Office 365自動ライセンス認証:新しいリリースの実装

情報

このトピックの手順は、2019年9月1日以降にこの機能(2019.09.0リリースより後)を初めて実装した組織に適用されます。2019.09.0リリースより前のこの機能の早期アクセス・バージョンを実装した場合、「Office 365自動ライセンス認証(非推奨)」の手順を参照してください。

Microsoft Office 365向けのOkta自動ライセンス認証により、共有ワークステーションまたはVDI環境で、Microsoft Officeにシームレスにアクセスできるユーザー・エクスペリエンスを実現できます。OktaをIDプロバイダーとして使用することで、ドメインに参加しているWindowsマシンにログインしたエンド・ユーザーが、Office 365アプリケーションに自動的にサインインでできるようになります。

開始する前に

  • Active DirectoryドメインをOktaと統合済みである。 「Active Directory統合」を参照してください。
  • サービス・プリンシパル名(SPN)を構成するためのActive Directoryの権限を持っている。次のMicrosoftのドキュメント「Delegating Authority to Modify SPNs」を参照してください。
  • ユーザーのActive Directory UPNが、Office 365のUPNと一致している。 Office 365アプリケーションのユーザー名は、任意のAD属性にマッピングするように構成できます。 詳細については、Microsoftのドキュメント「Prepare to provision users through directory synchronization to Office 365」を参照してください。
  • すべてのOffice 365エンド・ユーザーが有効なライセンスを持っている。
  • すべてのエンド・ユーザーが、特定のドメインに関連付けられたOffice 365インスタンスに割り当てられている。
  • ユーザーがドメイン・コントローラーに到達できる。

サポートされているアプリと構成

  • Microsoftが現在サポートしているすべてのバージョンのWindows
  • Office 2016以降
  • サポートされているアプリ:Word、Excel、Outlook、OneNote、Skype for Business、PowerPoint、Access、Publisher
  • RC4_HMAC_MD5暗号化は、ADシングル・サインオンとOffice 365の自動ライセンス認証ではサポートされていません。ADのSSO、またはOffice 365の自動ライセンス認証を使用する場合、AES 128ビット(AES-128)またはAES 256ビット(AES-256)暗号化の使用を推奨します。

この手順を開始する

この手順には次の作業が含まれます。

重要な注意事項

重要

  • Office 365のクライアント・アクセス・ポリシーを、Webブラウザーを拒否するように設定している場合、自動ライセンス認証もブロックされます。
  • アプリまたはOktaのサインオン・ポリシーでWebブラウザーの多要素認証が必要な場合、サイレント・アクティベーションを通じてログインする際に多要素認証はありません。
  • SWAサインオンはサポートされていません。

A. サービス・アカウントとSPNを作成する

注

サービス・アカウントを作成するには、次の手順を実行します。

  • OktaテナントのKerberosサービスには、ドメイン管理者アカウントではなく、ドメイン・ユーザー・アカウントを使用します。
  • アカウント・ロックを強化するために、架空のホスト名を使用して[ログオン先]の制限を有効にするとともに、[アカウントは重要なので委任できない]をオンにします。

  1. [Active Directory ユーザーとコンピューター]にアクセスできるサーバーにサインインします。
  2. 新しいサービス・アカウントを作成するフォルダーを右クリックし、[新規作成] > [ユーザー]を選択します。

  3. 次の値を使用してアカウントを新規作成します。

    フィールド

    [ユーザー ログオン名]<username>
    [ユーザー ログオン名](Windows 2000以前)<username>(任意のユーザー名を使用できます)

    情報

    サービス・アカウントには管理者権限は必要ありませんが、SPNの設定には特定の権限が必要です。次のMicrosoftのドキュメント「Delegating Authority to Modify SPNs」を参照してください。

  4. [次へ]をクリックします。
  5. パスワードを作成して、[パスワードに期限を設定しない]ボックスをオンにします。

  6. [次へ]をクリックします。
  7. 次のコマンドを使用してサービス・アカウントのSPNを構成します。

    setspn -S HTTP/<yourorg>.kerberos.<oktaorgtype>.com <username>

    プレースホルダー
    yourorgお客様のOkta組織名
    oktaorgtypeお客様のOkta組織タイプ。例:okta、oktapreview、okta-emea
    username前の手順で作成したユーザー名。

