Microsoft Intune での Apple デバイスのシングル サインオン (SSO) の概要とオプション

Apple デバイスでは、シングル サインオン (SSO) を使用して、Microsoft Entra ID を使用してデバイス、アプリ、Web サイトにアクセスできます。 SSO を使用すると、ユーザーは毎回資格情報を入力せずにサインインしてアクセスできます。

この機能は、以下に適用されます。

  • iOS/iPadOS
  • macOS

基幹業務 (LOB) アプリを含むデバイスとほとんどのアプリには、ある程度のレベルのユーザー認証が必要です。 多くの場合、ユーザーは認証のために同じ資格情報を繰り返し入力する必要があります。

管理者は、Microsoft Intune を使用して SSO ポリシーを作成および展開できます。 開発者は、シングル サインオン (SSO) をサポートして使用するアプリを作成できます。 Intune SSO ポリシーと SSO をサポートするアプリを組み合わせると、アプリと Web サイトに対する資格情報プロンプトの数が減ります。

Intune で Apple デバイスの SSO を構成するには、次のオプションがあります。

この記事では、Intune の Apple デバイスで使用できる SSO オプションと、サポートされているプラットフォームの概要について説明します。

プラットフォーム SSO

この機能は、以下に適用されます:

  • macOS

Microsoft Enterprise SSO プラグインには、プラットフォーム SSO と SSO アプリ拡張機能という 2 つの SSO 機能が含まれています。 このセクションでは、 プラットフォーム SSO について説明します。

macOS デバイスでは、ユーザーは通常、ローカル アカウントでサインインします。 次に、Microsoft Entra ID を使用してアプリや Web サイトにサインインします。

プラットフォーム SSO の場合:

  • 組織は次のことができます。

    • ビジネス ニーズを満たす認証方法を選択します。 オプションは、Secure Enclave パスワードレス パスキー認証、Microsoft Entra ユーザー アカウント & パスワード、またはスマート カード認証です。

    • SSO アプリ拡張機能はプラットフォーム SSO の一部であるため、SSO アプリ拡張機能を使用します。 具体的には、次の手順を実行します。

      • SSO アプリ拡張機能を使用して、Microsoft Entra ID を使用してアプリや Web サイトにサインインします。
      • プラットフォーム SSO を使用して SSO 構成を強化します。 さまざまな認証方法を構成し、サインイン時に新しい組織ユーザーを作成し、ユーザーに承認モードを割り当てることができます。
  • エンド ユーザー:

    • Microsoft Entra ID が Microsoft Enterprise SSO プラグインと統合されるため、より安全なサインイン エクスペリエンスを実現できます。
    • SSO アプリ拡張機能と組み合わせると、シングル サインオン エクスペリエンスが得られます。 SSO アプリ拡張機能を使用すると、Microsoft Entra ID でタッチ ID とパスキーを使用できます。
    • Microsoft Entra ユーザー アカウントでサインインし、macOS デバイスで Microsoft Entra 資格情報を入力する必要がある回数を最小限に抑えることができます。

プラットフォーム SSO の詳細と作業を開始するには、「 Intune で macOS デバイスのプラットフォーム SSO を構成する」を参照してください。

プラットフォーム SSO 機能の概要

次の表は、Intune のプラットフォーム SSO 機能をまとめたものです。 この情報を使用して、プラットフォーム SSO が組織に適しているかどうかを判断します。

機能 詳細
プラットフォーム サポート ❌ iOS/iPadOS
✅ macOS 13.0 以降
サポートされている登録の種類 ✅ デバイス登録
✅ 自動デバイス登録 (監視対象)
❌ ユーザー登録
✅ 直接登録 (Apple Configurator)
サポートされている認証の種類 ✅ Secure Enclave (UserSecureEnclaveKey)
✅ パスワード (Microsoft Entra ID)
✅ Smartcard
サポートされているアプリの種類 ✅ Microsoft 365 アプリ
✅ Microsoft Entra ID と統合されたアプリ、Web サイト、またはサービス
✅ Apple Enterprise SSO をサポートし、オンプレミスの Active Directory と統合されているアプリ、Web サイト、またはサービス
Intune 管理センターポリシーの種類 設定カタログ ポリシー:

デバイス>デバイスの管理>構成>作成>新しいポリシー>macOS for platform >プロファイルの種類の設定カタログ>Authentication>Extensible シングル サインオン (SSO)
推奨事項 ✅ 推奨。

