ユーザーをOffice 365にプロビジョニングする

Okta orgから、Office 365のユーザーを作成、更新、デプロビジョニング、同期できます。ユーザーを異なるソースディレクトリからOktaにインポートし、プロファイルマッピングを使用してOffice 365にプロビジョニングできます。Office 365

開始する前の確認事項

「Office 365向けにシングルサインオンを構成する」を完了します。
ユーザーをOktaに取り込む（Bring users into Okta）：Active Directory（AD）などのディレクトリやSalesforceなどのアプリからユーザーをインポートできます。現在Oktaでは、完了まで2時間以上かかるインポートをサポートしていません。このタイプのインポートがある場合はサポートに連絡してください。また、Oktaで直接ユーザーを作成することもできます。詳しくは、以下を参照してください。
プロビジョニングのニーズに応じて、プロビジョニングのタイプを決定します。Office 365のプロビジョニングオプションを参照してください。
Microsoftにグローバル管理者アカウントとOktaテナントにアプリ管理者アカウントがあることを確認してください。

この手順を開始する

Office 365でユーザーをプロビジョニングするには、以下のタスクを順番に実行する必要があります。Office 365

OktaからOffice 365へのプロビジョニングをセットアップする
OktaからOffice 365にプロファイル属性をマッピングする
プロビジョニングをテストする

OktaからOffice 365へのプロビジョニングをセットアップする

API統合を有効にし、ユーザーのインポートとプロビジョニングに管理者の同意を得て、ユーザーライフサイクルの段階で設定を構成することで、プロビジョニングの作業を自動化することができます。

API統合を有効にする

Office 365では、Microsoft APIに対して認証を行うために同意が必要です。これにより、OktaでOffice 365アプリでプロビジョニングを行うことができます。

Office 365 > プロビジョニング（Provisioning） > 統合（Integration） > API統合の構成（Configure API Integration）に移動します。
API統合を有効にする（Enable API Integration）をオンにします。
Microsoft Office 365で認証（Authenticate with Microsoft Office 365）をクリックして同意します。Microsoft AzureMicrosoft Azureログイン（ login）］ページにリダイレクトされます。
承認（Accept）をクリックします。Microsoft Azureポータルでスコープを受け入れると、Oktaにリダイレクトされます。

プロビジョニングのタイプと設定を選択する

これらのプロビジョニングオプションは選択するプロビジョニングタイプによって異なります。プロファイルの同期（Profile Sync）はデフォルトで選択されています。

Office 365 > プロビジョニング（Provisioning） > アプリへ（To App） > 編集（Edit）に移動します。
Office 365プロビジョニングタイプ（Office 365 Provisioning Type）を選択します。

プロビジョニングタイプはプロファイルの同期（Profile Sync）からライセンスとロールの管理のみ（Licenses & Role Management Only）、ユニバーサル（Universal）またはユーザーの同期（User Sync）から選択して変更することができます。「Office 365のプロビジョニングオプション」を参照してください。

ユニバーサル同期（Universal Sync）の場合のみ： Active Directoryグループとリソースを同期するには、これらのADインスタンスからフルプロファイル、連絡先、会議室を送信（Send full profile, contacts, and conference rooms from these AD instances）を選択します。Active Directory

注:
サービスアカウントはsvc_OKTA_sync_{appId}形式のユーザー名でAzure Active Directory（Azure Active Directoryからライセンスを割り当て解除する。）に作成されます。これは、ユーザーの同期（User Sync）とユニバーサル同期（Universal Sync）のプロビジョニングタイプにのみ適用されます。このアカウントは削除や編集しないでください。サービスアカウントにMFAを使用してはいけません。また、すべてのMicrosoft Entra IDの条件付きアクセスポリシーから除外する必要があります。
任意。資格情報なしでユーザー同期（User Sync）またはUniversal Syncのプロビジョニングを有効にすると、権限が不十分であるというエラーが発生する可能性があります。これを修正するには、PowerShellで次の手順に従います。
1. v1.0およびベータ版のMicrosoft Graph PowerShellモジュールをインストールします。
  
