Intuneの macOS デバイス機能の設定

  • [アーティクル]

注:

Intune では、この記事に記載されている設定よりも多くの設定がサポートされている場合があります。 すべての設定が文書化されているわけではなく、今後も文書化されない可能性があります。 構成できる設定を確認するには、デバイス構成ポリシーを作成し、[設定カタログ] を選択します。 詳細については、「設定カタログ」を参照してください。

Intuneには、macOS デバイスの機能をカスタマイズするための組み込みの設定が含まれています。 たとえば、管理者は AirPrint プリンターの追加、ユーザーのサインイン方法の選択、電源コントロールの構成、シングル サインオン認証の使用などを行うことができます。

これらの機能を使用して、モバイル デバイス管理 (MDM) ソリューションの一部として macOS デバイスを制御します。

この機能は、以下に適用されます:

  • macOS

この記事では、これらの設定について説明します。 また、ターミナル アプリ (エミュレーター) を使用して AirPrint プリンターの IP アドレス、パス、ポートを取得する手順も示します。 デバイス機能の詳細については、「 iOS/iPadOS または macOS デバイス機能の設定を追加する」を参照してください。

はじめに

  • macOS デバイス機能の構成プロファイルを作成します。

  • これらの設定は、さまざまな登録の種類に適用されます。一部の設定は、すべての登録オプションに適用されます。 さまざまな登録の種類の詳細については、「 macOS 登録」を参照してください。

AirPrint

設定適用: すべての登録の種類

  • AirPrint の宛先: ユーザーがデバイスから印刷できるように、1 つ以上の AirPrint プリンター情報を入力します。

    • IP アドレス: プリンターの IPv4 または IPv6 アドレスを入力します。 たとえば、「10.0.0.1」と入力します。 ホスト名を使用してプリンターを識別する場合は、ターミナル アプリでプリンターに ping を実行して IP アドレスを取得できます。 IP アドレスとパスを取得 する (この記事で) 詳細を確認します。
    • リソース パス: プリンターのリソース パスを入力します。 パスは通常 ipp/print 、ネットワーク上のプリンター用です。 IP アドレスとパスを取得 する (この記事で) 詳細を確認します。
    • ポート (iOS 11.0 以降、iPadOS 13.0 以降): AirPrint 宛先のリッスン ポートを入力します。 このプロパティを空白のままにすると、AirPrint は既定のポートを使用します。
    • TLS を強制 する (iOS 11.0 以降、iPadOS 13.0 以降): オプション:
      • 無効 ( 既定値): AirPrint プリンターに接続する場合、トランスポート層セキュリティ (TLS) は適用されません。
      • 有効: トランスポート層セキュリティ (TLS) を使用して AirPrint 接続をセキュリティで保護します。

  • AirPrint プリンターの一覧を含むコンマ区切りファイル (.csv) をインポートします。 また、Intuneで AirPrint プリンターを追加した後、この一覧をエクスポートできます。

IP アドレスとパスを取得する

AirPrinter サーバーを追加するには、プリンターの IP アドレス、リソース パス、ポートが必要です。 次の手順では、この情報を取得する方法を示します。

  1. AirPrint プリンターと同じローカル ネットワーク (サブネット) に接続する Mac で、 ターミナル アプリ ( /Applications/Utilities から) を開きます。

  2. ターミナル アプリで、「」と入力 ippfindし、Enter キーを押します。

    プリンター情報をメモします。 たとえば、 のようなもの ipp://myprinter.local.:631/ipp/port1を返すことができます。 最初の部分はプリンターの名前です。 最後の部分 (ipp/port1) はリソース パスです。

  3. ターミナル アプリで、「」と入力 ping myprinter.localし、Enter キーを押します。

    IP アドレスをメモします。 たとえば、 のようなもの PING myprinter.local (10.50.25.21)を返すことができます。

  4. IP アドレスとリソース パスの値を使用します。 この例では、IP アドレスは で 10.50.25.21、リソース パスは です /ipp/port1

関連付けられたドメイン

Intuneでは、次のことができます。

  • 多くのアプリとドメインの関連付けを追加します。
  • 多数のドメインを同じアプリに関連付けます。

この設定は、以下の場合に適用されます。

  • macOS 10.15 以降

設定が適用される: ユーザーが承認したデバイス登録と自動デバイス登録

これらの設定では、 AssociatedDomains.ConfigurationItem ペイロード が使用されます (Apple の Web サイトが開きます)。

  • 関連付けられているドメイン: ドメインとアプリの間に関連付けを 追加 します。 この機能は、Contoso アプリと Contoso Web サイトの間でサインオン資格情報を共有します。 また、以下の内容も入力します。

    • アプリ ID: Web サイトに関連付けるアプリのアプリ識別子を入力します。 アプリ識別子には、チーム ID とバンドル ID が含まれます。 TeamID.BundleID

