Okta × Entra IDのライセンス管理設定
Okta を導入されている企業では Microsoft 365 Apps for business などのライセンスを利用するために、Entra テナントを立ち上げて Okta とのフェデレーションを構成している企業様もいらっしゃるかと思います。
この場合、前述の Microsoft 365 Apps for business のようなライセンスの管理及び付与をどのように行っていくのかいくつかの方法がありますが、今回は Okta のグループを用いた管理方法をご紹介します。
本記事の3行まとめ
- OktaからEntraのライセンス管理は複雑となりがちです
- Profile Editorの設定変更で解決可能です
- グループプッシュでの対応は避けたほうがよいです
Okta から Entra のライセンスを管理する際に困るところ
Okta からユーザーに対して Entra のライセンスを付与する場合、下のような画面から必要なライセンスを選ぶ必要があります。
ユーザーに対してライセンスを付与しようとする度に、この画面から1つ1つチェックを入れるのは大変なので、ほとんどの方は下の画像のように専用のグループを作成し、グループにアサインするだけでライセンスを付与されるようにしよう。と考えるかと思います。
上の画像では
Microsoft365_License_Microsoft365 Apps for Business というグループを作成し、Microsoft 365 Apps for Business が必要なユーザーにはMicrosoft365_License_Microsoft365 Apps for Business に対してアサインすればライセンスが適用されるようにした例です。しかしこの場合、同じユーザーに対して追加でTeamsのライセンスを付与したい際は問題が発生してしまいます。
これまでと同じように、
Microsoft365_License_Microsoft Teams Essentials というグループを作成し、ユーザーをアサインすればよいと考えてしまうかもしれませんが、Okta のグループの割り当てには優先順位(Proority)という概念が存在し、Priority の数字が低いグループの設定が優先されます。とあるユーザーAに対して Microsoft 365 Apps for Business とMicrosoft Teams Essentials を割り当てたい場合、どちらのグループにもユーザーAを所属させることになるかと思います。 しかしデフォルトの設定の場合、Priority:1 のグループ設定が優先されてしまい、Microsoft 365 Apps for Business のライセンスだけしか付与されない状態となってしまいます。
Priority | グループ名 |
|---|---|
1 | Microsoft365_License_Microsoft365 Apps for Business |
2 | Microsoft365_License_Microsoft Teams Essentials |
デフォルトの設定のまま凌ぐ場合
Priority:1 に Microsoft365 Apps for Business + Microsoft Teams Essentials を付与できるグループを作成してしまえば良いという考えになりがちですが、この運用では今後ライセンスの種類が増えた場合にライセンスの組み合わせのグループが増えてしまい管理に困ることになります。
また、この付与方法はライセンスだけではなくロールも適用されてしまうので、ライセンス+ロールのグループも作成する必要がでてきます。
例を挙げると、Microsoft365 Apps for Business + Teams Administrator のようなグループも作ることになってしまい、その結果グループ管理が煩雑になってしまいます。
解決方法
この問題に対する解決方法は、各グループの設定を合算する機能を利用することです。 Okta はアサインされた各グループの設定を合算する設定が存在し、以下の流れで設定可能です。
Okta Admin Console > Profile Editorで Microsoft Office 365 User を開きます。
Licenses の右側にあるインフォメーションボタンを押します。
Group Priority がデフォルトでは Use Group Priority となっていますが、Combine values across groups に変更し、Save Attribute を押します。
上記の設定を Roles にも行います。
設定後の画面
Okta のアサイン画面は変わりませんが、今回の設定変更によりユーザーAが下の全てのグループにアサインされていたとしても、
Microsoft365 Apps for BusinessとMicrosoft Teams Essentialsのライセンスが付与され、Teams Administrator のロールを持つユーザーとなります。 
余談:Entra ID側のグループでライセンスを管理できないか?
ここでお気づきの方は「Okta から Entra ID にグループをプッシュし、Entra ID 側に作成されたグループに対してライセンスを付与すれば良いのではないか?」と考えられるかもしれませんが、Entra ID の仕様上それは避けた方が良いと思われます。
Okta のヘルプセンターにこれに関する情報があり「Entra アカウントが Entra のセキュリティグループから継承されたライセンスの付与を受けている場合、Okta からのプロファイルやライセンス変更の API POST を弾く仕様となっている」とのことです。
Entra ID のグループからライセンスを継承されているユーザに対して API POST すると 404エラーとなってしまいます。
このため、Okta 公式によると「ライセンスの付与は Okta 側で制御することが望ましい」というニュアンスの回答をしていることから Entra ID のグループでライセンスを付与することは避けた方が良いと思われます。
最後に
ZUNDAでは、社内 IT 環境のクラウド化をサポートしており Okta や Entra IDについてもライセンス販売から構築支援まで幅広く扱っております。
Oktaの構築にお困りでしたら、ぜひお問合せください。