macOS デバイスで Microsoft Enterprise SSO プラグインを使用する

  • [アーティクル]

Microsoft Enterprise SSO プラグインは、Apple デバイスにシングル サインオン (SSO) 機能を提供する Microsoft Entra ID の機能です。 このプラグインでは、Apple のシングル サインオン アプリ拡張フレームワークを使用しています。

SSO アプリ拡張機能は、認証に Microsoft Entra ID を使用するアプリや Web サイト (Microsoft 365 アプリを含む) にシングル サインオンを提供します。 これにより、SSO プロファイルの構成をサポートする MDM を含め、Mobile Device Management (MDM) によって管理されるデバイスを使用するときにユーザーが取得する認証プロンプトの数が減ります。

この記事は、次の項目に適用されます:

macOS デバイスでは、Intune で次の 2 つの場所で SSO アプリ拡張機能の設定を構成できます。

  • デバイス機能テンプレート (この記事) - このオプションでは、SSO アプリ拡張機能のみを構成し、Intune などの MDM プロバイダーを使用して設定をデバイスに展開します。

    SSO アプリ拡張機能の設定のみを構成し、プラットフォーム SSO も構成しない場合は、この記事を使用します。

  • [設定カタログ] - このオプションは、プラットフォーム SSO と SSO アプリ拡張機能を一緒に構成します。 Intune を使用して、デバイスに設定を展開します。

    プラットフォーム SSO と SSO アプリ拡張機能の両方の設定を構成する場合は、設定カタログ設定を使用します。 詳細については、「 Microsoft Intune で macOS デバイスのプラットフォーム SSO を構成する」を参照してください。

Apple デバイスでの SSO オプションの概要については、「 Microsoft Intune の Apple デバイスの SSO の概要とオプション」を参照してください。

この記事では、Intune、Jamf Pro、およびその他の MDM ソリューションを使用して、macOS Apple デバイス用の SSO アプリ拡張機能構成ポリシーを作成する方法について説明します。

プラットフォーム SSO と SSO アプリ拡張機能の設定を一緒に構成する場合は、[ Microsoft Intune で macOS デバイスのプラットフォーム SSO を構成する] に移動します。

アプリのサポート

アプリで Microsoft Enterprise SSO プラグインを使用するには、次の 2 つのオプションがあります。

  • オプション 1 - MSAL: Microsoft 認証ライブラリ (MSAL) をサポートするアプリは、Microsoft Enterprise SSO プラグインを自動的に利用します。 たとえば、Microsoft 365 アプリでは MSAL がサポートされています。 そのため、自動的にプラグインが使用されます。

    組織が独自のアプリを作成する場合、アプリ開発者は MSAL に依存関係を追加できます。 この依存関係により、アプリで Microsoft Enterprise SSO プラグインを使用できます。

    サンプル チュートリアルについては、「 チュートリアル: ユーザーにサインインし、iOS または macOS アプリから Microsoft Graph を呼び出す」を参照してください。

  • オプション 2 - AllowList: MSAL でサポートされていないアプリまたは開発されていないアプリは、SSO アプリ拡張機能を使用できます。 これらのアプリには、Safari などのブラウザーや、Safari Web ビュー API を使用するアプリが含まれます。

    これらの MSAL 以外のアプリの場合は、Intune SSO アプリ拡張機能ポリシー (この記事で) の拡張機能構成にアプリケーション バンドル ID またはプレフィックスを追加します。

    たとえば、MSAL をサポートしていない Microsoft アプリを許可するには、Intune ポリシーの AppPrefixAllowList プロパティにcom.microsoft.を追加します。 許可するアプリには注意してください。サインインしているユーザーの対話型サインイン プロンプトをバイパスできます。

    詳細については、「 Microsoft Enterprise SSO プラグイン for Apple デバイス - MSAL を使用しないアプリ」を参照してください。

前提条件

macOS デバイスで Microsoft Enterprise SSO プラグインを使用するには:

