Mac を Jamf Pro で管理している企業の中には、Entra ID (旧称 Azure Active Directory) と統合している会社も多いと思います。しかしこの構成は一定期間ごとに Entra ID の認証ポップアップが表示され、社内でクレームが上がったり、認証を無視することで条件付きアクセスが正しく動作しなくなるといった問題が発生することがあります。
今回はこの課題を解決するための方法をご紹介したいと思います。
実施内容
Enterprise SSO の有効化
- ユーザーが Entra ID の「職場または学校用アカウント」を必要とするアプリケーションやサービスにアクセスする際に、一度ログイン認証するだけで、その後のアクセスにおいて自動的に認証される機能です。これを利用することでユーザーは個々のアプリケーションに対して都度ログインする必要がなくなり、完全かつ効率的なアクセスが可能になります。
- ただしこの機能はアプリ側で Microsoft 認証ライブラリ (MSAL) をサポートしている必要があり、現状ブラウザは Safari と Microsoft Edge が対応しています(Google Chromeは非対応)
JamfAAD の WebView 有効化
- 条件付きアクセス(またはデバイスコンプライアンス)を利用する場合、定期的にブラウザのポップアップが表示され「職場または学校アカウント」でのログイン認証を求められますが、こちらを有効にするとデフォルトブラウザの設定に関係なく WebView が立ち上がるようになります。(Jamf Pro Ver10.38.0 にて実装)
- この設定を行うとGoogle Chromeをデフォルトブラウザとして設定していても Enterprise SSO に対応した WebView が立ち上がるため自動認証が可能となります。
手順
Enterprise SSOの有効化
基本的に手順通り設定すれば問題ありません。
MVM を使用して macOS Enterprise SSO アプリ拡張機能を構成する
Microsoft Enterprise シングル サインオン (SSO) アプリ拡張機能プラグインの詳細については、こちらをご覧ください。 Microsoft...
learn.microsoft.com
PLIST作成
以下内容のPLISTを事前に作成しておきます。(ファイル名は任意)
1
<?xml version="1.0" encoding="UTF-8"?> <plist version="1.0"> <dict> <key>AppPrefixAllowList</key> <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string> <key>browser_sso_interaction_enabled</key> <integer>1</integer> <key>disable_explicit_app_prompt</key> <integer>1</integer> </dict> </plist>
構成プロファイル設定
- Jamf Proにログインします。
- 左メニューより [コンピュータ] > [構成プロファイル] > [+新規] をクリックします。
- [一般] で以下の通り設定します。
- [Scppe] タブに移動して配布するPCを設定します。
- [オプション] タブに戻り [シングルサインオン機能拡張] > [+追加] をクリックします。
- 以下の通り設定します。
- ペイロードタイプ: SSO
- 拡張識別子:
1
com.microsoft.CompanyPortalMac.ssoextension
- チーム識別子:
1
UBF8T346G9
- サインオンのタイプ: リダイレクト
- URL (中国大陸リージョン、米国政府リージョンを除く):
1
https://login.microsoftonline.com
1
https://login.microsoft.com
1
https://sts.windows.net
- カスタム構成に先ほど作成したPLISTを読み込ませて [保存] をクリックします。
JamfAAD の WebView 有効化
スクリプト登録
- Jamf Proにログインします。
- 左メニューより「コンピュータ] > [歯車アイコン] > [スクリプト] をクリックします。
- [+新規] をクリックして [一般] タブにて表示名を入力します。
- [スクリプト] タブにて以下のスクリプトを入力し、[保存] をクリックします。
1
#!/bin/sh user=`ls -la /dev/console | cut -d " " -f 4` sudo -u $user defaults write com.jamf.management.jamfAAD useWKWebView -bool true
ポリシー登録
- Jamf Proにログインします。
- 左メニューより [コンピュータ] > [ポリシー] > [+新規] をクリックします。
- 左メニュー[General]にて以下の通り設定します。
- 表示名: (わかりやすい名称)
- 有効: チェックする
- トリガー: [Recurring Check-in] にチェックする
- 実行頻度: [Once per computer]を選択する
- [Scppe]タブに移動して配布するPCを設定します。
- [オプション] タブに戻り [スクリプト] > [Configuure] をクリックします。
- 先ほど作成したスクリプトを選択して [保存] をクリックします。
動作確認
Safari をプライベート モードで 開き、portal.office.com にアクセスすると、認証が自動的に行われるはずです。もし認証を求められた場合は2回目以降自動化されることをご確認ください。こちらが正しく動作していれば JamfAAD の認証も自動化されます。最後に
ZUNDAでは、社内 IT 環境のクラウド化をサポートしており Jamf Pro や Microsoft 製品についてもライセンス販売から構築支援まで幅広く扱っております。Jamf Proの構築にお困りでしたら、ぜひお問合せください。