パスワードレス認証、Microsoft Entra ID ユーザー アカウント、またはスマート カードを使用して、macOS デバイスのシングル サインオン (SSO) を有効にするようにプラットフォーム SSO を構成できます。 プラットフォーム SSO は、Microsoft Enterprise SSO プラグインと SSO アプリ拡張機能を強化するMicrosoft Entra機能です。
この機能は、以下に適用されます:
- macOS
プラットフォーム SSO では、Microsoft Entra ID 資格情報と Touch ID を使用して、管理対象 Mac デバイスにユーザーをサインインさせることができます。 Intune を使用してプラットフォーム SSO を構成し、プラットフォーム SSO 構成を macOS デバイスにデプロイできます。
Microsoft Enterprise SSO プラグイン Microsoft Entra ID には、プラットフォーム SSO と SSO アプリ拡張機能という 2 つの SSO 機能が含まれています。 この記事では、Microsoft Entra ID を使用してプラットフォーム SSO を構成する方法について説明します。
この記事では、Intune で macOS デバイスのプラットフォーム SSO を構成する方法について説明します。 構成できる一般的なプラットフォーム SSO シナリオについては、「 macOS デバイスの共通プラットフォーム SSO シナリオ」を参照してください。
利点
プラットフォーム SSO には、次のような利点があります。
- SSO アプリ拡張機能が含まれています。 SSO アプリ拡張機能は個別に構成しません。
- Mac デバイスにハードウェアバインドされたフィッシング耐性の資格情報を使用して、パスワードレスにすることができます。
- サインイン エクスペリエンスは、ユーザーがビジネス向けWindows Helloと同様に、職場または学校のアカウントを使用して Windows デバイスにサインインする場合と似ています。
- これにより、ユーザーがMicrosoft Entra ID 資格情報を入力する必要がある回数を最小限に抑えることができます。
- これは、ユーザーが覚えておく必要があるパスワードの数を減らすのに役立ちます。
- Microsoft Entra参加の利点が得られます。これにより、organizationユーザーはデバイスにサインインできます。
- すべての Microsoft Intune ライセンス プランに含まれています。
メカニズム
Mac デバイスが Microsoft Entra ID テナントに参加すると、デバイスは職場参加 (WPJ) 証明書を取得します。 この WPJ 証明書はハードウェアにバインドされており、 Microsoft Enterprise SSO プラグインでのみアクセスできます。 条件付きアクセスを使用して保護されたリソースにアクセスするには、アプリと Web ブラウザーにこの WPJ 証明書が必要です。
プラットフォーム SSO が構成されている場合、SSO アプリ拡張機能は、Microsoft Entra ID 認証と条件付きアクセスのブローカーとして機能します。
Intune 設定カタログを使用してプラットフォーム SSO を構成します。 設定カタログ ポリシーの準備ができたら、ポリシーを割り当てます。 ユーザーが Intune にデバイスを登録するときに、ポリシーを割り当てることをお勧めします。 ただし、既存のデバイスを含め、いつでも割り当てることができます。
前提条件
デバイスは macOS 13.0 以降を実行している必要があります。
Microsoft Intune ポータル サイトアプリ バージョン 5.2404.0 以降は、デバイスで必要です。 このバージョンには、プラットフォーム SSO が含まれています。
次の Web ブラウザーでは、プラットフォーム SSO がサポートされています。
Microsoft Edge
Microsoft シングル サインオン拡張機能を使用した Google Chrome
Intune 基本設定ファイル (.plist) ポリシーを使用して、この拡張機能を強制的にインストールできます。
.plistファイルには、Chrome Enterprise ポリシー - ExtensionInstallForcelist (Google の Web サイトを開く) にある情報の一部が必要です。警告
GitHub の ManagedPreferencesApplications の例には、サンプル
.plistファイルがあります。 この GitHub リポジトリは所有されておらず、管理されておらず、Microsoft によって作成されていません。 情報は自己責任で使用してください。Safari
Intune を使用して、 パッケージ (
.pkg) ファイルや ディスク イメージ (.dmg) ファイルなどの Web ブラウザー アプリを追加し、アプリを macOS デバイスにデプロイできます。 開始するには、[ Microsoft Intune にアプリを追加する] に移動します。プラットフォーム SSO では、Intune 設定カタログを使用して、必要な設定を構成します。 設定カタログ ポリシーを作成するには、少なくとも、次の Intune アクセス許可を持つアカウントで Microsoft Intune 管理センター にサインインします。
