ユーザーをOffice 365にプロビジョニングする

Okta orgから、Office 365のユーザーを作成・更新・デプロビジョニングできます。ユーザーを異なるソースディレクトリからOktaにインポートし、プロファイルマッピングを使用してOffice 365にプロビジョニングできます。

はじめに

この手順を開始する

Office 365でユーザーをプロビジョニングするには、以下のタスクを順番に実行する必要があります。

OktaからOffice 365へのプロビジョニングをセットアップする

API統合を有効にし、ユーザーライフサイクルのさまざまな段階で設定を構成することで、プロビジョニングタスクを自動化できます。

API統合を有効にする

Office 365では、Microsoft APIに対して認証を行うためにトークンが必要です。これにより、OktaでOffice 365でのプロビジョニングを実装できます。

  1. [Office 365][Provisioning(プロビジョニング)][API Integration(API統合)][Configure API Integration(API統合を構成)]に移動します。
  2. [Enable API Integration(API統合を有効にする)]をオンにします。
  3. [Authenticate with Microsoft Office 365(Microsoft Office 365で認証)]をクリックします。[Microsoft Azure login(Microsoft Azureログイン)]ページにリダイレクトされます。

    1. Microsoft Azureアカウントにログインします。

    2. リクエストされた権限を確認して受け入れます。

    3. Microsoft Azureポータルでスコープを受け入れると、Oktaにリダイレクトされます。

  4. Office 365グローバル管理者の資格情報を入力します。
  5. グループをすぐにインポートするには、[Import Groups(グループをインポート)]をオンにします。

    プロビジョニングの完了後にグループをインポートできます。「Office 365ユーザーのプロビジョニング中にグループのインポートをスキップする」を参照してください。

  6. [Test API Credentials(API資格情報をテスト)]をクリックします。
  7. 資格情報が確認されたら、保存します。

プロビジョニングのタイプと設定を選択する

これらのオプションは選択するプロビジョニングタイプによって異なります。

  1. [Office 365][Provisioning(プロビジョニング)][To App(アプリへ)][Edit(編集)]に移動します。
  2. [Office 365 Provisioning Type(Office 365プロビジョニングタイプ)]を選択します。「Office 365のプロビジョニングオプション」を参照してください。

    Universal Sync(ユニバーサル同期)の場合のみ: Active Directoryグループとリソースを同期するには、[Send full profile, contacts, and conference rooms from these AD instances(これらのADインスタンスからフルプロファイル、連絡先、会議室を送信)]を選択します。

  3. その他のプロビジョニング設定を有効または無効にします。「Office 365のプロビジョニングおよびデプロビジョニングスタートガイド」を参照してください。
  4. [Save(保存)]をクリックします。
情報

Office 365にプロビジョニングされた各ユーザーには、StsRefreshTokensValidFromという属性があります。これは、ユーザーがパスワードを変更したときに既存のユーザーセッションを無効にし、トークンを更新する日付です。その際、ユーザーはアプリに再度サインインする必要があります。この属性は、プロビジョニングタイプに基づいて自動的に計算および入力されます。

  • ライセンスのみまたはプロファイル同期:StsRefreshTokensValidFrom属性は、ユーザーがOktaでパスワードを変更したときの日時に設定されます。

  • ユーザー同期またはUniversal Sync:ユーザーがActive Directory(AD)からリンクされている場合、StsRefreshTokensValidFrom属性がADのpwdLastSet属性に設定されます。その他すべてのユーザーのStsRefreshTokensValidFrom属性は、ユーザーがOktaでパスワードを変更したときの日時に設定されます。

OktaからOffice 365にプロファイル属性をマッピングする

ユーザーのソースがどこであるかによって、ユーザー名の形式が異なります。ユーザーがOffice 365のサインインに成功するには、Office 365のユーザー名が、連携認証するドメインのメールアドレス(username@yourfederated.domain)形式である必要があります。

