😀

MacでMicrosoft Enterprise SSOを使う

2024/05/04に公開

MacでもEntra IDのSSOを実現させたい

WindowsではWindows Hello for Businessによって、
Entra ID認証をシームレスにSSOすることができます。

Macはまだ残念ながら完全に対応していない。
が、ブラウザとWordやExcelなどのOfficeアプリであればSSOが利用できるようになっている。
詳しくは以下参照。
https://learn.microsoft.com/ja-jp/entra/identity-platform/apple-sso-plugin

このプラグインを使うことで、少しばかりEntra IDのSSOができるようになる。
というわけで手持ちのMacで試してみました。

事前準備

MacをMDMで管理できるようにしておくこと。
MSのサイトにはIntuneとJamf Proのやり方が載っているが、
MDMならなんでもOK。

自分はJamf Nowを使ってみた。
https://qiita.com/pipiron3/items/eee1130ff9440dfa8d2f

MDMじゃなくても構成プロファイルをインストールしていたらいいかも。

SSOカスタムプロファイル作成

SSO設定可能な構成プロファイルを作成する。
IntuneやJamf Proは専用のGUIがあるが、Jamf Nowは残念ながらGUIがない。
なので、手動で作る。
Jamf Nowのカスタムプロファイルの項目を確認すると、
次の2つのツールで作成したプロファイルを読み込むことが可能。

  1. Apple Configurator
  2. iMazing Profile Editor
    app00.png

Apple ConfiguratorではSSO設定ができなかったため、
2のツールを使う。
以下のURLからインストール。
https://imazing.com/profile-editor

Profile Editorを開いたら、
GeneralのNameに任意のプロファイル名を入力する。
app01.png

左ペインに"Single Sign-On Extention"があるので、そこからペイロードを新規に作成する。
app02.png

MSのサイト通りに入力する。

項目 入力値
Extention Identifier com.microsoft.CompanyPortalMac.ssoextension
Type Redirect
Team Identifier UBF8T346G9

app03.png

"URLs"には以下を入力する。

app04.png

少し下の方にスライドして、
"App Allow List"には**com.microsoft.,com.apple.**を入力する。
また、"Allow Users to Sign in ..."にチェックを入れる。
app05.png

以上でプロファイルの作成は完了。
PCに保存する。

Jamf Nowにプロファイル追加

次にJamf Nowに移動して、プロファイルの追加を行う。
jamf20.png

先ほど作成したプロファイルをアップロードする。
jamf21.png

プロファイルをJamfに追加。
jamf22.png

プロファイルの追加完了。
jamf23.png

しばらくすると、Macの方にもプロファイルが追加されている。
jamf24.png

ポータルサイトアプリをMacにインストール

Microsoftポータルサイトアプリをインストールする。
以下のURLをクリックしてインストーラーをDL。
https://go.microsoft.com/fwlink/?linkid=853070

インストーラーを実行して、指示に従ってインストールする。
portal01.png

インストール完了。
portal02.png

動作確認

以上で設定が終わったので、SSOのテストをやってみる。
Safariをプライベートモードに開くか、Entra IDでサインアウト。
その後、Officeポータル(https://portal.office.com )にログインする。

すると、別画面が開いてEntra IDのサインインを求められる。
portal03.png

しかしながら以降はサインインが不要になり、自動的にEntra IDにログインが行われる。

Officeアプリでも同様にサインインが不要となった。
(勝手にログインができているイメージ)

明らかにサインインの頻度が減った

Macの場合、Officeアプリを使う場合はWordやExcelなどのアプリを開くたびに
わざわざサインインを行なっていたが、
このEnterprise SSOプラグインを使うことでサインイン処理の回数が激減。

非常にストレスが減るように。

WindowsみたいにMacOSのサインイン自体もSSOできるようになったらいいのだろうけど、
それはまだ未実装かな?
今後のアップデートに期待。

GitHubで編集を提案

Discussion