現在 Intune では、Entra ID 登録・Intune 登録された macOS, iOS/iPadOS 端末に対して Entra ID のシングルサインオン (SSO) を構成することができます!
最近アップされた TechCommunity の Microsoft Intune Blog でも、Intune における macOS 管理が続々とフィーチャーされており、macOS 管理と SSO は非常にアツい話題です。
参考:
- Now is the time—manage your Mac endpoints with Microsoft Intune
- Microsoft Intune news at Microsoft Ignite 2023
- What’s new in Microsoft Intune (2312) December edition
Microsoft Intune Blog で挙げられた7つの "User-centric features" のうち、3つが SSO 関連でした。(以下抜粋)
- Single sign-on (SSO) reduces password fatigue and simplifies device setup.
- Exclusive to Intune, SSO can also pre-configure user accounts in Office apps (including Outlook, Microsoft Edge, and Safari).
- SSO enables conditional access to company resources, eliminating the need to launch the Intune Company Portal app and making the experience simpler and faster while reducing costs and time.
ブログ全文はこちらから:Now is the time—manage your Mac endpoints with Microsoft Intune
上記のように、SSO を構成するとざっと以下が実現できるとのことです。
- パスワード疲れ防止、セットアップ簡略化
- Office アプリのユーザーアカウント事前構成
- 条件付きアクセスで守られたリソースへのアクセス簡略化
これはやるしかない!ということで検証しました。
動作確認してみたところ、本当に宣伝通りのスルスル user experience を享受することができました!
この記事では構成例と、動作例を共有します。
1. 構成例:SSO設定
参考:
- Use the Microsoft Enterprise SSO plug-in on macOS devices
- Microsoft Enterprise SSO plug-in for Apple devices
SSO プラグインを端末上に構成するため、Intune 上で構成プロファイルを作成します。
使用するのは、「デバイス機能 (Device features)」テンプレートです。
「Single sign-on app extension」下が設定箇所です。値は、上1つ目の公開情報を参考に入れました。
以下は当検証環境の設定値です。
| # | 大項目 | 中項目 | 小項目 | 値 (例) | 備考 |
|---|---|---|---|---|---|
| 1 | Single sign-on app extension | SSO app extension type | - | Microsoft Entra ID | 選択式。公開情報記載の通り、Entra ID を選択する。 |
| 2 | Single sign-on app extension | Additional configuration | AppPrefixAllowList | com.microsoft.(String) | MSAL をサポートしておらず、かつ SSO の使用を許可されているアプリのプレフィックスの一覧を入力する。すべての Microsoft アプリを許可するため、「com.microsoft.」を設定。 |
| 3 | Single sign-on app extension | Additional configuration | browser_sso_interaction_enabled | 1 (Integer) | Safari ブラウザーや、MSAL をサポートしていないアプリからサインインを許可するため、「1」を設定。 |
| 4 | Single sign-on app extension | Additional configuration | disable_explicit_app_prompt | 1 (Integer) | プロトコル レイヤーのプロンプトを無効化する (強制的に表示されないようにする) ため、「1」を設定。 |
Additional configuration 部は、1つめの参考リンク先の公開情報に記載されている推奨値をほぼそのまま設定しました。
ただし、公開情報では AppPrefixAllowList に「Apple アプリを許可する (com.apple.)」値が入っていますが、今回の環境ではそこまでしたくなかったので省いています。
そもそも「MSAL をサポートしておらず、かつ SSO の仕様を許可されているアプリ」は当環境に無い疑惑ありますが。。
なお作成した構成プロファイルはユーザーグループ・デバイスグループどちらでも割り当て可能です。
Additional configuration として構成可能なキーの情報は、2つめの参考情報リンクの方にも載っています。
例)Enable_SSO_On_All_ManagedApps, AppBlockList, etc.
直リンクはこちら:More configuration options
2. 適用確認
i. 管理ポータル
Intune 管理ポータル上のポリシー適用状態確認画面です。
※ ↑ Last report modification time (Tue Dec 26 2023 09:21:11 GMT+0900 (日本標準時)) は直近のIntune同期日時です。
ii. デバイス
デバイス側でも、[設定]>[プライバシーとセキュリティ]>[プロファイル]より、該当設定が適用されていることが分かります。
(production 環境では1台ずつ確認することはないですが、今回は検証のため確認しました。構築後のテストだとここまで見るかもしれませんね。)
※ ↑ インストール日時 (2023/12/22 11:35) は最初にプロファイルがデバイスに適用された日時です。
3. 動作例
プロファイルが正常に適用されたデバイスで、使用感を確認しました。
上の参考公開情報にも細かく仕様や動作 (ビデオ付き) が説明されていますので、特に仕様については公開情報をご参照ください。
ID・パスワードが連携され、条件付きアクセスで準拠済みデバイス許可条件構成時の証明書要求も無く、Entra ID join した Windows と同等のシームレスな Entra ID ライフを手に入れることができました!
