OktaでのハイブリッドAzure AD参加デバイスのサポート
この項目では、登録済みおよび新規のハイブリッドAzure AD参加デバイスのレガシー認証を最小限に抑えるためにOktaで使用できる設定とオプションについて説明します。
ハイブリッドAzure AD参加デバイスについて
ハイブリッドAzure AD参加デバイスとは、オンプレミスのActive Directoryに参加し、Azure ADに登録されているデバイスです。これらのデバイスを使用すると、オンプレミスActive DirectoryとAzure Active Directoryの両方の機能を利用できます。ハイブリッドAzure AD参加を使用すると、オンプレミスのActive Directoryに参加している職場のデバイスを一元管理でき、ユーザーはAzure Active Directoryを使用して登録済みのデバイスにサインインできます。
デバイスをハイブリッド参加させる方法
ADに参加しているデバイスをAzure ADに参加させるには、ハイブリッドAzure AD参加用にAzure AD Connectをセットアップする必要があります。さらに、ADに参加しているデバイスをAzure ADに自動登録するGPOも作成する必要があります。
ADに参加しているデバイスがAzure ADに参加しようとすると、Azure AD Connectで構成したサービス接続ポイント(SCP)を使用して、Azure ADテナント連携資格情報を検索します。ハイブリッド参加を試みますが、コンピューターオブジェクトのuserCertificate属性がAzure ADとまだ同期されていないため、失敗します。ただし、失敗すると、Azure ADからの証明書を使用してデバイスの属性が更新されます。Azure AD Connectは、次の同期間隔でこの属性をAzure ADに同期します。次回、GPOでスケジュールされたタスクがデバイスへのハイブリッド参加を再試行すると、タスクは成功し、デバイスはAzure ADに参加します。
このプロセスには数時間かかる場合があります。プロセス中に問題が発生した場合は、「Troubleshooting hybrid Azure Active Directory joined devices(ハイブリッドAzure Active Directoryに参加しているデバイスのトラブルシューティング)」(Microsoftドキュメント)を参照してください。
OktaがHybrid Azure ADに参加しているデバイスとどのように連携するか
デバイスがハイブリッドAzure ADに参加すると、OktaをIDプロバイダー(IdP)として使用して、これらのデバイスの登録とサインオンプロセスを保護できます。Oktaは、ユーザーのID情報を確認してから、ユーザーがデバイスをAzure ADに登録できるようにするか、Office 365リソースへのアクセスを許可します。ユーザーは、Microsoft Office 365およびその他のAzure ADリソースにサインインする前に、Oktaで認証します。
Oktaでレガシー認証を最小限に抑える
Windows 10で稼働しているハイブリッドAzure AD参加デバイスは、レガシー認証を使用するWINLOGONサービスを使用します。MFAはレガシー認証リクエストには強制適用できず、パスワードスプレーなどのサイバー攻撃に対して脆弱になります。このため、レガシー認証の使用を最小限に抑えることは、環境のセキュリティにとって非常に重要です。ハイブリッドAzure AD参加デバイスでのレガシー認証使用を最小限に抑えるためのいくつかのソリューションを用意しています。ハイブリッドAzure AD参加デバイスを強化するには、Office 365アプリサインオンポリシーにある以下の設定を使用できます。
登録済みデバイス
Azure ADにすでに登録されているデバイスでは、OktaのOffice 365サインオンポリシーを使用してサインオンプロセスをセキュアにできます。次のようにアクセスを制限するためにポリシーを変更できます。
1. レガシー認証を使用するために選択したユーザーエージェント文字列のみを許可する
Office 365アプリのサインオンルールを使用して特定の信頼できるクライアントをフィルタリングし、Office 365リソースへのアクセスを許可できます(例 : Windows-AzureAD-Authentication-Provider)。これにより、Office 365アプリにアクセスできるユーザーエージェントをより細かく制御できます。「Office 365サインオンポリシーでカスタムクライアントを許可または拒否する」を参照してください。
2a. ローカルイントラネット内でのみレガシー認証を許可する
Microsoftテナントで、レガシー認証を使用するすべてのMicrosoftサービスを無効にします。次にOktaでOffice 365アプリのサインオンポリシーを変更して、デバイスがローカルイントラネットにある場合にのみレガシー認証を許可します。以下のドキュメントを参照してください。
- 「How to: Block legacy authentication to Azure AD with Conditional Access(方法:条件付きアクセスを使用してAzure ADへのレガシー認証をブロックする)」(Microsoftドキュメント)
- Office 365サインオンポリシースタートガイド
- ネットワークゾーンの作成と構成
2b. ローカルイントラネットの外部でMFAを要求する
ユーザーがローカルイントラネット上にないデバイスを使用している場合は、Azure ADリソースへのアクセスを許可する前に、MFAプロンプトを正常に完了するようにユーザーに要求します。Azure ADで、そのようなユーザーにMFAを要求する条件付きアクセスポリシーを作成してから、OktaでOffice 365アプリの設定を変更してOkta MFAを使用してAzure AD MFAを満たします。
このシナリオでは、Azure ADはユーザーをOktaにリダイレクトして、MFAプロンプトを完了します。プロンプトが正常に完了すると、OktaはMFAクレームをAzure ADに渡し、Azure ADはユーザーがMicrosoftリソースにアクセスできるようにします。これにより、ユーザーはMFAプロンプトを1つだけ完了する必要があるため、ユーザーのサインインエクスペリエンスが合理化されます。「Okta MFAを使用してOffice 365向けのAzure AD MFAの要件を満たす」を参照してください。
広いセキュリティ範囲を確保するために、条件付きアクセスポリシーとOffice 365アプリのサインオンポリシーを組み合わせて使用することをお勧めします。Oktaは、サインオンイベントごとにサインオンポリシーを適用します。サインオン後、Azure ADは定期的に条件付きアクセスポリシーを適用して、アクセスが安全であることを確認します。
3. Microsoft側でレガシー認証をブロックする
Microsoftで認証ポリシーを作成して、すべてのMicrosoftサービスのレガシー認証をブロックします。これらのポリシーをユーザーに割り当てます。「Disable Basic authentication in Exchange Online(Exchange Onlineでの基本認証の無効化)」(Microsoftドキュメント)を参照してください。
新規デバイスの登録
まだAzure ADに登録されていないデバイスの場合、Okta MFAを使用して次のように登録プロセスにセキュリティレイヤーをもう一つ追加できます。
Windows Hello for Businessに登録する際にMFAを要求する
ユーザーが新しいデバイスをAzure ADに登録する場合、ユーザーにOktaでのステップアップMFAプロンプトを完了することを要求できます。プロンプトが正常に完了すると、OktaはMFAクレームをAzure ADに渡し、Azure ADはユーザーがWindows Hello for Businessにデバイスを登録できるようにします。その後ユーザーはWindows Hello for Businessを使用してAzure AD MFAを満足できます。「Okta MFAを使用してOffice 365向けのAzure AD MFAの要件を満たす」を参照してください。