Office 365サイレントアクティベーション：新しい実装

注:

注

このトピックの手順は、2019年9月1日以降にこの機能（2019.09.0リリースより後）を初めて実装したorgに適用されます。2019.09.0リリースより前のこの機能の早期アクセスバージョンを実装したときは、「Office 365サイレントアクティベーション（廃止）」の手順を参照してください。

Microsoft Office 365向けのOktaサイレントアクティベーションは、ラップトップ、デスクトップ、共有ワークステーション、またはVDI環境でOffice 365にシームレスにアクセスするユーザーエクスペリエンスを提供します。OktaをIDプロバイダーとして使用することで、ドメイン参加WindowsマシンにサインインしたエンドユーザーはOffice 365に自動的にサインインできます。

開始する前の確認事項

Active Directory（AD）ドメインがOkta orgと統合されていることを確認します。Active Directory統合を参照してください。
サービスプリンシパル名（SPN）を構成する権限があることを確認します。Microsoftのドキュメント「権限を委任してSPNを変更する」を参照してください。
ユーザーのAD UPNは、Office 365のUPNと一致する必要があります。Office 365アプリのユーザー名は、任意のAD属性にマッピングするように構成できます。「Office 365へのディレクトリ同期を通じたユーザーのプロビジョニングを準備する」を参照してください。
すべてのOffice 365エンドユーザーに有効なライセンスが必要です。
特定のドメインと関連付けられているOffice 365アプリインスタンスがすべてのエンドユーザーに割り当てられている必要があります。
ユーザーがドメインコントローラーに到達できる。

サポートされるアプリと構成

Microsoftが現在サポートしているすべてのバージョンのWindows
Office 2016以降
サポートされるアプリ：Word、Excel、Outlook、OneNote、Skype for Business、PowerPoint、Access、Publisher
ADシングルサインオンとOffice 365サイレントアクティベーションでは、RC4_HMAC_MD5暗号化はサポートされません。ADSSOまたはOffice 365サイレントアクティベーションを使用するときは、AES 128ビット（AES-128）またはAES 256ビット（AES-256）暗号化を使用することをお勧めします。

この手順を開始する

この手順には次のステップが含まれます。

サービスアカウントとSPNを作成する
Windowsでブラウザーを構成する
Kerberos認証を有効化する
サイレントアクティベーションを有効化する
Office 365の自動ライセンス認証をテストする

注:

重要

Office 365のクライアントアクセスポリシーがWebブラウザーを拒否するように設定されている場合、サイレントアクティベーションもブロックされます。
アプリまたはOkta Sign-on PolicyでWebブラウザーでのMFAを設定していても、サイレントアクティベーションによるログインではMFAを利用できません。
SWAサインオンはサポートされません。

サービスアカウントとSPNを作成する

注:

次の手順でサービスアカウントを作成します：

OktaテナントのKerberosサービスには、ドメイン管理者アカウントではなく、ドメインユーザーアカウントを使用します。
アカウントロックを強化するために、架空のホスト名を使ってログオン先（logon to）の制限を有効にするとともに、アカウントをアカウントは重要なので委任できない（Account is sensitive and cannot be delegated）（Account is sensitive and can't be delegated）としてマークします。

Active Directoryユーザーとコンピューター（［Active Directory Users and Computers）］にアクセスできるサーバーにサインインします。Active Directory
サービスアカウントを作成するフォルダーを右クリックし、新規作成（New） > ユーザー（User）を選択します。

次の値を使ってアカウントを作成します。

フィールド	値
ユーザーログオン名（User logon name）	<username>
User logon name (pre-Windows 2000)（ユーザーログオン名（Windows 2000以前））	任意のユーザー名でかまいません（<username>）

注:

サービスアカウントのユーザー名は、ドメイン名を含めて16文字以上にする必要があります。また、サービスアカウントには管理者権限は必要ありませんが、SPNの設定には特定の権限が必要です。「権限を委任してSPNを変更する」を参照してください。

次へ（Next）をクリックします。
14文字以上のパスワードを作成し、パスワードに期限を設定しない（Password never expires）ボックスをオンにします。
次へ（Next）をクリックします。

次のコマンドを実行して、サービスアカウントのSPNを構成します：

setspn -S HTTP/<yourorg>.kerberos.<oktaorgtype>.com <username>

プレースホルダー	値
your org	ユーザーのOkta org名
oktaorgtype	お客様のOkta orgタイプ。例：`okta`、`oktapreview`、`okta-emea`、`okta-gov`。
username	前のステップで作成したユーザー名。

例：setspn -S HTTP/atkodemo.kerberos.oktapreview.com OktaSilentActivation

次のコマンドを実行して、SPNが正しいことを確認します。
```
setspn -l <username>
```

Windowsでブラウザーを構成する

ブラウザーで統合Windows認証を有効化します。
1. Internet Explorerで設定（Settings） > インターネットオプション（Internet Options） > 詳細設定（Advanced）に移動します。
2. 詳細設定（Advanced）タブでセキュリティ（Security）設定までスクロールし、統合Windows認証の有効化（Enable Integrated Windows Authentication）（Enable Integrated Windows Authentication.）を選択します。
3. OK（OK.）をクリックします。
  
