機能 & 制限

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

メリット

機能説明
RDP接続の代理認証現在、アドバンストサーバーアクセスは、ユーザーがリモートデスクトッププロトコル(RDP)セッション開始時に使用する、ローカルアカウントを作成して管理します。AD-Joinedではこのようなローカルアカウントが必要なくなるため、ユーザーは既存のADアカウントを使用してRDPセッションを起動できます。早期アクセスリリースの際に、Oktaの管理者はADアカウントとOktaユーザープロファイルをマッピングします。詳細については、Active Directoryアカウントのマッピングを構成するを参照してください。
ADサーバーを同期する サーバー同期ジョブでは自動的に同期できるようになります(新規サーバーの追加、既存のサーバーの詳細情報の更新、利用できないサーバーの削除)。詳細は、サーバーの検出を参照してください。
監査 AD-JoinedはRDP接続のイベントデータを記録します。これによりチームはRDP接続の監査証跡を維持して、Windowsサーバーがいつ追加または削除されたかを追跡できます。
AD接続情報を保存する [Connections (接続)]ページには、ADドメインのすべての構成オプションが保存されます。[Connections (接続)]には特定のADドメインに関連した認証とルーティングの情報が保存されます。アドバンストサーバーアクセスの管理者は、複数ドメインの環境をサポートするにあたり、複数の接続を追加できます。詳細は、Active Directory接続を作成するを参照してください。
プロジェクト用に追加されたADサポート AD-Joinedはプロジェクト用オプションを追加して、AD-Joinユーザーをサポートしています。このオプションはサーバー同期ジョブからのプロジェクトを割り当てる際に必要です。早期アクセスリリースにて、Oktaはこの機能のテストを目的とした新規プロジェクトの作成を推奨しています。詳細は、Active Directory対応のプロジェクトを構成するを参照してください。
アドバンストサーバーアクセスのサーバーエージェントの要件 AD-Joinedでは、アドバンストサーバーアクセスの管理者がアドバンストサーバーアクセスのサーバーエージェントをすべてのWindowsサーバーにインストールしたり登録する必要がなくなります。この変更により、アドバンストサーバーアクセスがドメインコントローラーにRDP接続を提供することも可能になります。
統合されたPolicySyncAD-Joinedは、同じく早期アクセスで現在提供されているアドバンストサーバーアクセスの個別の機能であるPolicySyncのサポートを統合しています。これはアドバンストサーバーアクセスのプロジェクトに対する詳細にわたるアクセスコントロール機能を追加するものです。AD-JoinedはPolicySyncを使用して、セレクター経由でサーバーラベルとして使えるよう、ADからメタデータを参照してインポートすることができます。詳細については、PolicySync:属性ベースのアクセスコントロールを参照してください。

制限事項

早期アクセスリリースでは、この機能にいくつかの制限事項があります。このような制限は、チームが早期アクセスリリースの一部でない場合は当てはまりません。これらの制限の多くは、AD-Joinedが一般リリースされるまでには解決されているはずです。

  • あらゆる接続でサーバーの検出が10,000台のコンピューターに制限される
  • サーバーの検出がジョブ当たり10個の割り当てルールおよび接続当たり10個のジョブに制限される
  • サーバーラベルの最大数が10のAD属性に制限される
  • プロジェクトで明示的にActive Directoryサポートを有効にする必要がある
    この変更は元に戻すことはできません。Oktaはチームがテスト用に新しいプロジェクトを作成することを推奨します。
  • プロジェクトには、アドバンストサーバーアクセスのサーバーエージェントがインストールされていないWindowsサーバーのみを含めることができる
    これらのプロジェクトには、Linuxサーバー、FreeBSDサーバーまたはアドバンストサーバーアクセスのサーバーエージェントにより管理されているWindowsサーバーを含めることはできません。
  • RDP接続用に構成されたアドバンストサーバーアクセスのゲートウェイはUbuntu 20.04を実行する必要がある 詳細は、アドバンストサーバーアクセスのゲートウェイをUbuntuまたはDebianにインストールするを参照してください。
  • RDP接続を受け入れる前に、Active Directoryサポートのあるプロジェクトで、ゲートウェイを登録する必要がある
  • デフォルトでゲートウェイはRDPの同時接続は最大20に制限される
    この設定は調整できます。
  • RoyalTSXクライアントとのRDP接続のサポートが削除された
  • RDPセッションの開始時にユーザーが手動でADパスワードを入力する必要がある
  • macOSのみ:ユーザーがアドバンストサーバーアクセスのダッシュボードからADサーバーへのRDP接続を開始できない