macOS デバイスで Microsoft Enterprise SSO プラグインを使用する

Microsoft Enterprise SSO プラグインは、Microsoft Entra IDの機能であり、Apple デバイスにシングル サインオン (SSO) 機能を提供します。 このプラグインでは、Apple のシングル サインオン アプリ拡張フレームワークを使用しています。

• iOS/iPadOS デバイスの場合、Enterprise SSO プラグインには SSO アプリ拡張機能が含まれています。
• macOS デバイスの場合、Enterprise SSO プラグインには プラットフォーム SSO と SSO アプリ拡張機能が含まれています。

SSO アプリ拡張機能は、認証にMicrosoft Entra IDを使用するアプリや Web サイト (Microsoft 365 アプリなど) にシングル サインオンを提供します。 これにより、SSO プロファイルの構成をサポートするすべての MDM を含め、Mobile デバイス管理 (MDM) によって管理されるデバイスを使用するときにユーザーが取得する認証プロンプトの数が減ります。

この記事は、次の項目に適用されます:

• macOS

  iOS/iPadOS の場合は、「 iOS/iPadOS デバイスで Microsoft Enterprise SSO プラグインを使用する」を参照してください。

macOS デバイスでは、Intuneの 2 つの場所で SSO アプリ拡張機能の設定を構成できます。

• デバイス機能テンプレート (この記事) - このオプションでは、SSO アプリ拡張機能のみを構成し、Intuneなどの MDM プロバイダーを使用して設定をデバイスに展開します。

  SSO アプリ拡張機能の設定のみを構成し、プラットフォーム SSO も構成しない場合は、この記事を使用します。

• [設定カタログ] - このオプションは、プラットフォーム SSO と SSO アプリ拡張機能を一緒に構成します。 Intuneを使用して、デバイスに設定を展開します。

  プラットフォーム SSO と SSO アプリ拡張機能の両方の設定を構成する場合は、設定カタログ設定を使用します。 詳細については、「Microsoft Intuneで macOS デバイスのプラットフォーム SSO を構成する」を参照してください。

Apple デバイスでの SSO オプションの概要については、Microsoft Intuneの Apple デバイスの SSO の概要とオプションに関するページを参照してください。

この記事では、Intune、Jamf Pro、およびその他の MDM ソリューションを使用して macOS Apple デバイス用の SSO アプリ拡張機能構成ポリシーを作成する方法について説明します。

プラットフォーム SSO と SSO アプリ拡張機能の設定を一緒に構成する場合は、「Microsoft Intuneで macOS デバイスのプラットフォーム SSO を構成する」に移動します。

アプリのサポート

アプリで Microsoft Enterprise SSO プラグインを使用するには、次の 2 つのオプションがあります。

• オプション 1 - MSAL: Microsoft 認証ライブラリ (MSAL) をサポートするアプリは、Microsoft Enterprise SSO プラグインを自動的に利用します。 たとえば、Microsoft 365 アプリでは MSAL がサポートされています。 そのため、自動的にプラグインが使用されます。

  organizationが独自のアプリを作成する場合、アプリ開発者は MSAL に依存関係を追加できます。 この依存関係により、アプリで Microsoft Enterprise SSO プラグインを使用できます。

  サンプル チュートリアルについては、「 チュートリアル: ユーザーにサインインし、iOS または macOS アプリから Microsoft Graph を呼び出す」を参照してください。

• オプション 2 - AllowList: MSAL でサポートされていないアプリまたは開発されていないアプリは、SSO アプリ拡張機能を使用できます。 これらのアプリには、Safari などのブラウザーや、Safari Web ビュー API を使用するアプリが含まれます。

  これらの MSAL 以外のアプリの場合は、Intune SSO アプリ拡張機能ポリシーの拡張機能構成にアプリケーション バンドル ID またはプレフィックスを追加します (この記事では)。