  注:
  重要
  
  Internet ExplorerでセッションCookieを保存できることを確認します（インターネットオプション（Internet Options） > プライバシー（Privacy） > 設定（Settings） > 詳細設定（Advanced））。保存できない場合、SSOも標準のサインインも機能しません。
ローカルイントラネットゾーンを構成してOktaを信頼済みサイトに指定する
1. Internet Explorerで設定（Settings） > インターネットオプション（Internet Options） > セキュリティ（Security）に移動します。
2. セキュリティ（Security）タブでローカルイントラネット（Local Intranet） > サイト（Sites） > 詳細設定（Advanced）をクリックします。
3. 前の手順で構成したOkta orgのURLを追加します。
  
  https://<yourorg>.kerberos.<oktaorgtype>.com
  
  例：https://atkodemo.kerberos.oktapreview.com
4. 閉じる（Close）をクリックして、ほかの構成オプションではOKをクリックします。
グローバルポリシーオブジェクト（GPO）を作成し、サイレントアクティベーションを使用するすべてのクライアントマシンにロールアウトします。

Kerberos認証を有効化する

Admin Consoleで、セキュリティ（Security） > 委任認証（Delegated Authentication）に移動します。
委任認証（Delegated Authentication）ページで、 Active Directory タブをクリックします。
下にスクロールしてエージェントレスデスクトップSSOおよびサイレントアクティベーション（Agentless Desktop SSO and Silent Activation）セクションに移動して、編集（Edit）をクリックします。
Active Directoryインスタンス（Active Directory Instances）で、サービスアカウントを構成したインスタンスを探します。

このインスタンスを次のユーザー名の形式で構成します。

フィールド	値
デスクトップSSO（Desktop SSO）	有効
サービスアカウントのユーザー名（Service Account Username）	<username> これはステップ1で作成した、ドメインのサフィックスまたはNetBIOS名のプレフィックスなしのActive Directoryサインオン名です。sAMAccountName、またはUPNのユーザー名部分を使用できます。org管理者が異なる値を使用しない限り、この2つは同じ文字列である可能性があります。このフィールドでは大文字と小文字が区別されます。UPNプレフィックスがsAMAccountNameと異なる場合、サービスアカウントユーザー名はUPNと同じものにし、ドメインのサフィックスを含める必要があります。例：agentlessDsso@mydomain.com
サービスアカウントのパスワード（Service Account Password）	お客様のActive Directoryパスワード

フィールド

値

デスクトップSSO（Desktop SSO）

有効

サービスアカウントのユーザー名（Service Account Username）

これはステップ1で作成した、ドメインのサフィックスまたはNetBIOS名のプレフィックスなしのActive Directoryサインオン名です。sAMAccountName、またはUPNのユーザー名部分を使用できます。org管理者が異なる値を使用しない限り、この2つは同じ文字列である可能性があります。このフィールドでは大文字と小文字が区別されます。UPNプレフィックスがsAMAccountNameと異なる場合、サービスアカウントユーザー名はUPNと同じものにし、ドメインのサフィックスを含める必要があります。例：agentlessDsso@mydomain.com

サービスアカウントのパスワード（Service Account Password）

お客様のActive Directoryパスワード

保存（Save）をクリックします。

これで、Office 365アプリインスタンスのKerberos認証が有効になりました。Office 365

サイレントアクティベーションを有効化する

Okta Admin Consoleでアプリケーション（Applications） > 自分のOffice 365アプリインスタンス（your Office 365 app instance） > サインオンタブ（Sign On Tab） > 編集（Edit）に移動します。
サイレントアクティベーション（Silent Activation）セクションでチェックボックスをオンにしてアプリインスタンスのサイレントアクティベーションを有効にします。
設定を保存（Save）します。

これで、Office 365アプリインスタンスのサイレントアクティベーションが有効化されます。Office 365

Office 365の自動ライセンス認証をテストする

Office 365クライアントを起動します。Office 365
1. Office 2016クライアントがインストールされているマシンでOffice 2016クライアントアプリケーション（Microsoft Wordなど）を開きます。
2. サインインしていることと、クライアントが自動的にアクティブ化されることを確認します。
  
  次のようなメッセージが表示されるはずです：
OktaでKerberosエンドポイントによる認証を確認します。
1. Admin Consoleでレポート（Reports） > システムログ（System Log）に移動します。
2. システムログ（System Log）ページで、サインインイベントを探します。
3. イベントを展開して、イベント（Event） > システム（System） > LegacyEventTypeに移動します。
  
  このエントリは、ユーザーがKerberosエンドポイント経由で認証されたことを示しています。

これで、Office 365のサイレントアクティベーションが有効化されます。