プラットフォーム SSO でオンプレミスの Active Directory および Microsoft Entra ID Kerberos リソースへの Kerberos SSO を有効にする

Mac ユーザーは、初回実行時の既定のエクスペリエンス (OOBE) の間に、新しいデバイスを Microsoft Entra ID に参加させることができます。 macOS プラットフォーム シングル サインオン (PSSO) は、Microsoft Enterprise シングル サインオン拡張機能を使用して有効になっている macOS の機能です。 PSSO を使用すると、ユーザーはハードウェア バインド キー、スマート カード、または Microsoft Entra ID パスワードを使用して Mac デバイスにサインインできます。

このチュートリアルでは、Microsoft Entra ID への SSO に加えて、オンプレミスおよびクラウド リソースに対する Kerberos ベースの SSO をサポートするように Platform SSO を構成する方法について説明します。 Kerberos SSO はプラットフォーム SSO 内のオプションの機能ですが、認証に Kerberos を使用するオンプレミスの Active Directory リソースにユーザーが引き続きアクセスする必要がある場合は、使用することをお勧めします。

前提条件

• macOS 14 Sonoma の推奨される最小バージョン。
• Microsoft Intune ポータル サイト バージョン 5.2404.0 以降
• モバイル デバイス管理 (MDM) に登録された Mac デバイス。
• 管理者によるプラットフォーム SSO 設定を使用して構成された SSO 拡張機能 MDM ペイロードは、すでにデバイスに展開されています。 Intune が MDM である場合は、プラットフォーム SSO ドキュメント または Intune 展開ガイド をご覧ください。
• オンプレミスの Active Directory の一部の Kerberos 機能に必要な Microsoft Entra Kerberos をデプロイします。 詳細については、 Windows Hello for Business の Cloud Kerberos 信頼展開ガイド を参照するか、 Cloud Kerberos 信頼の構成手順 を直接参照してセットアップを開始してください。 Cloud Kerberos 信頼または Windows 用のパスワードなしのセキュリティ キー サインインを使用して Windows Hello for Business を既にデプロイしている場合、この手順は既に完了しています。

macOS デバイスを設定する

Platform SSO を構成してデプロイするには、 Microsoft Entra ID macOS Platform SSO のドキュメントを参照してください 。 このガイドを使用して Kerberos SSO を展開するかどうかに関係なく、エンタープライズ管理の Mac にはプラットフォーム SSO を展開する必要があります。

オンプレミス Active Directory の Kerberos SSO MDM プロファイル構成

Microsoft Entra ID Cloud Kerberos とオンプレミスの Active Directory 領域の両方を使用する予定の場合は、個別の Kerberos SSO MDM プロファイルを構成する必要があります。 Microsoft Entra ID Cloud Kerberos プロファイルの前にオンプレミスの Active Directory プロファイルをデプロイすることをお勧めします。

次の設定を使用してオンプレミスの Active Directory プロファイルを構成し、 contoso.com と Contoso へのすべての参照を環境に適した値に置き換えます。

構成キー	推奨値	注
Hosts	<string>.contoso.com</string>	contoso.com をオンプレミスのドメイン/フォレスト名に置き換える
Hosts	<string>contoso.com</string>	contoso.com をオンプレミスのドメイン/フォレスト名に置き換えます。 ドメイン名 / フォレスト名の前の . 文字はそのままにしておいてください
Realm	<string>CONTOSO.COM</string>	CONTOSO.COM をオンプレミスの領域名に置き換えます。 値はすべて大文字にする必要があります。
PayloadOrganization	<string>Contoso</string>	Contosoを組織名に置き換える

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>ExtensionData</key>
            <dict>
                <key>allowPasswordChange</key>
                <true/>
                <key>allowPlatformSSOAuthFallback</key>
                <true/>
                <key>performKerberosOnly</key>
                <true/>
                <key>pwReqComplexity</key>
                <true/>
                <key>syncLocalPassword</key>
                <false/>
                <key>usePlatformSSOTGT</key>
                <true/>
            </dict>
            <key>ExtensionIdentifier</key>
            <string>com.apple.AppSSOKerberos.KerberosExtension</string>
            <key>Hosts</key>
            <array>
                <string>.contoso.com</string>
                <string>contoso.com</string>
            </array>
            <key>Realm</key>
            <string>CONTOSO.COM</string>
            <key>PayloadDisplayName</key>
            <string>Single Sign-On Extensions Payload for On-Premises</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
            <key>TeamIdentifier</key>
            <string>apple</string>
            <key>Type</key>
            <string>Credential</string>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string></string>
    <key>PayloadDisplayName</key>
    <string>Kerberos SSO Extension for macOS for On-Premises</string>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadIdentifier</key>
    <string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
    <key>PayloadOrganization</key>
    <string>Contoso</string>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

環境に適した値で構成を更新した後、 mobileconfig ファイル拡張子を持つテキスト エディター (たとえば、ファイルに on-prem-kerberos.mobileconfig という名前を付ける) を使用して構成を保存します。

