旧称Azure Active Directory(Microsoft Entra ID)にOkta MFAを使用する
Okta多要素認証(MFA)を使用して、WS-Federation Office 365アプリ向けのMicrosoft Entra ID MFAの要件を満たすことができます。次の場合はOkta MFAを使用します。
- Oktaと連携認証されたドメインのMicrosoft Entra ID条件付きアクセスで要求されるMFA要件をOktaで処理する。
- OktaとMicrosoft両方のMFAに単一ソリューションを使用できるように、ユーザーをWindows Hello for Businessに登録する。
Oktaシングルサインオン(SSO)は、WS-Federationのwauthパラメーターに対応しており、このパラメーターはサインイン試行に必要な認証レベルを定義します。これにより、すべてのユーザーにMFAを強制することを避け、必要な場合に限り、追加認証を必須にすることができます。wauthリクエストがあり、ユーザーがAuthenticatorを1つしか登録していない場合、Oktaはユーザーに別のAuthenticatorを登録するように要求します。
開始する前の確認事項
開始する前に、次の前提条件が満たされていることを確認します。
- orgレベルのサインオンポリシーを構成します。Oktaのサインオンポリシーを参照してください。
- WS-FederationのOffice 365 アプリインスタンスのためにアプリサインオンポリシーを構成します。
- MFAがMicrosoft Entra IDインスタンスで構成されている。「Microsoft Entra多要素認証の設定の構成」を参照してください。
この手順を開始する
Okta MFAのサポートを有効にするには、Office 365ドメインの連携認証設定を変更します。次のいずれかの手順を完了します。
手動で連携認証されたドメインの場合
-
Admin Consoleで、に移動します。
- WS-Federation Office 365アプリを開きます。
- をクリックします。Office 365 WS-Federationの設定方法(How to Configure Office 365 WS-Federation)ページが開きます。
- ドメインがすでに連携認証されている場合(If your domain is already federated)セクションに移動します。
- 環境に応じて、以下のいずれかのPowerShellコマンドを実行します。
- 手動で連携認証されたドメイン:
SupportsMfa値がTrue:Connect-MsolServiceGet-MsolDomainFederationSettings -DomainName <yourDomainName>であることを確認します。 - 手動で連携認証されたドメイン(Microsoft Graphモジュール):
FederatedIdpMfaBehavior値がenforceMfaByFederatedIdp:Connect-MgGraph -Scopes Directory.AccessAsUser.AllGet-MgDomainFederationConfiguration -DomainId <yourDomainName> | Select -Property FederatedIdpMfaBehaviorであることを確認します。
- 手動で連携認証されたドメイン:
- Microsoft Entra ID からのOkta MFAフォーム(Okta MFA from )オプションでこのアプリケーションに対して有効にする(Enable for this application)を選択します。
- 保存(Save)をクリックします。
結果の例:MSOnline
ActiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : issueruri
LogOffUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
SupportsMfa : True結果の例:Microsoft Graph
ActiveSignInUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : https://issueruri
SignOutUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
FederatedIdpMfaBehavior: enforceMfaByFederatedIdp自動的に連携認証されたドメイン
-
Admin Consoleで、に移動します。
- WS-Federation Office 365アプリを開きます。
- サインオン(Sign On)タブで編集(Edit)をクリックします。
- からのOkta MFAフォーム(Okta MFA from )Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。) オプションでこのアプリケーションに対して有効にする(Enable for this application)を選択します。
- 保存(Save)をクリックします。
結果の例:MSOnline
ActiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : issueruri
LogOffUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
SupportsMfa : True結果の例:Microsoft Graph
ActiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : issueruri
SignOutUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
FederatedIdpMfaBehavior: enforceMfaByFederatedIdpこの機能を無効にする
-
Admin Consoleで、に移動します。
- WS-Federation Office 365アプリを開きます。
- サインオン(Sign On)タブで編集(Edit)をクリックします。
- Microsoft Entra IDからのOkta MFA(Okta MFA from Microsoft Entra ID)(Okta MFA from Azure AD)オプションでこのアプリケーションに対して有効にする(Enable for this application)オプションの選択をクリアします。
- 環境に応じて、以下のいずれかのPowerShellコマンドを実行します。
- Azure ADのOkta MFAを無効にする(MSOnline):Oktaでこの機能が有効になっている、自動的に連携認証されたすべてのドメインについて、
SupportsMfa設定がfalseであることを確認します。Set-MsolDomainFederationSettings -DomainName <targetDomainName> -SupportsMfa $false - Microsoft Entra IDのOkta MFAを無効にする(Microsoft Graph):Oktaでこの機能が有効になっている、自動的に連携認証されたすべてのドメインについて、
FederatedIdpMfaBehavior設定がenforceMfaByFederatedIdpであることを確認します。Update-MgDomainFederationConfiguration -DomainId <DomainName> -InternalDomainFederationId (Get-MgDomainFederationConfiguration -DomainId <DomainName> | Select -Property Id).id -FederatedIdpMfaBehavior enforceMfaByFederatedIdp
- Azure ADのOkta MFAを無効にする(MSOnline):Oktaでこの機能が有効になっている、自動的に連携認証されたすべてのドメインについて、
- 保存(Save)をクリックします。
本機能の仕組み
Okta MFAがMicrosoft Entra ID MFAの要件を満たす
次の表で説明するように、OktaはMFAクレームを渡します。
| Okta orgレベルMFA | OktaアプリレベルMFA | Microsoft Entra ID MFA | 生じる事象 |
|---|---|---|---|
| 無効 | 無効 | 有効 | ユーザーが無限サインインループに陥ります。これを防ぐには、Okta MFAを構成してMicrosoft Entra ID MFAの要件を満たす必要があります。 |
| 有効 | 無効 | 有効 | ユーザーはOktaでMFAの要求を完了します。Oktaは入力済みのMFAクレームをAzure ADに渡します。Azure ADはOktaからのMFAを受け入れ、個別のMFAを求めません。ユーザーはOffice 365へのアクセスを許可されます。 |
| 無効 | 有効 | 有効 | |
| 有効 | 有効 | 有効 |
OktaによってユーザーがWindows Helloに登録される
前提条件として、デバイスがハイブリッドMicrosoft Entra IDまたはMicrosoft Entra IDに参加している必要があります。組織がWindows Hello for Businessを必須としている場合、Windows Helloにまだ登録されていないユーザーは、Oktaよりステップアップ認証の完了を求められます。Windows Helloに登録されると、ユーザーはサインインできます。
この表に示されているように、Oktaはユーザーの登録を支援します。
| Okta orgレベルMFA | OktaアプリレベルMFA | 生じる事象 |
|---|---|---|
| 無効 | 無効 | ユーザーが無限サインインループに陥ります。これを防ぐには、Okta MFAを構成してMicrosoft Entra ID MFAの要件を満たす必要があります。 |
| 有効 | 無効 | ユーザーはOktaでMFAのセットアップを完了します。Windows Hello for Businessへの登録に成功すると、ユーザーはMicrosoft Entra ID MFAを満たすための要素として使用できます。 |
| 無効 | 有効 | |
| 有効 | 有効 |
関連項目
Office 365のプロビジョニングとデプロビジョニングを開始する
Classicで「Azure ADにOkta MFAを使用する」機能を使用する際の既知の問題
Windows Hello for Businessデプロイを計画する(Microsoftドキュメント)