Microsoft Active Directory(ADオンプレミス)の統合
Microsoft Active Directoryオンプレミス(ADオンプレミス)インスタンスをOkta Identity Security Posture Management(ISPM)と統合して、最新の脅威に対して環境を強化し、ドメインを保護するために必要な明確性と可視性を実現します。既存のOkta ADエージェントを使用して、ADオンプレミスインスタンスをISPMと統合できます。
オンプレミスのアイデンティティライフサイクルをOktaの統合プラットフォームに取り込むことで、次の主要機能を利用できるようになります。
-
ネストされたグループの可視化:ISPMは、ネストされた複雑なグループ構造をマッピングして、過度な権限を持つアクセス権を見つけて、攻撃対象領域を減らすことができます。
-
脆弱なアイデンティティの検出:ISPMは、未使用の人間アカウントやサービスアカウント、権限が高い管理者アカウントを含めて古いパスワードを持つアイデンティティを自動的に検出します。
-
未同期アカウントの検出:ISPMは、ADオンプレミスインスタンスに存在するが、OktaまたはEntra IDと同期されていないシャドーアイデンティティおよびグループを特定します。
開始する前に
次の設定になっていることを確認します。
-
OktaデータコネクターがISPMと統合されている。統合されていない場合は、Okta統合の手順に従ってください。
-
Okta ADエージェントがインストールされ、必要なOkta orgがAD環境内の必要なサービスアカウントに接続されている。
必要なOkta orgにエージェントが構成されていない場合は、Okta Active Directory Agentをインストールするの手順1~3を実行します。
Okta ADエージェントをインストールし、ISPMと統合する各Okta orgに接続している。エージェントのないドメインは、ISPMコンソールでの統合には使用できません。
-
必要なOkta ADエージェントのステータスは「運用可能」です。「Okta Active Directory(AD)エージェントのステータス情報を表示する」を参照してください。ISPMコンソールのこの統合には、少なくとも1つのエージェントが「運用可能」ステータスであるドメインのみを使用できます。
または、ドメインコントローラー上で利用可能なOkta ADエージェント管理ユーティリティを使用して、エージェントのステータスを確認することもできます。この統合でドメインをISPMコンソールで使用するには、エージェントが稼働しており、そのサービスアカウントがドメイン管理者グループのメンバーでなければなりません。
このタスクを開始する
-
ISPMコンソールで、[Settings(設定)] > [Sources gallery(ソースギャラリー)]に移動します。
-
[On-prem AD(オンプレミスAD)]タイルで[Connect(接続)]をクリックします。
ADオンプレミスインスタンスにOktaソースが1つのみ接続されている場合は、次の手順を実行します。
-
[Next(次へ)]をクリックします。
-
Oktaで見つかったADドメインを確認します。正しい場合は、[Submit(送信)]をクリックします。
ADオンプレミスインスタンスにOktaソースが複数接続されている場合は、次の手順を実行します。
-
ドロップダウンメニューから、ADオンプレミスインスタンスに接続する関連Oktaソースを選択します。
-
1つ以上のドメインを選択し、[Submit(送信)]をクリックします。
-
接続するADドメインが表示されない、またはエラーが表示された場合は、エージェントが運用可能であることを確認し、そのドメインについてこのトピックの「はじめに」セクションに記載されているセットアップが完了していることを確認します。
統合が成功すると、ドメインからのデータが、約1日後にISPMコンソールに表示されます。