このチュートリアルでは、組織を Okta のグローバルまたはアプリケーションレベルのサインオン ポリシーから Microsoft Entra ID の条件付きアクセスに移行する方法を説明します。 条件付きアクセス ポリシーによって、Microsoft Entra ID および接続されたアプリケーションのユーザー アクセスがセキュリティで保護されます。
詳細情報: 条件付きアクセスとは
このチュートリアルでは、以下があることを前提としています。
- サインインと多要素認証のために Okta にフェデレーションされている Office 365 テナント
- Microsoft Entra ID へのユーザー プロビジョニング用に構成された Microsoft Entra Connect サーバーまたは Microsoft Entra Connect クラウド プロビジョニング エージェント
前提条件
ライセンスと資格情報の前提条件については、次の 2 つのセクションを参照してください。
ライセンス
Okta のサインオンから条件付きアクセスに切り替える場合、ライセンス要件があります。 このプロセスでは、Microsoft Entra 多要素認証の登録を有効にするために、Microsoft Entra ID P1 ライセンスが必要です。
詳細情報: Microsoft Entra 管理センターでライセンスを割り当てるまたは削除する
エンタープライズ管理者の資格情報
サービス接続ポイント (SCP) レコードを構成するには、オンプレミス フォレストにエンタープライズ管理者の資格情報があることを確認します。
移行のために Okta のサインオン ポリシーを評価する
Okta のサインオン ポリシーを見つけて評価し、Microsoft Entra ID に移行するものを決定します。
Okta で、[ セキュリティ>認証>サインオン] に移動します。
[アプリケーション] に移動します。
サブメニューから[アプリケーション]を選択 します。
[アクティブなアプリ] の一覧から、Microsoft Office 365 接続インスタンスを選択します。
[サインオン] を選択します。
ページの一番下までスクロールします。
Microsoft Office 365 アプリケーション のサインオン ポリシーには、次の 4 つの規則があります。
- モバイル セッションに MFA を適用する - iOS または Android での先進認証またはブラウザー セッションからの MFA が必要
- 信頼できる Windows デバイスを許可 する - 信頼された Okta デバイスに対する不要な検証または要素のプロンプトを防ぎます
- 信頼されていない Windows デバイスから MFA を要求する - 信頼されていない Windows デバイス での先進認証またはブラウザー セッションからの MFA が必要
- レガシ認証をブロック する - レガシ認証クライアントがサービスに接続できないようにします
次のスクリーンショットは、[サインオン ポリシー] 画面の 4 つの規則の条件とアクションです。
条件付きアクセス ポリシーを構成する
Okta の条件に一致するように条件付きアクセス ポリシーを構成します。 ただし、シナリオによっては、さらに多くの設定が必要になる場合があります。
- Okta のネットワークの場所から Microsoft Entra ID のネームド ロケーションへ
- Okta デバイスの信頼からデバイス ベースの条件付きアクセスへ (ユーザー デバイスを評価するための 2 つのオプション):
- Windows 10、Windows Server 2016、2019 などの Windows デバイスを Microsoft Entra ID に同期するための Microsoft Entra ハイブリッド参加の構成 については、次のセクションを参照してください。
- 次のセクション「デバイス コンプライアンスの構成」を参照してください
- Windows 10、Windows Server 2016、Windows Server 2019 などの Windows デバイスを Microsoft Entra ID に同期する Microsoft Entra Connect サーバーの機能である Microsoft Entra ハイブリッド参加の使用に関する記事を参照してください。
- 「 Microsoft Intune にデバイスを登録 し、コンプライアンス ポリシーを割り当てる」を参照してください
Microsoft Entra Hybrid Join の構成
Microsoft Entra Connect サーバーで Microsoft Entra Hybrid Join を有効にするには、構成ウィザードを起動します。 構成後にデバイスを登録します。
注
Microsoft Entra Hybrid Join は、Microsoft Entra Connect クラウド プロビジョニング エージェントではサポートされていません。
[SCP 構成] ページで、[認証サービス] ドロップダウンを選択します。
Okta フェデレーション プロバイダーの URL を選択します。
追加を選択します。
オンプレミスのエンタープライズ管理者の資格情報を入力します。
[ 次へ] を選択します。
ヒント
グローバルまたはアプリレベルのサインオン ポリシーで Windows クライアント上のレガシ認証をブロックしている場合は、Microsoft Entra Hybrid Join プロセスが終了できるようにするルールを作成します。 Windows クライアントに対してレガシ認証スタックを許可します。
アプリ ポリシーでカスタム クライアント文字列を有効にするには、 Okta ヘルプ センターにお問い合わせください。
デバイス コンプライアンスの構成
Microsoft Entra Hybrid Join は、Windows 上の Okta デバイス信頼に置き換わるものです。 条件付きアクセス ポリシーは、Microsoft Intune に登録されているデバイスのコンプライアンスを認識します。