- デバイス構成の読み取り、作成、更新、およびアクセス許可の割り当て
ポリシーとプロファイル マネージャーの Intune ロールなど、これらのアクセス許可を持つ組み込みのロールがいくつかあります。 Intune の RBAC ロールの詳細については、 Microsoft Intune でのロールベースのアクセス制御 (RBAC) に関するページを参照してください。
手順 2 - プラットフォーム SSO ポリシーの作成 (この記事) では、プラットフォーム SSO に必要な設定を構成する設定カタログ ポリシーを作成します。 このポリシーで構成できる他の一般的なシナリオと設定があります。 詳細については、「 macOS デバイスの一般的なプラットフォーム SSO シナリオ」を参照してください。
設定カタログ ポリシーを作成する前に、シナリオを確認することをお勧めします。 これにより、最初にポリシーを作成するときに必要な設定を構成できます。 オプションのシナリオ設定を最初に構成しない場合は、後でいつでもポリシーを編集できます。 グループに割り当てることができる SSO ポリシーは 1 つだけです。 そのため、これらのシナリオ設定を既存のプラットフォーム SSO 設定カタログ ポリシーに追加します。
手順 5 - デバイスを登録する (この記事) では、ユーザーはデバイスを登録します。 これらのユーザーは、デバイスを Microsoft Entra ID に参加させる必要があります。 詳細については、 デバイス設定の構成に関するページを参照してください。
手順 1 - 認証方法を決定する
Intune でプラットフォーム SSO ポリシーを作成するときは、使用する認証方法を決定する必要があります。
プラットフォーム SSO ポリシーと、使用する認証方法によって、ユーザーがデバイスにサインインする方法が変更されます。
- プラットフォーム SSO を構成すると、ユーザーは構成した認証方法を使用して macOS デバイスにサインインします。
- プラットフォーム SSO を使用しない場合、ユーザーはローカル アカウントを使用して macOS デバイスにサインインします。 その後、Microsoft Entra ID を使用してアプリや Web サイトにサインインします。
この手順では、この情報を使用して、認証方法との違いと、それらがユーザーのサインイン エクスペリエンスにどのように影響するかを学習します。
ヒント
Microsoft では、プラットフォーム SSO を構成するときに、認証方法として Secure Enclave を使用することをお勧めします。
| 機能 | セキュリティで保護されたエンクレーブ | スマート カード | Password |
|---|---|---|---|
| パスワードレス (フィッシング耐性) | ✅ | ✅ | ❌ |
| ロック解除でサポートされる TouchID | ✅ | ✅ | ✅ |
| パスキーとして使用できます | ✅ | ❌ | ❌ |
|
セットアップには MFA が必須です 多要素認証 (MFA) は常に推奨されます |
✅ | ✅ | ❌ |
| Entra IDと同期されたローカル Mac パスワード | ❌ | ❌ | ✅ |
| macOS 13.x + でサポートされています | ✅ | ❌ | ✅ |
| macOS 14.x + でサポートされています | ✅ | ✅ | ✅ |
| 必要に応じて、新しいユーザーがEntra ID資格情報でログインできるようにします (macOS 14.x +) | ✅ | ✅ | ✅ |
オプション 1 - セキュリティで保護されたエンクレーブ (推奨)
Secure Enclave 認証方法でプラットフォーム SSO を構成すると、SSO プラグインはハードウェアバインド暗号化キーを使用します。 アプリや Web サイトに対するユーザーの認証には、Microsoft Entra資格情報は使用されません。
Secure Enclave の詳細については、「 Secure Enclave (Apple の Web サイトを開く)」を参照してください。
セキュリティで保護されたエンクレーブ:
- パスワードレスと見なされ、フィッシング耐性多要素 (MFA) 要件を満たしています。 概念的には、Windows Hello for Business に似ています。 また、条件付きアクセスなど、Windows Hello for Business と同じ機能を使用することもできます。
- ローカル アカウントのユーザー名とパスワードをそのままにします。 これらの値は変更されません。この動作は、ロック解除キーとしてローカル パスワードを使用する Apple の FileVault ディスク暗号化が原因で設計されています。
- デバイスの再起動後、ユーザーはローカル アカウントのパスワードを入力する必要があります。 この初期マシンのロック解除後、Touch ID を使用してデバイスのロックを解除できます。
- ロック解除後、デバイスはデバイス全体の SSO 用のハードウェアでサポートされるプライマリ更新トークン (PRT) を取得します。
