次の方法で共有

macOS プラットフォーム シングル サインオンの概要 (プレビュー)

macOS プラットフォーム シングル サインオン (PSSO) は、ユーザーが Microsoft Entra ID 資格情報を使用して Mac デバイスにサインインできるようにする、Microsoft の Enterprise SSO プラグイン、macOS のプラットフォーム資格情報を利用する新機能です。 この機能では、ユーザーのサインイン プロセスを簡略化し、覚えておく必要があるパスワードの数を減らすことで、管理者に利点を提供します。 また、ユーザーはスマート カードまたはハードウェア バインド キーを使用して Microsoft Entra ID で認証することもできます。 この機能では、2 つの個別のパスワードを覚えておく必要がなくなることで、エンド ユーザー エクスペリエンスが向上し、管理者はローカル アカウントのパスワードを管理する必要がなくなります。

エンド ユーザー エクスペリエンスを決定する 3 つの異なる認証方法があります。

  • macOS のプラットフォーム資格情報: 認証に Microsoft Entra ID を使用するアプリ間での SSO に使用される、セキュア エンクレーブでサポートされたハードウェア バインド暗号化キーをプロビジョニングします。 ユーザーのローカル アカウントのパスワードは影響を受けず、Mac にサインインする必要があります。
  • スマート カード: ユーザーは、外部スマート カード、またはスマート カードと互換性のあるハード トークン (Yubikey など) を使用してマシンにサインインします。 デバイスのロックが解除されると、スマート カードが Microsoft Entra ID と共に使用され、認証に Microsoft Entra ID を使うアプリ間での SSO が許可されます。
  • 認証方法としてのパスワード: ユーザーの Microsoft Entra ID パスワードをローカル アカウントと同期し、認証に Microsoft Entra ID を使用するアプリ間での SSO を有効にします。

Apple デバイスで Microsoft Enterprise SSO プラグインを利用して、PSSO では:

  • ユーザーが Touch ID を使用して、パスワードレスを実現できるようにします。
  • Windows Hello for Business テクノロジに基づいて、フィッシングに対する耐性のある資格情報を使用します。
  • セキュリティ キーの必要性をなくすことで、顧客組織のコストを節約します。
  • セキュア エンクレーブとの統合を使用して、ゼロ トラスト目標を進めます。

これを有効にするには、管理者が Microsoft Intune またはその他のサポートされている MDM を使用して PSSO を構成する必要があります。 デバイスの構成方法に応じて、エンド ユーザーは、セキュリティで保護されたエンクレーブ、スマート カード、またはパスワード ベースの認証方法を使用して、PSSO を使用してデバイスを設定できます。

要件

macOS のプラットフォーム SSO をデプロイするには、次の最小要件を満たす必要があります。

構成

設定方法の詳細情報と手順については、次の記事をご覧ください。

展開

macOS のプラットフォーム SSO をデプロイする方法の詳細と手順については、以下の記事を参照してください。

パスワードレスの認証

パスワードは、悪意のあるアクターの主要な攻撃ベクトルです。 ソーシャル エンジニアリング、フィッシング、スプレー攻撃を使用してパスワードを侵害します。 パスワードレス認証戦略により、これらの攻撃のリスクを軽減できます。

macOS のプラットフォーム SSO を使用して、組織のパスワードレス認証を有効にする方法について学習します。

macOS のプラットフォーム資格情報は、WebAuthn の課題 (ブラウザーの再認証シナリオを含む) で使用するためのフィッシングに対する耐性のある資格情報としても使用できます。 管理者は、この機能に対して FIDO2 セキュリティ キー認証方法を有効にする必要があります。 FIDO ポリシーでキー制限を使用する場合は、許可されている AAGUID の一覧に macOS プラットフォーム資格情報の AAGUID を追加する必要があります。 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

Microsoft Platform SSO: UserSecureEnclaveKeyBiometricPolicy(ユーザーセキュアエンクレーブキー生体認証ポリシー)

