Appleプラットフォーム導入
- ようこそ
- Appleプラットフォーム導入の概要
- 新機能
-
-
- アクセシビリティペイロードの設定
- Active Directory証明書ペイロードの設定
- AirPlayペイロードの設定
- AirPlayセキュリティペイロードの設定
- AirPrintペイロードの設定
- App Lockペイロードの設定
- 関連ドメインペイロードの設定
- 自動証明書管理環境(ACME)ペイロードの設定
- 自律的シングルアプリモードペイロードの設定
- カレンダーペイロードの設定
- モバイルデータ通信ペイロードの設定
- モバイル通信プライベートネットワークペイロードの設定
- 証明書プリファレンスペイロードの設定
- 証明書失効ペイロードの設定
- CT(証明書の透明性)ペイロードの設定
- 証明書ペイロードの設定
- 会議室のディスプレイペイロードの設定
- 連絡先ペイロードの設定
- コンテンツ・キャッシュ・ペイロードの設定
- ディレクトリサービスペイロードの設定
- DNSプロキシペイロードの設定
- DNS設定ペイロードの設定
- Dockペイロードの設定
- ドメインペイロードの設定
- 省エネルギーペイロードの設定
- Exchange ActiveSync(EAS)ペイロードの設定
- Exchange Web Services(EWS)ペイロードの設定
- 拡張シングルサインオンペイロードの設定
- 拡張シングルサインオンKerberosペイロードの設定
- 機能拡張ペイロードの設定
- FileVaultペイロードの設定
- Finderペイロードの設定
- ファイアウォールペイロードの設定
- フォントペイロードの設定
- グローバルHTTPプロキシペイロードの設定
- Googleアカウントペイロードの設定
- ホーム画面レイアウトペイロードの設定
- 識別子ペイロードの設定
- 識別プリファレンスペイロードの設定
- カーネル機能拡張ポリシーペイロードの設定
- LDAPペイロードの設定
- LOM(Lights Out Management)ペイロードの設定
- ロック画面のメッセージペイロードの設定
- ログイン・ウインドウ・ペイロードの設定
- 管理対象ログイン項目ペイロードの設定
- メールペイロードの設定
- ネットワーク使用ルールペイロードの設定
- 通知ペイロードの設定
- ペアレンタル・コントロール・ペイロードの設定
- パスコードペイロードの設定
- プリントペイロードの設定
- 「プライバシー」環境設定ポリシー制御ペイロードの設定
- リレーペイロードの設定
- SCEPペイロードの設定
- セキュリティペイロードの設定
- 設定アシスタントペイロードの設定
- シングルサインオンペイロードの設定
- スマートカードペイロードの設定
- 照会カレンダーペイロードの設定
- システム機能拡張ペイロードの設定
- システム移行ペイロードの設定
- Time Machineペイロードの設定
- TV Remoteペイロードの設定
- Webクリップペイロードの設定
- Webコンテンツ・フィルタ・ペイロードの設定
- Xsanペイロードの設定
-
- 宣言型アプリ構成
- 認証資格情報と識別情報アセット宣言
- バックグラウンドタスク管理宣言型
- カレンダー宣言型構成
- 証明書宣言型構成
- 連絡先宣言型構成
- Exchange宣言型構成
- Googleアカウント宣言型構成
- LDAP宣言型構成
- レガシー対話型プロファイル宣言型構成
- レガシープロファイル宣言型構成
- メール宣言型構成
- 計算および計算機アプリ宣言型構成
- パスコード宣言型構成
- パスキー認証宣言型構成
- Safari機能拡張の管理の宣言型構成
- 画面共有宣言型構成
- サービス構成ファイル宣言型構成
- ソフトウェアアップデート宣言型構成
- ソフトウェアアップデート設定の宣言型構成
- ストレージ管理宣言型構成
- 照会カレンダー宣言型構成
- 用語集
- 資料の改訂履歴
- 著作権
macOSのプラットフォームシングルサインオン
プラットフォームシングルサインオン(プラットフォームSSO)で、デベロッパはmacOSのログインウインドウにまでおよぶSSO機能拡張を構築して、ユーザがローカルアカウントの資格情報をIDプロバイダ(IdP)と同期できるようにできます。ローカルアカウントのパスワードが自動的に同期された状態で保存されるため、クラウドのパスワードとローカルパスワードが一致します。ユーザは、Touch IDやApple WatchでMacのロックを解除することもできます。
