Okta support for hybrid Azure AD joined devices
このトピックでは、登録済みおよび新しいハイブリッドAzureADに参加しているデバイスでのレガシー認証の使用を最小限に抑えるためにOktaで使用できる設定とオプションについて説明します。
- About hybrid Azure AD joined devices
- How Okta works with hybrid Azure AD joined devices
- Minimize legacy authentication with Okta
About hybrid Azure AD joined devices
ハイブリッドAzureADに参加しているデバイスは、オンプレミスのActive Directoryに参加し、AzureADに登録されているデバイスです。これらのデバイスを使用すると、オンプレミスのActiveDirectoryとAzureActiveDirectoryの両方の機能を利用できます。ハイブリッドAzureAD参加を使用すると、オンプレミスのActive Directoryに参加している職場のデバイスを一元管理でき、ユーザーはAzure ActiveDirectoryを使用して登録済みのデバイスにサインインできます。
デバイスをハイブリッド結合する方法
ADに参加しているデバイスをAzureADに参加させるには、ハイブリッドAzureAD参加用にAzureADConnectをセットアップする必要があります。さらに、ADに参加しているデバイスをAzureADに自動登録するGPOも作成する必要があります。
ADに参加しているデバイスがAzureADに参加しようとすると、Azure AD Connectで構成したサービス接続ポイント(SCP)を使用して、AzureADテナントフェデレーション情報を検索します。ハイブリッド参加を試みますが、コンピューターオブジェクトの userCertificate 属性がまだAzureADと同期されていないため、失敗します。ただし、失敗すると、AzureADからの証明書を使用してデバイスの属性が更新されます。Azure AD Connectは、次の同期間隔でこの属性をAzureADに同期します。次回、GPOでスケジュールされたタスクがデバイスへのハイブリッド参加を再試行すると、タスクは成功し、デバイスはAzureADに参加します。
このプロセスには数時間かかる場合があります。プロセス中に問題が発生した場合は、 ハイブリッドAzure Active Directoryに参加しているデバイスのトラブルシューティング (Microsoftドキュメント)を参照してください。
How Okta works with hybrid Azure AD joined devices
デバイスがハイブリッドAzureADに参加すると、OktaをIDプロバイダー(IdP)として使用して、これらのデバイスの登録とサインオンプロセスを保護できます。Oktaは、ユーザーのID情報を確認してから、ユーザーがデバイスをAzure ADに登録できるようにするか、Office365リソースへのアクセスを許可します。ユーザーは、Microsoft Office365およびその他のAzureADリソースにサインインする前に、Oktaで認証します。
Minimize legacy authentication with Okta
Windows10を実行しているハイブリッドAzureADに参加しているデバイスは、レガシー認証を使用するWINLOGONサービスを使用します。MFAは従来の認証要求に適用できないため、パスワードスプレーなどのサイバー攻撃を受けやすくなります。したがって、レガシー認証の使用を最小限に抑えることは、環境を保護するための重要な部分です。Oktaは、Hybrid AzureADに参加しているデバイスのレガシー認証の使用を最小限に抑えるためのいくつかのソリューションを提供しています。Office 365アプリのサインオンポリシーで使用可能な次の設定を使用して、ハイブリッドAzureADに参加しているデバイスを強化できます。
For registered devices
Azure ADに既に登録されているデバイスの場合、OktaのOffice 365サインオンポリシーを使用して、サインオンプロセスを保護できます。次のように、ポリシーを変更してアクセスを制限できます。
1. レガシー認証を使用するために選択したユーザーエージェント文字列のみを許可する
Office 365アプリのサインオンルールを使用して特定の信頼できるクライアントをフィルタリングし、Office 365リソースへのアクセスを許可できます(例 : Windows-AzureAD-Authentication-Provider) 。これにより、Office365アプリにアクセスできるユーザーエージェントをより細かく制御できます。See Office 365サインオン・ポリシーでカスタム・クライアントを許可または拒否する.
2a. ローカルイントラネット内でのみレガシー認証を許可する
Microsoftテナントで、レガシー認証を使用するすべてのMicrosoftサービスを無効にします。次に、Oktaで、Office 365アプリのサインオンポリシーを変更して、デバイスがローカルイントラネットにある場合にのみレガシー認証を許可します。See the following docs:
- 方法:条件付きアクセスを使用してAzure ADへのレガシー認証をブロックする (Microsoftドキュメント)
- Office 365サインオン ポリシーの開始
- ネットワーク・ゾーンの作成と構成
2b. ローカルイントラネットの外部でMFAを要求する
ユーザーがローカルイントラネット上にないデバイスを使用している場合は、Azure ADリソースへのアクセスを許可する前に、MFAプロンプトを正常に完了するようにユーザーに要求します。Azure ADで、そのようなユーザーにMFAを要求する条件付きアクセスポリシーを作成してから、OktaでOffice365アプリの設定を変更してOktaMFAを使用してAzureADMFAを満たします。
このシナリオでは、Azure ADはユーザーをOktaにリダイレクトして、MFAプロンプトを完了します。プロンプトが正常に完了すると、OktaはMFAクレームをAzure ADに渡し、AzureADはユーザーがMicrosoftリソースにアクセスできるようにします。これにより、ユーザーはMFAプロンプトを1つだけ完了する必要があるため、ユーザーのサインインエクスペリエンスが合理化されます。See Okta多要素認証を使用してOffice 365向けのAzure AD多要素認証の要件を満たす.
広いセキュリティ範囲を確保するために、条件付きアクセスポリシーとOffice365アプリのサインオンポリシーを組み合わせて使用することをお勧めします。Oktaは、サインオンイベントごとにサインオンポリシーを適用します。サインオン後、Azure ADは定期的に条件付きアクセスポリシーを適用して、アクセスが安全であることを確認します。
3. Microsoft側でレガシー認証をブロックする
Microsoftで認証ポリシーを作成して、すべてのMicrosoftサービスのレガシー認証をブロックします。これらのポリシーをユーザーに割り当てます。 Exchange Onlineでの基本認証の無効化 (Microsoftドキュメント)を参照してください。
For enrolling new devices
Azure ADにまだ登録されていないデバイスの場合、Okta MFAを使用して、次のように登録プロセスにセキュリティレイヤーを追加できます。
Windows Hello forBusinessに登録するときにMFAを要求する
ユーザーがAzureADに新しいデバイスを登録している場合は、OktaでステップアップMFAプロンプトを完了するようにユーザーに要求できます。プロンプトが正常に完了すると、OktaはMFAクレームをAzure ADに渡し、Azure ADを使用すると、ユーザーはデバイスをWindows Hello forBusinessに登録できます。ユーザーは、Azure AD MFAを満たすための要素として、Windows Hello forBusinessを使用できます。See Okta多要素認証を使用してOffice 365向けのAzure AD多要素認証の要件を満たす.