macOS 15向けのデスクトップパスワード同期を更新する
デスクトップパスワード同期 は、macOS Sequoia (15)をサポートするようになりました。これにより、以前にサポートされていたロック解除ウィンドウとログインウィンドウに加えて、プラットフォームシングルサインオン(プラットフォーム SSO)認証がFileVaultに拡張されます。
より強力な認証要件を使用するための新しい認証ポリシーが利用できるようになりました。これらのポリシーを使用すると、ユーザーは認証を行い、ローカルパスワードをOktaパスワードと同期し、FileVaultに安全にサインインすることができます。 デスクトップパスワード同期エクスペリエンスには、FileVaultインターフェイスが含まれるようになりました。
組織にmacOS Sonoma (14.0)以降を実行しているmacOSコンピューターが含まれている場合は、macOS Sequoia向けのデスクトップパスワード同期ソリューション移行することができます。移行後、ユーザーにはデスクトップパスワード同期への再登録が求められます。
FileVaultプラットフォームSSOは、Appleシリコン搭載のMacコンピューターでのみサポートされます。 「Appleシリコン搭載のMacコンピューター」を参照してください。
前提条件
macOS Sequoia向けのデスクトップパスワード同期を準備するには、次の要件を満たしていることを確認してください。
- デスクトップパスワード同期が正しく構成されている。「デスクトップパスワード同期アプリ統合を作成して構成する」を参照してください。
- macOS向けのOkta Verifyの最新バージョンが組織にインストールされている。最新のアーティファクトは管理コンソールから取得できます。に移動し、Okta Verify for macOSをダウンロードします。 Okta Verifyのバージョンを確認するには、コンピュータのシステムトレイにある [Okta Verify]アイコンを右クリックし、 [About(バージョン情報)]をクリックします。
- デバイスアクセスSCEP証明書がプラットフォームSSO用に構成されている。「デバイスアクセスSCEP証明書」を参照してください。
- デバイス管理プロファイルがプラットフォームSSO用に構成されている。 com.okta.mobile.auth-service-extensionドメインのデバイス管理プロファイルでPlatformSSO.ProtocolVersionが2.0に設定されており、SSO拡張プロファイルで共有デバイスキーの使用が有効になっていることを確認します。「シングルサインオン機能拡張プロファイルを更新する」を参照してください。
- FileVaultウィンドウでパスワード同期を強制または試行するには、コンピューターが既知のネットワーク(コンピューターが以前に正常に接続したネットワーク)に接続されている必要がある。 「FileVaultネットワークの要件」を参照してください。
ロック解除、ログイン、FileVaultウィンドウのポリシー設定
Appleの新しい認証ポリシーを使用すると、認証要件を指定することができます。各ポリシーをRequireAuthenticationかAttemptAuthenticationのいずれかに設定するか、空白のままにすることができます。macOS Sonoma (14)またはVentura (13)では、デフォルトは空白です。
ここで説明するポリシーは、パスワード認証方法に対してのみ機能します。
認証ポリシー
| ポリシー名 | 説明 |
|---|---|
| RequireAuthentication | このポリシーでは、ユーザーにアクセスを付与する前にOkta認証が成功している必要があります。何らかの理由でOkta認証が成功しなかった場合、ユーザーのアクセスは拒否されます。インターネット接続の問題によりOktaサーバーにアクセスできない場合、ユーザーはロックアウトされます。この問題を回避するには、AllowOfflineGracePeriodフラグを設定します。 このフラグは、ロック解除画面でTouchIDを無効にします。TouchIDがロックされたコンピューターにアクセスできるようにするには、AllowTouchIDOrWatchForUnlockを有効にする必要があります。 このポリシーは、未登録のローカルmacOSアカウントに適用されます。これらのアカウントがNonPlatformSSOAccountsグループに含まれているか、AuthenticationGracePeriodポリシーがアクティブでない限り、ユーザーはアクセスを拒否されます。このポリシーは登録が開始されると有効になります。登録に失敗し、ユーザーがログアウトするかデバイスをロックすると、猶予期間が設定されていない限り、ユーザーはロックアウトされます。 |
| AttemptAuthentication | このポリシーは、ユーザーにアクセスを付与する前にOktaで認証を試みます。パスワードが間違っているためにOkta認証が失敗した場合、アクセスは拒否されます。ただし、別の理由(サーバーにアクセスできない、パスワードの有効期限が切れている、ユーザーまたはデバイスのステータスが無効である、またはユーザーにアプリが割り当てられていない)でOkta認証が失敗した場合、パスワードはローカルで検証されます。 |
