Microsoft Intuneを使用してPSSOのデバイス構成プロファイルを構成する

macOSデスクトップパスワード同期は、Appleプラットフォームシングルサインオン(プラットフォームSSO)機能を使用して、ユーザーのローカルmacOSアカウントのパスワードをOktaパスワードと同期します。

このガイドでは、Microsoft Intuneが管理するmacOSデバイス用にデスクトップパスワード同期を構成してデプロイする方法について詳しく説明します。

開始する前の確認事項

このタスクを開始する

Microsoft Intuneを使用してプラットフォームシングルサインオン(プラットフォームSSO)用のデバイス構成プロファイルをセットアップするには、次のタスクを順番に実行します。

  1. シングルサインオン(SSO)プロファイルを構成する

  2. 関連ドメインを構成する

  3. カスタム設定ファイルを構成する

  4. カスタム設定プロファイルを作成する

  5. プロファイルのデプロイメントを検証する

  6. をデプロイするOkta Verify

シングルサインオン(SSO)プロファイルを構成する

  1. Microsoft Intune管理者センターで、メインナビゲーションバーからデバイス(Devices)を選択します。

  2. デバイスを管理(Manage devices) > 構成(Configuration)に移動します。

  3. 作成(Create) をクリックし、新規ポリシー(New Policy)を選択します。

  4. プロファイルを作成(Create a profile)ペインで、次のオプションを選択します。

    • プラットフォーム(Platform):[macOS] macOS

    • プロファイルタイプ(Profile type)Settings catalog

  5. 作成(Create)をクリックします。

  6. プロファイルに名前を付けます(例:Okta SSO Extension and Domains)。次へ(Next)をクリックします。

  7. 設定を追加(Add settings)をクリックします。

  8. 設定(Settings)フィールドにSSOと入力し、検索(Search)をクリックします。

  9. 認証(Authentication) > 拡張シングルサインオン(SSO)(Extensible Single Sign On (SSO))を選択します。

  10. 次のオプションを構成します。

    設定

    認証方法(Authentication Method)

    パスワード(Password)

    拡張機能の識別子(Extension Identifier)

    com.okta.mobile.auth-service-extension

    アカウント表示名(Account Display Name)

    Oktaインスタンスの表示名。

    この値は、アカウントの通知や認証要求で使用されます。

    これは、ユーザー固有のレベルではなく、システムレベルで設定されます。

    ログイン時にユーザーの作成を有効化(Enable Create User At Login)

    これを有効(Enabled)に設定します。

    このオプションは、ジャストインタイムローカルアカウント作成にのみ必要です。

    新規ユーザー認可モード(New User Authorization Mode)

    標準(Standard)または管理者(Admin)を選択します。

    このオプションは、ジャストインタイムローカルアカウント作成にのみ必要です。

    ユーザーマッピングへのトークン(Token To User Mapping)アカウント名(Account Name)

    macOSAccountUsername

    このオプションは、ジャストインタイムローカルアカウント作成にのみ必要です。

    ユーザーマッピングへのトークン(Token To User Mapping)フルネーム(Full Name)

    macOSAccountFullName

    このオプションは、ジャストインタイムローカルアカウント作成にのみ必要です。

    共有デバイスキーを使用(Use Shared Device Keys)

    有効(Enabled)

    登録トークン(Registration Token)

    この設定は存在する必要がありますが、作成されたSCEPプロファイルがこの値を上書きするため、フィールドには任意の値を入力できます。

    チーム識別子(Team Identifier)

    B7F62B65BN

    タイプ

    リダイレクト

    URL(URLs)

    次のパスを含むOkta orgのURLを追加します。

    • /device-access/api/v1/nonce

    • /oauth2/v1/token

    • /v1/auth/device-sign

    例:

