OktaとWindows Autopilotの統合

このトピックでは、OktaとWindows Autopilotを統合する方法について説明します。

開始する前に

• Windows Autopilotをセットアップします。「Demonstrate Autopilot deployment」（Microsoftのドキュメント）を参照してください。
• Office 365テナントをOktaとフェデレーションします。OktaにMicrosoft Office 365をデプロイするための一般的なワークフローを参照してください。
• OktaでMFAをセットアップします。「多要素認証」（Multifactor Authentication）を参照してください。
• 「Office 365サインオンルールのオプション」と「アプリサインオンポリシールールを追加する」を確認します。
• エンドユーザーがOktaとAzure ADの両方でアクティブ化され、Windowsデバイスが登録されていることを確認します。

セキュリティのベストプラクティス

Windows AutopilotをOktaで使用すると、デバイスがOkta Device Trustをバイパスできるようになる場合があります。この可能性を最小限に抑えるために、次のベストプラクティスをお勧めします。

1. Windows Autopilotサインオンポリシーは新規ユーザーに対してのみ有効にします。新規ユーザー用に別のグループを作成し、このグループにのみポリシーを適用することができます。
2. 新規ユーザーがOkta Device Trustを使用してデバイスをセットアップしたら、ユーザーをこのグループから削除します。

この手順を開始する

この手順には次のタスクが含まれます。

1. Okta MFAをWindows Autopilotに追加する

2. 任意：Okta Device TrustまたはOkta FastPass で動作するようにWindows Autopilotをセットアップする

Okta MFAをWindows Autopilotに追加する

Okta Admin Console > Office 365アプリ（Office 365 app） > サインオン（Sign On）タブで、Autopilotのサインオンポリシールールを追加します。

1. サインオンポリシー（Sign On Policy） > ルールを追加（Add Rule）に移動します。アプリのサインオンルール（App Sign On Rule）ウィンドウが開きます。
2. アプリのサインオンルール（App Sign On Rule）ウィンドウで、ルールに名前を付けます。例：「Windows Autopilotのチェック」
3. ユーザーとデバイスに適切なIF条件を設定します。

4. クライアント（Client）条件で、ドロップダウンから次のいずれかのクライアント（One of the following clients）を選択し、ドロップダウンの下のフィールドでWindows Autopilotを選択します。

   
5. THEN（Then）条件で、認証の成功後にアクセスを許可（Access is Allowed after successful authentication）を選択します。
6. ユーザー認証の要件については、ドロップダウンから任意の2つの要素タイプ（any of the 2 factor types）オプションを選択します。
7. 適切な要素の条件と再認証の頻度を設定します。
8. ルールを保存します。

9. サインオンポリシー（Sign-on Policy）セクションに戻り、実行するタイミングに応じてこのAutopilotサインオンポリシールールの優先度を調整します。

   

これで、Okta MFAがWindows Autopilotに追加されます。

任意：Okta Device TrustまたはOkta FastPassで動作するようにWindows Autopilotをセットアップする

Okta Device TrustまたはOkta FastPassを使用していない場合

orgがOkta Device Trustを使用していない場合、Oktaでは何もする必要がありません。Windows AutopilotではOktaをIDプロバイダーとしてそのまま使用できます。次の作業だけが必要です。

• Microsoft環境でWindows Autopilotをセットアップし、
• OktaでOffice 365アプリのサインオンルールを構成し、WindowsプラットフォームでWebブラウザークライアントを許可します。

Okta Device TrustまたはOkta FastPassを使用している場合

Okta Device TrustまたはOkta FastPassを使用している場合は、Office 365アプリで新しいサインオンルールを作成して、デバイスの状態が任意（Any）のWindows Autopilotがあるかどうかを確認する必要があります。この手順のタスク1を参照してください。

このAutopilotルールを使用すると、エンドユーザーは［Not Trusted（信頼できない）］デバイスを安全に登録できます。デバイス登録にWindows Autopilotが使用可能かどうかを確認し、使用可能な場合、サインオンポリシーがWindows Autopilotを使用してデバイスを登録します。Okta Device TrustやOkta FastPassは使用しません。デバイスでWindows Autopilotが使用できない場合は、Okta Device TrustまたはOkta FastPassサインオンポリシーが適用されます。

関連項目

Okta FastPass

Azure Active Directory（Azure Active Directoryからライセンスを割り当て解除する。）

Office 365