ハイブリッドAzure AD参加を統合するための前提条件

ハイブリッドAzure AD参加をOktaと統合するには、次の前提条件を満たす必要があります。これらの前提条件は、次の2つのカテゴリーに分けられます。

  1. Microsoft環境の前提条件

  2. Okta環境の前提条件

Microsoft環境の前提条件

  • Windows Server 2016以降。

  • 次の機能をすべてまとめてホストする、同じドメイン内の1つ以上のサーバー。

    • ドメインコントローラー。
    • Active Directory。
    • Active Directory用のIntune Connector。Intune Connectorは、ローカルドメインでAzureから参加しているハイブリッドに参加しているマシンの作成を容易にするために、Azureからインストールされるローカルサービスです。
    • インターネット経由でアクセスできるDNSサーバーまたはサービス。これにより、オフプレミスのクライアントマシンがローカルドメインを解決してそこにクライアントを登録できるようになります。
    • グループポリシーオブジェクト(GPO)。GPOは、ユーザーアカウントとユーザーアクティビティを制御するためにMicrosoftシステムのリソースとして使用できるグループポリシーのコンポーネントです。Oktaでは、GPOを使用してオンプレミスのWindows 10クライアントでレジストリエントリが設定されます。これにより、AAD ConnectはそれらのクライアントをAzure ADに同期できます。
  • Kerberosエンドポイントには、エージェントレスまたはIntegrated Windows Authentication(IWA)が必要です。

  • Azure Active Directory (AAD)

    • プレミアムプラン1または2のAADテナント
    • AAD Connect :AAD ConnectはオンプレミスのActive DirectoryとAzure ADの間のギャップを埋める同期エージェントです。環境間でコンピューターオブジェクトを同期します。
  • Microsoft 365のドメインとライセンス

    • フェデレーションで使用する登録済みのMicrosoft 365ドメイン
    • AADおよびMDMサービス付きのMicrosoft 365ライセンス:Azure AD、Windows Autopilot、Microsoft Intuneなどのモバイルデバイス管理(MDM)ソリューションへのアクセスを提供するMicrosoftライセンス。そのようなライセンスの一部を以下に示します。
      • Microsoft 365 Business
      • Microsoft 365 F3
      • Microsoft 365 E3 or E5
      • Microsoft 365 A3またはA5

      • Enterprise MobilityおよびSecurity E3またはE5

推奨されるアドオン

  • Windows Autopilot

    MicrosoftのWindows Autopilotを使用すると、デバイスに触れることなく、Windowsデバイスのセットアップ、リセット、復旧、再利用を行うことができます。エンドユーザーとIT管理者の労力は最小限に抑えられます。「Windows Autopilotのドキュメント」(Microsoftのドキュメント)を参照してください。

  • モバイルデバイス管理(MDM)ソリューション

    複数のMDMソリューションから選択できます。一般的に使用されるMDMソリューションをいくつか紹介します。

    • Microsoft Intune:Microsoft Intuneは、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)のためのクラウドベースのサービスです。IntuneをAzure Active Directory(Azure AD)と統合して、Microsoftリソースにアクセスできるユーザーと範囲を制御できます。「Microsoft Intuneの基礎 」(Microsoftドキュメント)を参照してください。
    • VMware Workspace ONE(Airwatchを含む):VMware Workspace ONEは、リモートデバイスでアプリを安全に配信および管理できるようにするデジタルワークスペースプラットフォームです。「 VMware Workspace ONEのドキュメント」(VMwareドキュメント)を参照してください。
  • Windows 10クライアント

    Windows 10クライアントバージョン1803以降。テストの目的で、ドメインに参加していないデバイスを使用することをお勧めします。

Okta環境の前提条件

  • オンプレミスActive DirectoryをOktaと統合します。

    AD Agentの構成とユーザーとグループのインポートについては、「Active Directory統合」ガイドを参照してください。新しい統合の場合は、適切なユーザーとグループがインポートされ、Okta内に確定されていることを確認してください。

  • Azure ADテナントをOktaと統合します。

    OktaでMicrosoft Office 365アプリを使用して、Azure ADテナントをOktaと統合します。「OktaにMicrosoft Office 365をデプロイするための一般的なワークフロー」を参照してください。

    統合時には次のオプションを使用します。

    • シングルサインオンの構成時に、WS-Federation(自動または手動)の方法を選択します。

    • プロビジョニングにOktaを使用している場合は、プロビジョニングタイプLicenses/Role Management OnlyまたはProfile Syncに設定します。ほかのオプション([User Sync(ユーザーの同期)]と[Universal Sync(ユニバーサル同期)])は、ハイブリッドのセットアップに必要なAzure AD Connectと互換性がありません。

    • プロビジョニング中にプロファイルマッピングを構成する際に、ユーザーがデバイスへのサインインに使用するユーザー名と一致するようにアプリケーションユーザー名のフォーマットフィールドを設定します。通常、これはAzure ADユーザープリンシパル名です。

次の手順

オンプレミスとクラウドへのアクセスを許可するようにOffice 365のサインオンルールを構成する