Okta は、ユーザーと顧客がキー システムにサインインしてアクセスする方法を管理します。 ID とアクセス管理において中心的な役割を果たすので、偶発的か意図的かに関係なく、侵害によって重大なセキュリティ リスクが発生する可能性があります。 Microsoft Defender for Identityを Okta と統合することで、より強力な ID 保護を実現できます。 Defender for Identity は、サインイン アクティビティを監視し、異常な動作を検出し、侵害された ID または誤用された ID に関連する脅威を強調します。 また、Okta データを使用して、organizationのセキュリティを維持するのに役立つ明確で実用的な分析情報を提供することで、疑わしいロールの割り当てや未使用の高い特権アカウントなどのリスクも特定します。
前提条件
Okta アカウントをMicrosoft Defender for Identityに接続する前に、次の前提条件が満たされていることを確認してください。
Okta 環境には、次のいずれかのライセンスが必要です。
Developer
Enterprise
注:
Super 管理 ロールは、API トークンを作成する場合にのみ必要です。 トークンが作成されたら、ロールを削除し、進行中の API アクセス用の Read-Only Administrator および Defender for Identity カスタム ロールを割り当てます。
注:
Okta 環境が既にMicrosoft Defender for Cloud Appsと統合されている場合、それを Microsoft Defender for Identity に接続すると、ユーザー アクティビティなどの重複する Okta データが Defender ポータルに表示される可能性があります。
Okta をMicrosoft Defender for Identityに接続する
このセクションでは、コネクタ API を使用して専用 Okta アカウントにMicrosoft Defender for Identityを接続する手順について説明します。 この接続を使用すると、Okta の使用を可視化して制御できます。
専用の Okta アカウントを作成する
- Microsoft Defender for Identityにのみ使用される専用の Okta アカウントを作成します。
- Okta アカウントを Super 管理 ロールとして割り当てます。
- Okta アカウントを確認します。
- 後で使用するために、アカウントの資格情報を格納します。
- API トークンを作成するには、手順 1 で作成した専用の Okta アカウントにサインインします。
API トークンを作成する
Okta コンソールで、[管理] を選択します。
![Okta コンソールの [管理] ボタンにアクセスする方法を示すスクリーンショット。](media/okta-integration/okta-admin.png)
[ セキュリティ>API] を選択します。
![左側のウィンドウで [セキュリティ] オプションと [API] オプションが強調表示されている Okta 管理コンソール ナビゲーション メニューのスクリーンショット。](media/okta-integration/okta-side-menu-security-api.png)
トークンの選択
[ トークンの作成] を選択します。
![[トークンの作成] ボタンが強調表示されている [Okta API トークン] タブのスクリーンショット。](media/okta-integration/create-an-okta-token.png)
[トークンの作成] ポップアップで、次の操作を行います。
- Defender for Identity トークンの名前を入力します
- 任意の IP を選択する
- [トークンの作成] を選択します。
![[Okta トークンの作成] フォームのスクリーンショット。トークン名と IP 制限のフィールドと、[トークンの作成] ボタンが強調表示されています。](media/okta-integration/enter-okta-token-details.png)
[正常に作成されたトークン] ポップアップで、[トークン] の値をコピーして安全に保存します。 このトークンは、Okta を Defender for Identity に接続するために使用されます。
カスタム ユーザー属性を追加する
[ディレクトリ > プロファイル エディター] を選択します。
[ ユーザー] (既定値) を選択します。
[ 属性の追加] を選択します。
- [データ型] を [文字列] に設定します。
- [表示名] を入力します。
- 変数名を入力します。
- [ユーザーのアクセス許可] を [読み取り専用] に設定します。
次の属性を入力します。
表示名 変数名 ObjectSid ObjectSid ObjectGuid ObjectGuid DistinguishedName DistinguishedName [保存] を選択します。
追加した 3 つのカスタム属性が正しく表示されていることを確認します。
![[Okta 属性] ページのスクリーンショット。ObjectGuid、DistinguishedName、ObjectSid の 3 つの属性が表示されます。](media/okta-integration/okta-custom-attributes.png)
カスタム Okta ロールを作成する
進行中の API アクセスをサポートするには、管理者ロールとカスタム Defender for Identity ロールを Read-Only する必要があります。
両方のロールを割り当てた後、Super 管理 ロールを削除できます。 これにより、関連するアクセス許可のみが常に Okta アカウントに割り当てられます。
- [ セキュリティ > 管理者] に移動します。
- [ ロール ] タブを選択します。
- [ 新しいロールの作成] を選択します。
- ロール名を [Microsoft Defender for Identity] に設定します。
- このロールに割り当てるアクセス許可を選択します。 次のアクセス許可を含めます。
- ユーザーのライフサイクル状態を編集する
- ユーザーの認証操作を編集する
- ロール、リソース、管理者の割り当てを表示する
- [ ロールの保存] を選択します。
リソース セットを作成する
[ リソース ] タブを選択します。
[ 新しいリソース セットの作成] を選択します。
リソース セットにMicrosoft Defender for Identityという名前を付けます。
次のリソースを追加します。
- すべてのユーザー
- すべての ID およびアクセス管理リソース
[ 選択内容の保存] を選択します。
カスタム ロールとリソース セットを割り当てる
Okta で構成を完了するには、カスタム ロールとリソース セットを専用アカウントに割り当てます。
専用 Okta アカウントに次のロールを割り当てます。
Read-Only 管理者。
カスタム Microsoft Defender for Identity ロール
Microsoft Defender for Identity リソース セットを専用の Okta アカウントに割り当てます。
完了したら、アカウントから Super 管理 ロールを削除します。
Okta を Defender for Identity に接続する
Microsoft Defender ポータルに移動します
[設定>Identities>Okta 統合を選択します
![Okta 統合オプションが強調表示されている [Microsoft Defender for Identity設定] ページを示すスクリーンショット。](media/okta-integration/select-settings-okta-integration.png)
[ +Connect Okta instance]\(Okta インスタンスの接続\) を選択します。
Okta ドメイン (たとえば、acme.okta.com) を入力します。
Okta アカウントからコピーした API トークンを貼り付けます。
[保存] を選択します。
Okta 環境が有効になっているテーブルに表示されることを確認します。
