Microsoftに管理者の承諾を示しOktaでの認証を可能にする

Microsoftでは、管理者がアプリによるMicrosoftテナントのユーザーとデータへのアクセスに承諾することを求めています。このように承諾することで、管理者に代わってアプリがMicrosoftテナントにアクセスできるようになります。アクセスされる範囲は、アプリが要求する権限と、Microsoftテナントに設定したポリシーによって異なります。

Microsoftに管理者が承諾していることを示すことで、Oktaがお客様の代わりにMicrosoft Graph APIにアクセスし、Microsoft Office 365から提供される情報を使用できるようになります。

Oktaに必要な権限とその理由

Oktaでは、OAuthベースの認証を使用するOffice 365アプリでユーザーを認証および承認するために、次の権限が必要となります。これらのアプリには、Yammer、Dynamics CRM、Teams、Formsなどがあります。

シングル・サインオンの場合、OktaではMicrosoftテナントに次の権限が必要です。

権限 意味 機能

Directory.ReadWrite.All

ディレクトリー・データの 読み取りおよび書き込み Oktaでユーザー、グループ、アプリなどのディレクトリー・データの読み取りおよび書き込みを行うことができます。

User.ReadWrite.All

すべてのユーザーの完全なプロファイルの読み取りおよび書き込み Oktaでユーザー・プロファイルの読み取りおよび書き込み、ユーザーの作成および削除、ユーザー・パスワードのリセットを行うことができます。

User.Read

サインインおよびユーザー・プロファイルの読み取り Oktaでユーザー・プロファイルを読み取ることができます。

Microsoftに管理者の承諾を示しOktaでの認証を可能にする

Microsoftに管理者の同意を提供して、OktaがMicrosoftテナントのディレクトリー・データにアクセスすることを許可できます。Oktaでは、Office 365でのユーザーのプロビジョニングと認証のためにこの同意が必要です。

Info

これらの権限を付与できるのは、Microsoftテナントのグローバル管理者のみです。

  1. Oktaで、
    1. [アプリケーション] > [Office 365] > [サインオン] > [編集]に移動します。
    2. [API認証情報]セクションで、[管理者が高度なAPIアクセスに同意できるようにする]のボックスをオンにします。
    3. [Microsoft Office 365で認証]をクリックします。

      [Microsoftアカウント・ログイン]ページにリダイレクトされます。

  2. Microsoftで、
    1. Microsoftテナントのグローバル管理者としてMicrosoftにログインします。
    2. [Okta Microsoft Graphクライアント]ページに記載されている手順を読んで受け入れます。
  3. Oktaで、
    1. 設定を保存します。

Oktaによる認証のためにMicrosoftに示した管理者の承諾を再認証する

次の場合、Oktaの既存のMicrosoft管理者の同意を再認証する必要があります。

  • Oktaエンド・ユーザー・ダッシュボードに新しいOffice 365アプリを追加し、そのアプリにOAuthが必要な場合。
  • Office 365アプリのURLが変更される場合。
Info

これらの権限を付与できるのは、Microsoftテナントのグローバル管理者のみです。

  1. Oktaで、
    1. [アプリケーション] > [Office 365] > [サインオン] > [編集]に移動します。
    2. [API認証情報]セクションで、[Microsoft Office 365で再認証]をクリックします。

      [Microsoftアカウント・ログイン]ページにリダイレクトされます。

  2. Microsoftで、
    1. Microsoftテナントのグローバル管理者としてMicrosoftにログインします。
    2. [Okta Microsoft Graphクライアント]ページに記載されている手順を読んで受け入れます。
  3. Oktaで、
    1. 設定を保存します。

関連項目