Office 365サインオンルールのオプション
このトピックでは、Office 365アプリのサインオンルールで使用可能な条件とアクションについて説明します。
条件
このルールが適用される条件を選択します。
ユーザー
このセクションでは、誰にサインオンルールを適用するかを指定します。次のオプションから選択できます。
| オプション | 機能 |
|---|---|
| このアプリが割り当てられるユーザー(Users assigned this app) | このアプリが割り当てられたユーザーにルールを適用します。 |
| 次のグループやユーザー(The following groups and users) |
このアプリが割り当てられた特定のグループやユーザーにルールを適用します。 ルールから特定のグループとユーザーを除外するには、次のユーザーとグループをこのルールから除外(Exclude the following users and groups from this rule)を選択し、グループとユーザーを指定します。 |
次の場合、ルールをグループまたはユーザーのサブセットにスコープすることを考慮します。
- アプリアクセスの例外を有効にしたい。
- 既存のあぷりへのサインオンルールを段階的に適用したい。
ロケーション
このセクションでは、どの場所にサインオンルールを適用するかを指定します。特定のゾーンにルールを適用する場合、まずOktaでネットワークゾーンをセットアップする必要があります。「ネットワークセキュリティアクセスを制限する際にもネットワークゾーンの影響を考慮してください。
次のオプションから選択できます。
| オプション | 機能 |
|---|---|
| すべての場所(Anywhere) | アクセス元にかかわらず、すべてのユーザーにルールを適用します。 |
| ゾーン内(In Zone) |
特定の場所またはIP範囲からのユーザーにルールを適用します。例:セキュリティの信頼性が低い場所にある支店MFAをこの場所からのユーザーに対する一貫した要件にすることができます。 |
| ゾーン外(Not in Zone) | 特定の場所またはIP範囲外からのユーザーにルールを適用します。例:会社の各オフィスをOktaでネットワーク場所に指定できます。これらの既知のネットワーク以外からのユーザーにはMFAを常に強制適用することを要求するとよいでしょう。 |
クライアント
クライアントタイプ(Client Type)セクションでは、どのクライアントにサインオンルールを適用するかを指定します。次のオプションから選択できます。
| オプション | 機能 |
|---|---|
| Webブラウザー(Web browser) | Chrome、Safari、またはInternet ExplorerなどのWebブラウザーにルールを適用します。 |
| 先進認証(Modern Authentication) |
先進認証を活用するように構成されたシッククライアントアプリにルールを適用します。これには、必要なパッチまたは構成の更新が行われたOffice 2013および2016のクライアントが含まれています。これについては、次のMicrosoftサポートのドキュメントで説明されています:「Office 365の更新された最新の認証」。 先進認証は、Exchange OnlineのOffice 365テナントで構成可能な設定です。Microsoftドキュメント「Exchange Onlineで最新の認証を有効化または無効化する」および「Office 365:最新の認証を有効化する」を参照してください。 |
| Exchange ActiveSync/レガシー認証(Exchange ActiveSync/ Legacy Authentication) | iOSまたはAndroidデバイス上のネイティブメールクライアント、および先進認証をサポートしていないmasOSやMS Windows上の古いデスクトップクライアントにルールを適用します。Exchange ActiveSyncおよびレガシー認証クライアントは他要素認証をサポートしていません。 |
|
カスタム(Custom) |
Office 365へのアクセスを許可または拒否するクライアントを指定します。このフィルターを使用して、信頼できないクライアントへのアクセスを拒否したり、信頼できるクライアントのみを許可することができます。「Office 365サインオンポリシーでカスタムクライアントを許可または拒否する」を参照してください。 |
プラットフォームタイプ(Platform Type)セクションでは、どのプラットフォームにサインオンルールを適用するかを指定します。次のオプションから選択できます。
| オプション | 機能 |
|---|---|
| iOS | iOSデバイスからのユーザーにルールを適用します。 |
| Android |
Androidデバイスからのユーザーにルールを適用します。 |
| その他のモバイル |
iOSおよびAndroid以外のデバイスからのユーザーにルールを適用します。例:Blackberry Oktaがリクエストヘッダーからオペレーティングシステムタイプを判別できないクライアントタイプの場合にも便利です。たとえば、iOSまたはAndroidデバイスでOutlookメールアプリを使用している場合、リクエストヘッダーにはiOSとAndroidが両方含まれます。その他のモバイル(Other mobile)を選択することで、ルールはこれらのクライアントからのリクエストを評価できます。 |
| [Windows] | Windowsデバイスからのユーザーにルールを適用します。 |
| macOS | macOSデバイスからのユーザーにルールを適用します。 |
| その他のデスクトップ(Other desktop) | WindowsとmacOS以外のクライアントからのユーザーにルールを適用します。例:Linux |
Device Trust
Orgで[Device Trust(Device Trust)]が有効になっていれば、デバイスが信頼されているかいないかによってアプリへのアクセスを管理できます。Okta Device Trustソリューションを参照してください。
アクション
ルールに設定されている条件が満たされた場合に取るアクションを選択します。例:
-
ユーザーが危険または不明なネットワーク場所からの場合にはアクセスを拒否できます。
-
アプリを起動してから一定時間経過した後に再認証するようにユーザーに求めるように要件を設定できます。
-
アプリにサインインするときにMFAを実行するようにユーザーに求めることができます。
アクセス
このセクションでは、サインオンルールに設定されている条件がすべて満たされたときに取るアクションを決定します。アプリにアクセスする前にMFAを完了することをユーザーに要求する場合、まずOktaでMFAを設定する必要があります。「多要素認証(MFA)」を参照してください。MFAを求める際にはネットワークゾーンの影響も考慮してください。
次のオプションから選択できます。
| オプション | 機能 |
|---|---|
| 許可(Allowed) | サインオンルールに設定されているすべての条件が満たされた場合にアクセスを許可します。 |
| 拒否(Denied) | サインオンルールに設定されているすべての条件が満たされた場合にアクセスを拒否します。 |
| 再認証を求める(Prompt for re-authentication) | SAMLアプリの場合にのみ、ユーザーに再認証を求める頻度を指定します。指定する期間は、ユーザーが最後にOktaに認証されたときから始まります。 |
| 要素を求める(Prompt for factor) | ユーザーがMFAプロンプトに完全に従うことを要求し、ユーザーにMFAをプロンプトする頻度を指定します。 |
-
クライアントがOkta orgに戻された場合、Oktaはサインオンポリシーを強制適用します。ブラウザーベースのクライアントでは、これは通常、ブラウザーを閉じるかクッキーをクリアすることでセッションが終了した場合に発生します。
-
デスクトップクライアント(先進認証を使用しないクライアント)およびExchange ActiveSyncクライアントの場合、認証されたセッションがMicrosoftサービス内に最長24時間までキャッシュされます。これらのタイプのクライアントを制限するためのクライアントアクセスポリシーを構成した後、その制限が効果を発するまでに最長24時間までかかることがあります。
-
MFAをサポートするシッククライアントでは、個別のアプリまたはサービスが認証のためにOktaに戻す頻度を決定します。Microsoft Officeアプリの更新間隔は、「Office 365のセッションタイムアウト」を参照してください。