🐑

Intune管理のmac:PSSO(Password)

に公開
macOS
Intune
MDM
Entra ID
tech

1. はじめに

前回は、Intune管理macのPSSO(Secure Enclave)についての記事を寄稿しました
https://zenn.dev/morif/articles/2349357080a82b

今回はPSSO(Password)について試してみみました

なお本記事はmacOS15 Sequoiaのmacを対象としています
つい先日リリースされたmacOS26 TahoeのPSSOについては最後に少し触れます

2. 試した結果どうだったのか

先に結果から書きます
というのも期待を完全に満足とはいかなかったためです
以下の2点は期待通りでした

  • IntuneポータルでのサインインをせずともMicrosoft Entraへmacが登録される
  • macサインインとEntraIDのID/Passwordが同期

以下は期待はずれでした

  • IT管理者がEntraIDで実施したリセットパスワードとmacが同期しない

リセットしたパスワードと同期をさせるのはmac側でひと手間かかることが分かりました
windowsPCのようにユーザのパスワード忘却に対し、EntraIDでのパスワードリセットですぐに回復というわけにはいきませんでした。実際運用していてこのケースが多いんです

 
とはいえ「ユーザの管理すべきPasswordが1つ減らせる」ため有用であることには変わりません

 

3. 制限事項

PSSO(Password)には制限事項があります

  • Microsoftが推奨しているPSSOは「Password」方式ではなく「Secure Enclave」方式である点
  • Intuneで構成したパスワードにかかるコンプライアンスポリシが誤動作を引き起こす可能性がある点

「Password」方式よりも、認証キーがハードウェアにバインドされる「Secure Enclave」の方がセキュリティ強度が高いと思われます
しかし、EntraIDと同じパスワードでmacへのサインインができる「Password」方式もなかなか魅力的です

4. Intune設定:PSSO(Password)の設定を行います

基本的に以下の公式ドキュメントに沿って設定をします

  • なお前述した制限事項のついての記載もこちらにあります

https://learn.microsoft.com/en-us/intune/intune-service/configuration/platform-sso-macos

①新しい構成プロファイルを作成します

  • プラットフォーム:macOS
  • プロファイルの種類:設定カタログ

②構成設定を作成します
設定ピッカーで 「認証」 を展開。「拡張可能なシングル サインオン (SSO)」 を選択

一覧で次の設定を選択します

  • URL
  • チーム識別子
  • プラットフォームSSO
    • ユーザマッピングのトークン
    • 共有デバイス キーを使用する
    • 認証方法(macOS 14以降)
  • 拡張機能識別子(デフォルトでチェック済)
  • 画面ロック済みの動作
  • 登録トークン
  • 種類(デフォルトでチェック済)

設定したら「設定ピッカー」を閉じます

「構成設定」にて以下のように各設定をします

  • 認証方法はPSSO(Secure Enclave)では「UserSecureEnclaveKey」でしたが、今回のPSSO(Password)では「パスワード」に設定します


 
 

5. Intune設定:コンプライアンスポリシの設定を行います

前述の制限事項の1つであるコンプライアンスポリシによる誤動作が発生しないための設定になります
公式ドキュメントには以下の記載があり注意が必要です

Intune のパスワードポリシーおよびコンプライアンスポリシーが Microsoft Entra のパスワードポリシーと一致していることを確認してください。ポリシーが一致していない場合、パスワードが同期されず、エンドユーザーがアクセスを拒否される可能性があります。

ここでは上記問題を回避するために、コンプライアンスポリシのパスワード設定を敢えてしないといった方法を紹介します
しかし、筆者が試した限りこの対処をしない場合のトラブルを確認できませんでした
トラブルに見舞われてしまったときに試してみてもよいかもしれません

①コンプライアンスポリシの設定を始めます

②コンプライアンス設定を行います
「システムセキュリティ」の「パスワード」のところで「デバイスのロック解除にパスワードを必要とします」を「構成されていません」に設定します

 
 

6. PSSO(Password)設定でmacを起動する

PSSO(Password)設定によってmacがどのような挙動になるのかを確認してみます

では、初期化されたmacをセットアップしてうまくいくかどうか試してみます

①macの初期設定をします

Macアカウント作成画面ではローカルマシンのパスワードを設定します
このパスワードはのちほど行うPSSOの設定でも使用します
初期設定が完了すれば「ようこそmacへ」が表示されると思います

  • 「続ける」をクリックします

少し待つとIntuneで設定された構成プロファイルがmacに反映されます
この状態でのIntuneとMicrosoft Entraそれぞれへのmacの登録状況を確認してみます

  • IntuneのmacOSデバイスに対象macが出現します

  • 一方、ユーザに紐づくデバイスとしてはMicrosoft Entraでの表示はされません
    • これはまだPSSO設定が完了していないためです


 
 