- Web ブラウザーでは、この PRT キーを WebAuthN API を使用してパスキーとして使用できます。
- そのセットアップは、MFA 認証用の認証アプリまたは Microsoft Temporary Access Pass (TAP) でブートストラップできます。
- Microsoft Entra ID パスキーの作成と使用を有効にします。
オプション 2 - スマート カード
Smart カード 認証方法でプラットフォーム SSO を構成すると、ユーザーはスマート カード証明書と関連する PIN を使用してデバイスにサインインし、アプリや Web サイトに対して認証できます。
このオプション:
- パスワードレスと見なされます。
- ローカル アカウントのユーザー名とパスワードをそのままにします。 これらの値は変更されません。
詳細については、「iOS と macOS で証明書ベースの認証をMicrosoft Entraする」を参照してください。
オプション 3 - パスワード
パスワード認証方法でプラットフォーム SSO を構成すると、ユーザーはローカル アカウントのパスワードではなく、Microsoft Entra ID ユーザー アカウントを使用してデバイスにサインインします。
このオプションを使用すると、認証にMicrosoft Entra ID を使用するアプリ間の SSO が有効になります。
パスワード認証方法:
Microsoft Entra ID パスワードはローカル アカウントのパスワードに置き換えられ、2 つのパスワードは同期されます。
ローカル アカウント コンピューターのパスワードがデバイスから完全に削除されることはありません。 この動作は、ロック解除キーとしてローカル パスワードを使用する Apple の FileVault ディスク暗号化が原因で設計されています。
ローカル アカウントのユーザー名は変更されておらず、そのままです。
エンド ユーザーは Touch ID を使用してデバイスにサインインできます。
ユーザーと管理者が覚えて管理するパスワードが少なくなります。
ユーザーは、デバイスの再起動後にMicrosoft Entra ID パスワードを入力する必要があります。 この最初のマシンのロック解除後、タッチ ID はデバイスのロックを解除できます。
ロック解除後、デバイスは、Microsoft Entra ID SSO のハードウェア バインドプライマリ更新トークン (PRT) 資格情報を取得します。
注:
構成した Intune パスワード ポリシーも、この設定に影響します。 たとえば、単純なパスワードをブロックするパスワード ポリシーがある場合、この設定では単純なパスワードもブロックされます。
Intune パスワード ポリシーまたはコンプライアンス ポリシーが、Microsoft Entra パスワード ポリシーと一致していることを確認します。 ポリシーが一致しない場合、パスワードが同期されず、エンド ユーザーがアクセスを拒否される可能性があります。
keyvault の回復を構成する (省略可能)
パスワード同期認証を使用する場合は、keyvault 回復を有効にして、ユーザーがパスワードを忘れた場合にデータを確実に回復できます。 IT 管理者は、Apple のドキュメントを確認し、教育機関向け FileVault 回復キーを使用することが適切なオプションであるかどうかを評価する必要があります。
手順 2 - Intune でプラットフォーム SSO ポリシーを作成する
プラットフォーム SSO ポリシーを構成するには、このセクションの手順を使用して 、Intune 設定カタログ ポリシーを作成します。 Microsoft Enterprise SSO プラグインには、一覧表示されている設定が必要です。
Microsoft Intune 管理センターにサインインします。
[デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。
次のプロパティを入力します。
- プラットフォーム: macOS を選択します。
- プロファイルの種類: [設定カタログ] を選択します。
[作成] を選択します。
[Basics]\(基本\) で次のプロパティを入力します。
- 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、ポリシーに macOS - プラットフォーム SSO という名前を付けます。
- [説明]: ポリシーの説明を入力します。 この設定は省略可能ですが、推奨されます。
[次へ] を選択します。
[構成設定] で、[追加の追加] を選択します。 設定ピッカーで [認証] を展開し、[拡張可能なシングル サインオン (SSO)] を選択します。
![[設定カタログ] 設定ピッカーを示すスクリーンショット。Microsoft Intune で認証と拡張可能な SSO カテゴリを選択しています。](media/platform-sso-macos/settings-picker-authentication-extensible-sso.png)
一覧で、次の設定を選択します。
- 認証方法 (非推奨) (macOS 13 のみ選択)
- 拡張機能識別子
-
[プラットフォーム SSO] を展開します。
- 認証方法の選択 (macOS 14 以降の場合は選択)
