ユーザーをOffice 365にプロビジョニングする

Okta orgから、Office 365のユーザーを作成、更新、デプロビジョニング、同期できます。ユーザーを異なるソースディレクトリからOktaにインポートし、プロファイルマッピングを使用してOffice 365にプロビジョニングできます。

開始する前に

この手順を開始する

Office 365でユーザーをプロビジョニングするには、以下のタスクを順番に実行する必要があります。

  1. OktaからOffice 365へのプロビジョニングをセットアップする

  2. OktaからOffice 365にプロファイル属性をマッピングする

  3. プロビジョニングをテストする

OktaからOffice 365へのプロビジョニングをセットアップする

API統合を有効にし、ユーザーのインポートとプロビジョニングに管理者の同意を得て、ユーザーライフサイクルの段階で設定を構成することで、プロビジョニングの作業を自動化することができます。

API統合を有効にする

Office 365では、Microsoft APIに対して認証を行うために同意が必要です。これにより、OktaでOffice 365アプリでプロビジョニングを行うことができます。

  1. [Office 365][Provisioning(プロビジョニング)][Integration(統合)][Configure API Integration(API統合の構成)]に移動します。
  2. [Enable API Integration(API統合を有効にする)]をオンにします。

  3. [Authenticate with Microsoft Office 365(Microsoft Office 365で認証)]をクリックして同意します。[Microsoft Azure login(Microsoft Azureログイン)]ページにリダイレクトされます。

  4. [Accept(承認)]をクリックします。Microsoft Azureポータルでスコープを受け入れると、Oktaにリダイレクトされます。

プロビジョニングのタイプと設定を選択する

これらのプロビジョニングオプションは選択するプロビジョニングタイプによって異なります。[Profile Sync(プロファイルの同期)]はデフォルトで選択されています。

  1. [Office 365][Provisioning(プロビジョニング)][To App(アプリへ)][Edit(編集)]に移動します。

  2. [Office 365 Provisioning Type(Office 365プロビジョニングタイプ)]を選択します。

    プロビジョニングタイプは[Profile Sync(プロファイルの同期)]から[Licenses & Role Management(ライセンスとロールの管理)][Universal(ユニバーサル)][User Sync(ユーザーの同期)]から選択して変更することができます。「Office 365のプロビジョニングオプション」を参照してください。

    Universal Sync(ユニバーサル同期)の場合のみ: Active Directoryグループとリソースを同期するには、[Send full profile, contacts, and conference rooms from these AD instances(これらのADインスタンスからフルプロファイル、連絡先、会議室を送信)]を選択します。

    情報

    サービスアカウントは「svc_OKTA_sync_{appId}」形式のユーザー名でAzure Active Directoryに作成されます。これは、User Sync(ユーザーの同期)Universal Sync(ユニバーサル同期)のプロビジョニングタイプにのみ適用されます。このアカウントは削除や編集しないでください。サービスアカウントにMFAを使用してはいけません。また、すべてのMicrosoft Entra IDの条件付きアクセスポリシーから除外する必要があります。

  3. 任意。資格情報なしで [User Sync(ユーザー同期)]または[Universal Sync]のプロビジョニングを有効にすると、権限が不十分であるというエラーが発生する可能性があります。これを修正するには、PowerShellで次の手順に従います。

    1. v1.0およびベータ版のMicrosoft Graph PowerShellモジュールをインストールします。

      Install-Module Microsoft.Graph -Force

      Install-Module Microsoft.Graph.Beta -AllowClobber -Force

    2. Microsoft Hybrid Identity Administratorアカウントで接続します。

      Connect-MgGraph -scopes "Organization.ReadWrite.All,Directory.ReadWrite.All"

    3. DirSyncタイプのステータスを確認します。

      Get-MgOrganization | Select OnPremisesSyncEnabled

    4. テナントIDをorganizationIdという名前の変数に保存します。

      $organizationId = (Get-MgOrganization).Id

    5. DirSyncEnabled属性のfalse値を保存します。

      $params = @{onPremisesSyncEnabled = $true}

    6. 更新を実行します。

      Update-MgOrganization -OrganizationId $organizatnnnnionId -BodyParameter $params

    7. コマンドを確認します。

      Get-MgOrganization | Select OnPremisesSyncEnabled

  4. その他のプロビジョニング設定を有効または無効にします。「Office 365のプロビジョニングとデプロビジョニングを開始する」を参照してください。
  5. [Save(保存)]をクリックします。
情報

Office 365にプロビジョニングされた各ユーザーには、StsRefreshTokensValidFromという属性があります。これは、ユーザーがパスワードを変更したときに既存のユーザーセッションを無効にし、トークンを更新する日付です。その際、ユーザーはアプリに再度サインインする必要があります。この属性は、プロビジョニングタイプに基づいて自動的に計算および入力されます。

