Konfigurace jednotného přihlašování platformy pro zařízení s macOS v Microsoft Intune
Článek
Platí pro:
✅ macOS
Na zařízeních s macOS můžete nakonfigurovat jednotné přihlašování platformy tak, aby umožňovalo jednotné přihlašování pomocí ověřování bez hesla, Microsoft Entra ID uživatelských účtů nebo čipových karet. Jednotné přihlašování platformy je vylepšením modulu plug-in Microsoft Enterprise SSO a rozšíření aplikace pro jednotné přihlašování. Jednotné přihlašování platformy může přihlašovat uživatele k spravovaným zařízením Mac pomocí jejich přihlašovacích údajů Microsoft Entra ID a Touch ID.
Když se zařízení Mac připojí k Microsoft Entra ID tenantovi, získají certifikát WPJ (Workplace Join), který je vázaný na hardware a je přístupný jenom pro modul plug-in Microsoft Enterprise SSO. Pro přístup k prostředkům chráněným pomocí podmíněného přístupu potřebují aplikace a webové prohlížeče tento certifikát WPJ. S nakonfigurovaným jednotným přihlašováním platformy funguje rozšíření aplikace jednotného přihlašování jako zprostředkovatel pro ověřování Microsoft Entra ID a podmíněný přístup.
Jednotné přihlašování platformy je možné nakonfigurovat pomocí katalogu nastavení. Jakmile bude zásada připravená, přiřadíte ji uživatelům. Microsoft doporučuje, abyste zásady přiřadili, když uživatel zaregistruje zařízení v Intune. Dá se ale kdykoli přiřadit, a to i na stávajících zařízeních.
V tomto článku se dozvíte, jak nakonfigurovat jednotné přihlašování platformy pro zařízení s macOS v Intune.
Požadavky
Na zařízeních musí běžet macOS 13.0 a novější.
Microsoft Intune se na zařízeních vyžaduje aplikace Portál společnosti verze 5.2404.0 a novější. Tato verze zahrnuje jednotné přihlašování k platformě.
Jednotné přihlašování platformy podporují následující webové prohlížeče:
Ukázkové .plist soubory najdete v příkladech ManagedPreferencesApplications na GitHubu. Toto úložiště GitHub není vlastněné, neudržuje se ani nevytvořilo Microsoftem. Informace používejte na vlastní nebezpečí.
Jednotné přihlašování platformy používá ke konfiguraci požadovaných nastavení katalog nastavení Intune. Pokud chcete vytvořit zásady katalogu nastavení, přihlaste se k Centru pro správu Microsoft Intune pomocí účtu, který má následující Intune oprávnění:
Oprávnění ke čtení, vytváření, aktualizaci a přiřazování konfigurace zařízení
Existují některé předdefinované role, které mají tato oprávnění, včetně role Správce zásad a profilů Intune role RBAC. Další informace o rolích RBAC v Intune najdete v tématu Řízení přístupu na základě role (RBAC) s Microsoft Intune.
Když v Intune vytvoříte zásadu jednotného přihlašování platformy, musíte se rozhodnout, kterou metodu ověřování chcete použít.
Zásady jednotného přihlašování platformy a metoda ověřování, kterou používáte, mění způsob přihlašování uživatelů k zařízením.
Při konfiguraci jednotného přihlašování platformy se uživatelé přihlašují ke svým zařízením s macOS pomocí metody ověřování, kterou nakonfigurujete.
Pokud nepoužíváte jednotné přihlašování platformy, uživatelé se k zařízením s macOS přihlašují pomocí místního účtu. Pak se pomocí svých Microsoft Entra ID přihlásí k aplikacím a webům.
V tomto kroku se pomocí informací seznámíte s rozdíly mezi metodami ověřování a jejich vlivem na prostředí přihlašování uživatelů.
Tip
Při konfiguraci jednotného přihlašování platformy microsoft doporučuje používat jako metodu ověřování zabezpečenou enklávu .
Funkce
Zabezpečená enkláva
Chytrá karta
Password
Bez hesla (odolnost proti útokům phishing)
✅
✅
❌
TouchID podporované pro odemknutí
✅
✅
✅
Lze použít jako klíč
✅
❌
❌
Povinné vícefaktorové ověřování pro nastavení
Vždy se doporučuje vícefaktorové ověřování (MFA).
