Enterprise SSOがGAされましたね。
個人的にはこちらより早くPlataform SSOに対応していただきたいです。
Enterprise SSOとPlatform SSOの違いがよくわからないという方もいると思うので、Enterprise SSOを構成したらどうなるのかをやっていきたいと思います。
目次
既存動作の確認
Enterprise SSOを構成する前の動きを把握しておきます。
macOSでSafariを起動して、Microsoft 365ポータルにアクセスしてみます。
普通にログイン画面が表示されてIDとパスワードを求められますね。
現状の動きを確認したところで、Enterprise SSOを設定していきましょう!
Intuneを利用して、Enterprise SSOを構成する
必要要件
- mac OS10.15以降
- mac端末にIntuneポータルサイトアプリ(Company Portal)がインストールされていること
Intuneの設定
- Intune管理センターへアクセスします
- 「デバイス」→「macOS」→「構成プロファイル」→【プロファイルの作成】をクリックします
- プロファイルの種類から「テンプレート」を選択します
- 「デバイスの機能」を選択し、【作成】をクリックします
- 名前にわかりやすい名前を入力し、【次へ】をクリックします。ここでは、「macOS:Microsoft Enterprise SSO plugin」としました
- 「シングルサインオンアプリ拡張機能」を展開し、「SSOアプリ拡張機能の種類」から「Microsoft AzureAD」を選択します
- 追加の構成を以下のように構成します
| キー | 種類 | 値 |
| AppPrefixAllowList | 文字列 | com.microsoft.,com.apple. |
| browser_sso_interaction_enabled In | 整数 | 1 |
| disable_explicit_app_prompt | 整数 | 1 |
- 【次へ】をクリックします
- 構成プロファイルを割り当てたいグループを設定し、【次へ】をクリックします
- 設定内容を確認し、【作成】をクリックします
- 設定した端末に適用されると、「Extensible Single Sign On Profile」というプロファイルが適用されます
動作確認
Intuneの更新サイクルは8時間に1回なので、気長に待つか管理ポータルから対象デバイスに対して同期ボタンを押して適用されるのを待ちます。
作成した構成プロファイルが適用されたことを確認したら、Microsoft365ポータルにアクセスしてみます。
すると以下のような動作に変更されたと思います。
- 表示されたウインドウに認証情報を入力しサインインします。
この状態でプライベートウィンドウを起動し、再度アクセスしてみます。
特にID、パスワードを入力しなくても、Microsoft365ポータルにアクセスすることができました!
SSOをさせたくない場合には、ポータルサイトアプリを起動し基本設定の「このデバイスのSSOでサインインするように要求しないでください」のチェックを外します・
まとめ
Chromeには現状(2023/06現在)対応していないので、Safariを利用する必要がありますがAAD JoinしているWindows端末のようにSSOでそのままログインできるのは便利ではないでしょうか。