  • デバイスは Intune によって管理される MDM です。
  • デバイスで、次のプラグインがサポートされている必要があります。
    • macOS 10.15 以降
  • Microsoft ポータル サイト アプリをデバイスにインストールして構成する必要があります。
  • Enterprise SSO プラグインの要件は、 Apple ネットワーク構成 URL を含めて構成されています

Microsoft Enterprise SSO プラグインと Kerberos SSO 拡張機能

SSO アプリ拡張機能を使用する場合は、認証に SSO または Kerberos ペイロードの種類を使用します。 SSO アプリ拡張機能は、これらの認証方法を使用するアプリと Web サイトのサインイン エクスペリエンスを向上させるように設計されています。

Microsoft Enterprise SSO プラグインは、SSO ペイロードの種類を リダイレクト 認証で使用します。 SSO リダイレクトと Kerberos 拡張機能の種類は、両方ともデバイスで同時に使用できます。 デバイスで使用する予定の拡張機能種類ごとに、必ず個別のデバイス プロファイルを作成してください。

シナリオに適した SSO 拡張機能の種類を判断するには、次の表を使用してください。

Apple デバイス用の Microsoft Enterprise SSO プラグイン Kerberos を使用したシングル サインオン アプリ拡張機能
Microsoft Entra ID SSO アプリ拡張機能の種類を使用します Kerberos の SSO アプリ拡張機能が使用されます
次のアプリがサポートされます。
- Microsoft 365
- Microsoft Entra ID と統合されたアプリ、Web サイト、またはサービス		 次のアプリがサポートされます。
- AD に統合されたアプリ、Web サイト、またはサービス

SSO アプリ拡張機能の詳細については、「 Microsoft Intune の Apple デバイスの SSO の概要とオプション」を参照してください。

シングル サインオン アプリ拡張機能構成ポリシーを作成する

このセクションでは、SSO アプリ拡張機能ポリシーを作成する方法について説明します。 プラットフォーム SSO の詳細については、「 Microsoft Intune で macOS デバイスのプラットフォーム SSO を構成する」を参照してください。

Microsoft Intune 管理センターで、デバイス構成プロファイルを作成します。 このプロファイルには、デバイスで SSO アプリ拡張機能を構成するための設定が含まれます。

  1. Microsoft Intune 管理センターにサインインします。

  2. [ デバイス>管理デバイス>構成>作成>新しいポリシー] を選択します

  3. 次のプロパティを入力します。

    • プラットフォーム: macOS を選択します。
    • プロファイルの種類: [テンプレート>デバイス機能] を選択します。

  4. [ 作成] を選択します。

    Intune で macOS 用のデバイス機能構成プロファイルを作成する方法を示すスクリーンショット。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なポリシー名は macOS-SSO アプリ拡張機能です
    • [説明]: ポリシーの説明を入力します。 この設定は省略可能ですが、推奨されます。

  6. [次へ] を選択します。

  7. [構成設定] で、[シングル サインオン アプリ拡張機能] を選択し、次のプロパティを構成します。

    • SSO アプリ拡張機能の種類: Microsoft Entra ID を選択します。

      Intune の macOS 用の SSO アプリ拡張機能の種類と Microsoft Entra ID を示すスクリーンショット

    • [アプリ バンドル ID]: MSAL をサポートしておらず、かつ SSO の使用を許可されているアプリのバンドル ID の一覧を入力します。 詳細については、「 MSAL を使用しないアプリケーション」を参照してください。

    • [追加の構成]: エンド ユーザー エクスペリエンスをカスタマイズするには、次のプロパティを追加します。 これらのプロパティは SSO アプリ拡張機能で使用される既定値ですが、組織のニーズに合わせてカスタマイズできます。

      キー 説明
      AppPrefixAllowList String 推奨値: com.microsoft.,com.apple.