✅
✅
❌
Místní heslo mac synchronizované s Id Entra
❌
❌
✅
Podporováno v systému macOS 13.x +
✅
❌
✅
Podporováno v systému macOS 14.x +
✅
✅
✅
Volitelně můžete novým uživatelům povolit přihlášení pomocí přihlašovacích údajů Entra ID (macOS 14.x +).
✅
✅
✅
Zabezpečená enkláva
Když nakonfigurujete jednotné přihlašování platformy pomocí metody ověřování Zabezpečené enklávy , modul plug-in SSO používá kryptografické klíče vázané na hardware. Nepoužívá Microsoft Entra přihlašovací údaje k ověření uživatele v aplikacích a webech.
Další informace o zabezpečené enklávě najdete v článku Zabezpečená enkláva (otevře web společnosti Apple).
Zabezpečená enkláva:
Je považován za bez hesla a splňuje požadavky na vícefaktorové ověřování (MFA) odolné vůči phish. Koncepčně se podobá Windows Hello pro firmy. Může také používat stejné funkce jako Windows Hello pro firmy, jako je podmíněný přístup.
Uživatelské jméno a heslo místního účtu ponechá tak, jak jsou. Tyto hodnoty se nezmění.
Poznámka
Toto chování je záměrně způsobeno šifrováním disku FileVault společnosti Apple, které jako klíč pro odemknutí používá místní heslo.
Po restartování zařízení musí uživatelé zadat heslo místního účtu. Po tomto počátečním odemknutí počítače můžete k odemknutí zařízení použít Touch ID.
Po odemknutí zařízení získá hardwarem zálohovaný primární obnovovací token (PRT) pro jednotné přihlašování pro celé zařízení.
Ve webových prohlížečích se tento klíč PRT dá použít jako klíč pomocí rozhraní API WebAuthN.
Jeho nastavení se dá spustit pomocí ověřovací aplikace pro vícefaktorové ověřování nebo Microsoft Temporary Access Pass (TAP).
Umožňuje vytváření a používání Microsoft Entra ID klíčů.
Password
Když nakonfigurujete jednotné přihlašování platformy pomocí metody ověřování heslem, uživatelé se místo hesla místního účtu přihlašují k zařízení pomocí svého Microsoft Entra ID uživatelského účtu.
Tato možnost povolí jednotné přihlašování napříč aplikacemi, které k ověřování používají Microsoft Entra ID.
Pomocí metody ověřování heslem :
Heslo Microsoft Entra ID nahrazuje heslo místního účtu a obě hesla se synchronizují.
Poznámka
Heslo počítače místního účtu se ze zařízení úplně neodebere. Toto chování je záměrně způsobeno šifrováním disku FileVault společnosti Apple, které jako klíč pro odemknutí používá místní heslo.
Uživatelské jméno místního účtu se nezmění a zůstane tak, jak je.
Koncoví uživatelé se můžou k zařízení přihlásit pomocí Touch ID.
Uživatelům a správcům je k zapamatování a správě méně hesel.
Po restartování zařízení musí uživatelé zadat své Microsoft Entra ID heslo. Po tomto počátečním odemknutí počítače může Touch ID odemknout zařízení.
Po odemknutí zařízení získá přihlašovací údaje primárního obnovovacího tokenu (PRT) vázané na hardware pro Microsoft Entra ID jednotné přihlašování.
Poznámka
Toto nastavení ovlivní také všechny Intune zásady hesel, které nakonfigurujete. Pokud máte například zásady hesel, které blokují jednoduchá hesla, jsou pro toto nastavení blokovaná také jednoduchá hesla.
Ujistěte se, že zásady Intune hesel nebo dodržování předpisů odpovídají zásadám Microsoft Entra hesel. Pokud se zásady neshodují, nemusí se heslo synchronizovat a koncovým uživatelům bude odepřen přístup.