      チーム ID は、Apple によってアプリ開発者向けに生成された 10 文字の英数字 (文字と数字) の文字列です (例: ABCDE12345)。 チーム ID を見つけます (Apple の Web サイトが開きます)、詳細情報が表示されます。

      バンドル ID はアプリを一意に識別し、通常は逆ドメイン名表記で書式設定されます。 たとえば、Finder のバンドル ID は です com.apple.finder。 バンドル ID を見つけるには、ターミナルで AppleScript を使用します。

      osascript -e 'id of app "ExampleApp"'

    • ドメイン: アプリに関連付ける Web サイト ドメインを入力します。 ドメインには、サービスの種類と完全修飾ホスト名 (など webcredentials:www.contoso.com) が含まれています。

      関連付けられているドメインのすべてのサブドメインを照合するには、ドメインの先頭の前に「(アスタリスク ワイルドカードとピリオド)」を入力 *. します。 期間が必要です。 正確なドメインの優先度は、ワイルドカード ドメインよりも高くなります。 そのため、完全修飾サブドメインで一致するものが見つからない 場合 、親ドメインからのパターンが一致します。

      サービスの種類は次のとおりです。

      • authsrv: シングル サインオン アプリ拡張機能
      • applink: ユニバーサル リンク
      • webcredentials: パスワードオートフィル

    • 直接ダウンロードを有効にする: はい 、Apple のコンテンツ配信ネットワーク (CDN) を経由するのではなく、デバイスからドメイン データを直接ダウンロードします。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、関連付けられたドメイン専用の Apple の CDN を介してデータをダウンロードする場合があります。

      この設定は、以下の場合に適用されます。

      • macOS 11 以降

ヒント

トラブルシューティングを行うには、macOS デバイスで [システム環境設定プロファイル] を>開きます。 作成したプロファイルがデバイス プロファイルの一覧に含まれているかどうかを確認します。 一覧に表示されている場合は、 関連付けられているドメイン構成 がプロファイルに含まれており、正しいアプリ ID とドメインが含まれていることを確認します。

コンテンツ キャッシュ

コンテンツ キャッシュは、コンテンツのローカル コピーを保存します。 他の Apple デバイスは、インターネットに接続せずにこの情報を取得できます。 このキャッシュは、ソフトウェアの更新プログラム、アプリ、写真、その他のコンテンツを初めてダウンロードするときに保存することで、ダウンロードを高速化します。 アプリは一度ダウンロードされ、他のデバイスと共有されるため、学校やorganization多くのデバイスで帯域幅を節約できます。

注:

これらの設定には 1 つのプロファイルのみを使用します。 これらの設定で複数のプロファイルを割り当てると、エラーが発生します。

コンテンツ キャッシュの監視の詳細については、「 コンテンツ キャッシュ ログと統計情報を表示する (Apple の Web サイトを開く)」を参照してください。

この設定は、以下の場合に適用されます。

  • macOS 10.13.4 以降

設定適用: すべての登録の種類

これらの設定の詳細については、「 コンテンツ キャッシュ ペイロード 設定(Apple の Web サイトを開く)」を参照してください。

コンテンツ キャッシュを有効にする: [はい ] にするとコンテンツ キャッシュが有効になり、ユーザーはそれを無効にできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS によってオフになる場合があります。

  • キャッシュするコンテンツの種類: オプション:

    • すべてのコンテンツ: iCloud コンテンツと共有コンテンツをキャッシュします。
    • ユーザー コンテンツのみ: 写真やドキュメントを含むユーザーの iCloud コンテンツをキャッシュします。
    • 共有コンテンツのみ: アプリとソフトウェアの更新プログラムをキャッシュします。

  • 最大キャッシュ サイズ: コンテンツのキャッシュに使用されるディスク領域の最大容量 (バイト単位) を入力します。 空白のままにした場合 (既定値)、Intuneはこの設定を変更または更新しません。 既定では、OS によってこの値が 0 (0) バイトに設定され、キャッシュに無制限のディスク領域が提供されます。

    デバイスで使用可能な領域を超えないようにしてください。 デバイスのストレージ容量の詳細については、「 iOS と macOS によるストレージ容量のレポート方法 (Apple の Web サイトを開く)」を参照してください。

  • キャッシュの場所: キャッシュされたコンテンツを格納するパスを入力します。 既定の場所は です /Library/Application Support/Apple/AssetCache/Data。 この場所は変更しないことをお勧めします。

    この設定を変更しても、キャッシュされたコンテンツは新しい場所に移動されません。 自動的に移動するには、ユーザーはデバイス上の場所を変更する必要があります (システム環境設定>の共有>コンテンツ キャッシュ)。

  • ポート: 0 から 65535 までのダウンロードおよびアップロード要求を受け入れるキャッシュのデバイスの TCP ポート番号を入力します。 使用可能なポートを使用するには、0 () (0既定値) と入力します。

