Library Items
自動デバイス登録
認証が必要
自動デバイス登録内で認証が必要を使用し、ユーザをデバイスレコードに割り当てる場合、初期アカウント作成の詳細を事前に入力することはお勧めしません。 Passport は、ユーザが Passport ログインウィンドウから初めてログインしたときに提供されたアカウントの詳細を使用します。
[初期アカウント作成の詳細を事前入力] チェックボックスをオフにします。
プライマリアカウントの作成
Passportを使用する場合は、[プライマリ アカウントの種類] で [プライマリ アカウントの作成をスキップする] を選択します。これにより、ユーザーがPassportログイン画面にアクセスし、IdPの資格情報を使用してログインすると、Macアカウントがプロビジョニングされます。
アカウントの作成をスキップしないと、ローカル ユーザー アカウントを作成しようとすると、デバイスにエラーが表示されます。
[プライマリ アカウントの種類] ドロップダウンを選択します。
[プライマリ アカウントの作成をスキップ] を選択します。
FileVault
FileVault Library Item の自動デバイス登録(macOS 14+)時に、セットアップアシスタント中の適用を強制オプションは Passport と互換性がないため、無効にする必要があります。Passportを使用する場合、ローカルユーザーは設定アシスタントの後に作成されるため、設定アシスタントが完了するまでFileVaultを有効にすることはできません。
FileVault Library Itemに移動します。
[自動デバイス登録(macOS 14+)時に、セットアップアシスタント中の適用を強制] オプションがオフになっていることを確認します。
パスコード
Passportを使用する場合は、 Passportを含むすべてのBlueprintからパスコードLibrary Itemを削除することを強くお勧めします。パスワード要件はIdPによって処理される必要があります。IdPによって設定されたパスコード要件がパスコードLibrary Itemによって設定されたパスコード要件よりも制限が緩い場合、ローカルMacのパスワード要件を満たしていないため、ユーザーはパスワードを変更できなくなります。
「スリープまたはスクリーンセーバ開始後にパスコードを要求」、または「スクリーンセーバを開始するまでの時間」の設定にパスコードポリシーを適用する必要がある場合、これらはPassportと互換性があります。これら 2 つの設定をデプロイする必要がある場合は、パスワード同期の問題を回避するために、他のすべてのパスコード設定が無効になっていることを確認してください。
ログインウィンドウ
ログインウィンドウ Library Item には、 Passportと互換性のあるアイテムがいくつか含まれています。
互換性のあるオプション
ログインウィンドウLibrary Itemの「ロックメッセージを設定」オプションは、Passportと互換性があります。
ログインウィンドウLibrary Itemの「ログイン中のユーザ」セクションにリストされているオプションは、Passportと互換性があります。
macOS 13 以下を実行しているデバイスでは、切り替え時に Passport 認証を使用しないため、ユーザーの簡易切り替えを無効にする必要があります。macOS 14 以降を実行しているデバイスでは、Passport で高速ユーザー切り替えを問題なく使用できます。
ログインウィンドウLibrary Itemの「ユーザーの可視性」セクションの「ユーザーの可視性を管理する」オプションでユーザーのリストを表示するは、Passportと互換性があります。
この設定は、Apple SiliconコンピュータでFileVault ロック解除画面も制御します。 FileVault ロック解除画面では、メールアドレスを使用してディスクのロックを解除することはできません。これにより、エンドユーザーのコミュニケーションに混乱が生じ、使用するログイン名について混乱が生じる可能性があります。さらに、Intelデバイスでは、 FileVault ロック解除画面に常にユーザーのリストが表示されるため、Macコンピューターのアーキテクチャによっては、エンドユーザーのエクスペリエンスが混在する可能性があります。推奨される構成は、すべてのエンド ユーザーに一貫したエクスペリエンスを提供します。
互換性のないオプション
ログインウィンドウLibrary Itemのメニューバーセクションの項目はPassportと互換性がないため、チェックを外す必要があります。
ログインウィンドウLibrary Itemの「オプション」セクションの項目はPassportと互換性がないため、チェックを外す必要があります。
Parameters
カスタムポリシーバナーを適用する
