この記事では、Microsoftアプリケーションの必須のMFA要件に関するよくある質問への回答を示します。
目次
何が変わるのですか?
この変更はOktaとMicrosoftの統合にどのような影響を与えますか?
この変更を軽減するためにOktaは何をしていますか?
これらのアップグレードされた統合を活用するために何かアクションを実行する必要がありますか?
これらの変更にはどのくらいの期間が必要ですか?
Oktaを使用してSSOを行いたいO365管理者がいます。MicrosoftはこれらのユーザーにMFAを義務付けていますが、Oktaはこのシナリオをどのようにサポートしますか?
Microsoft管理者であり、OktaによってフェデレーションされているユーザーにのみMFAを適用できますか?
Office 365向けのOktaのアプリ保証ポリシーの代わりにAzure条件付きアクセスポリシーを利用して、Office 365内の特定のアプリケーションにのみMFAを適用できますか?
エンドユーザーの特定のOffice 365アプリケーションにのみMFAを要求するAzure条件付きアクセスポリシーがありますが、Okta上のOffice 365にはMFAポリシーがありません。Oktaでこの機能を実現するには、どうすればよいですか?
Azure条件付きアクセスポリシーをカスタマイズして、Office 365の特定のアプリケーションにサインインしようとするときに特定のAuthenticatorを要求できますか?
OktaのOffice 365アプリのMFAをまだロールアウトしていません。10月15日のMSFTの適用の影響を受けますか?
この変更を実装する準備ができていません。延期を申請できますか?
SSO用に構成されたAzure管理者アカウントまたはOktaを使用したOffice 365によるプロビジョニングに対してMFAを有効にできますか?
PowerShell構成で手動を使用するOffice 365アプリがあります。どうすればよいですか?
この2つの変更で想定されるダウンタイムはどれくらいですか?
サードパーティのMFAプロバイダーは、Microsoftの外部認証を介してAzure ADと統合できるようになります。
認証ログにAzure Active Directory PowerShellが依然表示されるのはなぜですか?
何が変わるのですか?
Microsoftは、Azureエコシステムにサインインするすべての管理者に多要素認証を要求します。この変更は2段階で行われます。
-
フェーズ1: 10月15日以降、Azureポータル のみのサインイン時のMFA適用が、すべてのテナントに段階的にロールアウトされます。このフェーズでは、Azure CLI、Azure PowerShell、IaCのツールなど、ほかのAzureクライアントには影響を与えません。
-
フェーズ2: 2025年半ばより、Azureコマンドラインインターフェイス(CLI)、Azure PowerShell、Infrastructure as Code(IaC)のツールのサインイン時のMFAの適用が、すべてのテナントに段階的にロールアウトされます。
この変更はOktaとMicrosoftの統合にどのような影響を与えますか?
Oktaではこれまで、シングルサインオン(WSFed Auto)とプロビジョニングの統合を設定するためにAzure管理者アカウントが必要でした。これにより、お客様はユーザー、ロール、ライセンスを管理できます。フェーズ1では影響はないと予想されますが、Microsoftが2025年初頭にフェーズ2の適用を開始すると、シングルサインオンとプロビジョニングの統合が影響を受けると予想されます。
この変更を軽減するためにOktaは何をしていますか?
シングルサインオンが2024年9月17日、プロビジョニングが2024年9月24日から開始されると、OktaではAzure管理者アカウントが不要になり、Microsoft Graphフレームワークを活用した最新かつ安全なOAuthベースのフローが導入されます。このアップグレードされた統合を利用することで、より安全になり、AzureへのMFAの適用がお客様に影響を与えないことが保証されるため、このアップグレードされた統合を利用することを強くお勧めします。
これらのアップグレードされた統合を活用するために何かアクションを実行する必要がありますか?
はい。アップグレードされた統合を活用するには、Okta管理者がOktaでOffice 365アプリを変更する必要があります。
-
シングルサインオン(WS-Fed Auto)の場合:OktaのOffice 365アプリをWS-Fed Auto構成で構成しているお客様は、こちらのステップバイステップガイドに従ってください。
-
プロビジョニングの場合:Office 365のプロビジョニング(プロファイル同期、ライセンスとロールの管理、ユーザー同期、Universal Syncを含む)を構成済みのお客様は、こちらのステップバイステップガイドに従ってください。
これらの変更にはどのくらいの期間が必要ですか?
Microsoftは、2025年初頭までにAzure Powershell、Azure CLI、Infrastructure as Code(IaC)にMFAの適用を開始することを示しました。ただし、Microsoftは明確な日付を指定していません。プロアクティブにお客様を保護するため、Oktaでは、すべてのお客様が同意し、2024年12月31日までにアップグレードされた統合を活用することをお願いしています。
Oktaを使用してSSOを行いたいO365管理者がいます。MicrosoftはこれらのユーザーにMFAを義務付けていますが、Oktaはこのシナリオをどのようにサポートしますか?
