Comparteix a través de


Configuración del inicio de sesión único de plataforma para dispositivos macOS en Microsoft Intune

En los dispositivos macOS, puede configurar Platform SSO para habilitar el inicio de sesión único (SSO) mediante la autenticación sin contraseña, Microsoft Entra ID cuentas de usuario o tarjetas inteligentes. El inicio de sesión único de plataforma es una mejora del complemento de Inicio de sesión único de Microsoft Enterprise y la extensión de la aplicación sso. El inicio de sesión único de plataforma puede iniciar sesión en sus dispositivos Mac administrados mediante sus credenciales de Microsoft Entra ID y Touch ID.

Esta característica se aplica a:

  • macOS

El complemento Microsoft Enterprise SSO Microsoft Entra ID incluye dos características de SSO: Sso de plataforma y extensión de aplicación sso. Este artículo se centra en la configuración del inicio de sesión único de Platform con Microsoft Entra ID para dispositivos macOS (versión preliminar pública).

Algunas ventajas del inicio de sesión único de Platform incluyen:

  • Incluye la extensión de aplicación sso. No se configura la extensión de la aplicación sso por separado.
  • Vaya sin contraseña con credenciales resistentes a la suplantación de identidad que estén enlazadas por hardware al dispositivo Mac.
  • La experiencia de inicio de sesión es similar a iniciar sesión en un dispositivo Windows con una cuenta profesional o educativa, como hacen los usuarios con Windows Hello para empresas.
  • Ayuda a minimizar el número de veces que los usuarios necesitan escribir sus credenciales de Microsoft Entra ID.
  • Ayuda a reducir el número de contraseñas que los usuarios deben recordar.
  • Obtenga las ventajas de Microsoft Entra unión, lo que permite a cualquier usuario de la organización iniciar sesión en el dispositivo.
  • Se incluye con todos los planes de licencia de Microsoft Intune.

Cuando los dispositivos Mac se unen a un inquilino de Microsoft Entra ID, los dispositivos obtienen un certificado de unión al área de trabajo (WPJ) que está enlazado a hardware y solo es accesible mediante el complemento de inicio de sesión único de Microsoft Enterprise. Para acceder a los recursos protegidos mediante el acceso condicional, las aplicaciones y los exploradores web necesitan este certificado WPJ. Con platform SSO configurado, la extensión de aplicación sso actúa como agente para la autenticación Microsoft Entra ID y el acceso condicional.

El inicio de sesión único de plataforma se puede configurar mediante el catálogo de opciones. Cuando la directiva esté lista, asigne la directiva a los usuarios. Microsoft recomienda asignar la directiva cuando el usuario inscribe el dispositivo en Intune. Sin embargo, se puede asignar en cualquier momento, incluso en dispositivos existentes.

En este artículo se muestra cómo configurar el inicio de sesión único de Platform para dispositivos macOS en Intune.

Requisitos previos

Paso 1: Decidir el método de autenticación

Al crear la directiva de INICIO de sesión único de la plataforma en Intune, debe decidir el método de autenticación que desea usar.

La directiva de SSO de plataforma y el método de autenticación que usa cambian la forma en que los usuarios inician sesión en los dispositivos.

  • Al configurar el inicio de sesión único de platform, los usuarios inician sesión en sus dispositivos macOS con el método de autenticación que configure.
  • Cuando no usa el inicio de sesión único de Platform, los usuarios inician sesión en sus dispositivos macOS con una cuenta local. A continuación, inician sesión en aplicaciones y sitios web con sus Microsoft Entra ID.

En este paso, use la información para conocer las diferencias con los métodos de autenticación y cómo afectan a la experiencia de inicio de sesión del usuario.

Sugerencia

Microsoft recomienda usar Secure Enclave como método de autenticación al configurar el inicio de sesión único de platform.

Característica Enclave seguro Tarjeta inteligente Password
Sin contraseña (resistente a la suplantación de identidad)
TouchID compatible con el desbloqueo
Se puede usar como clave de paso
MFA obligatorio para la instalación

Siempre se recomienda la autenticación multifactor (MFA)
Contraseña de Mac local sincronizada con el id. de Entra
Compatible con macOS 13.x +
Compatible con macOS 14.x +
Opcionalmente, permita que los nuevos usuarios inicien sesión con credenciales de id. de entra (macOS 14.x +)

Enclave seguro

Al configurar Platform SSO con el método de autenticación Secure Enclave , el complemento sso usa claves criptográficas enlazadas por hardware. No usa las credenciales de Microsoft Entra para autenticar al usuario en aplicaciones y sitios web.