  たとえば、MSAL をサポートしていない Microsoft アプリを許可するには、Intune ポリシーの AppPrefixAllowList プロパティにを追加com.microsoft.します。 許可するアプリには注意してください。サインインしているユーザーの対話型サインイン プロンプトをバイパスできます。

  詳細については、「 Microsoft Enterprise SSO プラグイン for Apple デバイス - MSAL を使用しないアプリ」を参照してください。

前提条件

macOS デバイスで Microsoft Enterprise SSO プラグインを使用するには:

Intune

• デバイスは、Intuneによって管理される MDM です。
• デバイスで、次のプラグインがサポートされている必要があります。
  • macOS 10.15 以降
• Microsoft ポータル サイト アプリをデバイスにインストールして構成する必要があります。
• Enterprise SSO プラグインの要件は、 Apple ネットワーク構成 URL を含めて構成されています。

Jamf Pro

• デバイスは Jamf Pro によって管理されます。

• デバイスで、次のプラグインがサポートされている必要があります。

  • macOS 10.15 以降

• Microsoft ポータル サイト アプリをデバイスにインストールする必要があります。

  ユーザーは、ポータル サイト アプリを手動でインストールできます。 または、管理者は Jamf Pro を使用してアプリをデプロイできます。 ポータル サイト アプリをインストールする方法に関するオプションの一覧については、「パッケージ管理 - Jamf 管理へのパッケージの追加」を参照してください (Jamf Pro の Web サイトが開きます)。

  注:

  macOS デバイスでは、Apple では ポータル サイト アプリをインストールする必要があります。 ユーザーは、ポータル サイト アプリを使用または構成する必要はありません。デバイスにインストールするだけで済みます。

• Enterprise SSO プラグインの要件は、 Apple ネットワーク構成 URL を含めて構成されています。

その他の MDM

• デバイスは、モバイル デバイス管理 (MDM) プロバイダー ソリューションによって管理されます。

• MDM ソリューションでは、デバイス ポリシーを使用して 、Apple デバイスのシングル サインオン MDM ペイロード設定 の構成 (Apple の Web サイトを開く) をサポートする必要があります。

• デバイスで、次のプラグインがサポートされている必要があります。

  • macOS 10.15 以降

• Microsoft ポータル サイト アプリをデバイスにインストールする必要があります。

  ユーザーは、ポータル サイト アプリを手動でインストールできます。 または、管理者は MDM ポリシーを使用してアプリをデプロイできます。 ポータル サイト アプリ インストーラー パッケージをダウンロードできます。

  注:

  macOS デバイスでは、Apple では ポータル サイト アプリをインストールする必要があります。 ユーザーは、ポータル サイト アプリを使用または構成する必要はありません。デバイスにインストールするだけで済みます。

• Enterprise SSO プラグインの要件は、 Apple ネットワーク構成 URL を含めて構成されています。

Microsoft Enterprise SSO プラグインと Kerberos SSO 拡張機能

SSO アプリ拡張機能を使用する場合は、認証に SSO または Kerberos ペイロードの種類を使用します。 SSO アプリ拡張機能は、これらの認証方法を使用するアプリと Web サイトのサインイン エクスペリエンスを向上させるように設計されています。

Microsoft Enterprise SSO プラグインは、SSO ペイロードの種類を リダイレクト 認証で使用します。 SSO リダイレクトと Kerberos 拡張機能の種類は、両方ともデバイスで同時に使用できます。 デバイスで使用する予定の拡張機能種類ごとに、必ず個別のデバイス プロファイルを作成してください。

シナリオに適した SSO 拡張機能の種類を判断するには、次の表を使用してください。

---

Apple デバイス用の Microsoft Enterprise SSO プラグイン	Kerberos を使用したシングル サインオン アプリ拡張機能
Microsoft Entra ID SSO アプリ拡張機能の種類を使用します	Kerberos の SSO アプリ拡張機能が使用されます
次のアプリがサポートされます。 - Microsoft 365 - Microsoft Entra IDと統合されたアプリ、Web サイト、またはサービス	次のアプリがサポートされます。 - AD に統合されたアプリ、Web サイト、またはサービス