Chytrá karta
Když nakonfigurujete jednotné přihlašování platformy pomocí metody ověřování pomocí čipové karty , můžou uživatelé používat certifikát čipové karty a přidružený PIN kód k přihlášení k zařízení a ověřování v aplikacích a webech.
Tato možnost:
Považuje se za bez hesla.
Uživatelské jméno a heslo místního účtu ponechá tak, jak jsou. Tyto hodnoty se nezmění.
Pokud používáte ověřování synchronizace hesel, můžete povolit obnovení služby KeyVault, abyste zajistili, že se data dají obnovit v případě, že uživatel zapomene heslo. Správci IT by si měli projít dokumentaci společnosti Apple a vyhodnotit, jestli je pro ně použití institucionálních obnovovacích klíčů fileVault vhodnou volbou.
Krok 2 – Vytvoření zásady jednotného přihlašování platformy v Intune
Pokud chcete nakonfigurovat zásady jednotného přihlašování platformy, pomocí následujícího postupu vytvořte zásadu katalogu Intune nastavení. Modul plug-in Microsoft Enterprise SSO vyžaduje uvedená nastavení.
Název: Zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Pojmenujte například zásadu macOS – Jednotné přihlašování platformy.
Popis: Zadejte popis zásady. Toto nastavení není povinné, ale doporučujeme ho zadat.
Vyberte Další.
V nastavení konfigurace vyberte Přidat nastavení. Ve výběru nastavení rozbalte ověřování a vyberte Rozšiřitelná Jednotné přihlašování (SSO):
V seznamu vyberte následující nastavení:
Metoda ověřování (zastaralá) (jenom macOS 13)
Identifikátor rozšíření
Rozbalte jednotné přihlašování platformy:
Výběr metody ověřování (macOS 14 nebo novější)
Výběr mapování tokenu na uživatele
Vyberte Použít sdílené klíče zařízení.
Registrační token
Chování uzamčení obrazovky
Identifikátor týmu
Typ
Adresy URL
Zavřete výběr nastavení.
Tip
V zásadách můžete nakonfigurovat další nastavení jednotného přihlašování platformy:
Toto nastavení vyžaduje, abyste také toto nastavení nakonfigurovali AuthenticationMethod .
– Pokud používáte jenom zařízení s macOS 13, nakonfigurujte nastavení Metoda ověřování (zastaralé). – Pokud používáte jenom zařízení s macOS 14 nebo novějším, nakonfigurujte nastaveníMetoda ověřováníjednotného přihlašování> k platformě. – Pokud máte kombinaci zařízení s macOS 13 a macOS 14 nebo novější, nakonfigurujte obě nastavení ověřování ve stejném profilu.
Chování uzamčení obrazovky
Nezovládat
Pokud je nastavená možnost Nezpracováovat, požadavek bude pokračovat bez jednotného přihlašování.
Mapování >tokenů na uživateleNázev účtu
preferred_username
Zkopírujte a vložte tuto hodnotu do nastavení.
Tento token určuje, že hodnota atributu Entra preferred_username se používá pro hodnotu Název účtu macOS.
Mapování >tokenů na uživateleJméno a příjmení
name
Zkopírujte a vložte tuto hodnotu do nastavení.
Tento token určuje, že se deklarace identity Entra name používá pro hodnotu Celé jméno účtu macOS.
Identifikátor týmu
UBF8T346G9
Zkopírujte a vložte tuto hodnotu do nastavení.
Tento identifikátor je identifikátor týmu rozšíření aplikace modulu plug-in Podnikové jednotné přihlašování.
Typ
Přesměrovat
Adresy URL
Zkopírujte a vložte všechny následující adresy URL:
Pokud vaše prostředí potřebuje povolit domény suverénního cloudu, jako je Azure Government nebo Azure China 21Vianet, přidejte také následující adresy URL:
Tyto předpony adres URL jsou zprostředkovateli identit, kteří používají rozšíření aplikací s jednotným přihlašováním. Adresy URL se vyžadují pro datové části přesměrování a u datových částí přihlašovacích údajů se ignorují.
Pokud máte ve svém prostředí kombinaci zařízení s macOS 13 a macOS 14 nebo novějších, nakonfigurujte ve stejném profilunastavení ověřování Metoda jednotného přihlašování> platformy a Metoda ověřování (zastaralé).