Para obtener más información sobre Secure Enclave, vaya a Enclave seguro (abre el sitio web de Apple).

Enclave seguro:

  • Se considera que no tiene contraseña y cumple los requisitos multifactor (MFA) resistentes a la phish. Conceptualmente es similar a Windows Hello para empresas. También puede usar las mismas características que Windows Hello para empresas, como el acceso condicional.
  • Deja el nombre de usuario y la contraseña de la cuenta local tal cual. Estos valores no se cambian.

    Nota:

    Este comportamiento es por diseño debido al cifrado de disco FileVault de Apple, que usa la contraseña local como clave de desbloqueo.

  • Después de reiniciar un dispositivo, los usuarios deben escribir la contraseña de la cuenta local. Después de desbloquear esta máquina inicial, touch ID se puede usar para desbloquear el dispositivo.
  • Después del desbloqueo, el dispositivo obtiene el token de actualización principal (PRT) respaldado por hardware para el inicio de sesión único en todo el dispositivo.
  • En los exploradores web, esta clave PRT se puede usar como clave de paso mediante las API de WebAuthN.
  • Su configuración se puede arrancar con una aplicación de autenticación para la autenticación MFA o el paso de acceso temporal (TAP) de Microsoft.
  • Permite la creación y el uso de Microsoft Entra ID passkeys.

Password

Al configurar platform sso con el método de autenticación de contraseña, los usuarios inician sesión en el dispositivo con su cuenta de usuario Microsoft Entra ID en lugar de su contraseña de cuenta local.

Esta opción habilita el inicio de sesión único en todas las aplicaciones que usan Microsoft Entra ID para la autenticación.

Con el método de autenticación de contraseña :

  • La contraseña de Microsoft Entra ID reemplaza la contraseña de la cuenta local y las dos contraseñas se mantienen sincronizadas.

    Nota:

    La contraseña del equipo de la cuenta local no se ha quitado completamente del dispositivo. Este comportamiento es por diseño debido al cifrado de disco FileVault de Apple, que usa la contraseña local como clave de desbloqueo.

  • El nombre de usuario de la cuenta local no cambia y permanece tal cual.

  • Los usuarios finales pueden usar Touch ID para iniciar sesión en el dispositivo.

  • Hay menos contraseñas para que los usuarios y administradores recuerden y administren.

  • Los usuarios deben escribir su contraseña de Microsoft Entra ID después de reiniciar un dispositivo. Después de desbloquear esta máquina inicial, Touch ID puede desbloquear el dispositivo.

  • Después del desbloqueo, el dispositivo obtiene la credencial de token de actualización principal (PRT) enlazada por hardware para Microsoft Entra ID sso.

Nota:

Cualquier directiva de contraseña de Intune que configure también afecta a esta configuración. Por ejemplo, si tiene una directiva de contraseñas que bloquea contraseñas sencillas, las contraseñas simples también se bloquean para esta configuración.

Asegúrese de que la directiva de contraseñas de Intune o la directiva de cumplimiento coincidan con la directiva de contraseña de Microsoft Entra. Si las directivas no coinciden, es posible que la contraseña no se sincronice y se deniegue el acceso a los usuarios finales.

Tarjeta inteligente

Al configurar platform sso con el método de autenticación de tarjeta inteligente , los usuarios pueden usar el certificado de tarjeta inteligente y el PIN asociado para iniciar sesión en el dispositivo y autenticarse en aplicaciones y sitios web.

Esta opción:

  • Se considera sin contraseña.
  • Deja el nombre de usuario y la contraseña de la cuenta local tal cual. Estos valores no se cambian.

Para obtener más información, vaya a Microsoft Entra autenticación basada en certificados en iOS y macOS.

Configuración de la recuperación de KeyVault (opcional)

Al usar la autenticación de sincronización de contraseñas, puede habilitar la recuperación de keyvault para asegurarse de que los datos se pueden recuperar en caso de que un usuario olvide su contraseña. Los administradores de TI deben revisar la documentación de Apple y evaluar si el uso de claves de recuperación institucionales de FileVault es una buena opción para ellos.

Paso 2: Creación de la directiva de SSO de plataforma en Intune

Para configurar la directiva de SSO de plataforma, siga estos pasos para crear una directiva de catálogo de configuración de Intune. El complemento Microsoft Enterprise SSO requiere la configuración que se muestra.