Microsoft Entra ID Cloud Kerberos の Kerberos SSO MDM プロファイル構成

Microsoft Entra ID Cloud Kerberos とオンプレミスの Active Directory 領域の両方を使用する予定の場合は、個別の Kerberos SSO MDM プロファイルを構成する必要があります。 Microsoft Entra ID Cloud Kerberos プロファイルの前にオンプレミスの Active Directory プロファイルをデプロイすることをお勧めします。

次の設定を使用して Microsoft Entra ID Cloud Kerberos プロファイルを構成し、すべての参照をテナントの適切な値に置き換えます。

構成キー	推奨値	注
preferredKDCs	<string>kkdcp://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/kerberos</string>	aaaabbbb-0000-cccc-1111-dddd222eeee の値をテナントのテナント ID に置き換えます。これは、Microsoft Entra Admin Center の [概要] ページにあります。
PayloadOrganization	<string>Contoso</string>	Contosoを組織名に置き換える

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>ExtensionData</key>
            <dict>
                <key>usePlatformSSOTGT</key>
                <true/>
                <key>performKerberosOnly</key>
                <true/>
                <key>preferredKDCs</key>                         
                <array>
                <string>kkdcp://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/kerberos</string>
                </array>
            </dict>
            <key>ExtensionIdentifier</key>
            <string>com.apple.AppSSOKerberos.KerberosExtension</string>
            <key>Hosts</key>
            <array>
                <string>windows.net</string>
                <string>.windows.net</string>
            </array>
            <key>Realm</key>
            <string>KERBEROS.MICROSOFTONLINE.COM</string>
            <key>PayloadDisplayName</key>
            <string>Single Sign-On Extensions Payload for Microsoft Entra ID Cloud Kerberos</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>00aa00aa-bb11-cc22-dd33-44ee44ee44ee</string>
            <key>TeamIdentifier</key>
            <string>apple</string>
            <key>Type</key>
            <string>Credential</string>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string></string>
    <key>PayloadDisplayName</key>
    <string>Kerberos SSO Extension for macOS for Microsoft Entra ID Cloud Kerberos</string>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadIdentifier</key>
    <string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
    <key>PayloadOrganization</key>
    <string>Contoso</string>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

環境に適した値で構成を更新した後、 mobileconfig ファイル拡張子のテキスト エディター (たとえば、 ファイルに cloud-kerberos.mobileconfig という名前を付ける) を使用して構成を保存します。

注

「usePlatformSSOTGT キーと performKerberosOnly キーを必ず注意してください。」 usePlatformSSOTGT が true に設定されている場合、Kerberos 拡張機能は同じ領域でプラットフォーム SSO からの TGT を使用します。 既定値は false です。 performKerberosOnly が true に設定されている場合、Kerberos 拡張機能はパスワードの有効期限チェック、外部パスワード変更チェック、またはユーザーのホーム ディレクトリの取得を実行しません。 既定値は false です。 これは、オンプレミスとクラウドの両方の構成に適用できます。これらのキーは両方のプロファイルで構成する必要があります。

Intune の構成手順

Intune を MDM として使用する場合は、次の手順を実行してプロファイルを展開できます。 contoso.com の値を組織の適切な値に置き換える方法については、[前の手順](オンプレミス Active Directory の SSO MDM プロファイル構成 #Kerberos )に従ってください。

1. Microsoft Intune 管理センターにサインインします。
2. [デバイス]> -[構成]> -[作成]> -[新しいポリシー]を選択します。
3. 次のプロパティを入力します:
   • プラットフォーム: macOSを選択します。
   • プロファイルタイプ: テンプレートを選択します。
4. カスタム テンプレートを選択し、[作成]を選択します。
5. [基本] で、次のプロパティを入力します。
   • 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるように、ポリシーに名前を付けます。 たとえば、ポリシーに「macOS - Platform SSO Kerberos」という名前を付けます。
   • 説明: ポリシーの説明を入力します。 この設定は省略可能ですが、設定することをお勧めします。
6. [次へ] を選択します。
7. カスタム構成プロファイル名ボックスに名前を入力します。
8. デプロイ チャネルを選択します。 デバイス チャネルをお勧めします。
9. フォルダーアイコンをクリックして、構成プロファイルファイルをアップロードします。 テンプレートをカスタマイズした後、[前に保存した kerberos.mobileconfig ファイル](オンプレミス Active Directory の SSO MDM プロファイル構成 #Kerberos) を選択します。
10. [次へ] を選択します。
11. スコープ タグ (省略可能) で、US-NC IT Team や JohnGlenn_ITDepartment などの特定の IT グループにプロファイルをフィルター処理するタグを割り当てます。 [次へ] を選択します。
    • スコープ タグの詳細については、「分散 IT のための RBAC とスコープ タグの使用」をご覧ください。
12. 割り当てで、プロファイルを受信するユーザーまたはユーザー グループを選択します。 プラットフォーム SSO ポリシーは、ユーザーベースのポリシーです。 プラットフォーム SSO ポリシーをデバイスに割り当てないでください。
    • プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。
13. [次へ] を選択します。
14. [確認および作成] で設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーはプロファイルの一覧にも表示されます。
15. オンプレミスの Kerberos SSO と Microsoft Entra ID Cloud Kerberos の両方を使用するため、両方のプロファイルを展開する必要がある場合は、このプロセスを繰り返します。

