Einbinden eines Mac-Geräts in Microsoft Entra ID während der Out-of-Box-Experience mit macOS PSSO (Vorschau)
Mac-Benutzerinnen und -Benutzer können ihre neuen Geräte während der ersten Out-of-Box-Experience (OOBE) in Microsoft Entra ID einbinden. macOS PSSO (Platform Single Sign-On, einmaliges Anmelden auf der Plattform) ist eine Funktion von macOS, die mithilfe der Microsoft Enterprise Single Sign-On-Erweiterung aktiviert wird. PSSO ermöglicht Benutzerinnen und Benutzern, sich mit einem Hardwareschlüssel, einer Smartcard oder ihrem Microsoft Entra ID-Kennwort auf einem Mac-Gerät anzumelden. In diesem Tutorial erfahren Sie, wie Sie mithilfe der automatisierten Geräteregistrierung ein Mac-Gerät während der Out-of-Box-Experience (OOBE) so einrichten, dass PSSO verwendet wird.
Voraussetzungen
- Die empfohlene Mindestversion ist macOS 14 Sonoma. macOS 13 Ventura wird zwar unterstützt, für eine optimale Erfahrung wird jedoch dringend die Verwendung von macOS 14 Sonoma empfohlen.
- Bei der automatisierten Geräteregistrierung (Automated Device Enrollment, ADE) registriertes Gerät. Wenden Sie sich an Ihr Administratorteam, wenn Sie nicht sicher sind, ob Ihr Gerät diese Anforderung erfüllt.
- Mindestens Version 5.2404.0 des Microsoft Intune-Unternehmensportals
- Ein bei der Verwaltung mobiler Geräte (Mobile Device Management, MDM) mit Microsoft Intune registriertes Mac-Gerät
- Eine von einem Administrator festgelegte Single Sign-On-Erweiterung MDM Payload mit PSSO-Einstellungen in Intune
- Microsoft Authenticator (empfohlen): Zum Abschließen der Geräteregistrierung müssen die Benutzerinnen und Benutzer für eine Form der Multi-Faktor-Authentifizierung (MFA) mit Microsoft Entra ID auf ihrem mobilen Gerät registriert sein.
- Für die Einrichtung einer Smartcard muss die zertifikatbasierte Authentifizierung konfiguriert und aktiviert sein. Eine Smartcard mit geladenem Zertifikat für die Authentifizierung mit Microsoft Entra, die mit einem lokalen Konto gekoppelt ist
Einrichten Ihres macOS-Geräts
Wenn Sie beim ersten Öffnen Ihres Mac-Geräts der Willkommensbildschirm angezeigt wird, führen Sie die folgenden Schritte aus, um Ihr Land oder Ihre Region auszuwählen und Netzwerkeinstellungen nach Bedarf zu konfigurieren.
Sie werden aufgefordert, ein Profil für die Remoteverwaltung herunterzuladen, mit dem das Konfigurationssetup in Microsoft Intune auf Ihr Gerät angewandt werden kann. Wählen Sie Weiter aus, und geben Sie Ihre Microsoft Entra ID-Anmeldeinformationen ein, wenn Sie aufgefordert werden, den Download des Verwaltungsprofils zu genehmigen.
Geben Sie den Code ein, der an Ihre Authenticator-App gesendet wird (empfohlen), oder verwenden Sie eine der anderen MFA-Methoden.
Um ein Benutzerkonto zu erstellen, geben Sie Ihren vollständigen Namen und einen Kontonamen ein und erstellen ein Kennwort für das lokale Konto. Wählen Sie Weiter aus. Nun wird Ihr Startbildschirm wird angezeigt.
Registrierung bei der automatisierten Geräteregistrierung
Es gibt drei Authentifizierungsmethoden für die PSSO-Registrierung:
- Secure Enclave: Benutzerinnen und Benutzer melden sich auf ihren Geräten an, die über einen kryptografischen Schlüssel in Secure Enclave verfügen, der für SSO in Apps verwendet wird, die Microsoft Entra ID für die Authentifizierung nutzen. Dies kann auch als Plattformanmeldeinformationen für macOS bezeichnet werden.