Cree la directiva:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>Administrar dispositivos>Configuración>Crear>Nueva directiva.

  3. Escriba las propiedades siguientes:

    • Plataforma: seleccione macOS.
    • Tipo de perfil: seleccione Catálogo de configuración.
  4. Seleccione Crear.

  5. En Básico, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, asigne un nombre a la directiva macOS - Platform SSO.
    • Descripción: escriba una descripción para la directiva. Esta configuración es opcional pero recomendada.
  6. Seleccione Siguiente.

  7. En Opciones de configuración, seleccione Agregar configuración. En el selector de configuración, expanda Autenticación y seleccione Extensible Inicio de sesión único (SSO):

    Captura de pantalla que muestra el selector de configuración del catálogo de configuración y la selección de la categoría autenticación y sso extensible en Microsoft Intune.

    En la lista, seleccione la siguiente configuración:

    • Método de autenticación (en desuso) (solo macOS 13)
    • Identificador de extensión
    • Expanda Sso de plataforma:
      • Seleccionar método de autenticación (macOS 14+)
      • Seleccionar asignación de token a usuario
      • Seleccione Usar claves de dispositivo compartido.
    • Token de registro
    • Comportamiento de pantalla bloqueada
    • Identificador de equipo
    • Tipo
    • Direcciones URL

    Cierre el selector de configuración.

    Sugerencia

    Hay más opciones de configuración del inicio de sesión único de plataforma que puede configurar en la directiva:

  8. Configure las siguientes opciones necesarias:

    Nombre Valor de configuración Descripción
    Método de autenticación (en desuso)
    (solo macOS 13)
    Contraseña o UserSecureEnclave Seleccione el método de autenticación de Sso de plataforma que eligió en Paso 1: Decidir el método de autenticación (en este artículo).

    Esta configuración solo se aplica a macOS 13. Para macOS 14.0 y versiones posteriores, use la configuraciónMétodo de autenticación de SSO> de plataforma.
    Identificador de extensión com.microsoft.CompanyPortalMac.ssoextension Copie y pegue este valor en la configuración.

    Este identificador es la extensión de aplicación sso que el perfil necesita para que el inicio de sesión único funcione.

    Los valores de Identificador de extensión e Identificador de equipo funcionan juntos.
    Inicio de sesión único> de plataformaMétodo
    de autenticación(macOS 14+)
    Contraseña, UserSecureEnclave o SmartCard Seleccione el método de autenticación de Sso de plataforma que eligió en Paso 1: Decidir el método de autenticación (en este artículo).

    Esta configuración se aplica a macOS 14 y versiones posteriores. Para macOS 13, use la configuración Método de autenticación (en desuso).
    Inicio de sesión único> de plataformaUso de claves
    de dispositivo compartido(macOS 14+)
    Enabled Cuando está habilitado, platform SSO usa las mismas claves de firma y cifrado para todos los usuarios del mismo dispositivo.

    Se pide a los usuarios que actualicen de macOS 13.x a 14.x que se registren de nuevo.
    Token de registro {{DEVICEREGISTRATION}} Copie y pegue este valor en la configuración. Debe incluir las llaves.

    Para más información sobre este token de registro, vaya a Configurar Microsoft Entra registro de dispositivos.

    Esta configuración requiere que también configure la AuthenticationMethod configuración.

    - Si solo usa dispositivos macOS 13, configure la opción Método de autenticación (en desuso ).
    - Si solo usa dispositivos macOS 14+ y versiones posteriores, configure la opciónPlatform SSO Authentication Method (Método de autenticación de SSO> de plataforma).
    - Si tiene una combinación de dispositivos macOS 13 y macOS 14+, configure ambas opciones de autenticación en el mismo perfil.
    Comportamiento de pantalla bloqueada No controlar Cuando se establece en No controlar, la solicitud continúa sin inicio de sesión único.
    Asignación de token a usuario>Nombre de la cuenta preferred_username Copie y pegue este valor en la configuración.

    Este token especifica que el valor del atributo Entra preferred_username se usa para el valor nombre de cuenta de la cuenta de macOS.
    Asignación de token a usuario>Nombre completo name Copie y pegue este valor en la configuración.

    Este token especifica que la notificación Entra name se usa para el valor nombre completo de la cuenta macOS.
    Identificador de equipo UBF8T346G9 Copie y pegue este valor en la configuración.

