チュートリアル: Okta サインオン ポリシーを Microsoft Entra 条件付きアクセスに移行する

このチュートリアルでは、組織を Okta のグローバルまたはアプリケーションレベルのサインオン ポリシーから Microsoft Entra ID の条件付きアクセスに移行する方法を説明します。 条件付きアクセス ポリシーによって、Microsoft Entra ID および接続されたアプリケーションのユーザー アクセスがセキュリティで保護されます。

詳細情報: 条件付きアクセスとは

このチュートリアルでは、以下があることを前提としています。

• サインインと多要素認証のために Okta にフェデレーションされている Office 365 テナント
• Microsoft Entra ID へのユーザー プロビジョニング用に構成された Microsoft Entra Connect サーバーまたは Microsoft Entra Connect クラウド プロビジョニング エージェント

前提条件

ライセンスと資格情報の前提条件については、次の 2 つのセクションを参照してください。

ライセンス

Okta のサインオンから条件付きアクセスに切り替える場合、ライセンス要件があります。 このプロセスでは、Microsoft Entra 多要素認証の登録を有効にするために、Microsoft Entra ID P1 ライセンスが必要です。

詳細情報: 「Microsoft Entra 管理センターでのライセンスの割り当てと削除」

エンタープライズ管理者の資格情報

サービス接続ポイント (SCP) レコードを構成するには、オンプレミス フォレストにエンタープライズ管理者の資格情報があることを確認します。

移行のために Okta のサインオン ポリシーを評価する

Okta のサインオン ポリシーを見つけて評価し、Microsoft Entra ID に移行するものを決定します。

1. Okta で、[セキュリティ]>[認証]>[サインオン] に移動します。

   

2. [Applications](アプリケーション) に移動します。

3. サブメニューから [アプリケーション] を選択します。

4. [Active apps list] (アクティブなアプリの一覧) から、Microsoft Office 365 の接続されているインスタンスを選択します。

   

5. [サインオン] を選択します。

6. ページの一番下までスクロールします。

Microsoft Office 365 アプリケーション のサインオン ポリシーには、次の 4 つの規則があります。

• モバイル セッションに MFA を適用する - iOS または Android で、最新の認証またはブラウザー セッションに MFA を要求します
• 信頼されている Windows デバイスを許可する - 信頼されている Okta デバイスに対して不要な検証および要素の入力が求められないようにします
• 信頼されていない Windows デバイスから MFA を要求する - 信頼されていない Windows デバイスで、最新の認証やブラウザー セッションに MFA を要求します
• レガシ認証をブロックする - レガシ認証クライアントがサービスに接続できないようにします

次のスクリーンショットは、[サインオン ポリシー] 画面の 4 つの規則の条件とアクションです。

条件付きアクセス ポリシーを構成する

Okta の条件に一致するように条件付きアクセス ポリシーを構成します。 ただし、シナリオによっては、さらに多くの設定が必要になる場合があります。

• Okta のネットワークの場所から Microsoft Entra ID のネームド ロケーションへ
  • 条件付きアクセスポリシーでの場所の条件の使用
• Okta デバイスの信頼からデバイス ベースの条件付きアクセスへ (ユーザー デバイスを評価するための 2 つのオプション):
  • 次のセクション「Microsoft Entra Hybrid Join の構成」を参照して、Windows 10、Windows Server 2016 および 2019 などの Windows デバイスを Microsoft Entra ID に同期します
  • 次の「デバイス コンプライアンスの構成」セクションを参照してください
  • Windows 10、Windows Server 2016、Windows Server 2019 などの Windows デバイスを Microsoft Entra ID に同期する Microsoft Entra Connect サーバーの機能である、「Microsoft Entra Hybrid Join の使用」を参照してください
  • 、デバイスの Microsoft Intune への登録に関するセクションを参照して、コンプライアンス ポリシーを割り当てます

Microsoft Entra Hybrid Join の構成

Microsoft Entra Connect サーバーで Microsoft Entra Hybrid Join を有効にするには、構成ウィザードを起動します。 構成後にデバイスを登録します。

Note

Microsoft Entra Hybrid Join は、Microsoft Entra Connect クラウド プロビジョニング エージェントではサポートされていません。

1. Microsoft Entra Hybrid Join を構成します。

2. [SCP の構成] ページで、 [認証サービス] ドロップダウンを選択します。

   

3. Okta フェデレーション プロバイダーの URL を選択します。

4. [追加] を選択します。

5. オンプレミスのエンタープライズ管理者の資格情報を入力します。

6. [次へ] を選択します。

   ヒント

   グローバルまたはアプリレベルのサインオン ポリシーで Windows クライアント上のレガシ認証をブロックしている場合は、Microsoft Entra Hybrid Join プロセスが終了できるようにするルールを作成します。 Windows クライアントに対してレガシ認証スタックを許可します。
   アプリ ポリシーでカスタム クライアント文字列を有効にするには、Okta ヘルプ センターにお問い合わせください。

デバイス コンプライアンスの構成

Microsoft Entra Hybrid Join は、Windows 上の Okta デバイス信頼に置き換わるものです。 条件付きアクセス ポリシーは、Microsoft Intune に登録されているデバイスのコンプライアンスを認識します。

デバイス コンプライアンス ポリシー

• コンプライアンス ポリシーを使用して、Intune で管理するデバイスのルールを設定する
• Microsoft Intune でコンプライアンス ポリシーを作成する

Windows 10/11、iOS、iPadOS、Android の登録

Microsoft Entra Hybrid Join をデプロイしている場合は、別のグループ ポリシーをデプロイして、Intune のこれらのデバイスの自動登録を実行できます。

