Microsoft Entra IDを使用したPassportの構成 - Macログイン

  • hC
  • EF

Kandji PassportのMicrosoft Entra IDでOpenID Connect (OIDC) アプリケーションを作成する方法について説明します

この記事では、Mac ログインを使用するための Passport の設定について説明します。MFA を使用している場合、または Web ログインを構成する場合は、「 Microsoft Entra ID を使用した Passport の構成 - Web ログイン」を参照してください。

始める前に

Passport アプリに適切な権限を付与するには、Microsoft Entra ID 管理者ユーザーアカウントにアクセスする必要があります。

アプリケーション登録の作成

  1. グローバル管理者アカウントを使用して Microsoft Entra 管理センター にサインインします。

  2. ポータルメニューを開き、 アイデンティティを選択します。

  3. アイデンティティメニューの [アプリケーション] で、[アプリの登録] を選択します。

  4. [アプリの登録] ページで、メニューの [+ 新規登録] を選択します。

     

  5. 「アプリケーションの 登録」ダイアログで、新しいアプリケーションの名前を入力します (Kandji Passport Mac Login など)。

  6. この組織ディレクトリ内のアカウントのみを選択してください。

  7. [リダイレクト URI ] セクションの [プラットフォーム の選択] ドロップダウンで、[Web] を選択します。

  8. [URI] フィールドに、 https://localhost.redirect を入力します。

  9. 「登録」をクリックします。

     

  10. この OIDC アプリの値を一時的に保存できる安全なテキストドキュメントを開きます。これらの詳細は 、Passport ライブラリアイテムを構成するときに必要になります。

  11. [概要] ページで、アプリケーション (クライアント) ID を一時的にセキュリティで保護されたテキストドキュメントにコピーします。

  12. [概要] ページで、[ エンドポイント] をクリックします。

     

  13. OpenID Connect メタデータ ドキュメント (ID プロバイダー URL) を一時的に安全なテキストドキュメントにコピーします。

     

  14. 左側で [認証] を選択します 

  15. 次のモバイルおよびデスクトップフローを有効にする を はい に設定します。

  16. 「保存」をクリックします。

     

  17. 左側で、 [トークン構成] を選択します。

  18. [オプションの要求を追加] をクリックします 

  19. [トークンの種類] で [ID] を選択します 

  20. [要求] で [preferred_username] を選択します 

  21. 「追加」をクリックします 

     

  22. [トークン構成] ページで、[ グループ要求の追加] をクリックします。

  23. 「すべてのグループ...」を選択してください。

  24. 「追加」をクリックします。

     トークンの構成を完了すると、両方のオプショナル要求が表示されます。

     

  25. [API権限] を選択します。

  26. [権限を追加] をクリックします。

  27. [Microsoft Graph] をクリックします。

     

  28. [委任されたアクセス許可] を選択します。

  29. [OpenId アクセス許可] セクションが展開されていることを確認します。[OpenID アクセス許可] セクションが展開されていない場合は、[OpenId アクセス許可] セクションの横にあるアイコンをクリックして展開します。

  30. emailを選択します。

  31. profileを選択します。

     

  32. [権限の選択] フィールドに「User.Read」と入力します。

  33. [ユーザー] セクションで、 User.Read が既に選択されていることを確認します。 User.Read が選択されていない場合は、選択します。

  34. [権限を追加] をクリックします。

     

  35. [API権限] ページで、[ <your_tenant_name>に対する管理者の同意を付与する] を選択します。

  36. [はい] を選択します。

     下記のような通知と、各権限のステータス列に「<your_tenant_name> に対して付与されました」というメッセージが表示されます。

  37. 次のセクションに進みます

ユーザーとグループの割り当て

デフォルトでは、新しいアプリの登録を作成すると、「割り当てが必要か」属性は「いいえ」に設定されます。ただし、Passport Enterprise アプリが割り当てを必須にするように設定されている場合、Passport アプリを使用できるようにするには、次の手順に従ってユーザーを割り当てる必要があります。

  1. 左側のアイデンティティナビゲーションメニューで、「アプリケーション」を開き、「エンタープライズアプリケーション」を選択します。

  2. [すべてのアプリケーション]リストで、[ Kandji Passport Macログイン]または前のセクションでアプリ登録に付けた名前を選択します。

     

  3. [管理] で、[プロパティ] を選択します。

  4. 必要に応じて、 エンタープライズ アプリにロゴを追加します。

  5. [割り当てが必要ですか?] 設定を確認します。「いいえ」に設定されている場合は、このセクションの残りの部分をスキップできます。Entra IDのすべてのユーザーは、Passportアプリを使用できます。

  6. [ユーザーに表示しますか?] 設定が [いいえ] に切り替えられていることを確認します。それ以外の場合、ユーザーのポータルに表示されます。Passportアプリは、macOSのログインウィンドウの代わりにのみ役立ちます。

  7. 「保存」をクリックします。

     

  8. [割り当てが必要ですか?] 設定が [はい] に設定されている場合は、手順 9 から 16 に進みます。

  9. [管理] で [ユーザーとグループ] を選択します。

     

  10. メニューで、 [+ ユーザー/グループの追加] を選択します。

     

  11. [割り当ての追加] ダイアログで、[ユーザーとグループ] の下のリンクを選択します。

  12. ユーザーとセキュリティグループの一覧が表示されます。特定のユーザーまたはグループを検索することも、リストに表示される複数のユーザーやグループを選択することもできます。

  13. ユーザーとグループを選択したら、[選択] を選択します。

     以下のメッセージが表示された場合は、無料枠が使用されていることを意味します。Passport Enterpriseアプリに追加できるのはユーザーのみで、グループは追加できません。