  • [License Only(ライセンスのみ)]または[Profile Sync(プロファイル同期)]StsRefreshTokensValidFrom属性は、ユーザーがOktaでパスワードを変更したときの日時に設定されます。

  • [User Sync(ユーザー同期)]または[Universal Sync]:ユーザーがActive Directory(AD)からリンクされている場合、StsRefreshTokensValidFrom属性がADのpwdLastSet属性に設定されます。その他すべてのユーザーのStsRefreshTokensValidFrom属性は、ユーザーがOktaでパスワードを変更したときの日時に設定されます。

OktaからOffice 365にプロファイル属性をマッピングする

ユーザーのソースがどこであるかによって、ユーザー名の形式が異なります。ユーザーがOffice 365のサインインに成功するには、Office 365のユーザー名が、連携認証するドメインのメールアドレス(username@yourfederated.domain)形式である必要があります。

重要事項

プロビジョニング設定を変更するたびに、属性を再マッピングする必要があります。

ユーザー名を変更せずにマッピングする

連携認証するドメインのメールアドレス(username@yourfederated.domain)形式のユーザー名がすでにユーザーにある場合は、そのメールを再フォーマットせずにマッピングできます。

  1. [Office 365][Sign on(サインオン)][Edit(編集)]に移動します。
  2. [Credentials Details(資格情報の詳細)][Application username format(アプリケーションユーザー名の形式)][Email(メール)]を選択します。
  3. [Save(保存)]をクリックします。

カスタムユーザー名をマッピングする

ユーザーのソースが異なるディレクトリまたはアプリの場合は、ユーザー名の形式が異なる場合があります。Okta Expression Languageを使用して、Office 365に渡されるユーザー名をカスタマイズできます。

  1. [Office 365][Sign on(サインオン)][Edit(編集)]に移動します。
  2. [Credentials Details(資格情報の詳細)][Application username format(アプリケーションユーザー名の形式)][Custom(カスタム)]を選択します。

    表示されたテキストボックスにこの式を入力します。

    String.substringBefore(user.email, "@") + "@yourfederated.domain"
  3. yourfederated.domainは、連携認証するドメインで置き換えます。
  4. [Preview(プレビュー)]ボックスにOktaユーザーを入力して、マッピングの結果を確認します。
  5. 結果のユーザー名はそのユーザーのOffice 365ユーザー名に一致するはずです。
  6. [Save(保存)]をクリックします。

メールアドレスをマッピングする

連携認証するドメインにユーザーのメールアドレスが存在しない場合は、Okta Expression Languageを使用してOffice 365に渡されるメールアドレスをカスタマイズできます。

前提条件

プロビジョニングタイプは[User Sync(ユーザー同期)]または[Universal Sync]を選択する必要があります。「Office 365のプロビジョニングオプション」を参照してください。

  1. [Directory(ディレクトリ)][Profile Editor(プロファイルエディター)][Microsoft Office 365 Mappings(Microsoft Office 365マッピング)][OktaからMicrosoft Office 365]に移動します。
  2. [source.email]フィールドに次の式を入力します。
    String.substringBefore(user.email, "@") + "@yourfederated.domain"
  3. yourfederated.domainは、連携認証するドメインで置き換えます。
  4. [Preview(プレビュー)]ボックスにOktaユーザーを入力して、マッピングの結果を確認します。
  5. 結果のメールアドレスが、ユーザーのOffice 365メールアドレスと一致する必要があります。
  6. [Preview(プレビュー)]を終了してマッピングを保存します。
  7. [Apply Updates Now(今すぐ更新を適用)]をクリックします。

プロビジョニングをテストする

OktaでテストユーザーにOffice 365を割り当て、Microsoftテナントに表示されることを確認することで、プロビジョニングが正しく構成されていることを確認します。[プロビジョニング][Create Users(ユーザーを作成)]オプションを選択したことを確認します。

Oktaで以下を行います。

  1. Microsoft Office 365アプリの[Assignment(割り当て)]タブを開きます。
  2. [Assignment(割り当て)]をクリックします。
  3. 適切なOffice 365ライセンスをテストユーザーに割り当てます。
  4. [Done(完了)]をクリックします。

Microsoft Admin Centerで以下を行います。

  1. アクティブユーザーのリストを開きます。
  2. すべてのテストユーザーが適切なライセンスでリストに表示されていることを確認します。

Oktaで以下を行います。

  1. テストユーザーとしてOktaにログインします。
  2. すべてのOffice 365アプリがユーザーダッシュボードに表示されていることを確認します。
情報

[User Sync(ユーザー同期)]または[User Sync(ユニバーサル同期)]のプロビジョニングタイプを選択した場合、プロファイルのソースがどこであるかに関係なく、すべてのユーザーがOffice 365テナントで「Synced with Active Directory(Active Directoryと同期)」と表示されます。ただし、個々のユーザーのソースはそれぞれのディレクトリのままです。

次の手順

Office 365をユーザーやグループに割り当てる