• Microsoft Intune への登録
• クイックスタート: Windows 10/11 デバイスの自動登録を設定する
• Android デバイスを登録する
• Intune に iOS/iPadOS デバイスを登録する

Microsoft Entra 多要素認証テナントの設定を構成する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

条件付きアクセスに変換する前に、組織の MFA テナントの基本設定を確認します。

1. ハイブリッド ID の管理者として Microsoft Entra 管理センターにサインインします。

2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。

3. [ユーザー] ペインの上部のメニューで、[ユーザーごとの MFA] を選択します。

4. レガシ Microsoft Entra 多要素認証ポータルが表示されます。 または Microsoft Entra 多要素認証ポータルを選択します。

   

5. レガシ MFA が有効になっているユーザーがいないことを確認します: [多要素認証] メニューの [多要素認証の状態] で、[有効] と [強制] を選択します。 次のビューでテナントにユーザーがいる場合は、レガシ メニューでそれらを無効にします。

   

6. [強制] フィールドが空であることを確認します。

7. [サービスの設定] オプションを選択します。

8. [アプリ パスワード] の選択を [ブラウザーではないアプリケーションへのサインイン用にアプリケーション パスワードの作成を許可しない] に変更します。

   

9. [イントラネット上のフェデレーション ユーザーからの要求に対する多要素認証をスキップする] と [ユーザーが自分が信頼するデバイス上の多要素認証を記憶することを許可する (1 から 365 日)] のチェックボックスをクリアします。

10. [保存] を選択します。

    

    Note

    「Microsoft Entra 多要素認証の再認証プロンプトを最適化しセッション有効期間を理解する」を参照してください。

条件付きアクセス ポリシーを作成する

条件付きアクセス ポリシーを構成するには、条件付きアクセスをデプロイおよび設計するためのベスト プラクティスに関する記事を参照してください。

前提条件と確立された基本設定を構成したら、条件付きアクセス ポリシーを作成できます。 アプリケーション、テスト用ユーザー グループ、またはその両方に対してポリシーをターゲットにすることができます。

開始する前に、以下の操作を行います。

• 条件付きアクセス ポリシーのコンポーネントについて
• 条件付きアクセス ポリシーの構築

1. Microsoft Entra 管理センターにサインインします。

2. [ID] に移動します。

3. Microsoft Entra ID でポリシーを作成する方法を確認するには。 「一般的な条件付きアクセス ポリシー: すべてのユーザーに対して MFA を必須にする」を参照してください。

4. デバイスの信頼ベースの条件付きアクセス規則を作成します。

   

   

5. 場所ベースのポリシーおよびデバイス信頼ポリシーを構成した後、条件付きアクセスを使用して Microsoft Entra ID でのレガシ認証をブロックします。

これら 3 つの条件付きアクセス ポリシーにより、元の Okta サインオン ポリシー エクスペリエンスが Microsoft Entra ID にレプリケートされます。

MFA にパイロット メンバーを登録する

ユーザーは MFA 方法に登録します。

個々の登録の場合、ユーザーは [Microsoft サインイン] ペインに移動します。

登録を管理するには、ユーザーは [Microsoft 自分のサインイン | セキュリティ情報] に移動します。

詳細情報: 「Microsoft Entra ID の統合されたセキュリティ情報登録の有効化」。

Note

ユーザーが登録されている場合は、MFA を満たした後、[My Security] (自分のセキュリティ) ページにリダイレクトされます。

条件付きアクセス ポリシーを有効にする

1. テストするには、作成したポリシーを [Enabled test user login] (テスト ユーザーによるログインを有効にする) に変更します。

   

2. Office 365 の [サインイン] ペインで、テスト ユーザーである John Smith は、Okta MFA および Microsoft Entra 多要素認証でのサインインを求められます。

3. Okta による MFA の検証を完了します。

   

4. ユーザーは条件付きアクセスを求められます。

5. MFA をトリガーするようにポリシーが構成されていることを確認します。

   

条件付きアクセス ポリシーに組織のメンバーを追加する

パイロット メンバーに対してテストを実施した後、登録後に、残りの組織メンバーを条件付きアクセス ポリシーに追加します。

Microsoft Entra 多要素認証と Okta MFA の間で二重にプロンプトが表示されるのを避けるために、Okta MFA からオプトアウトするため、サインオン ポリシーを変更します。

1. Okta 管理コンソールに移動します。

2. [セキュリティ]>[認証] を選択します。

3. [サインオン ポリシー] に移動します。

   注意

   Okta のすべてのアプリケーションがアプリケーション サインオン ポリシーによって保護されている場合は、グローバル ポリシーを [非アクティブ] に設定します。

4. [MFA の適用] ポリシーを [非アクティブ] に設定します。 Microsoft Entra ユーザーを含まない新しいグループにポリシーを割り当てることができます。

   

5. アプリケーション レベルのサインオン ポリシー ペインで、[規則を無効にする] オプションを選択します。

6. [非アクティブ] を選択します。 Microsoft Entra ユーザーを含まない新しいグループにポリシーを割り当てることができます。

7. MFA なしでのアクセスを許可するアプリケーションに対して、有効なアプリケーションレベルのサインオン ポリシーが少なくとも 1 つあることを確認します。

   

8. ユーザーは、次回のサインイン時に条件付きアクセスを求められます。

次のステップ

• チュートリアル: アプリケーションを Okta から Microsoft Entra ID に移行する
• チュートリアル: Okta フェデレーションを Microsoft Entra ID マネージド認証に移行する
• チュートリアル: Okta 同期プロビジョニングを Microsoft Entra Connect ベースの同期に移行する