SSO アプリ拡張機能も含まれているので、プラットフォーム SSO を使用します。 SSO アプリ拡張機能は単独で使用できますが、推奨されません。

プラットフォーム SSO を使用するには、プラットフォーム SSO のみを使用する必要があります。 別の SSO アプリ拡張機能ポリシーを作成しないでください。

SSO アプリ拡張機能

この機能は、以下に適用されます。

  • iOS/iPadOS
  • macOS

Microsoft Enterprise SSO プラグインには、プラットフォーム SSO と SSO アプリ拡張機能という 2 つの SSO 機能が含まれています。 このセクションでは、 SSO アプリ拡張機能について説明します。

SSO アプリ拡張機能は、認証に Microsoft Entra ID を使用するアプリ、Web サイト、およびアカウントに SSO を提供します。これには、次のものが含まれます。

  • Microsoft 365 Apps
  • デバイス上のシングル サインオンでユーザー資格情報ストアを検索するために開発されたアプリ
  • Apple のエンタープライズ SSO 機能をサポートするすべてのアプリのオンプレミス Active Directory アカウント

iOS/iPadOS デバイスの場合、SSO アプリ拡張機能は単独で使用できます。 そのため、Web サイト & アプリの SSO アプリ拡張機能を構成して使用できます。

macOS デバイスの場合、SSO アプリ拡張機能は単独で使用でき、プラットフォーム SSO にも含まれています。 そのため、プラットフォーム SSO を使用しない場合は、SSO アプリ拡張機能のみを構成して使用できます。 プラットフォーム SSO を使用する場合は、SSO アプリ拡張機能が含まれるプラットフォーム SSO のみを構成します。

SSO アプリ拡張機能は、リダイレクトタイプの SSO アプリ拡張機能です。 Intune、Jamf Pro、およびその他の MDM ソリューションで使用できます。 Intune では、SSO アプリ拡張機能は、SSO アプリ拡張機能の種類として Microsoft Entra ID を持つデバイス構成ポリシーを使用します。

これらの設定により、リダイレクトの種類と資格情報の種類の SSO アプリ拡張機能が構成されます。 特に次のような場合です。

  • リダイレクトの種類は、OpenID Connect、OAuth、SAML2 などの最新の認証プロトコル用に設計されています。 Microsoft Entra SSO 拡張機能 (Microsoft Enterprise SSO プラグイン と汎用リダイレクト拡張機能) を選択できます。

  • 資格情報の種類は、チャレンジと応答の認証フロー用に設計されています。 Apple で提供される Kerberos 固有の資格情報拡張機能と汎用の資格情報拡張機能から選択できます。

    SSO アプリ拡張機能は、Microsoft 以外の MDM またはパートナー MDM と連携する必要があります。 この拡張機能は、kerberos SSO 拡張機能として展開するか、必要なすべてのプロパティが構成されたカスタム構成プロファイルとして展開する必要があります。

SSO アプリ拡張機能の詳細については、次のページを参照してください。

SSO アプリ拡張機能の概要

次の表は、Intune の SSO アプリ拡張機能の概要を示しています。 この情報を使用して、この SSO オプションが組織に適しているかどうかを判断します。

機能 詳細
プラットフォーム サポート ✅ iOS/iPadOS 13.0 以降
✅ macOS 10.15 以降
サポートされている登録の種類 iOS/iPadOS:
✅ デバイス登録
✅ 自動デバイス登録 (監視対象)
✅ ユーザー登録
✅ 直接登録 (Apple Configurator)

macOS:
✅ ユーザーが承認したデバイス登録
✅ 自動デバイス登録 (監視対象)
✅ 直接登録 (Apple Configurator)
サポートされている認証の種類 ✅ Microsoft Entra ID を含むリダイレクト型の SSO アプリ拡張機能
✅ 資格情報アプリ拡張機能
✅ Apple の組み込みの Kerberos 拡張機能
サポートされているアプリの種類 ✅ Microsoft 365 アプリ
✅ Microsoft Entra ID と統合されたアプリ、Web サイト、またはサービス
✅ Apple の Enterprise SSO をサポートし、オンプレミスの Active Directory と統合されているアプリ、Web サイト、またはサービス
Intune 管理センターポリシーの種類 デバイス機能 テンプレート:

デバイス>デバイスの管理>構成>作成>新しいポリシー>iOS/iPadOS または macOS for platform >Templates>プロファイルの種類のデバイス機能>Single サインオン アプリ拡張機能
推奨事項 ✅ iOS/iPadOS で推奨されます。