  • インターネット接続とキャッシュ コンテンツ共有をブロックする: テザリング キャッシュとも呼ばれます。 [はい ] を選択すると、インターネット接続の共有が禁止され、キャッシュされたコンテンツが iOS/iPadOS デバイスと Mac に USB 接続されて共有されるのを防ぐことができます。 ユーザーはこの機能を有効にできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • インターネット接続の共有を有効にする: テザリング キャッシュとも呼ばれます。 [はい ] を使用すると、インターネット接続の共有が許可され、キャッシュされたコンテンツを iOS/iPadOS デバイスで Mac に USB 接続して共有できます。 ユーザーはこの機能を無効にできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこれをオフにすることがあります。

    この設定は、以下の場合に適用されます。

    • macOS 10.15.4 以降

  • キャッシュを有効にしてクライアントの詳細をログに記録する: はい 、コンテンツを要求するデバイスの IP アドレスとポート番号をログに記録します。 デバイスの問題のトラブルシューティングを行っている場合は、このログ ファイルが役立ちます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの情報をログに記録しない可能性があります。

  • システムで他のアプリのディスク領域が必要な場合でも、常にキャッシュからコンテンツを保持する: はい キャッシュ コンテンツを保持し、ディスク領域が不足している場合でも何も削除されないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は他のアプリのストレージ領域が必要な場合に、キャッシュからコンテンツを自動的に消去する可能性があります。

    この設定は、以下の場合に適用されます。

    • macOS 10.15 以降

  • [状態アラートの表示]: [はい] には 、システム通知としてアラートが表示されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではこれらのアラートがシステム通知として表示されない場合があります。

    この設定は、以下の場合に適用されます。

    • macOS 10.15 以降

  • キャッシュがオンになっている間にデバイスがスリープ状態にならないようにする: [はい] にすると 、キャッシュがオンのときにコンピューターがスリープ状態になります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS によってデバイスのスリープが許可される場合があります。

    この設定は、以下の場合に適用されます。

    • macOS 10.15 以降

  • キャッシュするデバイス: コンテンツをキャッシュできるデバイスを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。
    • 同じローカル ネットワークを使用しているデバイス: コンテンツ キャッシュは、同じ即時ローカル ネットワーク上のデバイスにコンテンツを提供します。 コンテンツ キャッシュから到達可能なデバイスを含め、他のネットワーク上のデバイスにはコンテンツは提供されません。
    • 同じパブリック IP アドレスを使用するデバイス: コンテンツ キャッシュは、同じパブリック IP アドレスを使用するデバイスにコンテンツを提供します。 コンテンツ キャッシュから到達可能なデバイスを含め、他のネットワーク上のデバイスにはコンテンツは提供されません。
    • カスタム ローカル ネットワークを使用するデバイス: コンテンツ キャッシュは、入力した IP 範囲内のデバイスにコンテンツを提供します。
      • クライアントのリッスン範囲: コンテンツ キャッシュを受信できる IP アドレスの範囲を入力します。
    • フォールバックを使用してカスタム ローカル ネットワークを使用するデバイス: コンテンツ キャッシュは、リッスン範囲内のデバイス、ピア リッスン範囲、および親 IP アドレスにコンテンツを提供します。
      • クライアントのリッスン範囲: コンテンツ キャッシュを受信できる IP アドレスの範囲を入力します。

  • カスタム パブリック IP アドレス: パブリック IP アドレスの範囲を入力します。 クラウド サーバーでは、この範囲を使用して、クライアント デバイスとキャッシュの照合を行います。

  • 他のキャッシュとコンテンツを共有する: ネットワークに複数のコンテンツ キャッシュがある場合、他のデバイス上のコンテンツ キャッシュは自動的にピアになります。 これらのデバイスは、キャッシュされたソフトウェアを参照して共有できます。

    要求されたアイテムが 1 つのコンテンツ キャッシュで使用できない場合、そのアイテムのピアがチェックされます。 アイテムが使用可能な場合は、ピア デバイスのコンテンツ キャッシュからダウンロードされます。 まだ使用できない場合、コンテンツ キャッシュはアイテムを次の場所からダウンロードします。

    • 親 IP アドレス (構成されている場合)

      または、

    • インターネットを使用して Apple から

    複数のコンテンツ キャッシュが使用可能な場合、デバイスは自動的に適切なコンテンツ キャッシュを選択します。

    次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。

    • 同じローカル ネットワークを使用するコンテンツ キャッシュ: コンテンツ キャッシュは、同じ即時ローカル ネットワーク上の他のコンテンツ キャッシュを持つピアのみです。

    • 同じパブリック IP アドレスを使用するコンテンツ キャッシュ: コンテンツ キャッシュは、同じパブリック IP アドレス上の他のコンテンツ キャッシュを持つピアのみです。

