Office 365サインオンルールのオプション

このトピックでは、Office 365アプリのサインオン・ルールで使用可能な条件とアクションについて説明します。

条件

このルールが適用される条件を選択します。

People(ユーザー)

このセクションでは、誰にサインオンルールを適用するかを指定します。以下のオプションから選択できます。

オプション 機能
このアプリが割り当てられるユーザー これが割り当てられたユーザーにルールを適用します。 アプリ
以下のグループやユーザー

このアプリが割り当てられた特定のグループや ユーザーにルールを適用します。

ルールから特定グループやユーザーを除外するには、[Exclude the following users and groups from this rule(以下のユーザーやグループをこのルールから除外する)]を選択してからグループやユーザーを指定します。

 

Tip

ヒント

以下の場合、ルールをグループまたはユーザーのサブセットにスコープすることを考慮します。

  • アプリアクセスの例外を有効にしたい。
  • 既存のあぷりへのサインオンルールを段階的に適用したい

Location(場所)

このセクションでは、どの場所にサインオンルールを適用するかを指定します。特定のゾーンにルールを適用する場合、まずOktaでネットワークゾーンをセットアップする必要があります。ネットワーク ゾーンを参照してください。アクセスを制限する際にもネットワークゾーンの影響を考慮してください。

以下のオプションから選択できます。

オプション 機能
どこでも アクセス元にかかわらず、すべてのユーザーにルールを適用します。
ゾーン内

特定の場所またはIP範囲からのユーザーにルールを適用します。例:セキュリティの信頼性が低い場所にある支店MFAをこの場所からのユーザーに対する一貫した要件にすることができます。

ゾーン外 特定の場所またはIP範囲外からのユーザーにルールを適用します。例:会社の各オフィスをOktaでネットワーク場所に指定できます。これらの既知のネットワーク以外からのユーザーにはMFAを常に強制適用することを要求するとよいでしょう。

Client(クライアント)

[Client Type(クライアントタイプ)]セクションでは、どのクライアントにサインオンルールを適用するかを指定します。以下のオプションから選択できます。

オプション 機能
Web browser(Webブラウザ) Chrome、Safari、またはInternet ExplorerなどのWebブラウザにルールを適用します。
Modern Authentication(先進認証)

先進認証を活用するように構成されたシッククライアントアプリにルールを適用します。これには、必要なパッチまたは構成の更新が行われたOffice 2013および2016のクライアントが含まれています。これについては、次のMicrosoftサポートドキュメントで説明されています:「Updated Office 365 modern authentication」

先進認証は、Exchange OnlineのOffice 365テナントで構成可能な設定です。Microsoftドキュメント「Enable or disable modern authentication in Exchange Online」および「Office 365: Enable Modern Authentication」を参照してください。

Exchange ActiveSync/ Legacy Authentication(Exchange ActiveSync/レガシー認証) iOSまたはAndroidデバイス上のネイティブメールクライアント、および先進認証をサポートしていないmasOSやMS Windows上の古いデスクトップクライアントにルールを適用します。Exchange ActiveSyncおよびレガシー認証クライアントは他要素認証をサポートしていません。

Custom(カスタム)

Office 365へのアクセスを許可または拒否するクライアントを指定します。このフィルターを使用して、信頼できないクライアントへのアクセスを拒否したり、信頼できるクライアントのみを許可することができます。Office 365サインオンポリシーでカスタムクライアントを許可または拒否するを参照してください。

[Platform Type(プラットフォームタイプ)]セクションでは、どのプラットフォームにサインオンルールを適用するかを指定します。以下のオプションから選択できます。

オプション 機能
iOS iOSデバイスからのユーザーにルールを適用します。
Android

Androidデバイスからのユーザーにルールを適用します。

その他のモバイル

iOSおよびAndroid以外のデバイスからのユーザーにルールを適用します。例:Blackberry

Oktaがリクエストヘッダーからオペレーティング システムタイプを判別できないクライアントタイプの場合にも便利です。たとえば、iOSまたはAndroidデバイスでOutlookメールアプリを使用している場合、リクエストヘッダーにはiOSとAndroidが両方含まれます。[Other mobile(その他のモバイル)]を選択することで、ルールはこれらのクライアントからのリクエストを評価できます。

Windows Windowsデバイスからのユーザーにルールを適用します。
macOS macOSデバイスからのユーザーにルールを適用します。
Other desktop(その他のデスクトップ) WindowsとmacOS以外のクライアントからのユーザーにルールを適用します。例:Linux

 

デバイスの信頼

組織で[Device Trust(デバイスの信頼)]が有効になっていれば、デバイスが信頼されているかいないかによってアプリへのアクセスを管理できます。Okta Device Trustソリューションを参照してください 。

アクション

ルールに設定されている条件が満たされた場合に取るアクションを選択します。例:

  • ユーザーが危険または不明なネットワーク場所からの場合にはアクセスを拒否できます。

  • アプリを起動してから一定時間経過した後に再認証するようにユーザーに求めるように要件を設定できます。

  • アプリにサインインするときにMFAを実行するようにユーザーに求めることができます。

アクセス

このセクションでは、サインオンルールに設定されている条件がすべて満たされたときに取るアクションを決定します。アプリにアクセスする前にMFAを完了することをユーザーに要求する場合、まずOktaでMFAを設定する必要があります。© Copyright 2022 Okta, Inc. All Rights Reserved. それぞれの商標は、それぞれの商標所有者に帰属します。 を参照してください。MFAを求める際にはネットワークゾーンの影響も考慮してください。

以下のオプションから選択できます。

オプション 機能
Allowed(許可) サインオンルールに設定されているすべての条件が満たされた場合にアクセスを許可します。
Denied(拒否) サインオンルールに設定されているすべての条件が満たされた場合にアクセスを拒否します。
Prompt for re-authentication(再認証を求める) SAMLアプリの場合にのみ、ユーザーに再認証を求める頻度を指定します。指定する時間間隔は、ユーザーが前回Oktaへの認証を受けた時点から開始します。
Prompt for factor(要素を求める) ユーザーがMFAプロンプトに完全に従うことを要求し、ユーザーにMFAをプロンプトする頻度を指定します。
Note

 

  • クライアントがOkta orgに戻された場合、Oktaはサインオンポリシーを強制適用します。ブラウザベースのクライアントでは、これは通常、ブラウザを閉じるかクッキーをクリアすることでセッションが終了した場合に発生します。

  • デスクトップクライアント(先進認証を使用しないクライアント)およびExchange ActiveSyncクライアントの場合、認証されたセッションがMicrosoftサービス内に最長24時間までキャッシュされます。これらのタイプのクライアントを制限するためのクライアントアクセスポリシーを構成した後、その制限が効果を発するまでに最長24時間までかかることがあります。

  • MFAをサポートするシック クライアントでは、個別のアプリまたはサービスが認証のためにOktaに戻す頻度を決定します。Microsoft Officeアプリの更新間隔は、「Office 365のセッションタイムアウト」を参照してください。