SSO アプリ拡張機能の詳細については、「Microsoft Intuneの Apple デバイスの SSO の概要とオプション」を参照してください。

シングル サインオン アプリ拡張機能の構成ポリシーをCreateする

このセクションでは、SSO アプリ拡張機能ポリシーを作成する方法について説明します。 プラットフォーム SSO の詳細については、「Microsoft Intuneで macOS デバイスのプラットフォーム SSO を構成する」を参照してください。

Intune

Microsoft Intune管理センターで、デバイス構成プロファイルを作成します。 このプロファイルには、デバイスで SSO アプリ拡張機能を構成するための設定が含まれます。

1. Microsoft Intune 管理センターにサインインします。

2. [デバイス>の構成Create>>新しいポリシー] を選択します。

3. 次のプロパティを入力します。

   • プラットフォーム: macOS を選択します。
   • プロファイルの種類: [テンプレート] [デバイス機能] を>選択します。

4. [Create] を選択します。

   

5. [Basics]\(基本\) で次のプロパティを入力します。

   • 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なポリシー名は macOS-SSO アプリ拡張機能です。
   • [説明]: ポリシーの説明を入力します。 この設定は省略可能ですが、推奨されます。

6. [次へ] を選択します。

7. [構成設定] で、[シングル サインオン アプリ拡張機能] を選択し、次のプロパティを構成します。

   • SSO アプリ拡張機能の種類: [Microsoft Entra ID] を選択します。

     

   • [アプリ バンドル ID]: MSAL をサポートしておらず、かつ SSO の使用を許可されているアプリのバンドル ID の一覧を入力します。 詳細については、「 MSAL を使用しないアプリケーション」を参照してください。

   • [追加の構成]: エンド ユーザー エクスペリエンスをカスタマイズするには、次のプロパティを追加します。 これらのプロパティは SSO アプリ拡張機能で使用される既定値ですが、organizationのニーズに合わせてカスタマイズできます。

     キー	型	説明
     AppPrefixAllowList	String	推奨値: com.microsoft.,com.apple. MSAL をサポートしておらず、かつ SSO の使用を許可されているアプリのプレフィックスの一覧を入力します。 たとえば、「」と入力 com.microsoft.,com.apple. して、すべての Microsoft アプリと Apple アプリを許可します。 これらのアプリが許可リストの要件を満たしていることを確認してください。
     browser_sso_interaction_enabled	整数	推奨値: 1 1 に設定した場合、ユーザーは Safari ブラウザーや、MSAL をサポートしていないアプリからサインインできます。 この設定を有効にすると、ユーザーは Safari またはその他のアプリから拡張機能をブートストラップできるようになります。
     disable_explicit_app_prompt	整数	推奨値: 1 アプリによっては、プロトコル レイヤーでエンドユーザー向けのプロンプトが誤って強制的に表示されることがあります。 この問題が発生した場合は、Microsoft Enterprise SSO プラグインが他のアプリに対して機能している場合でも、ユーザーにサインインを求めるプロンプトが表示されます。 1 (1) に設定すると、これらのプロンプトが減ります。

     ヒント

     これらのプロパティと構成できるその他のプロパティの詳細については、 Apple デバイス用の Microsoft Enterprise SSO プラグインに関するページを参照してください。

     推奨設定の構成が完了すると、設定はIntune構成プロファイルの次の値のようになります。

     

8. プロファイルの作成を続行し、これらの設定を受け取るユーザーまたはグループにプロファイルを割り当てます。 特定の手順については、プロファイルのCreateに移動します。

   プロファイルの割り当てに関するガイダンスについては、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。

ポリシーの準備ができたら、ポリシーをユーザーに割り当てます。 デバイスがIntuneに登録されるときにポリシーを割り当てることをお勧めします。 ただし、既存のデバイスを含め、いつでも割り当てることができます。 デバイスが Intune サービスでチェックインすると、このプロファイルが受信されます。 詳細については、「 ポリシーの更新間隔」を参照してください。

