macOS 15向けのデスクトップパスワード同期を構成する

デスクトップパスワード同期は、macOS 15 Sequoiaをサポートするようになりました。これにより、プラットフォームシングルサインオン（プラットフォーム SSO）認証がFileVaultに拡張されます。これは、以前にサポートされていたロック解除ウィンドウとログインウィンドウに追加されるものです。

より強力な認証要件を使用するための新しい認証ポリシーを利用できます。これらのポリシーを使用すると、ユーザーは認証を行い、ローカルパスワードをOktaパスワードと同期し、FileVaultに安全にサインインすることができます。デスクトップパスワード同期エクスペリエンスには、FileVaultインターフェイスが含まれるようになりました。

orgにmacOS 14 Sonoma以降で動作しているmacOSコンピューターがある場合は、macOS 15 Sequoia向けのデスクトップパスワード同期ソリューションに移行できます。移行後、ユーザーにはデスクトップパスワード同期への再登録が求められます。

FileVaultプラットフォームSSOは、Appleシリコン搭載のMacコンピューターでのみサポートされます。「Appleシリコン搭載のMacコンピューター」を参照してください。

前提条件

macOS 15 Sequoia向けのデスクトップパスワード同期を準備するには、次の要件を満たしていることを確認してください。

デスクトップパスワード同期が正しく構成されている。「プラットフォームシングルサインオンアプリを作成して構成する」を参照してください。
macOS向けのOkta Verifyの最新バージョンが組織にインストールされている。最新のアーティファクトは管理コンソールから取得できます。［Settings（設定）］［Downloads（ダウンロード）］に移動し、Okta Verify for macOSをダウンロードします。 Okta Verifyのバージョンを確認するには、コンピュータのシステムトレイにある［Okta Verify］アイコンを右クリックし、［About（バージョン情報）］をクリックします。
デバイスアクセスSCEP証明書がプラットフォームSSO用に構成されている。「デバイスアクセスSCEP証明書」を参照してください。
デバイス管理プロファイルがプラットフォームSSO用に構成されている。
- com.okta.mobile.auth-service-extensionドメインのデバイス管理プロファイルでPlatformSSO.ProtocolVersionが2.0に設定されていることを確認します。
- SSO拡張プロファイルで共有デバイスキーの使用が有効になっていることを確認します。「シングルサインオン機能拡張プロファイルを更新する」を参照してください。
FileVaultウィンドウでパスワード同期を強制または試行するには、コンピューターを既知のネットワークに接続します。「FileVaultネットワークの要件」を参照してください。

ロック解除、ログイン、FileVaultウィンドウのポリシー設定

Appleの新しい認証ポリシーを使用すると、認証要件を指定することができます。各ポリシーをRequireAuthenticationまたはAttemptAuthenticationに設定するか、空白のままにすることができます。macOS 13 VenturaまたはmacOS 14 Sonomaでは空白がデフォルトです。

ここで説明するポリシーは、パスワード認証方法に対してのみ機能します。

認証ポリシー

ポリシー名	説明
RequireAuthentication	このポリシーでは、ユーザーにアクセスを付与する前にOkta認証が成功している必要があります。何らかの理由でOkta認証が成功しなかった場合、ユーザーのアクセスは拒否されます。インターネット接続の問題によりOktaサーバーにアクセスできない場合、ユーザーはロックアウトされます。この問題を回避するには、AllowOfflineGracePeriodフラグを設定します。このフラグは、ロック解除画面でTouchIDを無効にします。TouchIDがロックされたコンピューターにアクセスできるようにするには、AllowTouchIDOrWatchForUnlockを有効にする必要があります。このポリシーは、未登録のローカルmacOSアカウントに適用されます。これらのアカウントがNonPlatformSSOAccountsグループに含まれているか、AuthenticationGracePeriodポリシーがアクティブでない限り、ユーザーはアクセスを拒否されます。このポリシーは登録が開始されると有効になります。登録に失敗し、ユーザーがサインんアウトするかデバイスをロックすると、猶予期間を設定しない限り、ユーザーはロックアウトされます。
AttemptAuthentication	このポリシーは、ユーザーにアクセスを付与する前にOktaで認証を試みます。パスワードが間違っているためにOkta認証が失敗した場合、アクセスは拒否されます。 Oktaの認証が別の理由で失敗した場合は、パスワードがローカルで検証されます。認証失敗には次のような例が挙げられます。サーバーにアクセスできないパスワードの有効期限が切れているユーザーまたはデバイスのステータスが無効であるユーザーにアプリが割り当てられていない
なし	RequireAuthenticationとAttemptAuthenticationのどちらも設定しなかった場合は、フレームワークがデフォルトの動作に戻り、パスワードがローカルで確認されます。一致した場合、ユーザーにアクセスが付与されます。ローカルパスワードが一致しない場合は、Oktaと照合されます。

ポリシー名

説明

RequireAuthentication

このポリシーでは、ユーザーにアクセスを付与する前にOkta認証が成功している必要があります。何らかの理由でOkta認証が成功しなかった場合、ユーザーのアクセスは拒否されます。

インターネット接続の問題によりOktaサーバーにアクセスできない場合、ユーザーはロックアウトされます。この問題を回避するには、AllowOfflineGracePeriodフラグを設定します。