❌ macOS デバイスでは推奨されません。

macOS デバイスでは、SSO アプリ拡張機能を単独で使用できます。 ただし、代わりにプラットフォーム SSO を使用することをお勧めします。 macOS 用のプラットフォーム SSO も使用している場合は、別の SSO アプリ拡張機能ポリシーを作成しないでください。 SSO アプリ拡張機能は、プラットフォーム SSO 構成に含まれています。

シングル サインオン テンプレート

注:

これらの SSO 設定の代わりに、Apple では SSO アプリ拡張機能 を使用することをお勧めします (この記事では)。

適用対象:

  • iOS 7.0 以降
  • iPadOS 13.0 以降

このシングル サインオン ポリシーは、Kerberos に基づいています。 Kerberos とは、秘密鍵による暗号化を使用してクライアントとサーバー間でアプリケーションを認証するネットワーク認証プロトコルです。 Intune ポリシー設定では、サーバーまたは特定のアプリにアクセスするときの Kerberos アカウント情報を定義し、Web ページとネイティブ アプリの Kerberos チャレンジを処理します。

Intune で構成できる設定の一覧については、 iOS/iPadOS でのシングル サインオンに関するページを参照してください。

シングル サインオンを使用するには、次の条件を満たしている必要があります。

  • デバイスのシングル サインオンでユーザー資格情報ストアを検索するために開発されたアプリ。
  • iOS/iPadOS デバイスのシングル サインオン用に Intune が構成されていること。

シングル サインオン機能の概要

次の表は、Intune のシングル サインオン機能をまとめたものです。 この情報を使用して、この SSO オプションが組織に適しているかどうかを判断します。

機能 詳細
プラットフォーム サポート ✅ iOS 7.0 以降
✅ iPadOS 13.0 以降
❌ macOS
サポートされている登録の種類 ✅ デバイス登録
✅ 自動デバイス登録 (監視対象)
❌ ユーザー登録
❌ 直接登録 (Apple Configurator)
サポートされている認証の種類 Kerberos SSO 認証のみを使用できます。
- ユーザーがサーバーまたはアプリにアクセスする場合の Kerberos アカウント情報を入力します。
- Kerberos の Apple 実装ではありません。
- Web ページとアプリの Kerberos チャレンジを処理する
サポートされているアプリの種類 Kerberos 認証をサポートする Web サイトとネイティブ アプリ。 デバイスのシングル サインオンでユーザー資格情報ストアを検索するようにアプリをコーディングする必要があります。
Intune 管理センターポリシーの種類 デバイス機能 テンプレート:

デバイス>デバイスの管理>構成>作成>新しいポリシー>iOS/iPadOS for platform >Templates>プロファイルの種類のデバイス機能>Single のサインオン
推奨事項 ❌ 推奨されません。 代わりに、 SSO アプリ拡張機能 (この記事では) を使用することをお勧めします。

SSO アプリ拡張機能と SSO テンプレート

シングル サインオン アプリ拡張機能は、シングル サインオン機能とは異なります。 比較するには、次の表を使用します。

シングル サインオン アプリの拡張機能 シングル サインオン
サポートされるプラットフォーム ✅ iOS/iPadOS 13.0 以降
✅ macOS 10.15 以降
✅ iOS 7.0 以降
✅ iPadOS 13.0 以降
❌ macOS
説明 ID プロバイダーまたは組織がシームレスなエンタープライズ サインオン エクスペリエンスを実現するために使用する拡張機能を定義します。 Apple オペレーティング システムを使用して認証します。 ユーザーがサーバーまたはアプリにアクセスする場合の Kerberos アカウント情報を定義します。
認証 アプリ開発の観点から、任意の種類のリダイレクト SSO または資格情報 SSO 認証を使用できます。 アプリ開発の観点からは、Kerberos SSO 認証のみを使用できます。
Apple の実装 Apple によって開発され、iOS/iPadOS 13.0 以降と macOS 10.15 以降のプラットフォームに組み込まれています。 組み込みの Kerberos 拡張機能を使用して、Kerberos 認証をサポートするネイティブ アプリや Web サイトにユーザーをサインインさせることができます。 Kerberos の Apple 実装ではありません。
推奨事項 推奨。

エンド ユーザー エクスペリエンスが向上します。 これは、Web ページの Kerberos チャレンジを処理し、パスワードの変更をサポートし、エンタープライズ ネットワークでより適切に動作します。

SSO アプリ拡張機能またはシングル サインオン テンプレートで Kerberos を使用することを決定する場合は、パフォーマンスと機能が向上するため、SSO アプリ拡張機能を使用することをお勧めします。
この操作はお勧めしません。

Web ページの Kerberos チャレンジを処理します。