次回、デバイスで構成の更新が確認されると、構成した設定が適用されます。

Kerberos SSO のテスト

ユーザーがプラットフォーム SSO 登録を完了したら、ターミナル アプリで app-sso platform -s コマンドを実行して、デバイスに Kerberos チケットがあることを確認できます。

app-sso platform -s

2 つの Kerberos チケットが必要です。1 つは、 tgt_ad の ticketKeyPath 値がオンプレミス AD 用、1 つは tgt_cloud の ticketKeyPath 値が Microsoft Entra ID テナント用です。 出力は次のようになります。

適切な Kerberos 対応リソースを使用してテストすることで、構成が機能していることを確認します。

• Finder を使用してオンプレミスの AD 統合ファイル サーバーにアクセスするか、Safari を使用して Web アプリケーションにアクセスして、オンプレミスの Active Directory機能をテストします。 ユーザーは、対話型の資格情報を要求されることなく、ファイル共有にアクセスできる必要があります。
• Microsoft Entra ID クラウド Kerberos に対して有効になっている Azure Files 共有にアクセスして、Microsoft Entra ID Kerberos 機能をテストします。 ユーザーは、対話型の資格情報を要求されることなく、ファイル共有にアクセスできる必要があります。 Azure Files でクラウド ファイル共有を構成する必要がある場合はこのガイドをご覧ください。

注

Microsoft のプラットフォーム SSO 実装は、Kerberos TGT を発行し、macOS に配信して macOS にインポートできるようにする役割を担います。 app-sso platform -sの実行中に TGT が表示された場合、TGT は正常にインポートされています。 Kerberos 経由でのオンプレミス リソースへのアクセスの問題など、Kerberos の問題が進行中の場合は、Kerberos MDM プロファイルをさらに構成してサポートを受けるために Apple に連絡することをお勧めします。 macOS の Kerberos 実装では、Apple が提供するネイティブの Kerberos 機能が使用されます。

既知の問題

Kerberos SSO 機能拡張メニュー エクストラ

プラットフォーム SSO に対する Kerberos SSO のサポートをデプロイする場合、macOS の標準 Kerberos SSO 拡張機能は引き続き使用されます。 プラットフォーム SSO を使用しないネイティブ Kerberos SSO 機能拡張のデプロイと同様に、Kerberos SSO 機能拡張メニュー エクストラが macOS メニュー バー内に表示されます。

プラットフォーム SSO を使用して Kerberos サポートをデプロイする場合、Kerberos 機能を機能させるために、ユーザーは Kerberos SSO 拡張機能メニューを追加で操作する必要はありません。 Kerberos SSO 機能は、ユーザーがメニューバーの拡張機能にサインインせず、その拡張機能が「サインインしていない」という通知を出している場合でも動作します。 この記事に従って Platform SSO を使用してデプロイする場合は、ユーザーにメニュー バー エクストラを無視するように指示できます。 その代わり、この記事の「Kerberos SSO のテスト」セクションの中で説明しているように、メニュー バー エクストラを操作しなくても Kerberos 機能が想定どおりに動作することを必ず確認してください。

Kerberos SSO のブラウザー サポート

macOS デバイスで Platform SSO を使って Kerberos を有効にしている場合など、一部のブラウザーでは Kerberos SSO のサポートを有効にするために追加の構成が必要です。 macOS に Kerberos のサポートを展開するときは、使用するブラウザーごとに適切な設定を展開して、macOS の Kerberos SSO 機能と対話できることを確認します。

• Safari: 既定で Kerberos SSO をサポートします
• Microsoft Edge:
  • オンプレミスの Active Directory のフォレスト情報を含むように設定 AuthNegotiateDelegateAllowlist を構成します: AuthNegotiateDelegateAllowlist
  • オンプレミスの Active Directory のフォレスト情報を含むように設定 AuthServerAllowlist を構成します: AuthServerAllowlist
• Google Chrome
  • オンプレミスの Active Directory のフォレスト情報を含むように設定 AuthNegotiateDelegateAllowlist を構成します: AuthNegotiateDelegateAllowlist
  • オンプレミスの Active Directory のフォレスト情報を含むように設定 AuthServerAllowlist を構成します: AuthServerAllowlist
• Mozilla Firefox
  • Kerberos SSO のサポートを有効にするには、Mozilla Firefox の設定 network.negotiate-auth.trusted-uris と network.automatic-ntlm-auth.trusted-uris を構成します

関連項目

• ポータル サイトを使用して Mac デバイスを Microsoft Entra ID に参加させる
• Microsoft Entra ID のパスワードレス認証オプション
• Microsoft Entra ID でのパスワードレス認証のデプロイを計画する
• Apple デバイス用の Microsoft Enterprise SSO プラグイン