Share via

Microsoft Intuneで macOS デバイスのプラットフォーム SSO を構成する

  • [アーティクル]

macOS デバイスでは、パスワードレス認証、Microsoft Entra ユーザー アカウント、またはスマート カードを使用してシングル サインオン (SSO) を有効にするようにプラットフォーム SSO を構成できます。 プラットフォーム SSO は、 Microsoft Enterprise SSO プラグインSSO アプリ拡張機能の機能強化です。 プラットフォーム SSO では、Microsoft Entra ユーザー アカウントと Touch ID を使用して、マネージド Mac デバイスにユーザーをサインインさせることができます。

この記事は、次の項目に適用されます:

  • macOS

Microsoft Enterprise SSO プラグイン Microsoft Entraには、プラットフォーム SSOSSO アプリ拡張機能という 2 つの SSO 機能が含まれています。 この記事では、macOS デバイス用のプラットフォーム SSO の構成に焦点を当てます。

プラットフォーム SSO には、次のような利点があります。

  • SSO アプリ拡張機能が含まれています。 SSO アプリ拡張機能は個別に構成しません。
  • Mac デバイスにハードウェアバインドされたフィッシング耐性の資格情報を使用してパスワードレスに移行します。
  • サインイン エクスペリエンスは、ユーザーがWindows Hello for Businessと同様に、職場または学校アカウントを使用して Windows デバイスにサインインする場合と似ています。
  • ユーザーがMicrosoft Entra資格情報を入力する必要がある回数を最小限に抑えるのに役立ちます。
  • ユーザーが覚えておく必要があるパスワードの数を減らすのに役立ちます。
  • Microsoft Entra ID参加の利点を得ることができます。これにより、organizationユーザーはデバイスにサインインできます。
  • すべてのMicrosoft Intuneライセンス プランに含まれます。

プラットフォーム SSO では、Microsoft Intune設定カタログを使用してポリシーを構成します。 ポリシーの準備ができたら、ポリシーをユーザーに割り当てます。 ユーザーがデバイスをIntuneに登録するときに、ポリシーを割り当てることをお勧めします。 ただし、既存のデバイスを含め、いつでも割り当てることができます。

この記事では、Intuneで macOS デバイスのプラットフォーム SSO を構成する方法について説明します。

前提条件

  • デバイスは macOS 13.0 以降のデバイスである必要があります。

  • Microsoft Intune ポータル サイト アプリ バージョン 5.2404.0 以降が必要です。 このバージョンには、プラットフォーム SSO が含まれています。

    このアプリをIntuneに追加し、いつでもデプロイできます。

  • サポートされている Web ブラウザーは次のとおりです。

    • Microsoft Edge

    • Google Chrome

      プラットフォーム SSO では、Microsoft シングル サインオン 拡張機能をインストールして有効にする必要があります。 アプリをIntuneに追加し、Google Chrome を使用するデバイスに割り当てることができます。 詳細については、次を参照してください:

    • Safari

      Mac デバイスが Microsoft Entra テナントに参加すると、デバイスは、ハードウェアにバインドされ、Microsoft Enterprise SSO プラグインでのみアクセスできる職場参加 (WPJ) 証明書を取得します。 条件付きアクセスを使用して保護されたリソースにアクセスするには、アプリと Web ブラウザーにこの WPJ 証明書が必要です。 プラットフォーム SSO が構成されている場合、SSO アプリ拡張機能は、Microsoft Entra ID認証と条件付きアクセスのブローカーとして機能します。

    これらのブラウザーはブローカー対応であり、Microsoft Entra ID認証または条件付きアクセスチェックの SSO アプリ拡張機能にリダイレクトできます。

  • Intune ポリシーを作成するには、少なくとも、ポリシーとプロファイル マネージャー Intune RBAC ロールを持つアカウントでサインインします。 Intuneの RBAC ロールの詳細については、「ロールベースのアクセス制御 (RBAC) with Microsoft Intune」を参照してください。