Jakmile je profil připravený, bude vypadat podobně jako v následujícím příkladu:
Vyberte Další.
V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace o značkách oboru najdete v tématu Použití rolí RBAC a značek oboru pro distribuované IT.
Vyberte Další.
V části Přiřazení vyberte skupiny uživatelů nebo zařízení, které obdrží váš profil. Zařízení s přidružením uživatele přiřaďte uživatelům nebo skupinám uživatelů. U zařízení s více uživateli, která jsou zaregistrovaná bez přidružení uživatele, přiřaďte zařízení nebo skupinám zařízení.
Důležité
U nastavení jednotného přihlašování platformy na zařízeních s přidružením uživatele se nepodporuje přiřazení ke skupinám nebo filtrům zařízení. Při použití přiřazení skupiny zařízení nebo přiřazení skupin uživatelů s filtry na zařízeních s přidružením uživatele nemusí mít uživatel přístup k prostředkům chráněným podmíněným přístupem. K tomuto problému může dojít:
Pokud se nastavení jednotného přihlašování platformy používá nesprávně. Nebo
Pokud aplikace Portál společnosti obchází registraci zařízení Microsoft Entra, když není povolené jednotné přihlašování platformy.
V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.
Když zařízení příště vyhledá aktualizace konfigurace, použijí se nastavení, která jste nakonfigurovali.
Krok 3 – Nasazení aplikace Portál společnosti pro macOS
Aplikace Portál společnosti pro macOS nasadí a nainstaluje modul plug-in Microsoft Enterprise SSO. Tento modul plug-in umožňuje jednotné přihlašování k platformě.
Pomocí Intune můžete přidat aplikaci Portál společnosti a nasadit ji jako požadovanou aplikaci na zařízení s macOS:
Neexistují žádné konkrétní kroky ke konfiguraci aplikace pro jednotné přihlašování platformy. Stačí se ujistit, že je nejnovější aplikace Portál společnosti přidaná do Intune a nasazená do zařízení s macOS.
Pokud máte nainstalovanou starší verzi aplikace Portál společnosti, jednotné přihlašování platformy selže.
Krok 4 – Registrace zařízení a použití zásad
Pokud chcete používat jednotné přihlašování platformy, musí být zařízení zaregistrovaná v mdm Intune pomocí jedné z následujících metod:
Pro zařízení v osobním vlastnictví vytvořte zásadu registrace zařízení . S touto metodou registrace koncoví uživatelé otevřou aplikaci Portál společnosti a přihlásí se pomocí Microsoft Entra ID. Po úspěšném přihlášení se použijí zásady registrace.
U nových zařízení doporučujeme předem vytvořit a nakonfigurovat všechny potřebné zásady, včetně zásad registrace. Když se pak zařízení zaregistrují do Intune, zásady se použijí automaticky.
U stávajících zařízení zaregistrovaných v Intune přiřaďte uživatelům nebo skupinám uživatelů zásady jednotného přihlašování platformy. Když se zařízení příště synchronizují nebo se přihlásí se službou Intune, obdrží nastavení zásad jednotného přihlašování platformy, které vytvoříte.
Krok 5 – registrace zařízení
Když zařízení obdrží zásadu, zobrazí se v Centru oznámení oznámení oznámení vyžadování registrace .
Koncoví uživatelé toto oznámení vyberou, přihlásí se k modulu plug-in Microsoft Entra ID pomocí svého účtu organizace a v případě potřeby dokončí vícefaktorové ověřování (MFA).
Poznámka
Vícefaktorové ověřování je funkce Microsoft Entra. Ujistěte se, že je ve vašem tenantovi povolené vícefaktorové ověřování. Další informace, včetně dalších požadavků na aplikace, najdete v tématu Microsoft Entra vícefaktorové ověřování.
Po úspěšném ověření se zařízení Microsoft Entra připojené k organizaci a k zařízení je vázán certifikát WPJ (Workplace Join).
