Azure Active Directory向けのOkta MFAを使用する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
Okta多要素認証(MFA)を使用して、WS-Federation Office 365アプリ向けのAzure Active Directory(AD)MFAの要件を満たすことができます。次の場合はOkta MFAを使用します。
- Oktaと連携認証されたドメインのAzure AD条件付きアクセスで要求されるMFA要件をOktaで処理する。
- OktaとMicrosoft両方のMFAに単一ソリューションを使用できるように、ユーザーをWindows Hello for Businessに登録する。
Oktaシングルサインオン(SSO)は、WS-Federationのwauthパラメーターに対応しており、このパラメーターはサインイン試行に必要な認証レベルを定義します。これにより、すべてのユーザーにMFAを強制することを避け、必要な場合に限り、追加認証を必須にすることができます。
orgレベルのMFAの一時的なサポート
次の場合、この手順によってorgレベルのMFAを一時的に使用できます。
- orgをOkta Classic EngineからOkta Identity Engineに移行している。
- グローバルセッションポリシーでMFAを必須としている。
この手順でMFAの使用が強制されるように、Office 365の認証ポリシーをセットアップする必要があります。
開始する前に
開始する前に、次の前提条件が満たされていることを確認します。
- Identity Engine orgを使用している。
- Okta orgでOffice 365アプリが構成されている。「Microsoft Office 365」を参照してください。
- Okta orgで複数の鑑別工具が構成されている。「多要素認証」を参照してください。
- ユーザーが複数の鑑別工具に登録されている。「鑑別工具登録ポリシー」を参照してください。
- MFAがAzure ADインスタンスで構成されている。「Microsoft Entra多要素認証の設定の構成」を参照してください。
この手順を開始する
Okta MFAのサポートを有効にするには、Office 365ドメインの連携認証設定を変更します。次のいずれかの手順を完了します。
手動で連携認証されたドメインの場合
-
Admin Consoleで に移動します。
- WS-Federationが行われたOffice 365アプリを開きます。
- Office 365 WS-Federationの設定方法ページが開きます。 をクリックします。
- ドメインがすでに連携認証されている場合セクションに移動します。
- 環境に応じて、以下のいずれかのPowerShellコマンドを実行します。
- 手動で連携認証されたドメイン:SupportsMfa値がTrueであることを確認します。
Connect-MsolService
Get-MsolDomainFederationSettings -DomainName <yourDomainName> - 手動で連携認証されたドメインの場合(Microsoft Graphモジュール):FederatedIdpMfaBehavior値がenforceMfaByFederatedIdpであることを確認します。
Connect-MgGraph -Scopes Directory.AccessAsUser.All
Get-MgDomainFederationConfiguration -DomainId <yourDomainName> | Select -Property FederatedIdpMfaBehavior
- 手動で連携認証されたドメイン:SupportsMfa値がTrueであることを確認します。
- [Okta MFA from Azure AD(Azure ADからのOkta MFA)]オプションで[Enable for this application(このアプリケーションに対して有効にする)]を選択します。
- [Save(保存)]をクリックします。
結果の例:MSOnline
ActiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName :Okta
IssuerUri : issueruri
LogOffUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate :<SigningCertificate>
SupportsMfa :True
結果の例:Microsoft Graph
ActiveSignInUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName :Okta
IssuerUri :https://issueruri
SignOutUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate :<SigningCertificate>
FederatedIdpMfaBehavior: acceptIfMfaDoneByFederatedIdp
自動的に連携認証されたドメイン
- Admin Consoleで に移動します。
- WS-Federation Office 365アプリを開きます。
- をクリックします。
- [Okta MFA from Azure AD(Azure ADからのOkta MFA)]オプションで[Enable for this application(このアプリケーションに対して有効にする)]を選択します。
- [Save(保存)]をクリックします。
結果の例:MSOnline
ActiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName :Okta
IssuerUri : issueruri
LogOffUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate :<SigningCertificate>
SupportsMfa :True
結果の例:Microsoft Graph
ActiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName :Okta
IssuerUri : issueruri
SignOutUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate :<SigningCertificate>
FederatedIdpMfaBehavior: acceptIfMfaDoneByFederatedIdp
この機能を無効にする
-
Admin Consoleで に移動します。
- WS-Federation Office 365アプリを開きます。
- をクリックします。
- [Okta MFA from Azure AD(Azure ADからのOkta MFA)]オプションで[Enable for this application(このアプリケーションに対して有効にする)]オプションの選択をクリアします。
- [Save(保存)]をクリックします。
- 環境に応じて、以下のいずれかのPowerShellコマンドを実行します。
- Azure ADのOkta MFAを無効にする(MSOnline):Oktaでこの機能が有効になっている、自動的に連携認証されたすべてのドメインについて、SupportsMfa設定がfalseであることを確認します。
Set-MsolDomainFederationSettings -DomainName <targetDomainName> -SupportsMfa $false
- Microsoft Entra IDのOkta MFAを無効にする(Microsoft Graph):Oktaでこの機能が有効になっている、自動的に連携認証されたすべてのドメインについて、FederatedIdpMfaBehavior設定がenforceMfaByFederatedIdpであることを確認します。
Update-MgDomainFederationConfiguration -DomainId <DomainName> -InternalDomainFederationId (Get-MgDomainFederationConfiguration -DomainId <DomainName> | Select -Property Id).id -FederatedIdpMfaBehavior enforceMfaByFederatedIdp
- Azure ADのOkta MFAを無効にする(MSOnline):Oktaでこの機能が有効になっている、自動的に連携認証されたすべてのドメインについて、SupportsMfa設定がfalseであることを確認します。
関連項目
Windows Hello for Businessデプロイメントを計画する(Microsoftドキュメント)