次の方法で共有

iOS/iPadOS デバイスで Microsoft Enterprise SSO プラグインを使用する

  • [アーティクル]

Microsoft Enterprise SSO プラグインは、Microsoft Entra IDの機能であり、Apple デバイスにシングル サインオン (SSO) 機能を提供します。 このプラグインでは、Apple のシングル サインオン アプリ拡張フレームワークを使用しています。

SSO アプリ拡張機能は、認証にMicrosoft Entra IDを使用するアプリや Web サイト (Microsoft 365 アプリなど) にシングル サインオンを提供します。 これにより、SSO プロファイルの構成をサポートするすべての MDM を含め、Mobile デバイス管理 (MDM) によって管理されるデバイスを使用するときにユーザーが取得する認証プロンプトの数が減ります。

この記事は、次の項目に適用されます:

この記事では、Intune、Jamf Pro、およびその他の MDM ソリューションを使用して、iOS/iPadOS Apple デバイス用の SSO アプリ拡張機能構成ポリシーを作成する方法について説明します。

アプリのサポート

アプリで Microsoft Enterprise SSO プラグインを使用するには、次の 2 つのオプションがあります。

  • オプション 1 - MSAL: Microsoft 認証ライブラリ (MSAL) をサポートするアプリは、Microsoft Enterprise SSO プラグインを自動的に利用します。 たとえば、Microsoft 365 アプリでは MSAL がサポートされています。 そのため、自動的にプラグインが使用されます。

    organizationが独自のアプリを作成する場合、アプリ開発者は MSAL に依存関係を追加できます。 この依存関係により、アプリで Microsoft Enterprise SSO プラグインを使用できます。

    サンプル チュートリアルについては、「 チュートリアル: ユーザーにサインインし、iOS または macOS アプリから Microsoft Graph を呼び出す」を参照してください。

  • オプション 2 - AllowList: MSAL でサポートされていないアプリまたは開発されていないアプリは、SSO アプリ拡張機能を使用できます。 これらのアプリには、Safari などのブラウザーや、Safari Web ビュー API を使用するアプリが含まれます。

    これらの MSAL 以外のアプリの場合は、Intune SSO アプリ拡張機能ポリシーの拡張機能構成にアプリケーション バンドル ID またはプレフィックスを追加します (この記事では)。

    たとえば、MSAL をサポートしていない Microsoft アプリを許可するには、Intune ポリシーの AppPrefixAllowList プロパティにを追加com.microsoft.します。 許可するアプリには注意してください。サインインしているユーザーの対話型サインイン プロンプトをバイパスできます。

    詳細については、「 Microsoft Enterprise SSO プラグイン for Apple デバイス - MSAL を使用しないアプリ」を参照してください。

前提条件

iOS/iPadOS デバイスで Microsoft Enterprise SSO プラグインを使用するには:

  • デバイスは、Intuneによって管理されます。

  • デバイスで、次のプラグインがサポートされている必要があります。

    • iOS/iPadOS 13.0 以降

  • Microsoft Authenticator アプリをデバイスにインストールする必要があります。

    ユーザーは、Microsoft Authenticator アプリを手動でインストールできます。 または、管理者は、Intuneを使用してアプリをデプロイできます。 Microsoft Authenticator アプリをインストールする方法については、「 Apple ボリューム購入アプリの管理」を参照してください。

  • Enterprise SSO プラグインの要件は、 Apple ネットワーク構成 URL を含めて構成されています

注:

iOS/iPadOS デバイスでは、Apple では SSO アプリ拡張機能と Microsoft Authenticator アプリをインストールする必要があります。 ユーザーは Microsoft Authenticator アプリを使用または構成する必要はありません。デバイスにインストールするだけで済みます。

Microsoft Enterprise SSO プラグインと Kerberos SSO 拡張機能

SSO アプリ拡張機能を使用する場合は、認証に SSO または Kerberos ペイロードの種類を使用します。 SSO アプリ拡張機能は、これらの認証方法を使用するアプリと Web サイトのサインイン エクスペリエンスを向上させるように設計されています。

Microsoft Enterprise SSO プラグインは、SSO ペイロードの種類を リダイレクト 認証で使用します。 SSO リダイレクトと Kerberos 拡張機能の種類は、両方ともデバイスで同時に使用できます。 デバイスで使用する予定の拡張機能種類ごとに、必ず個別のデバイス プロファイルを作成してください。

シナリオに適した SSO 拡張機能の種類を判断するには、次の表を使用してください。

Apple デバイス用の Microsoft Enterprise SSO プラグイン Kerberos を使用したシングル サインオン アプリ拡張機能
Microsoft Entra ID SSO アプリ拡張機能の種類を使用します Kerberos の SSO アプリ拡張機能が使用されます
次のアプリがサポートされます。
- Microsoft 365
- Microsoft Entra IDと統合されたアプリ、Web サイト、またはサービス		 次のアプリがサポートされます。
- AD に統合されたアプリ、Web サイト、またはサービス

シングル サインオン アプリ拡張機能の詳細については、「Microsoft Intuneの Apple デバイスの SSO の概要とオプション」を参照してください。

シングル サインオン アプリ拡張機能の構成ポリシーをCreateする

Microsoft Intune管理センターで、デバイス構成プロファイルを作成します。 このプロファイルには、デバイスで SSO アプリ拡張機能を構成するための設定が含まれます。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイスの構成Create] を>選択します。>

