この記事を読んだほうが良い人
- MDMを導入したいが、コストや社内承認が通らずに詰まっている
- Macのローカルアカウント管理が属人化していて、退職者対応が怖い
- Google Workspaceをすでに使っているのに、MacのIdPとして使えていない
- 50〜200名規模でコーポレートITの整備を始めたフェーズにいる 「MDMは入れたい、でも今期の予算も調整工数もない」——そういう状況で、Macのアカウント管理をどう動かすか。実は Google Workspace(以下GWS)をLDAP認証のIdP(Identity Provider、認証の起点となるサービス)として使う という選択肢があります。MDMなしでも、GWSアカウントでMacにサインインできるようになります。
背景
100名規模のスタートアップで、Macはそれぞれローカルアカウントでサインインしていました。退職者が出るたびにデバイスを手元に返却してもらい、手動でアカウントを削除する運用です。MDM導入の予算と社内調整が追いつかない中、Google Workspaceの「セキュアLDAP」機能を試したところ、現在も100名規模でそのまま運用中です。
やったこと
前提環境
- Google Workspace: Business Plus以上のプラン(Business Starter・Business Standardは対象外。対応エディションの最新情報はGoogle Workspace管理コンソールのヘルプで確認のこと)
- Mac: macOS Ventura / Sonoma(Directory Utilityが標準搭載)
- MDM: なし(これが前提)
Step 1: Google WorkspaceでセキュアLDAPクライアントを追加する
GWSの管理コンソール(admin.google.com)で操作します。
- 管理コンソール → アプリ → LDAP を開く
- 「クライアントを追加」をクリック
- クライアント名(例:
mac-ldap)を入力して「続行」 - アクセス権限を設定する - ディレクトリ情報の読み取り:全組織部門のユーザー情報を読み取るにチェック - 認証:すべてのユーザーが自分のLDAP認証に使用を許可するにチェック
- 「追加」をクリックすると 証明書(.p12ファイル) がダウンロードされる
- 証明書を安全な場所に保存し、アクセス認証情報(ユーザー名・パスワード) を控える
この証明書とアクセス認証情報が、Mac側の設定で必要になります。
Step 2: MacのDirectory UtilityでLDAP接続を設定する
各MacのDirectory Utilityを開いて設定します。台数が少ないうちは手動でも十分ですが、増えてきたら dsimport コマンドや Shell スクリプトでの自動化が現実的です。
- アプリケーション → ユーティリティ → Directory Utility を開く
- 左下の南京錠をクリックして管理者認証を通す
- サービス タブ → LDAPv3 を選択 → 編集(鉛筆)アイコンをクリック
- 「+」ボタンで新規サーバを追加
- サーバアドレス:
ldap.google.com- SSL使用: オン - ポート:636 - 追加後、作成されたエントリを選択して「詳細オプション...」へ進む
- 「証明書」タブで、Step 1でダウンロードした .p12 ファイルをインポートする
- 「検索とマッピング」タブで属性をマッピングする
GWSのLDAPはRFC 2307(POSIXアカウント情報をLDAPで扱うための標準仕様)に準拠しているため、以下のマッピングで動きます。
| macOS属性 | LDAPマッピング |
|---|---|
| RecordName | uid |
| RealName | cn |
| UniqueID | uidNumber |
| PrimaryGroupID | gidNumber |
| NFSHomeDirectory | homeDirectory |
| Password | userPassword |
- 「セキュリティ」タブでバインドDN(LDAPサーバーへの接続に使うアカウント識別子)とパスワードを入力する
- バインドDN:
cn=USERNAME,ou=users,dc=YOURDOMAIN,dc=com(Step 1のユーザー名部分を置き換える) - パスワード: Step 1のアクセス認証情報のパスワード - OKで保存してDirectory Utilityを閉じる
これでMacのログイン画面に「その他...」が表示され、GWSアカウントでサインインできるようになります。
ハマったポイント:GWSでパスワードを変更するとMacにサインインできなくなる
これが一番やっかいな落とし穴でした。
ユーザーがGoogleアカウントのパスワードを変更すると、Macにキャッシュされた認証情報が古くなり、次のログイン時に認証が通らなくなります。ログイン画面で新しいパスワードを入力しても「パスワードが間違っています」と弾かれる状態です。ローカルキャッシュと実際のGWSパスワードが乖離しているためです。
解決策
Macをオンライン状態(Wi-Fiに繋がった状態)にしたうえで、ログイン画面に 新しいGWSパスワード を入力します。オフラインキャッシュではなくセキュアLDAPサーバーに直接問い合わせに行くため、新パスワードで認証が通ります。
つまり「パスワード変更後は必ずオンラインでサインインしてキャッシュを更新する」というルールの徹底が必要です。これを知らずに「Macにサインインできなくなった」と問い合わせが来たとき、正直焦りました。今は入社時のオンボーディング資料に一文追加しています。
Googleアカウントのパスワードを変更したら、次のMacサインインはWi-Fiが繋がった状態で行うこと
結果と学び
100名規模で現在も運用中です。MDMなしでも、以下のことができるようになりました。
- 退職者のGWSアカウントを停止 → オフラインキャッシュが切れた時点でMacへのサインインが不可になる
- 新入社員にGWSアカウントを発行するだけで、Macへのサインイン準備が整う
- ローカルアカウントのパスワード管理からほぼ解放される
一方で、制限事項もあります。
- MDMではないので、設定配布・リモートワイプはできない
- オフライン環境ではキャッシュ認証になるため、退職者がオフラインのMacに入れてしまうリスクがゼロではない。macOSのDirectory Serviceキャッシュは条件によっては数週間保持されることがあるため、退職直後にオフラインのMacを使われると、その間はサインインできてしまう可能性がある
- パスワード変更後のオンラインサインインをユーザーに徹底させる必要がある
これらはMDMを入れれば解決することばかりです。あくまで「MDMを入れるまでの繋ぎ」または「MDMを入れられないフェーズの最低ライン」として捉えるのが正直なところです。
ただ、「MDMがないから何もできない」という状態と、「GWSのIdPだけでも整えてある」状態では、退職者対応やアカウント管理の負荷がまったく違います。MDMの導入が数ヶ月先になるなら、まずIdPだけでも動かす——その判断を早くするほど、現場の運用コストが下がります。
コーポレートITのご相談はお気軽にどうぞ。Google Workspaceを軸にした情報システム設計・運用支援を行っています。
https://drasenas.com
御社の IT 部門、ここにあります。
「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。