Office 365自動ライセンス認証:新しいリリースの実装

注
このトピックの手順は、2019年9月1日以降にこの機能(2019.09.0リリースより後)を初めて実装した組織に適用されます。2019.09.0リリースより前のこの機能の早期アクセス・バージョンを実装した場合、「Office 365自動ライセンス認証:以前の実装」の手順を参照してください。
Microsoft Office 365向けのOkta自動ライセンス認証により、共有ワークステーションまたはVDI環境で、Microsoft Officeにシームレスにアクセスできるユーザー・エクスペリエンスを実現できます。OktaをIDプロバイダーとして使用することで、ドメインに参加しているWindowsマシンにログインしたエンド・ユーザーが、Office 365アプリケーションに自動的にサインインでできるようになります。
開始する前に
- Active DirectoryドメインをOktaと統合済みである。 「Active Directory統合」を参照してください。
- サービス・プリンシパル名(SPN)を構成するためのActive Directoryの権限を持っている。次のMicrosoftのドキュメント「Delegating Authority to Modify SPNs」を参照してください。
- ユーザーのActive Directory UPNが、Office 365のUPNと一致している。 Office 365アプリケーションのユーザー名は、任意のAD属性にマッピングするように構成できます。 詳細については、Microsoftのドキュメント「Prepare to provision users through directory synchronization to Office 365」を参照してください。
- すべてのOffice 365エンド・ユーザーが有効なライセンスを持っている。
- すべてのエンド・ユーザーが、特定のドメインに関連付けられたOffice 365インスタンスに割り当てられている。
- ユーザーがドメイン・コントローラーに到達できる。
サポートされているアプリと構成
- Microsoftが現在サポートしているすべてのバージョンのWindows
- Office 2016以降
- サポートされているアプリ:Word、Excel、Outlook、OneNote、Skype for Business、PowerPoint、Access、Publisher
-
RC4_HMAC_MD5暗号化は、ADシングル・サインオンとOffice 365の自動ライセンス認証ではサポートされていません。ADのSSO、またはOffice 365の自動ライセンス認証を使用する場合、AES 128ビット(AES-128)またはAES 256ビット(AES-256)暗号化の使用を推奨します。
この手順を開始する
この手順には次の作業が含まれます。

重要
- Office 365のクライアント・アクセス・ポリシーを、Webブラウザーを拒否するように設定している場合、自動ライセンス認証もブロックされます。
- アプリまたはOktaのサインオン・ポリシーでWebブラウザーの多要素認証が必要な場合、サイレント・アクティベーションを通じてログインする際に多要素認証はありません。
- SWAサインオンはサポートされていません。
A. サービス・アカウントとSPNを作成する

