Microsoftに管理者の同意を提供してOktaでの認証を可能にする

Oktaは、Microsoft Office 365テナントと統合するために特定の権限を必要とします。これらの権限により、Oktaがユーザーに代わってMicrosoft Graph APIにアクセスして、SSOとユーザープロビジョニングを実行できます。

開始する前の確認事項

Microsoftテナントのグローバル管理者権限があることを確認してください。

Oktaの権限の必要性を理解する

必要な権限は、Microsoftテナントに登録されている2つの異なるOktaアプリのいずれかに付与されます。使用される特定のアプリは、有効化する機能によって異なります。

有効化される機能	必要なOktaアプリ
ドメインフェデレーション	Okta Graph APIクライアント - フェデレーション
プロビジョニングおよび高度なAPIアクセス	Okta Microsoft Graphクライアント

Okta Office 365アプリ統合内のSSOまたはプロビジョニングの初期構成時に、管理者の同意を付与するように求められます。

ドメインフェデレーションの権限

ドメインのみをフェデレーションする場合、Okta Graph APIクライアント - フェデレーションアプリに次の権限セットが付与されます。

権限	Oktaでできること	注記
`User.Read`	ユーザーの読み取り	認証には基本ユーザーIDが必要です。
`Domain.ReadWrite.All`	ドメインデータの読み書き	ドメインの構成と検証に必要です。
`RoleManagement.ReadWrite.Directory`	ユーザー、グループ、およびサービスプリンシパルへのディレクトリロールの割り当て。	初期セットアップ時に必要です。注: 統合に成功した後、この権限を安全に取り消すことができます。

注:

Directory.Read.All権限は必要ありません。以前にこの権限を付与した場合は、それを取り消すことができます。

プロビジョニングおよび高度なAPIアクセスの権限

OAuthベースアプリ（Microsoft Teams、Viva、Power BIなど）にプロビジョニングまたは高度なAPIアクセスを構成する場合、包括的な権限セットが必要であり、 Okta Microsoft Graphクライアントアプリに付与されます。

プロビジョニングと高度なAPIアクセスは両方とも同じ権限セットを共有しており、ユーザートークン、ライセンス、Directoryオブジェクトを管理するためにMicrosoft Graph APIへの読み取り/書き込みアクセスを必要とします。

注:

Microsoft Teams、Yammer、Power BIなどのアプリでSSOを使用するには、 Okta Graph APIクライアント - フェデレーション（ Graph API Client - Federation）アプリと Okta MicrosoftGraphクライアント（Graph Client）アプリの両方に権限を付与する必要があります。

権限	Oktaでできること	注記
`User.ReadWrite.All`	ユーザーの作成、参照、更新、および削除。	User Lifecycle Managementに必要です。
`Group.ReadWrite.All`	グループの作成、参照、更新、および削除。	グループプッシュおよびグループ管理に必要です。
`GroupMember.ReadWrite.All`	グループのメンバーの追加または削除。	グループメンバーシップの管理に必要です。
`Organization.Read.All`	テナントの取得済みライセンスと残りのシートの一覧表示。	ライセンスの利用可能性を確認するために必要です。
`Application.Read.All`	テナントのアプリ登録とサービスプリンシパルの一覧表示。	統合の構成に必要です。
`RoleManagement.ReadWrite.Directory`	ユーザー、グループ、およびサービスプリンシパルへのディレクトリロールの割り当て。	管理者ロールの管理に必要です（例: グローバル管理者）プロビジョニングが使用されていない場合、SSO統合が成功した後にこの権限を安全に取り消すことができます。
`Directory.ReadWrite.All`	ディレクトリデータの読み取り。	Directory管理に使用されます。 `LicenseAssignment.ReadWrite.All`が付与されている場合、この権限を安全に取り消すことができます。

注:

User.Read権限は必要ありません。以前にこの権限を付与した場合は、それを取り消すことができます。

Microsoftに管理者の同意を提供してOktaでの認証を可能にする

管理者の同意は、次の2つの方法で提供できます。

Microsoftに管理者の同意を提供してプロビジョニングでの認証を可能にする
シングルサインオンにMicrosoft管理者の同意を提供する

プロビジョニングにMicrosoft管理者の同意を提供する

注:

OktaからOffice 365へのプロビジョニングを容易にするには、認証を行い、OktaがMicrosoft Graph APIにアクセスできるように管理者の同意を付与する必要があります。

Office 365アプリのプロビジョニングを初めて有効にする場合は、次の手順に従います。

Okta Admin Consoleで以下を行います。
1. アプリケーション（Applications） > Office 365 > プロビジョニング（Provisioning） > 統合（Integration）に移動します。
2. API統合を有効化（Enable API integration）チェックボックスを選択します。
3. Microsoftアカウントで認証（Authenticate with Microsoft Account）をクリックします。
  