- Smartcard: Benutzerinnen und Benutzer melden sich mit einer externen Smartcard oder einer smartcardkompatiblen Harttoken auf dem Computer an.
- Kennwort: Benutzerinnen und Benutzer melden sich mit einem lokalen Konto auf ihrem lokalen Gerät an, das dann für die Verwendung ihres Microsoft Entra ID-Kennworts aktualisiert wird.
Ihr Systemadministratorteam sollte das Mac-Gerät mit der Secure Enclave oder Smartcard registrieren. Diese neuen kennwortlosen Features werden nur von PSSO unterstützt. Überprüfen Sie vorab, welche Authentifizierungsmethode von Ihrem Administratorteam eingerichtet wurde.
Navigieren Sie rechts oben auf dem Bildschirm zum Popupbereich Registrierung erforderlich. Zeigen Sie mit der Maus auf das Popupelement, und wählen Sie Registrieren aus. Benutzenden von macOS 14 Sonoma wird eine Aufforderung zum Registrieren Ihres Geräts bei Microsoft Entra angezeigt. Diese Aufforderung wird unter macOS 13 Ventura nicht angezeigt.
Sie werden aufgefordert, das Kennwort Ihres lokalen Kontos einzugeben. Geben Sie Ihr Kennwort ein, und wählen Sie OK aus.
Nachdem Ihr Konto entsperrt wurde, wählen Sie das Konto für die Anmeldung aus, geben Ihre Anmeldeinformationen ein und wählen dann Weiter aus.
MFA ist bei diesem Anmeldeflow erforderlich. Öffnen Sie die Authenticator-App (empfohlen), oder verwenden Sie eine der anderen MFA-Methoden, die Sie registriert haben, und geben Sie die auf dem Bildschirm angezeigte Nummer ein, um die Registrierung abzuschließen.
Wenn der MFA-Flow abgeschlossen ist und der Ladebildschirm ausgeblendet wird, sollte Ihr Gerät bei PSSO registriert sein. Sie können ab sofort PSSO verwenden, um auf Microsoft-App-Ressourcen zuzugreifen.
Aktivieren von Plattformanmeldeinformationen für macOS für die Verwendung als Passkey
Wenn Sie Ihr Gerät mithilfe der Secure Enclave-Methode einrichten, können Sie die resultierenden Anmeldeinformationen, die auf dem Mac-Gerät gespeichert werden, im Browser als Passkey (Hauptschlüssel) verwenden. So aktivieren Sie diese Funktion
Öffnen Sie die App Einstellungen, und navigieren Sie zu Kennwörter>Kennwortoptionen.
Suchen Sie unter Kennwortoptionen die Option Kennwörter und Passkeys verwenden aus, und aktivieren Sie den Umschalter Unternehmensportal.
Überprüfen des Geräteregistrierungsstatus
Nachdem Sie die obigen Schritte abgeschlossen haben, sollten Sie den Geräteregistrierungsstatus überprüfen.
Um zu überprüfen, ob die Registrierung erfolgreich abgeschlossen wurde, navigieren Sie zu Einstellungen und wählen Benutzer und Gruppen aus.
Wählen Sie neben Netzwerkkontoserver die Option Bearbeiten aus, und überprüfen Sie, ob Plattform-SSO als Registriert aufgeführt wird.
Um die für die Authentifizierung verwendete Methode zu überprüfen, navigieren Sie im Fenster Benutzer und Gruppen zu Ihrem Benutzernamen und wählen das Symbol Informationen aus. Überprüfen Sie, ob als Methode Secure Enclave, Smartcard oder Kennwort aufgeführt wird.
Hinweis
Sie können auch die Terminal-App verwenden, um den Registrierungsstatus zu überprüfen. Führen Sie den folgenden Befehl aus, um den Status der Geräteregistrierung zu überprüfen. Sie sollten unten in der Ausgabe sehen, dass SSO-Token abgerufen werden. Unter macOS 13 Ventura ist dieser Befehl erforderlich, um den Registrierungsstatus zu überprüfen.
app-sso platform -s