를 확인합니다.
4.4 iOS
Minimum iOS version: iOS 버전을 확인하며, 아래 2가지 방법을 통해서 버전을 지정할 수 있습니다.
사전에 정의된 버전을 지정 (e.g., iOS 15, iOS 16)
사용자가 설정한 버전을 지정 (e.g., 15.6.1)
Lock screen: Passcode, Touch ID, Face ID가 설정됐는지 확인합니다.
Jailbreak: 기기의 Jailbreak 여부를 확인합니다.
4.5 ChromeOS
Device management: ChromeOS Device management에 기기가 등록됐는지 확인합니다.
Minimum ChromeOS version: 크롬OS 버전을 확인합니다.
Disk encryption: 디스크 암호화를 확인합니다.
Firewall: 방화벽이 활성화됐는지 확인합니다.
Screen lock password: 화면 잠금시 비밀번호를 필수로 사용하는지 확인합니다.
Screen lock:
Minimum Chrome browser version: 크롬 브라우저 버전을 확인합니다
Device enrollment domain: Device 등록을 위해 등록한 도메인을 확인합니다.
Chrome DNS client: Chrome DNS client가 활성화됐는지 확인합니다.
Chrome Remote Desktop app: Chrome Remote Desktop 앱이 차단됐는지 확인합니다.
Safe Browsing protection level: 현재 값을 선택하기 위해 Droupdown 메뉴를 사용합니다.
Site Isolation: Site Isolation이 활성화됐는지 확인합니다.
Password protection warning: preset 값을 선택하기 위해 Dropdown 메뉴를 사용합니다.
Enterprise-grade URL scanning: enterprise-grade URL scanning이 활성화됐는지 확인합니다.
Secure Boot: Secure Boot가 활성화 됐는지 확인합니다.
Windows machine domain: Enter the domain of the Windows machine.
Windows user domain: Enter the domain for user accounts.
Third party software injection: third party software injection이 차단됐는지 확인합니다.
CrowdStrike - Agent ID: Enter your CrowdStrike Agent ID.
CrowdStrike - Customer ID: Enter your CrowdStrike Customer ID.
Key trust level for Chrome: preset 값을 선택하기 위해 dropdown 메뉴를 사용하니다.
5. User help
Help display: 보안 요구 사항에서 어떤 점들이 충족하지 못했는지 로그인 창에서 알림으로 보여주는 기능입니다.
Link to help
Link to Okta help documentation
Okta에서 제공하는 도움 문서가 링크가 로그인 창에 나타납니다.
Link to a custom help page
별도의 URL 링크를 넣을 수 있습니다.
6. 정책 수정
정책을 수정할 때, Platform은 수정이 불가능합니다.
Platform을 수정하려면 정책을 재생성해야합니다.
경로: Security ➡ Device Assurance Policies ➡ 수정할 policy Actions 클릭 ➡ Edit
7. 정책 삭제
Authentication Policy에서 Device Assurance Policy를 사용하고 있을 경우 해당 정책을 삭제할 수 없다는 알림이 나타납니다.
정책을 삭제하려면 Authentication Policy에서 설정한 정책을 제거해야합니다.
경로: Security ➡ Device Assurance Policies ➡ 삭제할 정책의 Actions 클릭 ➡ Delete
8. Authentication Policy에서 Device Assurance Policy 설정
경로: Security ➡ Authentication Policy ➡ Policy 선택 ➡ 기존 Rule 선택 or Rule 생성
Device state is : Registered로 설정하면 Device management와 Device assurance policy를 설정할 수 있습니다.
Device assurance policy is : Any of the following device assurance policies를 선택하면 Device assurance policy에서 작성한 정책은 모두 설정이 가능합니다.
Last updated