手順 1 - 認証方法を決定する

Intuneでプラットフォーム SSO ポリシーを作成する場合は、使用する認証方法を決定する必要があります。

プラットフォーム SSO ポリシーと、使用する認証方法によって、ユーザーがデバイスにサインインする方法が変更されます。

  • プラットフォーム SSO を構成すると、ユーザーは構成した認証方法を使用して macOS デバイスにサインインします。
  • プラットフォーム SSO を使用しない場合、ユーザーはローカル アカウントを使用して macOS デバイスにサインインします。 その後、Microsoft Entra IDを使用してアプリや Web サイトにサインインします。

この手順の情報を使用して、認証方法の違いと、それらがユーザーのサインイン エクスペリエンスにどのように影響するかを学習します。

認証オプション:

  • Secure Enclave (UserSecureEnclaveKey): Secure Enclave 認証方法でプラットフォーム SSO を構成すると、SSO プラグインはハードウェアバインド暗号化キーを使用します。 アプリや Web サイトに対するユーザーの認証には、Microsoft Entra ユーザー アカウントは使用されません。

    Microsoft では、プラットフォーム SSO を構成するときに、認証方法として Secure Enclave を使用することをお勧めします。

    セキュリティで保護されたエンクレーブ:

    • パスワードレスと見なされ、フィッシング耐性多要素 (MFA) 要件を満たしています。 概念的にはWindows Hello for Businessに似ています。 条件付きアクセスなど、Windows Hello for Businessと同じ機能を使用することもできます。

    • ローカル アカウントのユーザー名とパスワードをそのままにします。 これらの値は変更されません。

      この動作は、ロック解除キーとしてローカル パスワードを使用する Apple の FileVault ディスク暗号化が原因で設計されています。

    • デバイスの再起動後、ユーザーはローカル アカウントのパスワードを入力する必要があります。 この初期マシンのロック解除後、Touch ID を使用してデバイスのロックを解除できます。

    • ロック解除後、デバイスはデバイス全体の SSO 用のハードウェアでサポートされるプライマリ更新トークン (PRT) を取得します。

    • Web ブラウザーでは、この PRT キーを WebAuthN API を使用してパスキーとして使用できます。

    • そのセットアップは、MFA 認証用の認証アプリまたは Microsoft Temporary Access Pass (TAP) でブートストラップできます。

    • Microsoft Entra IDパスキーの作成と使用を有効にします。

  • パスワード: パスワード認証方法でプラットフォーム SSO を構成すると、ユーザーはローカル アカウントのパスワードではなく、Microsoft Entra ID ユーザー アカウントを使用してデバイスにサインインします。

    パスワード認証方法:

    • Microsoft Entraパスワードは、ローカル アカウントのパスワードを置き換え、パスワードを同期したままにします。

      ローカル アカウント コンピューターのパスワードがデバイスから完全に削除されることはありません。 この動作は、ロック解除キーとしてローカル パスワードを使用する Apple の FileVault ディスク暗号化が原因で設計されています。

    • ローカル アカウントのユーザー名は変更されておらず、そのままです。

    • エンド ユーザーは Touch ID を使用してデバイスにサインインできます。

    • ユーザーと管理者が覚えて管理するパスワードが少なくなります。

    • ユーザーは、デバイスの再起動後にMicrosoft Entraパスワードを入力する必要があります。 この最初のマシンのロック解除後、タッチ ID はデバイスのロックを解除できます。

    • ロック解除後、デバイスは、MICROSOFT ENTRA SSO のハードウェア バインドプライマリ更新トークン (PRT) 資格情報を取得します。

  • スマート カード: Smart カード 認証方法でプラットフォーム SSO を構成すると、ユーザーはスマート カード証明書と関連する PIN を使用してデバイスにサインインし、アプリや Web サイトに対して認証できます。

    このオプション:

