Microsoftに管理者の同意を提供してOktaでの認証を可能にする

OktaMicrosoftテナントのユーザーやデータにアクセスすることに同意してください。この同意はOktaがお客様に代わってMicrosoft Graph APIにアクセスし、Office 365が提供する情報を使用できるようにします。

開始する前に

Microsoftテナントのグローバル管理者権限があることを確認してください。

Oktaに必要な権限とその理由

  • プロビジョニング権限:Office 365のユーザーをプロビジョニングまたはデプロビジョニングするのに必要です。
  • シングルサインオン権限:OAuthベースの認証を使用するOffice 365アプリでユーザーを認証および認可するのに必要です。これらのアプリには、Yammer、Dynamics CRM、Teams、Formsなどがあります。
  • プロビジョニングを構成するとき、またはOffice 365アプリのSSOを構成するときには、管理者の同意を提供する必要があります。どちらの場合も、OktaにはMicrosoftテナントで以下の権限が必要です。
    権限Oktaでできること

    User.ReadWrite.All

    		ユーザーの作成、参照、更新、および削除。

    Group.ReadWrite.All

    		グループの作成・参照・更新・削除。

    GroupMember.ReadWrite.All

    		グループのメンバーの追加または削除。

    Organization.Read.All

    		テナントの取得済みライセンスと残りのシートの一覧表示。

    Application.Read.All

    		 テナントのアプリ登録とサービスプリンシパルの一覧表示。

    RoleManagement.ReadWrite.Directory*

    		ユーザー・グループ・サービスプリンシパルへのディレクトリロールの割り当て。

    Directory.Read.All*

    ディレクトリデータの読み取り。

    *プロビジョニングを使用しない場合には、SSO統合の後でDirectory.Read.AllRoleManagement.ReadWrite.Directoryの権限を取り消すことができます。

Microsoftに管理者の同意を提供してOktaでの認証を可能にする

管理者の同意は、次の2つの方法で提供できます。

Microsoftに管理者の同意を提供してプロビジョニングでの認証を可能にする

OktaからOffice 365に対して引き続きプロビジョニングを機能させるには、永続的なグローバル管理者権限を持つOffice 365サービスプリンシパルアカウントを、Okta内で各Office 365アプリに関連付ける必要があります。

Office 365アプリのプロビジョニングを初めて有効にする場合は、次の手順に従います。

  1. Okta Admin Consoleで以下を行います。
    1. [Applications(アプリケーション)][Office 365][Provisioning(プロビジョニング)][Integration(統合)]に移動します。
    2. [Enable API integration(API統合を有効化)]チェックボックスを選択します。
    3. 管理者の「Username(ユーザー名)][Password(パスワード)]を入力します。

    4. [Authenticate with Microsoft Office 365(Microsoft Office 365で認証)]をクリックします。

      Microsoftアカウントログインページにリダイレクトされます。

  2. Microsoftで以下を行います。
    1. Microsoftテナントのグローバル管理者としてMicrosoftにログインします。
    2. Okta Microsoft Graphクライアントページに記載されている手順を読んで受け入れます。
  3. Okta Admin Consoleで設定を保存します。

プロビジョニングでの認証のためにMicrosoftに示した管理者の同意を再認証する

orgが2021年12月より前にMicrosoftへのプロビジョニングを有効にした場合、Office 365の既存のプロビジョニング設定を変更する前に、管理者の同意を付与する必要があります。Oktaがリクエストする権限が変更されたため、これは以前に管理者の同意を付与していた場合にも当てはまります。

Office 365アプリのプロビジョニングを既に有効にしていて、同意を再認証する必要がある場合は、次の手順に従います。

  1. Okta Admin Consoleで以下を行います。
    1. [Applications(アプリケーション)][Office 365][Provisioning(プロビジョニング)][Integration(統合)][Edit(編集)]に移動します。

    2. [Re-authenticate with Microsoft Office 365(Microsoft Office 365で再認証)]をクリックします。

      Microsoftアカウントログインページにリダイレクトされます。

  2. Microsoftで以下を行います。
    1. Microsoftテナントのグローバル管理者としてMicrosoftにログインします。
    2. Okta Microsoft Graphクライアントページに記載されている手順を読んで受け入れます。
  3. Okta Admin Consoleで設定を保存します。

SSOにMicrosoft管理者の同意を提供する

  1. Okta Admin Consoleで以下を行います。
    1. [Applications(アプリケーション)] [Office 365][Sign On(サインオン)][Edit(編集)]に移動します。
    2. [API Credentials(API資格情報)]セクションで、[Allow administrator to consent for Advanced API access(管理者が高度なAPIアクセスに同意できるようにする)]のボックスをオンにします。

    3. [Authenticate with Microsoft Office 365(Microsoft Office 365で認証)]をクリックします。

      Microsoftアカウントログインページにリダイレクトされます。

  2. Microsoftで以下を行います。
    1. Microsoftテナントのグローバル管理者としてMicrosoftにログインします。
    2. Okta Microsoft Graphクライアントページに記載されている手順を読んで受け入れます。
  3. Okta Admin Consoleで設定を保存します。

SSOにMicrosoft管理者の同意を再認証する

次の場合、Oktaに既存のMicrosoft管理者の同意を再認証する必要があります。

  • Okta End-User Dashboardに新しいOffice 365アプリを追加し、そのアプリにOAuthが必要な場合。
  • Office 365アプリのURLが変更される場合。
  1. Okta Admin Consoleで以下を行います。
    1. [Applications(アプリケーション)] [Office 365][Sign On(サインオン)][Edit(編集)]に移動します。

    2. [API Credentials(API資格情報)]セクションで、[Re-authenticate with Microsoft Office 365(Microsoft Office 365で再認証)]をクリックします。

      Microsoftアカウントログインページにリダイレクトされます。

  2. Microsoftで以下を行います。
    1. Microsoftテナントのグローバル管理者としてMicrosoftにログインします。
    2. Okta Microsoft Graphクライアントページに記載されている手順を読んで受け入れます。
  3. Okta Admin Consoleで設定を保存します。

関連項目