Aktivieren von Kerberos-SSO zum lokales Active Directory und Microsoft Entra ID Kerberos-Ressourcen in Platform SSO

Mac-Benutzerinnen und -Benutzer können ihre neuen Geräte während der ersten Out-of-Box-Experience (OOBE) in Microsoft Entra ID einbinden. Die macOS Platform Single Sign-On (PSSO) ist eine Funktion unter macOS, die mithilfe der Microsoft Enterprise Single Sign-On-Erweiterung aktiviert ist. PSSO ermöglicht es Benutzenden, sich mit einem Hardwareschlüssel, einer Smartcard oder ihrem Microsoft Entra ID-Kennwort auf einem Mac-Gerät anzumelden.

In diesem Tutorial erfahren Sie, wie Sie Plattform-SSO so konfigurieren, dass kerberosbasiertes SSO für lokale und Cloudressourcen unterstützt wird, zusätzlich zu SSO zu Microsoft Entra ID. Kerberos-SSO ist eine optionale Funktion innerhalb von Plattform-SSO. Es wird jedoch empfohlen, dass Benutzende weiterhin auf lokales Active Directory Ressourcen zugreifen müssen, die Kerberos für die Authentifizierung verwenden.

Voraussetzungen

• Eine Mindestversion von macOS 14.6 Sonoma.
• Microsoft Intune Company Portal , Version 5.2408.0 oder höher
• Ein Mac-Gerät, das für die Verwaltung mobiler Geräte (MDM) angemeldet ist.
• Ein von einem Administrierenden konfigurierter SSO-Erweiterungs-MDM-Payload mit Plattform-SSO-Einstellungen, der bereits auf dem Gerät bereitgestellt wurde. Lesen Sie die Plattform-SSO-Dokumentation oder das Intune-Bereitstellungshandbuch , wenn Intune Ihr MDM ist.
• Stellen Sie Microsoft Entra Kerberos bereit, das für einige Kerberos-Funktionen in lokales Active Directory erforderlich ist. Weitere Informationen finden Sie im Cloud Kerberos-Vertrauensstellungshandbuch für Windows Hello for Business oder direkt in den Konfigurationsanweisungen zur Cloud Kerberos-Vertrauensstellung , um mit dem Setup zu beginnen. Wenn Sie bereits Windows Hello for Business mit Cloud Kerberos Trust oder kennwortloser Sicherheitsschlüsselanmeldung für Windows bereitgestellt haben, ist dieser Schritt bereits abgeschlossen.

Einrichten Ihres macOS-Geräts

In der Microsoft Entra ID macOS Platform SSO-Dokumentation finden Sie Informationen zum Konfigurieren und Bereitstellen von Plattform-SSO. Plattform-SSO sollte auf unternehmensverwalteten Macs bereitgestellt werden, unabhängig davon, ob Sie Kerberos-SSO mithilfe dieser Anleitung bereitstellen möchten.

Kerberos-SSO-MDM-Profilkonfiguration für lokales Active Directory

Sie sollten separate Kerberos-SSO-MDM-Profile konfigurieren, wenn Sie beabsichtigen, sowohl Microsoft Entra ID Cloud Kerberos als auch lokale Active Directory-Bereiche zu verwenden. Es wird empfohlen, lokales Active Directory-Profil vor dem Microsoft Entra ID Cloud Kerberos-Profil bereitzustellen.