各アプリの動作をピックアップして下に掲載します。
i. Company Portal
Company Portal (ポータル サイト アプリ) 起動直後は、「サインイン」ボタンが表示されるためクリック ↓
「サインイン」クリック後、特に ID・PW は求められずそのままデバイスページが開きます。
↑ 画面右上のアカウントアイコンをクリック
↓「シングル サインオン (SSO)」設定が構成されている (使用可能) 状態です。
(写真はメールアドレス部を塗りつぶしています)
数年前私が macOS 管理検証していた時は Company Portal 起動時 ID・PW 入力が必要(デバイスを Intune 登録後も都度 ID・PW 入力が必要)でしたが、こうして SSO を構成すると入力要らずでスルスル利用できました。
macOS の場合 SSO plug-in は Company Portal にビルトインされているため、SSO の利用前提としてデバイス上に Company Portal がインストールされていることが必須になります。
(iOS/iPadOS の場合は Microsof Authenticator アプリが担います。)
参考:Microsoft Enterprise SSO plug-in for Apple devices
動作担保目的で Company Portal を Intune からプッシュインストール (Required 割り当て) しておくことも可能です。ちなみに当検証環境でも対応しました。
参考: Add the macOS Company Portal app
ii. Word
インストール直後に初めてアプリを起動すると以下の画面が開いたので、「今すぐ Word を使ってみる」をクリック ↓
「今すぐ Word を使ってみる」クリック後、特に ID・PW は求められずそのまま新規作成ページが開きました。
↑ 画面左上のアカウントアイコンをクリック
↓ 認証されている状態です。
今回検証ユーザーは Microsoft 365 Apps for enteprise ライセンスを持っているので、Microsoft 365 Apps for macOS (Officeアプリ) で動作を確認しました。
なお、Microsoft 365 Apps も Intune から別途展開しています。
また、Microsoft AutoUpdate の設定も Intune から展開しており、この設定もあると更新設定の通知が来ない (事前設定されているため、構成を求められない) のでこれも便利と感じました。
- Microsoft 365 Apps の展開:Assign Microsoft 365 to macOS devices with Microsoft Intune
- Microsoft AutoUpdate の展開:Microsoft Defender for EndpointにmacOSをIntuneからオンボードしてみた
iii. Outlook
インストール直後に初めてアプリを起動すると以下の画面が開いたので、「<メールアドレス>を追加しますか?」をクリック ↓
「<メールアドレス>を追加しますか?」クリック後、特に ID・PW は求められずそのままアカウント追加が完了しました。
別のアカウントは追加しないので、とりあえず「今すぐカスタマイズする」をクリック ↓
「OutLook をパーソナライズする」にて「後で完了する」をクリック ↓
セットアップが完了しました。
iv. Safari - OfficeHome (portal.office.com)
Safari から、OfficeHome (portal.office.com) にアクセスします。
検索バーに「portal.office.com」を入力して Enter キー押下後、特に ID・PW は求められずそのまま「microsoft365.com」ページにリダイレクトされました!
↓ ユーザーがサインインした状態になっています。
公開情報に動作確認方法として、「Safari のプライベートモードで https://portal.office.com を開く」方法が紹介されていたので、これを実施しました。
You can test single sign-on by opening Safari in private mode and opening the
https://portal.office.comsite. No username and password will be required.
この後念のためプライベートではない通常ウィンドウでも動作確認しましたが、同じ結果となりました。
おまけ:OfficeHome アクセス時のサインインログ
OfficeHome アクセス時のサインインログを後から見ると、以下がしっかり確認でき興味深かったです。
- ユーザー、デバイスが認識されていること
- 認証方法が「Azure AD SSO plug-in」であると認識されていること
- 条件付きアクセスポリシーが適用されていること
- 「準拠済みデバイス」許可条件を満たしていること
- 「Microsoft Entra ID SSO 拡張機能のバージョン」情報が認識されていること
(デバイス ID のハイパーリンクはモザイク処理しました。)
さいごに
こうして SSO プラグインを利用すると Entra ID で SSO を利用することができ、とても快適になりました。
これを経験すると、もう SSO 無しには戻れないです!
個人的に、これまで Intune は管理側のメリットが語られがちだったような気がしており、このようにユーザーの生産性向上につながる機能も出ていることがもっと知られるといいなと思います。
なお今回使用した環境は ABM 不在で、Company Portal から手動でデバイス登録しています。
この場合も SSO を利用できるので、検証やりたい放題かつ、導入環境も選ばない良機能と思います。
2024 の Q1 にリリース予定の機能もあり、今後ますます Intune の Mac 管理は盛り上がっていきます! 目が離せないですね!
Let's have a mac-gnificent Intune life!