Microsoft Entra ID向けのOkta MFAを使用する

Okta多要素認証(MFA)を使用して、WS-Federation Office 365アプリ向けのMicrosoft Entra ID MFAの要件を満たすことができます。次の場合はOkta MFAを使用します。

  • Oktaと連携認証されたドメインのAzure AD条件付きアクセスで要求されるMFA要件をOktaで処理する。
  • OktaとMicrosoft両方のMFAに単一ソリューションを使用できるように、ユーザーをWindows Hello for Businessに登録する。

Oktaシングルサインオン(SSO)は、WS-Federationのwauthパラメーターに対応しており、このパラメーターはサインイン試行に必要な認証レベルを定義します。これにより、すべてのユーザーにMFAを強制することを避け、必要な場合に限り、追加認証を必須にすることができます。

既知の問題

無限サインインループ

次のシナリオでは、ユーザーが無限サインインループに陥ることがあります。

  1. Oktaサインオンポリシーの方がMicrosoft Entra IDポリシーより弱い:
    • Oktaとアプリの両方のサインオンポリシーがMFAを必要としません。OktaはユーザーにMFAを求めません。Microsoft Entra ID条件付きアクセスはMFAを必要とし、Oktaが入力済みのMFAクレームを渡すことを求めます。
    • ユーザーがネットワークゾーン内からサインインする場合、サインオンポリシーはMFAを必要しませんが、ゾーン外からの場合はMFAを必要とします。OktaはユーザーにMFAを求めません。Azure AD条件付きアクセスはMFAを必要とし、Oktaが入力済みのMFAクレームを渡すことを求めます。
  2. 認証の直後にユーザーがOffice 365にアクセスしない:
    • ユーザーがOktaでMFAを完了した直後にOffice 365アプリにアクセスしない場合、OktaはMFAクレームを渡しません。結果として生じる無限ループから抜け出すには、ユーザーはもう一度Webブラウザーを開いて認証し直す必要があります。

Oktaが誤って成功したMFAクレームを送信する

これは、Office 365アプリサインオンポリシーが特定のエンドユーザー(個人またはグループ)をMFA要件から除外した場合に起こります。ユーザーはMFAを求められませんが、Oktaは成功したMFA要求をMicrosoft Entra ID条件付きアクセスに送信します。Microsoft Entra ID条件付きアクセスはOkta MFAクレームを受け入れ、ユーザーがMicrosoft Entra ID MFAを完了することなくサインインすることを許可します。

開始する前に

開始する前に、次の前提条件が満たされていることを確認します。

  1. orgレベルのサインオンポリシーを構成します。「Oktaサインオンポリシー」を参照してください。
  2. WS-Federation Office 365 アプリインスタンス向けアプリサインオンポリシーを構成します。「Office 365サインオンポリシーのスタートガイド」を参照してください。
  3. MFAがMicrosoft Entra IDインスタンスで構成されている。「Microsoft Entra多要素認証の設定の構成」を参照してください。

この手順を開始する

Okta MFAのサポートを有効にするには、Office 365ドメインの連携認証設定を変更します。次のいずれかの手順を完了します。

手動で連携認証されたドメインの場合

  1. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. WS-Federationが行われたOffice 365アプリを開きます。
  3. [Sign On(サインオン)][View Setup Instructions(設定手順を表示)]をクリックします。Office 365 WS-Federationの設定方法ページが開きます。
  4. ドメインがすでに連携認証されている場合セクションに移動します。
  5. 環境に応じて、以下のいずれかのPowerShellコマンドを実行します。
    • 手動で連携認証されたドメイン:SupportsMfa値がTrueであることを確認します。
      Connect-MsolService
      Get-MsolDomainFederationSettings -DomainName <yourDomainName>
    • 手動で連携認証されたドメインの場合(Microsoft Graphモジュール):FederatedIdpMfaBehavior値がenforceMfaByFederatedIdpであることを確認します。
      Connect-MgGraph -Scopes Directory.AccessAsUser.All
      Get-MgDomainFederationConfiguration -DomainId <yourDomainName> | Select -Property FederatedIdpMfaBehavior
  6. [Okta MFA from Azure AD(Azure ADからのOkta MFA)]オプションで[Enable for this application(このアプリケーションに対して有効にする)]を選択します。
  7. [Save(保存)]をクリックします。

結果の例:MSOnline

コピー
ActiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName :Okta
IssuerUri : issueruri
LogOffUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate :<SigningCertificate>
SupportsMfa :True