Následující články popisují uživatelské prostředí v závislosti na metodě registrace:
Na Intune zaregistrovaných zařízeních můžete také přejít na Nastavení>Profily ochrany osobních údajů a zabezpečení>. Váš profil jednotného přihlašování platformy se zobrazuje v části com.apple.extensiblesso Profile. Výběrem profilu zobrazíte nastavení, která jste nakonfigurovali, včetně adres URL.
Krok 7 – Zrušení přiřazení všech existujících profilů rozšíření aplikace s jednotným přihlašováním
Jakmile ověříte, že vaše zásady katalogu nastavení fungují, zrušte přiřazení všech stávajících profilů rozšíření aplikace jednotného přihlašování vytvořených pomocí šablony Intune Funkce zařízení.
Pokud zachováte obě zásady, může docházet ke konfliktům.
Nastavení aplikací jiných společností než Microsoftu a rozšíření Microsoft Enterprise SSO
Pokud jste dříve používali rozšíření Microsoft Enterprise SSO nebo chcete povolit jednotné přihlašování v aplikacích jiných společností než Microsoft, přidejte nastavení Data rozšíření do existující zásady katalogu nastavení jednotného přihlašování platformy.
Nastavení Data rozšíření je podobný koncept jako otevřené textové pole; můžete nakonfigurovat libovolné hodnoty, které potřebujete.
V této části použijeme nastavení Data rozšíření k následujícímu:
Nakonfigurujte nastavení, která jste použili v předchozích zásadách Intune rozšíření Microsoft Enterprise SSO.
Nakonfigurujte nastavení, která umožňují aplikacím od jiných společností používat jednotné přihlašování.
Tato část obsahuje seznam minimálních doporučených nastavení, která byste měli přidat. V předchozích zásadách rozšíření Microsoft Enterprise SSO jste možná nakonfigurovali další nastavení. Doporučujeme přidat všechna další nastavení páru klíčů & hodnot, která jste nakonfigurovali v předchozích zásadách rozšíření microsoftu podnikového jednotného přihlašování.
Nezapomeňte, že vašim skupinám by měla být přiřazena jenom jedna zásada jednotného přihlašování. Pokud tedy používáte jednotné přihlašování platformy, musíte nakonfigurovat nastavení jednotného přihlašování platformy a nastavení rozšíření Microsoft Enterprise SSO v zásadách katalogu Nastavení jednotného přihlašování platformy, které jste vytvořili v kroku 2 – Vytvoření zásady jednotného přihlašování platformy v Intune (v tomto článku).
Následující nastavení se obvykle doporučuje pro konfiguraci nastavení jednotného přihlašování, včetně konfigurace podpory jednotného přihlašování pro aplikace od jiných společností než Microsoft.
V existujících zásadách katalogu nastavení jednotného přihlašování k platformě přidejte data rozšíření:
V Centru pro správu Intune (Konfigurace>zařízení spravovat zařízení>) vyberte stávající zásady katalogu nastavení jednotného přihlašování platformy.
V části Vlastnosti >Nastavení konfigurace vyberte Upravit>přidat nastavení.
Ve výběru nastavení rozbalte ověřování a vyberte Rozšiřitelná Jednotné přihlašování (SSO):
V seznamu vyberte Data rozšíření a zavřete výběr nastavení:
V části Data rozšířenípřidejte následující klíče a hodnoty:
Klíč
Typ
Hodnota
Popis
AppPrefixAllowList
String
com.microsoft.,com.apple.
Zkopírujte a vložte tuto hodnotu do nastavení.
AppPrefixAllowList umožňuje vytvořit seznam dodavatelů aplikací s aplikacemi, které můžou používat jednotné přihlašování. Podle potřeby můžete do tohoto seznamu přidat další dodavatele aplikací.
Následující příklad ukazuje doporučenou konfiguraci:
Výběrem možnosti Další uložte změny a dokončete zásadu. Pokud už jsou zásady přiřazené uživatelům nebo skupinám, tyto skupiny obdrží změny zásad při příští synchronizaci se službou Intune.
Následující nastavení umožňují přizpůsobit prostředí koncového uživatele a poskytnout podrobnější kontrolu nad uživatelskými oprávněními. Žádná nezdokumentovaná nastavení jednotného přihlašování platformy se nepodporují.
