OktaでのハイブリッドAzure AD参加デバイスのサポート
この項目では、登録済みおよび新規のハイブリッドAzure AD参加デバイスのレガシー認証を最小限に抑えるためにOktaで使用できる設定とオプションについて説明します。
ハイブリッドAzure AD参加デバイスについて
ハイブリッドAzure AD参加デバイスとは、オンプレミスのActive Directoryに参加し、Azure ADに登録されているデバイスです。これらのデバイスを使用すると、オンプレミスActive DirectoryとAzure Active Directoryの両方の機能を利用できます。ハイブリッドAzure AD参加を使用すると、オンプレミスのActive Directoryに参加している職場のデバイスを一元管理でき、ユーザーはAzure Active Directoryを使用して登録済みのデバイスにサインインできます。
デバイスをハイブリッド参加させる方法
ADに参加しているデバイスをAzure ADに参加させるには、ハイブリッドAzure AD参加用にAzure AD Connectをセットアップする必要があります。さらに、ADに参加しているデバイスをAzure ADに自動登録するGPOも作成する必要があります。
Azure ADに参加しようとするAD参加デバイスは、Azure AD Connectで構成されたサービス接続ポイント(SCP)を使用して、Azure ADテナント連携情報を検索します。ハイブリッド参加を試みますが、コンピューターオブジェクトのuserCertificate属性がAzure ADとまだ同期されていないため、失敗します。ただし、失敗すると、Azure ADからの証明書を使用してデバイスの属性が更新されます。Azure AD Connectは、次の同期間隔でこの属性をAzure ADに同期します。次回、GPOでスケジュールされたタスクがデバイスへのハイブリッド参加を再試行すると、タスクは成功し、デバイスはAzure ADに参加します。
このプロセスには数時間かかる場合があります。プロセス中に問題が発生した場合は、「Troubleshooting hybrid Azure Active Directory joined devices(ハイブリッドAzure Active Directoryに参加しているデバイスのトラブルシューティング)」(Microsoftドキュメント)を参照してください。
OktaとハイブリッドAzure AD参加デバイスの連携
デバイスをAzure ADにハイブリッド参加させたら、OktaをIDプロバイダー(IdP)として使用してデバイスでの登録およびサインオンプロセスを保護できます。Oktaは、ユーザーのID情報を確認してから、Azure ADへのデバイス登録やOffice 365リソースへのアクセスを許可します。ユーザーは、Oktaで認証して初めて、Microsoft Office 365などのAzure ADリソースにサインインできるようになります。
Oktaでレガシー認証を最小限に抑える
Windows 10で稼働しているハイブリッドAzure AD参加デバイスは、レガシー認証を使用するWINLOGONサービスを使用します。MFAはレガシー認証リクエストには強制適用できず、パスワードスプレーなどのサイバー攻撃に対して脆弱になります。このため、レガシー認証の使用を最小限に抑えることは、環境のセキュリティにとって非常に重要です。ハイブリッドAzure AD参加デバイスでのレガシー認証使用を最小限に抑えるためのいくつかのソリューションを用意しています。ハイブリッドAzure AD参加デバイスを強化するには、Office 365アプリサインオンポリシーにある以下の設定を使用できます。
登録済みデバイス
Azure ADにすでに登録されているデバイスでは、OktaのOffice 365サインオンポリシーを使用してサインオンプロセスをセキュアにできます。次のようにアクセスを制限するためにポリシーを変更できます。
1. レガシー認証を使用するために選択したユーザーエージェント文字列のみを許可する
Office 365アプリのサインオンルールを使用して特定の信頼できるクライアントをフィルタリングし、Office 365リソースへのアクセスを許可できます(例 : Windows-AzureAD-Authentication-Provider)。これにより、Office 365アプリにアクセスできるユーザーエージェントをより細かく制御できます。「Office 365サインオンポリシーでカスタムクライアントを許可または拒否する」を参照してください。
2a. ローカルイントラネット内でのみレガシー認証を許可する
Microsoftテナントで、レガシー認証を使用するすべてのMicrosoftサービスを無効にします。次にOktaでOffice 365アプリサインオンポリシーを変更して、デバイスがローカルイントラネットにある場合にのみレガシー認証を許可します。以下を参照してください。
- 「How to: Block legacy authentication to Azure AD with Conditional Access(方法:条件付きアクセスを使用してAzure ADへのレガシー認証をブロックする)」(Microsoftドキュメント)
2b. ローカルイントラネットの外部でMFAを要求する
ユーザーがローカルイントラネット上にないデバイスを使用している場合は、Azure ADリソースへのアクセスを許可する前に、MFAプロンプトを正常に完了するようにユーザーに要求します。Azure ADで、そのようなユーザーにMFAを要求する条件付きアクセスポリシーを作成してから、OktaでOffice 365アプリの設定を変更してOkta MFAを使用してAzure AD MFAを満たします。
このシナリオでは、Azure ADはユーザーをOktaにリダイレクトして、MFAプロンプトを完了します。プロンプトが正常に完了すると、OktaはMFAクレームをAzure ADに渡し、Azure ADはユーザーがMicrosoftリソースにアクセスできるようにします。これにより、ユーザーはMFAプロンプトを1つだけ完了する必要があるため、ユーザーのサインインエクスペリエンスが合理化されます。「Azure Active Directory向けのOkta MFAを使用する」を参照してください。
広いセキュリティ範囲を確保するために、条件付きアクセスポリシーとOffice 365アプリサインオンポリシーを組み合わせて使用することをお勧めします。Oktaは、サインオンイベントごとにサインオンポリシーを適用します。サインオン後、Azure ADは定期的に条件付きアクセスポリシーを適用して、アクセスが安全であることを確認します。
3. Microsoft側でレガシー認証をブロックする
Microsoftで認証ポリシーを作成して、すべてのMicrosoftサービスのレガシー認証をブロックします。これらのポリシーをユーザーに割り当てます。「Disable Basic authentication in Exchange Online(Exchange Onlineでの基本認証の無効化)」(Microsoftドキュメント)を参照してください。
新規デバイスの登録
まだAzure ADに登録されていないデバイスの場合、Okta MFAを使用して次のように登録プロセスにセキュリティレイヤーをもう一つ追加できます。
Windows Hello for Businessに登録する際にMFAを要求する
ユーザーが新しいデバイスをAzure ADに登録する場合、ユーザーにOktaでのステップアップMFAプロンプトを完了することを要求できます。プロンプトが正常に完了すると、OktaはMFAクレームをAzure ADに渡し、Azure ADはユーザーがWindows Hello for Businessにデバイスを登録できるようにします。その後ユーザーはWindows Hello for Businessを使用してAzure AD MFAを満足できます。「Azure Active Directory向けのOkta MFAを使用する」を参照してください。