ハイブリッドAzure AD参加を統合するための前提条件
ハイブリッドAzure AD参加をOktaと統合するには、次の前提条件を満たす必要があります。これらの前提条件は、次の2つのカテゴリーに分けられます。
Microsoft環境の前提条件
-
Windows Server 2016以降。
-
次の機能をすべてまとめてホストする、同じドメイン内の1つ以上のサーバー。
- ドメインコントローラー。
- Active Directory。
- Active Directory用のIntune Connector。Intune Connectorは、ローカルドメイン上のAzureからハイブリッド参加するマシンの作成を容易にするために、Azureからインストールされるローカルサービスです。
- インターネット経由でアクセスできるDNSサーバーまたはサービス。これにより、オフプレミスのクライアントマシンがローカルドメインを解決してそこにクライアントを登録できるようになります。
- グループポリシーオブジェクト(GPO)。GPOは、ユーザーアカウントとユーザーアクティビティを制御するためにMicrosoftシステムのリソースとして使用できるグループポリシーのコンポーネントです。Oktaでは、GPOを使用してオンプレミスのWindows 10クライアントでレジストリエントリが設定されます。これにより、AAD ConnectはそれらのクライアントをAzure ADに同期できます。
Kerberosエンドポイントには、エージェントレスまたは統合Windows認証(IWA)が必要です。
-
Azure Active Directory (AAD)
- プレミアムプラン1または2のAADテナント
- AAD Connect :AAD ConnectはオンプレミスのActive DirectoryとAzure ADの間のギャップを埋める同期エージェントです。環境間でコンピューターオブジェクトを同期します。
-
Microsoft 365のドメインとライセンス
- フェデレーションで使用する登録済みのMicrosoft 365ドメイン
- AADおよびMDMサービス付きのMicrosoft 365ライセンス:Azure AD、Windows Autopilot、Microsoft Intuneなどのモバイルデバイス管理(MDM)ソリューションへのアクセスを提供するMicrosoftライセンス。そのようなライセンスの一部を以下に示します。
- Microsoft 365 Business
- Microsoft 365 F3
- Microsoft 365 E3 or E5
Microsoft 365 A3またはA5
- Enterprise MobilityおよびSecurity E3またはE5
推奨されるアドオン
-
Windows Autopilot
MicrosoftのWindows Autopilotを使用すると、デバイスに触れることなく、Windowsデバイスのセットアップ、リセット、復旧、再利用を行うことができます。エンドユーザーとIT管理者の労力は最小限に抑えられます。「Windows Autopilotのドキュメント」(Microsoftのドキュメント)を参照してください。
- モバイルデバイス管理(MDM)ソリューション
複数のMDMソリューションから選択できます。一般的に使用されるMDMソリューションをいくつか紹介します。
- Microsoft Intune:Microsoft Intuneは、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)のためのクラウドベースのサービスです。IntuneをAzure Active Directory(Azure AD)と統合して、Microsoftリソースにアクセスできるユーザーと範囲を制御できます。「Microsoft Intuneの基礎 」(Microsoftドキュメント)を参照してください。
- VMware Workspace ONE(Airwatchを含む):VMware Workspace ONEは、リモートデバイスでアプリを安全に配信および管理できるようにするデジタルワークスペースプラットフォームです。「 VMware Workspace ONEのドキュメント」(VMwareドキュメント)を参照してください。
-
Windows 10クライアント
Windows 10クライアントバージョン1803以降。テストの目的で、ドメインに参加していないデバイスを使用することをお勧めします。
Okta環境の前提条件
-
オンプレミスActive DirectoryをOktaと統合します。
AD Agentの構成とユーザーとグループのインポートについては、「Active Directory統合」ガイドを参照してください。新しい統合の場合は、適切なユーザーとグループがインポートされ、Okta内に確定されていることを確認してください。
-
Azure ADテナントをOktaと統合します。
OktaでMicrosoft Office 365アプリを使用して、Azure ADテナントをOktaと統合します。「OktaにMicrosoft Office 365をデプロイするための一般的なワークフロー」を参照してください。
統合時には次のオプションを使用します。
-
シングルサインオンの構成時に、WS-Federation(自動または手動)の方法を選択します。
-
プロビジョニングにOktaを使用している場合は、[Provisioning Type(プロビジョニングタイプ)]を[Licenses/Role Management Only(ライセンス/ロールの管理のみ)]または[Profile Sync(プロファイルの同期)]に設定します。ほかのオプション([ユーザー同期]と[ユニバーサル同期])は、ハイブリッドのセットアップに必要なAzure AD Connectと互換性がありません。
-
プロビジョニング中にプロファイルマッピングを構成する際に、ユーザーがデバイスへのサインインに使用するユーザー名と一致するように[Application Username format(アプリケーションユーザー名のフォーマット)]フィールドを設定します。通常、これはAzure ADユーザープリンシパル名です。
-