- [FileVault Policy] を選択します (macOS 15 以降の場合は選択)
- [ トークンからユーザーへのマッピング] を選択します
- [共有デバイス キーを使用する] を選択します
- 登録トークン
- 画面ロック動作
- Team 識別子
- Type
- URL
設定ピッカーを閉じます。
ヒント
Kerberos SSO の有効化、タッチ ID 生体認証の使用、Microsoft 以外のアプリでの SSO の有効化など、さまざまなシナリオを構成するポリシーに追加できるプラットフォーム SSO 設定が増えています。 これらのシナリオとその必要な設定の詳細については、「 macOS デバイスの一般的なプラットフォーム SSO シナリオ」を参照してください。
オプションのシナリオ設定を最初に構成しない場合は、後でいつでもポリシーを編集できます。
次の必須設定を構成します。
Name 構成値 説明 認証方法 (非推奨)
(macOS 13 のみ)Password または UserSecureEnclaveKey 手順 1 - 認証方法を決定する (この記事で) で選択したプラットフォーム SSO 認証方法を選択します。
この設定は macOS 13 にのみ適用されます。 macOS 14.0 以降の場合は、 プラットフォーム SSO>Authentication メソッド の設定を使用します。拡張機能識別子 com.microsoft.CompanyPortalMac.ssoextensionこの値をコピーして設定に貼り付けます。
この ID は、SSO を機能させるためにプロファイルに必要な SSO アプリ拡張機能です。
拡張識別子とチーム識別子の値は連携します。プラットフォーム SSO>認証方法
(macOS 14 以降)Password、 UserSecureEnclaveKey、または SmartCard 手順 1 - 認証方法を決定する (この記事で) で選択したプラットフォーム SSO 認証方法を選択します。
この設定は、macOS 14 以降に適用されます。 macOS 13 の場合は、 認証方法 (非推奨) 設定を使用します。プラットフォーム SSO>FileVault ポリシー
(macOS 15 以降)AttemptAuthentication この設定により、デバイスは、Mac デバイスの電源が入っているときに FileVault のロック解除画面でMicrosoft Entraを使用して、Microsoft Entra ID パスワードを確認できます。
この設定は macOS 15 以降に適用されます。プラットフォーム SSO>共有デバイス キーを使用します
(macOS 14 以降)Enabled (有効) 有効にすると、プラットフォーム SSO では、同じデバイス上のすべてのユーザーに同じ署名と暗号化キーが使用されます。
macOS 13.x から 14.x にアップグレードするユーザーは、再度登録するように求められます。登録トークン {{DEVICEREGISTRATION}}この値をコピーして設定に貼り付けます。 中かっこを含める必要があります。
この登録トークンの詳細については、「デバイス登録Microsoft Entra構成する」を参照してください。
この設定では、AuthenticationMethod設定も構成する必要があります。
- macOS 13 デバイスのみを使用する場合は、 認証方法 (非推奨) 設定を構成します。
- macOS 14 以降のデバイスのみを使用する場合は、[ プラットフォーム SSO>Authentication メソッド ] 設定を構成します。
- macOS 13 と macOS 14 以降のデバイスが混在している場合は、両方の認証設定を同じプロファイルで構成します。画面ロック動作 処理しない [ハンドル不可] に設定すると、要求は SSO なしで続行されます。 トークンからユーザーへのマッピング>アカウント名 preferred_usernameこの値をコピーして設定に貼り付けます。
このトークンは、macOS アカウントのアカウント名の値にMicrosoft Entrapreferred_username属性値が使用されることを指定します。トークンからユーザーへのマッピング>フルネーム nameこの値をコピーして設定に貼り付けます。
このトークンは、macOS アカウントの Full Name 値にMicrosoft Entraname要求が使用されることを指定します。Team 識別子 UBF8T346G9この値をコピーして設定に貼り付けます。
この識別子は、Enterprise SSO プラグイン アプリ拡張機能のチーム識別子です。Type Redirect URL 次のすべての URL をコピーして貼り付けます。 https://login.microsoftonline.com
https://login.microsoft.com
https://sts.windows.net
Azure Governmentや Azure China 21Vianet などのソブリン クラウド ドメインを環境で許可する必要がある場合は、次の URL も追加します。
https://login.partner.microsoftonline.cn
https://login.chinacloudapi.cn
