コンサルティングSaaSの販売と運用会社概要ブログ採用お問い合わせ
IT Admin Blog>Jamf Pro で Entra ID 統合の定期認証を自動化する
Jamf Pro で Entra ID 統合の定期認証を自動化する
#Jamf Pro
//images.ctfassets.net/soy4k0zl1vej/4i4TOaLD0E0O8s63x5FCrt/ecb06f2b4e9be904859639adf79d0e04/uIZ7atN2_400x400.jpg
ヤスムラ
2023/10/16
Mac を Jamf Pro で管理している企業の中には、Entra ID (旧称 Azure Active Directory) と統合している会社も多いと思います。しかしこの構成は一定期間ごとに Entra ID の認証ポップアップが表示され、社内でクレームが上がったり、認証を無視することで条件付きアクセスが正しく動作しなくなるといった問題が発生することがあります。
今回はこの課題を解決するための方法をご紹介したいと思います。

実施内容

Enterprise SSO の有効化

  • ユーザーが Entra ID の「職場または学校用アカウント」を必要とするアプリケーションやサービスにアクセスする際に、一度ログイン認証するだけで、その後のアクセスにおいて自動的に認証される機能です。これを利用することでユーザーは個々のアプリケーションに対して都度ログインする必要がなくなり、完全かつ効率的なアクセスが可能になります。
  • ただしこの機能はアプリ側で Microsoft 認証ライブラリ (MSAL) をサポートしている必要があり、現状ブラウザは Safari と Microsoft Edge が対応しています(Google Chromeは非対応)

JamfAAD の WebView 有効化

  • 条件付きアクセス(またはデバイスコンプライアンス)を利用する場合、定期的にブラウザのポップアップが表示され「職場または学校アカウント」でのログイン認証を求められますが、こちらを有効にするとデフォルトブラウザの設定に関係なく WebView が立ち上がるようになります。(Jamf Pro Ver10.38.0 にて実装)
  • この設定を行うとGoogle Chromeをデフォルトブラウザとして設定していても Enterprise SSO に対応した WebView が立ち上がるため自動認証が可能となります。

手順

Enterprise SSOの有効化

基本的に公式手順通り設定すれば問題ありません。
MDM を使用して macOS Enterprise SSO プラグインを構成する | Microsoft Learn
Microsoft Enterprise SSO プラグインの詳細については、こちらをご覧ください。 Microsoft Intune、Jamf Pro、および...
favicon
learn.microsoft.com
og:image

PLIST作成

以下内容のPLISTを事前に作成しておきます。(ファイル名は任意)
1 2 3 4 5 6 7 8 9 10 <plist version="1.0"> <dict> <key>AppPrefixAllowList</key> <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string> <key>browser_sso_interaction_enabled</key> <integer>1</integer> <key>disable_explicit_app_prompt</key> <integer>1</integer> </dict> </plist>

構成プロファイル設定

  1. Jamf Proにログインします。
  2. 左メニューより [コンピュータ] > [構成プロファイル] > [+新規] をクリックします。
  3. [一般] で以下の通り設定します。
  4. [Scppe] タブに移動して配布するPCを設定します。
  5. [オプション] タブに戻り [シングルサインオン機能拡張] > [+追加] をクリックします。
  6. 以下の通り設定します。
    • ペイロードタイプ: SSO
    • 拡張識別子: com.microsoft.CompanyPortalMac.ssoextension
    • チーム識別子: UBF8T346G9
    • サインオンのタイプ: リダイレクト
    • URL (中国大陸リージョン、米国政府リージョンを除く):
      • https://login.microsoftonline.com
      • https://login.microsoft.com
      • https://sts.windows.net
  7. カスタム構成に先ほど作成したPLISTを読み込ませて [保存] をクリックします。

JamfAAD の WebView 有効化

スクリプト登録

  1. Jamf Proにログインします。
  2. 左メニューより「コンピュータ] > [歯車アイコン] > [スクリプト] をクリックします。
  3. [+新規] をクリックして [一般] タブにて表示名を入力します。
  4. [スクリプト] タブにて以下のスクリプトを入力し、[保存] をクリックします。
1 2 user=`ls -la /dev/console | cut -d " " -f 4` sudo -u $user defaults write com.jamf.management.jamfAAD useWKWebView -bool true

ポリシー登録

  1. Jamf Proにログインします。
  2. 左メニューより [コンピュータ] > [ポリシー] > [+新規] をクリックします。
  3. 左メニュー[General]にて以下の通り設定します。
    • 表示名: (わかりやすい名称)
    • 有効: チェックする
    • トリガー: [Recurring Check-in] にチェックする
    • 実行頻度: [Once per computer]を選択する
  4. [Scppe]タブに移動して配布するPCを設定します。
  5. [オプション] タブに戻り [スクリプト] > [Configuure] をクリックします。
  6. 先ほど作成したスクリプトを選択して [保存] をクリックします。

動作確認

Safari をプライベート モードで 開き、portal.office.com にアクセスすると、認証が自動的に行われるはずです。もし認証を求められた場合は2回目以降自動化されることをご確認ください。
こちらが正しく動作していれば JamfAAD の認証も自動化されます。

最後に

ZUNDAでは、社内 IT 環境のクラウド化をサポートしており Jamf Pro や Microsoft 製品についてもライセンス販売から構築支援まで幅広く扱っております。
Jamf Proの構築にお困りでしたら、ぜひお問合せください。
ZUNDAに問い合わせる
サムネイル
<<< Next Post
Contentfulで作るコーポレートサイト
Previous Post >>>
Keeper を語ろう! #2
Jamf Pro の関連記事
Related Posts
2022/07/11
#Jamf Pro
Jamf Proの新機能-Jamf App CatalogでのMac Appsの配布と更新
Jamf Pro の新機能の Jamf App Catalog での、Mac Appsの配布とインストールを紹介します。
Privacy Policy
Public Notice
© ZUNDA Inc.