    • パスワードレスと見なされます。
    • ローカル アカウントのユーザー名とパスワードをそのままにします。 これらの値は変更されません。

    詳細については、「iOS と macOS で証明書ベースの認証をMicrosoft Entraする」を参照してください。

手順 2 - Intuneでプラットフォーム SSO ポリシーをCreateする

プラットフォーム SSO ポリシーを構成するには、次の手順に従って、Intune設定カタログ ポリシーを作成します。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス>の構成Create>>新しいポリシー] を選択します。

  3. 次のプロパティを入力します。

    • プラットフォーム: macOS を選択します。
    • プロファイルの種類: [設定カタログ] を選択します

  4. [作成] を選択します。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、ポリシーに macOS - プラットフォーム SSO という名前を付けます
    • [説明]: ポリシーの説明を入力します。 この設定は省略可能ですが、推奨されます。

  6. [次へ] を選択します。

  7. [構成設定] で、[追加の追加] を選択します。 設定ピッカーで [認証] を展開し、[拡張可能なシングル サインオン (SSO)] を選択します。

    [設定カタログの設定] ピッカーを示すスクリーンショット。Microsoft Intuneで認証と拡張可能な SSO カテゴリを選択しています。

    一覧で、次の設定を選択します。

    • 認証方法 (非推奨) (macOS 13 のみ)
    • 拡張機能識別子
    • [プラットフォーム SSO] を展開します。
      • 認証方法の選択 (macOS 14 以降)
      • [共有デバイス キーを使用する] を選択します
    • 登録トークン
    • 画面ロック動作
    • Team 識別子
    • Url

    設定ピッカーを閉じます。

    ヒント

    ポリシーで構成できるオプションのプラットフォーム SSO 設定があります。 一覧については、 構成できるその他のプラットフォーム SSO 設定 (この記事内) に移動します。

  8. 次の必須設定を構成します。

    • URL: 次の URL プレフィックスの配列を入力します。 これらの URL プレフィックスは、SSO アプリ拡張機能を実行する ID プロバイダーです。 URL は リダイレクト ペイロードに必要であり、 資格情報 ペイロードでは無視されます。

      • https://login.microsoftonline.com
      • https://login.microsoft.com
      • https://sts.windows.net
      • https://login.partner.microsoftonline.cn
      • https://login.chinacloudapi.cn
      • https://login.microsoftonline.us
      • https://login-us.microsoftonline.com

      URL を機能させるには、次の要件を満たす必要があります。

      • URL は、 または https://http://始まる必要があります。
      • スキームとホスト名は一致する必要があり、大文字と小文字は区別されません。
      • クエリ パラメーターと URL フラグメントは許可されません。
      • インストールされているすべての拡張 SSO ペイロードの URL は一意である必要があります。

      注:

      これらの URL は、Microsoft Enterprise SSO プラグインで必要です。 詳細については、 Apple デバイス用の Microsoft Enterprise SSO プラグインに関するページを参照してください。

    • チーム識別子: エンタープライズ SSO プラグイン アプリ拡張機能のチーム識別子である を入力 UBF8T346G9します。

    • 画面ロック動作: [ ハンドルしない] を選択します。 [ハンドル不可] に設定すると、要求は SSO なしで続行されます。

    • 登録トークン: プラットフォーム SSO での登録にデバイスが使用するトークンを入力します。 このトークンは、ID プロバイダーに自動的に登録されます。

      たとえば、「{{DEVICEREGISTRATION}}」と入力します。 中かっこを含める必要があります。 この登録トークンの詳細については、「デバイス登録Microsoft Entra構成する」を参照してください。

      この設定では、設定も構成する AuthenticationMethod 必要があります。

      • macOS 13 デバイスのみを使用する場合は、 認証方法 (非推奨) 設定を構成します。
      • macOS 14 以降のデバイスのみを使用する場合は、[ プラットフォーム SSO>認証方法 ] 設定を構成します。
      • macOS 13 と macOS 14 以降のデバイスが混在している場合は、両方の認証設定を同じプロファイルで構成します。

