😀

MacでMicrosoft Enterprise SSOを使う

2024/05/04に公開

macOS

MacでもEntra IDのSSOを実現させたい

WindowsではWindows Hello for Businessによって、
Entra ID認証をシームレスにSSOすることができます。

Macはまだ残念ながら完全に対応していない。
が、ブラウザとWordやExcelなどのOfficeアプリであればSSOが利用できるようになっている。
詳しくは以下参照。

このプラグインを使うことで、少しばかりEntra IDのSSOができるようになる。
というわけで手持ちのMacで試してみました。

事前準備

MacをMDMで管理できるようにしておくこと。
MSのサイトにはIntuneとJamf Proのやり方が載っているが、
MDMならなんでもOK。

自分はJamf Nowを使ってみた。

MDMじゃなくても構成プロファイルをインストールしていたらいいかも。

SSOカスタムプロファイル作成

SSO設定可能な構成プロファイルを作成する。
IntuneやJamf Proは専用のGUIがあるが、Jamf Nowは残念ながらGUIがない。
なので、手動で作る。
Jamf Nowのカスタムプロファイルの項目を確認すると、
次の2つのツールで作成したプロファイルを読み込むことが可能。

Apple Configurator
iMazing Profile Editor

Apple ConfiguratorではSSO設定ができなかったため、
2のツールを使う。
以下のURLからインストール。
https://imazing.com/profile-editor

Profile Editorを開いたら、
GeneralのNameに任意のプロファイル名を入力する。

左ペインに"Single Sign-On Extention"があるので、そこからペイロードを新規に作成する。

MSのサイト通りに入力する。

項目	入力値
Extention Identifier	com.microsoft.CompanyPortalMac.ssoextension
Type	Redirect
Team Identifier	UBF8T346G9

"URLs"には以下を入力する。

少し下の方にスライドして、
"App Allow List"には**com.microsoft.,com.apple.**を入力する。
また、"Allow Users to Sign in ..."にチェックを入れる。

以上でプロファイルの作成は完了。
PCに保存する。

Jamf Nowにプロファイル追加

次にJamf Nowに移動して、プロファイルの追加を行う。

先ほど作成したプロファイルをアップロードする。

プロファイルをJamfに追加。

プロファイルの追加完了。

しばらくすると、Macの方にもプロファイルが追加されている。

ポータルサイトアプリをMacにインストール

Microsoftポータルサイトアプリをインストールする。
以下のURLをクリックしてインストーラーをDL。

インストーラーを実行して、指示に従ってインストールする。

インストール完了。

動作確認

以上で設定が終わったので、SSOのテストをやってみる。
Safariをプライベートモードに開くか、Entra IDでサインアウト。
その後、Officeポータル(https://portal.office.com )にログインする。

すると、別画面が開いてEntra IDのサインインを求められる。

しかしながら以降はサインインが不要になり、自動的にEntra IDにログインが行われる。

Officeアプリでも同様にサインインが不要となった。
（勝手にログインができているイメージ）

明らかにサインインの頻度が減った

Macの場合、Officeアプリを使う場合はWordやExcelなどのアプリを開くたびに
わざわざサインインを行なっていたが、
このEnterprise SSOプラグインを使うことでサインイン処理の回数が激減。

非常にストレスが減るように。

WindowsみたいにMacOSのサインイン自体もSSOできるようになったらいいのだろうけど、
それはまだ未実装かな？
今後のアップデートに期待。

GitHubで編集を提案