Passportがほかのライブラリアイテム、Parameters、macOS機能、アプリケーションとどのように相互作用するかを理解しましょう
ライブラリアイテム
自動デバイス登録
認証要求
自動デバイス登録内で認証要求を使用し、ユーザーをデバイスレコードに割り当てる場合、初期アカウント作成の詳細を事前入力することはお勧めしません。Passportは、ユーザーがPassportログインウィンドウから初めてログインしたときに提供されたアカウント情報を使用します。
[アカウント作成の初期詳細を事前入力する] チェックボックスをオフにします。
プライマリアカウントの作成
Passport を使用する場合は、[プライマリアカウントの種類] で [プライマリアカウントの作成をスキップする] を選択します。これにより、ユーザーがPassportログイン画面にアクセスし、IdPの認証情報を使用してログインすると、Macアカウントがプロビジョニングされます。
アカウントの作成をスキップしないと、ローカルユーザーアカウントを作成しようとし、デバイスにエラーが表示されます。
[プライマリアカウントの作成] ドロップダウンを選択します。
[プライマリ アカウントの作成をスキップする] を選択します。
パスコード
Passport を使用する場合は、Passport を含むすべてのBlueprintからパスコードライブラリアイテムを削除することを強くお勧めします。パスワード要件はIdPが処理する必要があります。IdPによって設定されたパスコード要件がパスコードライブラリアイテムによって設定されたパスコード要件よりも制限が緩い場合、ローカルMacのパスワード要件を満たしていないため、ユーザーはパスワードを変更できなくなります。
「スリープ後またはスクリーンセーバーの開始後にパスコードを要求する」または「スクリーンセーバーの開始までの時間」設定のパスコードポリシーを適用する必要がある場合、これらはPassportと互換性があります。これら 2 つの設定をデプロイする必要がある場合は、パスワード同期の問題を回避するために、他のすべてのパスコード設定が無効になっていることを確認してください。
ログインウィンドウ
ログインウィンドウライブラリアイテムには、Passportと互換性のあるアイテムがいくつか含まれています。
互換性のあるオプション
ログインウィンドウライブラリのアイテムのロックメッセージの設定オプションは、Passportと互換性があります。
ログインウィンドウライブラリアイテムの ログインユーザー セクションにリストされているオプションは、Passportと互換性があります。
macOS 13 以前を実行しているデバイスでは、切り替え時に Passport 認証を使用しないため、ユーザーの簡易切り替えを無効にする必要があります。macOS 14 以降を実行しているデバイスでは、Passport でユーザーの簡易切り替えを問題なく使用できます。
互換性のないオプション
ログインウィンドウライブラリアイテムの メニューバー セクションのアイテムはPassportと互換性がないため、チェックを外す必要があります。
ログインウィンドウライブラリアイテムの ユーザー表示 セクションにあるアイテムは、パスポートと互換性がないため、チェックを外す必要があります。この設定をオフにすると、ユーザーはユーザー名の入力を求められなくなるという利点もあります。これにより、Passport ログインウィンドウで完全なメールアドレスを使用することと、FileVault ログインウィンドウでローカルの短縮名を使用することとの間の混乱を避けることができます。
ログインウィンドウライブラリアイテムの オプション セクションのアイテムはPassportと互換性がないため、チェックを外す必要があります。
ネットワーク&Wi-Fi
IdP に接続するため、Passportはネットワーク接続が必要です。ポータブルMacは、Macがまだ接続されていないWi-Fiネットワークを提供するさまざまな場所で使用することが一般的です。Passportは、画面の右上隅に Wi-Fi アイコンを表示します。Wi-Fiアイコンをクリックして、ネットワークに参加するためのパスワードを受け入れるWi-Fiネットワークに参加できます。現時点では、Passport はキャプティブポータル、クリックスルー認証を利用するネットワーク、または 802.1X 認証にユーザ名とパスワードが必要なエンタープライズ ネットワークをサポートしていません。
Parameters
カスタムポリシーバナーの適用
[Enforce a custom policy banner (カスタムポリシーバナーを強制する)] パラメータを使用している場合は、Passport ライブラリアイテムを含むすべてのブBlueprintで無効にします。
ユーザーアカウントを標準に降格する
Passport はユーザーアカウントの種類を評価し、管理者から標準に、またはその逆に変更する可能性があるため、 ユーザーアカウントを標準に降格 するパラメーターと組み合わせると、再起動ループが発生する可能性があります。Passportライブラリアイテムでユーザーアカウントを管理者としてプロビジョニングする場合は、同じBlueprintで [Demote user accounts to Standard (ユーザーアカウントを標準に降格)] パラメーターが有効になっていないことを確認します。Passport が割り当てられたBlueprintで [ユーザーアカウントを標準に降格] パラメーターを使用することはお勧めしません。
安全なWi-Fi設定
Passport では、ユーザーの資格情報を IdP と照合するためにネットワーク接続が必要です。Passport でログインウィンドウをカスタマイズするときは、必要に応じてユーザーが Wi-Fi ネットワークに接続できるように、ネットワークマネージャーを表示します。ネットワークマネージャーは、macOSのAirMacセキュリティ設定を尊重します。Kandji の Secure Wi-Fi Settings(安全なWi-Fi設定)パラメーターを使用して、ネットワークを変更するためにローカル管理者の資格情報を要求できます。有効にすると、ネットワークを切り替えるときに、Passport ウィンドウでネイティブ認証ダイアログが表示されます。
ユーザーが常にMacコンピューターにログインできるように、Passportは、ネットワーク接続がない場合でもIdPの資格情報を使用してログインすることを許可します。
macOSの機能
移行アシスタント
Passportでの移行アシスタントの使用はサポートされていません。Passportで移行アシスタントを使用した場合は、次の手順に従って問題を解決できます。移行アシスタントを使用して Kandji に登録されているデバイスからデータを移行する場合は、移行を試みる前に、移行元のデバイスから Passport を削除してください。Passport がデバイスに残っていて、ターゲットデバイスに移行された場合、ユーザーは Passport 画面で動かなくなり、続行できなくなる可能性があります。
この状況の修復にサポートが必要な場合は、 サポートにお問い合わせください。
管理対象Apple アカウントのエイリアス
状況によっては、ユーザーがIdPアカウント名と一致するアカウント名でAppleアカウントにログインしている場合があります。Passport と同様に、この Apple アカウント名と一致するエイリアスがローカル ディレクトリに作成されます。AppleアカウントがIdPアカウント名と一致すると、競合が発生し、ユーザーがIdPアカウント名でサインインできなくなる可能性があります。
この競合は、ユーザーがAppleアカウントからサインアウトした場合にのみ発生します。サインアウトプロセスでは、Appleアカウントのエイリアスが削除されます。このエイリアスは Passport で使用されるアカウント名と一致するため、Passport のエイリアスも削除されます。
これを解決するには、エイリアスを復元する必要があります。これは、「システム設定」(または「システム環境設定」)の「ユーザとグループ」パネル、またはローカルコンピュータの「ディレクトリユーティリティ」アプリケーションを使用して手動で実行できます。
この状況の修復にサポートが必要な場合は、 サポートにお問い合わせください。
モバイルアカウント
Passport は、ローカルのmacOSアカウントと互換性があります。モバイルアカウントはサポートされていません。Passportを使用する前に、既存のモバイルアカウントをローカルアカウントに変換して、アカウントの統合を成功させてください。