    • プラットフォーム SSO>認証方法 (macOS 14 以降): 手順 1 - 認証方法を決定する (この記事の) で選択したプラットフォーム SSO 認証方法を 選択します。

      この設定は、macOS 14 以降に適用されます。 macOS 13 の場合は、 認証方法 (非推奨) 設定を使用します。

      次のようなオプションがあります:

      • パスワード (既定値): 認証にMicrosoft Entra IDを使用するアプリ間の SSO を有効にします。

        構成したIntuneパスワード ポリシーも、この設定に影響します。 たとえば、単純なパスワードをブロックするパスワード ポリシーがある場合、この設定では単純なパスワードもブロックされます。 Intune パスワード ポリシーまたはコンプライアンス ポリシーが、Microsoft Entra パスワード ポリシーと一致していることを確認します。 ポリシーが一致しない場合、パスワードが同期されず、エンド ユーザーがアクセスを拒否される可能性があります。

      • UserSecureEnclaveKey: Secure Enclave (Apple の Web サイトを開く) 暗号化キーをプロビジョニングすることで、認証にMicrosoft Entra IDを使用するアプリ間で SSO を有効にします。

      • SmartCard: 認証にMicrosoft Entra IDを使用するアプリ間で SSO を有効にします。 YubiKey のようなスマート カードまたはスマート カード互換のハード トークンを使用します。 このトークンは、ローカル コンピューターのパスワードとして機能します。

    • 認証方法 (非推奨) ( macOS 13 のみ): 手順 1 - 認証 方法を決定する (この記事の) で選択したプラットフォーム SSO 認証方法を選択します。

      この設定は macOS 13 にのみ適用されます。 macOS 14.0 以降の場合は、[ プラットフォーム SSO>認証方法 ] 設定を使用します。

      次のようなオプションがあります:

      • パスワード (既定値): 認証にMicrosoft Entra IDを使用するアプリ間の SSO を有効にします。

        構成したIntuneパスワード ポリシーも、この設定に影響します。 たとえば、単純なパスワードをブロックするパスワード ポリシーがある場合、この設定では単純なパスワードもブロックされます。 Intune パスワード ポリシーまたはコンプライアンス ポリシーが、Microsoft Entra パスワード ポリシーと一致していることを確認します。 ポリシーが一致しない場合、パスワードが同期されず、エンド ユーザーがアクセスを拒否される可能性があります。

      • UserSecureEnclaveKey: Secure Enclave (Apple の Web サイトを開く) 暗号化キーをプロビジョニングすることで、認証にMicrosoft Entra IDを使用するアプリ間で SSO を有効にします。

      重要

      環境内に macOS 13 と macOS 14 以降のデバイスが混在している場合は、同じプロファイルで プラットフォーム SSO>認証方法認証方法 (非推奨) 認証設定を構成します。

    • プラットフォーム SSO>共有デバイス キー (macOS 14 以降) を使用する: [有効] を選択します。

      有効にすると、プラットフォーム SSO では、同じデバイス上のすべてのユーザーに同じ署名と暗号化キーが使用されます。 ユーザーがプラットフォーム SSO 登録を完了した後、またはプラットフォーム SSO ユーザーが登録後に macOS 13.x から macOS 14.x にアップグレードした後にこの設定を有効にすると、エンド ユーザーにデバイスを再登録するためのプロンプトが表示されます。

    • 拡張識別子: と入力します com.microsoft.CompanyPortalMac.ssoextension。 この ID は、SSO を機能させるためにプロファイルに必要な SSO アプリ拡張機能です。

      拡張識別子チーム識別子の値は連携します。

    • 種類: [ リダイレクト] を選択します。

  9. [次へ] を選択します。

  10. スコープ タグ (オプション) で、US-NC IT TeamJohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「分散 IT に RBAC ロールとスコープのタグを使用する」を参照してください。