デバイス コンプライアンス ポリシー
Windows 10/11、iOS、iPadOS、Android の登録
Microsoft Entra Hybrid Join をデプロイしている場合は、別のグループ ポリシーをデプロイして、Intune のこれらのデバイスの自動登録を実行できます。
- Microsoft Intune での登録
- クイック スタート: Windows 10/11 デバイスの自動登録を設定する
- Android デバイスを登録する
- Intune に iOS/iPadOS デバイスを登録する
Microsoft Entra 多要素認証テナントの設定を構成する
条件付きアクセスに変換する前に、組織の MFA テナントの基本設定を確認します。
Microsoft Entra 管理センターにハイブリッド ID 管理者としてサインインします。
Entra ID>Users に移動します。
[ユーザー] ウィンドウの上部メニューで [ユーザーごとの MFA] を選択します。
レガシ Microsoft Entra 多要素認証ポータルが表示されます。 または、 Microsoft Entra 多要素認証ポータルを選択します。
レガシ MFA が有効になっているユーザーがないことを確認します。[多要素認証] メニューの [多要素認証] の状態で、[有効] と [適用] を選択します。 次のビューでテナントにユーザーがいる場合は、レガシ メニューでそれらを無効にします。
[適用] フィールドが空であることを確認します。
[ サービス設定] オプションを選択します。
[ アプリ パスワード ] の選択を [ ユーザーがブラウザー以外のアプリにサインインするためのアプリ パスワードを作成できないようにする] に変更します。
[イントラネット上のフェデレーション ユーザーからの要求に対する多要素認証をスキップする] と [信頼するデバイスでの多要素認証をユーザーに記憶できるようにする ]のチェック ボックスをオフにします (1 日から 365 日)。
[保存] を選択します。
条件付きアクセス ポリシーを作成する
条件付きアクセス ポリシーを構成するには、「 条件付きアクセスの展開と設計のベスト プラクティス」を参照してください。
前提条件と確立された基本設定を構成したら、条件付きアクセス ポリシーを作成できます。 アプリケーション、テスト用ユーザー グループ、またはその両方に対してポリシーをターゲットにすることができます。
開始する前に、以下の操作を行います。
Microsoft Entra 管理センターにサインインします。
Entra ID>Conditional Access に移動します。
Microsoft Entra ID でポリシーを作成する方法を確認するには。 「 一般的な条件付きアクセス ポリシー: すべてのユーザーに MFA を要求する」を参照してください。
デバイスの信頼ベースの条件付きアクセス規則を作成します。
場所ベースのポリシーとデバイス信頼ポリシーを構成したら、 条件付きアクセスを使用して Microsoft Entra ID によるレガシ認証をブロックします。
これら 3 つの条件付きアクセス ポリシーにより、元の Okta サインオン ポリシー エクスペリエンスが Microsoft Entra ID にレプリケートされます。
MFA にパイロット メンバーを登録する
ユーザーは MFA 方法に登録します。
個々の登録の場合、ユーザーは Microsoft サインイン ウィンドウに移動します。
登録を管理するには、ユーザーは Microsoft マイ Sign-Ins | セキュリティ情報にアクセスします。
詳細情報: Microsoft Entra ID で統合されたセキュリティ情報の登録を有効にします。
注
ユーザーが登録されると、MFA を満たした後、 マイ セキュリティ ページにリダイレクトされます。
条件付きアクセス ポリシーを有効にする
テストするには、作成したポリシーを [有効なテスト ユーザー ログイン] に変更します。
Office 365 サインイン ウィンドウで 、テスト ユーザーの John Smith に Okta MFA と Microsoft Entra 多要素認証を使用してサインインするように求められます。
Okta による MFA の検証を完了します。
ユーザーは条件付きアクセスを求められます。
MFA をトリガーするようにポリシーが構成されていることを確認します。
条件付きアクセス ポリシーに組織のメンバーを追加する
パイロット メンバーに対してテストを実施した後、登録後に、残りの組織メンバーを条件付きアクセス ポリシーに追加します。
Microsoft Entra 多要素認証と Okta MFA の間で二重にプロンプトが表示されるのを避けるために、Okta MFA からオプトアウトするため、サインオン ポリシーを変更します。
Okta 管理コンソールに移動します。
セキュリティ>認証の選択
[サインオン ポリシー] に移動します。
注
Okta のすべてのアプリケーションがアプリケーション サインオン ポリシーによって保護されている場合は、グローバル ポリシーを 非アクティブ に設定します。
[MFA ポリシーの適用] を [非アクティブ] に設定します。 Microsoft Entra ユーザーを含まない新しいグループにポリシーを割り当てることができます。
アプリケーション レベルのサインオン ポリシー ウィンドウで、[ ルールの無効化 ] オプションを選択します。
[非アクティブ] を選択します。 Microsoft Entra ユーザーを含まない新しいグループにポリシーを割り当てることができます。
MFA なしでのアクセスを許可するアプリケーションに対して、有効なアプリケーションレベルのサインオン ポリシーが少なくとも 1 つあることを確認します。
ユーザーは、次回のサインイン時に条件付きアクセスを求められます。