MaC OSにおけるPSSOの実現方法(Entra ID)
Windows OSにおいてはWHfBという仕組みがあります。これにより、パスワードレスでのデバイスログインとEntra IDの認証を同時に完了させることができます。
本記事では、Mac OSにおいて、PSSO(MaC OS版のWHfB的な機能)について紹介します。
PSSO
PSSO において、「macOS のプラットフォーム資格情報 (Secure Enclave)」を認証方式としてセットアップした場合、当該資格情報は Microsoft Entra ID 上にデバイスバインドパスキーとして登録されます。
その結果、端末が Touch ID 等の生体認証に対応している場合には、Microsoft Entra ID の資格情報と、デバイスに登録された指紋情報などを組み合わせてサインインすることが可能となります。
— 参考情報 ———————————-
Title : macOS Platform シングル サインオンの概要
URL : https://learn.microsoft.com/ja-jp/entra/identity/devices/macos-psso
///一部抜粋
エンド ユーザー エクスペリエンスを決定する 3 つの異なる認証方法があります。
- macOS のプラットフォーム資格情報: 認証に Microsoft Entra ID を使用するアプリ間での SSO に使用される、セキュア エンクレーブでサポートされたハードウェア バインド暗号化キーをプロビジョニングします。 ユーザーのローカル アカウントのパスワードは影響を受けず、Mac にサインインする必要があります。
- スマート カード: ユーザーは、外部スマート カード、またはスマート カードと互換性のあるハード トークン (Yubikey など) を使用してマシンにサインインします。 デバイスのロックが解除されると、スマート カードが Microsoft Entra ID と共に使用され、認証に Microsoft Entra ID を使うアプリ間での SSO が許可されます。
- 認証方法としてのパスワード: ユーザーの Microsoft Entra ID パスワードをローカル アカウントと同期し、認証に Microsoft Entra ID を使用するアプリ間での SSO を有効にします。
Apple デバイスで Microsoft Enterprise SSO プラグインを活用する PSSO では、
- ユーザーが Touch ID を使用して、パスワードレスを実現できるようにします。
- Windows Hello for Business テクノロジに基づいて、フィッシングに対する耐性のある資格情報を使用します。
- セキュリティ キーの必要性をなくすことで、顧客組織のコストを節約します。
- セキュア エンクレーブとの統合を使用して、ゼロ トラスト目標を進めます。
これを有効にするには、管理者が Microsoft Intune またはその他のサポートされている MDM を使用して PSSO を構成する必要があります。 デバイスの構成方法に応じて、エンド ユーザーは、セキュリティで保護されたエンクレーブ、スマートカード、またはパスワード ベースの認証方法を使用して、PSSO を使用してデバイスを設定できます。
///一部抜粋
———————————————–
本機能は 2025 年 8 月に GA (2024 年 5 月にパブリック プレビュー) された機能とです。
— 参考情報 ①———————————-
Title : 一般提供開始: Microsoft Entra ID による macOS 向けプラットフォーム SSO | Japan Azure Identity Support Blog
— 参考情報 ②———————————-
Title : Apple デバイスでキーチェーンから Secure Enclave 利用へ
URL : https://jpazureid.github.io/blog/azure-active-directory/Keychain-to-SecureEnclave-for-Apple-device/
———————————————–