    Este identificador es el identificador de equipo de la extensión de aplicación de complemento enterprise SSO.
    Tipo Redirect
    Direcciones URL Copie y pegue todas las direcciones URL siguientes:

    https://login.microsoftonline.com
    https://login.microsoft.com
    https://sts.windows.net

    Si su entorno necesita permitir dominios de nube soberana, como Azure Government o Azure China 21Vianet, agregue también las siguientes direcciones URL:

    https://login.partner.microsoftonline.cn
    https://login.chinacloudapi.cn
    https://login.microsoftonline.us
    https://login-us.microsoftonline.com
    Estos prefijos de dirección URL son los proveedores de identidades que realizan extensiones de aplicación sso. Las direcciones URL son necesarias para las cargas de redireccionamiento y se omiten para las cargas de credenciales .

    Para obtener más información sobre estas direcciones URL, vaya al complemento sso de Microsoft Enterprise para dispositivos Apple.

    Importante

    Si tiene una combinación de dispositivos macOS 13 y macOS 14+ en su entorno, configure los valores de Platform SSO>Authentication Method y Authentication Method (Deprecated) en el mismo perfil.

    Cuando el perfil está listo, es similar al ejemplo siguiente:

    Captura de pantalla que muestra la configuración recomendada del inicio de sesión único de Platform en un perfil de MDM Intune.

  9. Seleccione Siguiente.

  10. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vaya a Uso de roles de RBAC y etiquetas de ámbito para TI distribuida.

    Seleccione Siguiente.

  11. En Asignaciones, seleccione los grupos de usuarios o dispositivos que reciben el perfil. Para dispositivos con afinidad de usuario, asigne a usuarios o grupos de usuarios. Para dispositivos con varios usuarios inscritos sin afinidad de usuario, asigne a dispositivos o grupos de dispositivos.

    Para obtener más información sobre la asignación de perfiles, vaya a Asignación de perfiles de usuario y dispositivo.

    Seleccione Siguiente.

  12. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

La siguiente vez que el dispositivo busca actualizaciones de configuración, se aplican los valores que configuró.

Paso 3: Implementación de la aplicación Portal de empresa para macOS

La aplicación Portal de empresa para macOS implementa e instala el complemento de inicio de sesión único de Microsoft Enterprise. Este complemento habilita el inicio de sesión único de Platform.

Con Intune, puede agregar la aplicación Portal de empresa e implementarla como una aplicación necesaria en los dispositivos macOS:

No hay ningún paso específico para configurar la aplicación para el inicio de sesión único de Platform. Solo tiene que asegurarse de que la aplicación de Portal de empresa más reciente se agrega a Intune e implementa en los dispositivos macOS.

Si tiene instalada una versión anterior de la aplicación Portal de empresa, se produce un error en el inicio de sesión único de platform.

Paso 4: Inscribir los dispositivos y aplicar las directivas

Para usar el inicio de sesión único de plataforma, los dispositivos deben estar inscritos en MDM en Intune mediante uno de los métodos siguientes:

  • En el caso de los dispositivos propiedad de la organización, puede:

  • Para dispositivos de propiedad personal, cree una directiva de inscripción de dispositivos. Con este método de inscripción, los usuarios finales abren la aplicación Portal de empresa e inician sesión con sus Microsoft Entra ID. Cuando inician sesión correctamente, se aplica la directiva de inscripción.

En el caso de los dispositivos nuevos, se recomienda crear previamente y configurar todas las directivas necesarias, incluida la directiva de inscripción. A continuación, cuando los dispositivos se inscriben en Intune, las directivas se aplican automáticamente.

Para los dispositivos existentes ya inscritos en Intune, asigne la directiva de SSO de plataforma a los usuarios o grupos de usuarios. La próxima vez que los dispositivos se sincronicen o activen con el servicio Intune, recibirán la configuración de directiva de SSO de plataforma que cree.

Paso 5: Registro del dispositivo

Cuando el dispositivo recibe la directiva, hay una notificación de registro necesaria que se muestra en el Centro de notificaciones.

Captura de pantalla que muestra el mensaje de registro necesario en los dispositivos de usuario final al configurar el inicio de sesión único de plataforma en Microsoft Intune.

  • Los usuarios finales seleccionan esta notificación, inician sesión en el complemento Microsoft Entra ID con su cuenta de organización y completan la autenticación multifactor (MFA), si es necesario.

    Nota:

    MFA es una característica de Microsoft Entra. Asegúrese de que MFA está habilitado en el inquilino. Para obtener más información, incluidos los demás requisitos de la aplicación, vaya a Microsoft Entra autenticación multifactor.

