見出し画像

Intune を使ったmacOS プラットフォームSSOの実装手順

(kuro)

はじめに

先日Microsoftにて案内されましたが、Entra IDを用いたmsOS向けのプラットフォームSSOがパブリックプレビューされました。
これにより、macOSでのMicrosoft Entra Joinを自動化しつつ、macデバイスへのログインを行うことでMicrosoft Entra IDアカウントへシングルサインオンが可能となりました。
実際に実装してみたので、その手順についてまとめておきたいと思います。なお、詳細な公式手順はMicrosoft Learnに記載されていますのでそちらを参照ください。
※2024年6月時点の情報となります。

前提条件

実装にあたっては以下の前提条件があります。

  • デバイスは macOS 13.0 以降であること

  • デバイスにインストールするIntune ポータルサイトアプリのバージョンは 5.2404.0 以降であること

今回は、認証方法としてSecure Enclaveではなく、Password同期の形で実装しています。Secure Enclaveで実装する場合、ローカルアカウントのパスワードとEntra IDのパスワードは同期されず、Touch IDなどの情報を用いて認証を行います。

手順1.構成プロファイルの作成

Intune 管理センターにて、構成プロファイルの新規作成を行います。
設定カタログから「認証」の「拡張シングル サインオン(SSO)」を選択して、次の設定項目を選択します。

  • URL

  • チーム識別し

  • プラットフォームSSO

    • 認証方法

    • 共有デバイス キーを使用する

    • ユーザーマッピングのトークン

  • 拡張機能識別子

  • 画面ロック済みの動作

  • 登録トークン

  • 種類

  • 認証方法(非推奨)

各項目において、以下の通り入力します。

URL

https://login.microsoftonline.com
https://login.microsoft.com
https://sts.windows.net
https://login.partner.microsoftonline.cn
https://login.chinacloudapi.cn
https://login.microsoftonline.us
https://login-us.microsoftonline.com

チーム識別子

UBF8T346G9
Enterprise SSO プラグイン アプリ拡張機能のチーム識別子です。

[プラットフォームSSO]ユーザーマッピングのトークン

アカウント名:preferred_username
フルネーム:name
Entra IDの「preferred_username」と「name」を元に、macOS のローカルアカウント名が作成されます(多分)

[プラットフォームSSO]共有デバイス キーを使用する

設定値:有効にする

[プラットフォームSSO]認証方法

設定値:パスワード
認証方法を指定します。ローカルアカウントとEntra IDのパスワードを同期させたい場合はパスワード、Touch IDなどの認証情報を用いて認証させたい場合はSecure Enclaveを選択します。今回はパスワードとしました。
なお、本項目はmacOS 14以降のデバイスが対象の設定となります。

機能拡張識別子

設定値:com.microsoft.CompanyPortalMac.ssoextension

画面ロック動作

設定値:処理しない

登録トークン

設定値:{{DEVICEREGISTRATION}}

種類

設定値:リダイレクト

認証方法(非推奨)

設定値:パスワード
本項目はmacOS 13のデバイスが対象の設定となります。

上記の設定が完了したら、配布対象を選択して配布します。この際、個人用端末として利用する場合はユーザーグループを対象として配布するのがよいようです。

手順2.デバイスへの実装

構成プロファイルの設定が完了したら、PCへの実装を行います。
今回は、ABMを用いた自動デバイス登録の構築が完了していることを前提に進めていきます。

macOSのキッティング

まずは普通にキッティングを行い、ローカル管理者アカウントを作成します。

Intune ポータルサイトのインストール

Microsoft 公式サイトから、Intune ポータルサイトを当該デバイスにインストールします。この際、バージョンが古いものだとプラットフォームSSOに対応していないため注意してください。

登録(アカウントの同期)

Intune ポータルサイトのインストール後、画面上に「登録が必要」な旨の通知が表示されたらそれをクリックし、画面に従ってログインするユーザのEntra IDアカウント情報を入力してサインインを完了させます。これにより、Entra IDへのMacの登録が完了すると同時に、サインインしたEntra ID アカウントと同名のローカルアカウントが作成されるらしいです。
「らしい」というのも、自分が実装したときは、Entra IDアカウントと同名のローカルアカウントを手動で作成・ログインした上で登録作業を実施したため、正確な動作は確認していないためとなります。
詳細な手順は、Tooさんのブログに記載されていますので、参照ください。
このタイミングで、認証方式をパスワードにしていた場合はローカルアカウントとEntra IDアカウントのパスワードが同期されます。

注意点

パスワード同期の際の注意点ですが、本環境ではローカルアカウントを用いてパソコンにログインする際に、Entra IDアカウントのサインイン情報を用いているわけではありません。そのため、デバイスにログインしていない状態などでEntra IDのパスワードをリセットしたり変更した場合、デバイス側のパスワードは変更されていないため、リセット前のパスワードでログインし、ログイン成功後にEntra IDとのパスワードを同期する必要があります。
また、デバイスのローカルアカウントのパスワードを変更した場合でも、Entra IDとのパスワードと不一致な状態となるため再度同期をかける必要があり、Entra IDアカウントのパスワードに巻き戻ってしまいます。
デバイスのローカルアカウントのパスワードを忘れた場合の対処は別途行う必要がありそうなので注意ください。

おわりに

最初に機能を見たときは、デバイスにログインする際の認証情報そのものをEntra IDアカウントでバイパスできるのかなと思いましたがその辺りは全然違っていて、ローカルアカウントと切り離すことはできないんだなあと少し残念に思いました。管理者アカウントでやらないといけないことも多いので、Intuneを用いたゼロタッチデプロイはまだ道半ばかなあと言った印象でした。ただ、よい機能だとは思うのでもう少し使い方を考えて運用に落とし込めるといいなあと思います。

参考情報
macOS 用のプラットフォーム SSO 機能がパブリック プレビューで利用可能になりました
Platform SSO for macOS now in public preview
Microsoft Intune で macOS デバイスのプラットフォーム SSO を構成する
Microsoftの「プラットフォームシングルサインオン」では、今何ができるのか?【後編その2】


この記事が気に入ったらサポートをしてみませんか?