  Microsoftアカウントログインページにリダイレクトされます。
Microsoftで以下を行います。
1. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
2. Okta MicrosoftGraphクライアント（Graph Client）ページに記載されている手順を読んで受け入れます。
Okta Admin Consoleで設定を保存します。

プロビジョニングでの認証のためにMicrosoftに示した管理者の同意を再認証する

注:

orgが2021年12月より前にプロビジョニングを有効にした場合、プロビジョニング設定を変更する前に、管理者の同意を付与するために再認証する必要があります。Oktaが要求する権限が変更されたため、これが必要になります。

Office 365アプリのプロビジョニングを既に有効にしていて、再認証する必要がある場合は、次の手順に従います。

Okta Admin Consoleで以下を行います。
1. アプリケーション（Applications） > Office 365 > プロビジョニング（Provisioning） > 統合（Integration） > 編集（Edit）に移動します。
2. Microsoftアカウントで認証（Authenticate with Microsoft Account）（Re-authenticate with Microsoft Account）をクリックします。
  
  Microsoftアカウントログインページにリダイレクトされます。
Microsoftで以下を行います。
1. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
2. Okta MicrosoftGraphクライアント（Graph Client）ページに記載されている手順を読んで受け入れます。
Okta Admin Consoleで設定を保存します。

SSOにMicrosoft管理者の同意を提供する

Okta Admin Consoleで以下を行います。
1. アプリケーション（Applications） > Office 365 > サインオン（Sign On） > 編集（Edit）に移動します。
2. サインオン方法（Sign on Methods）セクションで、WS-Federation > 自動（Automatic）が選択されていることを確認します。
3. Office 365ドメイン（ Domains ）セクションで、フェデレーションの設定を開始（Start federation setup）をクリックします。Microsoftアカウントログインページにリダイレクトされます。
Microsoftで以下を行います。
1. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
2. OktaGraph APIクライアント - フェデレーション（Graph API Client - Federation）ページに記載されている手順を読んで受け入れます。
サインオン（Sign On）タブに戻り、ドメインをフェデレーション（Federate domains）をクリックし、Oktaとフェデレーションするドメインを選択します。認証を完了するには、少なくとも1つのドメインをフェデレーションしてください。
任意。Microsoft Teams、Yammer、Power BIなどのアプリでSSOを使用するには、Okta Admin Consoleで次の手順を実行します。
1. API資格情報（API Credentials）セクションで、管理者が高度なAPIアクセスに同意できるようにする（Allow administrator to consent for Advanced API access）を選択します。
2. Microsoftアカウントで認証（Authenticate with Microsoft Account）をクリックします。Microsoftアカウントログインページにリダイレクトされます。
3. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
4. Okta MicrosoftGraphクライアント（Graph Client）ページに記載されている手順を読んで受け入れます。
Okta Admin Consoleで設定を保存します。

SSOにMicrosoft管理者の同意を再認証する

次の場合、Oktaに既存のMicrosoft管理者の同意を再認証する必要があります。

Okta End-User Dashboardに新しいOffice 365アプリを追加し、そのアプリにOAuthが必要な場合。
Office 365アプリのURLが変更される場合。

Okta Admin Consoleで以下を行います。
1. アプリケーション（Applications） > Office 365 > サインオン（Sign On） > 編集（Edit）に移動します。
2. サインオン方法（Sign on Methods）セクションで、WS-Federation > 自動（Automatic）が選択されていることを確認します。
3. Office 365ドメイン（ Domains）セクションで、Microsoftアカウントで再認証（Re-authenticate with Microsoft Account）をクリックします。Microsoftアカウントログインページにリダイレクトされます。
Microsoftで以下を行います。
1. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
2. OktaGraph APIクライアント - フェデレーション（Graph API Client - Federation）ページに記載されている手順を読んで受け入れます。
任意。Microsoft Teams、Yammer、Power BIなどのアプリでSSOを使用するには、Okta Admin Consoleで次の手順を実行します。
1. API資格情報（API Credentials）セクションで、管理者が高度なAPIアクセスに同意できるようにする（Allow administrator to consent for Advanced API access）が選択されていることを確認します。
2. Microsoftアカウントで認証（Authenticate with Microsoft Account）（Re-authenticate with Microsoft Account）をクリックします。Microsoftのサインインページに転送されます。
3. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
4. Okta MicrosoftGraphクライアント（Graph Client）ページに記載されている手順を読んで受け入れます。
Okta Admin Consoleで設定を保存します。