Verwenden Sie die folgenden Einstellungen, um das lokale Active Directory-Profil zu konfigurieren, um sicherzustellen, dass Sie alle Verweise auf contoso.com und Contoso durch die richtigen Werte für Ihre Umgebung ersetzen:

Konfigurationsschlüssel	Empfohlener Wert	Hinweis
Hosts	<string>.contoso.com</string>	Ersetzen Sie contoso.com durch Ihren lokalen Domänen-/Gesamtstrukturnamen.
Hosts	<string>contoso.com</string>	Ersetzen Sie contoso.com durch Ihren lokalen Domänen-/Gesamtstrukturnamen. Beibehalten der vorherigen . Zeichen vor dem Domänen-/Gesamtstrukturnamen
Realm	<string>CONTOSO.COM</string>	Ersetzen Sie CONTOSO.COM durch ihren lokalen Bereichsnamen. Der Wert sollte vollständig in Großbuchstaben geschrieben sein.
PayloadOrganization	<string>Contoso</string>	Ersetzen Sie Contoso durch den Namen Ihrer Organisation

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>ExtensionData</key>
            <dict>
                <key>allowPasswordChange</key>
                <true/>
                <key>allowPlatformSSOAuthFallback</key>
                <true/>
                <key>performKerberosOnly</key>
                <true/>
                <key>pwReqComplexity</key>
                <true/>
                <key>syncLocalPassword</key>
                <false/>
                <key>usePlatformSSOTGT</key>
                <true/>
            </dict>
            <key>ExtensionIdentifier</key>
            <string>com.apple.AppSSOKerberos.KerberosExtension</string>
            <key>Hosts</key>
            <array>
                <string>.contoso.com</string>
                <string>contoso.com</string>
            </array>
            <key>Realm</key>
            <string>CONTOSO.COM</string>
            <key>PayloadDisplayName</key>
            <string>Single Sign-On Extensions Payload for On-Premises</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
            <key>TeamIdentifier</key>
            <string>apple</string>
            <key>Type</key>
            <string>Credential</string>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string></string>
    <key>PayloadDisplayName</key>
    <string>Kerberos SSO Extension for macOS for On-Premises</string>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadIdentifier</key>
    <string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
    <key>PayloadOrganization</key>
    <string>Contoso</string>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

Speichern Sie die Konfiguration mithilfe eines Text-Editors mit der Dateierweiterung "mobileconfig " (z. B. könnte die Datei "on-prem-kerberos.mobileconfig") benannt werden, nachdem Sie die Konfiguration mit den richtigen Werten für Ihre Umgebung aktualisiert haben.

Kerberos-SSO-MDM-Profilkonfiguration für Microsoft Entra ID Cloud Kerberos

Sie sollten separate Kerberos-SSO-MDM-Profile konfigurieren, wenn Sie beabsichtigen, sowohl Microsoft Entra ID Cloud Kerberos als auch lokale Active Directory-Bereiche zu verwenden. Es wird empfohlen, lokales Active Directory-Profil vor dem Microsoft Entra ID Cloud Kerberos-Profil bereitzustellen.

Verwenden Sie die folgenden Einstellungen, um das Microsoft Entra ID Cloud Kerberos-Profil zu konfigurieren, um sicherzustellen, dass Sie alle Verweise durch die richtigen Werte für Ihren Mandanten ersetzen:

Konfigurationsschlüssel	Empfohlener Wert	Hinweis
preferredKDCs	<string>kkdcp://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/kerberos</string>	Ersetzen Sie den Wert "aaaabbbb-0000-cccc-1111-dddd2222eee" durch die Mandanten-ID Ihres Mandanten, die auf der Seite "Übersicht" des Microsoft Entra Admin Centers zu finden ist.
PayloadOrganization	<string>Contoso</string>	Ersetzen Sie Contoso durch den Namen Ihrer Organisation