[カスタム ポリシー バナーを適用する] Parameterを使用している場合は、Passport Library Itemを含むすべてのBlueprintsで無効にします。
ユーザアカウントを標準に降格
Passport はユーザー アカウントの種類を評価し、管理者から標準に、またはその逆に変更する可能性があるため、ユーザアカウントを標準に降格するParameterを併用すると、再起動ループが発生する可能性があります。Passport Library Itemで管理者としてユーザアカウントをプロビジョニングする場合は、同じBlueprintでユーザアカウントを標準に降格Parameterが有効になっていないことを確認してください。Passportが割り当てられているBlueprintで、ユーザアカウントを標準に降格Parameter を使用することはお勧めしません。
安全なWi-Fi設定
Passport IdP に対してユーザー資格情報を確認するためにネットワーク接続が必要です。Passportでログインウィンドウをカスタマイズするときは、必要に応じてユーザーが Wi-Fi ネットワークに参加できるように、ネットワークマネージャーを表示します。ネットワークマネージャーはmacOSのAirMacのセキュリティ設定を尊重します。Kandji の Wi-Fi設定のセキュリティを強化する Parameterを使用して、ネットワークを変更するためにローカル管理者の資格情報を要求できます。有効にすると、Passportログインウィンドウでネットワークを切り替えるときに、ネイティブ認証ダイアログが表示されます。
ユーザーが常にMacコンピューターにログインできるようにするために、 Passport はネットワーク接続がない場合でもIdP資格情報を使用してログインできるように許可します。
macOS 機能
移行アシスタント
移行アシスタント を Passport と一緒に使用することはサポートされていません。移行アシスタントを Passportと一緒に使用していた場合は、次の手順に従って問題を解決できます。移行アシスタントを使用して、 Kandjiに登録されているデバイスからデータを移行する場合は、移行を試みる前に、移行元のデバイスから Passport を削除してください。 Passport がデバイスに残っていて、ターゲットデバイスに移行された場合、ユーザーは Passport 画面で動かなくなり、続行できなくなる可能性があります。
この状況の修復にサポートが必要な場合は、 サポートにお問い合わせください。
管理対象 Apple Account エイリアス
状況によっては、ユーザーが IdP アカウント名と一致するアカウント名で Apple Account にログインすることがあります。 Passportと同様に、この Apple Account アカウント名に一致するエイリアスがローカル ディレクトリに作成されます。 Apple Account が IdP アカウント名と一致すると、競合が発生し、ユーザーが IdP アカウント名でサインインできなくなる可能性があります。
この競合は、ユーザーが Apple Accountからサインアウトした場合にのみ発生します。サインアウトプロセスでは、 Apple Accountのエイリアスが削除されます。このエイリアスは Passportで使用されるアカウント名と一致するため、 Passport のエイリアスも削除されます。
これを解決するには、エイリアスを復元する必要があります。これは、「システム設定」(または「システム環境設定」)の「ユーザとグループ」パネル、またはローカルコンピュータの「ディレクトリユーティリティ」アプリケーションを使用して手動で実行できます。
この状況の修復にサポートが必要な場合は、 サポートにお問い合わせください。
モバイルアカウント
Passport はローカル macOS アカウントと互換性があります。モバイルアカウントはサポートされていません。 Passportを使用する前に、既存のモバイルアカウントをローカルアカウントに変換して、アカウントの統合を成功させてください。
ネットワーク&Wi-Fi
IdP に接続するには、Passportはネットワーク接続 が必要です。ポータブルMacは、Macがまだ接続されていないWi-Fiネットワークを提供するさまざまな場所で使用するのが一般的です。 Passport 画面の右上隅にWi-Fiアイコンが表示されます。Wi-Fiアイコンをクリックして、ネットワークに参加するためのパスワードを受け入れるWi-Fiネットワークに参加できます。現時点では、 Passport は、キャプティブ ポータル、クリックスルー認証を利用するネットワーク、または 802.1X 認証にユーザ名とパスワードが必要なエンタープライズ ネットワークをサポートしていません。
IDプロバイダー
一時的なパスワード
Macログイン認証モードを使用する場合、一時的なIdPパスワードはPassportと互換性がありません。一時的なパスワードは、Webログイン認証モードと互換性があります。