    • カスタム ローカル ネットワークを使用したコンテンツ キャッシュ: コンテンツ キャッシュは、入力した IP アドレスリッスン範囲内の他のコンテンツ キャッシュを持つピアのみ。

      • ピア リッスン範囲: 範囲の IPv4 または IPv6 の開始 IP アドレスと終了 IP アドレスを入力します。 コンテンツ キャッシュは、入力した IP アドレス範囲のコンテンツ キャッシュからのピア キャッシュ要求にのみ応答します。
      • ピア フィルター範囲: 範囲の IPv4 または IPv6 の開始 IP アドレスと終了 IP アドレスを入力します。 コンテンツ キャッシュは、入力した IP アドレス範囲を使用してピアの一覧をフィルター処理します。

  • 親 IP アドレス: 親キャッシュとして追加する別のコンテンツ キャッシュのローカル IP アドレスを入力します。 キャッシュは、Apple を使用して直接アップロードまたはダウンロードするのではなく、これらのキャッシュにコンテンツをアップロードしてダウンロードします。 親 IP アドレスは 1 回だけ追加します。

  • 親選択ポリシー: 親キャッシュが多数ある場合は、親 IP アドレスの選択方法を選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。
    • ラウンド ロビン: 親 IP アドレスを順番に使用します。 このオプションは、負荷分散シナリオに適しています。
    • 最初に使用可能: 常に、一覧の最初の使用可能な IP アドレスを使用します。
    • ハッシュ: 要求された URL のパス部分のハッシュ値を作成します。 このオプションを使用すると、同じ親 IP アドレスが常に同じ URL に使用されます。
    • ランダム: リスト内の IP アドレスをランダムに使用します。 このオプションは、負荷分散シナリオに適しています。
    • スティッキー使用可能: 常にリスト内の最初の IP アドレスを使用します。 使用できない場合は、一覧の 2 番目の IP アドレスを使用します。 2 番目の IP アドレスは、使用できないまで使用し続けます。

ログイン項目

設定適用: すべての登録の種類

  • ログイン時に起動するファイル、フォルダー、カスタム アプリを追加する: ユーザーがデバイスにサインインするときに開くファイル、フォルダー、カスタム アプリ、またはシステム アプリのパスを 追加 します。 また、以下の内容も入力します。

    • 項目のパス: ファイル、フォルダー、またはアプリへのパスを入力します。 organization用に構築またはカスタマイズされたシステム アプリまたはアプリは、通常、フォルダー内にApplications、 と同様の/Applications/AppName.appパスを持ちます。

      多数のファイル、フォルダー、アプリを追加できます。 たとえば、次のように入力します。

      • /Applications/Calculator.app
      • /Applications
      • /Applications/Microsoft Office/root/Office16/winword.exe
      • /Users/UserName/music/itunes.app

      アプリ、フォルダー、またはファイルを追加するときは、必ず正しいパスを入力してください。 すべての項目がフォルダー内にある Applications わけではありません。 ユーザーがアイテムをある場所から別の場所に移動すると、パスが変更されます。 この移動された項目は、ユーザーがサインインしたときに開かれない。

    • 非表示: アプリの表示/非表示を選択します。 次のようなオプションがあります。

      • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、[ユーザー & グループ] ログイン項目の一覧に [非表示] オプションがオフになっている項目が OS に表示される場合があります。
      • はい: [ユーザー & グループ] ログイン 項目の一覧でアプリを非表示にします。

ログイン ウィンドウ

設定適用: すべての登録の種類

Windows レイアウト

  • メニュー バーに追加情報を表示する: メニュー バーの時間領域が選択されている場合は、[ はい ] にホスト名と macOS バージョンが表示されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの情報をメニュー バーに表示しない可能性があります。

  • バナー: デバイスのサインイン画面に表示されるメッセージを入力します。 たとえば、organization情報、ウェルカム メッセージ、紛失した情報、見つかった情報などを入力します。

  • ユーザー名とパスワードのテキスト フィールドが必要: ユーザーがデバイスにサインインする方法を選択します。 [はい ] では、ユーザー名とパスワードを入力する必要があります。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーが一覧からユーザー名を選択し、パスワードを入力する必要がある場合があります。

