Intune管理のmac:プラットフォームSSOは有用(かも)
最新情報を9章に追記しました(2025年8月16日)
1. はじめに
前回は、Intuneで管理されたiPadをJust-In-Time(JIT)登録機能を使用することで、ユーザによるポータル登録作業を不要にする記事を寄稿しました
今回はmacについても同様のことができないか試してみました
IT管理者の課題感としては前回(iPad記事)とほぼ変わらないです
Intuneで運用管理されているmacについて、セットアップ時のユーザ作業における問題解消ができないかなと。
- EntraIDへのデバイス登録を行うには、ユーザにIntuneポータルアプリで認証設定を行う必要があります
- しかし、ユーザは設定が完了し「macが使える状態」になればIntuneポータルアプリでの登録作業を忘れてしまいがちです
- 登録作業をしないとEntraIDで設定している条件付きアクセスが効かないとか不便なんです(情シスのお守り工数が増えてしまいます)
よさげな機能がありました
macのプラットフォームSSO(Single Sign On)の機能が使えそうです
ただ、マイクロソフトの公式ドキュメントの記載が少々難解です
ほんとうにプラットフォームSSOで課題解決できるのかを試してみます
2. 実現をねらいたい仕様
macセットアップ時にユーザによるIntuneポータルアプリでの登録作業を不要にする
もしくは、登録作業へとユーザを誘導していく導線確保ができればと思います
3. Intune設定:前提条件
Intune構成プロファイルによるプラットフォームSSO設定について記載していきます、以下が設定されていることを前提条件としています
macOS 用の自動デバイス登録 (ADE) が設定されていること
- 以下の公式ドキュメントに詳細記載があります
macOS 用のIntuneポータルサイトアプリがインストールされること
- 以下の公式ドキュメントに詳細記載があります
- 「ポータル サイトをダウンロードしてインストール」してもよいですし「Intuneのアプリ配信機能を利用」してもよいです。僕は後者でインストールしています
プラットフォームSSOの構成は「Secure Enclave」を使用
- 「Microsoftでは、プラットフォームSSOを構成するときに、認証方法としてSecure Enclaveを使用することをお勧めします。」との記載が公式ドキュメントにあるため
4. Intune設定:構成プロファイルでプラットフォームSSOの設定を行います
基本的に以下の公式ドキュメントに沿って設定をします
①新しいポリシを作成します
- プラットフォーム:macOS
- プロファイルの種類:設定カタログ
②構成設定を作成します
設定ピッカーで 「認証」 を展開。「拡張可能なシングル サインオン (SSO)」 を選択
一覧で次の設定を選択します
- URL
- チーム識別子
- プラットフォームSSO
- ユーザマッピングのトークン
- 共有デバイス キーを使用する
- 認証方法(macOS 14以降)
- 拡張機能識別子(デフォルトでチェック済)
- 画面ロック済みの動作
- 登録トークン
- 種類(デフォルトでチェック済)
設定したら「設定ピッカー」を閉じます
以下のように各設定をします
5. 実際に試してみます:mac初期セットアップ
では、初期化されたmacをセットアップしてうまくいくかどうか試してみます
①macの初期設定をします
初期設定が完了すれば「ようこそmacへ」が表示されると思います
- 「続ける」をクリックします
②mac初期設定時のEntraID/Intuneへの登録状況を確認します
Intuneへのデバイス登録は完了しているようです
- 裏で進行している暗号化(FileVault)が完了すれば「準拠している」に変化すると思われます
- なお本記事ではコンプライアンスポリシー設定について言及しませんが、いわゆる普通の設定がされています
一方でEntraIDではユーザに紐づいたmacの表示がされないためデバイス登録はされていないと思われます
6. 実際に試してみます:プラットフォームSSOによるEntraID登録
さぁここから本番です
プラットフォームSSOによるEntraIDへのデバイス登録を試してみます
プラットフォームSSOによる登録を開始します
①mac画面右上の「登録が必要です」の「登録」をクリックします
- 「登録が必要です」が表示されない場合は再起動をすると出てくる場合があります
②プラットフォームシングルサインオン登録
- 「続ける」をクリックします
- TouchIDもしくはパスワード入力をします
③Microsoftサインインの画面が出ますのでEntraIDアカウントでサインインします
- EntraIDアカウント入力
- パスワード認証
- MFA(MS Authenticator)認証
④「デバイスを準備しています」の画面がでます
- ここでmacがEntraIDに登録されるのだと思います
⑤パスキーを使用するオートフィルタをポータルサイトに許可する設定をします
- Microsoftの「職場または学校のアカウント」のパスキーでサインインするためにmacで設定するよう促されます。とても丁寧な誘導なので助かります
- これは説明のための画面であり、実際の設定をするために「システム設定」を開いて設定をします
⑥完了すれば、Company Portal(=Intuneポータルサイトアプリ)の「職場または学校のアカウント」のパスキー構成が成功との表示がされます
- 「Close」をクリックして終了します
7. 実際に試してみます:うまくいったか確認
EntraIDを確認するとデバイス登録が完了していることが分かります
同じEntraIDアカウントデバイス登録された別のPC(windowsPC)からIntuneポータルサイトを起動してみます
- windowsPCのポータルサイトを起動するとmacも登録されていることが分かります
macにてプラットフォームSSO設定されているかを確認してみます
- 「システム設定」の「 ユーザとグループ」を開きます
- 作成されているローカル管理者アカウントのインフォメーションアイコン(アカウント名の右側にあるiのアイコン)をクリックします
- プラットフォームシングルサインオンの項目(ログイン、方法、登録、トークンといったパラメータ)の存在を確認できます
- ネットワークアカウントサーバの編集をクリックします
- プラットフォームシングルサインオンの項目の存在を確認できます
8. いい感じになりました
自動とはいかないまでも、macセットアップからEntraIDデバイス登録までユーザを誘導できる導線を確保することができそうです
9. 追記(2025年8月16日)
本記事で紹介した「mac向けプラットフォームSSO」が一般提供(GA)されたようです
- GAに伴い、SecureEnclave認証において生体認証(TouchID)が使用できるとありますので、さらに便利になると期待しています
- パスワード認証において「ローカルアカウントとパスワードを同期(Microsoft Entra IDのパスワードを使用してmacOSデバイスにサインイン)」 と記載あるのですが、「パスワード認証は非推奨」とされているのでもどかしいところです。この機能がうまく動作することを切に願います
Discussion