プロファイルが正しく展開されたことをチェックするには、Intune管理センターで、[デバイス>の構成]> で作成したプロファイルを選択し、レポートを生成します。

Jamf Pro

Jamf Pro ポータルで、コンピューター構成プロファイルを作成します。 このプロファイルには、デバイスで SSO アプリ拡張機能を構成するための設定が含まれます。

1. Jamf Pro ポータルにサインインします。

2. macOS プロファイルを作成するには、[コンピューター>の構成プロファイル>] [新規] を選択します。

   

3. [ 名前] に、ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なポリシー名は 、macOS-Microsoft Enterprise SSO プラグインです。

4. [ オプション ] 列で下にスクロールし、[ 単一 Sign-On 拡張機能>の追加] を選択します。

   

5. 次のプロパティを入力します。

   • ペイロードの種類: [SSO] を選択します。
   • 拡張識別子: と入力します com.microsoft.CompanyPortalMac.ssoextension。
   • チーム識別子: と入力します UBF8T346G9。
   • サインオンの種類: [リダイレクト] を選択 します。
   • URL: 一度に 1 つずつ、次の URL を入力します。
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. [カスタム構成] では、他の必須プロパティを定義します。 Jamf Pro では、これらのプロパティはアップロードされた PLIST ファイルを使用して設定する必要があります。 構成可能なプロパティの完全な一覧については、 Apple デバイス用の Microsoft Enterprise SSO プラグインに関するドキュメントを参照してください。

   次の例は、ほとんどの組織のニーズを満たす推奨 PLIST ファイルです。

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   これらの PLIST 設定では、次の SSO 拡張機能オプションが構成されます。 これらのプロパティは SSO アプリ拡張機能で使用される既定値ですが、organizationのニーズに合わせてカスタマイズできます。

   キー	型	説明
   AppPrefixAllowList	String	推奨値: com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. MSAL をサポートしておらず、かつ SSO の使用を許可されているアプリのプレフィックスの一覧を入力します。 たとえば、「」と入力 com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. して、すべての Microsoft、Apple、Jamf Pro アプリを許可します。 これらのアプリが許可リストの要件を満たしていることを確認してください。
   disable_explicit_app_prompt	整数	推奨値: 1 アプリによっては、プロトコル レイヤーでエンドユーザー向けのプロンプトが誤って強制的に表示されることがあります。 この問題が発生した場合は、Microsoft Enterprise SSO プラグインが他のアプリに対して機能している場合でも、ユーザーにサインインを求めるプロンプトが表示されます。 1 (1) に設定すると、これらのプロンプトが減ります。

   ヒント

   これらのプロパティと構成できるその他のプロパティの詳細については、 Apple デバイス用の Microsoft Enterprise SSO プラグインに関するページを参照してください。

7. ［検索範囲］ タブを選択します。SSO 拡張機能 MDM プロファイルを受け取る対象となるコンピューターまたはデバイスを入力します。

8. [保存] を選択します。

デバイスが Jamf Pro サービスにチェックインすると、このプロファイルを受け取ります。

ヒント

Jamf Connect を使用する場合は、Jamf Connect と Microsoft Entra ID の統合に関する最新の Jamf ガイダンスに従うことをお勧めします (Jamf Pro の Web サイトが開きます)。 推奨される統合パターンにより、Jamf Connect が条件付きアクセス ポリシーとMicrosoft Entra ID 保護で適切に動作します。

その他の MDM

MDM ポータルで、デバイス構成プロファイルを作成します。 このプロファイルには、デバイスで SSO アプリ拡張機能を構成するための設定が含まれます。

1. MDM ポータルにサインインします。

2. 新しいデバイス構成プロファイルをCreateします。

3. [シングル Sign-On 拡張機能] または [SSO 拡張機能] というオプションを選択します。 名前は、MDM サービスによって異なる場合があります。

