Apple の Platform Single Sign-On がエンタープライズ Mac 認証をどのように変革しているか
概要
認証疲れは現実です。IT 部門は数え切れないほどの時間をパスワードリセット管理に費やし、従業員は複数の企業アプリケーション間で複数の認証情報を管理する時間を無駄にしています。一方、セキュリティチームはこれらの同じパスワードを狙ったフィッシング攻撃の絶え間ないストリームと戦っています。
Apple の Platform Single Sign-On (PSSO) for macOS は、この破綻したモデルから根本的な転換を表しています。認証をアプリケーションレベルの懸念として扱う代わりに、Platform SSO はシングルサインオン機能をオペレーティングシステムに直接拡張し、ログインウィンドウからすべての企業アプリケーションまでに及ぶ統一認証エクスペリエンスを作成します。
このドキュメントおよび後続のページ全体で、次のいくつかの用語に慣れてください。
| IDP | |
|---|---|
| PSSO / Platform SSO / Platform Single Sign-On | Microsoft Entra、Okta Identity Engine、Ping などのような ID プロバイダー |
| Secure Enclave / Secure Enclave Backed Keys / SEP | Secure Enclave は Apple システムオンチップ (SoC) に統合された専用のセキュアサブシステムです。Secure Enclave はメインプロセッサから分離されており、追加のセキュリティレイヤーを提供し、Application Processor カーネルが侵害された場合でも機密ユーザーデータを保護するよう設計されています。詳細はこちらを参照してください |
| Simplified Setup | Automated Device Enrollment 中に Setup Assistant 中に Platform SSO 登録を要求する新しい方法であり、macOS 上の最初のローカルユーザーアカウントを作成するためにも使用できます |
.png)
Setup Assistant 中の Simplified Setup PSSO 登録
.png)
既存のコンピュータに表示される Mac Platform SSO 登録用 Single Sign-On
Platform SSO が実際に行うこと
Platform SSO は管理対象デバイス自体を認証器に変換します。認可された組織ユーザーはパスワードまたは生体認証情報を使用してデバイスにアクセスします。ロック解除されると、PSSO は ID プロバイダーにセキュアトークンを提供し、ID プロバイダーによって管理される Web アプリケーションとネイティブアプリケーション全体でのシームレスな認証を可能にします。Jamf Pro の macOS 26 における機能と組み合わせて Apple から直接デバイス証明を取得すると、セキュリティの三角形を達成できます。検証済みの信頼できるユーザーが管理対象で認証されたデバイスを操作している場合にのみ、セキュアなクラウドリソースにアクセスできます。Platform SSO はさらに深く、macOS システムレベルで認証を統合します。
適切にデプロイすると、ユーザーはログイン時に 1 回認証するだけで、自動的に次のアクセス権を取得します。
Salesforce、DropBox Business、Office 365 などの企業 Web アプリケーション
Outlook、Slack、Microsoft Teams などの macOS アプリケーション
クラウドサービスとリソース
認証はバックグラウンドで透過的に行われ、アプリケーションとサービスへのシームレスなログインエクスペリエンスを提供します。
技術的基盤
Platform SSO はクラウド ID を macOS に統合します。ID プロバイダーは、ローカルアカウントパスワードの同期、システムスタートアップおよびウェイクイベント時のクラウドに対するパスワード検証の要求、または TouchID 認証を統合してベストプラクティスを確立するなど、OS 内の複数の認証ポイントで統合できます。
認証情報同期: ローカル Mac アカウント認証情報は組織の ID プロバイダーと自動的に同期され、ローカルアカウントとクラウドアカウント間のパスワードドリフトが排除されます。
ディレクトリサービスの置き換え: Platform SSO は従来の Active Directory バインディングの最新的な代替手段として機能でき、これは現代的なネットワーク環境では複雑で信頼性が低下しています...特に共有コンピュータ環境では。
SSOe との関係
Platform SSO は Apple の基盤となる SSOe (Single Sign-On extensions) フレームワークを基に構築されており、クラウド ID プロバイダーと macOS 間の統合を可能にします。サードパーティの SSOe アプリケーションは MDM ソリューションを通じてデプロイでき、Platform SSO はこれらの同じ基盤となるテクノロジーを活用して、より広く、より統合されたフレームワークを提供します。
ID プロバイダーサポートと認証方法
Microsoft Entra ID と Okta の両方は、ID プロバイダーとして Platform SSO 機能をサポートしていますが、特定の機能と実装の詳細はソリューション間で異なる場合があります。
たとえば、Platform SSO フレームワークは 3 つの認証モード (パスワード、Secure Enclave バックアップキー、またはスマートカード) をサポートしています。Microsoft Entra ID と Okta Identity Engine の両方はパスワード同期モードをサポートしており、Microsoft の拡張機能は代わりに他のモードの 1 つで機能するように構成することもできます。Microsoft Entra ID と Okta Identity Engine の両方もフィッシングに強い認証もサポートしています。
Platform SSO デプロイメントを計画する組織は、選択した認証方法が ID プロバイダーの現在の機能と一致していることを慎重に検証する必要があります。認証のランドスケープは急速に進化しており、今日サポートされているものは今後数ヶ月で大幅に拡大する可能性があります。
Platform SSO は複数の認証アプローチをサポートしており、それぞれが異なる組織のニーズとセキュリティ要件に適しています。このテーブルを使用して、ID プロバイダーとユースケースに適した認証方法を特定してください。
| ### 認証方法 |
|---|
| 機能 |
| パスワード認証モード (パスワード同期) |
| Secure Enclave キー認証 |
| スマートカード統合 |
| タップしてログイン |
| Simplified Setup |
| 認証済みゲストモード |
技術要件
Platform SSO には最新のハードウェアとソフトウェアが必要です。
ハードウェア: Apple Silicon チップ搭載 Mac
ソフトウェア: macOS 13 以降 (最新機能には macOS 26 が必要)
管理: Extensible Single Sign-on ペイロードをサポートする MDM ソリューション (Jamf for Mac の一部である Jamf Pro など)
ID: Platform SSO プロトコルサポート対応 ID プロバイダー
戦略的考慮事項
Jamf Connect の質問
ここまで読んでいれば、いくつかの質問をしたことがあるかもしれません。
互換 ID プロバイダーアプリで Platform SSO を実装することで、組織の Jamf Connect の必要性が排除されますか?
すべてのデバイスが macOS 26 上にあると、機能の重複がより大きくなりましたが、ソリューション間で考慮すべき違いが多くあり、Mac の組織の ID 戦略に影響を与えます。
リソース
Apple Platform Security - Secure Enclave
Platform SSO 用 Simplified Setup の構成
Jamf Pro を使用した Okta 向け macOS Platform SSO のデプロイ
Jamf Pro を使用した Microsoft Entra ID 向け macOS Platform SSO のデプロイ
macOS 用 Platform Single Sign-On
組織のための Platform SSO を検討していますか?現在の ID プロバイダーの互換性を評価し、セキュリティ要件とユーザーエクスペリエンスの目標に適した認証方法を決定することで開始してください。