Nastavení jednotného přihlašování platformy
Možné hodnoty
Použití
Zobrazovaný název účtu
Libovolná řetězcová hodnota.
Přizpůsobte si název organizace, který koncoví uživatelé uvidí v oznámeních jednotného přihlašování platformy.
Povolení vytvoření uživatele při přihlášení
Povolit nebo Zakázat.
Umožňuje všem uživatelům organizace přihlásit se k zařízení pomocí svých přihlašovacích údajů Microsoft Entra. Při vytváření nových místních účtů musí být zadané uživatelské jméno a heslo stejné jako Microsoft Entra ID hlavní název uživatele (user@contoso.com) a heslo.
Nový režim autorizace uživatele
Standardní, Správa nebo Skupiny
Jednorázová oprávnění, která má uživatel při přihlášení při vytvoření účtu pomocí jednotného přihlašování platformy. V současné době se podporují hodnoty Standard a Správa. Před používáním standardního režimu je na zařízení vyžadován alespoň jeden uživatel Správa.
Režim autorizace uživatele
Standardní, Správa nebo Skupiny
Trvalá oprávnění, která má uživatel při přihlášení pokaždé, když se uživatel ověří pomocí jednotného přihlašování platformy. V současné době se podporují hodnoty Standard a Správa. Před používáním standardního režimu je na zařízení vyžadován alespoň jeden uživatel Správa.
Jiné mdmy
Jednotné přihlašování platformy můžete nakonfigurovat s jinými službami správy mobilních zařízení (MDM), pokud mdm podporuje jednotné přihlašování platformy. Pokud používáte jinou službu MDM, použijte následující doprovodné materiály:
Nastavení uvedená v tomto článku představují nastavení doporučená Microsoftem, která byste měli nakonfigurovat. Hodnoty nastavení z tohoto článku můžete zkopírovat nebo vložit v zásadách služby MDM.
Kroky konfigurace ve vaší službě MDM se můžou lišit. Na správné konfiguraci a nasazení těchto nastavení jednotného přihlašování platformy doporučujeme spolupracovat s dodavatelem služby MDM.
Registrace zařízení pomocí jednotného přihlašování platformy je bezpečnější a používá certifikáty zařízení vázané na hardware. Tyto změny můžou mít vliv na některé toky MDM, jako je integrace s partnery pro dodržování předpisů zařízením.
Měli byste se obrátit na dodavatele služby MDM, abyste pochopili, jestli MDM otestovalo jednotné přihlašování platformy, ověřilo, že jeho software funguje správně s jednotným přihlašováním platformy a jestli je připravený podporovat zákazníky používající jednotné přihlašování platformy.
Běžné chyby
Při konfiguraci jednotného přihlašování platformy se můžou zobrazit následující chyby:
10001: misconfiguration in the SSOe payload.
K této chybě může dojít v těchto případech:
V profilu katalogu nastavení není nakonfigurované požadované nastavení.
V profilu katalogu nastavení, které jste nakonfigurovali, je nastavení, které se pro datovou část typu přesměrování nedá použít.
Nastavení ověřování, která nakonfigurujete v profilu katalogu nastavení, se liší pro zařízení s macOS 13.x a 14.x.
Pokud máte ve svém prostředí zařízení s macOS 13 a macOS 14, musíte vytvořit jednu zásadu katalogu nastavení a nakonfigurovat odpovídající nastavení ověřování ve stejné zásadě. Tyto informace jsou popsané v kroku 2 – Vytvoření zásady jednotného přihlašování platformy v Intune (v tomto článku).
10002: multiple SSOe payloads configured.
Na zařízení se vztahuje několik datových částí rozšíření jednotného přihlašování a je v konfliktu. Na zařízení by měl být jenom jeden profil rozšíření a tento profil by měl být profil katalogu nastavení.
Pokud jste dříve vytvořili profil rozšíření aplikace s jednotným přihlašováním pomocí šablony Funkce zařízení, zrušte přiřazení profilu. Profil katalogu nastavení je jediný profil, který by se měl k zařízení přiřadit.
Plan and execute an endpoint deployment strategy, using essential elements of modern management, co-management approaches, and Microsoft Intune integration.