macOS デバイスで Microsoft Enterprise SSO プラグインを使用する

  • [アーティクル]

Microsoft Enterprise SSO プラグインは、認証にMicrosoft Entra IDを使用するアプリや Web サイト (Microsoft 365 など) にシングル サインオン (SSO) を提供します。 このプラグインでは、Apple のシングル サインオン アプリ拡張フレームワークを使用しています。 これにより、SSO プロファイルの構成をサポートするすべての MDM を含め、Mobile デバイス管理 (MDM) によって管理されるデバイスを使用するときにユーザーが取得する認証プロンプトの数が減ります。

設定すると、Microsoft 認証ライブラリ (MSAL) をサポートするアプリは、Microsoft Enterprise SSO プラグインを自動的に利用します。 MSAL をサポートしていないアプリは、Safari などのブラウザーや Safari Web ビュー API を使用するアプリなど、拡張機能の使用を許可できます。 拡張機能の構成に、アプリケーション バンドル ID またはプレフィックスを追加するだけです。

たとえば、MSAL をサポートしていない Microsoft アプリを許可するには、AppPrefixAllowList プロパティに com.microsoft. を追加します。 許可するアプリには注意してください。サインインしているユーザーの対話型サインイン プロンプトをバイパスできます。

詳しくは、「Apple デバイス用の Microsoft Enterprise SSO プラグイン - MSAL を使用しないアプリケーション」をご覧ください。

注:

2024 年 3 月に発表されたMicrosoft Entra IDは、デバイス ID キーを格納するために Apple のキーチェーンから離れる予定です。 2026 年第 3 四半期以降、すべての新しいデバイス登録では、既定で Apple の Secure Enclave が使用されます。 詳細については、「 Apple デバイス用の Microsoft Enterprise SSO プラグイン」を参照してください。

この記事は、次の項目に適用されます:

  • macOS

この記事では、Intune、Jamf Pro、およびその他の MDM ソリューションを使用して、macOS Apple デバイス用の Microsoft Enterprise SSO プラグインをデプロイする方法について説明します。

前提条件

macOS デバイスで Microsoft Enterprise SSO プラグインを使用するには:

  • デバイスは、Intuneによって管理されます。
  • デバイスで、次のプラグインがサポートされている必要があります。
    • macOS 10.15 以降
  • Microsoft ポータル サイト アプリをデバイスにインストールして構成する必要があります。

Microsoft Enterprise SSO プラグインと Kerberos SSO 拡張機能

SSO アプリ拡張機能を使用する場合は、認証に SSO または Kerberos ペイロードの種類を使用します。 SSO アプリ拡張機能は、これらの認証方法を使用するアプリと Web サイトのサインイン エクスペリエンスを向上させるように設計されています。

Microsoft Enterprise SSO プラグインは、SSO ペイロードの種類を リダイレクト 認証で使用します。 SSO リダイレクトと Kerberos 拡張機能の種類は、両方ともデバイスで同時に使用できます。 デバイスで使用する予定の拡張機能種類ごとに、必ず個別のデバイス プロファイルを作成してください。

シナリオに適した SSO 拡張機能の種類を判断するには、次の表を使用してください。

Apple デバイス用の Microsoft Enterprise SSO プラグイン Kerberos を使用したシングル サインオン アプリ拡張機能
Microsoft Entra ID SSO アプリ拡張機能の種類を使用します Kerberos の SSO アプリ拡張機能が使用されます
次のアプリがサポートされます。
- Microsoft 365
- Microsoft Entra IDと統合されたアプリ、Web サイト、またはサービス		 次のアプリがサポートされます。
- AD に統合されたアプリ、Web サイト、またはサービス

シングル サインオン拡張機能の詳細については、「 シングル サインオン アプリ拡張機能」を参照してください。

シングル サインオン アプリ拡張機能の構成プロファイルを作成する

Microsoft Intune管理センターで、デバイス構成プロファイルを作成します。 このプロファイルには、デバイスで SSO アプリ拡張機能を構成するための設定が含まれます。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス構成の作成] を>選択します>。

  3. 次のプロパティを入力します。

    • プラットフォーム: macOS を選択します。
    • プロファイルの種類: [テンプレート] [デバイス機能] を>選択します。

  4. [ 作成] を選択します。

    Intuneで macOS 用のデバイス機能構成プロファイルを作成する方法を示すスクリーンショット。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なポリシー名は macOS: Microsoft Enterprise SSO プラグインです
    • [説明]: ポリシーの説明を入力します。 この設定は省略可能ですが、推奨されます。

  6. [次へ] を選択します。

  7. [構成設定] で、[シングル サインオン アプリ拡張機能] を選択し、次のプロパティを構成します。

    • SSO アプリ拡張機能の種類: [Microsoft Entra ID] を選択します。

      Intuneの macOS の SSO アプリ拡張機能の種類とMicrosoft Entra IDを示すスクリーンショット

    • [アプリ バンドル ID]: MSAL をサポートしておらず、かつ SSO の使用を許可されているアプリのバンドル ID の一覧を入力します。 詳細については、「 MSAL を使用しないアプリケーション」を参照してください。

    • [追加の構成]: エンド ユーザー エクスペリエンスをカスタマイズするには、次のプロパティを追加します。 これらのプロパティは Microsoft SSO 拡張機能で使用される既定値ですが、organizationのニーズに合わせてカスタマイズできます。

      キー 説明
      AppPrefixAllowList String 推奨値: com.microsoft.,com.apple.

