旧称Azure Active Directory(Microsoft Entra ID)にOkta MFAを使用する

Okta多要素認証(MFA)を使用して、WS-Federation Office 365アプリ向けのMicrosoft Entra ID MFAの要件を満たすことができます。次の場合はOkta MFAを使用します。

  • Oktaと連携認証されたドメインのMicrosoft Entra ID条件付きアクセスで要求されるMFA要件をOktaで処理する。
  • OktaとMicrosoft両方のMFAに単一ソリューションを使用できるように、ユーザーをWindows Hello for Businessに登録する。

Oktaシングルサインオン(SSO)は、WS-Federationのwauthパラメーターに対応しており、このパラメーターはサインイン試行に必要な認証レベルを定義します。これにより、すべてのユーザーにMFAを強制することを避け、必要な場合に限り、追加認証を必須にすることができます。wauthリクエストがあり、ユーザーがAuthenticatorを1つしか登録していない場合、Oktaはユーザーに別のAuthenticatorを登録するように要求します。

開始する前の確認事項

開始する前に、次の前提条件が満たされていることを確認します。

  1. Identity Engine orgを使用している。
  2. Okta orgでOffice 365アプリが構成されている。Microsoft Office 365を参照してください。
  3. Okta orgで複数のAuthenticatorが構成されている。多要素認証を参照してください。
  4. ユーザーが複数のAuthenticatorに登録されている。「Authenticator登録ポリシー」を参照してください。
  5. MFAがMicrosoft Entra IDインスタンスで構成されている。「Microsoft Entra多要素認証の設定の構成」を参照してください。

この手順を開始する

Okta MFAのサポートを有効にするには、Office 365ドメインの連携認証設定を変更します。次のいずれかの手順を完了します。

手動で連携認証されたドメインの場合

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. WS-Federation Office 365アプリを開きます。
  3. サインオン(Sign On) > サインオン方法(Sign On Methods) > WS-Federation > 設定手順を表示(View Setup Instructions)をクリックします。Office 365 WS-Federationの設定方法(How to Configure Office 365 WS-Federation)ページが開きます。
  4. ドメインがすでに連携認証されている場合(If your domain is already federated)セクションに移動します。
  5. 環境に応じて、以下のいずれかのPowerShellコマンドを実行します。
    • 手動で連携認証されたドメイン:SupportsMfa値がTrue: Connect-MsolService Get-MsolDomainFederationSettings -DomainName <yourDomainName>であることを確認します。
    • 手動で連携認証されたドメイン(Microsoft Graphモジュール):FederatedIdpMfaBehavior値がenforceMfaByFederatedIdp: Connect-MgGraph -Scopes Directory.AccessAsUser.All Get-MgDomainFederationConfiguration -DomainId <yourDomainName> | Select -Property FederatedIdpMfaBehaviorであることを確認します。
  6. Microsoft Entra ID からのOkta MFAフォーム(Okta MFA from )オプションでこのアプリケーションに対して有効にする(Enable for this application)を選択します。
  7. 保存(Save)をクリックします。

結果の例:MSOnline

ActiveLogOnUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : issueruri
LogOffUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
SupportsMfa : True

結果の例:Microsoft Graph

ActiveSignInUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : https://issueruri
SignOutUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
FederatedIdpMfaBehavior: enforceMfaByFederatedIdp

自動的に連携認証されたドメイン

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. WS-Federation Office 365アプリを開きます。
  3. サインオン(Sign On) > 編集(Edit)をクリックします。
  4. からのOkta MFAフォーム(Okta MFA from )Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。) オプションでこのアプリケーションに対して有効にする(Enable for this application)を選択します。
  5. 保存(Save)をクリックします。

結果の例:MSOnline

ActiveLogOnUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : issueruri
LogOffUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
SupportsMfa : True

結果の例:Microsoft Graph

ActiveLogOnUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/active
FederationBrandName : Okta
IssuerUri : issueruri
SignOutUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/signout
MetadataExchangeUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/mex
PassiveLogOnUri : https://example.asqula.com/app/office365/issueruri/sso/wsfed/passive
SigningCertificate : <SigningCertificate>
FederatedIdpMfaBehavior: enforceMfaByFederatedIdp

この機能を無効にする

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. WS-Federation Office 365アプリを開きます。
  3. サインオン(Sign On) > 編集(Edit)をクリックします。
  4. Microsoft Entra IDからのOkta MFA(Okta MFA from Microsoft Entra ID)(Okta MFA from Azure AD)オプションでこのアプリケーションに対して有効にする(Enable for this application)オプションの選択をクリアします。
  5. 環境に応じて、以下のいずれかのPowerShellコマンドを実行します。
    • Azure ADのOkta MFAを無効にする(MSOnline):Oktaでこの機能が有効になっている、自動的に連携認証されたすべてのドメインについて、SupportsMfa設定がfalseであることを確認します。

      Set-MsolDomainFederationSettings -DomainName <targetDomainName> -SupportsMfa $false

    • Microsoft Entra IDのOkta MFAを無効にする(Microsoft Graph):Oktaでこの機能が有効になっている、自動的に連携認証されたすべてのドメインについて、FederatedIdpMfaBehavior設定がenforceMfaByFederatedIdpであることを確認します。

      Update-MgDomainFederationConfiguration -DomainId <DomainName> -InternalDomainFederationId (Get-MgDomainFederationConfiguration -DomainId <DomainName> | Select -Property Id).id -FederatedIdpMfaBehavior enforceMfaByFederatedIdp

  6. 保存(Save)をクリックします。

関連項目

Office 365サインオンルールのオプション

Windows Hello for Businessデプロイを計画する(Microsoftドキュメント)