macOS向けのデスクトップパスワード同期

macOS向けのデスクトップパスワード同期機能は、Appleのプラットフォームシングルサインオン（プラットフォームSSO）機能を使用して、ユーザーが覚えておく必要のあるパスワードの数を減らします。また、Oktaは、Appleの設定アシスタントを介したプラットフォームSSOもサポートしており、ユーザーがmacOSの初期セットアッププロセスの一環としてデバイスを登録し、Oktaアカウントをリンクできるようにします。これにより、デバイスのプロビジョニングが合理化され、初回のユーザーエクスペリエンスがシームレスになります。

既存のmacOSアカウントにデスクトップパスワード同期を構成してデプロイすると、ユーザーがデバイスを登録し、ローカルアカウントをOktaとリンクすることが求められます。登録が完了すると、ローカルアカウントのパスワードがOktaのパスワードと同期され、ユーザーはOktaのパスワードを使ってmacOSにサインインできます。デスクトップパスワード同期は、ユーザーのローカルmacOSパスワードをユーザーのOktaパスワードに置き換えます。

登録フロー

構成によっては、デスクトップパスワード同期の登録フローがユーザーをOkta FastPassに登録し、Touch IDを有効化する場合があります。

Okta FastPassで管理者とorgの構成に基づく生体認証が求められる場合、既存のmacOSアカウントを持つユーザーは、デスクトップパスワード同期の登録フローを開始する前にTouch IDをセットアップする必要があります。

プラットフォームSSOのサポート

Oktaは、次のプラットフォームSSOの構成をサポートしています。

• macOS 13 Venturaを使用するプラットフォームSSO。

• プラットフォームSSO 2.0は、macOS 14 Sonoma以降のmacOSコンピューターで利用できます。これにより、ユーザーはmacOSログインウィンドウから直接デスクトップパスワード同期を利用できます。

• サポートされるMDMを利用してmacOS 26 Tahoe以降の設定アシスタントを介したプラットフォームSSO。

orgがプラットフォームSSO 2.0を利用する場合、ユーザーは1つのデバイスに1つのOktaアカウントのみを登録できます。たとえば、ユーザーがuser@company.comとしてデスクトップパスワード同期に登録されていて、デバイス上のローカルアカウントを使って同期されるシナリオを考えてみましょう。この場合、user@company.comには、デバイスが出荷時の設定に復元されるまで、同じOkta資格情報を持つ2つ目のローカルアカウントを登録できません。

タスク

Admin Consoleでプラットフォームシングルサインオンアプリをセットアップしてから、モバイルデバイス管理（MDM）ソリューションでデバイス管理プロファイルを構成します。プロファイルを特定のユーザーやグループにプッシュして、直ちに登録することができます。

構成に関する問題を回避するために、次の順でタスクを実行します。

• プラットフォームシングルサインオンアプリを作成して構成する

• デバイスアクセス証明書

• デバイス管理プロファイルを構成する

• macOS 14向けのデスクトップパスワード同期を構成する

• macOS 15向けのデスクトップパスワード同期を構成する

• macOS 26向けのデスクトップパスワード同期を構成する

開始する前に

次の要件が満たされていることを確認します。

• orgでOkta Verify Authenticatorがセットアップされている。
• 使用しているmacOSコンピューターがmacOS 13 Ventura以降で動作している。

  • コンピューターがmacOS 14 Sonoma以降で動作している場合は、プラットフォームSSO 2.0プロトコルを使用します。

  • プラットフォームSSO 2.0を使用するには、アプリ統合の構成前にデバイスアクセス証明書をセットアップします。

• ペイロードのデプロイメントをサポートするモバイルデバイス管理（MDM）ソフトウェアを使ってデバイスが登録されている。
• ユーザーにパスワードが構成されている。これはパスワードレスのサインインフローとは異なります。パスワードレスのサインインフローでは、バックグラウンドにパスワードがありますが、認証時にそのパスワードが使用されることはありません。真のパスワードレスユーザーには、設定されたパスワードがありません。
• プラットフォームシングルサインオンアプリがorgに利用できる。アプリカタログでアプリが見つからない場合は、アカウント担当者までお問い合わせください。
• 任意。orgでユーザー認証に生体認証が必要な場合、ユーザーは登録フローを開始する前にTouch IDをセットアップする必要があります。
• デプロイする前に、MDMでmacOSパスワードの有効期限を無効にしてください。orgでパスワードのローテーションが必要な場合は、それを必要とするOktaアカウントにパスワードの有効期限を追加してください。

プラットフォームシングルサインオンアプリを作成して構成する

1. Okta orgにスーパー管理者としてサインインします。

2. Admin Consoleで、［Applications（アプリケーション）］［Applications（アプリケーション）］に移動します。

3. ［Browse App Catalog（アプリカタログを参照）］をクリックします。

4. ［Platform Single Sign-on（プラットフォームシングルサインオン）］を検索し、アプリを選択します。

5. ［Add integration（統合を追加）］をクリックします。

   「This feature isn’t enabled（この機能は有効化されていません）」というエラーメッセージが返された場合は、アカウント担当者に連絡してください。

6. 任意。別の名前にする場合は、アプリラベルを更新します。

7. ［Done（完了）］をクリックしアプリの統合を追加します。

8. ［Sign On（サインオン）］タブで、［Client ID（クライアントID）］をコピーします。この値は、MDM構成プロファイルの作成時に必要となります。

9. デスクトップパスワード 同期を使用するには、ユーザーにプラットフォームシングルサインオンアプリが割り当てられなければなりません。［Assignments（割り当て）］タブをクリックし、アプリを個々のユーザーまたはグループに割り当てます。

次の手順

デバイス管理プロファイルを構成する