      MSAL をサポートしておらず、かつ SSO の使用を許可されているアプリのプレフィックスの一覧を入力します。 たとえば、「」と入力 com.microsoft.,com.apple. して、すべての Microsoft アプリと Apple アプリを許可します。

      これらのアプリが許可リストの要件を満たしていることを確認してください。
      browser_sso_interaction_enabled 整数 推奨値: 1

      1 に設定した場合、ユーザーは Safari ブラウザーや、MSAL をサポートしていないアプリからサインインできます。 この設定を有効にすると、ユーザーは Safari またはその他のアプリから拡張機能をブートストラップできるようになります。
      disable_explicit_app_prompt 整数 推奨値: 1

      アプリによっては、プロトコル レイヤーでエンドユーザー向けのプロンプトが誤って強制的に表示されることがあります。 この問題が発生した場合は、Microsoft Enterprise SSO プラグインが他のアプリに対して機能している場合でも、ユーザーにサインインを求めるプロンプトが表示されます。

      1 (1) に設定すると、これらのプロンプトが減ります。

      ヒント

      これらのプロパティと構成できるその他のプロパティの詳細については、 Apple デバイス用の Microsoft Enterprise SSO プラグインに関するページを参照してください。

      推奨設定の構成が完了すると、設定はIntune構成プロファイルの次の値のようになります。

      Intuneの macOS デバイスの Enterprise SSO プラグインのエンド ユーザー エクスペリエンス構成オプションを示すスクリーンショット。

  8. プロファイルの作成を続行し、これらの設定を受け取るユーザーまたはグループにプロファイルを割り当てます。 特定の手順については、 プロファイルの作成に関するページを参照してください。

    プロファイルの割り当てに関するガイダンスについては、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。

デバイスが Intune サービスでチェックインされると、このプロファイルがデバイスで受信されます。 詳細については、「 ポリシーの更新間隔」を参照してください。

プロファイルが正しく展開されたことをチェックするには、Intune管理センターで、[デバイス>の構成]> で作成したプロファイルを選択し、レポートを生成します。

Intuneの macOS デバイス構成プロファイルの展開レポートを示すスクリーンショット。

エンド ユーザーのエクスペリエンス

Microsoft Intuneの macOS デバイスに SSO アプリ アプリ拡張機能をインストールするときのエンド ユーザー フロー チャート。

  • アプリ ポリシーを使用してポータル サイト アプリを展開していない場合は、ユーザーが手動でインストールする必要があります。 ユーザーはポータル サイトアプリを使用する必要はありません。デバイスにインストールする必要があります。

  • ユーザーは、サポートされているアプリまたは Web サイトにサインインして拡張機能をブートストラップします。 ブートストラップは初回サインインのプロセスで、これにより拡張機能が設定されます。

  • ユーザーが正常にサインインすると、拡張機能は、サポートされている他のアプリや Web サイトへのサインインに自動的に使用されます。

シングル サインオンをテストするには、 Safari をプライベート モードで 開き (Apple の Web サイトを開く)、サイトを https://portal.office.com 開きます。 ユーザー名とパスワードは必要ありません。

ユーザーはアプリまたは Web サイトにサインインして、Microsoft Intune の iOS/iPadOS および macOS デバイスでの SSO アプリ拡張機能をブートストラップします。

macOS では、ユーザーが職場または学校のアプリにサインインすると、SSO のオプトインまたはオプトアウトを求められます。 [今後このメッセージを表示しない] を選択して、SSO をオプトアウトし、今後のリクエストをブロックすることができます。

また、ユーザーは、macOS 用の Intune ポータル サイト アプリで SSO の基本設定を管理することもできます。 設定を編集するには、ポータル サイトアプリメニューバー>ポータル サイト>Settingsに移動します。 ユーザーは、「このデバイスのシングル サインオンでサインインするように要求しない」 を選択または選択解除できます。

このデバイスのシングル サインオンでサインインするように求めないでください。

ヒント

SSO プラグインのしくみと、Apple デバイスの SSO トラブルシューティング ガイドを使用して Microsoft Enterprise SSO 拡張機能の トラブルシューティングを行う方法について説明します。

次の手順