Zenn
🍎

 macOSでのEntra IDへのSSO (Platform SSO)

2024/05/27に公開
macOS
Microsoft 365
Intune
entraid
tech

概要

2024年5月にEntra IDのmacOS用Platform SSO機能がパブリックプレビューで利用可能になり、Microsoft 365環境でmacOSをより利用しやすい状態になりました。まだ出たての機能でそれほど情報がないことと、たまたま触る機会がありましたので、触ってみた感想を書こうと思います。

Platform SSOはmacOS版Windows Hello for Businessみたいなもの、というと、Windowsの管理者には伝わりやすいかと思います。

想定読者

  • macOSをIntuneで管理したい人
  • まだPlatform SSOを触ったことがない人、とりあえず触ってみたが…という人

想定環境

  • Microsoft 365 Business Premiumなど、IntuneおよびEntra ID P1のライセンス
  • macOS 14が動作するデバイス (Platform SSOの前提条件は13.0以降)
  • Appleの自動デバイス登録(ADE)が利用できる環境 (Platoform SSOを利用するために必須ということではない)

環境設定

Platform SSOの設定自体はMicrosoft Learnに従って行えば、特に問題なく行うことができるはずです。macOSでありがちなプロパティリストファイル(plist)を用意する必要なく、設定カタログを利用した構成プロファイルのみで設定可能です。
設定前に認証方法を決定する必要があります。私はドキュメントでお勧めされている Secure Enclave 利用しました。

動作イメージ

Microsoft Learnに画像付きで説明があります。

一時アクセスパス(TAP)を利用すれば、利用者にEntraユーザーアカウントのパスワードを教える必要がありません。パスワードレス実現可能です。

所感

Entraユーザーアカウントでデバイス自体にサインインできるわけではない

ローカルアカウントでサインインしたうえで、Entra IDにSSOするイメージになります。
Entra参加済みWindowsデバイスはEntraユーザーアカウントでWindowsデバイスにサインインするため、Windowsデバイスのローカルアカウントは作成不要です。
ここはWindowsデバイスとmacOSデバイスの考え方の大きな違いかと思います。

Touch ID or Face IDではデバイスに初回サインインできない

デバイス再起動後の初回サインイン時には必ずローカルアカウントのパスワードが必要です。
Windowsデバイスは再起動直後からWindows Hello for Businessの生体認証でサインイン可能ですので、これまたWindowsデバイスとmacOSデバイスの考え方の違いになると思います。

iOSデバイスもデバイス再起動直後はPIN入力が必須なので、Appleデバイス使いとしては至極当たり前の話なのかもしれません。

Platform SSO初回有効化時にパスワードを選択すると、先に進まなくなる

これはバグなのか、考え違いかもしれませんが…
「登録が必要です」の通知メッセージからPlatform SSOのセットアップを行います。この際最初にTouch IDまたはローカルアカウントのパスワードで認証する必要があります。ここではTouch IDで認証するのが正解です。
ローカルアカウントのパスワードを利用すると、後続のEntraへのサインイン画面が表示されず、再度通知メッセージが出ます。ここで通知メッセージをクリックして再度ローカルアカウントのパスワード認証を行なっても、また同じ状況になります。思い直してTouch IDで認証しても同じく先に進めません。
この状況になったら、サインアウトするかデバイスを再起動する必要があります。再度サインインしたあと、「登録が必要です」からTouch IDで認証してください。

Platform SSOのセットアップ完了以降、ローカルアカウントのパスワードでEntra IDにSSOできてしまう

最初にイメージしていたのは、Touch IDやFace IDといった生体認証でデバイスロック解除後Entra IDにSSOする、でした。これで安全にMicrosoft 365資源を利用できるものだと。
ところが実際はローカルアカウントのパスワードでサインイン、ロック解除した場合もSSOできてしまいます。
よくよく考えてみれば、SSOに生体認証必須の場合、パスワード必須の初回サインイン時にはSSOできないことになります。これでは利用者にとって不便ですし、分かりにくい挙動になってしまいます。
ローカルアカウントのパスワードは、Windows Hello for BusinessでいうところのPINである、と考えればしっくりする気がします。
ローカルアカウントのパスワードでMicrosoft 365資源にアクセスできるので、ローカルアカウントのパスワードには一定の強度が必要と言えるでしょう。(Intuneの構成プロファイルで制御可能です)

参考:SSOの挙動

Microsoft 365資源は一通りSSOで利用可能です。

Safari

  • portal.office.comにアクセスすると、即ポータルにアクセス可能。
  • サインイン操作不要。
  • プライベートブラウズでもSSOしてしまう。

Edge

  • プロファイルサインイン
    • 初回起動するとサインイン画面が表示される。
    • サインインして同期を押すだけでサインイン完了。あとはウィザードに従うだけ。
  • ブラウザ利用
    • portal.office.comにアクセスすると、即ポータルにアクセス可能。
    • サインイン操作不要。
    • プライベートブラウズ時はサインイン画面が表示される。

ポータルサイトアプリ

  • アプリを起動するとサインインボタンが表示される。サインインボタンを押すとアカウントを選択する画面になるので、Entraユーザーアカウントを選択することでサインイン完了。

Microsoft 365 Apps (Excel、Wordなど)

  • 初回セットアップウィザードに従った後、即アプリを利用できる状態になる。
  • サインイン操作不要。

Outlook デスクトップアプリ(新しくないもの)

  • アカウント追加画面が表示される。アカウントを選択するだけで利用できるようになる。

Teams デスクトップアプリ

  • アカウント選択画面が表示される。アカウントを選択するだけで利用できるようになる。

OneDrive デスクトップアプリ

  • アカウントが入力された状態の画面が表示される。このまま先に進めて、ウィザードに従えば利用できる。

Discussion