はじめに
情シスSlackで @kenchan0130さん が紹介されていた XCreds を試してみました。
目次
前提条件
- MacOS Monteryでのテスト (XCredsの要件としては、macOS 11 or 12)
- IdPはAzureADを利用
- MDMを利用せず、手動でのインストール・設定
AzureADにアプリ登録する
- AzureAD管理コンソールへログインします。
- 「アプリの登録」→【新規登録】をクリックします。
- 以下のように設定し、保存します。
リダイレクトURIに、「xcreds://auth/」と入力します。
XCredsをインストールする
- こちらのページの「Free Download」をクリックし、必要なファイルをダウンロードします。
- XCreds_Build-3261_Version-2.0.pkgを実行し、インストールします。
- アプリケーションフォルダに、「XCreds」というアイコンが表示されるので「XCreds」をダブルクリックします。
- 以下のダイアログが表示されるので、Macにログインするときのパスワードを入力し、【Update】をクリックします。
- メニューバー上に、同期アイコンのようなものが表示されるのでアイコンをクリックするとメニューが表示されます。
Profile Creatorを利用して構成プロファイルを編集し、適用する
- こちらのページ からProfile Creatorをダウンロードし起動します。
※起動にはRosetta2が必要です。 - ダウンロードしたファイルの中に「xcreds_example_azure.mobileconfig」というファイルがあるので、Profile Creatorでファイルを開きます。
- ClientIDがサンプルのままなので、こちらの値を事前に作成したAzurADアプリのクライアントIDに置き換えます。
- Redirect URIを「xcreds://auth/」に変更します。
- 今回は、以下の3つも設定を追加しておきます。名前横にある+マークをクリックし追加します。
その他設定内容については、こちらのページ に解説があります。- Create User as Admin
- Enable Full Disk Encryption(FDE)
- Password Change URL for Menu
- 追加したメニューにチェックをつけ、PasswordURL欄に以下の値を入力します。 「https://account.activedirectory.windowsazure.com/ChangePassword.aspx」
- 変更内容を保存し、「File」→【Export】をクリックします。
- 保存した構成プロファイルをダブルクリックします。
- 「システム環境設定」→【プロファイル】をクリックします。
- 該当のプロファイルを選択し、【インストール】をクリックします。
- 【インストール】をクリックします。
- 管理者のパスワードを入力し、【OK】をクリックします。
- MacOSを再起動します。
IdPでmac端末にログインする
再起動後、起動画面が以下のように変更されたと思います。
FileVault2が有効になっている場合には、一度FV2解除可能なユーザーのパスワードを入力した後上記の画面が表示されます。
このあたりはJamf Connectと変わらないですね。
- IdPに存在するユーザーでログインします。
- 以下の画面が表示された場合には、【承諾】をクリックします。
- キーチェンのダイアログが表示された場合には、ログインパスワードを入力し、【常に許可】をクリックします。
- デスクトップが表示されればログイン完了です
構成プロファイルで管理者権限付与してユーザー作成としたので、 「システム環境設定」→「ユーザーとグループ」から該当ユーザに管理者と表示されていればOKです。
まとめ
OSSとして公開されており、無料でJamf Connectとほぼ同じことができるのは良いですね。
サポートを受けたい場合には、有料のプランがあります。
MacAdmins Slackの #xcreds チャンネルもあるようです。
Apple側もVenturaでPlatform SSOを予定しているので、今後の動向が楽しみです。
個人Mac端末には、XCreds設定して使ってみようかなと思います。
きっと kenchan0130さんのブログ で詳細な解説記事がでると思うので、楽しみにしています!!