このフラグは、ロック解除画面でTouchIDを無効にします。TouchIDがロックされたコンピューターにアクセスできるようにするには、AllowTouchIDOrWatchForUnlockを有効にする必要があります。

このポリシーは、未登録のローカルmacOSアカウントに適用されます。これらのアカウントがNonPlatformSSOAccountsグループに含まれているか、AuthenticationGracePeriodポリシーがアクティブでない限り、ユーザーはアクセスを拒否されます。このポリシーは登録が開始されると有効になります。

登録に失敗し、ユーザーがサインんアウトするかデバイスをロックすると、猶予期間を設定しない限り、ユーザーはロックアウトされます。

AttemptAuthentication

このポリシーは、ユーザーにアクセスを付与する前にOktaで認証を試みます。パスワードが間違っているためにOkta認証が失敗した場合、アクセスは拒否されます。

Oktaの認証が別の理由で失敗した場合は、パスワードがローカルで検証されます。

認証失敗には次のような例が挙げられます。

サーバーにアクセスできない
パスワードの有効期限が切れている
ユーザーまたはデバイスのステータスが無効である
ユーザーにアプリが割り当てられていない

なし

RequireAuthenticationとAttemptAuthenticationのどちらも設定しなかった場合は、フレームワークがデフォルトの動作に戻り、パスワードがローカルで確認されます。

一致した場合、ユーザーにアクセスが付与されます。

ローカルパスワードが一致しない場合は、Oktaと照合されます。

ユーザーのローカルパスワードがFileVaultまたはサインインウィンドウで同期されている場合、オペレーティングシステムは、キーチェーンのロックを解除するために古いMacパスワードを入力するようユーザーに求めます。ユーザーがパスワードを覚えていなくても、パスワードは引き続き同期されますが、以前のキーチェーン、すべての保護されたデータ、および以前のOkta FastPass登録にはアクセスできなくなります。

この操作は元に戻せないため、ユーザーには警告をよく読み、管理者にサポートを依頼するようアドバイスしてください。

猶予期間ポリシー

FileVaultPolicy、LoginPolicy、UnlockPolicyを使用すると、オフラインおよび未登録のシナリオの猶予期間を指定することができます。設定の詳細については、AppleのプラットフォームSSO向けのデバイス管理プロパティを参照してください。

NonPlatformSSOAccountsには FileVaultPolicy、LoginPolicy、またはUnlockPolicyの対象とならないローカルアカウントの一覧が表示されます。これらのアカウントでは、プラットフォームSSOに登録するよう求められません。

ポリシー名	説明
AlowOfflineGracePeriod	このポリシーは、パスワードをローカルで検証した後にオフライン認証を許可し、OfflineGracePeriodの設定を要求します。デバイスがオンラインの場合、AllowOfflineGracePeriodは迂回され、前のセクションで構成された認証ポリシーによって動作が決定されます。「認証ポリシー」を参照してください。このポリシーはLoginPeriodWithOfflineFactor Desktop MFAポリシーに似ています。
OfflineGracePeriod	Okta認証が成功した後、ローカルアカウントのパスワードをオフラインで使用できる期間。値は秒単位です。
AllowAuthenticationGracePeriod	このポリシーにより、ユーザーはパスワードをローカルで検証して、未登録のローカルmacOSアカウントをロック解除することができます。このポリシーはAuthenticationGracePeriodの設定を要求します。このポリシーはLoginPeriodWithoutEnrolledFactor Desktop MFAポリシーに似ています。
AuthenticationGracePeriod	このポリシーはFileVaultPolicy、LoginPolicy、またはUnlockPolicyがトリガーされた後、未登録のローカルアカウントがコンピューターのロック解除やサインインできる期間を示します。登録が成功したかどうかに関係なく、ユーザーが登録プロセスを開始するとタイマーのカウントダウンが始まります。値は秒単位です。

FileVaultネットワークの要件

FileVaultウィンドウでパスワード同期を強制または試行するには、コンピューターが既知のネットワークに接続されている必要があります。

FileVaultの場合、コンピューターが接続するネットワークがすでに存在している必要があります。新しいネットワーク接続は許可されません。

WiFi接続

FileVaultで機能するネットワークタイプは、OpenまたはWPA2 Personalのみです。
コンピューターは以前にネットワークに正常に接続されている必要があります。
次のネットワークタイプは使用できません。これらのネットワークのシークレットはシステムまたはデバイスのキーチェーンに保存されており、ドライブが復号化されるまでアクセスできないためです。
- あらゆる形式のキャプティブポータルネットワーク（接続を提供する前に対話するためのWebページを表示するあらゆるネットワーク）
- WEPまたはWPA3 Personal
- あらゆる形式のWPAエンタープライズネットワーク (RADIUS 802.1x)

イーサネット接続

オープンネットワークアクセスが必要です。RADIUS 802.1x認証はサポートされていません。
コンピューターがUSBイーサネットアダプターを使用する場合、ユーザーはアダプタとコンピューターを特定のUSBポートで動作するように構成する必要があります。「Macのポートを使用する」を参照してください。
FileVaultウィンドウで接続しようとする前に、無制限のUSBアクセスを許可するMDMプロファイルがコンピューターにプッシュされた場合、USBベースのイーサネットアダプターは承認済みネットワークに接続できます。

次の手順

ユーザーをサポートする