かつて存在したMacの認証の制約
企業のIT環境において、認証基盤の重要性は年々高まっています。Microsoft 365やGoogle Workspaceをはじめとするクラウドサービスの普及に伴い、現在はMicrosoft Entra IDやOktaといったIdPを中心とした運用が広く採用されるようになりました。
これらの認証基盤を利用することで、利用者は会社のアカウントで一度サインインするだけで、Microsoft 365やBox、Salesforce、Slackなどの各種クラウドサービスにアクセスできるようになります。パスワードをサービスごとに管理する必要がなくなり、多要素認証やアクセス制御も一元的に適用できるため、セキュリティと運用効率の両面で大きなメリットがあります。
またWindowsでは、こうしたクラウド認証に加えて、業務端末そのもののログインも認証基盤と連携する運用が一般的になっており、ユーザは会社アカウントでWindowsにサインインし、そのまま各種業務サービスへシームレスにアクセスできます。
そのため、Macについても「同じように端末ログインとクラウド認証を統合できるのか」という点は、導入検討時によく挙がる論点の1つです。従来のMacでもクラウドサービスへのSSOは利用できましたが、端末へのログインはローカルアカウント中心で運用されるケースが多く、両者が完全に結び付いているわけではありませんでした。
Platform SSOによる認証連携の仕組み
こうしたMacの認証体験を大きく前進させたのが、2022年10月にリリースされたmacOS Ventura以降のOSに実装されている「Platform SSO(Platform Single Sign-On)」です。これは企業が利用するIdPとmacOSの認証を連携させるための仕組みで、従来分かれていた「Macへのログイン」と「クラウドサービスへのサインイン」を同じ企業アカウントで実現するものです。これにより、ユーザは一度の認証でmacOSへのログインと各種クラウドサービスへのアクセスが可能になります。


【URL】https://support.apple.com/ja-jp/guide/deployment/dep7bbb05313/web

Platform SSOの詳細なセットアップ方法はここでは割愛しますが、導入の流れは比較的シンプルです。管理者は利用するIdPやMDMで認証方式や連携設定を構成し、その内容を含む構成プロファイルをMDM経由でMacへ配布します。その後、利用者が企業アカウントで認証するとその情報をもとにMac上のローカルユーザアカウントが作成される、もしくは既存のローカルアカウントと関連付けられます。これにより、Macへのログインと企業の認証基盤が連動した状態で利用できるようになります。
Macへログインする際の認証方式としてはパスワード認証のほかに、Secure Enclave認証(AppleシリコンやT2チップに搭載されたセキュアな領域に秘密鍵を保存し、Touch IDなどの生体認証と組み合わせて利用する方式)、スマートカード認証(ICカードや社員証などの物理デバイスを用いて認証を行う方式)などを選択することができます。このうち、Appleが推奨しているのがSecure Enclave認証で、この方式を採用するとMacのローカルアカウントとIdPのパスワードを同期させる必要がなく、Touch IDなどを利用したパスワードレス運用を実現することが可能です。
Platform SSOは発表当初こそ対応するIdPが限られていたものの、現在はMicrosoft Entra IDとOktaが対応しています。いずれもSecure Enclaveを利用したパスワードレス認証をサポートしているほか、導入方法や運用方法に関する詳細なドキュメントを公開しており、実運用に向けた環境が整っています。
なお、Platform SSOは、Macへのログインとクラウドサービスへの認証を柔軟に組み合わせられる点も特徴です。必ずしも両者を完全に統合する必要はなく、Macへのログインは従来通りローカルアカウントやパスワードで行いながら、IdPへの認証のみをSecure Enclaveを利用した方式へ移行することもできます。

【URL】https://learn.microsoft.com/ja-jp/intune/device-configuration/settings-catalog/configure-platform-sso-macos?tabs=secure-enclave

【URL】https://help.okta.com/oie/ja-jp/content/topics/oda/macos-pw-sync/about-psso.htm
WWDC26でのPlatform SSOアップデート
このようにPlatform SSOによって、現在のMacは企業の認証基盤とシームレスに連携できる環境をすでに実現しています。「Macはローカルアカウントで利用するもの」「認証周りの運用が煩雑になりそう」といったイメージを持っているならば、それはすでに過去のものになっています。
AppleはWWDC22でPlatform SSOを発表した際、この仕組みを「ADバインドを置き換えるもの」と説明しました。認証基盤がクラウドIdPに移行する以前、Macは標準機能の「Active Directoryプラグイン」を利用することでActive Directory(AD)へバインドすることが可能でした。しかし、運用にトラブルが生じることがあったことからAppleはクラウドIdP時代にはこの方法ではなく、「シングルサインオン機能拡張」の利用を推奨。その発展形としてPlatform SSOも用意することで、クラウド時代の認証基盤の中でMacを自然に利用できる環境を整えてきたのです。
そしてAppleは、Platform SSOを段階的に拡張しながら、認証体験そのものの強化を続けています。2026年6月に開催された「WWDC26」では、今秋リリース予定のmacOS 27「Golden Gate」で利用可能となる新機能が多数発表されました。その中でまず注目すべきは、画面ロック解除時やFileVault解除時においてもTouch IDによる認証を必須化できるようになる点です。これにより、ログイン後の重要な操作時においても、統一された認証ポリシーを適用できるようになります。
さらに、新たに「Platform SSO for MFA」が追加されることで、多要素認証(MFA)や条件付きアクセスとの連携も大幅に強化されます。これまではMacへのログイン後にアプリやブラウザ上で実施していたワンタイムコードやプッシュ通知による認証を、Macのログイン画面やロック解除画面でそのまま実行できるようになります。これにより、Microsoft Entra IDやOktaなどIdPが提供する認証ポリシーをデバイスへのサインイン時から適用でき、Macのログインとクラウドサービスの認証をより統一的に管理できるようになります。
加えて、Webベースの認証方式にも対応し、IdPが提供するパスワードレス認証やQRコード認証など、多様な認証フローをMacのログイン画面へ統合することも可能になります。こうした機能強化によって、Macの認証体験はより柔軟かつ一貫性の高いものへと進化し、企業におけるゼロトラストを前提とした認証運用も実現しやすくなるでしょう。

【URL】https://developer.apple.com/jp/videos/play/wwdc2026/206/