  Install-Module Microsoft.Graph -Force
  
  Install-Module Microsoft.Graph.Beta -AllowClobber -Force
2. Microsoft Hybrid Identity Administratorアカウントで接続します。
  
  Connect-MgGraph -scopes "Organization.ReadWrite.All,Directory.ReadWrite.All"
3. DirSyncタイプのステータスを確認します。
  
  Get-MgOrganization | Select OnPremisesSyncEnabled
4. テナントIDをorganizationIdという名前の変数に保存します。
  
  $organizationId = (Get-MgOrganization).Id
5. DirSyncEnabled属性の最新値を保存します。
  
  $params = @{onPremisesSyncEnabled = $true}
6. 更新を実行します。
  
  Update-MgOrganization -OrganizationId $organizatnnnnionId -BodyParameter $params
7. コマンドを確認します。
  
  Get-MgOrganization | Select OnPremisesSyncEnabled
Oktaのユーザーにアプリを割り当てる際に、Microsoft Office 365のユーザーを作成またはリンクするためにユーザーを作成（Create Users）を有効にします。
注:
プロビジョニングタイプがライセンスとロールの管理のみ（Licenses & Role Management Only）に設定されている場合、このオプションは利用できません。
Oktaのユーザーにアプリを割り当てる際に、Microsoft Office 365のユーザー属性を更新するためにユーザー属性を更新（Update User Attributes）を有効にします。
作成および更新アクションのプロビジョニングスコープを管理します。
その他のプロビジョニング設定を有効または無効にします。Office 365のプロビジョニングとデプロビジョニングを開始するを参照してください。
保存（Save）をクリックします。
注:
保存する前に、プロビジョニングスコープを確認します。設定を保存すると、すぐに同期されます。選択されたスコープに基づいて、Oktaは、アプリに割り当てられているすべてのユーザーのユーザー属性、ライセンス、ロールをMicrosoft Entra IDにプッシュします。

注:

Office 365にプロビジョニングされた各ユーザーには、StsRefreshTokensValidFromという属性があります。これは、ユーザーがパスワードを変更したときに既存のユーザーセッションを無効にし、トークンを更新する日付です。その際、ユーザーはアプリに再度サインインする必要があります。この属性は、プロビジョニングタイプに基づいて自動的に計算および入力されます。

ライセンスのみ（License Only）またはプロファイル同期（Profile Sync）：StsRefreshTokensValidFrom属性は、ユーザーがOktaでパスワードを変更したときの日時に設定されます。
ユーザー同期（User Sync）またはUniversal Sync：ユーザーがActive Directory（AD）からリンクされている場合、StsRefreshTokensValidFrom属性がADのpwdLastSet 属性に設定されます。その他すべてのユーザーのStsRefreshTokensValidFrom属性は、ユーザーがOktaでパスワードを変更したときの日時に設定されます。

作成および更新アクションのプロビジョニングスコープを管理する

注:

このセクションは、ユーザーを作成（Create Users）またはユーザー属性を更新（Update User Attributes）を有効にした場合のみ表示されます。

OktaがMicrosoft Office 365で管理するユーザーデータのレベルを選択します。

ユーザー属性、ライセンス、およびロール（User Attributes, Licenses, and Roles）：属性、ライセンス、ロールを管理するには、このオプションを選択します。これはデフォルトのオプションです。
ユーザー属性のみ（User Attributes Only）：ユーザー属性のみを管理するには、このオプションを選択します。
注:
エンタイトルメント管理が有効になっている、またはプロビジョニングタイプがライセンスとロールの管理のみ（Licenses & Role Management Only）に設定されている場合、ユーザー属性のみ（User Attributes Only）オプションは利用できません。

プロファイル属性をOktaからOffice 365にマッピングする

ユーザーのソースがどこであるかによって、ユーザー名の形式が異なります。ユーザーがOffice 365のサインインに成功するには、Office 365のユーザー名が、連携認証するドメインのメールアドレス（username@yourfederated.domain）形式である必要があります。

