Active Directoryアカウントルールをセットアップする

早期アクセスリリース

個別アカウントルールと共有アカウントルールを作成して、ルールの優先度を編集したり削除したりしてルールを管理することができます。

開始する前に

  • Okta Privileged Accessのリソース管理者ロールが必要です。

  • 要件と制限事項を確認して、必要な手順を完了します。

  • 個別アカウントルールを作成するには、まず個別アカウントルールの設定を構成する必要があります。

  • アカウントをOkta Privileged Accessで検出するには、まずアカウントをOktaにインポートする必要があります。ADエージェントのインポート頻度は、Okta Privileged Accessでアカウントが表示される頻度に影響します。

  • Okta Privileged Accessを使ってActive Directoryアカウントを管理する際には、既知の問題がいくつかあります。「Okta Privileged Access Active Directory統合の早期アクセス - 既知の問題」を参照してください。

個別アカウントルールの設定を構成する

この設定をまだ構成していない場合は、[アカウントルール]ページに黄色のバナーで通知が表示されます。

  1. Okta Privileged Accessダッシュボードで[Resource Administration(リソース管理)][Resource assignment(リソース割り当て)]に移動します。

  2. [Active Directory] タブを選択し、構成するADドメインを選択します。

  3. 通知バナーの[Configure settings(設定を構成)]をクリックします。

  4. ユーザーの一致基準に完全一致を指定します。以下のいずれかを選択します。

    • Account name(アカウント名)

    • First and last name(名と姓)

    • Display name(表示名)

    • Email(メール)

    • Starts with(次で始まる)(プレフィックス)

    • Ends with(次で終わる)(サフィックス)

      他のオプションとともに、複数のプレフィックスとサフィックスの文字列を設定できます。設定したオプションにはOR演算子が適用され、それぞれのアカウントを関連付けて割り当てるのに、それらの構成済みオプションからいずれかが使用されます。1人のユーザーに複数のActive Directory(AD)アカウントが一致する場合は、それらのアカウントがすべてそのユーザーに割り当てられます。これにより、1人のユーザーが割り当てられた複数のADアカウントを所有できます。

[Starts with(次で始まる)][Ends with(次で終わる)]を構成した例

以下は、[Starts with(次で始まる)][Ends with(次で終わる)]の関数を使用した例です。

  • admin.Username」のような命名スキームの場合は、「[Starts with(次で始まる)] = adminと入力すればフィルタリングできます。

  • Active Directoryの命名規則(Username-Aなど)がある場合は、「[Ends with(次で終わる)]= -A」と入力します。

  • Username-A」のような命名規則の場合は、「[Ends with(次で終わる)] = -A」と入力すればフィルタリングできます。

  • tier0.Username」、「tier1.Username」、「tier2.Username」のような複数の命名スキームの場合は、以下を入力してフィルタリングします。

    • [Starts with(次で始まる)] = tier0

    • [Starts with(次で始まる)] = tier1

    • [Starts with(次で始まる)] = tier2

個別アカウントルールを作成する

Active Directory(AD)ドメインに複数のルールを作成することができます。それぞれのルールは、共有アカウントと個別アカウントのどちらをマッピングしているのか、ルールの定義に使用する組織単位(OU)、そして、アカウントを割り当てるリソースグループとプロジェクトを指定します。

個別アカウントルールを作成するには、個別アカウントルールの設定を構成する必要があります。個別アカウントルールの設定が構成されるまで、個別アカウントルールは無効になります。

  1. Okta Privileged Accessダッシュボードで[Resource Administration(リソース管理)][Resource assignment(リソース割り当て)]に移動します。

  2. [Active Directory] タブを選択し、構成するADドメインを選択します。

  3. [Account rules(アカウントルール)]タブを選択します。

  4. [Create account rule(アカウントルールの作成)][Individual(個別)]をクリックして、以下を行います。

    設定 アクション

    ルールタイプ

    [Rule type(ルールタイプ)]を選択します。

    Rule name(ルール名)

    [Rule Name(ルール名)]を入力します。

    Settings(設定)

    次の構成を完了させます。

    • Keep discovered accounts as existing Okta users(検出されたアカウントを既存のOktaユーザーとして維持する)