     

  14. [割り当て] を選択して、アプリへのユーザーとグループの割り当てを完了します。

     

  15. 追加したユーザーとグループが [ユーザーとグループ] リストに表示されていることを確認します。

     

  16. Entra ID 構成のこの部分が完了したら、Microsoft Entra ID 環境についてこの記事の残りのセクションを確認します。

Microsoft Entra ID 条件付きアクセスに関する考慮事項

Microsoft Entra ID 条件付きアクセス は、Microsoft Entra ID Premium 以上に含まれています。Microsoft Entra ID 条件付きアクセスポリシーを有効にする前に、ユーザーごとのMFAとセキュリティの既定値の両方を必ずオフにしてください。

Mac ログイン Passport 構成 のみを使用する場合: Entra ID が、MFA を要件として指定し、すべてまたは特定のクラウドアプリを指定する Microsoft Entra ID 条件付きアクセスポリシーと共に構成されている場合は、Passport に使用するエンタープライズアプリケーションをそのポリシーから除外する必要があります。このようなポリシーを説明する別の方法は、ポリシーが次の両方の基準を使用することです。

  • 割り当て: 対象リソース: クラウドアプリ: すべてのクラウドアプリまたはアプリの選択

  • アクセス制御: 許可: アクセスの許可: 多要素認証が必要

次に示すのは、上記の両方の条件を使用しないため、変更する必要がないポリシー の例です (具体的には、「 多要素認証が必要」の権限は付与されていますが、「ターゲットリソース」の割り当てはありません)。
次に、Kandji Passport のエンタープライズアプリケーションを除外するために 変更する必要があるポリシー の例を示します。これは、ポリシーで両方の条件が使用されているためです。

エンタープライズアプリケーションを除外するには、この記事の「アプリの登録を作成する」セクションの手順 8 に示すように、 リダイレクト URI 値が必要です。

クラウドアプリの除外を追加する

Kandji Passport に使用するエンタープライズ アプリを、該当する各ポリシーから除外します。 

  1. Microsoft Entra 管理センターで、ポータルメニューを開き、[保護] を選択します。

  2. [保護] メニューの [ 条件付きアクセス] を選択します。

  3. [条件付きアクセス ] ページで、[ポリシー] を選択します。

  4. ポータルに各ポリシーが [ポリシー名] と [状態] (およびその他の情報) と共に表示されていることを確認します。
     

  5. [状態] が [オン] のポリシーを選択します。

  6. 「ターゲットリソース」セクションに「ターゲットリソースが選択されていません」と表示されている場合は、前のステップに戻り、その次のポリシーを選択します。
     それ以外の場合は、[ ターゲットリソース] の下のリンクをクリックします。

  7. [除外] をクリックします。
     

  8. 除外されたクラウドアプリの一覧を確認します (除外されたクラウドアプリがない場合もあります)。Kandji PassportのEnterpriseアプリがすでに除外されている場合は、ステップ3に戻って次のポリシーに進むことができます。

  9. [除外されたクラウドアプリを選択] の下にあるテキストリンクをクリックします。
     

  10. 「検索」フィールドに、Kandji Passport に使用するエンタープライズアプリケーションの名前を入力します。検索は名前の任意の部分を検索するだけではないことに注意してください。少なくとも名前の先頭を入力する必要があります。

  11. 検索結果から Kandji Passport の Enterprise アプリのチェックボックスをオンにします。

  12. [除外されたクラウド アプリの選択] ブレードの下部にある [ 選択] をクリックします。
     

  13. Enterprise アプリが除外されたアプリのリストに追加されたことを確認します。
     

  14. ページの左下隅にある [ 保存] をクリックします。

  15. 手順 3 に戻り、すべての条件付きアクセスポリシーを調査または更新するまで、繰り返します。


Passport によるユーザーアカウントのプロビジョニング

Passportライブラリアイテムで ID プロバイダーグループごとに指定オプションを使用する場合は、[IDプロバイダーグループ] フィールドで Entra ID グループ ObjectID を使用します。

  1. Microsoft Entra 管理センターにサインインします。左側の ID ナビゲーション メニューで [グループ] を開き、[すべてのグループ] を選択します。

  2. 使用するグループを選択します。

     

  3. そのグループのObject Id をコピーします。

     

  4. Kandji Passport ライブラリアイテムのユーザープロビジョニングセクションで、前のセクションの値を IDプロバイダーグループフィールドに貼り付けます。

     

  5. 使用する追加の Entra ID グループごとに、前の手順を繰り返します。

  6. Passportライブラリアイテム」で、「 保存」をクリックします。

  7. その他の考慮事項

    • デフォルトのアカウントタイプを標準ユーザーに設定した場合は、ID プロバイダーグループに管理者アカウントタイプのみを追加します。ID プロバイダ グループの管理者として特に指定されていない限り、デフォルトでは、すべてのユーザーが標準ユーザーとして作成されます。

    • デフォルトのアカウントタイプを管理者に設定した場合は、ID プロバイダーグループに標準アカウントタイプのみを追加します。すべてのユーザーは、ID プロバイダー グループで標準ユーザーとして特に指定されていない限り、既定で管理者として作成されます。

Microsoft Entra ID のトラブルシューティング

Entra ID Passport で問題が発生している場合は、 Microsoft Entra ID (旧称 Azure AD) を使用した Passport のトラブルシューティング に関するサポート記事を参照して、一般的なトラブルシューティング手順の詳細を確認してください。

次のステップ

「パスポートライブラリアイテムの設定」サポート記事に進んで、セットアップを完了してください。