パスワードの同期

Jamf Connect ドキュメント
Solution
Application
Jamf Connect
Content Type
テクニカル資料
Utilities & Services
ft:locale
ja-JP

Self Service+ (旧 Jamf Connect メニューバー App) は、ユーザのローカルパスワードとネットワークパスワードを同期できます。Self Service+ がクラウドアイデンティティプロバイダ (IdP) の最小認証設定で構成されている場合は、デフォルトで次のことを行います。

  • 継続的なパスワード検証

    ユーザのネットワークパスワードとローカルパスワードの同期確認を 60 分間隔で行います。

  • パスワードの同期

    ローカルパスワードとネットワークパスワードが一致していない場合、ユーザにローカルパスワードの変更を求めます。

    新しいパスワードが (MDM パスコード構成などを介して) macOS で強制される要件を満たしていないためにユーザのパスワード同期が失敗した場合、ユーザには、パスワードが満たすべき要件のリストが表示されます。

  • ネットワークパスワード変更の管理

    パスワードの有効期限が切れたときに、ネットワークパスワードの変更を行います。Self Service+ は、クラウド IdP のパスワード変更 URL の Web ビューを開くことにより、この変更を完了します。Kerberos を使用する場合は、パスワードの変更は直接 Self Service+ UI で完了します。

  • パスワード有効期限の警告Self Service+ は、パスワードの有効期限までの日数を UI に表示することができます。また、通知が許可されていれば、パスワードが同期されていないときにエンドユーザに通知することもできます。
注:

  • デフォルトおよび推奨されるパスワードの変更とリセットの URL の詳細については、メニューバー認証設定パスワード変更 URL (ChangePasswordURL) およびパスワードリセット URL (ResetPasswordURL) 環境設定を参照してください。

  • Microsoft Entra ID でプラットフォーム SSO を使用する場合は、パスワード同期の失敗を回避するために、展開前に構成プロファイルにカスタムの許可リスト設定を追加する必要があります。許可リストには com.jamf.managementcom.jamf.selfserviceplus を含める必要があります。詳しくは、プラットフォームシングルサインオン構成プロファイルの展開 を参照してください。

Self Service+ を使用してパスワードの同期をする際には、以下の点に注意してください。

  • ユーザが System Preferences (システム環境設定) > Notifications (通知) で通知を許可しない限り、Self Service+ の通知を表示することはできません。Mac 管理者は、通知プロファイルを使用して Self Service+ の通知を有効にすることもできます。Jamf Pro を使用している場合、Jamf Pro > 設定 > コンピュータ管理 > セキュリティに移動し、Jamf 通知プロファイルを自動的にインストールする設定を構成して、通知をリモートで有効にすることができます。 

  • Self Service+ を使用せずにネットワークアカウントのパスワードを変更すると (所属する組織の IdP のウェブページからパスワードを変更した場合など)、Self Service+ がチェックイン (デフォルトでは 60 分ごと) してユーザにパスワードを更新するように促すプロンプトが表示されるまで、以前に使用していたネットワークパスワードがローカルパスワードとして残留します。ユーザは、ネットワークアカウントのパスワードのアップデートを完了するまで、60分ごとに通知を受け取ります。

  • パスワードを同期させるために、ユーザは古いパスワードを知っている必要があります。ユーザが Self Service+ を使用せずにパスワードをアップデートし、古いパスワード (以前に使用していたネットワークのパスワード) を思い出せない場合は、管理者としてログインし、Apple サポートウェブサイトの Mac のログインパスワードを忘れた場合を参照してください。

  • パスワード同期ブロックリスト (PasswordSyncBlockList) 設定を使用して、特定のローカルアカウントのパスワード同期を無効にすることができます。これにより、パスワードの同期を行わないローカル macOS アカウント (通常は管理者アカウント) のリストを指定できるようになります。詳しくは、Password Policy Settings (パスワードポリシーの設定) を参照してください。

  • Self Service+ は、クラウド IdP やActive Directory から検出されたパスワードポリシーを自動的に使用します。Self Service+パスワードポリシー (PolicyRequirements) の設定、または MDM ソリューションでのパスコードの制限を構成している場合、構成したポリシーが所属する組織の IdP パスワードポリシーに適合すること、およびパスワード変更エラーを回避するための制限が少ないことを確認してください。
    警告:

    競合に関するパスワードポリシーによりコンピュータからユーザがロックアウトされないようにするために、次回の認証時に変更 (macOS 10.13以降) (changeAtNextAuth) 設定を MDM ソリューションのパスコードペイロードで利用可能にしないでください。代わりに、ユーザパスワードを失効するために IdP のパスワードポリシーを利用して、パスワードの変更を管理するために Self Service+ を使用するようにしてください。

ログインウィンドウやアカウント作成時にパスワード同期を行うには、追加の Self Service+ 設定を構成する必要があります。ログインウィンドウでのパスワードの同期については、初期ローカルパスワード作成 を参照してください。