Passportとパスワード管理

  • hC
  • EF

Passportとパスワードの管理に関する重要な情報を学びましょう

Passportの設定については、 Passport ライブラリアイテムの設定に関する記事を参照してください。

パスワードの変更とリセット

Passport Loginウィンドウでログインするときは、認証セッションがローカル認証ではなくIdPに接続されていることを確認するために、ユーザー名フィールドには常に完全なメールアドレスを使用する必要があります。FileVault ログインウィンドウでメールアドレスを使用する際の混乱を避けるため、ログインウィンドウライブラリアイテムの「ユーザーの表示管理」ボックスがオフになっていることを確認してください。これらの詳細は、 Passportの互換性の記事をご覧ください。

ユーザーは、次の順序でパスワードの変更を開始する必要があります。

  • 組織の IdP でパスワードを変更します。

  • パスポートリセットURLが定義されている場合、ユーザーはKandjiメニューアプリまたはパスポートログインウィンドウからIDPパスワードをリセットできます。詳細については 、ここをクリックしてください

  • Passportにより、ユーザーがローカルMacアカウントのパスワード(ローカルパスワードとも呼ばれます)をIdPパスワードと一致するように変更したり、場合によってはローカルパスワードをIdPパスワードと一致するように自動的に変更したりすることができます。

Passport ログインウィンドウでのパスワードのリセット

  • ユーザーがローカルログインウィンドウのPassportログインウィンドウでIdPパスワードを3回間違えて入力すると、パスワードリセットURLのリンクが表示されます(パスワードリセットURLがPassportライブラリアイテムのログインウィンドウ設定で構成されている場合)。

Kandji Menuアプリでのパスワードリセット

  • ユーザーは、Kandjiメニューバーの歯車アイコンの中にある[パスワードのリセット]オプションを使用してIdPパスワードを変更できます。Passportライブラリアイテムで指定されたパスポートリセットURLに転送されます。

  • Kandjiメニューバーに [パスワードのリセット]オプションを表示するには、ユーザーは完全なメールアドレスでログインする必要があります。

     I6fpndwZWAu7RVuzqq1k9x3KSaP_ULpk0A

ID プロバイダーとのパスワード同期

[ユーザーパスワードの保存] が [パスワードを安全に保存] に設定されている場合、Passport はユーザーのローカルパスワードを自動的に提供して、パスワードの同期をサポートします。詳細については 、ここをクリックしてください

  • ユーザがMacからログアウトし、IdPでパスワードを変更してから、Passportのログインウインドウで新しいIdP資格情報を提供すると、PassportはローカルパスワードをIdPパスワードと一致するように自動的にアップデートします。

  • ユーザーがすでにログインしていて、IdPでパスワードを変更した場合、Passportは5分以内にローカルパスワードを更新するように求め、ユーザーはローカルパスワードを入力する必要はありません。PassportのIdPパスワードを入力するだけで、ローカルパスワードをIdPパスワードと一致するように変更できます。
     rW6SZbnn1XNDJ6GjN9152IPRkY86uv8Njg

  • [ユーザーパスワードを保存する] が [パスワードを保存しない] に設定されている場合、Passport は、ユーザーがパスワードを同期するためのユーザーのローカルパスワードを自動的に提供しません。詳細については 、ここをクリックしてください

    • ユーザがMacからログアウトし、IdPでパスワードを変更してから、Passportのログインウインドウで新しいIdP資格情報を提供すると、Passportはユーザにローカルパスワードの入力を求め、PassportはローカルパスワードをIdPパスワードと一致するように変更するように求めます。

  • ユーザーがすでにログインしていて、IdPでパスワードを変更した場合、Passportは5分以内にパスワードを更新するように求めます。ユーザーは、ローカルパスワードをIdPパスワードと一致するように変更するために、PassportのローカルパスワードとIdPパスワードの両方を入力する必要があります。

     I6fpndwZWAu7RVuzqq1k9x3KSaP_ULpk0A

  • ユーザが新しいIdPパスワードを使用してMacにログインし、ローカルパスワードがIdPパスワードと一致しない場合、Passportはユーザに古いローカルパスワードの入力を求めます。[ ユーザーパスワードの保存 ] が [ パスワードを保存しない] に設定されている場合、ユーザーは両方のパスワードを入力する必要があります。

Okta とのパスワード同期

Oktaを使用している場合は、Passport OIDCアプリケーションで[Refresh Token]オプションを無効にします。そうしないと、PassportはMacにログインしている間にユーザーにパスワードの更新を促しません。Passportライブラリアイテムで[パスワードを保存しない]を選択した場合のみ、Oktaでリフレッシュトークンを有効にすることで、ユーザーがログイン中に繰り返し資格情報の入力を求められるのを防ぎます。

システム設定またはシステム環境設定でのパスワードの変更

さらに、制限ライブラリアイテムを使用して「 パスコードの変更を許可しない」を選択することで、Macでのパスワード変更を禁止することもできます。 vbsGhQti-2Lm39DG-3e3kqHZintYP47dJQ

「システム設定」(または「システム環境設定」)でユーザーがパスワードを変更するオプションは、すべて無効になります。

パスワードチェックの頻度

Passportは、ログインウィンドウからのオンラインログインごとに、または5分ごとにユーザーのパスワードを確認します。これらのチェックにより、ローカルアカウントのパスワードとユーザーの IdP パスワードが同じであることが確認されます。もし一致しない場合、ユーザーは IdP パスワードを入力するように求められます。

Passportとパスコードの競合

Passport を使用する場合は、Passport を含む Blueprint からパスコードライブラリアイテムを削除することを強くお勧めします。IdPがパスワード要件を処理する必要があります。詳細については 、ここをクリックしてください

パスコードプロファイルがIDPで定義された要件よりも高いパスワード要件を適用している場合、次のメッセージがPassport Login Windowでユーザーに表示されます。この問題を解決するには、Passport を含むブループリントからパスコード ライブラリ アイテムを削除します。