結果の例:Microsoft Graph

コピー
ActiveSignInUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName :Okta
IssuerUri :https://issueruri
SignOutUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate :<SigningCertificate>
FederatedIdpMfaBehavior: acceptIfMfaDoneByFederatedIdp

自動的に連携認証されたドメイン

  1. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. WS-Federation Office 365アプリを開きます。
  3. [Sign On(サインオン)]タブで[Edit(編集)]をクリックします。
  4. [Okta MFA from Microsoft Entra ID(Microsoft Entra IDからのOkta MFA)]オプションで[Enable for this application(このアプリケーションに対して有効にする)]を選択します
  5. [Save(保存)]をクリックします。

結果の例:MSOnline

コピー
ActiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName :Okta
IssuerUri : issueruri
LogOffUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate :<SigningCertificate>
SupportsMfa :True

結果の例:Microsoft Graph

コピー
ActiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName :Okta
IssuerUri : issueruri
SignOutUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate :<SigningCertificate>
FederatedIdpMfaBehavior: acceptIfMfaDoneByFederatedIdp

この機能を無効にする

  1. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. WS-Federation Office 365アプリを開きます。
  3. [Sign On(サインオン)]タブで[Edit(編集)]をクリックします。
  4. [Okta MFA from Microsoft Entra ID(Microsoft Entra IDからのOkta MFA)]オプションで[Enable for this application(このアプリケーションに対して有効にする)]オプションの選択をクリアします。
  5. [Save(保存)]をクリックします。
  6. 環境に応じて、以下のいずれかのPowerShellコマンドを実行します。
    • Azure ADのOkta MFAを無効にする(MSOnline):Oktaでこの機能が有効になっている、自動的に連携認証されたすべてのドメインについて、SupportsMfa設定がfalseであることを確認します。

      Set-MsolDomainFederationSettings -DomainName <targetDomainName> -SupportsMfa $false

    • Microsoft Entra IDのOkta MFAを無効にする(Microsoft Graph):Oktaでこの機能が有効になっている、自動的に連携認証されたすべてのドメインについて、FederatedIdpMfaBehavior設定がenforceMfaByFederatedIdpであることを確認します。

      Update-MgDomainFederationConfiguration -DomainId <DomainName> -InternalDomainFederationId (Get-MgDomainFederationConfiguration -DomainId <DomainName> | Select -Property Id).id -FederatedIdpMfaBehavior enforceMfaByFederatedIdp

本機能の仕組み

Okta MFAがMicrosoft Entra ID MFAの要件を満たす

次の表で説明するように、OktaはMFAクレームを渡します。

Okta orgレベルMFA OktaアプリレベルMFA Microsoft Entra ID MFA 生じる事象
無効 無効 有効 ユーザーが無限サインインループに陥ります。これを防ぐには、Okta MFAを構成してMicrosoft Entra ID MFAの要件を満たす必要があります。
有効 無効 有効 ユーザーはOktaでMFAの要求を完了します。Oktaは入力済みのMFAクレームをMicrosoft Entra IDに渡します。Microsoft Entra IDはOktaからのMFAを受け入れ、個別のMFAを求めません。ユーザーはOffice 365へのアクセスを許可されます。
無効 有効 有効
有効 有効 有効

OktaによってユーザーがWindows Helloに登録される

前提条件として、デバイスがハイブリッドMicrosoft Entra IDまたはMicrosoft Entra IDに参加している必要があります。組織がWindows Hello for Businessを必須としている場合、Windows Helloにまだ登録されていないユーザーは、Oktaよりステップアップ認証の完了を求められます。Windows Helloに登録されると、ユーザーはサインインできます。

この表に示されているように、Oktaはユーザーの登録を支援します。

Okta orgレベルMFA OktaアプリレベルMFA 生じる事象
無効 無効 ユーザーが無限サインインループに陥ります。これを防ぐには、Okta MFAを構成してMicrosoft Entra ID MFAの要件を満たす必要があります。
有効 無効 ユーザーはOktaでMFAのセットアップを完了します。Windows Hello for Businessへの登録に成功すると、ユーザーはMicrosoft Entra ID MFAを満たすための要素として使用できます。
無効 有効
有効 有効

関連項目

Office 365サインオンルールのオプション

Office 365のプロビジョニングおよびデプロビジョニングスタートガイド

Windows Hello for Businessデプロイメントを計画する(Microsoftドキュメント)