    • https://customerorg.okta.com/device-access/api/v1/nonce

    • https://customerorg.okta.com/oauth2/v1/token

    • https://customerorg.okta.com/v1/auth/device-sign

関連ドメインを構成する

  1. 設定を追加(Add settings)をクリックして、前の手順で作成したプロファイルに別のアイテムを追加します。

  2. 設定(Settings)フィールドにAssociated Domainsと入力し、検索(Search)をクリックします。

  3. アプリ管理(App Management) > 関連ドメイン(Associated Domains)を選択します。

  4. 関連ドメイン(Associated Domains) > 構成(Configuration)で、インスタンスを編集(Edit instance)をクリックします。

  5. インスタンスに以下を入力します。

    • アプリケーション識別子(Application Identifier)B7F62B65BN.com.okta.mobile.auth-service-extension

    • 関連ドメイン(Associated Domain)authsrv:を入力し、続いてOkta orgのURLを入力します。例:authsrv:customerorg.okta.com

    • 保存(Save)をクリックします。

  6. 関連するほかのドメインでも同様に繰り返します。

    • アプリケーション識別子(Application Identifier)B7F62B65BN.com.okta.mobile

    • 関連ドメイン(Associated Domain)authsrv:を入力し、続いてOkta orgのURLを入力します。例:authsrv:customerorg.okta.com

    • 保存(Save)をクリックします。

  7. 次へ(Next)をクリックします。

  8. 必要に応じてスコープ(Scope)タグを割り当て、次へ(Next)をクリックします。

  9. 適切なユーザーまたはグループを割り当てて、次へ(Next)をクリックします。

  10. 確認して作成(Review + Create)タブのすべての設定を確認し、作成(Create)をクリックします。

カスタム設定ファイルを構成する

プラットフォームSSOが機能するには、次の優先ドメインのそれぞれに優先ファイルを作成してデプロイ必要があります。

  • com.okta.mobile

  • com.okta.mobile.auth-service-extension

  • com.okta.deviceaccess.servicedaemon:任意。デバイスバウンドSSOでのみ必要です。

  • com.apple.preference.security:任意。パスワードのリセットをブロックする場合にのみ必要です。

com.okta.mobile

次の内容のcom.okta.mobileという名前のテキストファイルを作成して保存します。

<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>{{mail}}</string>

次の項目を特定のorg構成に置き換えます。

  • https://customerorg.okta.comはOkta orgのURLです。

  • {{mail}}は、ユーザーがPSSOに登録するときにOktaユーザー名で自動入力されるオプションの値です。値を指定しない場合、ユーザーはサインイン時にユーザー名を入力する必要があります。

com.okta.mobile.auth-service-extension

次の内容のcom.okta.mobile.auth-service-extensionという名前のテキストファイルを作成して保存します。

<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>{{mail}}</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>add-your-client-ID-here</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>

次の項目を特定のorg構成に置き換えます。

  • https://customerorg.okta.comはOkta orgのURLです。

  • {{mail}}は、ユーザーがPSSOに登録するときにOktaユーザー名で自動入力されるオプションの値です。値を指定しない場合、ユーザーはサインイン時にユーザー名を入力する必要があります。

  • add-your-client-ID-hereは、プラットフォームSSOアプリの作成中にコピーしたクライアントID(Client ID) です。

    この値は、構成された用プラットフォームシングルサインオンアプリmacOS 認証(Authentication)タブから取得できます。

com.okta.deviceaccess.servicedaemon

次の内容のcom.okta.deviceaccess.servicedaemonという名前のテキストファイルを作成して保存します。

<key>OktaJoinEnabled</key>
<true/>

このプロファイルファイルは任意で、デバイスバウンドSSOで使用されます。「デバイスバウンドSSOをユーザーデバイスにデプロイする」を参照してください。

com.apple.preference.security

次の内容のcom.apple.preference.securityという名前のテキストファイルを作成して保存します。

<key>dontAllowPasswordResetUI</key>
<true/>

このプロファイルでは、ローカルアカウントのパスワードを変更する機能が無効になります。

パスワードはOktaと同期されるため、ユーザーはローカルでパスワードを変更できません。ユーザーがパスワードを変更するには、Oktaパスワードを変更してからコンピューターのロック画面で同期する必要があります。