現時点では、Microsoftでは、Azureポータル、Microsoft Entra管理センター、Microsoft Intune管理センターなどの管理センターへのログインにのみMFAを義務付けています。ほかのMicrosoftアプリへのログインにMFAは義務付けられていません。ユーザーが管理センターにログインしようとする場合は、MFAを実行する必要があります。Oktaでは現在、「Azure ADにOkta MFAを使用する」機能がサポートされています。これにより、Okta MFAを使用してMicrosoftのMFA要件を満たすことができます。このドキュメントに従って有効にしてください。管理者ユーザーだけでなく、すべてのユーザーに対してMFAを有効にすることを強くお勧めします。
Microsoft管理者であり、OktaによってフェデレーションされているユーザーにのみMFAを適用できますか?
はい。お客様は、管理者のみを対象とするグループを作成し、その管理者に対してMFAを有効にすることができます。ただし、すべてのユーザーに対してMFAを有効にすることを強くお勧めします。
Office 365向けのOktaのアプリ保証ポリシーの代わりにAzure条件付きアクセスポリシーを利用して、Office 365内の特定のアプリケーションにのみMFAを適用できますか?
はい。Oktaのアプリ保証ポリシーにOffice 365へのサインイン時にMFAが要求されていなくても、Oktaは、Azureポータル、Microsoft Entra管理センター、Microsoft Intune管理センターなどのAzure管理センターにサインインしようとすると、管理者向けのAzureのMFA要件を満たすことができます。さらに、Oktaは、お客様がIntuneなどの特定のAzureサービスにログインするときにMFAを要求するようにAzure条件付きアクセスポリシーを構成できるシナリオをサポートして、OktaのMFAソリューションを活用してAzureのMFAサービスにアクセスするシームレスな方法を提供します。
エンドユーザーの特定のOffice 365アプリケーションにのみMFAを要求するAzure条件付きアクセスポリシーがありますが、Okta上のOffice 365にはMFAポリシーがありません。Oktaでこの機能を実現するには、どうすればよいですか?
Oktaでは、「Azure ADにOkta MFAを使用する」機能を使用したAzureに対するMFAのクレームの送信がすでにサポートされています。ただし、2024年9月24日以降、お客様はAzure条件付きアクセスポリシーを利用して、Oktaのアプリ保証ポリシーにMFAがなくても、特定のOffice 365アプリケーションにのみMFAを要求し、必要に応じてOkta MFAを動的に求めることができます。これを実現するには、セルフサービスEAで利用できるようになるOffice 365のステップアップ認証機能も有効にする必要があります。この機能を有効にするには、[設定]→[Features (機能)]→ {Office 365のステップアップ認証}に移動します。
注:この機能はOIE orgでのみ利用可能であり、Classicでは利用できません。
Azure条件付きアクセスポリシーをカスタマイズして、Office 365の特定のアプリケーションにサインインしようとするときに特定のAuthenticatorを要求できますか?
現在、Azure条件付きアクセスポリシーで要求される特定のMFA要素を満たすサポートは行われていません。これはロードマップで計画されています。
OktaのOffice 365アプリのMFAをまだロールアウトしていません。10月15日のMSFTの適用の影響を受けますか?
いいえ、影響を受けません。管理者が10月15日までにOkta MFAに登録されている場合は、OktaのOffice 365向けアプリ保証ポリシーでMFAが必要とされていなくても、Azureポータル、Microsoft Entra管理センター、Microsoft Intune管理センターなどのAzureの管理センターにサインインしようとするOffice 365管理者はMFAを求められます。
この変更を実装する準備ができていません。延期を申請できますか?
Microsoftは、このリンクを使用して延期を申請できると定めています。ただし、現時点では、Oktaは延期を提供する予定はなく、2024年12月31日までにアップグレードされた統合を活用するようにお客様に求めています。
SSO用に構成されたAzure管理者アカウントまたはOktaを使用したOffice 365によるプロビジョニングに対してMFAを有効にできますか?
Azureポータルにログインしようとするときにこれらの管理者ユーザーにMFAを適用する前に、更新された統合を活用してSSOとプロビジョニングの統合から管理者アカウントを削除することを強くお勧めします。
PowerShell構成で手動を使用するOffice 365アプリがあります。どうすればよいですか?
今年の初めに、MSOLコマンドレット(Connect-MSOlService)を利用して手動でフェデレーションするお客様向けのガイダンスを提供しました。MS Graphへの移行については、この記事に従ってください。新しいMS Graphコマンドレット(Connect-MgGraph)でWSFedアプリを使用しているお客様に今すぐ必要なアクションはありません。
この2つの変更で想定されるダウンタイムはどれくらいですか?
このアップグレードされた統合を利用することに同意する際にダウンタイムが発生することは想定されていません。ただし、影響を軽減するため、この変更は週末など営業時間外に行うことを強くお勧めします。
サードパーティのMFAプロバイダーは、Microsoftの外部認証方法(EAM)を介してAzure ADと統合できるようになります。EAMはこの変更と何か関係がありますか?
いいえ。EAMは、シングルサインオンのためにOktaとフェデレーションしていないOrganization専用です。SSOおよびプロビジョニング用の管理者アカウントを削除する場合、EAMは必要ありません。
認証ログにAzure Active Directory PowerShellが依然表示されるのはなぜですか?
OktaはAADへの接続にPowerShellエンドポイントを使用しません。Oktaは最新のMS Graphエンドポイントを使用しますが、リクエストで送信されるclient-appIdはPowerShell用です。そのため、監査ログには「Azure AD Powershell」と表示されます。
これは外観上の変更であり、どの機能にも影響しません。認証リクエストは引き続き機能します。