注
サービス・アカウントを作成するには、次の手順を実行します。
- OktaテナントのKerberosサービスには、ドメイン管理者アカウントではなく、ドメイン・ユーザー・アカウントを使用します。
- アカウント・ロックを強化するために、架空のホスト名を使用して[ログオン先]の制限を有効にするとともに、[アカウントは重要なので委任できない]をオンにします。
- [Active Directory ユーザーとコンピューター]にアクセスできるサーバーにサインインします。
-
新しいサービス・アカウントを作成するフォルダーを右クリックし、[新規作成] > [ユーザー]を選択します。
-
次の値を使用してアカウントを新規作成します。
フィールド
値
[ユーザー ログオン名] <username> [ユーザー ログオン名](Windows 2000以前) <username>(任意のユーザー名を使用できます) 注
サービス・アカウントには管理者権限は必要ありませんが、SPNの設定には特定の権限が必要です。次のMicrosoftのドキュメント「Delegating Authority to Modify SPNs」を参照してください。
- [次へ]をクリックします。
-
パスワードを作成して、[パスワードに期限を設定しない]ボックスをオンにします。
- [次へ]をクリックします。
-
次のコマンドを使用してサービス・アカウントのSPNを構成します。
setspn -S HTTP/<yourorg>.kerberos.<oktaorgtype>.com <username>
プレースホルダー 値 yourorg お客様のOkta組織名 oktaorgtype お客様のOkta組織タイプ。例:okta、oktapreview、okta-emea username 前の手順で作成したユーザー名。 例:setspn -S HTTP/atkodemo.kerberos.oktapreview.com OktaSilentActivation
-
次のコマンドを実行して、SPNが正しいことを確認します。
setspn -l <username>
B. Windowsでブラウザーを設定する
-
ブラウザーで、統合Windows認証を有効にします。
Internet Explorerで次の手順を実行します。
- [設定] > [インターネット オプション] > [詳細設定]に移動します。
- [詳細設定]タブで、[セキュリティ]設定まで下にスクロールし、[統合 Windows 認証を使用する]をオンにします。
-
[OK]をクリックします。
重要
Internet ExplorerでセッションCookieが保存できることを確認します([インターネット オプション] > [プライバシー] > [設定] > [詳細設定])。 保存できない場合、SSOも、標準のサインイン機能も動作しません。
-
ローカル・イントラネット・ゾーンを構成してOktaを信頼済みサイトに指定する
Internet Explorerで次の手順を実行します。
- [設定] > [インターネット・オプション] > [セキュリティー]に進みます。
- [セキュリティー]タブで、[ローカル・インターネット] > [サイト] > [詳細設定]をクリックします。
-
前の手順で構成したOkta組織のURLを追加します。
https://<yourorg>.kerberos.<oktaorgtype>.com
例:
https://atkodemo.kerberos.oktapreview.com
- [閉じる]をクリックして、他の構成オプションでは[OK]をクリックします。
- グローバル・ポリシー・オブジェクト(GPO)を作成して、自動ライセンス認証を使用するすべてのクライアント・マシンに展開します。
C. Kerberos認証を有効にする
Okta管理コンソールで、
- [セキュリティー] > [委任認証]に移動します。
- [委任認証]ページで、[Active Directory]タブをクリックします。
- [エージェントレス・デスクトップSSOおよびサイレント・アクティベーション]までスクロールして[編集]をクリックします。
- [Active Directoryインスタンス]で、サービス・アカウントを構成したインスタンスを探します。
-
このインスタンスを次のユーザー名形式で構成します。
フィールド 値 [デスクトップSSO] 有効 [サービス・アカウントのユーザー名] <username>
これは手順1で作成した、ドメインのサフィックスや、NetBIOS名のプレフィックスのない、Active Directoryのサインオン名です。sAMAccountName、またはUPNのユーザー名部分を使用できます。組織管理者が異なる値を使用しない限り、この2つは同じ文字列である可能性があります。このフィールドでは大文字と小文字が区別されます。UPNプレフィックスがsAMAccountNameと異なる場合、サービス・アカウント・ユーザー名はUPNと同じものにし、ドメインのサフィックスを含める必要があります。例:agentlessDsso@mydomain.com
[サービス・アカウントのパスワード] お客様のActive Directoryパスワード -
[保存]をクリックします。
これで、Office 365アプリ・インスタンスのKerberos認証が有効になりました。
D. 自動ライセンス認証を有効にする
Okta管理コンソールで、
- [アプリケーション] > お客様のOffice 365アプリ・インスタンス > [サインオン] > [編集]タブに移動します。
- [サイレント・アクティベーション]セクションでチェックボックスをオンにして、アプリ・インスタンスの自動ライセンス認証を有効にします。
- 設定を[保存]します。
これで、Office 365アプリ・インスタンスの自動ライセンス認証が有効になりました。
E. Office 365の自動ライセンス認証をテストする
-
Office 365クライアントを起動します。
Office 2016クライアントがインストールされているマシンで、
-
OktaのKerberosエンドポイントによる認証を確認します。
Okta管理コンソールで、
これで、Office 365の自動ライセンス認証が正常にセットアップされました。