  • Cuando se autentican correctamente, el dispositivo se Microsoft Entra une a la organización y el certificado de unión al área de trabajo (WPJ) está enlazado al dispositivo.

En los artículos siguientes se muestra la experiencia del usuario, en función del método de inscripción:

Paso 6: Confirmar la configuración en el dispositivo

Cuando se complete el registro de Platform SSO, puede confirmar que el inicio de sesión único de Platform está configurado. Para ver los pasos, vaya a Microsoft Entra ID: Compruebe el estado del registro del dispositivo.

En Intune dispositivos inscritos, también puede ir a Configuración>Perfiles deprivacidad y seguridad>. El perfil de SSO de plataforma se muestra en com.apple.extensiblesso Profile. Seleccione el perfil para ver la configuración que configuró, incluidas las direcciones URL.

Para solucionar problemas de inicio de sesión único de plataforma, vaya a problemas conocidos de inicio de sesión único de macOS Platform y solución de problemas.

Paso 7: Anulación de la asignación de los perfiles de extensión de aplicación de SSO existentes

Después de confirmar que la directiva de catálogo de configuración funciona, anule la asignación de los perfiles de extensión de aplicación de SSO existentes creados con la plantilla características de dispositivo Intune.

Si mantiene ambas directivas, pueden producirse conflictos.

Aplicaciones que no son de Microsoft y configuración de la extensión de inicio de sesión único de Microsoft Enterprise

Si anteriormente usó la extensión de inicio de sesión único de Microsoft Enterprise o quiere habilitar el inicio de sesión único en aplicaciones que no son de Microsoft, agregue la configuración De datos de extensión a la directiva de catálogo de configuración de SSO de plataforma existente.

La configuración datos de extensión es un concepto similar a un campo de texto abierto; puede configurar los valores que necesite.

En esta sección, usamos la opción Datos de extensión para:

  • Configure los valores que usó en la directiva de Intune de extensión de inicio de sesión único de Microsoft Enterprise anterior.
  • Configure las opciones que permiten que las aplicaciones que no son de Microsoft usen el inicio de sesión único.

En esta sección se enumeran los valores mínimos recomendados que debe agregar. En la directiva anterior de extensión de inicio de sesión único de Microsoft Enterprise, es posible que haya configurado más opciones. Se recomienda agregar cualquier otra clave & configuración de par de valores que haya configurado en la directiva anterior de extensión de INICIO de sesión único de Microsoft Enterprise.

Recuerde que solo debe haber una directiva de SSO asignada a los grupos. Por lo tanto, si usa Platform SSO, debe configurar los valores de Platform SSO y Microsoft Enterprise SSO Extension en la directiva de catálogo de configuración de Platform SSO que creó en Step 2 - Create the Platform SSO policy in Intune (en este artículo).

Normalmente, se recomiendan las siguientes opciones para configurar la configuración del inicio de sesión único, incluida la configuración de la compatibilidad con SSO para aplicaciones que no son de Microsoft.

  1. En la directiva de catálogo de configuración de SSO de Platform existente, agregue Datos de extensión:

    1. En el centro de administración de Intune (Dispositivos>administrar laconfiguración de dispositivos>), seleccione la directiva de catálogo de configuración de SSO de plataforma existente.

    2. En Propiedades>Configuración, seleccione Editar>Agregar configuración.

    3. En el selector de configuración, expanda Autenticación y seleccione Extensible Inicio de sesión único (SSO):

      Captura de pantalla que muestra el selector de configuración del catálogo de configuración y la selección de la categoría autenticación y sso extensible en Microsoft Intune.

    4. En la lista, seleccione Datos de extensión y cierre el selector de configuración:

      Captura de pantalla que muestra el selector configuración del catálogo de configuración y seleccionando autenticación y datos de extensión en Microsoft Intune.

  2. En Datos de extensión, agregue las siguientes claves y valores:

    Key Tipo Valor Descripción
    AppPrefixAllowList Cadena com.microsoft.,com.apple. Copie y pegue este valor en la configuración.

    AppPrefixAllowList permite crear una lista de proveedores de aplicaciones con aplicaciones que pueden usar el inicio de sesión único. Puede agregar más proveedores de aplicaciones a esta lista según sea necesario.
    browser_sso_interaction_enabled Entero 1 Configura una configuración de agente recomendada.
    disable_explicit_app_prompt Entero 1 Configura una configuración de agente recomendada.

