Microsoft Entra ID参加を統合するための前提条件

ハイブリッドMicrosoft Entra ID参加をOktaと統合するには、次の前提条件を満たす必要があります。これらの前提条件は、次の2つのカテゴリーに分けられます。

  1. Microsoft環境の前提条件

  2. Okta環境の前提条件

Microsoft環境の前提条件

  • Windows Server 2016以降。

  • 次の機能をすべてまとめてホストする、同じドメイン内の1つ以上のサーバー。

    • ドメインコントローラー。
    • Active Directory。
    • Active Directory用のIntune Connector。Intune Connectorは、ローカルドメイン上のAzureからハイブリッド参加するマシンの作成を容易にするために、Azureからインストールされるローカルサービスです。
    • インターネット経由でアクセスできるDNSサーバーまたはサービス。これにより、オフプレミスのクライアントマシンがローカルドメインを解決してそこにクライアントを登録できるようになります。
    • グループポリシーオブジェクト(GPO)。GPOは、ユーザーアカウントとユーザーアクティビティを制御するためにMicrosoftシステムのリソースとして使用できるグループポリシーのコンポーネントです。Oktaでは、GPOを使用してオンプレミスのWindows 10クライアントでレジストリエントリが設定されます。これにより、AAD ConnectはそれらのクライアントをMicrosoft Entra IDに同期できます。

Microsoft Entra ID

  • プレミアムプラン1または2のMicrosoft Entra IDテナント
  • Microsoft Entra ID Connect:Microsoft Entra ID Connectは、オンプレミスのActive DirectoryとMicrosoft Entra IDの間のギャップを埋める同期エージェントです。環境間でコンピューターオブジェクトを同期します。

Microsoft 365のドメインとライセンス

  • フェデレーションで使用する登録済みのMicrosoft 365ドメイン
  • Microsoft Entra IDおよびMDMサービス付きのMicrosoft 365ライセンス:Microsoft Entra ID、Windows Autopilot、Microsoft Intuneなどのモバイルデバイス管理(MDM)ソリューションへのアクセスを提供するMicrosoftライセンス。そのようなライセンスの一部を以下に示します。
    • Microsoft 365 Business
    • Microsoft 365 F3
    • Microsoft 365 E3 or E5

    • Microsoft 365 A3またはA5

    • Enterprise MobilityおよびSecurity E3またはE5

推奨されるアドオン

Windows Autopilot

MicrosoftのWindows Autopilotを使用すると、デバイスに触れることなく、Windowsデバイスのセットアップ、リセット、復旧、再利用を行うことができます。エンドユーザーとIT管理者の労力は最小限に抑えられます。「Windows Autopilotのドキュメント」(Microsoftのドキュメント)を参照してください。

モバイルデバイス管理(MDM)ソリューション(Mobile Device Management (MDM) solution)

複数のMDMソリューションから選択できます。一般的に使用されるMDMソリューションをいくつか紹介します。

  • Microsoft Intune:Microsoft Intuneは、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)のためのクラウドベースのサービスです。IntuneをMicrosoft Entra IDと統合して、Microsoftリソースにアクセスできるユーザーと範囲を制御できます。「Microsoft Intuneの基礎」(Microsoftドキュメント)を参照してください。
  • Omnissa Workspace ONE(Airwatchを含む):Workspace ONEは、リモートデバイスでアプリを安全に配信および管理できるようにするデジタルワークスペースプラットフォームです。Omnissaの製品ドキュメントを参照してください。

Windows 10クライアント

Windows 10クライアントバージョン1803以降。テストの目的で、ドメインに参加していないデバイスを使用することをお勧めします。

Okta環境の前提条件

オンプレミスActive DirectoryをOktaと統合します。

AD Agentの構成とユーザーとグループのインポートについては、「Active Directory統合」ガイドを参照してください。新しい統合の場合は、適切なユーザーとグループがインポートされ、Okta内に確定されていることを確認してください。

Microsoft Entra IDテナントをOktaと統合します。

OktaでMicrosoft Office 365アプリを使用して、Microsoft Entra IDテナントをOktaと統合します。「OktaにMicrosoft Office 365をデプロイするための一般的なワークフロー」を参照してください。

統合時には次のオプションを使用します。

  • シングルサインオンの構成時に、自動または手動(WS-Federation)(WS-Federation (automatic or manual))の方法を選択します。

  • プロビジョニングにOktaを使用している場合は、プロビジョニングタイプ(Provisioning Type)ライセンス/ロールの管理のみ(Licenses/Role Management Only)またはプロファイルの同期(Profile Sync)に設定します。ほかのオプション([ユーザー同期]と[ユニバーサル同期])は、ハイブリッドのセットアップに必要なMicrosoft Entra ID Connectと互換性がありません。

  • プロビジョニング中にプロファイルマッピングを構成する際に、ユーザーがデバイスへのサインインに使用するユーザー名と一致するようにアプリケーションユーザー名のフォーマット(Application Username format)フィールドを設定します。これは通常、Microsoft Entra IDユーザープリンシパル名です。

次の手順

オンプレミスとクラウドのアクセス許可をOffice 365のサインオンルールに構成する