②PSSO(Password)によるMicrosoft Entraへの登録を開始します
macサインインとEntraIDのID/Passwordの同期も合わせて行います

mac画面右上に「登録が必要です」のポップアップが現れます

  • 実は「登録が必要です」の下の文言が「Password」方式と「Secure Enclave」方式では異なります
    • Secure Enclave方式:IDプロバイダに登録してください
    • Password方式:MacにログインするにはIDプロバイダのパスワードを使用します

「登録が必要です」ポップアップで「登録」をクリックします

 
 
「プラットフォームシングルサインオン登録」で「続ける」をクリックします

  • Secure Enclave方式で表示された同様の画面から「データアクセス」が追加されていることがわかります

 
 
「プラットフォームSSO」でパスワード(ここでは最初に設定したローカルマシンパスワード)を入力し「ロックを解除」をクリックします

  • 「macOSパスワードを”IDプロバイダ”のパスワードと同期します」の表示からPassword方式で進行していることがわかります

 
 
Microsoftサインインの表示が出現します
ここではEntraIDアカウントでサインインします

  • (設定によりますが)パスワード認証のあとMFA(MS Authenticatorなど)認証を通過していくプロセスが一般的かと思われます

 
 
「デバイスを準備しています」の画面

  • macのMicrosoft Entraへの登録の処理中だと思われます

 
 
「Microsoft Entra」画面にてパスワード(EntraID)を入力してサインインします

 
 
「プラットフォームシングルサインオン登録」画面にて「登録が完了しました」の表示がされます

  • 右下の「閉じる」をクリックして画面を閉じます

 
 
成功すると画面右上に「アカウントがアップデートされました」のポップアップが表示されます

  • 「パスワードがMicrosoft Entraと同期されました」との記載からうまくいったことを確認できます

 
 

7. PSSO(Password)で設定できているか確認してみる

うまくいっていればよいのですが、確認してみることにします

①再起動(もしくはスリープ復帰)からmacへサインインする
EntraIDのパスワードでサインインできます
(初めて試したときは少し感動してしまいました)
ちなみにセットアップ時に設定したローカルマシンパスワードではサインインできません

 
 
②Microsoft Entraのmac登録状況を確認する
Microsoft Entraへの登録に成功していることがわかります

 
 
③macのシステム設定で確認する
macのシステム設定から「ユーザとグループ」を選択します

 
ユーザ情報を見てみます

  • 作成されているローカル管理者アカウントのインフォメーションアイコン(アカウント名の右側にあるiのアイコン)をクリックします
  • パスワードはEntraIDのパスワードと同期されているためmac側では変更できなくなっています
  • ログインアカウントがEntraIDアカウントになっています
  • PSSO方法が「パスワード」となっています

 
ネットワークアカウントサーバの編集をクリックします

  • Mac SSO Extensionが「登録済み」になっていることが確認できます

 
 

8. EntraIDでパスワードリセットするとどうなるのか

EntraIDで実施したリセットパスワードにmacは同期するのかを試してみます
windowsPCと同様にこれができるなら最高だったのですが、最初に書いたようにできませんでした。残念

- macにはリセットパスワードでサインインできませんでした
- リセットする前の旧パスワードでサインインできました

 
(ユースケースが想像できないのですが)macをリセットパスワードに同期させる方法はあります
①前述したネットワークアカウントサーバの編集をクリックします
②Mac SSO Extensionが「登録中」になっているので「登録」をクリックして再登録を行います

③完了すればMac SSO Extensionが「登録済み」に変わります(パスワードの変更を求められます)
④再起動(もしくはスリープ復帰)からmacへ新パスワードでサインインできることを確認します

 
 

9. トラブルシューティング

検証中に「登録します」のポップアップがなかなか出てこないケースがありました

  • すぐに出てくることもあったり数時間かかったりと、何と因果関係があるのかよくわかりません
  • 少なくともCompany Portalのインストール完了より前には出てこないと思います
    • (余談ながら)私の環境ではCompany Portalをスクリプトでインストールしています

 
対応策ですが、システム設定からMac SSO Extensionの再登録を行うといった方法があります

  • Mac SSO Extensionが「登録中」になっているので「登録」をクリックして再登録を行います
  • 前述のパスワードリセット時の同期方法で触れた設定と同じです
  • 実運用時を考慮すると、手間が増えてしまうことで実施しないユーザの存在を危惧してしまいます

 
 

10. macOS26 Tahoeへの期待

つい先日リリースされたmacOS26 Tahoeでは「デバイス管理の自動デバイス登録を使用して、設定アシスタントの実行中にプラットフォームSSOを有効化し、必須化できます。」とのこと
https://support.apple.com/ja-jp/124963

ユーザとIT管理者の双方にとって素晴らしく有用です
この機能は「簡易設定PSSO(Simplified Setup PSSO)と呼ばれています
しかし現状はMicrosoft Entra/Intuneでは未対応のようです

  • ちなみにJamf/Microsoft Entraの組み合わせでは私が試したかぎり、途中でコケます
    • ドキュメント読むとできそうなのですがちょっと分かりません

Discussion