Office 365サイレントアクティベーション：新しい実装

Okta Silent Activation for Microsoft Office 365 provides a seamless experience for accessing Office 365 on laptops, desktops, shared workstations, or VDI environments. Using Okta as an identity provider, once your end users have sign in to a domain-joined Windows machine, they're automatically signed into Office 365.

はじめに

• Ensure that your Active Directory (AD) domains are integrated with your Okta org.Active Directory統合を参照してください。
• Ensure that you have permission to configure a Service Principle Name (SPN) in AD. 次のMicrosoftのドキュメント「Delegating Authority to Modify SPNs」を参照してください。
• The user's AD UPN must match the Office 365 UPN. The Office 365 app username can be configured to map any AD attribute. See Prepare to provision users through directory synchronization to Office 365.
• すべてのOffice 365エンドユーザーが有効なライセンスを持っている。
• All end users must be assigned the Office 365 app instance that's associated with their specific domain.
• ユーザーがドメインコントローラーに到達できる。

サポートされているアプリと構成

• All versions of Windows that are currently supported by Microsoft
• Office 2016以降
• Supported apps: Word, Excel, Outlook, OneNote, Skype for Business, PowerPoint, Access, and Publisher

• RC4_HMAC_MD5 encryption isn't supported with AD single sign-on and Office 365 Silent Activation. ADSSOまたはOffice 365のサイレントアクティベーションを使用する場合、AES 128ビット（AES-128）またはAES 256ビット（AES-256）暗号化の使用を推奨します。

この手順を開始する

This procedure includes the following steps:

1. サービスアカウントとSPNを作成する

2. Windowsでブラウザーを構成する

3. Kerberos認証を有効化する

4. サイレント アクティベーションを有効化する

5. Office 365サイレント アクティベーションをテストする

サービスアカウントとSPNを作成する

1. ［Active Directory Users and Computers（Active Directoryユーザーとコンピューター）］にアクセスできるサーバーにサインインします。

2. Right-click the folder where you want to create the service account and select NewUser.

3. Create the account with the following values:

   フィールド	値
   User logon name（ユーザーログオン名）	<username>
   ［User logon name (pre-Windows 2000)（ユーザーログオン名（Windows 2000以前））］	<username>（任意のユーザー名でかまいません）

   

   The service account username must be 16 characters at minimum, including the domain name. Also, admin permissions aren't required for the service account, but specific permissions are needed to set the SPN. 「Delegating Authority to Modify SPNs」を参照してください。

4. ［Next（次へ）］をクリックします。

5. Create a password that is a minimum of 14 characters, and then check the Password never expires box.

   

6. ［Next（次へ）］をクリックします。

7. 次のコマンドを実行して、サービスアカウントのSPNを構成します：

   setspn -S HTTP/<yourorg>.kerberos.<oktaorgtype>.com <username>

   プレースホルダー	値
   your org	お客様のOkta org名
   oktaorgtype	お客様のOkta orgタイプ。例：okta、oktapreview、okta-emea、okta-gov。
   username	Username that you created in the previous steps.

   例：setspn -S HTTP/atkodemo.kerberos.oktapreview.com OktaSilentActivation

   

8. 次のコマンドを実行して、SPNが正しいことを確認します。

setspn -l <username>

Windowsでブラウザーを構成する

1. ブラウザーで統合Windows認証を有効化します。

   1. In Internet Explorer, go to SettingsInternet OptionsAdvanced.
   2. On the Advanced tab, scroll down to the Security settings, and then select Enable Integrated Windows Authentication.

   3. ［OK］をクリックします。

      

      重要

      Internet ExplorerでセッションCookieが保存できることを確認します（［Internet Options（インターネットオプション）］［Privacy（プライバシー）］［Settings（設定）］［Advanced（詳細設定）］）。If it can't, neither SSO or standard sign-in can work.

2. ローカルイントラネットゾーンを構成してOktaを信頼済みサイトに指定する

   1. In Internet Explorer, go SettingsInternet OptionsSecurity.
   2. ［Security（セキュリティ）］タブで、［Local Intranet（ローカルイントラネット）］［Sites（サイト）］［Advanced（詳細設定）］をクリックします。

   3. 前の手順で構成したOkta orgのURLを追加します。

      https://<yourorg>.kerberos.<oktaorgtype>.com

      例：https://atkodemo.kerberos.oktapreview.com

   4. ［Close（閉じる）］をクリックして、ほかの構成オプションでは［OK］をクリックします。
3. Create a Global Policy Object (GPO) to roll this out to all client machines that use Silent Activation.

Kerberos認証を有効化する

1. Admin Consoleで、［Security（セキュリティ）］［Delegated Authentication（委任認証）］に移動します。

2. ［Delegated Authentication（委任認証）］ページで、［Active Directory］タブをクリックします。
3. 下にスクロールして［Agentless Desktop SSO and Silent Activation（エージェントレスデスクトップSSOおよびサイレントアクティベーション）］セクションに移動し、［Edit（編集）］をクリックします。
4. ［Active Directory Instances（Active Directoryインスタンス）］で、サービスアカウントを構成したインスタンスを探します。

5. このインスタンスを次のユーザー名の形式で構成します。

   フィールド	値
   ［Desktop SSO（デスクトップSSO）］	有効
   ［Service Account Username（サービスアカウントのユーザー名）］	<username> This is the Active Directory sign-on name that you created in step 1, without any domain suffix or Netbios name prefix. sAMAccountName、またはUPNのユーザー名部分を使用できます。org管理者が異なる値を使用しない限り、この2つは同じ文字列である可能性があります。このフィールドでは大文字と小文字が区別されます。UPNプレフィックスがsAMAccountNameと異なる場合、サービスアカウントユーザー名はUPNと同じものにし、ドメインのサフィックスを含める必要があります。例：agentlessDsso@mydomain.com
   ［Service Account Password（サービスアカウントのパスワード）］	お客様のActive Directoryパスワード

6. ［Save（保存）］をクリックします。

これで、Office 365アプリインスタンスのKerberos認証が有効になりました。

サイレントアクティベーションを有効化する

1. In the Okta Admin Console, go to Applicationsyour Office 365 app instanceSign on tabEdit.
2. In the Silent Activation section, select the checkbox to enable silent activation for the app instance.
3. 設定を［Save（保存）］します。

これで、Office 365アプリインスタンスのサイレントアクティベーションが有効化されます。

Office 365の自動ライセンス認証をテストする

1. Office 365クライアントを起動します。

   1. On a machine that has an Office 2016 client installed, open an Office 2016 client application such as Microsoft Word.

   2. Confirm that you're signed in and the client is automatically activated.

      次のようなメッセージが表示されるはずです：

      

2. Confirm the authentication through the Kerberos endpoint in Okta.

   1. Admin Consoleで、［Reports（レポート）］［System Log（システムログ）］に移動します。

   2. ［System Log（システムログ）］ページで、サインインイベントを探します。

   3. イベントを展開して、［Event（イベント）］［System（システム）］［LegacyEventType］に移動します。

      このエントリーは、ユーザーがKerberosエンドポイント経由で認証されたことを示しています。

      

Silent Activation is now enabled for Office 365.