    [ 未構成] に設定されている場合は、次のように入力します。

    • ローカル ユーザーを非表示にする: [はい] は 、標準アカウントと管理者アカウントを含めることができるローカル ユーザー アカウントをユーザー 一覧で非表示にします。 ネットワークとシステムのユーザー アカウントのみが表示されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザー リストにローカル ユーザー アカウントを表示する場合があります。
    • [モバイル アカウントを非表示にする]: [はい] は 、ユーザー リストのモバイル アカウントを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザー リストにモバイル アカウントを表示する場合があります。 一部のモバイル アカウントでは、ネットワーク ユーザーとして表示できます。
    • [ネットワーク ユーザーの表示]: [ はい] を 選択して、ユーザー 一覧にネットワーク ユーザーを一覧表示します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザー リストにネットワーク ユーザー アカウントを表示しない可能性があります。
    • [コンピューターの管理者を非表示にする]: [はい] を 選択すると、ユーザー 一覧の管理者ユーザー アカウントが非表示になります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザー リストに管理者ユーザー アカウントを表示する場合があります。
    • 他のユーザーを表示する: [ はい] を 選択して、ユーザー 一覧に [その他... ユーザー] を一覧表示します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザー リストに他のユーザー アカウントを表示しない可能性があります。

ログイン画面の電源設定

  • シャットダウン ボタンを非表示にする: [はい] は 、サインイン画面のシャットダウン ボタンを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS にシャットダウン ボタンが表示される場合があります。
  • 再起動ボタンを非表示にする: [はい] は 、サインイン画面の再起動ボタンを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS に再起動ボタンが表示される場合があります。
  • スリープ ボタンを非表示にする: [はい] は 、サインイン画面のスリープ ボタンを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS にスリープ ボタンが表示される場合があります。
  • コンソールからユーザー ログインを無効にする: [はい] にすると 、サインインに使用される macOS コマンド ラインが非表示になります。 一般的なユーザーの場合は、この設定を [はい] に設定します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、上級ユーザーが macOS コマンド ラインを使用してサインインできる場合があります。 コンソール モードを開始するには、[ユーザー名] フィールドに「」と入力 >console し、コンソール ウィンドウで認証する必要があります。

Apple Menu

  • ログイン中にシャットダウンを無効にする: [はい] にすると 、サインイン後にユーザーが [シャットダウン ] オプションを選択できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーがデバイスで [シャットダウン ] メニュー項目を選択できる場合があります。
  • [ログイン中に再起動を無効にする]: [はい] にすると 、サインイン後にユーザーが [再起動 ] オプションを選択できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーがデバイスで [再起動 ] メニュー項目を選択できる場合があります。
  • ログイン中に電源オフを無効にする: [はい] にすると 、サインイン後に ユーザーが [電源オフ ] オプションを選択できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーがデバイスで [電源オフ ] メニュー項目を選択できる場合があります。
  • ログイン中にログアウトを無効にする (macOS 10.13 以降): [はい] にすると 、サインイン後にユーザーが [ログアウト ] オプションを選択できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーがデバイスで [ログアウト ] メニュー項目を選択できる場合があります。
  • ログイン中にロック画面を無効にする (macOS 10.13 以降): [はい] にすると 、サインイン後にユーザーが [ロック画面 ] オプションを選択できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーがデバイス上の [画面のロック ] メニュー項目を選択できる場合があります。

シングル サインオン アプリの拡張機能

この設定は、以下の場合に適用されます。

  • macOS 10.15 以降

設定が適用される: ユーザーが承認したデバイス登録と自動デバイス登録

  • SSO アプリ拡張機能の種類: SSO アプリ拡張機能の種類を選択します。 次のようなオプションがあります:

    • 未構成: アプリ拡張機能は使用されません。 アプリ拡張機能を無効にするには、SSO アプリ拡張機能の種類を [未構成] に切り替えます。

    • Microsoft Entra ID: リダイレクトタイプの SSO アプリ拡張機能である Microsoft Entra ID Enterprise SSO プラグインを使用します。 このプラグインは、Apple の Enterprise シングル サインオン機能をサポートするすべての macOS アプリケーションにわたって、オンプレミスの Active Directory アカウントに SSO を提供します。 この SSO アプリ拡張機能の種類を使用して、Microsoft Entra IDを使用して認証する Microsoft アプリ、organization アプリ、Web サイトで SSO を有効にします。 詳細については、「 macOSOS デバイスで Microsoft Enterprise SSO プラグインを使用する」を参照してください

      SSO プラグインは、セキュリティとユーザー エクスペリエンスの向上を提供する高度な認証ブローカーとして機能します。

      重要

      Microsoft Entra SSO アプリ拡張機能の種類で SSO を実現するには、macOS ポータル サイト アプリをデバイスにインストールします。 ポータル サイト アプリは、Microsoft Enterprise SSO プラグインをデバイスに配信します。 MDM SSO アプリ拡張機能の設定によって、プラグインがアクティブになります。 ポータル サイト アプリと SSO アプリ拡張機能プロファイルがデバイスにインストールされると、ユーザーは資格情報でサインインし、デバイスでセッションを作成します。 このセッションは、ユーザーに再認証を要求することなく、さまざまなアプリケーションで使用されます。

      ポータル サイト アプリの詳細については、「ポータル サイト アプリをインストールして macOS デバイスをIntuneに登録した場合の動作」を参照してください。