プラットフォームSSOには以下のものが必要です:
macOS 13以降
プラットフォームSSOへの対応を含む拡張シングルサインオンペイロードに対応するモバイルデバイス管理(MDM)ソリューション。
IdPによるプラットフォームSSO認証プロトコルの対応
対応している2つの認証方法のいずれか:
Secure Enclaveで裏付けられた鍵での認証: この方法を使用すると、自分のMacにログインするユーザは、Secure Enclaveで裏付けられた鍵を使って、パスワードを入力せずにIdPで認証できます。Secure Enclave鍵は、ユーザ登録処理中にIdPで設定されます。
パスワード認証: この方法を使用すると、ユーザはローカルパスワードまたはIdPのパスワードで認証します。
注記: MacがMDMソリューションから登録解除されると、IdPからも登録解除されます。
WS-Trustフェデレーション
WS-Trustフェデレーションには、macOS 13.3以降で対応しています。これを使うと、ユーザのアカウントがMicrosoft Entra IDと連携するIdPによって管理されているときは、プラットフォームSSOがユーザを正常に認証できます。
macOS 14以降のプラットフォームSSOの追加機能
「システム設定」でのユーザ登録と登録ステータス: ユーザはSSOで使用するデバイスまたはユーザアカウントを「システム設定」で登録できます。このメニュー項目には、現在の登録ステータスが表示され、発生した可能性があるエラーも示されるので、ユーザ透過性が向上します。これにより、ユーザは登録を再度完了する必要があるかどうかを知ることができます。
ユーザによるローカルアカウント作成: 共有導入でのアカウント管理を円滑化するために、ユーザはIdPユーザ名とパスワードまたはスマートカードを使用してFileVaultがロック解除されたMacにログインし、ローカルアカウントを作成できます。新しい
TokenToUserMappingキーを使って、IdPが提供する属性のうちどの属性を使ってローカルユーザ名を選択するかを定義できます。この機能を使用するには、以下が必要です:設定アシスタントが完了し、初期ローカル管理者アカウントが作成されている必要があります。
デバイスがブートストラップトークンに対応するMDMソリューションに登録されている必要があります。
ユーザのMacに、プラットフォームSSOと
UseSharedDeviceKeysおよびEnableCreateUserAtLoginオプションが有効になっている拡張シングルサインオンペイロードが適用されている必要があります。スマートカードに対応するには、IdPにスマートカードが登録され、Mac上でスマートカード属性マッピングが構成されている必要があります。
認証プロンプトでローカル以外のIdPユーザアカウントを使用: プラットフォームSSOは、IdP資格情報の使用をMac上に認証目的のローカルユーザアカウントを持たないユーザに拡張します。これらのアカウントはグループ管理と同じグループを使用します。例えば、ユーザがいずれかの管理者グループのメンバーである場合、macOS管理者認証プロンプトでそのアカウントを使用できます。セキュアトークン、所有権、または現在ログインしているユーザによる認証を必要とする認証プロンプトは対象外です。
IdPで認証されるときにユーザのグループメンバーシップをアップデート: グループメンバーシップを使用して、macOSでIdPユーザのアクセス権を細かく管理できます。IdPでユーザが認証されるたびに、グループメンバーシップがアップデートされます。グループメンバーシップを定義するために3つの配列キーが用意されています:
AdministratorGroups: ユーザがこの配列に記述されているグループに含まれる場合、ローカル管理者アクセスが付与されます。
AuthorizationGroups: 内蔵またはカスタム定義の認証権限を管理するために使用される特定グループ。この権限は、指定されたグループに含まれるすべてのユーザに付与されます。例えば、認証権限
system.preferences.networkに割り当てられたグループ内のメンバーシップでは、ユーザはネットワーク設定を変更できます。system.preferences.printingでは、ユーザはプリンタ設定を変更できます。AdditionalGroups: オペレーティングシステムが、例えば、
sudoアクセスを定義するために使用できます。この配列内のエントリーは、グループが存在しない場合、ローカルディレクトリ内にグループを作成します。