Office 365サイレントアクティベーション:新しい実装

情報

このトピックの手順は、2019年9月1日以降にこの機能(2019.09.0リリースより後)を初めて実装したorgに適用されます。2019.09.0リリースより前のこの機能の早期アクセスバージョンを実装したときは、「Office 365サイレントアクティベーション:以前の実装」の手順を参照してください。

Microsoft Office 365向けのOktaサイレントアクティベーションは、ラップトップ、デスクトップ、共有ワークステーション、またはVDI環境でOffice 365にシームレスにアクセスするユーザーエクスペリエンスを提供します。OktaをIDプロバイダーとして使用することで、ドメイン参加WindowsマシンにサインインしたエンドユーザーはOffice 365に自動的にサインインできます。

開始する前に

  • Active Directory(AD)ドメインがOkta orgと統合されていることを確認します。「Active Directory統合」を参照してください。
  • サービスプリンシパル名(SPN)を構成する権限があることを確認します。Microsoftのドキュメント「Delegating Authority to Modify SPNs」を参照してください。
  • ユーザーのAD UPNは、Office 365のUPNと一致する必要があります。Office 365アプリのユーザー名は、任意のAD属性にマッピングするように構成できます。「Prepare to provision users through directory synchronization to Office 365」を参照してください。
  • すべてのOffice 365エンドユーザーに有効なライセンスが必要です。
  • 特定のドメインと関連付けられているOffice 365アプリインスタンスがすべてのエンドユーザーに割り当てられている必要があります。
  • ユーザーはドメインコントローラーにアクセスできる必要があります。

サポートされるアプリと構成

  • Microsoftが現在サポートしているすべてのバージョンのWindows
  • Office 2016以降
  • サポートされるアプリ:Word、Excel、Outlook、OneNote、Skype for Business、PowerPoint、Access、Publisher
  • ADシングルサインオンとOffice 365サイレントアクティベーションでは、RC4_HMAC_MD5暗号化はサポートされません。ADSSOまたはOffice 365サイレントアクティベーションを使用するときは、AES 128ビット(AES-128)またはAES 256ビット(AES-256)暗号化を使用することをお勧めします。

この手順を開始する

この手順には次のステップが含まれます。

  1. サービスアカウントとSPNを作成する

  2. Windowsでブラウザーを構成する

  3. Kerberos認証を有効化する

  4. サイレント アクティベーションを有効化する

  5. Office 365サイレント アクティベーションをテストする

重要事項

重要

  • Office 365のクライアントアクセスポリシーがWebブラウザーを拒否するように設定されている場合、自動ライセンス認証もブロックされます。
  • アプリまたはOkta Sign-on PolicyでWebブラウザーでのMFAを設定していても、サイレントアクティベーションによるログインではMFAを利用できません。
  • SWAサインオンはサポートされません。

サービスアカウントとSPNを作成する

注

次の手順でサービスアカウントを作成します:

  • OktaテナントのKerberosサービスには、ドメイン管理者アカウントではなく、ドメインユーザーアカウントを使用します。
  • アカウントロックを強化するために、架空のホスト名を使って[logon to(ログオン先)]の制限を有効にするとともに、アカウントを[Account is sensitive and cannot be delegated(アカウントは重要なので委任できない)]としてマークします。

  1. [Active Directory Users and Computers(Active Directoryユーザーとコンピューター)]にアクセスできるサーバーにサインインします。
  2. サービスアカウントを作成するフォルダーを右クリックし、[New(新規作成)][User(ユーザー)]を選択します。

  3. 次の値を使ってアカウントを作成します。

    フィールド

    User logon name(ユーザーログオン名) <username>
    [User logon name (pre-Windows 2000)(ユーザーログオン名(Windows 2000以前))] <username>(任意のユーザー名でかまいません)
    情報

    サービスアカウントのユーザー名は、ドメイン名を含めて16文字以上にする必要があります。また、サービスアカウントには管理者権限は必要ありませんが、SPNの設定には特定の権限が必要です。「Delegating Authority to Modify SPNs」を参照してください。

  4. [Next(次へ)]をクリックします。
  5. 14文字以上のパスワードを作成し、[Password never expires(パスワードに期限を設定しない)]ボックスをオンにします。

  6. [Next(次へ)]をクリックします。
  7. 次のコマンドを実行して、サービスアカウントのSPNを構成します:

    setspn -S HTTP/<yourorg>.kerberos.<oktaorgtype>.com <username>
    プレースホルダー
    your org ユーザーのOkta org名
    oktaorgtype ユーザーのOkta orgタイプ。例:oktaoktapreviewokta-emeaokta-gov
    username 前のステップで作成したユーザー名。