  3. 次のプロパティを入力します。

    • プラットフォーム: [iOS/iPadOS] を選択します。
    • プロファイルの種類: [テンプレート] [デバイス機能] を>選択します。

  4. [Create] を選択します。

    Microsoft Intuneで iOS/iPadOS 用のデバイス機能構成プロファイルを作成する方法を示すスクリーンショット。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なポリシー名は iOS: SSO アプリ拡張機能です
    • [説明]: ポリシーの説明を入力します。 この設定は省略可能ですが、推奨されます。

  6. [次へ] を選択します。

  7. [構成設定] で、[シングル サインオン アプリ拡張機能] を選択し、次のプロパティを構成します。

    • SSO アプリ拡張機能の種類: [Microsoft Entra ID] を選択します。

      Intuneの iOS/iPadOS の SSO アプリ拡張機能の種類とMicrosoft Entra IDを示すスクリーンショット。

    • [共有デバイス モードを有効にする]:

      • [未構成]: Intune では、この設定は変更または更新されません。

        共有 iPad、個人用デバイス、ユーザー アフィニティが設定された (または設定されていない) デバイスなど、ほとんどのシナリオでは、このオプションを選択します。

      • はい: 対象のデバイスが共有デバイス モードMicrosoft Entra使用している場合にのみ、このオプションを選択します。 詳細については、「 共有デバイス モードの概要」を参照してください。

    • [アプリ バンドル ID]: MSAL をサポートしておらず、かつ SSO の使用を許可されているアプリのバンドル ID の一覧を入力します。 詳細については、「 MSAL を使用しないアプリケーション」を参照してください。

    • [追加の構成]: エンド ユーザー エクスペリエンスをカスタマイズするには、次のプロパティを追加します。 これらのプロパティは Microsoft SSO 拡張機能で使用される既定値ですが、organizationのニーズに合わせてカスタマイズできます。

      キー 説明
      AppPrefixAllowList String 推奨値: com.apple.

      MSAL をサポートしておらず、かつ SSO の使用を許可されているアプリのプレフィックスの一覧を入力します。 たとえば、「」と入力 com.microsoft.,com.apple. して、すべての Microsoft アプリと Apple アプリを許可します。

      これらのアプリが許可リストの要件を満たしていることを確認してください。
      browser_sso_interaction_enabled 整数 推奨値: 1

      1 に設定した場合、ユーザーは Safari ブラウザーや、MSAL をサポートしていないアプリからサインインできます。 この設定を有効にすると、ユーザーは Safari またはその他のアプリから拡張機能をブートストラップできるようになります。
      disable_explicit_app_prompt 整数 推奨値: 1

      アプリによっては、プロトコル レイヤーでエンドユーザー向けのプロンプトが誤って強制的に表示されることがあります。 この問題が発生した場合は、Microsoft Enterprise SSO プラグインが他のアプリに対して機能している場合でも、ユーザーにサインインを求めるプロンプトが表示されます。

      1 (1) に設定すると、これらのプロンプトが減ります。

      ヒント

      これらのプロパティと構成できるその他のプロパティの詳細については、 Apple デバイス用の Microsoft Enterprise SSO プラグインに関するページを参照してください。

      設定の構成が完了し、Microsoft & Apple アプリを許可している場合、設定はIntune構成プロファイルの次の値のようになります。

      Intuneの iOS/iPadOS デバイスでの Enterprise SSO プラグインのエンド ユーザー エクスペリエンス構成オプションを示すスクリーンショット。

  8. プロファイルの作成を続行し、これらの設定を受け取るユーザーまたはグループにプロファイルを割り当てます。 特定の手順については、プロファイルのCreateに移動します

    プロファイルの割り当てに関するガイダンスについては、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。

デバイスが Intune サービスでチェックインすると、このプロファイルが受信されます。 詳細については、「 ポリシーの更新間隔」を参照してください。

プロファイルが正しく展開されたことをチェックするには、Intune管理センターで、[デバイス>の構成]> で作成したプロファイルを選択し、レポートを生成します。

Intuneの iOS/iPadOS デバイス構成プロファイルの展開レポートを示すスクリーンショット。

エンド ユーザーのエクスペリエンス

iOS/iPadOS デバイスに SSO アプリ アプリ拡張機能をインストールするときのエンド ユーザー フロー チャート。

  • アプリ ポリシーを使用して Microsoft Authenticator アプリを展開していない場合は、ユーザーが手動でインストールする必要があります。 ユーザーは Authenticator アプリを使用する必要はありません。デバイスにインストールする必要があります。

  • ユーザーは、サポートされているアプリまたは Web サイトにサインインして拡張機能をブートストラップします。 ブートストラップは初回サインインのプロセスで、これにより拡張機能が設定されます。

  • ユーザーが正常にサインインすると、拡張機能は、サポートされている他のアプリや Web サイトへのサインインに自動的に使用されます。

シングル サインオンをテストするには、 Safari をプライベート モードで 開き (Apple の Web サイトを開く)、サイトを https://portal.office.com 開きます。 ユーザー名とパスワードは必要ありません。

iPadOS での SSO エクスペリエンスを示すアニメーション

ヒント

SSO プラグインのしくみと、Apple デバイスの SSO トラブルシューティング ガイドを使用して Microsoft Enterprise SSO 拡張機能の トラブルシューティングを行う方法について説明します。