      ポータル サイト アプリをダウンロードすることもできます。

    • リダイレクト: モダン認証フローで SSO を使用するには、汎用的でカスタマイズ可能なリダイレクト アプリ拡張機能を使用します。 organizationのアプリ拡張機能の拡張機能とチーム ID がわかっていることを確認してください。

    • 資格情報: 一般的でカスタマイズ可能な資格情報アプリ拡張機能を使用して、チャレンジと応答の認証フローで SSO を使用します。 organizationの SSO アプリ拡張機能の拡張機能 ID とチーム ID がわかっていることを確認してください。

    • Kerberos: macOS Catalina 10.15 以降に含まれている Apple の組み込みの Kerberos 拡張機能を使用します。 このオプションは、 資格情報 アプリ拡張機能の Kerberos 固有のバージョンです。

    ヒント

    [リダイレクト] と [資格情報] の種類を使用して、拡張機能を通過する独自の構成値を追加します。 資格情報を使用している場合は、Kerberos の種類で Apple によって提供される組み込みの構成設定を使用することを検討してください。

  • 拡張機能 ID (リダイレクト、資格情報): SSO アプリ拡張機能を識別するバンドル識別子 (など com.apple.ssoexample) を入力します。

  • チーム ID (リダイレクト、資格情報): SSO アプリ拡張機能のチーム識別子を入力します。 チーム識別子は、Apple によって生成された 10 文字の英数字 (数字と文字) の文字列です (例: ABCDE12345)。

    チーム ID を見つけます (Apple の Web サイトが開きます) に関する詳細情報が表示されます。

  • 領域 (資格情報、Kerberos): 認証領域の名前を入力します。 領域名は、 のように CONTOSO.COM大文字にする必要があります。 通常、領域名は DNS ドメイン名と同じですが、すべて大文字です。

  • ドメイン (資格情報、Kerberos): SSO を使用して認証できるサイトのドメイン名またはホスト名を入力します。 たとえば、Web サイトが のmysite場合はmysite.contoso.comホスト名、.contoso.comドメイン名は です。 ユーザーがこれらのサイトのいずれかに接続すると、アプリ拡張機能によって認証チャレンジが処理されます。 この認証を使用すると、ユーザーは Face ID、Touch ID、または Apple pincode/path を使用してサインインできます。

    • シングル サインオン アプリ拡張機能Intuneプロファイル内のすべてのドメインは一意である必要があります。 さまざまな種類の SSO アプリ拡張機能を使用している場合でも、サインオン アプリ拡張機能プロファイルでドメインを繰り返すことはできません。
    • これらのドメインでは、大文字と小文字は区別されません。
    • ドメインはピリオド (.) で始まる必要があります。

  • URL (リダイレクトのみ): リダイレクト アプリ拡張機能が SSO を使用する ID プロバイダーの URL プレフィックスを入力します。 ユーザーがこれらの URL にリダイレクトされると、SSO アプリ拡張機能が介入し、SSO の入力を求められます。

    • Intune シングル サインオン アプリ拡張機能プロファイル内のすべての URL は一意である必要があります。 さまざまな種類の SSO アプリ拡張機能を使用している場合でも、SSO アプリ拡張機能プロファイルでドメインを繰り返すことはできません。
    • URL は、 または https://http://始まる必要があります。

  • 追加の構成 (Microsoft Entra ID、リダイレクト、資格情報): SSO アプリ拡張機能に渡す拡張機能固有のデータを入力します。

    • キー: 追加する項目の名前を入力します (例: user name)。

    • : データの種類を入力します。 次のようなオプションがあります:

      • String
      • ブール値: [構成] の値に「 または 」と入力 True します False
      • 整数: [構成値] に数値を入力します。

    • : データを入力します。

  • キーチェーンの使用をブロックする (Kerberos のみ): [はい] にすると、パスワードがキーチェーンに保存および格納されなくなります。 また、ユーザーはパスワードの保存を求められるのではなく、Kerberos チケットの有効期限が切れたときにパスワードを再入力する必要があります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS によってパスワードの保存とキーチェーンへの保存が許可される場合があります。 チケットの有効期限が切れた場合、ユーザーはパスワードの再入力を求められません。

  • 顔 ID、タッチ ID、またはパスコードが必要 (Kerberos のみ): [はい] は 、資格情報が Kerberos チケットを更新するために必要な場合に、ユーザーに顔 ID、タッチ ID、またはデバイス パスコードを強制的に入力します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーが Kerberos チケットを更新するために生体認証またはデバイス パスコードを使用する必要がない場合があります。 [使用キーチェーンブロック] が [はい] に設定されている場合、この設定は適用されません。

  • 既定の領域として設定 する (Kerberos のみ): [ はい ] を選択して、入力した 領域 の値を既定の領域として設定します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS によって既定の領域が設定されない場合があります。