詳細については、Appleのセキュリティ設定に関するドキュメントを参照してください。

カスタム設定プロファイルを作成する

  1. Microsoft Intune管理者センターで、メインナビゲーションバーからデバイス(Devices)を選択します。

  2. デバイスを管理(Manage devices) > 構成(Configuration)に移動します。

  3. 作成(Create) をクリックし、新規ポリシー(New Policy)を選択します。

  4. プロファイルを作成(Create a profile)ペインで、次のオプションを選択します。

    • プラットフォーム(Platform):[macOS] macOS

    • プロファイルタイプ(Profile type)Templates

  5. 下部ペインで設定ファイル(Preference file)を選択し、作成(Create)をクリックします。

  6. プロファイルに名前を付けます(例:com.okta.mobile)。次へ(Next)をクリックします。

  7. 構成する優先ドメインごとに、優先ドメインの名前を入力します(例:com.okta.mobile)。

  8. フォルダーを参照(Browse folder)アイコンをクリックし、その優先ドメインと一致するテキストファイルを選択します。次へ(Next)をクリックします。

  9. 適切なユーザーまたはグループを割り当てて、次へ(Next)をクリックします。

  10. 確認して作成(Review + Create)タブのすべての設定を確認し、作成(Create)をクリックします。

優先ドメインごとに、ポリシー作成プロセスを繰り返します。

プロファイルのデプロイメントを検証する

  1. macOSデバイスでシステム設定(System Settings)アプリを開きます。

  2. デバイス管理(Device Management) > プロファイル(Profiles)に移動します。

  3. 優先ドメインごとにデバイス管理プロファイルが表示されることを確認します。

Okta Verifyをデプロイする

最後に、登録済みのmacOSデバイスにOkta Verifyアプリをデプロイします。

  1. Admin Consoleで、設定(Settings) > ダウンロード(Downloads)に移動します。

  2. Okta VerifymacOS セクションまでスクロールして最新をダウンロード(Download Latest)をクリックします。

  3. Microsoft Intune管理者センターにサインインし、メインナビゲーションバーでアプリ(Apps)を選択します。

  4. 概要(Overview)タブで、プラットフォーム別にアプリを管理(Manage apps by platform)セクションから macOSアプリを選択します。

  5. 作成(Create)をクリックします。

  6. アプリタイプを選択(Select app type)ペインのその他のアプリタイプ(Other app types)で、 macOSアプリ(PKG)(app(PKG))を選択します。

  7. 選択(Select)をクリックします。

  8. アプリを追加(Add app)ペインで、アプリパッケージファイルを選択(Select app package file)をクリックします。

  9. アプリパッケージファイル(App package file)ペインで、以下を行います。

    1. 参照(Browse)ボタンをクリックして、Okta Admin ConsoleからダウンロードしたmacOS PKGを見つけます。OKをクリックします。

    2. アプリ情報(App information)ページで、アプリの詳細を追加します。選択したアプリによっては、このペインの一部の値が自動的に入力される場合があります。

    3. デプロイメントのこの表の詳細を更新し、次へ(Next)をクリックして続行します。

    4. 任意で、インストール前スクリプトとインストール後スクリプトを構成して、アプリのインストールをカスタマイズできます。次へ(Next)をクリックして続行します。

    5. このアプリのインストールに必要な最小オペレーティングシステムを選択します(例:macOS 15 Sequoia)。

    6. 検出ルールを使用して、管理対象macOSデバイスでアプリのインストールを検出する方法を選択できます。次へ(Next)をクリックして続行します。

    7. このアプリをインストールするユーザーとグループを選択します。次へ(Next)をクリックして続行します。

    8. 確認して作成(Review + Create)タブのすべての設定を確認し、作成(Create)をクリックします。

次の手順

macOSユーザーをサポートする