重要事項

プロビジョニング設定を変更するたびに、属性を再マッピングする必要があります。

ユーザー名を変更せずにマッピングする

連携認証するドメインのメールアドレス(username@yourfederated.domain)形式のユーザー名がすでにユーザーにある場合は、そのメールを再フォーマットせずにマッピングできます。

  1. [Office 365][Sign on(サインオン)][Edit(編集)]に移動します。
  2. [Credentials Details(資格情報の詳細)][Application username format(アプリケーションユーザー名の形式)][Email(メール)]を選択します。
  3. [Save(保存)]をクリックします。

カスタムユーザー名をマッピングする

ユーザーのソースが異なるディレクトリまたはアプリの場合は、ユーザー名の形式が異なる場合があります。Okta Expression Languageを使用して、Office 365に渡されるユーザー名をカスタマイズできます。

  1. [Office 365][Sign on(サインオン)][Edit(編集)]に移動します。
  2. [Credentials Details(資格情報の詳細)][Application username format(アプリケーションユーザー名の形式)][Custom(カスタム)]を選択します。

    表示されたテキストボックスにこの式を入力します。

    String.substringBefore(user.email, "@") + "@yourfederated.domain"
  3. yourfederated.domainは、連携認証するドメインで置き換えます。
  4. [Save(保存)]をクリックします。

メールアドレスをマッピングする

連携認証するドメインにユーザーのメールアドレスが存在しない場合は、Okta Expression Languageを使用してOffice 365に渡されるメールアドレスをカスタマイズできます。

前提条件

プロビジョニングタイプはユーザー同期またはUniversal Syncを選択する必要があります。「Office 365のプロビジョニングオプション」を参照してください。

  1. [Directory(ディレクトリ)][Profile Editor(プロファイルエディター)][Apps(アプリ)][Microsoft Office 365 Mappings(Microsoft Office 365マッピング)][Okta User to Microsoft Office 365(OktaユーザーからMicrosoft Office 365)]に移動します。
  2. [source.email]フィールドに次の式を入力します。
    String.substringBefore(user.email, "@") + "@yourfederated.domain"
  3. yourfederated.domainは、連携認証するドメインで置き換えます。
  4. [Preview(プレビュー)]ボックスにOktaユーザーを入力して、マッピングの結果を確認します。
  5. 結果のメールアドレスが、ユーザーのOffice 365メールアドレスと一致する必要があります。
  6. プレビューを終了してマッピングを保存します。
  7. [Apply Updates Now(今すぐ更新を適用)]をクリックします。

プロビジョニングをテストする

OktaでテストユーザーにOffice 365を割り当て、Microsoftテナントに表示されることを確認することで、プロビジョニングが正しく構成されていることを確認します。プロビジョニングで[Create Users(ユーザーを作成)]オプションを選択したことを確認します。

Oktaで、

  1. Microsoft Office 365アプリの[Assignment(割り当て)]タブを開きます。
  2. [Assignment(割り当て)]をクリックします。
  3. 適切なOffice 365ライセンスをテストユーザーに割り当てます。
  4. [Done(完了)] をクリックします。

Microsoft管理者センターで、

  1. アクティブユーザーのリストを開きます。
  2. すべてのテストユーザーが適切なライセンスでリストに表示されていることを確認します。

Oktaで、

  1. テストユーザーとしてOktaにログインします。
  2. すべてのOffice 365アプリがユーザーダッシュボードに表示されていることを確認します。
情報

[User Sync(ユーザー同期)]または[User Sync(ユニバーサル同期)]のプロビジョニングタイプを選択した場合、プロファイルのソースがどこであるかに関係なく、すべてのユーザーがOffice 365テナントで「Synced with Active Directory(Active Directoryと同期)」と表示されます。ただし、個々のユーザーのソースはそれぞれのディレクトリのままです。

次の手順

Office 365をユーザーやグループに割り当てる