    [次へ] を選択します。

  11. [ 割り当て] で、プロファイルを受け取るユーザーまたはユーザー グループを選択します。 プラットフォーム SSO ポリシーは、ユーザー ベースのポリシーです。 プラットフォーム SSO ポリシーをデバイスに割り当てないでください。

    プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    [次へ] を選択します。

  12. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

デバイスによって次に構成の更新が確認されるときに、構成した設定が適用されます。

手順 3 - macOS 用のポータル サイト アプリをデプロイする

macOS 用のポータル サイト アプリは、Microsoft Enterprise SSO プラグインをデプロイしてインストールします。 このプラグインにより、プラットフォーム SSO が有効になります。

Intune ポリシーを使用して、ポータル サイト アプリを追加し、必要なアプリにしてから、macOS デバイスにアプリをデプロイします。

  1. macOS 用のポータル サイト アプリを追加してIntuneし、必要なアプリにします。 手順については、macOS 用のポータル サイト アプリの追加に関するページを参照してください。

  2. organization情報を含むようにポータル サイト アプリを構成します。 手順については、「Intune ポータル サイト アプリの構成方法」、web サイトのポータル サイト、アプリのIntuneに関するページを参照してください。

    プラットフォーム SSO 用にアプリを構成する具体的な手順はありません。 最新のポータル サイトアプリがIntuneに追加され、macOS デバイスにデプロイされていることを確認してください。 古いバージョンのポータル サイト アプリがインストールされている場合、プラットフォーム SSO は機能しません。

エンド ユーザーの既定のエクスペリエンス (OOBE) の詳細については、「macOS プラットフォーム SSO を使用して OOBE 中に mac デバイスをMicrosoft Entra IDに参加させる」を参照してください。

手順 4 - デバイスを登録し、ポリシーを適用する

プラットフォーム SSO を使用するには、次のいずれかの方法を使用して、デバイスを Intune に登録する MDM である必要があります。

  • organization所有デバイスの場合、次のことができます。

    • Apple Business Manager または Apple School Manager を使用して、自動デバイス登録ポリシーをCreateします。
    • Apple Configurator を使用して直接登録ポリシーをCreateします。

  • 個人所有のデバイスの場合はデバイス登録ポリシーを作成します。 この登録方法を使用すると、エンド ユーザーはポータル サイト アプリを開き、Microsoft Entra IDでサインインします。 正常にサインインすると、登録ポリシーが適用されます。

新しいデバイスの場合は、登録ポリシーを含め、必要なすべてのポリシーを事前に作成して構成することをお勧めします。 その後、デバイスがIntuneに登録されると、ポリシーが自動的に適用されます。

Intuneに既に登録されている既存のデバイスの場合は、ユーザーまたはユーザー グループにプラットフォーム SSO ポリシーを割り当てます。 次回デバイスがIntune サービスと同期またはチェックされると、ユーザーは作成したプラットフォーム SSO ポリシー設定を受け取ります。

手順 5 - デバイスを登録する

デバイスがポリシーを受け取ると、通知センターに表示される 登録が必要な 通知が表示されます。

  • エンド ユーザーはこの通知を選択し、organization アカウントでMicrosoft Entra ID プラグインにサインインし、多要素認証 (MFA) を完了します。

    MFA は、Microsoft Entraの機能です。 テナントで MFA が有効になっていることを確認します。 その他のアプリ要件など、詳細については、「多要素認証Microsoft Entra」を参照してください。

  • 認証が正常に行われると、デバイスは Microsoft Entra-Joined organizationになり、職場参加 (WPJ) 証明書はデバイスにバインドされます。

デバイス登録のさまざまなエンド ユーザー エクスペリエンスの詳細については、「Microsoft Entra IDで Mac デバイスに参加する」を参照してください。