    例:setspn -S HTTP/atkodemo.kerberos.oktapreview.com OktaSilentActivation

  8. 次のコマンドを実行して、SPNが正しいことを確認します。

    setspn -l <username>

Windowsでブラウザーを構成する

  1. ブラウザーで統合Windows認証を有効化します。

    1. [Internet Explorer(インターネットオプション)][Settings(設定)][Internet Options(インターネットオプション)][Advanced(詳細設定)]に移動します。
    2. [Advanced(詳細設定)]タブで[Security(セキュリティ)]設定までスクロールし、[Enable Integrated Windows Authentication(Integrated Windows Authenticationの有効化)]を選択します。
    3. [OK]をクリックします。

      重要事項

      重要

      Internet ExplorerでセッションCookieが保存できることを確認します([Internet Options(インターネットオプション)][Privacy(プライバシー)][Settings(設定)][Advanced(詳細設定)])。保存できない場合、SSOも標準のサインインも機能しません。

  2. ローカルイントラネットゾーンを構成してOktaを信頼済みサイトに指定する

    1. [Internet Explorer(インターネットオプション)][Settings(設定)][Internet Options(インターネットオプション)][Security(セキュリティ)]に移動します。
    2. [Security(セキュリティ)]タブで、[Local Intranet(ローカルイントラネット)][Sites(サイト)][Advanced(詳細設定)]をクリックします。
    3. 前の手順で構成したOkta orgのURLを追加します。

      https://<yourorg>.kerberos.<oktaorgtype>.com

      例:https://atkodemo.kerberos.oktapreview.com

    4. [Close(閉じる)]をクリックして、ほかの構成オプションでは[OK]をクリックします。
  3. グローバルポリシーオブジェクト(GPO)を作成し、サイレントアクティベーションを使用するすべてのクライアントマシンにロールアウトします。

Kerberos認証を有効化する

  1. Admin Consoleで、[Security(セキュリティ)][Delegated Authentication(委任認証)]に移動します。

  2. [Delegated Authentication(委任認証)]ページで、[Active Directory]タブをクリックします。
  3. 下にスクロールして[Agentless Desktop SSO and Silent Activation(エージェントレスデスクトップSSOおよびサイレントアクティベーション)]セクションに移動し、[Edit(編集)]をクリックします。
  4. [Active Directory Instances(Active Directoryインスタンス)]で、サービスアカウントを構成したインスタンスを探します。
  5. このインスタンスを次のユーザー名の形式で構成します。

    フィールド
    [Desktop SSO(デスクトップSSO)] 有効
    [Service Account Username(サービスアカウントのユーザー名)]

    <username>

    これはステップ1で作成した、ドメインのサフィックスまたはNetBIOS名のプレフィックスなしのActive Directoryサインオン名です。sAMAccountName、またはUPNのユーザー名部分を使用できます。org管理者が異なる値を使用しない限り、この2つは同じ文字列である可能性があります。このフィールドでは大文字と小文字が区別されます。UPNプレフィックスがsAMAccountNameと異なる場合、サービスアカウントユーザー名はUPNと同じものにし、ドメインのサフィックスを含める必要があります。例:agentlessDsso@mydomain.com

    [Service Account Password(サービスアカウントのパスワード)] お客様のActive Directoryパスワード
  6. [Save(保存)]をクリックします。

これで、Office 365アプリインスタンスのKerberos認証が有効になりました。

サイレントアクティベーションを有効化する

  1. Okta Admin Console[Applications(アプリケーション)][your Office 365 app instance(自分のOffice 365アプリインスタンス)][Sign On(サインオン)]タブ [Edit(編集)]に移動します。
  2. [Silent Activation(サイレントアクティベーション)]セクションでチェックボックスをオンにしてアプリインスタンスのサイレントアクティベーションを有効にします。
  3. 設定を[Save(保存)]します。

これで、Office 365アプリインスタンスのサイレントアクティベーションが有効化されます。

Office 365の自動ライセンス認証をテストする

  1. Office 365クライアントを起動します。

    1. Office 2016クライアントがインストールされているマシンでOffice 2016クライアントアプリケーション(Microsoft Wordなど)を開きます。
    2. サインインしていることと、クライアントが自動的にアクティブ化されることを確認します。

      次のようなメッセージが表示されるはずです:

  2. OktaでKerberosエンドポイントによる認証を確認します。

    1. Admin Consoleで、[Reports(レポート)][System Log(システムログ)]に移動します。

    2. [System Log(システムログ)]ページで、サインインイベントを探します。
    3. イベントを展開して、[Event(イベント)][System(システム)][LegacyEventType]に移動します。

      このエントリーは、ユーザーがKerberosエンドポイント経由で認証されたことを示しています。

これで、Office 365のサイレントアクティベーションが有効化されます。