Office 365サインオンルールのオプション

このトピックでは、Office 365アプリのサインオンルールで使用可能な条件とアクションについて説明します。

条件

このルールが適用される条件を選択します。

ユーザー

このセクションでは、誰にサインオンルールを適用するかを指定します。次のオプションから選択できます。

オプション 機能
[Users assigned this app(このアプリが割り当てられるユーザー)] このアプリが割り当てられたユーザーにルールを適用します。
[The following groups and users(次のグループやユーザー)]

このアプリが割り当てられた特定のグループやユーザーにルールを適用します。

ルールから特定のグループとユーザーを除外するには、[Exclude the following users and groups from this rule(次のユーザーとグループをこのルールから除外)]を選択し、グループとユーザーを指定します。

次の場合、ルールをグループまたはユーザーのサブセットにスコープすることを考慮します。

  • アプリアクセスの例外を有効にしたい。
  • 既存のあぷりへのサインオンルールを段階的に適用したい。

ロケーション

このセクションでは、どの場所にサインオンルールを適用するかを指定します。特定のゾーンにルールを適用する場合、まずOktaでネットワークゾーンをセットアップする必要があります。「ネットワークゾーン」を参照してください。アクセスを制限する際にもネットワークゾーンの影響を考慮してください。

次のオプションから選択できます。

オプション 機能
[Anywhere(すべての場所)] アクセス元にかかわらず、すべてのユーザーにルールを適用します。
[In Zone(ゾーン内)]

特定の場所またはIP範囲からのユーザーにルールを適用します。例:セキュリティの信頼性が低い場所にある支店MFAをこの場所からのユーザーに対する一貫した要件にすることができます。
[Not in Zone(ゾーン外)] 特定の場所またはIP範囲外からのユーザーにルールを適用します。例:会社の各オフィスをOktaでネットワーク場所に指定できます。これらの既知のネットワーク以外からのユーザーにはMFAを常に強制適用することを要求するとよいでしょう。

クライアント

[Client Type(クライアントタイプ)]セクションでは、どのクライアントにサインオンルールを適用するかを指定します。次のオプションから選択できます。

オプション 機能
[Web browser(Webブラウザー)] Chrome、Safari、またはInternet ExplorerなどのWebブラウザーにルールを適用します。
[Modern Authentication(先進認証)]

先進認証を活用するように構成されたシッククライアントアプリにルールを適用します。これには、必要なパッチまたは構成の更新が行われたOffice 2013および2016のクライアントが含まれています。これについては、次のMicrosoftサポートのドキュメントで説明されています:「Updated Office 365 modern authentication」。

先進認証は、Exchange OnlineのOffice 365テナントで構成可能な設定です。Microsoftドキュメント「Enable or disable modern authentication in Exchange Online」および「Office 365: Enable Modern Authentication」を参照してください。
[Exchange ActiveSync/ Legacy Authentication(Exchange ActiveSync/レガシー認証)] iOSまたはAndroidデバイス上のネイティブメールクライアント、および先進認証をサポートしていないmasOSやMS Windows上の古いデスクトップクライアントにルールを適用します。Exchange ActiveSyncおよびレガシー認証クライアントは他要素認証をサポートしていません。

[Custom(カスタム)]

Office 365へのアクセスを許可または拒否するクライアントを指定します。このフィルターを使用して、信頼できないクライアントへのアクセスを拒否したり、信頼できるクライアントのみを許可することができます。「Office 365サインオンポリシーでカスタムクライアントを許可または拒否する」を参照してください。

[Platform Type(プラットフォームタイプ)]セクションでは、どのプラットフォームにサインオンルールを適用するかを指定します。次のオプションから選択できます。

オプション 機能
iOS iOSデバイスからのユーザーにルールを適用します。
Android

Androidデバイスからのユーザーにルールを適用します。
その他のモバイル

iOSおよびAndroid以外のデバイスからのユーザーにルールを適用します。例:Blackberry

Oktaがリクエストヘッダーからオペレーティングシステムタイプを判別できないクライアントタイプの場合にも便利です。たとえば、iOSまたはAndroidデバイスでOutlookメールアプリを使用している場合、リクエストヘッダーにはiOSとAndroidが両方含まれます。[Other mobile(その他のモバイル)]を選択することで、ルールはこれらのクライアントからのリクエストを評価できます。
[Windows] Windowsデバイスからのユーザーにルールを適用します。
macOS macOSデバイスからのユーザーにルールを適用します。
Other desktop(その他のデスクトップ) WindowsとmacOS以外のクライアントからのユーザーにルールを適用します。例:Linux

Okta Device Trust

Orgで[Device Trust(Device Trust)]が有効になっていれば、デバイスが信頼されているかいないかによってアプリへのアクセスを管理できます。「Okta Device Trustソリューション」を参照してください。

アクション

ルールに設定されている条件が満たされた場合に取るアクションを選択します。例:

  • ユーザーが危険または不明なネットワーク場所からの場合にはアクセスを拒否できます。

  • アプリを起動してから一定時間経過した後に再認証するようにユーザーに求めるように要件を設定できます。

  • アプリにサインインするときにMFAを実行するようにユーザーに求めることができます。

アクセス

このセクションでは、サインオンルールに設定されている条件がすべて満たされたときに取るアクションを決定します。アプリにアクセスする前にMFAを完了することをユーザーに要求する場合、まずOktaでMFAを設定する必要があります。「多要素認証」を参照してください。MFAを求める際にはネットワークゾーンの影響も考慮してください。

次のオプションから選択できます。

オプション 機能
[Allowed(許可)] サインオンルールに設定されているすべての条件が満たされた場合にアクセスを許可します。
[Denied(拒否)] サインオンルールに設定されているすべての条件が満たされた場合にアクセスを拒否します。
[Prompt for re-authentication(再認証を求める)] SAMLアプリの場合にのみ、ユーザーに再認証を求める頻度を指定します。指定する期間は、ユーザーが最後にOktaに認証されたときから始まります。
[Prompt for factor(要素を求める)] ユーザーがMFAプロンプトに完全に従うことを要求し、ユーザーにMFAをプロンプトする頻度を指定します。

  • クライアントがOkta orgに戻された場合、Oktaはサインオンポリシーを強制適用します。ブラウザーベースのクライアントでは、これは通常、ブラウザーを閉じるかクッキーをクリアすることでセッションが終了した場合に発生します。

  • デスクトップクライアント(先進認証を使用しないクライアント)およびExchange ActiveSyncクライアントの場合、認証されたセッションがMicrosoftサービス内に最長24時間までキャッシュされます。これらのタイプのクライアントを制限するためのクライアントアクセスポリシーを構成した後、その制限が効果を発するまでに最長24時間までかかることがあります。

  • MFAをサポートするシッククライアントでは、個別のアプリまたはサービスが認証のためにOktaに戻す頻度を決定します。Microsoft Officeアプリの更新間隔は、「Office 365のセッションタイムアウト」を参照してください。

オプション 機能
[Any client(任意のクライアント)]
[One of the following clients(次のいずれかのクライアント)]
オプション 機能
[Web browser(Webブラウザー)] Chrome、Safari、またはInternet ExplorerなどのWebブラウザーにルールを適用します。
[Modern Authentication(先進認証)]
[Exchange ActiveSync/ Legacy Authentication(Exchange ActiveSync/レガシー認証)]