Azure Active Directory向けのOkta MFAを使用する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Okta多要素認証（MFA）を使用して、WS-Federation Office 365アプリ向けのAzure Active Directory（AD）MFAの要件を満たすことができます。次の場合はOkta MFAを使用します。

• Oktaと連携認証されたドメインのAzure AD条件付きアクセスで要求されるMFA要件をOktaで処理する。
• OktaとMicrosoft両方のMFAに単一ソリューションを使用できるように、ユーザーをWindows Hello for Businessに登録する。

Oktaシングルサインオン（SSO）は、WS-Federationのwauthパラメーターに対応しており、このパラメーターはサインイン試行に必要な認証レベルを定義します。これにより、すべてのユーザーにMFAを強制することを避け、必要な場合に限り、追加認証を必須にすることができます。

開始する前に

開始する前に、次の前提条件が満たされていることを確認します。

1. Identity Engine orgを使用している。
2. Okta orgでOffice 365アプリが構成されている。「Microsoft Office 365」を参照してください。
3. Okta orgで複数の鑑別工具が構成されている。「多要素認証」を参照してください。
4. ユーザーが複数の鑑別工具に登録されている。「鑑別工具登録ポリシー」を参照してください。
5. MFAがAzure ADインスタンスで構成されている。「Microsoft Entra多要素認証の設定の構成」を参照してください。

この手順を開始する

Okta MFAのサポートを有効にするには、Office 365ドメインの連携認証設定を変更します。次のいずれかの手順を完了します。

• 手動で連携認証されたドメインの場合
• 自動的で連携認証されたドメインの場合

手動で連携認証されたドメインの場合

1
2
3
4
5
6
7
8
ActiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName :Okta
IssuerUri : issueruri
LogOffUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate :<SigningCertificate>
SupportsMfa :True

1
2
3
4
5
6
7
8
ActiveSignInUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName :Okta
IssuerUri :https://issueruri
SignOutUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate :<SigningCertificate>
FederatedIdpMfaBehavior: acceptIfMfaDoneByFederatedIdp

自動的に連携認証されたドメイン

1
2
3
4
5
6
7
8
ActiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName :Okta
IssuerUri : issueruri
LogOffUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate :<SigningCertificate>
SupportsMfa :True

1
2
3
4
5
6
7
8
ActiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName :Okta
IssuerUri : issueruri
SignOutUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri :https://example.okta.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate :<SigningCertificate>
FederatedIdpMfaBehavior: acceptIfMfaDoneByFederatedIdp

この機能を無効にする

1. Admin Consoleで［Applications（アプリケーション）］［Applications（アプリケーション）］に移動します。

2. WS-Federation Office 365アプリを開きます。
3. ［Sign On（サインオン）］［Edit（編集）］をクリックします。
4. ［Okta MFA from Azure AD（Azure ADからのOkta MFA）］オプションで［Enable for this application（このアプリケーションに対して有効にする）］オプションの選択をクリアします。
5. ［Save（保存）］をクリックします。
6. 環境に応じて、以下のいずれかのPowerShellコマンドを実行します。
   • Azure ADのOkta MFAを無効にする（MSOnline）：Oktaでこの機能が有効になっている、自動的に連携認証されたすべてのドメインについて、SupportsMfa設定がfalseであることを確認します。

     Set-MsolDomainFederationSettings -DomainName <targetDomainName> -SupportsMfa $false

   • Azure ADのOkta MFAを無効にする（Microsoft Graph）：Oktaでこの機能が有効になっている、自動的に連携認証されたすべてのドメインについて、FederatedIdpMfaBehavior設定がacceptIfMfaDoneByFederatedIdpであることを確認します。

     Update-MgDomainFederationConfiguration -DomainId <DomainName> -InternalDomainFederationId (Get-MgDomainFederationConfiguration -DomainId <DomainName> | Select -Property Id).id -FederatedIdpMfaBehavior acceptIfMfaDoneByFederatedIdp

関連項目

Office 365サインオン・ルールのオプション

Windows Hello for Businessデプロイメントを計画する（Microsoftドキュメント）