MacでもEntra IDのSSOを実現させたい
WindowsではWindows Hello for Businessによって、
Entra ID認証をシームレスにSSOすることができます。
Macはまだ残念ながら完全に対応していない。
が、ブラウザとWordやExcelなどのOfficeアプリであればSSOが利用できるようになっている。
詳しくは以下参照。
このプラグインを使うことで、少しばかりEntra IDのSSOができるようになる。
というわけで手持ちのMacで試してみました。
事前準備
MacをMDMで管理できるようにしておくこと。
MSのサイトにはIntuneとJamf Proのやり方が載っているが、
MDMならなんでもOK。
自分はJamf Nowを使ってみた。
MDMじゃなくても構成プロファイルをインストールしていたらいいかも。
SSOカスタムプロファイル作成
SSO設定可能な構成プロファイルを作成する。
IntuneやJamf Proは専用のGUIがあるが、Jamf Nowは残念ながらGUIがない。
なので、手動で作る。
Jamf Nowのカスタムプロファイルの項目を確認すると、
次の2つのツールで作成したプロファイルを読み込むことが可能。
- Apple Configurator
- iMazing Profile Editor
Apple ConfiguratorではSSO設定ができなかったため、
2のツールを使う。
以下のURLからインストール。
Profile Editorを開いたら、
GeneralのNameに任意のプロファイル名を入力する。
左ペインに"Single Sign-On Extention"があるので、そこからペイロードを新規に作成する。
MSのサイト通りに入力する。
| 項目 | 入力値 |
|---|---|
| Extention Identifier | com.microsoft.CompanyPortalMac.ssoextension |
| Type | Redirect |
| Team Identifier | UBF8T346G9 |
"URLs"には以下を入力する。
- https://login.microsoftonline.com
- https://login.microsoft.com
- https://sts.windows.net
- https://login.partner.microsoftonline.cn
- https://login.chinacloudapi.cn
- https://login.microsoftonline.us
- https://login-us.microsoftonline.com
少し下の方にスライドして、
"App Allow List"には**com.microsoft.,com.apple.**を入力する。
また、"Allow Users to Sign in ..."にチェックを入れる。
以上でプロファイルの作成は完了。
PCに保存する。
Jamf Nowにプロファイル追加
次にJamf Nowに移動して、プロファイルの追加を行う。
先ほど作成したプロファイルをアップロードする。
プロファイルをJamfに追加。
プロファイルの追加完了。
しばらくすると、Macの方にもプロファイルが追加されている。
ポータルサイトアプリをMacにインストール
Microsoftポータルサイトアプリをインストールする。
以下のURLをクリックしてインストーラーをDL。
インストーラーを実行して、指示に従ってインストールする。
インストール完了。
動作確認
以上で設定が終わったので、SSOのテストをやってみる。
Safariをプライベートモードに開くか、Entra IDでサインアウト。
その後、Officeポータル(https://portal.office.com )にログインする。
すると、別画面が開いてEntra IDのサインインを求められる。
しかしながら以降はサインインが不要になり、自動的にEntra IDにログインが行われる。
Officeアプリでも同様にサインインが不要となった。
(勝手にログインができているイメージ)
明らかにサインインの頻度が減った
Macの場合、Officeアプリを使う場合はWordやExcelなどのアプリを開くたびに
わざわざサインインを行なっていたが、
このEnterprise SSOプラグインを使うことでサインイン処理の回数が激減。
非常にストレスが減るように。
WindowsみたいにMacOSのサインイン自体もSSOできるようになったらいいのだろうけど、
それはまだ未実装かな?
今後のアップデートに期待。