macOS 26向けのデスクトップパスワード同期を構成する

デスクトップパスワード同期は、macOS 26 Tahoeをサポートするようになりました。以前サポートされていたプラットフォームシングルサインオン(プラットフォームSSO)フローに加え、このサポートにより、自動デバイス登録プロセスの一環としてプラットフォームSSO認証がAppleの設定アシスタントに拡張されます。

デスクトップパスワード同期を使用すると、ユーザーは自動デバイス登録時にOktaのユーザー名とパスワードを入力して、ローカルのmacOSアカウントを作成できます。これにより、Okta資格情報を持つMDM管理対象ユーザーが作成されます。この資格情報は、デバイス設定時に変更できません。

プラットフォームSSOは、Appleシリコン搭載のMacコンピューターでのみサポートされます。サポートされるシステムのリストについては、「Appleシリコン搭載のMacコンピュータ」を参照してください。

Okta FastPassが有効になっているOkta orgの場合:設定アシスタントが終了すると、ユーザーはOktaパスワードと同期されたローカルのmacOSアカウント、および事前登録されたOkta FastPass Authenticatorを持つことになります。

開始する前に

macOS 26 Tahoe向けのデスクトップパスワード同期を準備するには、次の要件を満たしていることを確認してください。

  • デスクトップパスワード同期が正しく構成されている。「プラットフォームシングルサインオンアプリを作成して構成する」を参照してください。

  • デバイスにmacOS用のOkta Verifyバージョン9.52以降がインストールされている。

    • Admin Consoleから最新バージョンを取得するには、[Settings(設定)] [Downloads(ダウンロード)]に移動し、[Okta Verify for macOS(macOS向けOkta Verify)]をダウンロードします。

    • MacコンピューターにインストールされているOkta Verifyのバージョンを確認するには、メニューバーのOkta Verifyアイコンを右クリックし、[About(バージョン情報)]をクリックします。

  • orgがmacOSアカウント名と表示名に異なる形式を使用している場合には、ユーザー名をマッピングするためにカスタム属性を作成する必要があります。

    デフォルトでは、OktausernamemacOSユーザー名として使用され、OktaFirst name + Family name値はmacOSユーザー表示名として使用されます。

    これらの値を上書きするには、Profile Editorでアプリにカスタム属性を追加し、必要に応じてマッピングできます。

    1. まだ済んでいない場合は、Admin ConsoleからmacOSのプラットフォームシングルサインオンアプリを追加します。

    2. Admin Consoleで、[Directory(ディレクトリ)][Profile Editor(プロファイルエディター)]に移動します。

    3. [Platform Single Sign-on for macOS(macOSのプラットフォームシングルサインオン)]アプリを検索して開きます。

    4. [Add Attribute(属性を追加)]をクリックします。

    5. macOSユーザー名として使用する文字列属性を追加します。

      1. [Display name(表示名)]および[Variable Name(変数名)]フィールドをmacOSAccountUsernameに設定します。

      2. [Attribute required(必須属性)]フィールドの[Yes(はい)]チェックボックスを有効にします。

      3. [Save(保存)]をクリックします。

    6. 繰り返してmacOSAccountFullName属性を追加します。Oktaでは、この属性をmacOS表示名として使用します。

    7. [Mappings(マッピング)][Configure User mappings(ユーザーマッピングを構成)]の順でクリックします。

    8. [User Profile Mappings(ユーザープロファイルのマッピング)]ダイアログで、[Okta User to Platform Single Sign-on for macOS(OktaユーザーをmacOSのプラットフォームシングルサインオンに)]タブを選択します。

      Okta属性のuser.loginおよびuser.displayは、それぞれmacOSAccountUsernameおよびmacOSAccountFullName属性にマッピングされます。これらのフィールドを変更する場合は、別のOkta属性を選択するか、フィールドに式を追加します(Okta Expression Languageを使用)。

    9. [Save Mappings(マッピングを保存)]をクリックします。

    アプリ、ディレクトリ、IDプロバイダーにカスタム属性を追加する」と「Profile EditorでOkta属性をアプリの属性にマッピングする」を参照してください。

プラットフォームSSO 2.0の構成

プラットフォームSSOを構成するには、「macOS 15向けのデスクトップパスワード同期を構成する」の手順に従います。

macOS 26 Tahoeでは、設定アシスタントの使用時にプラットフォームSSOをアクティブ化するために追加の手順が1つあります。

SSO機能拡張プロファイルを作成する場合は、[Enable registration during setup(設定時に登録を有効にする)][Enabled(有効)]に設定します。

デバイス管理プロファイルを構成するには、以下を行います。

  1. MDMでPlatformSSOプロファイルを見つけます。

  2. プロファイルを[Edit(編集)]して次を有効にします。

    • New User Authorization Mode(新規ユーザー認可モード):この値は、作成されたアカウントの権限タイプを決定します。アカウントをAdmin(管理者)またはStandard(標準)に設定します。

    • User Mapping(ユーザーマッピング):

      • macOSAccountUsernameAccountNameとして設定します。

      • macOSAccountFullNameFullNameとして使用します。

  3. プロファイルを保存します。

自動デバイス登録の構成

自動デバイス登録の構成は、デバイス管理システムによって異なります。詳細については、MDMベンダーの手順を参照してください。

デスクトップパスワード同期には、自動デバイス登録プロセスの一環として以下の項目を構成します。

  • [Simplified Setup for Platform Single Sign-On(プラットフォームシングルサインオンの簡素化されたセットアップ)]を有効にします。

  • [Platform Single Sign-On Bundle ID(プラットフォームシングルサインオンバンドルID)]の値をcom.okta.mobileに設定します。

  • これらの構成プロファイルのスコープをデバイスに適用します。

    • Device Access SCEP(デバイスアクセスSCEP)

    • Platform SSO 2.0 configuration(プラットフォームSSO 2.0の構成)

  • [Okta Verify][Enrollment Package(登録パッケージ)]として有効にします。

次の手順

ユーザーをサポートする