      MSAL をサポートしておらず、かつ SSO の使用を許可されているアプリのプレフィックスの一覧を入力します。 たとえば、「 com.microsoft.,com.apple. 」と入力して、すべての Microsoft アプリと Apple アプリを許可します。

      これらのアプリが許可リストの要件を満たしていることを確認してください。
      browser_sso_interaction_enabled 整数 推奨値: 1

      1 に設定した場合、ユーザーは Safari ブラウザーや、MSAL をサポートしていないアプリからサインインできます。 この設定を有効にすると、ユーザーは Safari またはその他のアプリから拡張機能をブートストラップできるようになります。
      disable_explicit_app_prompt 整数 推奨値: 1

      アプリによっては、プロトコル レイヤーでエンドユーザー向けのプロンプトが誤って強制的に表示されることがあります。 この問題が発生した場合は、Microsoft Enterprise SSO プラグインが他のアプリに対して機能している場合でも、ユーザーにサインインを求めるプロンプトが表示されます。

      1 (1) に設定すると、これらのプロンプトが減ります。

      ヒント

      これらのプロパティと構成できるその他のプロパティの詳細については、 Apple デバイス用の Microsoft Enterprise SSO プラグインに関するページを参照してください。

      推奨される設定の構成が完了すると、設定は Intune 構成プロファイルの次の値のようになります。

      Microsoft Intune の macOS デバイス上の Enterprise SSO アプリ拡張機能プラグインのエンド ユーザー エクスペリエンス構成オプションを示すスクリーンショット。

  8. プロファイルの作成を続行し、これらの設定を受け取るユーザーまたはグループにプロファイルを割り当てます。 特定の手順については、 プロファイルの作成に関するページを参照してください。

    プロファイルの割り当てに関するガイダンスについては、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。

ポリシーの準備ができたら、ポリシーをユーザーに割り当てます。 デバイスが Intune に登録されるときにポリシーを割り当てることをお勧めします。 ただし、既存のデバイスを含め、いつでも割り当てることができます。 デバイスが Intune サービスでチェックインすると、このプロファイルが受信されます。 詳細については、「 ポリシーの更新間隔」を参照してください。

プロファイルが正しく展開されたことを確認するには、Intune 管理センターで [デバイス>管理デバイス>Configuration] に移動し>作成したプロファイルを選択してレポートを生成します。

Microsoft Intune の macOS デバイス構成プロファイル展開レポートを示すスクリーンショット。

エンド ユーザーのエクスペリエンス

Microsoft Intune の macOS デバイスに SSO アプリ アプリ拡張機能をインストールするときのエンド ユーザー フロー チャート。

  • アプリ ポリシーを使用してポータル サイト アプリを展開していない場合は、ユーザーが手動でインストールする必要があります。 ユーザーはポータル サイト アプリを使用する必要はありません。デバイスにインストールするだけで済みます。

  • ユーザーは、サポートされているアプリまたは Web サイトにサインインして拡張機能をブートストラップします。 ブートストラップは初回サインインのプロセスで、これにより拡張機能が設定されます。

  • ユーザーが正常にサインインすると、拡張機能は、サポートされている他のアプリや Web サイトへのサインインに自動的に使用されます。

シングル サインオンをテストするには、 Safari をプライベート モードで 開き (Apple の Web サイトを開く)、 https://portal.office.com サイトを開きます。 ユーザー名とパスワードは必要ありません。

ユーザーはアプリまたは Web サイトにサインインして、Microsoft Intune の iOS/iPadOS および macOS デバイスでの SSO アプリ拡張機能をブートストラップします。

macOS では、ユーザーが職場または学校のアプリにサインインすると、SSO のオプトインまたはオプトアウトを求められます。 [もう一 度要求しない ] を選択して SSO をオプトアウトし、今後の要求をブロックできます。

また、ユーザーは、macOS 用の Intune ポータル サイト アプリで SSO の基本設定を管理することもできます。 ユーザー設定を編集するには、ポータル サイト アプリのメニュー バー >Company Portal>Settings に移動します。 [ このデバイスのシングル サインオンでサインインするように求めない] を選択または選択解除できます。

このデバイスのシングル サインオンでサインインするように求めないでください。

ヒント

SSO プラグインのしくみと、Apple デバイスの SSO トラブルシューティング ガイドを使用して Microsoft Enterprise SSO 拡張機能の トラブルシューティングを行う方法について説明します。