Okta Active Directory(AD)エージェントにパスワード管理権限を付与する

早期アクセスリリース

特権アカウントを含む組織単位(OU)のために、Okta Active Directory(AD)エージェントのサービスアカウントにパスワードリセットの権限を付与する必要があります。

Okta AD エージェントにパスワードリセットの権限を付与する

これをセットアップするには、使用するアカウントに、特権アカウントのある組織単位(OU)のアクセス制御リスト(ACL)を変更するために必要な権限が必要です。たとえば、アカウントがActive Directoryのドメイン管理者グループのメンバーでなければなりません。

  1. [Active Directory Users & Computers MMC snap-in(Active DirectoryユーザーとコンピューターのMMCスナップイン)]を起動します。

  2. Okta Privileged Accessが管理する特権アカウントのあるOUに移動します。

  3. そのOUを右クリックして、[All Tasks | Delegate Control(すべてのタスク | 管理の委任)]を選択します。

  4. [Next(次へ)]をクリックし、 [Add(追加)]をクリックします。

  5. Okta ADエージェントのサービスアカウント名を入力し、[OK]をクリックします。

  6. ボックス内にOkta ADエージェントのサービスアカウント名がリストされていることを確認し、[Next(次へ)]をクリックします。

  7. [Reset user passwords and force password change at next logon(ユーザーパスワードをリセットして次回ログイン時にパスワードの変更を強制する)]の横にあるチェックボックスを選択し、[Next(次へ)]をクリックします。

  8. [Finish(終了)]をクリックします。

Okta ADエージェントに保護されたアカウントのパスワードリセット権限を付与する

保護されたアカウントやドメイン管理者などの保護されたアカウントグループのメンバーについて、Okta Privileged Accessがアカウントのパスワードを管理する場合は、他の手順も実行して、保護されたアカウントのパスワードリセット権限がOkta ADエージェントに付与されていることを確認する必要があります。

保護されたアカウントのACLは1時間ごとに更新され、その際にはAdminSDHolderコンテナーのACL値がテンプレートとして使用されます。AdminSDHolderは、Active Directoryドメインのシステムコンテナーに含まれる特殊なオブジェクトコンテナーです。

このオブジェクトにACLを変更するには、値をドメインとOkta ADエージェントのサービスアカウント名に一致させて、以下のコマンドを実行します。

これらのコマンドは、ドメイン管理者グループのメンバーなど、AdminSDHolderコンテナーの変更権限を持つアカウントを使用して実行しなければなりません。そのためには、システムにドメイン管理者アカウントでログインしてコマンドプロンプト(CMD)を起動するか、RunAsを使用してドメイン管理者のユーザーアカウントでCMDを起動します。

パスワードリセット権限を構成する

以下のコマンドを実行して、Okta ADエージェントのサービスアカウントにパスワードリセット権限を付与します。

  • コマンド:dsacls "[AdminSDHolder]" /G "[account]:CA;Reset Password"

  • 例:dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=atko,DC=biz" /G "OktaService@corp.atko.biz:CA;Reset Password"

コマンドを実行した後で、追加のスイッチや引数を使用することなくでコマンドを実行すると、権限が適用されたことを確認できます。

パスワードリセット権限を確認する

保護されたアカウントのパスワードを管理することがOkta Privileged Access実装の要件である場合は、続行する前に以下の手順をすべて実行し、保護されたアカウントに権限が正しく適用されていることを確認してください。

  • コマンド:dsacls "[AdminSDHolder]"

  • 例:dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=atko,DC=biz"

  • 出力の例:Allow CORP\OktaService Reset Password

出力では、Okta ADエージェントのサービスアカウントにAdminSDHolderコンテナーに対するパスワードリセット権限が付与されていることがわかります。AdminSDHolderオブジェクトが更新されると、同期プロパティ(SDProp)によって、自動的にこれらの権限が1時間以内に保護されたアカウントに適用されます。即座に適用するには、SDPropを手動で実行する手順について、Active Directoryのドキュメントを参照してください。

関連項目

Active Directoryドメインをセットアップする

Active Directoryアカウントを管理する

Active Directoryアカウントルール

Active Directoryアカウント