    • organizationで複数の Kerberos SSO アプリ拡張機能を構成する場合は、[はい] を選択します。
    • 複数の領域を使用している場合は、[ はい] を選択します。 入力した 領域 の値を既定の領域として設定します。
    • 領域が 1 つだけの場合は、[ 未構成 ] のままにします (既定値)。

  • 自動検出をブロック する (Kerberos のみ): [はい] に設定されている場合、Kerberos 拡張機能は LDAP と DNS を自動的に使用して Active Directory サイト名を決定しません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS によって拡張機能が Active Directory サイト名を自動的に検索できる場合があります。

  • マネージド アプリのみを許可 する (Kerberos のみ): [はい] に設定すると、Kerberos 拡張機能ではマネージド アプリのみが許可され、アプリ バンドル ID で入力されたすべてのアプリが資格情報にアクセスできるようになります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、管理されていないアプリが資格情報にアクセスできる場合があります。

    この機能は、以下に適用されます。

    • macOS 12 以降

  • パスワードの変更をブロック する (Kerberos のみ): [はい] にすると 、入力したドメインへのサインインに使用するパスワードをユーザーが変更できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS でパスワードの変更が許可される場合があります。

  • ローカル パスワード同期を有効にする (Kerberos のみ): [はい] を選択して、ユーザーのローカル パスワードをMicrosoft Entra IDに同期します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はMicrosoft Entra IDへのパスワード同期を無効にする可能性があります。

    この設定は、SSO の代替またはバックアップとして使用します。 ユーザーが Apple モバイル アカウントでサインインしている場合、この設定は機能しません。

  • Kerberos 拡張機能のセットアップの遅延 (Kerberos のみ): [はい] に設定すると、管理者が拡張機能を有効にするか、Kerberos チャレンジを受け取るまで、Kerberos 拡張機能のセットアップを求めるメッセージが表示されません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は直ちに Kerberos 拡張機能の設定をユーザーに求めるメッセージを表示する場合があります。

    この機能は、以下に適用されます。

    • macOS 11 以降

  • 標準 Kerberos ユーティリティを許可する (Kerberos のみ): [はい] に設定すると、Kerberos 拡張機能を使用すると、アプリ バンドル ID、マネージド アプリ、および TicketViewer や klist などの標準 Kerberos ユーティリティで入力されたすべてのアプリが資格情報にアクセスして使用できるようになります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、一覧に記載されているアプリが資格情報にアクセスして使用できない場合があります。

    この機能は、以下に適用されます。

    • macOS 12 以降

  • 要求資格情報 (Kerberos のみ): [はい] に設定すると、次に一致する Kerberos チャレンジまたはネットワーク状態の変更時に資格情報が要求されます。 資格情報の有効期限が切れているか、存在しない場合は、新しい資格情報が作成されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は新しい資格情報を要求しない可能性があります。

    この機能は、以下に適用されます。

    • macOS 12 以降

  • TLS に LDAP 接続を要求する (Kerberos のみ): [はい] に設定すると、トランスポート層セキュリティ (TLS) を使用するために LDAP 接続が必要になります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では TLS を使用するために LDAP 接続が必要ない場合があります。

    この機能は、以下に適用されます。

    • macOS 11 以降

  • [Active Directory パスワードの複雑さを要求する (Kerberos のみ)] : [ はい ] を選択して、Active Directory のパスワードの複雑さの要件を満たすようにユーザー パスワードを強制します。 デバイスでは、この設定にはチェック ボックスが表示されたポップアップ ウィンドウが表示されるため、ユーザーはパスワード要件を満たしていることを確認できます。 これは、ユーザーがパスワードに入力する必要があることを知るのに役立ちます。 詳細については、「 パスワードは複雑な要件を満たす必要があります」を参照してください。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではユーザーが Active Directory のパスワード要件を満たす必要がない場合があります。

  • 最小パスワード長 (Kerberos のみ): ユーザー パスワードを構成できる最小文字数を入力します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザーに最小限のパスワード長を適用しない可能性があります。

  • パスワード再利用制限 (Kerberos のみ): ドメインで以前のパスワードを再利用できるようになるまで使用される、1 から 24 までの新しいパスワードの数を入力します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではパスワードの再利用制限が適用されない場合があります。

  • パスワードの最小有効期間 (日数) ( Kerberos のみ): ユーザーがパスワードを変更する前に、ドメインでパスワードを使用する日数を入力します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、パスワードを変更する前に、OS によって最小有効期間が適用されない場合があります。

  • パスワードの有効期限通知 (日数) (Kerberos のみ): パスワードの有効期限が切れるまでの日数を入力します。パスワードの有効期限が切れるとユーザーに通知されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では日数が使用 15 される場合があります。