4. 次のプロパティを入力します。

   キー	値
   ペイロードの種類	SSO
   拡張機能識別子	com.microsoft.CompanyPortalMac.ssoextension
   Team 識別子	UBF8T346G9
   Sign-On 型	Redirect
   URL	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. 必要に応じて、他のプロパティを構成できます。 これらのプロパティは SSO アプリ拡張機能で使用される既定値ですが、organizationのニーズに合わせてカスタマイズできます。

   キー	型	説明
   AppPrefixAllowList	String	推奨値: com.microsoft.,com.apple. MSAL をサポートしておらず、かつ SSO の使用を許可されているアプリのプレフィックスの一覧を入力します。 たとえば、「」と入力 com.microsoft.,com.apple. して、すべての Microsoft アプリと Apple アプリを許可します。 これらのアプリが許可リストの要件を満たしていることを確認してください。
   browser_sso_interaction_enabled	整数	推奨値: 1 1 に設定した場合、ユーザーは Safari ブラウザーや、MSAL をサポートしていないアプリからサインインできます。 この設定を有効にすると、ユーザーは Safari またはその他のアプリから拡張機能をブートストラップできるようになります。
   disable_explicit_app_prompt	整数	推奨値: 1 アプリによっては、プロトコル レイヤーでエンドユーザー向けのプロンプトが誤って強制的に表示されることがあります。 この問題が発生した場合は、Microsoft Enterprise SSO プラグインが他のアプリに対して機能している場合でも、ユーザーにサインインを求めるプロンプトが表示されます。 1 (1) に設定すると、これらのプロンプトが減ります。

   ヒント

   これらのプロパティと構成できるその他のプロパティの詳細については、 Apple デバイス用の Microsoft Enterprise SSO プラグインに関するページを参照してください。

6. SSO 拡張機能 MDM プロファイルを受け取る対象にするデバイスに新しいポリシーを割り当てます。

デバイスが MDM サービスでチェックインすると、このプロファイルが受信されます。

エンド ユーザーのエクスペリエンス

• アプリ ポリシーを使用してポータル サイト アプリを展開していない場合は、ユーザーが手動でインストールする必要があります。 ユーザーはポータル サイトアプリを使用する必要はありません。デバイスにインストールする必要があります。

• ユーザーは、サポートされているアプリまたは Web サイトにサインインして拡張機能をブートストラップします。 ブートストラップは初回サインインのプロセスで、これにより拡張機能が設定されます。

• ユーザーが正常にサインインすると、拡張機能は、サポートされている他のアプリや Web サイトへのサインインに自動的に使用されます。

シングル サインオンをテストするには、 Safari をプライベート モードで 開き (Apple の Web サイトを開く)、サイトを https://portal.office.com 開きます。 ユーザー名とパスワードは必要ありません。

macOS では、ユーザーが職場または学校のアプリにサインインすると、SSO のオプトインまたはオプトアウトを求められます。 [もう一 度要求しない ] を選択して SSO をオプトアウトし、今後の要求をブロックできます。

また、ユーザーは、macOS 用の Intune ポータル サイト アプリで SSO の基本設定を管理することもできます。 設定を編集するには、ポータル サイトアプリメニューバー>ポータル サイト>Settingsに移動します。 [ このデバイスのシングル サインオンでサインインするように求めない] を選択または選択解除できます。

ヒント

SSO プラグインのしくみと、Apple デバイスの SSO トラブルシューティング ガイドを使用して Microsoft Enterprise SSO 拡張機能の トラブルシューティングを行う方法について説明します。

関連記事

• Microsoft Enterprise SSO プラグインの詳細については、 Apple デバイス用の Microsoft Enterprise SSO プラグインに関するページを参照してください。

• シングル サインオン拡張機能ペイロードの Apple からの情報については、「 シングル サインオン拡張機能のペイロード設定 (Apple の Web サイトを開く)」を参照してください。

• Microsoft Enterprise SSO 拡張機能のトラブルシューティングについては、「 Apple デバイスでの Microsoft Enterprise SSO 拡張機能プラグインのトラブルシューティング」を参照してください。