MacコンピュータをActive Directoryと統合する
Windows 2000(またはそれ以降)サーバのActive Directoryドメイン内にある基本ユーザアカウント情報にアクセスするようにMacを設定できます。Active Directoryコネクタは、ディレクトリユーティリティの「サービス」パネルに一覧表示され、macOS認証に必要なすべての属性をActive Directoryユーザアカウントの標準属性から生成します。コネクタは、パスワード変更、失効、強制変更、セキュリティオプションなどの、Active Directory認証ポリシーもサポートしています。これらの機能がコネクタでサポートされているため、基本的なユーザアカウント情報を入手するためにActive Directoryドメインのスキーマを変更する必要はありません。
注記: 明示的に「弱い暗号」を有効にしない限り、ドメイン機能レベルがWindows Server 2008以上でないActive DirectoryドメインにmacOSを参加させることはできません。すべてのドメインのドメイン機能レベルが2008以上の場合でも、Kerberos AES暗号化を使用するには、管理者が各ドメインの信頼を明示的に指定する必要がある場合があります。
MacがDNSを使用してActive Directoryドメインを問い合わせる方法
macOSはDNS(Domain Name System)を使用してオンプレミスのActive Directoryドメインのトポロジを問い合わせます。これは、認証にはKerberos、ユーザとグループの解決にはLDAPv3(Lightweight Directory Access Protocol)を使用します。
macOSを完全にActive Directoryと統合すると、ユーザは以下のようになります:
組織のドメインパスワードポリシーに従う
同じ資格情報を使用して、セキュリティ保護されたリソースの認証と承認を取得する
Active Directory証明書サービスサーバからユーザおよびマシンの証明書IDを発行できる
自動的にDistributed File System(DFS)名前空間をスキャンして、基になる適切なServer Message Block(SMB)サーバをマウントできる。
バインドなしでDFSに接続する方法について詳しくは、下の「Distributed File System名前空間への対応」を参照してください。
モバイルデバイス管理(MDM)ソリューションでディレクトリペイロードを使用して、これらの設定を実行してからそのペイロードを組織内のすべてのMacコンピュータにプッシュすることもできます。詳しくは、「ディレクトリMDMペイロードの設定」を参照してください。
Macクライアントは、ディレクトリに追加された属性への完全な読み出しアクセス権を持っているものと見なします。そのため、これらの追加される属性を読み取ることをコンピュータグループに許可するために、これらの属性のアクセス制御リスト(ACL)の変更が必要になる場合があります。
ドメインパスワードポリシー
バインド時に(およびその後定期的に)、macOSはActive Directoryドメインでパスワードポリシーをクエリーします。このポリシーは、Mac上のすべてのネットワークアカウントとモバイルアカウントに適用されます。
ネットワークアカウントが使用できるときにログインしようとすると、macOSはActive Directoryをクエリーして、パスワードの変更が必要になるまでの時間の長さを判別します。デフォルトでは、14日以内にパスワードの変更が必要になった場合、ユーザはログインウインドウでパスワードを変更するように求められます。ユーザがパスワードを変更した場合、その変更はActive Directoryとモバイルアカウントで行われ(モバイルアカウントが構成されている場合)、ログインキーチェーンパスワードがアップデートされます。ユーザがパスワードの要求に応じない場合は、有効期限が切れる前日までログインウインドウにユーザへの要求が表示されます。引き続きログインするには、24時間以内にパスワードを変更する必要があります。macOS管理者は、コマンドラインにdefaults write /ライブラリ/Preferences/com.apple.loginwindow PasswordExpirationDays -int <number of days>
と入力することで、ログインウインドウのデフォルトの有効期限通知を変更できます。
注記: macOSは、Active Directoryのパスワード設定オブジェクト(PSO)を使用した詳細なパスワードポリシーに対応していません。パスワードの有効期限を計算するときにはデフォルトのドメインポリシーのみが使用されます。
Distributed File System名前空間のサポート
MacがActive Directoryにバインドされている場合、macOSはDistributed File System(DFS)名前空間のスキャンに対応しています。Active DirectoryにバインドされているMacは、DNSとActive Directoryドメイン内のドメインコントローラに問い合わせて、特定の名前空間の適切なサーバメッセージブロック(SMB)サーバを自動的に解決します。
Finderの「サーバへ接続」機能を使用して、DFS名前空間の完全修飾ドメイン名(FQDN)を指定することができます。DFS名前空間には、ネットワークファイルシステムをマウントするDFSルートが含まれます。Macで、デスクトップをクリックしてFinderを開き、「移動」メニューの「サーバへ接続」を選択してから、smb://resources.betterbag.com/DFSrootと入力します。
macOSは使用可能なKerberosチケットを使用して、基となるサーバメッセージブロック(SMB)サーバとパスをマウントします。Active Directoryの構成によっては、ネットワークインターフェイスのDNS構成で「検索ドメイン」フィールドにActive Directoryの完全修飾ドメイン名を入力しなければならない場合があります。
ヒント: DFS環境が参照時に完全修飾ドメイン名を使用するように構成されている場合は、Active DirectoryにバインドしなくてもDNS共有にアクセスして横断することができます。Macが該当するサーバのホスト名を解決できる限り、Macをディレクトリにバインドする必要なく接続が成功します。