macOS向けのデスクトップパスワード同期

macOS向けのデスクトップパスワード同期機能は、Appleのプラットフォームシングルサインオン（プラットフォームSSO）機能を使用して、ユーザーが覚えておく必要のあるパスワードの数を減らします。

デスクトップパスワード同期を構成してデプロイすると、ユーザーがデバイスを登録し、ローカルアカウントをOktaとリンクすることが求められます。登録が完了すると、ローカルアカウントのパスワードがOktaのパスワードと同期され、ユーザーはOktaのパスワードを使ってmacOSにサインインできます。デスクトップパスワード同期は、ユーザーのローカルmacOSパスワードをユーザーのOktaパスワードに置き換えます。

Admin Consoleでプラットフォームシングルサインオンアプリをセットアップしてから、モバイルデバイス管理（MDM）ソリューションでデバイス管理プロファイルを構成します。プロファイルを特定のユーザーやグループにプッシュして、直ちに登録することができます。

構成によっては、デスクトップパスワード同期の登録フローがユーザーをOkta FastPassに登録し、Touch IDを有効化する場合があります。Okta FastPassで管理者とorgの構成に基づく生体認証が求められる場合、ユーザーはデスクトップパスワード同期の登録フローを開始する前にTouch IDをセットアップする必要があります。

Oktaは、macOS 13 Ventura以降で動作するmacOSコンピューターのプラットフォームSSOをサポートします。プラットフォームSSO 2.0のサポートは、macOS 14 Sonoma以降で動作するmacOSコンピューターに利用できます。プラットフォームSSO 2.0では、ユーザーはmacOSログインウィンドウから直接デスクトップパスワード同期を利用できます。

orgがプラットフォームSSO 2.0を利用している場合、ユーザーは1つのデバイスに1つのOktaアカウントのみを登録できます。たとえば、ユーザーがuser@company.comとしてデスクトップパスワード同期に登録されていて、デバイスのローカルアカウントと同期されている場合、デバイスが工場出荷時の設定に復元されない限り、user@company.comでは同じOktaユーザーに2つ目のローカルアカウントを登録できません。「macOSユーザーをサポートする」を参照してください。

タスク

構成に関する問題を回避するために、次の順でタスクを実行します。

• プラットフォームシングルサインオンアプリを作成して構成する

• デバイスアクセスSCEP証明書

• デバイス管理プロファイルを構成する

• macOS 14向けのデスクトップパスワード同期を構成する

• macOS 15向けのデスクトップパスワード同期を構成する

• macOSユーザーをサポートする

前提条件

次の要件が満たされていることを確認します。

• Okta Identity Engine orgを利用できる。
• orgでOkta Verify Authenticatorがセットアップされている。
• 使用しているmacOSコンピューターがmacOS 13 Ventura以降で動作している。

  • コンピューターがmacOS 14 Sonoma以降で動作している場合は、プラットフォームSSO 2.0プロトコルを使用します。

  • プラットフォームSSO 2.0を使用するには、アプリ統合を構成する前にデバイスアクセスSCEP証明書を使用します。

• ペイロードのデプロイメントをサポートするモバイルデバイス管理（MDM）ソフトウェアを使ってデバイスが登録されている。
• ユーザーにパスワードが構成されている。これはパスワードレスのサインインフローとは異なります。パスワードレスのサインインフローでは、バックグラウンドにパスワードがありますが、認証時にそのパスワードが使用されることはありません。真のパスワードレスユーザーには、設定されたパスワードがありません。
• プラットフォームシングルサインオンアプリがorgに利用できる。アプリカタログでアプリが見つからない場合は、アカウント担当者までお問い合わせください。
• 任意。orgでユーザー認証に生体認証が必要な場合、ユーザーは登録フローを開始する前にTouch IDをセットアップする必要があります。
• デプロイする前に、MDMでmacOSパスワードの有効期限を無効にしてください。orgでパスワードのローテーションが必要な場合は、それを必要とするOktaアカウントにパスワードの有効期限を追加してください。

プラットフォームシングルサインオンアプリを作成して構成する

1. Okta orgにスーパー管理者としてサインインします。

2. Admin Consoleで、［Applications（アプリケーション）］［Applications（アプリケーション）］［Catalog（カタログ）］に移動します。

3. プラットフォームシングルサインオンを検索して、アプリを選択します。これは、 Admin Console内でデスクトップパスワード同期の新しい名前になります。

4. ［Add integration（統合を追加）］をクリックします。「This feature isn’t enabled（この機能は有効化されていません）」というエラーメッセージが返された場合は、アカウント担当者に連絡してください。

5. ［アプリケーション］リストから［プラットフォーム シングル サインオン］を開きます。

   • ［一般］タブでは、アプリラベルを編集したり、デフォルトのラベルを使用したりできます。

   • ［サインオン］タブで、［クライアントID］をメモします。これは、MDMで管理対象アプリの構成を作成するときに必要になります。

   • デスクトップパスワード 同期を使用するには、ユーザーにプラットフォームシングルサインオンアプリが割り当てられなければなりません。［Assignments（割り当て）］タブで、アプリを個々のユーザーまたはグループに割り当てます。

6. ［Save（保存）］をクリックします。

Okta Verify for macOSをダウンロードする

デスクトップパスワード同期は、デバイスの登録とユーザーの認証にOkta Verifyを使用するOkta Device Accessの一部です。

Admin Consoleで［Settings（設定）］［Downloads（ダウンロード）］に移動し、Okta Verify for macOSをダウンロードします。Okta VerifyパッケージはApple App Storeからダウンロードしてはいけません。

Okta Device Access製品が有効化されているorgであれば、デスクトップパスワード同期を構成してデプロイできます。詳しくは、アカウント担当者までお問い合わせください。

次の手順

デバイス管理プロファイルを構成する