Microsoft Platform SSO では、 UserSecureEnclaveKey 認証 方法でプラットフォーム SSO を使用する場合、UserSecureEnclaveKeyBiometricPolicy オプションがサポートされます。 このポリシーは、ユーザー セキュリティで保護されたエンクレーブ キーにアクセスする必要がある場合は常に、ユーザーに Touch ID による認証を要求することで、セキュリティを強化します。

  • このポリシーが有効になっている場合、ユーザーセキュリティで保護されたエンクレーブ キーにアクセスするたびに、ユーザーは Touch ID 認証を求められます。 プロンプトは、PSSO 登録中、ユーザー キーをパスキーとして使用するブラウザーの再認証シナリオ、および PSSO トークンを取得するためのサインイン時の認証中に発生します。
  • このポリシーを有効にするには、デバイスが Touch ID 生体認証をサポートしている必要があります。 ユーザーは、PSSO 登録を続行するために Touch ID を構成する必要があります。 管理者は、このポリシーを有効にする前に、ユーザーに生体認証がサポートされているデバイスまたは Touch ID をサポートする外部キーボードがあることを確認する必要があります。

UserSecureEnclaveKeyBiometricPolicy が有効になっている場合、ユーザー セキュリティで保護されたエンクレーブ キーを使用した認証中にパスワード フォールバックを行うオプションはありません。 そのため、ユーザーが Touch ID 生体認証を利用できない場合、ユーザーは Microsoft Entra ID に対して認証を行うことはできません。

UserSecureEnclaveKeyBiometricPolicy の要件

  • オペレーティング システム: macOS 14.6 以降

  • ポータル サイトのバージョン: 2504 以降

    Von Bedeutung

    PSSO 登録が完了した後にこの機能を有効にした場合、ポリシーを有効にするには、すべてのユーザーが完全な PSSO 再登録プロセスを受ける必要があります。 ユーザーに再登録プロンプトが表示されないため、この再登録プロセスは管理者主導である必要があります。 管理者は、このポリシーを有効にするかどうかを慎重に検討し、それに応じて PSSO の展開を計画する必要があります。

UserSecureEnclaveKeyBiometricPolicy を有効にする方法

高セキュリティのお客様は、SSO 拡張機能のデータ ディクショナリにフラグを設定することで、この機能を有効にすることを選択できます。

  • キー名: enable_se_key_biometric_policy
  • 値: true

Microsoft Intune の UserSecureEnclaveKeyBiometricPolicy 構成のスクリーンショット。

UserSecureEnclaveKeyBiometricPolicy の利点

  • セキュリティ強化: ユーザー セキュア エンクレーブ キー アクセスはハードウェアで保護されており、タッチ ID 認証が成功した後にのみアクセスできるため、セキュリティが強化されます。

UserSecureEnclaveKeyBiometricPolicy の欠点

  • その他のプロンプト: プロセス中にキーに複数回アクセスされるため、PSSO 登録中に追加のプロンプトが表示されます。
  • Biometric-Only アクセス: PSSO パスキーには生体認証でのみアクセスできます。 パスワードフォールバックはありません。 デバイスがパスワードでロック解除されている場合でも、ユーザーは PSSO トークンを取得するための生体認証を求められます。

米国標準技術局 (NIST)

米国国立標準技術研究所 (NIST) は、米国商務省内の非規制連邦機関です。 NIST では、連邦機関の情報および情報システムを保護するためのコスト効率の高いプログラムの管理を支援するために、標準、ガイドライン、およびその他の出版物を策定して発行しています。

macOS プラットフォーム SSO を使用して NIST の要件を満たす方法の詳細については、以下の記事を参照してください。

トラブルシューティング

macOS プラットフォーム SSO の実装時に問題が発生した場合は、macOS プラットフォームのシングル サインオンの既知の問題とトラブルシューティングに関するドキュメント 参照してください