Workspace ONE UEM 管理対象デバイスでモバイル SSO(Apple 版)認証方法を使用するには、Workspace ONE UEM Console で、SCEP または CA 証明書と Apple シングル サインオン拡張機能を使用して Apple iOS デバイス プロファイルを構成し、プロファイルをスマート グループに割り当てます。プロファイルには、Workspace ONE Access ID プロバイダとの接続を確立するためにデバイスに必要な情報と、認証に必要な証明書が含まれています。

Apple iOS プロファイルには設定、構成、およびデバイス上で強制したい制限事項が含まれます。プロファイルの詳細については、Workspace ONE UEM ドキュメントのランディング ページの「iOS デバイスの管理の概要」ガイドを参照してください。

Workspace ONE UEM で Apple デバイス プロファイルを構成する方法

Workspace ONE UEM デバイス プロファイルは、デバイスの管理に使用されます。プロファイルには設定、構成、およびデバイス上で強制したい制限事項が含まれます。管理対象 Apple iOS デバイスへの SSO に Workspace ONE Access モバイル SSO(Apple 版)認証方法を使用するには、SCEP または認証情報証明書と Apple シングル サインオン拡張機能を使用して Apple iOS プロファイルを作成します。

  • [SCEP]Workspace ONE UEM は、iOS および macOS デバイスの SCEP(簡易証明書登録プロトコル)をサポートします。この統合には、キー ペアの使用と、SCEP エンドポイントからデバイスへの署名付き証明書を生成する証明書署名リクエスト (CSR) の送信が含まれます。SCEP の詳細については、「Workspace ONE 認証局の統合 SCEP」の記事を参照してください。
  • [認証情報]:認証情報は、証明書の名前付きサブジェクトによってパブリック キーの所有権を認定するサードパーティによって発行される認証局 (CA) です。Workspace ONE UEM の「認証局の統合」の記事を参照してください。

デバイス プロファイルで Apple シングル サインオン拡張機能を有効にすると、ユーザーは、認証情報を再入力することなくアプリケーションや Web サイトにシングル サインオンできます。Apple SSO 拡張機能は、ユーザーの認証を処理します。ユーザーが Apple iOS デバイスを Workspace ONE UEM MDM に登録すると、拡張機能プロファイルがアプリケーション インストーラに追加され、証明書が Apple デバイスのローカル証明書ストアにコピーされます。その後、クライアントはシングル サインオンの証明書を使用して認証できます。

Apple SSO 拡張機能で認証できるアプリケーション名を一覧表示することもできます。

  1. Workspace ONE UEM Console で目的の組織グループを選択し、[リソース] > [プロファイル] の順に移動します。
  2. [追加] > [プロファイルの追加] をクリックし、[iOS Apple iOS] > [デバイス プロファイル] を選択します。
  3. プロファイル名を設定します。
  4. [認証情報] または [SCEP] セクションのいずれかを選択し、証明書情報を構成します。

    [SCEP 証明書を構成する]

    [追加] をクリックします。
    認証情報ソース ソースは [定義済み認証局] です。
    認証局 証明書を選択します。使用できる証明書がない場合は、[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [認証局] の順に移動し、プロンプトに従って証明書を追加します。
    証明書テンプレート 証明書テンプレートを選択します。使用できる証明書テンプレートがない場合は、[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [認証局] > [要求テンプレート] の順に移動し、プロンプトに従って証明書テンプレートを追加します。

    または

    [サードパーティ証明書の認証情報を構成する]

    [追加] をクリックします。
    認証情報ソース ソースの [アップロード] を選択します。
    認証情報名 証明書がアップロードされると、認証情報名が自動的に入力されます。
    証明書 アップロードする証明書ファイルを選択します。

  5. [SSO 拡張機能] を構成して、各アプリケーションへの認証を必要とせずに Workspace ONE Intelligent Hub アプリケーションへのシングル サインオンを有効にします。

    [+追加] をクリックします。
    機能拡張タイプ [WS1 Access] を選択します。
    拡張機能識別子 この値には、Workspace ONE Access 識別子が入力されます。
    タイプ この値には、[認証情報] 値が入力されます。
    追加設定 - 許可済みのバンドル ID SSO 拡張機能を特定のアプリケーション バンドル ID に制限する場合は、[追加] をクリックして、アプリケーション バンドル ID を入力します。
  6. [割り当て] ページで、プロファイルを [スマート グループ] に割り当てます。[割り当てタイプ] を [自動] に設定し、[削除を許可] を [なし] に設定します。
  7. [保存して公開] を選択します。