| なし | RequireAuthenticationもAttemptAuthenticationも設定されていない場合、フレームワークはデフォルトの動作に戻り、パスワードはローカルでチェックされます。一致した場合、ユーザーにアクセスが付与されます。ローカルパスワードが一致しない場合は、Oktaと照合されます。 |
ユーザーのローカルパスワードがFileVaultまたはログインウィンドウで同期されている場合、オペレーティングシステムは、キーチェーンのロックを解除するために古いMacパスワードを入力するようユーザーに求めます。ユーザーがパスワードを覚えていなくても、パスワードは引き続き同期されますが、以前のキーチェーン、すべての保護されたデータ、および以前のOkta FastPass登録にはアクセスできなくなります。この操作を元に戻すことはできません。ユーザーに警告をよく読み、管理者にサポートを依頼するようアドバイスしてください。
猶予期間ポリシー
FileVaultPolicy、LoginPolicy、UnlockPolicyを使用すると、オフラインおよび未登録のシナリオの猶予期間を指定することができます。設定の詳細については、AppleのPlatform SSO向けのデバイス管理プロパティを参照してください。
NonPlatformSSOAccountsには FileVaultPolicy、LoginPolicy、またはUnlockPolicyの対象とならないローカル アカウントの一覧が表示されます。これらのアカウントでは、プラットフォームSSOに登録するよう求められません。
| ポリシー名 | 説明 |
|---|---|
| AlowOfflineGracePeriod | パスワードをローカルで検証した後でオフライン認証を許可します。このポリシーでは OfflineGracePeriodを設定する必要があります。 デバイスがオンラインの場合、AllowOfflineGracePeriodはバイパスされ、動作は前のセクションで構成された認証ポリシーによって決定されます。「認証ポリシー」を参照してください。 このポリシーはLoginPeriodWithOfflineFactor Desktop MFAポリシーに似ています。 |
| OfflineGracePeriod | Okta認証が成功した後、ローカルアカウントのパスワードをオフラインで使用できる時間(秒単位)。 |
| AllowAuthenticationGracePeriod |
このポリシーにより、ユーザーはパスワードをローカルで検証して、未登録のローカルmacOSアカウントをロック解除することができます。このポリシーではAuthenticationGracePeriodを設定する必要があります。 このポリシーはLoginPeriodWithoutEnrolledFactor Desktop MFAポリシーに似ています。 |
| AuthenticationGracePeriod | このポリシーはFileVaultPolicy、LoginPolicy、またはUnlockPolicyがトリガーされた後、未登録のローカルアカウントを使用してコンピューターをロック解除したり、サインインしたりできる時間を秒単位で示します。登録が成功したかどうかに関係なく、ユーザーが登録プロセスを開始するとタイマーのカウントダウンが始まります。 |
FileVaultネットワークの要件
FileVaultウィンドウでパスワード同期を強制または試行するには、コンピューターが既知のネットワークに接続されている必要があります。FileVaultの場合、コンピューターが接続するネットワークがすでに存在している必要があります。新しいネットワーク接続は許可されません。次のネットワーク条件が適用されます。
WiFi接続
- FileVaultで機能するネットワークタイプは、OpenまたはWPA2 Personalのみです。
- コンピューターは以前にネットワークに正常に接続されている必要があります。
- 次のネットワークタイプは機能しません。これらのネットワークのシークレットはシステムまたはデバイスのキーチェーンに保存されており、ドライブが復号化されるまでアクセスできないためです。
- あらゆる形式のキャプティブポータルネットワーク(接続を提供する前に対話するためのWebページを表示するあらゆるネットワーク)
- WEPまたはWPA3 Personal
- あらゆる形式のWPAエンタープライズネットワーク (RADIUS 802.1x)
イーサネット接続
- オープンネットワークアクセスが必要です。RADIUS 802.1x認証はサポートされていません。
- コンピューターがUSBイーサネットアダプターを使用する場合、ユーザーはアダプタとコンピューターを特定のUSBポートで動作するように構成する必要があります。詳細については、「Macのポートを使用する」を参照してください。
- FileVault画面で接続しようとする前に、無制限のUSBアクセスを許可するMDMプロファイルがコンピューターにプッシュされている場合、USBベースのイーサネットアダプターは承認されたネットワークに接続できるはずです。