macOS プラットフォーム シングル サインオンの概要 (プレビュー)

macOS プラットフォーム シングル サインオン (PSSO) は、ユーザーが　Microsoft Entra ID 資格情報を使用して Mac デバイスにサインインできるようにする、Microsoft の Enterprise SSO プラグイン、macOS のプラットフォーム資格情報を利用する新機能です。 この機能では、ユーザーのサインイン プロセスを簡略化し、覚えておく必要があるパスワードの数を減らすことで、管理者に利点を提供します。 また、ユーザーはスマート カードまたはハードウェア バインド キーを使用して Microsoft Entra ID で認証することもできます。 この機能では、2 つの個別のパスワードを覚えておく必要がなくなることで、エンド ユーザー エクスペリエンスが向上し、管理者はローカル アカウントのパスワードを管理する必要がなくなります。

エンド ユーザー エクスペリエンスを決定する 3 つの異なる認証方法があります。

• macOS のプラットフォーム資格情報: 認証に Microsoft Entra ID を使用するアプリ間での SSO に使用される、セキュア エンクレーブでサポートされたハードウェア バインド暗号化キーをプロビジョニングします。 ユーザーのローカル アカウント パスワードは影響を受けず、Mac にログオンするために必要になります。
• スマート カード: ユーザーは、外部スマート カード、またはスマート カードと互換性のあるハード トークン (Yubikey など) を使用してマシンにサインインします。 デバイスのロックが解除されると、スマート カードが Microsoft Entra ID と共に使用され、認証に Microsoft Entra ID を使うアプリ間での SSO が許可されます。
• 認証方法としてのパスワード: ユーザーの Microsoft Entra ID パスワードをローカル アカウントと同期し、認証に Microsoft Entra ID を使用するアプリ間での SSO を有効にします。

Apple デバイスで Microsoft Enterprise SSO プラグインを利用して、PSSO では:

• ユーザーが Touch ID を使用して、パスワードレスを実現できるようにします。
• Windows Hello for Business テクノロジに基づいて、フィッシングに対する耐性のある資格情報を使用します。
• セキュリティ キーの必要性をなくすことで、顧客組織のコストを節約します。
• セキュア エンクレーブとの統合を使用して、ゼロ トラスト目標を進めます。

これを有効にするには、管理者が Microsoft Intune またはその他のサポートされている MDM を使用して PSSO を構成する必要があります。 デバイスの構成方法に応じて、エンド ユーザーは、セキュア エンクレーブ、スマート カードまたはパスワード ベースの認証方法を使用して、PSSO でデバイスを設定できます。

要件

macOS のプラットフォーム SSO をデプロイするには、次の最小要件を満たす必要があります。

• macOS 14 Sonoma の推奨される最小バージョン。 macOS 13 Ventura はサポートされていますが、最適なエクスペリエンスを得るために macOS 14 Sonoma の使用を強くお勧めします。
• Microsoft Authenticator
• Microsoft Intune ポータル サイト アプリ バージョン 5.2404.0 以降がインストールされている。 このバージョンは、ユーザーが PSSO の対象となる前に必要になります。

展開

macOS のプラットフォーム SSO をデプロイする方法の詳細と手順については、以下の記事を参照してください。

• 既定のエクスペリエンスの間に Mac デバイスを Microsoft Entra ID に参加させる
• ポータル サイトを使用して Mac デバイスを Microsoft Entra ID に参加させる

パスワードレスの認証

パスワードは、悪意のあるアクターの主要な攻撃ベクトルです。 ソーシャル エンジニアリング、フィッシング、スプレー攻撃を使用してパスワードを侵害します。 パスワードレス認証戦略により、これらの攻撃のリスクを軽減できます。

macOS のプラットフォーム SSO を使用して、組織のパスワードレス認証を有効にする方法について学習します。

• Microsoft Entra ID のパスワードレス認証オプション
• Microsoft Entra ID でのパスワードレス認証のデプロイを計画する

macOS 用プラットフォーム資格情報は、WebAuthn の課題 (ブラウザーの再認証シナリオを含む) で使用するためのフィッシングに抵抗力がある資格情報としても使用できます。 管理者は、この機能の FIDO2 セキュリティ キー認証方法を有効にする必要があります。 FIDO ポリシーでキー制限ポリシーを利用する場合は、許可されている AAGUID の一覧に macOS プラットフォーム資格情報の AAGUID を追加する必要があります: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

米国標準技術局 (NIST)

米国国立標準技術研究所 (NIST) は、米国商務省内の非規制連邦機関です。 NIST では、連邦機関の情報および情報システムを保護するためのコスト効率の高いプログラムの管理を支援するために、標準、ガイドライン、およびその他の出版物を策定して発行しています。

macOS プラットフォーム SSO を使用して NIST の要件を満たす方法の詳細については、以下の記事を参照してください。

• NIST認証保証レベルを満たすようMicrosoft Entra IDを構成します。
• NIST 認証子の種類と対応する Microsoft Entra のメソッド。
• Microsoft Entra ID を使用した NIST Authenticator Assurance Level 3

トラブルシューティング

macOS プラットフォーム SSO の実装時に問題が発生した場合は、macOS プラットフォームのシングル サインオンの既知の問題とトラブルシューティングに関するドキュメント 参照してください