認可
Office 365 Mailカードを初めてフローに追加すると、接続の構成が求められます。Oktaこれにより、Office 365 Mailアカウントへの接続、アカウント情報の保存、および将来のOffice 365 Mailフローでの接続の再利用が可能になります。
Office 365 Mail管理者アカウントまたはOffice 365 Mailユーザーアカウントを使って接続を作成できます。ただし、接続を初めて作成するときは、Office 365 Mail管理者アカウントを使用することをお勧めします。Okta
サポートされるスコープが有効であることを確認します。Office 365 Mailコネクターに関するガイダンスを参照してください。
アプリケーション
利便性のために、OktaはOffice 365 Mail OAuthアプリケーションを開発しました。
-
Office 365 Mail for Okta Workflows:Okta Workflows本番orgとの接続向け
-
Office 365 Mail for Okta Preview:Okta Workflows プレビューorgとの接続向け
Okta WorkflowsにOffice 365 Mail接続を作成すると、Oktaはこのアプリを自動的にサービスプリンシパルオブジェクトとしてAzureテナントに作成します。
Azureテナント内のオブジェクトは、Okta Azureテナントから登録済みアプリケーションオブジェクトを参照します。これらのサービスプリンシパルオブジェクトに追加の構成は必要ありません。
Office 365 GCC Highテナント
Okta for Government HighのOkta Workflowsがサポートするのは、Office 365 GCC Highテナントからのアカウントを使った接続のみです。
Office 365 Mail管理者アカウントを使って接続を作成する
-
新規接続(New Connection)をクリックします。
-
接続ニックネーム(Connection Nickname)を入力します。これは、チームで共有するために複数のOffice 365 Mail接続の作成を計画している場合に便利です。
-
作成(Create)をクリックします。
-
接続を承認するOffice 365 Mailアカウントにログインします。
-
次のいずれかのオプションを選択します。
-
管理者として、一般ユーザーが接続を作成するのは望ましくない(As an admin you don't want regular users to create connections)。承認(Accept)をクリックし、Organizationに代わって同意する(Consent on behalf of your organization)オプションが選択されていないことを確認します。
-
管理者として、レギュラーユーザーも接続を作成できることが望ましい(As an admin you want regular users also able to create connections)承認(Accept)をクリックし、Organizationに代わって同意する(Consent on behalf of your organization)オプションが選択されていることを確認します。組織内のすべてのユーザーアカウントは、各自の接続を作成できます。
-
Office 365 Mailユーザーアカウントを使って接続を作成する
-
新規接続(New Connection)をクリックします。
-
接続ニックネーム(Connection Nickname)を入力します。これは、チームで共有するために複数のOffice 365 Mail接続の作成を計画している場合に便利です。
-
作成(Create)をクリックします。
-
接続を承認するOffice 365 Mailアカウントにログインします。
-
次のいずれかのオプションを選択します。
-
直接要求された権限を承認できる(Can accept the permissions requested directly)このオプションを選択すると、管理者はこのOktaアプリについて、一般ユーザーが同意できるようにします。
-
管理者の承認が必要(Need admin approval)管理者に連絡してアプリへのアクセス権を付与するように依頼します。すべてのアプリへの同意またはテナント全体の管理者同意の付与を参照してください。
-
承認リクエストの送信が必要(Need to submit an approval request)このアプリをリクエストする正当性を指定のスペースに入力します。管理者の同意ワークフローの有効化を参照してください。
-
-
承認(Accept)をクリックします。
管理者のアプリ承認
通常、管理者はユーザーのアカウントにOktaアプリへのアクセス権を付与します。管理者がOrganizationに代わって同意する(Consent on behalf of your organization)オプションを選択し忘れたときは、接続の構成時に承認(Accept)をクリックします。認証ページは、同じ管理者アカウントを使っても表示されない場合があります。これは、Oktaアプリが接続を承認し、システムがそれを記憶しているために生じます。
次に、管理者が一般ユーザーのアカウントにOktaアプリへのアクセス権を付与する別の方法を示します。
すべてのアプリへの同意
選択された権限について、ユーザーがすべてのアプリ、または検証済みパブリッシャーからのアプリに同意できるようにします。グローバル管理者としてのみ権限を構成しますGlobal Admin 「ユーザーがアプリケーションに同意する方法の構成」を参照してください。
-
Azureポータルで、を選択します。
-
次のいずれかの権限オプションを選択します。
-
ユーザーによるアプリへの同意を許可する(Allow user consent for apps):これは、安全性が低いオプションです。
-
検証済みパブリッシャーからのアプリへのユーザーによる同意を許可する(Allow user consent for apps from verified publishers)これは、安全なオプションです。次の権限を低影響として構成します。
-
Mail.ReadWrite -
Mail.ReadWrite.Shared -
Mail.Send -
Mail.Send.Shared -
offline_access
-
-
-
エンタープライズアプリケーション(Enterprise applications)から管理者同意リクエスト(Admin consent requests)ページに移動し、確認してアクセス権を付与します。
テナント全体の管理者同意の付与
Oktaアプリのテナント全体の管理者同意は、自分の管理者アカウント(または別の管理者アカウント)によってOktaアプリが承認されている場合にのみ許可されます。「アプリケーションへのテナント全体の管理者同意の付与」を参照してください。
-
Azureポータルでに移動します。
-
次のいずれかのOktaアプリを選択します。
-
Office 365 Mail for Okta Workflows
-
Office 365 Mail for Okta Preview
-
-
を選択します。org内のすべての一般ユーザーアカウントには、Oktaアプリへの同意権限が付与されます。
管理者の同意ワークフローの有効化
管理者同意を必要とするアプリへのアクセス権を一般ユーザーが要求できるようにします。ユーザーは、管理者がリクエストを承認するまで接続を作成できません。Global Adminとしてのみ権限を構成します。「管理者同意ワークフローの構成」を参照してください。
-
Azureポータルでを選択します。
-
を選択します。
-
の下で、はい(Yes)を選択します。「管理者同意ワークフローの構成」を参照してください。
-
エンタープライズアプリケーション(Enterprise applications)から管理者同意リクエスト(Admin consent requests)ページに移動し、確認してアクセス権を付与します。
ユーザーによる接続の作成を禁止する
エンタープライズアプリ内のOktaアプリを削除してから承認し直すことで、過去に付与された管理者同意を削除します。アプリを削除すると、テナント全体の管理者同意が取り消されます。個々のユーザー同意の取り消しは許可されません。
既存のすべての接続は、1時間後に動作を停止します。過去に構成した、アクティブ状態の維持が望ましい管理者接続については、手動で再認可し、同意プロセスを使って接続失敗を回避します。
-
Azureポータルでを選択します。
-
次のいずれかのOktaアプリを選択します。
-
Office 365 Mail for Okta Workflows
-
Office 365 Mail for Okta Preview
-
-
削除(Delete)を選択します。
過去に付与された管理者同意が取り消されます。一般ユーザーは、管理者同意が付与されるまで接続を作成できなくなります。
接続の再認可
自分のアカウントを使って接続を正常に作成したときは、そのアカウントを使って複数の接続を作成できます。
すでに接続を作成済みの場合、管理者が構成を変更していなければ、その接続を再承認できます。