  • パスワードの有効期限 (日数) (Kerberos のみ): デバイスのパスワードを変更する日数を入力します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はパスワードの有効期限が切れない可能性があります。

  • パスワード変更 URL (Kerberos のみ): ユーザーが Kerberos パスワード変更を開始したときに開く URL を入力します。

  • カスタム ユーザー名 (Kerberos のみ): Kerberos 拡張機能に表示されるユーザー名を置き換えるテキストを入力します。 会社またはorganizationの名前と一致する名前を入力できます。 たとえば、「Contoso」と入力できます。

    この機能は、以下に適用されます。

    • macOS 11 以降

  • Kerberos 拡張機能の使用 (Kerberos のみ): 他のプロセスで Kerberos 拡張機能の資格情報を使用する方法を選択します。 次のようなオプションがあります:

    • 常に: SPN が [ドメイン] に一覧表示されている場合、拡張機能の資格情報は常に使用されます。 呼び出し元のアプリがアプリ バンドル ID に一覧表示されていない場合は使用されません。
    • 指定されていない場合: 拡張機能の資格情報は、呼び出し元によって別の資格情報が入力されず、SPN が [ドメイン] に一覧表示されている場合にのみ使用されます。 呼び出し元のアプリがアプリ バンドル ID に一覧表示されていない場合は使用されません。
    • Kerberos の既定値: Intuneはこの設定を変更または更新しません。 既定では、OS は資格情報の選択に既定の Kerberos プロセスを使用します。 このオプションは、この設定を構成しない場合と同じです。

    この機能は、以下に適用されます。

    • macOS 11 以降

  • プリンシパル名 (Kerberos のみ): Kerberos プリンシパルのユーザー名を入力します。 領域名を含める必要はありません。 たとえば、 はuser@contoso.comuserプリンシパル名で、contoso.com領域名は です。

    • 中かっこ {{ }}を入力して、プリンシパル名に変数を使用することもできます。 たとえば、ユーザー名を表示するには、「 」と入力します Username: {{username}}
    • 変数は UI で検証されず、大文字と小文字が区別されるため、変数の置換には注意してください。 必ず正しい情報を入力してください。

  • Active Directory サイト コード (Kerberos のみ): Kerberos 拡張機能で使用する Active Directory サイトの名前を入力します。 Kerberos 拡張機能は Active Directory サイト コードを自動的に見つけることができるので、この値を変更する必要がない場合があります。

  • キャッシュ名 (Kerberos のみ): Kerberos キャッシュの汎用セキュリティ サービス (GSS) 名を入力します。 ほとんどの場合、この値を設定する必要はありません。

  • サインイン ウィンドウのテキスト (Kerberos のみ): Kerberos サインイン ウィンドウでユーザーに表示されるテキストを入力します。

    この機能は、以下に適用されます。

    • macOS 11 以降

  • パスワード要件メッセージ (Kerberos のみ): ユーザーに表示されるorganizationのパスワード要件のテキスト バージョンを入力します。 このメッセージは、Active Directory のパスワードの複雑さの要件を必要としない場合、またはパスワードの最小長を入力しない場合に表示されます。

    [はい] に設定すると、既存のすべてのユーザー アカウントがデバイスからワイプされます。 データの損失を防ぐか、工場出荷時のリセットを防ぐには、この設定によってデバイスがどのように変更されるかを理解してください。

    共有デバイス モードの詳細については、「共有デバイス モードの概要」を参照してください。

  • アプリ バンドル ID (Microsoft Entra ID、Kerberos): デバイスでシングル サインオンを使用するアプリ バンドル識別子を入力します。 これらのアプリには、Kerberos チケット許可チケットと認証チケットへのアクセス権が付与されます。 また、アプリは、アクセスが承認されているサービスに対してユーザーを認証します。

  • ドメイン 領域マッピング (Kerberos のみ): 領域にマップする必要があるドメイン DNS サフィックスを入力します。 ホストの DNS 名が領域名と一致しない場合は、この設定を使用します。 ほとんどの場合、このカスタム ドメインから領域へのマッピングを作成する必要はありません。

  • PKINIT 証明書 (Kerberos のみ): Kerberos 認証に使用できる公開キー暗号化 (PKINIT) 証明書を 選択 します。 Intuneに追加する PKCS 証明書または SCEP 証明書から選択できます。 証明書の詳細については、「Microsoft Intuneでの認証に証明書を使用する」を参照してください。

  • 優先 KDC (Kerberos のみ): 好みの順序で Kerberos トラフィックに使用するキー配布センター (KDC) を入力します。 この一覧は、サーバーが DNS を使用して検出できない場合に使用されます。 サーバーが検出可能な場合、一覧は両方の接続チェックに使用され、最初に Kerberos トラフィックに使用されます。 サーバーが応答しない場合、デバイスは DNS 検出を使用します。

    この機能は、以下に適用されます。

    • macOS 12 以降