    En el ejemplo siguiente se muestra la configuración recomendada:

    Captura de pantalla que muestra cómo configurar la configuración de datos de extensión, como AppPrefixAllowList.

  3. Seleccione Siguiente para guardar los cambios y completar la directiva. Si la directiva ya está asignada a usuarios o grupos, estos grupos recibirán los cambios de directiva la próxima vez que se sincronicen con el servicio Intune.

Configuración de la experiencia del usuario final

Al crear el perfil de catálogo de configuración en Paso 2: Creación de la directiva de SSO de plataforma en Intune, hay más opciones opcionales que puede configurar.

La siguiente configuración le permite personalizar la experiencia del usuario final y proporcionar un control más pormenorizado sobre los privilegios de usuario. No se admite ninguna configuración de SSO de plataforma no documentada.

Configuración del inicio de sesión único de plataforma Posibles valores Uso
Nombre para mostrar de la cuenta Cualquier valor de cadena. Personalice el nombre de la organización que los usuarios finales ven en las notificaciones de SSO de plataforma.
Habilitación de la creación de un usuario al iniciar sesión Habilitar o deshabilitar. Permitir que cualquier usuario de la organización inicie sesión en el dispositivo con sus credenciales de Microsoft Entra. Al crear nuevas cuentas locales, el nombre de usuario y la contraseña proporcionados deben ser los mismos que el UPN (user@contoso.com) y la contraseña del usuario Microsoft Entra ID.
Nuevo modo de autorización de usuario Estándar, Administración o Grupos Permisos únicos que el usuario tiene al iniciar sesión cuando se crea la cuenta mediante el inicio de sesión único de Platform. Actualmente, se admiten los valores Estándar y Administración. Se requiere al menos un Administración usuario en el dispositivo para poder usar el modo Estándar.
Modo de autorización de usuario Estándar, Administración o Grupos Permisos persistentes que el usuario tiene al iniciar sesión cada vez que el usuario se autentica mediante el inicio de sesión único de Platform. Actualmente, se admiten los valores Estándar y Administración. Se requiere al menos un Administración usuario en el dispositivo para poder usar el modo Estándar.

Otros MDM

Puede configurar platform SSO con otros servicios de administración de dispositivos móviles (MDM), si esa MDM admite el inicio de sesión único de platform. Cuando use otro servicio MDM, siga estas instrucciones:

  • Las opciones enumeradas en este artículo son las opciones recomendadas por Microsoft que debe configurar. Puede copiar y pegar los valores de configuración de este artículo en la directiva de servicio MDM.

    Los pasos de configuración del servicio MDM pueden ser diferentes. Se recomienda trabajar con el proveedor de servicios MDM para configurar e implementar correctamente estas opciones de SSO de plataforma.

  • El registro de dispositivos con Platform SSO es más seguro y usa certificados de dispositivo enlazados a hardware. Estos cambios pueden afectar a algunos flujos de MDM, como la integración con asociados de cumplimiento de dispositivos.

    Debe comunicarse con el proveedor de servicios MDM para saber si mdm probó el inicio de sesión único de la plataforma, certificó que su software funciona correctamente con Platform SSO y está listo para admitir a los clientes con el inicio de sesión único de platform.

Errores frecuentes

Al configurar el inicio de sesión único de platform, es posible que vea los siguientes errores:

  • 10001: misconfiguration in the SSOe payload.

    Este error puede producirse si:

    • Hay una configuración necesaria que no está configurada en el perfil de catálogo de configuración.
    • Hay una configuración en el perfil de catálogo de configuración que configuró que no es aplicable a la carga del tipo de redireccionamiento.

    Las opciones de autenticación que se configuran en el perfil de catálogo de configuración son diferentes para dispositivos macOS 13.x y 14.x.

    Si tiene dispositivos macOS 13 y macOS 14 en su entorno, debe crear una directiva de catálogo de configuración y configurar sus respectivas opciones de autenticación en la misma directiva. Esta información se documenta en Step 2 - Create the Platform SSO policy in Intune (en este artículo).

  • 10002: multiple SSOe payloads configured.

    Varias cargas de extensión de SSO se aplican al dispositivo y están en conflicto. Solo debe haber un perfil de extensión en el dispositivo y ese perfil debe ser el perfil de catálogo de configuración.

    Si anteriormente creó un perfil de extensión de aplicación sso mediante la plantilla Características del dispositivo, anule la asignación de ese perfil. El perfil de catálogo de configuración es el único perfil que se debe asignar al dispositivo.