Okta support for hybrid Azure AD joined devices

このトピックでは、登録済みおよび新しいハイブリッドAzureADに参加しているデバイスでのレガシー認証の使用を最小限に抑えるためにOktaで使用できる設定とオプションについて説明します。

About hybrid Azure AD joined devices

ハイブリッドAzureADに参加しているデバイスは、オンプレミスのActive Directoryに参加し、AzureADに登録されているデバイスです。これらのデバイスを使用すると、オンプレミスのActiveDirectoryとAzureActiveDirectoryの両方の機能を利用できます。ハイブリッドAzureAD参加を使用すると、オンプレミスのActive Directoryに参加している職場のデバイスを一元管理でき、ユーザーはAzure ActiveDirectoryを使用して登録済みのデバイスにサインインできます。

デバイスをハイブリッド結合する方法

ADに参加しているデバイスをAzureADに参加させるには、ハイブリッドAzureAD参加用にAzureADConnectをセットアップする必要があります。さらに、ADに参加しているデバイスをAzureADに自動登録するGPOも作成する必要があります。

ADに参加しているデバイスがAzureADに参加しようとすると、Azure AD Connectで構成したサービス接続ポイント(SCP)を使用して、AzureADテナントフェデレーション情報を検索します。ハイブリッド参加を試みますが、コンピューターオブジェクトの userCertificate 属性がまだAzureADと同期されていないため、失敗します。ただし、失敗すると、AzureADからの証明書を使用してデバイスの属性が更新されます。Azure AD Connectは、次の同期間隔でこの属性をAzureADに同期します。次回、GPOでスケジュールされたタスクがデバイスへのハイブリッド参加を再試行すると、タスクは成功し、デバイスはAzureADに参加します。

このプロセスには数時間かかる場合があります。プロセス中に問題が発生した場合は、 ハイブリッドAzure Active Directoryに参加しているデバイスのトラブルシューティング (Microsoftドキュメント)を参照してください。

How Okta works with hybrid Azure AD joined devices

デバイスがハイブリッドAzureADに参加すると、OktaをIDプロバイダー(IdP)として使用して、これらのデバイスの登録とサインオンプロセスを保護できます。Oktaは、ユーザーのID情報を確認してから、ユーザーがデバイスをAzure ADに登録できるようにするか、Office365リソースへのアクセスを許可します。ユーザーは、Microsoft Office365およびその他のAzureADリソースにサインインする前に、Oktaで認証します。

Minimize legacy authentication with Okta

Windows10を実行しているハイブリッドAzureADに参加しているデバイスは、レガシー認証を使用するWINLOGONサービスを使用します。MFAは従来の認証要求に適用できないため、パスワードスプレーなどのサイバー攻撃を受けやすくなります。したがって、レガシー認証の使用を最小限に抑えることは、環境を保護するための重要な部分です。Oktaは、Hybrid AzureADに参加しているデバイスのレガシー認証の使用を最小限に抑えるためのいくつかのソリューションを提供しています。Office 365アプリのサインオンポリシーで使用可能な次の設定を使用して、ハイブリッドAzureADに参加しているデバイスを強化できます。

For registered devices

Azure ADに既に登録されているデバイスの場合、OktaのOffice 365サインオンポリシーを使用して、サインオンプロセスを保護できます。次のように、ポリシーを変更してアクセスを制限できます。

1. レガシー認証を使用するために選択したユーザーエージェント文字列のみを許可する

Office 365アプリのサインオンルールを使用して特定の信頼できるクライアントをフィルタリングし、Office 365リソースへのアクセスを許可できます(例 : Windows-AzureAD-Authentication-Provider) 。これにより、Office365アプリにアクセスできるユーザーエージェントをより細かく制御できます。See Office 365サインオン・ポリシーでカスタム・クライアントを許可または拒否する.

2a. ローカルイントラネット内でのみレガシー認証を許可する

Microsoftテナントで、レガシー認証を使用するすべてのMicrosoftサービスを無効にします。次に、Oktaで、Office 365アプリのサインオンポリシーを変更して、デバイスがローカルイントラネットにある場合にのみレガシー認証を許可します。See the following docs:

2b. ローカルイントラネットの外部でMFAを要求する

ユーザーがローカルイントラネット上にないデバイスを使用している場合は、Azure ADリソースへのアクセスを許可する前に、MFAプロンプトを正常に完了するようにユーザーに要求します。Azure ADで、そのようなユーザーにMFAを要求する条件付きアクセスポリシーを作成してから、OktaでOffice365アプリの設定を変更してOktaMFAを使用してAzureADMFAを満たします。

このシナリオでは、Azure ADはユーザーをOktaにリダイレクトして、MFAプロンプトを完了します。プロンプトが正常に完了すると、OktaはMFAクレームをAzure ADに渡し、AzureADはユーザーがMicrosoftリソースにアクセスできるようにします。これにより、ユーザーはMFAプロンプトを1つだけ完了する必要があるため、ユーザーのサインインエクスペリエンスが合理化されます。See Okta多要素認証を使用してOffice 365向けのAzure AD多要素認証の要件を満たす.

広いセキュリティ範囲を確保するために、条件付きアクセスポリシーとOffice365アプリのサインオンポリシーを組み合わせて使用することをお勧めします。Oktaは、サインオンイベントごとにサインオンポリシーを適用します。サインオン後、Azure ADは定期的に条件付きアクセスポリシーを適用して、アクセスが安全であることを確認します。

3. Microsoft側でレガシー認証をブロックする

Microsoftで認証ポリシーを作成して、すべてのMicrosoftサービスのレガシー認証をブロックします。これらのポリシーをユーザーに割り当てます。 Exchange Onlineでの基本認証の無効化 (Microsoftドキュメント)を参照してください。

For enrolling new devices

Azure ADにまだ登録されていないデバイスの場合、Okta MFAを使用して、次のように登録プロセスにセキュリティレイヤーを追加できます。

Windows Hello forBusinessに登録するときにMFAを要求する

ユーザーがAzureADに新しいデバイスを登録している場合は、OktaでステップアップMFAプロンプトを完了するようにユーザーに要求できます。プロンプトが正常に完了すると、OktaはMFAクレームをAzure ADに渡し、Azure ADを使用すると、ユーザーはデバイスをWindows Hello forBusinessに登録できます。ユーザーは、Azure AD MFAを満たすための要素として、Windows Hello forBusinessを使用できます。See Okta多要素認証を使用してOffice 365向けのAzure AD多要素認証の要件を満たす.

関連項目