ポータル サイトを使用して Mac デバイスを Microsoft Entra ID に参加させる (プレビュー)

  • [アーティクル]

このチュートリアルでは、ポータル サイト と Microsoft Entra 参加による Intune MDM 登録を使用して、macOS プラットフォームのシングル サインオン (PSSO) で Mac デバイスを登録する方法について説明します。 PSSO への Mac デバイスの登録には、セキュリティで保護されたエンクレーブ、スマート カード、パスワードの 3 つの方法があります。 最高のパスワードレス体験を実現するには、セキュリティで保護されたエンクレーブまたはスマート カードの使用をお勧めしますが、この方法は Microsoft Intune を使用する企業の管理者によって事前設定されることに注意してください。

前提条件

  • macOS 14 Sonoma の推奨される最小バージョン。 macOS 13 Ventura はサポートされていますが、最適なエクスペリエンスを得るために macOS 14 Sonoma の使用を強くお勧めします。
  • Microsoft Intune ポータル サイト アプリ バージョン 5.2404.0 以降
  • 管理者により Intune の PSSO 設定での SSO 拡張機能 MDM ペイロード構成済み
  • Microsoft Authenticator (推奨): デバイスの登録を完了するには、ユーザーが何らかの形式の Microsoft Entra ID 多要素認証 (MFA) に登録されている必要があります。
  • スマート カードの設定では、構成されて有効になっている証明書ベースの認証。 Microsoft Entra での認証用の証明書と、ローカル アカウントとペアリングされたスマート カードが読み込まれたスマート カード。

ポータル サイトを使用した Intune MDM と Microsoft Entra 参加

Mac デバイスを PSSO に登録するには、まずポータル サイト アプリを使用して Microsoft Intune にデバイスを登録する必要があります。 登録後は、セキュリティで保護されたエンクレーブ、スマート カード、またはパスワードを使用して、PSSO にデバイスを登録できます。

  1. [ポータル サイト] アプリを開き、[サインイン] を選択します。

  2. Microsoft Entra ID 資格情報を入力し、[次へ] を選択します。

  3. {Company} アクセスを設定するよう求められます。 "会社" のプレースホルダーは、設定によって異なります。 [開始] を選択し、次の画面で [続行] を選択します。

    ポータル サイトのアクセス設定ウィンドウのスクリーンショット。

  4. Microsoft Intune を使用して管理者が設定する必要がある管理プロファイルをインストールするための手順について説明してきました。 [プロファイルをダウンロード] を選択します。

    ユーザーに管理プロファイルのダウンロードを求めるポータル サイト ウィンドウのスクリーンショット。

  5. 自動的に表示されない場合は、[設定]>[プライバシーとセキュリティ]>[プロファイル] を開きます。 [管理プロファイル] を選択します。

    ダウンロードした管理プロファイルを示す設定アプリのプロファイルのスクリーンショット。

  6. [インストール] を選択して、会社のリソースにアクセスします。

    設定で管理プロファイルのインストールを求めるメッセージのスクリーンショット。

  7. 表示された [プロファイル] ウィンドウにローカル デバイスのパスワードを入力し、[登録] を選択します。

    MDM サービスに登録するためのパスワードを求めるプロファイル ウィンドウのスクリーンショット。

  8. ポータル サイトにインストール完了の通知が表示されます。 完了 を選択します。

プラットフォーム SSO の登録

これで、デバイスがポータル サイトに準拠するようになったため、デバイスを PSSO に登録する必要があります。 ポータル サイトを使用した Intune MDM と Microsoft Entra 参加を正常に完了すると、画面の右上に [登録が必要] ポップアップが表示されます。 タブを使用して、セキュリティで保護されたエンクレーブ、スマート カード、パスワードを使用して PSSO にデバイスを登録します。

  1. 画面の右上にある [登録が必要] ポップアップに移動します。 ポップアップにカーソルを合わせ、[登録] を選択します。 macOS 14 Sonoma ユーザーの場合、デバイスを Microsoft Entra に登録するよう求めるプロンプトが表示されます。 macOS 13 Ventura の場合、このプロンプトは表示されません。

    [登録が必要] という通知が選択された後に macOS 14 に表示される Microsoft Entra 登録プロンプトのスクリーンショット。

  2. Touch ID またはパスワードを使用してアカウントのロックが解除されたら、サインインするアカウントを選び、サインイン資格情報を入力して [次へ] を選択します。

  3. このサインイン フローの一部として MFA が必要です。 Authenticator アプリを開くか (推奨)、登録した他の MFA 方法を使用して、画面に表示される数字を入力して登録を完了します。

    ユーザーに Authenticator アプリを開くよう求める 2 要素認証ウィンドウのスクリーンショット。

  4. MFA フローが完了し、読み込み画面が消えたら、デバイスは PSSO に登録されているはずです。 PSSO を使用して Microsoft アプリ リソースにアクセスできるようになりました。

パスキーとして使用する macOS のプラットフォーム資格情報を有効にする

セキュリティで保護されたエンクレーブ方法を使用してデバイスを設定すると、Mac に保存された結果の資格情報をブラウザーのパスキーとして使用できます。 これを有効にするには:

  1. 設定アプリを開き、[パスワード]>[パスワード オプション] に移動します。

  2. [パスワード オプション] で、[パスワードとパスキーの使用元] を見つけ、トグル スイッチを使用して [ポータル サイト] を有効にします。

    [ポータル サイト] がスイッチを使って有効になっている [パスワードとパスキーの使用元] の使用を示す [パスワード オプション] ウィンドウのスクリーンショット。

デバイスの登録状態を確認する

上記の手順を完了したら、デバイスの登録状態を確認することをお勧めします。

  1. 登録が正常に完了したことを確認するには、[設定] に移動し、[ユーザーとグループ] を選択します。

  2. [ネットワーク アカウント サーバー] の横にある [編集] を選択し、[プラットフォーム SSO][登録済み] として表示されていることを確認します。

  3. 認証に使用する方法を確認するには、[ユーザーとグループ] ウィンドウでユーザー名に移動し、[情報] アイコンを選択します。 一覧表示されている方法を確認します。これは、セキュリティで保護されたエンクレーブスマート カード、またはパスワードである必要があります。

    Note

    ターミナル アプリを使用して登録状態を確認することもできます。 次のコマンドを実行して、デバイス登録の状態を確認します。 出力の下部に、SSO トークンが取得されていることが示されるはずです。 macOS 13 Ventura ユーザーの場合は、登録状態を確認するためにこのコマンドが必要です。

    app-sso platform -s

PSSO を有効にするため Mac デバイスを更新する

デバイスが既にポータル サイトに登録されている macOS ユーザーの場合、管理者はデバイスの SSO 拡張機能プロファイルを更新することで、PSSO を有効にすることができます。 PSSO プロファイルがデバイスにデプロイされてインストールされると、画面右上の [登録が必要] 通知を介して、デバイスを PSSO に登録するよう求められます。 これにより、新しい PSSO 登録の代わりに古い SSO 登録がデバイスから削除されます。

すぐに行うことをお勧めしますが、これを選択し、ご都合のいい時間にデバイス登録を開始することもできます。

関連項目