https://login.microsoftonline.us
https://login-us.microsoftonline.comこれらの URL プレフィックスは、SSO アプリ拡張機能を実行する ID プロバイダーです。 URL は リダイレクト ペイロードに必要であり、 資格情報 ペイロードでは無視されます。
これらの URL の詳細については、 Apple デバイス用の Microsoft Enterprise SSO プラグインに関するページを参照してください。重要
環境内に macOS 13 と macOS 14 以降のデバイスが混在している場合は、同じプロファイルで プラットフォーム SSO>Authentication メソッド と 認証方法 (非推奨) 認証 設定を構成します。
プロファイルの準備ができたら、次の例のようになります。
[次へ] を選択します。
スコープ タグ (オプション) で、
US-NC IT TeamやJohnGlenn_ITDepartmentなど、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「 分散 IT に RBAC ロールとスコープ タグを使用する」を参照してください。[次へ] を選択します。
[ 割り当て] で、プロファイルを受信するユーザーまたはデバイス グループを選択します。 ユーザー アフィニティを持つデバイスの場合は、ユーザーまたはユーザー グループに割り当てます。 ユーザー アフィニティなしで登録されている複数のユーザーを持つデバイスの場合は、デバイスまたはデバイス グループに割り当てます。
重要
ユーザー アフィニティを持つデバイスのプラットフォーム SSO 設定の場合、デバイス グループまたはフィルターに割り当てることはサポートされていません。 ユーザー アフィニティを持つデバイスのフィルターでデバイス グループの割り当てまたはユーザー グループの割り当てを使用すると、ユーザーが条件付きアクセスによって保護されているリソースにアクセスできない可能性があります。 この問題は、次の場合に発生する可能性があります。
- プラットフォーム SSO 設定が正しく適用されていない場合、または
- プラットフォーム SSO が有効になっていないときに、ポータル サイト アプリMicrosoft Entraデバイスの登録がバイパスされる場合
プロファイルの割り当ての詳細については、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。
[次へ] を選択します。
[確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。
デバイスによって次に構成の更新が確認されるときに、構成した設定が適用されます。
詳細情報
- プラグインの詳細については、 Apple デバイス用の Microsoft Enterprise SSO プラグインに関するページを参照してください。
- 拡張シングル サインオン拡張機能のペイロード設定の詳細については、「 Apple デバイスの拡張シングル サインオン MDM ペイロード設定(Apple の Web サイトを開く)」を参照してください。
手順 3 - macOS 用のポータル サイト アプリをデプロイする
macOS 用のポータル サイト アプリは、Microsoft Enterprise SSO プラグインをデプロイしてインストールします。 このプラグインにより、プラットフォーム SSO が有効になります。
Intune を使用すると、ポータル サイト アプリを追加し、必要なアプリとして macOS デバイスにデプロイできます。
- macOS 用のポータル サイト アプリを追加すると、手順が一覧表示されます。
- organization情報を含むようにポータル サイト アプリを構成します (省略可能)。 手順については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」を参照してください。
プラットフォーム SSO 用にアプリを構成する具体的な手順はありません。 最新のポータル サイト アプリが Intune に追加され、macOS デバイスに展開されていることを確認してください。
古いバージョンのポータル サイト アプリがインストールされている場合、プラットフォーム SSO は失敗します。
手順 4 - デバイスを登録し、ポリシーを適用する
プラットフォーム SSO を使用するには、次のいずれかの方法でデバイスを Intune に登録する必要があります。
organization所有デバイスの場合、次のことができます。
個人所有のデバイスの場合は、デバイス登録ポリシーを作成します。 この登録方法を使用すると、エンド ユーザーはポータル サイト アプリを開き、Microsoft Entra ID でサインインします。 正常にサインインすると、登録ポリシーが適用されます。
新しいデバイスの場合は、登録ポリシーを含め、必要なすべてのポリシーを事前に作成して構成することをお勧めします。 その後、デバイスが Intune に登録されると、ポリシーが自動的に適用されます。