    例:setspn -S HTTP/atkodemo.kerberos.oktapreview.com OktaSilentActivation

  8. 次のコマンドを実行して、SPNが正しいことを確認します。

  9. setspn -l <username>

B. Windowsでブラウザーを設定する

  1. ブラウザーで、統合Windows認証を有効にします。

    Internet Explorerで次の手順を実行します。

    1. [設定] > [インターネット オプション] > [詳細設定]に移動します。
    2. [詳細設定]タブで、[セキュリティ]設定まで下にスクロールし、[統合 Windows 認証を使用する]をオンにします。
    3. [OK]をクリックします。

      重要な注意事項

      重要

      Internet ExplorerでセッションCookieが保存できることを確認します([インターネット オプション] > [プライバシー] > [設定] > [詳細設定])。 保存できない場合、SSOも、標準のサインイン機能も動作しません。

  2. ローカル・イントラネット・ゾーンを構成してOktaを信頼済みサイトに指定する

    Internet Explorerで次の手順を実行します。

    1. [設定] > [インターネット・オプション] > [セキュリティー]に進みます。
    2. [セキュリティー]タブで、[ローカル・インターネット] > [サイト] > [詳細設定]をクリックします。
    3. 前の手順で構成したOkta組織のURLを追加します。

      https://<yourorg>.kerberos.<oktaorgtype>.com

      例:https://atkodemo.kerberos.oktapreview.com

    4. [閉じる]をクリックして、他の構成オプションでは[OK]をクリックします。
  3. グローバル・ポリシー・オブジェクト(GPO)を作成して、自動ライセンス認証を使用するすべてのクライアント・マシンに展開します。

C. Kerberos認証を有効にする

Okta管理コンソールで、

  1. [セキュリティー] > [委任認証]に移動します。
  2. [委任認証]ページで、[Active Directory]タブをクリックします。
  3. [エージェントレス・デスクトップSSOおよびサイレント・アクティベーション]までスクロールして[編集]をクリックします。
  4. [Active Directoryインスタンス]で、サービス・アカウントを構成したインスタンスを探します。
  5. このインスタンスを次のユーザー名形式で構成します。

    フィールド
    [デスクトップSSO]有効
    [サービス・アカウントのユーザー名]

    <username>

    これは手順1で作成した、ドメインのサフィックスや、NetBIOS名のプレフィックスのない、Active Directoryのサインオン名です。sAMAccountName、またはUPNのユーザー名部分を使用できます。組織管理者が異なる値を使用しない限り、この2つは同じ文字列である可能性があります。このフィールドでは大文字と小文字が区別されます。UPNプレフィックスがsAMAccountNameと異なる場合、サービス・アカウント・ユーザー名はUPNと同じものにし、ドメインのサフィックスを含める必要があります。例:agentlessDsso@mydomain.com

    [サービス・アカウントのパスワード]お客様のActive Directoryパスワード
  6. [保存]をクリックします。

これで、Office 365アプリ・インスタンスのKerberos認証が有効になりました。

D. 自動ライセンス認証を有効にする

Okta管理コンソールで、

  1. [アプリケーション] > お客様のOffice 365アプリ・インスタンス > [サインオン] > [編集]タブに移動します。
  2. [サイレント・アクティベーション]セクションでチェックボックスをオンにして、アプリ・インスタンスの自動ライセンス認証を有効にします。
  3. 設定を[保存]します。

これで、Office 365アプリ・インスタンスの自動ライセンス認証が有効になりました。

E. Office 365の自動ライセンス認証をテストする

  1. Office 365クライアントを起動します。

    Office 2016クライアントがインストールされているマシンで、

    1. Microsoft WordなどのOffice 2016クライアント・アプリケーションを開きます。
    2. サインインできることと、クライアントが自動的にライセンス認証されることを確認します。

      次のようなメッセージが表示されます。

  2. OktaのKerberosエンドポイントによる認証を確認します。

    Okta管理コンソールで、

    1. [レポート] > [システム・ログ]に移動します。
    2. [システム・ログ]ページで、サインインのイベントを探します。
    3. イベントを展開して、[イベント] > [システム] > [LegacyEventType]に移動します。

      このエントリーは、ユーザーがKerberosエンドポイント経由で認証されたことを示しています。

これで、Office 365の自動ライセンス認証が正常にセットアップされました。