      この機能を有効にすると、Okta Privileged Accessは、このルールで検出されたADアカウントのパスワードを管理して、リンクされたOktaユーザーがアクティブのまま残るようにします。これにより、Okta Privileged AccessでOktaアカウントのパスワードが保護され、それにリンクされたOktaユーザーのパスワードがローテーションされることで、ADパスワードが間接的にローテーションされます。

      この機能を使用するには、AD統合に対してOkta Admin Consoleで、OktaからADへのパスワード同期を有効にする必要があります。これは必須の前提条件であり、Okta管理者は以下のいずれかの設定を構成しておく必要があります。

    • Rotate password upon discovery(検出時にパスワードをローテーションする)

      [Settings(設定)]では、[Rotate password upon discovery(検出時にパスワードをローテーション)]機能がデフォルトで有効化されています。無効にするにはチェックボックスをオフします。無効にすると、ADアカウントはOkta Privileged Access[unmanaged(管理対象外)]の状態になります。ユーザーは、パスワードが少なくとも1回ローテーションされるまで、これらのアカウントのパスワードを表示することはできません。セキュリティ管理者は、Active Directory(AD)ルールを使用してこれらのアカウントのパスワードローテーション権限を許可するセキュリティポリシーを作成する必要があります。これにより、パスワードローテーション権限を持つユーザーは、準備ができるとアカウントのパスワードを変更することができます。

    組織単位

    次の手順を完了させます。

    1. 組織単位を指定して、OU内のすべてのアカウントを含めます。例:ou=AdminAccounts,ou=Privileged,dc=corp,dc=atko,dc=biz

    2. 任意。[Define accounts using conditions(条件を使用してアカウントを定義する)]ことができます。これらの拡張フィルターは、前の手順で[検出したアカウントを既存のOktaユーザーとして維持する]オプションを選択した場合にのみ使用できます。OUごとに、アカウントはすべての条件が満たされた場合のみ一致します。

      以下のフィルタータイプをセットアップすることができます。

      • [Account Name(アカウント名)]:このフィルターを使用すると、組織単位(OU)内のアカウントをユーザープリンシパル名(UPN)またはsAMAccountNameに基づいてフィルタリングできます。ルールにフィルターが複数ある場合、アカウントはすべてのフィルターと一致する必要があります。

        次の演算子がサポートされています:STARTS_WITHENDS_WITHCONTAINSEQUALS。1つ以上のフィルターを作成できますが、サポートされている各演算子はOUごとに1回しか使用できません。

      • [Okta Group(Oktaグループ)]:このフィルターを使用すると、指定したOktaグループのメンバーシップに基づいてアカウントをフィルタリングできます。EQUALS演算子のみがサポートされています。

      フィルターの正しい使用について詳しくは、「Active Directory OU向けルールの優先順位付けと順序付け」のセクションを参照してください。

    3. 任意。別のOUを追加するには、[Add another input(別の入力を追加)]をクリックします。

    リソースグループ

    [Resource group(リソースグループ)]を選択します。

    Project(プロジェクト)

    [Project(プロジェクト)]を選択します。

複数のルールある場合は、新しいルールの優先度が最も低くなります。優先度を変更するには、「ルールの優先度を編集する」を参照してください。

共有アカウントルールを作成する

複数の人が使用するアカウントを管理するには、共有アカウントルールを作成します。

  1. Okta Privileged Accessダッシュボードで[Resource Administration(リソース管理)][Resource Administration(リソース管理)]に移動します。

  2. [Active Directory] タブを選択し、構成するADドメインを選択します。

  3. [Account rules(アカウントルール)]タブを選択します。

  4. [Create account rule(アカウントルールの作成)][Shared(共有)]をクリックして、以下を行います。

    設定 アクション

    ルールタイプ

    [Rule type(ルールタイプ)]を選択します。

    Rule name(ルール名)

    [Rule Name(ルール名)]を入力します。

    Settings(設定)

    次の構成を完了させます。

    • Keep discovered accounts as existing Okta users(検出されたアカウントを既存のOktaユーザーとして維持する)

      この機能を有効にすると、Okta Privileged Accessは、このルールで検出されたADアカウントのパスワードを管理して、リンクされたOktaユーザーがアクティブのまま残るようにします。これにより、Okta Privileged AccessでOktaアカウントのパスワードが保護され、それにリンクされたOktaユーザーのパスワードがローテーションされることで、ADパスワードが間接的にローテーションされます。