注:

プロビジョニング設定を変更するたびに、属性を再マッピングする必要があります。

ユーザー名を変更せずにマッピングする

連携認証するドメインのメールアドレス（username@yourfederated.domain）形式のユーザー名がすでにユーザーにある場合は、そのメールを再フォーマットせずにマッピングできます。

Office 365サインオン（Office 365 Sign on） > 編集（Edit）に移動します。
資格情報の詳細（Credentials Details） > アプリケーションユーザー名の形式（Application username format） > メール（Email）を選択します。
保存（Save）をクリックします。

カスタムユーザー名をマッピングする

ユーザーのソースが異なるディレクトリまたはアプリの場合は、ユーザー名の形式が異なる場合があります。Okta式言語を使用して、Office 365に渡されるユーザー名をカスタマイズできます。

Office 365 > サインオン（Sign on） > 編集（Edit）に移動します。
資格情報の詳細（Credentials Details） > アプリケーションユーザー名の形式（Application username format）で、カスタム（Custom）を選択します。
表示されたテキストボックスにこの式を入力します。
String.substringBefore(user.email, "@") + "@yourfederated.domain"
yourfederated.domainは、連携認証するドメインで置き換えます。
プレビュー（Preview）ボックスにOktaユーザーを入力して、マッピングの結果を確認します。
結果のユーザー名はそのユーザーのOffice 365ユーザー名に一致するはずです。
保存（Save）をクリックします。

メールアドレスをマッピングする

連携認証するドメインにユーザーのメールアドレスが存在しない場合は、Okta Expression Languageを使用してOffice 365に渡されるメールアドレスをカスタマイズできます。

前提条件

プロビジョニングタイプは、ユーザー同期（User Sync）またはユニバーサル同期（Universal Sync）を選択する必要があります。Office 365のプロビジョニングオプションを参照してください。

ディレクトリ（Directory） > プロファイルエディター > Microsoft Office 365マッピング（Microsoft Office 365 Mappings） > OktaからMicrosoft Office 365（Okta to Microsoft Office 365）に移動します。
source.emailフィールドで、次の式を入力します：String.substringBefore(user.email, "@") + "@yourfederated.domain"
yourfederated.domainは、連携認証するドメインで置き換えます。
プレビュー（Preview）ボックスにOktaユーザーを入力して、マッピングの結果を確認します。
結果のメールアドレスが、ユーザーのOffice 365メールアドレスと一致する必要があります。
プレビュー（Preview）を終了してマッピングを保存します。
今すぐ更新を適用（Apply Updates Now）をクリックします。

プロビジョニングをテストする

OktaでテストユーザーにOffice 365を割り当て、Microsoftテナントに表示されることを確認することで、プロビジョニングが正しく構成されていることを確認します。プロビジョニング（Create Users）でユーザーを作成（Create Users）（Provisioning）オプションを選択したことを確認します。

Oktaで以下を行います。

Microsoft Office 365アプリの割り当て（Assignment）タブを開きます。
割り当て（Assign）をクリックします。
適切なOffice 365ライセンスをテストユーザーに割り当てます。
完了（Done）をクリックします。

Microsoftで以下を行います。

アクティブユーザー（Active Users）のリストを開きます。
すべてのテストユーザーが適切なライセンスでリストに表示されていることを確認します。

Oktaで以下を行います。

テストユーザーとしてOktaにログインします。
すべてのOffice 365アプリがユーザーダッシュボードに表示されていることを確認します。

注:

ユーザー同期（User Sync）またはユニバーサル同期（Universal Sync）のプロビジョニングタイプを選択した場合、プロファイルのソースがどこであるかに関係なく、すべてのユーザーがOffice 365テナントでActive Directoryと同期（Synced with Active Directory）と表示されます。ただし、個々のユーザーのソースはそれぞれのディレクトリのままです。

次の手順

Office 365をユーザーやグループに割り当てる