Active Directoryアカウントルールをセットアップする

早期アクセスリリース

個別アカウントルールと共有アカウントルールを作成して、ルールの優先度を編集したり削除したりしてルールを管理することができます。

開始する前に

  • Okta Privileged Accessのリソース管理者ロールが必要です。

  • 要件と制限事項を確認して、必要な手順を完了します。

  • 個別アカウントルールを作成するには、まず個別アカウントルールの設定を構成する必要があります。

  • アカウントをOkta Privileged Accessで検出するには、まずアカウントをOktaにインポートする必要があります。ADエージェントのインポート頻度は、Okta Privileged Accessでアカウントが表示される頻度に影響します。

  • Okta Privileged Accessを使ってActive Directoryアカウントを管理する際には、既知の問題がいくつかあります。「Okta Privileged Access Active Directory統合の早期アクセス - 既知の問題」を参照してください。

個別アカウントルールの設定を構成する

この設定をまだ構成していない場合は、アカウントルール(Account rules)ページに黄色のバナーで通知が表示されます。

  1. Okta Privileged Accessダッシュボードでリソース管理(Resource Administration) > リソース割り当て(Resource assignment)に移動します。

  2. Active Directory タブを選択し、構成するADドメインを選択します。

  3. 通知バナーの設定を構成(Configure settings)をクリックします。

  4. ユーザーの一致基準に完全一致を指定します。以下のいずれかを選択します。

    • アカウント名(Account name)

    • 名と姓(First and last name)

    • 表示名(Display name)

    • メール(Email)

    • 次で始まる(Starts with)(プレフィックス)

    • 次で終わる(Ends with)(サフィックス)

次で始まる(Starts with)次で終わる(Ends with)を構成した例

以下は、次で始まる(Starts with)次で終わる(Ends with)の関数を使用した例です。

  • admin.Usernameのような命名スキームの場合は、「次で始まる(Starts with) = admin」と入力すればフィルタリングできます。

  • Active Directoryの命名規則(Username-Aなど)がある場合は、次で終わる(Ends with)= -Aと入力します。

  • Username-Aのような命名規則の場合は、次で終わる(Ends with) = -Aと入力すればフィルタリングできます。

tier0.Usernametier1.Usernametier2.Usernameのような複数の命名スキームの場合は、以下を入力してフィルタリングします。

  • 次で始まる(Starts with) = tier0

  • 次で始まる(Starts with) = tier1

  • 次で始まる(Starts with) = tier2

個別アカウントルールを作成する

Active Directory(AD)ドメインに複数のルールを作成することができます。それぞれのルールは、共有アカウントと個別アカウントのどちらをマッピングしているのか、ルールの定義に使用する組織単位(OU)、そして、アカウントを割り当てるリソースグループとプロジェクトを指定します。

個別アカウントルールを作成するには、個別アカウントルールの設定を構成する必要があります。個別アカウントルールの設定が構成されるまで、個別アカウントルールは無効になります。

  1. Okta Privileged Accessダッシュボードでリソース管理(Resource Administration) > リソース割り当て(Resource assignment)に移動します。

  2. Active Directoryタブを選択し、構成するADドメインを選択します。

  3. アカウントルール(Account rules)タブを選択します。

  4. アカウントルールの作成(Create account rule) > 個別(Individual)をクリックして、以下を行います。

    設定 アクション

    ルールタイプ

    ルールタイプ(Rule type)を選択します。

    ルール名(Rule name)

    ルール名(Rule Name)(Rule name)を入力します。

    設定(Settings)

    次の構成を完了させます。

    • 検出されたアカウントを既存のOktaユーザーとして維持する(Keep discovered accounts as existing Okta users)

      この機能を有効にすると、Okta Privileged Accessは、このルールで検出されたADアカウントのパスワードを管理して、リンクされたOktaユーザーがアクティブのまま残るようにします。これにより、Okta Privileged AccessでOktaアカウントのパスワードが保護され、それにリンクされたOktaユーザーのパスワードがローテーションされることで、ADパスワードが間接的にローテーションされます。