      この機能を使用するには、AD統合に対してOkta Admin Consoleで、OktaからADへのパスワード同期を有効にする必要があります。これは必須の前提条件であり、Okta管理者は以下のいずれかの設定を構成しておく必要があります。

    • Rotate password upon discovery(検出時にパスワードをローテーションする)

      [Settings(設定)]では、[Rotate password upon discovery(検出時にパスワードをローテーション)]機能がデフォルトで有効化されています。無効にするにはチェックボックスをオフします。無効にすると、ADアカウントはOkta Privileged Access[unmanaged(管理対象外)]の状態になります。ユーザーは、パスワードが少なくとも1回ローテーションされるまで、これらのアカウントのパスワードを表示することはできません。セキュリティ管理者は、Active Directory(AD)ルールを使用してこれらのアカウントのパスワードローテーション権限を許可するセキュリティポリシーを作成する必要があります。これにより、パスワードローテーション権限を持つユーザーは、準備ができるとアカウントのパスワードを変更することができます。

    組織単位

    次の手順を完了させます。

    1. 組織単位を指定して、OU内のすべてのアカウントを含めます。例:ou=AdminAccounts,ou=Privileged,dc=corp,dc=atko,dc=biz

    2. 任意。[Define accounts using conditions(条件を使用してアカウントを定義する)]ことができます。これらの拡張フィルターは、前の手順で[検出したアカウントを既存のOktaユーザーとして維持する]オプションを選択した場合にのみ使用できます。OUごとに、アカウントはすべての条件が満たされた場合のみ一致します。

      以下のフィルタータイプをセットアップすることができます。

      • [Account Name(アカウント名)]:このフィルターを使用すると、組織単位(OU)内のアカウントをユーザープリンシパル名(UPN)またはsAMAccountNameに基づいてフィルタリングできます。ルールにフィルターが複数ある場合、アカウントはすべてのフィルターと一致する必要があります。

        次の演算子がサポートされています:STARTS_WITHENDS_WITHCONTAINSEQUALS。1つ以上のフィルターを作成できますが、サポートされている各演算子はOUごとに1回しか使用できません。

      • [Okta Group(Oktaグループ)]:このフィルターを使用すると、指定したOktaグループのメンバーシップに基づいてアカウントをフィルタリングできます。EQUALS演算子のみがサポートされています。

      フィルターの正しい使用について詳しくは、「Active Directory OU向けルールの優先順位付けと順序付け」のセクションを参照してください。

    3. 任意。別のOUを追加するには、[Add another input(別の入力を追加)]をクリックします。

    リソースグループ

    [Resource group(リソースグループ)]を選択します。

    Project(プロジェクト)

    [Project(プロジェクト)]を選択します。

複数のルールある場合は、新しいルールの優先度が最も低くなります。優先度を変更するには、「ルールの優先度を編集する」を参照してください。

ルールの優先度を編集する

複数のルールある場合は、新しいルールが最も低い優先度で追加されます。優先度を編集すると、ルールの優先度を変更できます。

  1. Okta Privileged Accessダッシュボードで[Resource Administration(リソース管理)][Resource assignment(リソース割り当て)]に移動します。

  2. [Active Directory] タブを選択し、構成するADドメインを選択します。

  3. [Account rules(アカウントルール)]タブを選択します。

  4. [Edit priority(優先度を編集)]をクリックします。

  5. ルールをドラッグ&ドロップして優先度を設定するか、オーバーフローメニューをクリックして利用可能なオプションを選択し、優先度を上下に移動します。

  6. [Save priority(優先度を保存)]をクリックします。

ADアカウントの管理を停止する

Okta Privileged AccessからADアカウントを削除する必要がある場合は、アカウントルールを削除する必要があります。

  1. Okta Privileged Accessダッシュボードで[Resource Administration(リソース管理)][Resource assignment(リソース割り当て)]に移動します。

  2. [Active Directory] タブを選択し、構成するADドメインを選択します。

  3. [Account rules(アカウントルール)]タブを選択します。

  4. アカウントのOUを対象とするルールを見つけて、それを削除します

関連項目

Active Directoryアカウントルール

リソースの割り当て

プロジェクト

セキュリティポリシー

Okta Privileged Accessユーザーガイド