macOS向けPSSO：バージョンの互換性と機能

このページでは、macOSのさまざまなバージョンを通じてプラットフォームシングルサインオン（プラットフォームSSO）に追加された特定の機能について説明します。

バージョン	機能
macOS 26 Tahoe	アイデンティティを優先したPSSO 2.0デプロイメントモデルの最も洗練され合理化されたバージョン。 Appleセットアップアシスタントを介したゼロタッチデプロイメントフローは、自動デバイス登録プロセスの一部としての新規デバイス登録で想定されるプライマリユーザーエクスペリエンスです。デバイスにmacOS用のOkta Verifyバージョン9.52以降がインストールされている。
macOS 15 Sequoia	MDMポリシー設定には、認証と猶予期間ポリシーをサポートするペイロードキーが含まれます。これらのキーは、画面ロック解除、ユーザーの初回サインイン、FileVaultなど、さまざまな認証コンテキストに対応したPSSOの動作を制御します。「認証ポリシー」および「猶予期間ポリシー」を参照してください。 macOS 15.4以降でプラットフォームSSOユーザー登録を実行するには、ユーザーはMDM管理対象ユーザーである必要があります。 FileVaultウィンドウでパスワード同期を強制または試行するには、コンピューターを既知のネットワークに接続します。FileVaultネットワークの要件を参照してください。
macOS 14 Sonoma	モダンなID優先のPSSO 2.0実装へのアーキテクチャの移行。 Appleセットアップアシスタント内で直接、PSSO登録をサポートします。 macOSログインウィンドウからのジャストインタイムローカルアカウント作成をサポートします。ユーザーがmacOSログインウィンドウで新しいOktaパスワードを直接使用できるようにします。 Apple Secure Enclaveを使用したパスワードレスデバイスロック解除エクスペリエンスのテクノロジーが導入されました。
macOS 13 Ventura	ユーザーは、既存のローカルアカウントにサインインした後にのみ登録を開始できます。 PSSOを有効にする前に、ローカルアカウントを手動で作成する必要があります。 PSSOフローを初期デバイスセットアッププロセスに統合することはできません。

ロック解除、ログイン、FileVaultウィンドウのポリシー設定

Appleの認証ポリシーを使用すると、macOS 15 Sequoia以降で認証要件を指定することができます。

各ポリシーをRequireAuthenticationまたはAttemptAuthenticationに設定するか、空白のままにすることができます。macOS 14 Sonomaでは、デフォルトは空白です。

注:

ここで説明するポリシーは、PSSOでのデスクトップパスワード同期に対してのみ機能します。

認証ポリシー

ポリシー名説明

ポリシー名	説明
`RequireAuthentication`	このポリシーでは、ユーザーにアクセスを付与する前にOkta認証が成功している必要があります。何らかの理由でOkta認証が成功しなかった場合、ユーザーのアクセスは拒否されます。インターネット接続の問題によりOktaサーバーにアクセスできない場合、ユーザーはロックアウトされます。この問題を回避するには、`AllowOfflineGracePeriod`フラグを設定します。注: このポリシーは、ロック解除（Unlock）画面でTouch IDを無効にします。 Touch IDがロックされたコンピューターにアクセスできるようにするには、`AllowTouchIDOrWatchForUnlock`を有効にする必要があります。このポリシーは、未登録のローカルmacOSアカウントに適用されます。これらのアカウントが`NonPlatformSSOAccounts`グループに含まれているか、`AuthenticationGracePeriod`ポリシーがアクティブでない限り、ユーザーはアクセスを拒否されます。このポリシーは登録が開始されると有効になります。登録に失敗し、ユーザーがサインんアウトするかデバイスをロックすると、猶予期間を設定しない限り、ユーザーはロックアウトされます。
`AttemptAuthentication`	このポリシーは、ユーザーにアクセスを付与する前にOktaで認証を試みます。パスワードが間違っているためにOkta認証が失敗した場合、アクセスは拒否されます。 Oktaの認証が別の理由で失敗した場合は、パスワードがローカルで検証されます。認証失敗には次のような例が挙げられます。サーバーにアクセスできない。パスワードの有効期限が切れている。ユーザーまたはデバイスのステータスが無効である。ユーザーにアプリが割り当てられていない。
なし	`RequireAuthentication`または`AttemptAuthentication`ポリシーのいずれかを設定しなかった場合は、フレームワークがデフォルトの動作に戻り、パスワードがローカルで確認されます。一致した場合、ユーザーにアクセスが付与されます。ローカルパスワードが一致しない場合は、Oktaと照合されます。

RequireAuthentication

このポリシーでは、ユーザーにアクセスを付与する前にOkta認証が成功している必要があります。何らかの理由でOkta認証が成功しなかった場合、ユーザーのアクセスは拒否されます。

インターネット接続の問題によりOktaサーバーにアクセスできない場合、ユーザーはロックアウトされます。この問題を回避するには、AllowOfflineGracePeriodフラグを設定します。

注:

このポリシーは、ロック解除（Unlock）画面でTouch IDを無効にします。

Touch IDがロックされたコンピューターにアクセスできるようにするには、AllowTouchIDOrWatchForUnlockを有効にする必要があります。

このポリシーは、未登録のローカルmacOSアカウントに適用されます。これらのアカウントがNonPlatformSSOAccountsグループに含まれているか、AuthenticationGracePeriodポリシーがアクティブでない限り、ユーザーはアクセスを拒否されます。このポリシーは登録が開始されると有効になります。

