要件と制限

早期アクセスリリース

Okta Privileged AccessでActive Directory（AD）アカウントを管理する前に、以下情報を確認してください。

• この機能を有効にするには、Oktaまでお問い合わせください。

• ターゲットドメインでADエージェントが実行されていなければなりません。「Okta Active Directoryエージェントをインストールする」を参照してください。組織単位をOktaに接続（Connect an organizational unit to Okta）セクションで、特権ADアカウントのある組織単位（OU）を選択します。

  注:

  ルールの対象となるOUがOktaAdmin Consoleで選択されていない場合は、そのルールに効果はありません。

• Okta AD Agentのサービスアカウントに、特権ADアカウントのパスワードを変更する権限を付与します。「Okta AD Agentパスワード管理権限を付与する」を参照してください。

• 特権ADアカウントのOUには、特権ADアカウントのみが含まれていなければなりません。それらのOUには、標準ユーザーアカウントやOkta Privileged Accessによる管理を意図していないアカウントがあってはいけません。特権ADアカウントが標準ユーザー アカウントと同じOUにある場合、Okta Privileged Accessで管理できるようにするには、それらを別のOUに移動しなければなりません。

• Okta管理者はOkta Privileged Access管理者と協力して、特権ADアカウントを含むOUがAdmin Consoleで正しく選択され、Okta Privileged Accessの管理ルールで適切に構成されていることを確認する必要があります。

• Oktaでは、Okta管理者がOktaAdmin Consoleでアプリ統合を削除する前に、Okta Privileged AccessでADドメインを非アクティブ化することを推奨しています。Oktaアプリを非アクティブ化または削除すると、Okta Privileged Accessからすべてのエントリが削除されます。

• 管理対象アカウントによる委任認証は現在サポートされていません。

• Okta ADエージェントはパスワードのリセット操作を実行するため、Active Directoryドメインコントローラーとの接続が確立された高性能ホスト上にある必要があります。ADエージェントホストの要件を参照してください。

• RDPセッションに使用する前に、Active Directoryアカウントのパスワードを少なくとも1回ローテーションする必要があります。

ADエージェントホストの要件

• ドメインコントローラーとAD Agentホストが通信するためのネットワークポート要件を確認します。Active Directory統合のDMZサーバーポートを構成するを参照してください。

• AD Agentホストのサイズが正しく設定されていることを確認します。AD Agentホストには、CPUが2つ以上、RAMが8GB以上必要であり、高速ネットワークでドメインコントローラーに接続されている必要があります。

• 環境のタイプとサイズに対して十分な数のAD Agentホストがあることを確認してください。高可用性と障害復旧のために、本番環境には複数のAD Agentが必要です。

  • AD Agentが最小

  • AD Agentは、マルチユーザー環境に推奨されます。

  • AD Agent+ - 3万人以上のユーザーがいるときは、少なくとも3つのAD Agentをデプロイします。

• ポーリングスレッド数を増やすことを検討してください。「Okta Active Directory Agentのスレッド数を変更する」を参照してください。

• AD Agentはサポート対象OS上で実行する必要があります。

関連項目

Active Directoryドメインをセットアップする

Active Directoryドメインを管理する

ポリシーにルールを追加する