    • 検出時にパスワードをローテーションする(Rotate password upon discovery)

      設定(Settings)では、検出時にパスワードをローテーション(Rotate password upon discovery)機能がデフォルトで有効化されています。無効にするにはチェックボックスをオフします。無効にすると、ADアカウントはOkta Privileged Access管理対象外(unmanaged)の状態になります。ユーザーは、パスワードが少なくとも1回ローテーションされるまで、これらのアカウントのパスワードを表示することはできません。セキュリティ管理者は、Active Directory(AD)ルールを使用してこれらのアカウントのパスワードローテーション権限を許可するセキュリティポリシーを作成する必要があります。これにより、パスワードローテーション権限を持つユーザーは、準備ができるとアカウントのパスワードを変更することができます。

    組織単位

    次の手順を完了させます。

    1. 組織単位を指定して、OU内のすべてのアカウントを含めます。例:ou=AdminAccounts,ou=Privileged,dc=corp,dc=atko,dc=biz

    2. 任意。条件を使用してアカウントを定義する(Define accounts using conditions)ことができます。これらの拡張フィルターは、前の手順で[検出したアカウントを既存のOktaユーザーとして維持する]オプションを選択した場合にのみ使用できます。OUごとに、アカウントはすべての条件が満たされた場合のみ一致します。

      以下のフィルタータイプをセットアップすることができます。

      • アカウント名(Account Name):このフィルターを使用すると、組織単位(OU)内のアカウントをユーザープリンシパル名(UPN)またはsAMAccountNameに基づいてフィルタリングできます。ルールにフィルターが複数ある場合、アカウントはすべてのフィルターと一致する必要があります。

        次の演算子がサポートされています:STARTS_WITHENDS_WITHCONTAINSEQUALS。1つ以上のフィルターを作成できますが、サポートされている各演算子はOUごとに1回しか使用できません。

      • Oktaグループ(Okta Group):このフィルターを使用すると、指定したOktaグループのメンバーシップに基づいてアカウントをフィルタリングできます。EQUALS演算子のみがサポートされています。

      フィルターの正しい使用について詳しくは、Active Directory OU向けルールの優先順位付けと順序付けのセクションを参照してください。

    3. 任意。別のOUを追加するには、別の入力を追加(Add another input)をクリックします。

    リソースグループ

    リソースグループ(Resource group)を選択します。

    プロジェクト(Project)

    プロジェクト(Project)を選択します。

複数のルールある場合は、新しいルールの優先度が最も低くなります。優先度を変更するには、ルールの優先度を編集するを参照してください。

共有アカウントルールを作成する

複数の人が使用するアカウントを管理するには、共有アカウントルールを作成します。

  1. Okta Privileged Accessダッシュボードでリソース管理(Resource Administration) > リソース管理(Resource Management)に移動します。

  2. Active Directory タブを選択し、構成するADドメインを選択します。

  3. アカウントルール(Account rules)タブを選択します。

  4. アカウントルールの作成(Create account rule) > 共有(Shared)をクリックして、以下を行います。

    設定 アクション

    ルールタイプ

    ルールタイプ(Rule type)を選択します。

    ルール名(Rule name)

    ルール名(Rule Name)(Rule name)を入力します。

    設定(Settings)

    次の構成を完了させます。

    • 検出されたアカウントを既存のOktaユーザーとして維持する(Keep discovered accounts as existing Okta users)

      この機能を有効にすると、Okta Privileged Accessは、このルールで検出されたADアカウントのパスワードを管理して、リンクされたOktaユーザーがアクティブのまま残るようにします。これにより、Okta Privileged AccessでOktaアカウントのパスワードが保護され、それにリンクされたOktaユーザーのパスワードがローテーションされることで、ADパスワードが間接的にローテーションされます。

