OktaとWindows Autopilotの統合

このトピックでは、OktaとWindows Autopilotを統合する方法について説明します。

はじめに

• Windows Autopilotをセットアップします。「Demonstrate Autopilot deployment」（Microsoftのドキュメント）を参照してください。
• Office 365テナントをOktaとフェデレーションします。「OktaにMicrosoft Office 365をデプロイするための一般的なワークフロー」を参照してください。
• OktaでMFAを設定します。「多要素認証」を参照してください。
• 「Office 365サインオンルールのオプション」と「認証ポリシールールの追加」を確認します。
• エンドユーザーがOktaとAzure ADの両方でアクティブ化され、Windowsデバイスが登録されていることを確認します。

セキュリティのベストプラクティス

Windows AutopilotをOktaで使用すると、デバイスがOkta デバイスの信頼をバイパスできるようになる場合があります。この可能性を最小限に抑えるために、次のベストプラクティスをお勧めします。

1. Windows Autopilotサインオンポリシーは新規ユーザーに対してのみ有効にします。新規ユーザー用に別のグループを作成し、このグループにのみポリシーを適用することができます。
2. 新規ユーザーがOkta デバイスの信頼を使用してデバイスをセットアップしたら、ユーザーをこのグループから削除します。

この手順を開始する

この手順には次のタスクが含まれます。

1. Okta MFAをWindows Autopilotに追加する

2. 任意：Okta デバイスの信頼またはOkta FastPassで動作するようにWindows Autopilotをセットアップする

Okta MFAをWindows Autopilotに追加する

［Okta Admin Console］［Office 365 app（Office 365アプリ）］［Sign On（サインオン）］タブで、Autopilotのサインオンポリシールールを追加します。

1. ［Sign On Policy（サインオンポリシー）］［Add Rule（ルールを追加）］に移動します。［App Sign On Rule（アプリのサインオンルール）］ウィンドウが開きます。
2. ［App Sign On Rule（アプリのサインオンルール）］ウィンドウで、ルールに名前を付けます。例：「Windows Autopilotのチェック」
3. ユーザーとデバイスに適切なIF条件を設定します。

4. ［Client（クライアント）］条件で、ドロップダウンから［One of the following clients（次のいずれかのクライアント）］を選択し、ドロップダウンの下のフィールドで［Windows Autopilot］を選択します。

   

5. THEN条件で、［Access is Allowed after successful authentication（認証の成功後にアクセスを許可）］を選択します。
6. ユーザー認証の要件については、ドロップダウンから［any of the 2 factor types（任意の2つの要素タイプ）］オプションを選択します。
7. 適切な要素の条件と再認証の頻度を設定します。
8. ルールを保存します。

9. ［Sign-on Policy（サインオンポリシー）］セクションに戻り、実行するタイミングに応じてこのAutopilotサインオンポリシールールの優先度を調整します。

   

これで、Okta MFAがWindows Autopilotに追加されました。

任意：Okta デバイスの信頼またはOkta FastPassで動作するようにWindows Autopilotをセットアップする

Okta デバイスの信頼またはOkta FastPassを使用していない場合

orgがOkta デバイスの信頼を使用していない場合、Oktaでは何もする必要がありません。Windows AutopilotではOktaをIDプロバイダーとしてそのまま使用できます。次の作業だけが必要です。

• Microsoft環境でWindows Autopilotをセットアップし、
• OktaでOffice 365アプリのサインオンルールを構成し、WindowsプラットフォームでWebブラウザークライアントを許可します。

Okta デバイスの信頼またはOkta FastPassを使用している場合

Okta デバイスの信頼またはOkta FastPassを使用している場合は、Office 365アプリで新しいサインオンルールを作成して、デバイスの状態が［Any（任意）］のWindows Autopilotがあるかどうかを確認する必要があります。この手順のタスク1を参照してください。

このAutopilotルールを使用すると、エンドユーザーは［Not Trusted（信頼できない）］デバイスを安全に登録できます。デバイス登録にWindows Autopilotが使用可能かどうかを確認し、使用可能な場合、サインオンポリシーがWindows Autopilotを使用してデバイスを登録します。Okta デバイスの信頼やOkta FastPassは使用しません。デバイスでWindows Autopilotが使用できない場合は、Okta デバイスの信頼またはOkta FastPassサインオンポリシーが適用されます。

関連項目

Okta FastPass

Microsoft Azure Active Directory

Microsoft Office 365