単一のアプリインスタンスで複数のOffice 365ドメインを連携認証する

Oktaでは、単一のOffice 365アプリインスタンス内で複数のMicrosoft Office 365ドメインを自動的に連携認証できます。これにより、それぞれのOffice 365ドメインに対して個別にOffice 365アプリインスタンスを構成する必要がなくなります。

これは以下の構成を使用している場合に便利です。

  • 単一のOffice 365テナントに複数のOffice 365ドメインがあり、ドメインごとに個別のアプリインスタンスを作成するのを避けたい場合。
  • 単一のOffice 365テナントに複数のOffice 365ドメインがあり、すべてのドメインに同一のポリシーのセットを適用したい場合。

はじめに

  • この機能は手動のWS-Federation方式では使用できません。
  • この手順を完了するには以下の情報が必要です。

    • 有効なMicrosoft Office 365テナント
    • 検証済みのMicrosoft Office 365ドメイン
    • 自動のWS-Federationを使用してOkta orgに追加されたOffice 365アプリ

子ドメインを持つOffice 365ドメインを複数構成する場合は、Oktaの担当者にお問い合わせください。

この手順を開始する

この手順には次のタスクが含まれます:

  1. ドメインを構成する
  2. 連携認証済みドメインを検証する

ドメインを構成する

  1. Office 365アプリインスタンスで、[Sign On(サインオン)][Settings(設定)][Edit(編集)]モードで開きます。

  2. [Sign On Methods(サインオン方法)][WS-Federation]を選択します。
  3. WS-Federationの構成で[Automatic(自動)]を選択します。
  4. [View Setup Instructions(設定手順を表示)]をクリックします。Office 365 WS-Federationを構成するための手順が新しいウィンドウに表示されます。
  5. 手順のセクション「Prepare your domain for federated authentication(連携認証のためのドメインを準備する)」を参照して、連携認証用にドメインを適切に準備したことを確認してください。
  6. [Sign On(サインオン)]タブに戻り、Microsoft Office 365テナントの[Office 365 Admin Username(Office 365管理者ユーザー名)][Office 365 Admin Password(Office 365管理者パスワード)]を入力します。
  7. [Office 365 Domains(Office 365ドメイン)]で、[Fetch and Select(取得して選択)]をクリックして検証済みドメインを追加します。Office 365テナントの検証済みドメインが表示されます。
  8. 連携認証するドメインを選択します。
  9. [Sign On(サインオン)]タブに戻り、[Save(保存)]をクリックします。

WS-Federationを手動でセットアップする

  • Office 365アプリインスタンスで[Sign On(サインオン)][Settings(設定)][Edit(編集)]モードで開きます。

  • [Sign On Methods(サインオン方法)][WS-Federation]を選択します。
  • PowerShellを使用して自分でWS-Federationを構成する」を参照してください。
  • [View Setup Instructions(設定手順を表示)]をクリックします。Office 365 WS-Federationを構成するための手順が表示されます。
  • 手順に従ってMicrosoft Azure Active Directory Module for Windows PowerShellでドメインを設定し、構成するドメインごとに繰り返します。
  • [Sign On(サインオン)]タブに戻り、[Save(保存)]をクリックします。

連携認証済みドメインを検証する

  1. 連携認証したOffice 365ドメインに属するエンドユーザーとしてOktaにサインインします。
  2. エンドユーザーダッシュボードからOffice 365にアクセスします。
  3. 正常にサインインできることを確認します。
  4. すべての連携認証済みOffice 365ドメインのテストユーザーに対して、これらの手順を繰り返します。

または、それぞれの連携認証済みドメインに対して次のPowerShellコマンドレットを使用すると、ドメインが正常に連携認証されたことを確認できます:

Get-MSOlDomainFederatioNSettings -domainname <domain name>

注意

  • 単一のアプリでドメインを複数のサブドメインとフェデレーションすると、サインインエラーが発生します

    単一のアプリでドメインを複数のサブドメインとフェデレーションすると、サブドメインのメンバーがサインイン時にエラーを受け取ります。これを回避するには、PowerShellを使用してドメインを手動でフェデレーションします。「WS-Federation(手動)方式を使用してSSOを構成する」を参照してください。

  • 手動のWS-FederationまたはSWAに切り替えると、ドメインの連携認証が解除されます

    自動のWS-Federationから手動のWS-Federationに、または、WS-FederationからSWAに切り替えると、関連したすべてのドメインの連携認証が解除されます。

  • Office 365アプリインスタンスを削除しないでください

    自動的に連携認証されるOffice 365ドメインの複数のインスタンスがあり、自動的に連携認証されるOffice 365の単一のインスタンスに移行中の場合は、それらのインスタンスを無効化します。それらのインスタンスを削除しないでください。

  • 連携認証を解除する際、すべてのドメインの連携認証が解除されるまで待ってください

    連携認証済みのドメインに対して連携認証方法を自動から手動に変更する場合、自動的に連携認証されたすべてのドメインの連携認証が解除されるまで待機することをお勧めします。Oktaで連携認証解除の処理が完了する前にドメインを手動で連携認証しようとした場合、そのドメインが以前は自動的に連携認証されたドメインであったという理由から、手動で連携認証したドメインの削除がOktaで試行される可能性があります。

    次のコマンドレットを使用して、自動的に連携認証されたドメインの連携認証が解除されていることを確認します:

    Get-MSOlDomainFederatioNSettings -domainname <domain name>

    ドメインの連携認証の解除中に、多少のダウンタイムが発生することを想定する必要があります。

  • 営業時間外にドメインを構成して、重複したアプリの割り当てを回避しましょう

    個別のOffice 365アプリインスタンスで構成済みのOffice 365ドメインを構成する際、Office 365アプリの重複したセットがエンドユーザーに割り当てられることがあります。元のアプリインスタンスの構成を解除するのに十分な時間を確保するため、このアクションは営業時間外に実行するようにしてください。