macOSユーザーをサポートする
ユーザーがmacOSデバイスを登録し、ローカルコンピューターアカウントをOktaアカウントにリンクすると、デバイスパスワードとOktaパスワードが同期されます。デバイスパスワードはOktaパスワードに置き換えられます。同期済みパスワードは、それまでローカルアカウントのパスワードが必要とされた、macOS上のあらゆるものにアクセスできます。ユーザーがOktaパスワードを変更する場合は、コンピューターをロックし、更新されたパスワードでロックを解除して、パスワードを同期する必要があります。そうすることで、サービスがデバイスとIDプロバイダーのパスワードを同期できます。
-
デスクトップパスワード同期をアップグレードしてプラットフォームシングルサインオン(プラットフォームSSO)2.0を使用する場合、同期はmacOSログインウィンドウでサポートされます。
-
macOS 15 Sequoiaリリースでは、Appleシリコン搭載のMacコンピューターのFileVaultウィンドウでのパスワード同期も導入されています。
Oktaでは、ユーザーがサインインフローの変更に対応できるように、デスクトップパスワード同期プランについて伝達するための一連のテンプレートを提供しています。Okta管理者向けローンチキットからテンプレートをダウンロードし、新しい認証プロセスをユーザーに説明するための適切な文言を使用してください。
アカウントロックアウト
デスクトップパスワード同期機能を使用する場合、ユーザーはmacOSログインウィンドウでIDプロバイダー(IdP)のパスワードを入力して、パスワードが同期されていることを確認する必要があります。
ただし、ユーザーのIdPパスワードがランダムな文字と記号の組み合わせである場合は、ユーザーにとって覚えるのが難しいことがあります。ユーザーがIdPパスワードを入力する画面には、パスワードを入力するときにアスタリスクのみが表示されます。入力した資格情報を表示するオプションがなければ、ユーザーは入力を検証するのが困難です。
パスワード試行の失敗回数を制限するポリシーを適用すると、パスワードの同期を試みる際にしきい値を超過したユーザーのOktaアカウントがロックされる可能性があります。この場合、管理者が手動でアカウントをロック解除する必要があります。
この問題に対処するには、ユーザーはデスクトップパスワード同期に登録する前に、Oktaパスワードを覚えやすいパスワードに設定する必要があります。登録後、ユーザーのmacOSパスワードはOktaパスワードと一致するように更新されます。ユーザーはmacOSの認可ポイントごとに、この同期パスワードを入力する必要があります。
バグの報告チャネルを確立する
ユーザーに、ユーザーのモバイルデバイスからOkta Verifyで問題やバグを報告するよう依頼します。ユーザーのOkta Verifyモバイルアプリの[Menu(メニュー)]バーには、[Send Feedback(フィードバックを送信)]リンクがあります。ユーザーは、[Report a bug(バグを報告する)]をタップしてフォームに記入する必要があります。システムログが自動的に添付され、レポートがOktaに送信されます。次に、ユーザーは組織内の別のユーザーに連絡し、コンピューターへのサインインをサポートしてもらう必要があります。
macOS 15 Sequoiaでは、ユーザー登録中にアクティブウィンドウの左下隅に同期プロセスの現在の状態 (デバイスの登録、ユーザーの登録、キーの要求など)が表示されます。
パスワードの同期
ユーザーのパスワードはワークフローの特定の時点で同期されます。デスクトップパスワード同期から予想される動作を確認するには、次の表を参照してください。
|
動作 |
結果 |
|---|---|
|
ユーザーがデスクトップパスワード同期の登録を完了する。 |
ローカルアカウントのパスワードがユーザーのOktaパスワードと異なる場合、ローカルアカウントのパスワードはOktaパスワードに置き換えられる。 ローカルアカウントのパスワードがユーザーのOktaパスワードと同じ場合、ローカルアカウントのパスワードは変更されない。 |
|
ユーザーがローカルアカウントまたはIDプロバイダーのパスワードを変更する。 |
ユーザーがIDプロバイダーのパスワードを入力し、デバイスをロック解除する場合、パスワードは同期される。 |
|
ユーザーがmacOSログインウィンドウで変更したIDプロバイダーのパスワードを入力する。 |
macOS 13 Ventura:サインインに失敗する。macOSログインウィンドウでのパスワード同期は、プラットフォームシングルサインオン 2.0でのみサポートされる。ユーザーはmacOSログインウィンドウで古いパスワードを入力する必要があり、サインインすると、デバイスを新しいパスワードに再同期するよう求められる。 macOS 14 Sonoma以降:ユーザーがプラットフォームシングルサインオン 2.0に移行した場合、パスワードは同期される。 |
|
ユーザーがmacOSパスワードの有効期限プロンプトを使用してパスワードをローカルで変更する。 |
サインインに失敗する。このパスワードはOktaと同期されず、前のパスワードに戻ろうとする。MDMパスワードポリシーが実施されているため、前のパスワードに戻ることはできない。 MDMで、影響を受けるユーザーのmacOSアカウントのローカルパスワードの有効期限を無効にする。macOSパスワードの有効期限ポリシーはOktaパスワードポリシーと重複しており、デスクトップパスワード同期と互換性がない。 「パスワードAuthenticatorを構成する」を参照。 |
|
コンピューターをロック解除する、またはサインインするために、ユーザーが同期していないパスワードを入力する。 |
コンピューターのロックは解除され、ユーザーはサインインを許可される。パスワード同期を完了するために、ユーザーには直ちにOktaパスワードの入力が求められる。 |
|
macOS 15 Sequoia:ユーザーはパスワードをローカルで変更し、FileVaultウィンドウにOktaのパスワードを入力しようとする。 |
ユーザーはログインキーチェーンの古いデバイスのパスワードを入力する必要がある。 このフローはサインインフロー中のパスワード同期に似ており、macOSでは、パスワードがローカルで変更された場合にサインインキーチェーンを求めるプロンプトがユーザーに表示されます。 パスワードをローカルで変更するのではなく、Oktaのパスワードを変更してパスワード同期を実行するようユーザーに伝える。 |
|
macOS 15 Sequoia:ユーザーのパスワードがFileVaultまたはログインウィンドウで同期されている場合、キーチェーンのロックを解除するために古いMacのパスワードを入力するよう求められる。 ユーザーが古いMacのパスワードを忘れた場合、以前のキーチェーンとすべての保護されたデータにアクセスできなくなる。この操作は元に戻せません。ユーザーに警告をよく読み、管理者にサポートを依頼するようアドバイスしてください。 |
ユーザーのキーチェーンが削除された場合、ユーザーはすべてのパスワード、キーチェーンの内容、Okta FastPassの登録を失います。 |