ハイブリッドAzure AD参加を統合するための前提条件

Hybrid AAD JoinをOktaと統合するには、次の前提条件を満たす必要があります。これらの前提条件は、次の2つのカテゴリーに分けられます。

  1. Microsoft環境の前提条件

  2. Okta環境の前提条件

Microsoft環境の前提条件

次のMicrosoftソフトウェアとライセンスが必要です。

Windows Server 2016以降

次の機能をすべてまとめてホストする、同じドメイン内の1つ以上のサーバー。

  • ドメイン・コントローラーです。
  • ActiveDirectoryがあります。
  • DNSを実行しており、このDNSサーバーまたはサービスはインターネット経由でアクセス可能です。これにより、オフプレミスのクライアント・マシンがローカル・ドメインを解決してそこにクライアントを登録できるようになります。
  • Active Directory用のIntune Connectorがあります。Intune Connectorは、ローカル・ドメインでAzureから参加しているハイブリッドに参加しているマシンの作成を容易にするために、Azureからインストールされるローカル・サービスです。
  • 個のグループ・ポリシー・オブジェクト(GPO)があります。GPOは、ユーザー・アカウントとユーザー・アクティビティーを制御するためにMicrosoftシステムのリソースとして使用できるグループ・ポリシーのコンポーネントです。GPOを使用してオンプレミスのWindows 10クライアントにレジストリー・エントリーを設定すると、AAD ConnectがクライアントをAzure ADに同期できるようになります。

Azure Active Directory (AAD)

  • プレミアム・プラン1または2のAADテナント
  • AAD Connect :AAD ConnectはオンプレミスのActive DirectoryとAzure ADの間のギャップを埋める同期エージェントです。環境間でコンピューター・オブジェクトを同期します。

Microsoft 365のドメインとライセンス

  • フェデレーションで使用する登録済みのMicrosoft 365ドメイン
  • AADおよびMDMサービス付きのMicrosoft 365ライセンス:Azure AD、Windows Autopilot、Microsoft Intuneなどのモバイル・デバイス管理(MDM)ソリューションへのアクセスを提供するMicrosoftライセンス。そのようなライセンスの一部を以下に示します。
    • Microsoft 365 Business
    • Microsoft 365 F3
    • Microsoft 365 E3 or E5
    • Enterprise Mobility & Security E3またはE5

Windows Autopilot

MicrosoftのWindows Autopilotを使用すると、デバイスに触れることなく、Windowsデバイスのセットアップ、リセット、復旧、再利用を行うことができます。エンド・ユーザーとIT管理者の労力は最小限に抑えられます。「Windows Autopilotのドキュメント」(Microsoftのドキュメント)を参照してください。

モバイル・デバイス管理(MDM)ソリューション

複数のMDMソリューションから選択できます。一般的に使用されるMDMソリューションをいくつか紹介します。

  • Microsoft Intune:Microsoft Intuneは、モバイル・デバイス管理(MDM)とモバイル・アプリケーション管理(MAM)のためのクラウド・ベースのサービスです。IntuneをAzure Active Directory(Azure AD)と統合して、Microsoftリソースにアクセスできるユーザーと範囲を制御できます。「Microsoft Intuneの基礎 」 (Microsoftドキュメント)を参照してください。
  • VMware Workspace ONE(Airwatchを含む):VMware Workspace ONEは、リモート・デバイスでアプリを安全に配信および管理できるようにするデジタル・ワークスペース・プラットフォームです。「 VMware Workspace ONEのドキュメント」(VMwareドキュメント)を参照してください。

Windows 10クライアント

Windows 10クライアント・バージョン1803以降。テストの目的で、ドメインに参加していないデバイスを使用することをお勧めします。

Okta環境の前提条件

OFFICE365_WINDOWS_TRANSPORT_SUPPORT機能フラグ

統合するOkta組織でこの機能フラグを有効にするには、サポートにお問い合わせください。この機能は、デバイスによって最初に呼び出されるMEXエンドポイントを提供します。このフラグを有効にしないと、デバイスのPRTが取得されません。

オンプレミスActiveDirectoryをOktaと統合する

Active Directoryエージェントの構成とユーザーとグループのインポートについては、Active Directory統合ガイドを参照してください。新しい統合の場合は、適切なユーザーとグループがインポートされ、Okta内に確定されていることを確認してください。

Azure ADテナントをOktaと統合する

OktaでMicrosoft Office 365アプリを使用して、Azure ADテナントをOktaと統合します。OktaにMicrosoft Office 365を展開するための一般的なワークフローを参照してください。

統合時には次のオプションを使用します。

  • シングル・サインオンの構成時に、 WS-Federation(自動または手動)の方法を選択します。

  • プロビジョニングにOktaを使用している場合は、 プロビジョニング・タイプLicenses/Role Management Onlyまたは Profile Syncに設定します。ほかのオプション([ユーザーの同期]と[ユニバーサル同期])は、ハイブリッドのセットアップに必要なAzure AD Connectと互換性がありません。

  • プロビジョニング中にプロファイル・マッピングを構成する際に、ユーザーがデバイスへのサインインに使用するユーザー名と一致するように アプリケーション・ユーザー名のフォーマットフィールドを設定します。通常、これはAzure ADユーザー・プリンシパル名です。