手順 6 - デバイスの設定を確認する

プラットフォーム SSO 登録が完了すると、プラットフォーム SSO が構成されていることを確認できます。 手順については、「Microsoft Entra ID - デバイスの登録状態を確認する」に移動します。

登録済みデバイスIntuneで、[設定] [プライバシーとセキュリティ>プロファイル]> に移動することもできます。 プラットフォーム SSO プロファイルが の下に com.apple.extensiblesso Profile表示されます。 プロファイルを選択して、構成した設定 (URL など) を表示します。

プラットフォーム SSO のトラブルシューティングを行うには、 macOS Platform のシングル サインオンに関する既知の問題とトラブルシューティングに関するページを参照してください

手順 7 - 既存の SSO アプリ拡張機能プロファイルの割り当てを解除する

設定カタログ ポリシーが機能していることを確認したら、Intune デバイス機能テンプレートを使用して作成された既存の SSO アプリ拡張機能プロファイルの割り当てを解除します。

両方のポリシーを保持すると、競合が発生する可能性があります。

構成できるその他のプラットフォーム SSO 設定

手順 2 - Intuneのプラットフォーム SSO ポリシーをCreateで設定カタログ プロファイルを作成する場合は、さらにオプションの設定を構成できます。

次の設定を使用すると、エンド ユーザー エクスペリエンスをカスタマイズし、ユーザー特権をより詳細に制御できます。 文書化されていないプラットフォーム SSO 設定はサポートされていません。

プラットフォーム SSO 設定 使用可能な値 使用方法
アカウントの表示名 任意の文字列値。 エンド ユーザーがプラットフォーム SSO 通知に表示するorganization名をカスタマイズします。
ログイン時Createユーザーを有効にする 有効 または 無効にします 組織のユーザーが自分のMicrosoft Entra資格情報を使用してデバイスにサインインできるようにします。
新しいユーザー承認モード 標準管理、またはグループ プラットフォーム SSO を使用してアカウントを作成するときに、ユーザーがサインイン時に持つ 1 回限りのアクセス許可。 現在、Standard管理 の値がサポートされています。 Standard モードを使用する前に、デバイスに少なくとも 1 人の管理 ユーザーが必要です。
ユーザー承認モード 標準管理、またはグループ ユーザーがプラットフォーム SSO を使用して認証されるたびに、ユーザーがサインイン時に持つ永続的なアクセス許可。 現在、Standard管理 の値がサポートされています。 Standard モードを使用する前に、デバイスに少なくとも 1 人の管理 ユーザーが必要です。

一般的なエラー

プラットフォーム SSO を構成すると、次のエラーが表示される場合があります。

  • 10001: misconfiguration in the SSOe payload.

    このエラーは、次の場合に発生する可能性があります。

    • 設定カタログ プロファイルに構成されていない必要な設定があります。
    • 設定カタログ プロファイルには、 リダイレクトの種類のペイロードに適用できない設定が構成されています。

    設定カタログ プロファイルで構成する認証設定は、macOS 13.x デバイスと 14.x デバイスでは異なります。

    環境内に macOS 13 デバイスと macOS 14 デバイスがある場合は、1 つの設定カタログ ポリシーを作成し、同じポリシーでそれぞれの認証設定を構成する必要があります。 この情報は、手順 2 - Intuneのプラットフォーム SSO ポリシーをCreateする (この記事で) に記載されています。

  • 10002: multiple SSOe payloads configured.

    複数の SSO 拡張ペイロードがデバイスに適用され、競合しています。 デバイスには拡張機能プロファイルが 1 つだけあり、そのプロファイルは設定カタログ プロファイルである必要があります。

    デバイス機能テンプレートを使用して SSO アプリ拡張機能プロファイルを以前に作成した場合は、そのプロファイルの割り当てを解除します。 設定カタログ プロファイルは、デバイスに割り当てる必要がある唯一のプロファイルです。