macOS 14向けのデスクトップパスワード同期を更新する

orgがデスクトップパスワード同期を構成し、macOS Sonoma(14.0)を実行するmacOSコンピューターがあるときは、デスクトップパスワード同期の既存インストールをPlatform Single Sign-On 2.0(Platform SSO 2.0)に移行できます。移行後、ユーザーにはデスクトップパスワード同期への再登録が求められます。

デスクトップパスワード同期とPlatform SSO 2.0を使用するには、macOSコンピューターがmacOS Sonoma(14.0)以降を実行している必要があります。オペレーティングシステムが異なるmacOSコンピューターが混在するorgであれば、macOS Ventura(13.0)を使用するユーザーとmacOS Sonoma(14.0)を使用するユーザーのデスクトップパスワード同期のインスタンスを個別に構成する必要があります。

タスク

次に示す手順は、構成の問題を避けるために、示される順に実行してください。

Okta Verify for macOSを更新する

デスクトップパスワード同期は、デバイスの登録とユーザーの認証にOkta Verifyを使用するOkta Device Accessの一部です。Admin Consoleで[Settings(設定)][Downloads(ダウンロード)]に移動し、Okta Verify for macOSをダウンロードします。Okta Verifyパッケージは、アプリストアからではなくAdmin Consoleからダウンロードする必要があります。Okta Device Access製品が有効化されているorgであれば、デスクトップパスワード同期を構成、デプロイできます。詳しくは、アカウント担当者までお問い合わせください。

Okta Verifyの更新が完了したら、次の手順に進みます。

デバイスアクセスSCEP証明書を構成する

AppleのPlatform Single Sign-On 2.0は、macOS向けのSCEP(Simple Certificate Enrollment Protocol)証明書の構成を必要とします。 これらの証明書は、モバイルデバイス管理(MDM)ソフトウェアと共にデプロイされ、APIエンドポイントにアクセス権を付与際と、APIエンドポイントの呼び出し時にOktaがデバイスを識別する際に使用されます。orgがPlatform SSO 2.0を使用していなければ、SCEP証明書は必要ありません。

デバイスアクセスSCEP証明書をセットアップする」を参照して手順を完了し、こちらに戻ってデスクトップパスワード同期の更新を続けます。

デバイス管理プロファイルを更新する

Platform Single Sign-On 2.0とOktaデスクトップパスワード同期を使用するには、既存のデバイス管理プロファイルの構成にいくつか変更を加える必要があります。

  1. MDMで、com.okta.mobile-auth-service-extensionドメインのデバイス管理プロファイルを特定します。

  2. プロファイルを[Edit(編集)]して次の内容を追加します。

    コピー
    <key>PlatformSSO.ProtocolVersion</key>
    <string>2.0</string>
  3. プロファイルを保存します。

  4. 更新されたプロファイルをユーザーにプッシュするオプションが示されるときは、ここで行います。

シングルサインオン機能拡張プロファイルを更新する

Platform Single Sign-On 2.0とOktaデスクトップパスワード同期を使用するには、既存のシングルサインオン機能拡張プロファイルの構成にいくつか変更を加える必要があります。

  1. MDMで、シングルサインオン機能拡張プロファイルを特定します。

  2. プロファイルを[Edit(編集)]します。[Use Shared Device Keys(共有デバイスキーを使用)][Enabled(有効)]に設定します。

  3. その他すべての既存プロパティはそのまま残します。

  4. プロファイルを保存します。

  5. 更新されたプロファイルをユーザーにプッシュするオプションが示されるときは、ここで行います。

共有デバイスキーが有効になると、登録の更新を求める通知がユーザーに送られます。これにより、ユーザーはデスクトップパスワード同期の登録プロセスを実行し、OktaパスワードをmacOSアカウントと同期させます。

どのユーザーが登録更新を完了したかは、管理者ダッシュボードにあるSystem Logレポートで次のクエリを実行することで追跡できます。

コピー
eventType eq "device.password_sync.enrollment.create" and target.detailEntry.PlatformSsoProtocol eq "2.0"

次の手順

デスクトップパスワード同期ユーザーをサポートする