登録に失敗し、ユーザーがサインんアウトするかデバイスをロックすると、猶予期間を設定しない限り、ユーザーはロックアウトされます。

AttemptAuthentication

このポリシーは、ユーザーにアクセスを付与する前にOktaで認証を試みます。パスワードが間違っているためにOkta認証が失敗した場合、アクセスは拒否されます。

Oktaの認証が別の理由で失敗した場合は、パスワードがローカルで検証されます。

認証失敗には次のような例が挙げられます。

サーバーにアクセスできない。
パスワードの有効期限が切れている。
ユーザーまたはデバイスのステータスが無効である。
ユーザーにアプリが割り当てられていない。

なし

RequireAuthenticationまたはAttemptAuthenticationポリシーのいずれかを設定しなかった場合は、フレームワークがデフォルトの動作に戻り、パスワードがローカルで確認されます。

一致した場合、ユーザーにアクセスが付与されます。

ローカルパスワードが一致しない場合は、Oktaと照合されます。

注:

ユーザーのローカルパスワードがFileVaultまたはサインイン画面で同期されている場合、オペレーティングシステムは、キーチェーンのロックを解除するために古いmacOSパスワードを入力するようユーザーに求めます。ユーザーがパスワードを覚えていなくても、パスワードは引き続き同期されます。ただし、すべての保護されたデータ、以前のキーチェーン、および以前のOkta FastPass登録にはアクセスできなくなります。

この操作は元に戻せないため、ユーザーには警告をよく読み、管理者にサポートを依頼するようアドバイスしてください。

猶予期間ポリシー

Appleのデバイス管理プロファイルFileVaultPolicy、LoginPolicy、UnlockPolicyプロパティを使用すると、オフラインおよび未登録のシナリオの猶予期間を指定することができます。設定の詳細については、「Appleのデバイス管理プロパティ：プラットフォームSSO 」を参照してください。

NonPlatformSSOAccountsでは、FileVaultPolicy、LoginPolicyまたはUnlockPolicyの対象とならないローカルアカウントの一覧が表示されます。これらのアカウントでは、プラットフォームSSOに登録するよう求められません。

ポリシー名	説明
`AllowOfflineGracePeriod`	パスワードをローカルで検証した後にオフライン認証を許可し、`OfflineGracePeriod`の設定を要求します。デバイスがオンラインの場合、`AllowOfflineGracePeriod`は迂回され、前のセクションで構成された認証ポリシーによって動作が決定されます。「認証ポリシー」を参照してください。このポリシーは`LoginPeriodWithOfflineFactor` Desktop MFAポリシーに似ています。
`OfflineGracePeriod`	Okta認証が成功した後、ローカルアカウントのパスワードをオフラインで使用できる期間。値は秒単位です。
`AllowAuthenticationGracePeriod`	ユーザーはパスワードをローカルで検証して、未登録のローカルmacOSアカウントをロック解除することができます。このポリシーは`AuthenticationGracePeriod`の設定を要求します。このポリシーは`LoginPeriodWithoutEnrolledFactor` Desktop MFAポリシーに似ています。
`AuthenticationGracePeriod`	`FileVaultPolicy`、`LoginPolicy`、または`UnlockPolicy`がトリガーされた後、未登録のローカルアカウントがロック解除される、またはコンピューターにサインインできる期間。登録が成功したかどうかに関係なく、ユーザーが登録プロセスを開始するとタイマーのカウントダウンが始まります。値は秒単位です。

FileVaultネットワークの要件

FileVaultウィンドウでパスワード同期を強制または試行するには、コンピューターを既知のネットワークに接続します。

FileVaultの場合、コンピューターが接続するネットワークがすでに存在している必要があります。新しいネットワーク接続は許可されません。

WiFi接続

FileVaultで機能するネットワークタイプは、OpenまたはWPA2 Personalのみです。
コンピューターは以前にネットワークに正常に接続されている必要があります。
次のネットワークタイプは使用できません。これらのネットワークのシークレットはシステムまたはデバイスのキーチェーンに保存されており、ドライブが復号化されるまでアクセスできません。
- あらゆる形式のキャプティブポータルネットワーク（接続を提供する前に対話するためのWebページを表示するあらゆるネットワーク）
- WEPまたはWPA3 Personal
- あらゆる形式のWPAエンタープライズネットワーク (RADIUS 802.1x)

イーサネット接続

オープンネットワークアクセスが必要です。RADIUS 802.1x認証はサポートされていません。
コンピューターがUSBイーサネットアダプターを使用する場合、ユーザーはアダプタとコンピューターを特定のUSBポートで動作するように構成する必要があります。「Macのポートを使用する」を参照してください。
FileVaultウィンドウで接続しようとする前に、無制限のUSBアクセスを許可するMDMプロファイルがコンピューターにプッシュされた場合、USBベースのイーサネットアダプターは承認済みネットワークに接続できます。

登録更新クエリ

どのユーザーが登録更新を完了したかは、システムログ（System Log）で次のクエリを実行すれば追跡できます。

eventType eq "device.password_sync.enrollment.create" and target.detailEntry.PlatformSsoProtocol eq "2.0"