    • 検出時にパスワードをローテーションする(Rotate password upon discovery)

      設定(Settings)では、検出時にパスワードをローテーション(Rotate password upon discovery)機能がデフォルトで有効化されています。無効にするにはチェックボックスをオフします。無効にすると、ADアカウントはOkta Privileged Access管理対象外(unmanaged)の状態になります。ユーザーは、パスワードが少なくとも1回ローテーションされるまで、これらのアカウントのパスワードを表示することはできません。セキュリティ管理者は、Active Directory(AD)ルールを使用してこれらのアカウントのパスワードローテーション権限を許可するセキュリティポリシーを作成する必要があります。これにより、パスワードローテーション権限を持つユーザーは、準備ができるとアカウントのパスワードを変更することができます。

    組織単位

    次の手順を完了させます。

    1. 組織単位を指定して、OU内のすべてのアカウントを含めます。例:ou=AdminAccounts,ou=Privileged,dc=corp,dc=atko,dc=biz

    2. 任意。条件を使用してアカウントを定義する(Define accounts using conditions)ことができます。これらの拡張フィルターは、前の手順で[検出したアカウントを既存のOktaユーザーとして維持する]オプションを選択した場合にのみ使用できます。OUごとに、アカウントはすべての条件が満たされた場合のみ一致します。

      以下のフィルタータイプをセットアップすることができます。

      • アカウント名(Account Name):このフィルターを使用すると、組織単位(OU)内のアカウントをユーザープリンシパル名(UPN)またはsAMAccountNameに基づいてフィルタリングできます。ルールにフィルターが複数ある場合、アカウントはすべてのフィルターと一致する必要があります。

        次の演算子がサポートされています:STARTS_WITHENDS_WITHCONTAINSEQUALS。1つ以上のフィルターを作成できますが、サポートされている各演算子はOUごとに1回しか使用できません。

      • Oktaグループ(Okta Group):このフィルターを使用すると、指定したOktaグループのメンバーシップに基づいてアカウントをフィルタリングできます。EQUALS演算子のみがサポートされています。

      フィルターの正しい使用について詳しくは、Active Directory OU向けルールの優先順位付けと順序付けのセクションを参照してください。

    3. 任意。別のOUを追加するには、別の入力を追加(Add another input)をクリックします。

    リソースグループ

    リソースグループ(Resource group)を選択します。

    プロジェクト(Project)

    プロジェクト(Project)を選択します。

複数のルールある場合は、新しいルールの優先度が最も低くなります。優先度を変更するには、ルールの優先度を編集するを参照してください。

ルールの優先度を編集する

複数のルールある場合は、新しいルールが最も低い優先度で追加されます。優先度を編集すると、ルールの優先度を変更できます。

  1. Okta Privileged Accessダッシュボードでリソース管理(Resource Administration) > リソース割り当て(Resource assignment)に移動します。

  2. Active Directory タブを選択し、構成するADドメインを選択します。

  3. アカウントルール(Account rules)タブを選択します。

  4. 優先度を編集(Edit priority)をクリックします。

  5. ルールをドラッグ&ドロップして優先度を設定するか、オーバーフローメニューをクリックして利用可能なオプションを選択し、優先度を上下に移動します。

  6. 優先度を保存(Save priority)をクリックします。

ADアカウントの管理を停止する

Okta Privileged AccessからADアカウントを削除する必要がある場合は、アカウントルールを削除する必要があります。

  1. Okta Privileged Accessダッシュボードでリソース管理(Resource Administration) > リソース割り当て(Resource assignment)に移動します。

  2. Active Directory タブを選択し、構成するADドメインを選択します。

  3. アカウントルール(Account rules)タブを選択します。

  4. アカウントのOUを対象とするルールを見つけて、それを削除します

関連項目

Active Directoryアカウントルール

リソースの割り当て

プロジェクト(Projects)

セキュリティポリシー

Okta Privileged Accessユーザーガイド