Intune に既に登録されている 既存のデバイス の場合は、ユーザーまたはユーザー グループにプラットフォーム SSO ポリシーを割り当てます。 デバイスが Intune サービスと同期またはチェックすると、ユーザーは作成したプラットフォーム SSO ポリシー設定を受け取ります。
手順 5 - デバイスを登録する
デバイスがポリシーを受け取ると、通知センターに表示される 登録が必要な 通知が表示されます。
エンド ユーザーはこの通知を選択し、organization アカウントで Microsoft Entra ID プラグインにサインインし、必要に応じて多要素認証 (MFA) を完了します。
注:
MFA は、Microsoft Entraの機能です。 テナントで MFA が有効になっていることを確認します。 その他のアプリ要件など、詳細については、「多要素認証Microsoft Entra」を参照してください。
認証に成功すると、デバイスはorganizationにMicrosoft Entra参加し、職場参加 (WPJ) 証明書がデバイスにバインドされます。
次の記事では、登録方法に応じて、ユーザー エクスペリエンスを示します。
- Microsoft Entra ID を使用して Mac デバイスに参加します。
- macOS プラットフォーム SSO を使用して OOBE 中にMicrosoft Entra ID を持つ Mac デバイスに参加します。
手順 6 - デバイスの設定を確認する
プラットフォーム SSO 登録が完了すると、プラットフォーム SSO が構成されていることを確認できます。 手順については、「Microsoft Entra ID - デバイスの登録状態を確認する」に移動します。
Intune に登録されているデバイスでは、 設定>Privacy とセキュリティ>Profiles に移動することもできます。 プラットフォーム SSO プロファイルが [ com.apple.extensiblesso Profile] の下に表示されます。 プロファイルを選択して、構成した設定 (URL など) を表示します。
プラットフォーム SSO のトラブルシューティングを行うには、 macOS Platform のシングル サインオンに関する既知の問題とトラブルシューティングに関するページを参照してください。
手順 7 - 既存の SSO アプリ拡張機能プロファイルの割り当てを解除する
設定カタログ ポリシーが機能していることを確認したら、Intune デバイス機能テンプレートを使用して作成された既存の SSO アプリ拡張機能 プロファイルの割り当てを解除します。
両方のポリシーを保持すると、競合が発生する可能性があります。
その他の MDM
その MDM でプラットフォーム SSO がサポートされている場合は、他のモバイル デバイス管理サービス (MDM) でプラットフォーム SSO を構成できます。 別の MDM サービスを使用する場合は、次のガイダンスを使用します。
この記事に記載されている設定は、構成する必要がある Microsoft 推奨の設定です。 この記事の設定値は、MDM サービス ポリシーにコピー/貼り付けることができます。
MDM サービスの構成手順は異なる場合があります。 MDM サービス ベンダーと連携して、これらのプラットフォーム SSO 設定を正しく構成して展開することをお勧めします。
プラットフォーム SSO を使用したデバイスの登録はより安全で、ハードウェアバインドデバイス証明書を使用します。 これらの変更は、 デバイス コンプライアンス パートナーとの統合など、一部の MDM フローに影響する可能性があります。
MDM サービス ベンダーに問い合わせて、MDM がプラットフォーム SSO をテストし、ソフトウェアがプラットフォーム SSO で適切に動作し、プラットフォーム SSO を使用して顧客をサポートする準備ができていることを確認する必要があります。
一般的なエラー
プラットフォーム SSO を構成すると、次のエラーが表示される場合があります。
10001: misconfiguration in the SSOe payload.このエラーは、次の場合に発生する可能性があります。
- 設定カタログ プロファイルに構成されていない必要な設定があります。
- 設定カタログ プロファイルには、 リダイレクトの種類のペイロードに適用できない設定が構成されています。
設定カタログ プロファイルで構成する認証設定は、macOS 13.x デバイスと 14.x デバイスでは異なります。
環境内に macOS 13 デバイスと macOS 14 デバイスがある場合は、1 つの設定カタログ ポリシーを作成し、同じポリシーでそれぞれの認証設定を構成する必要があります。 この情報については、「 手順 2 - Intune でプラットフォーム SSO ポリシーを作成する (この記事)」を参照してください。
10002: multiple SSOe payloads configured.複数の SSO 拡張ペイロードがデバイスに適用され、競合しています。 デバイスには拡張機能プロファイルが 1 つだけあり、そのプロファイルは設定カタログ プロファイルである必要があります。
デバイス機能テンプレートを使用して SSO アプリ拡張機能プロファイルを以前に作成した場合は、そのプロファイルの割り当てを解除します。 設定カタログ プロファイルは、デバイスに割り当てる必要がある唯一のプロファイルです。