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>ExtensionData</key>
            <dict>
                <key>usePlatformSSOTGT</key>
                <true/>
                <key>performKerberosOnly</key>
                <true/>
                <key>preferredKDCs</key>                         
                <array>
                <string>kkdcp://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/kerberos</string>
                </array>
            </dict>
            <key>ExtensionIdentifier</key>
            <string>com.apple.AppSSOKerberos.KerberosExtension</string>
            <key>Hosts</key>
            <array>
                <string>windows.net</string>
                <string>.windows.net</string>
            </array>
            <key>Realm</key>
            <string>KERBEROS.MICROSOFTONLINE.COM</string>
            <key>PayloadDisplayName</key>
            <string>Single Sign-On Extensions Payload for Microsoft Entra ID Cloud Kerberos</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>00aa00aa-bb11-cc22-dd33-44ee44ee44ee</string>
            <key>TeamIdentifier</key>
            <string>apple</string>
            <key>Type</key>
            <string>Credential</string>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string></string>
    <key>PayloadDisplayName</key>
    <string>Kerberos SSO Extension for macOS for Microsoft Entra ID Cloud Kerberos</string>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadIdentifier</key>
    <string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
    <key>PayloadOrganization</key>
    <string>Contoso</string>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

Speichern Sie die Konfiguration mit einem Text-Editor, nachdem Sie die Konfiguration mit den richtigen Werten für Ihre Umgebung aktualisiert haben, und verwenden Sie die Dateierweiterung mobileconfig (z. B. könnte die Datei cloud-kerberos.mobileconfig heißen).

Hinweis

Achten Sie darauf, dass Sie auf die UsePlatformSSOTGT- und performKerberosOnly-Tasten achten. Wenn usePlatformSSOTGT auf "true" festgelegt ist, verwendet die Kerberos-Erweiterung die TGT von Platform SSO mit demselben Bereich. Der Standardwert ist "false". Wenn "performKerberosOnly" auf "true" festgelegt ist, führt die Kerberos-Erweiterung keine Überprüfungen des Kennwortablaufs durch, überprüft keine externen Kennwortänderungen und ruft das Benutzerverzeichnis nicht ab. Der Standardwert ist "false". Dies gilt sowohl für die lokale als auch für cloudbasierte Konfigurationen. Diese Schlüssel sollten in beiden Profilen konfiguriert werden.

Intune-Konfigurationsschritte

Wenn Sie Intune als MDM verwenden, können Sie die folgenden Schritte ausführen, um das Profil bereitzustellen. Stellen Sie sicher, dass Sie die [vorherigen Anweisungen] (#Kerberos SSO MDM-Profilkonfiguration für lokales Active Directory) befolgen, um contoso.com Werte durch die richtigen Werte für Ihre Organisation zu ersetzen.

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wählen Sie Geräte>Konfiguration>Erstellen>neue Richtlinie aus.
3. Geben Sie die folgenden Eigenschaften ein:
   • Plattform: Wählen Sie macOS aus.
   • Profiltyp: Wählen Sie "Vorlagen" aus.
4. Wählen Sie die benutzerdefinierte Vorlage und dann "Erstellen" aus.
5. Geben Sie in "Grundlagen" die folgenden Eigenschaften ein:
   • Name: Geben Sie einen beschreibenden Namen für die Richtlinie ein. Benennen Sie Ihre Richtlinien, damit Sie sie später leicht identifizieren können. Nennen Sie z. B. die Richtlinie macOS – Platform SSO Kerberos.
   • Beschreibung: Geben Sie eine Beschreibung für die Richtlinie ein. Diese Einstellung ist optional, wird jedoch empfohlen.
6. Wählen Sie "Weiter" aus.
7. Geben Sie im Feld "Benutzerdefinierter Konfigurationsprofilname " einen Namen ein.
8. Wählen Sie einen Bereitstellungskanal aus. Gerätekanal wird empfohlen.
9. Klicken Sie auf das Ordnersymbol, um Ihre Konfigurationsprofildatei hochzuladen. Wählen Sie die Datei kerberos.mobileconfig aus, die Sie nach dem Anpassen der Vorlage [zuvor gespeichert](#Kerberos SSO MDM-Profilkonfiguration für lokales Active Directory) haben.
10. Wählen Sie "Weiter" aus.
11. Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen zu filtern, wie z.B. US-NC IT Team oder JohnGlenn_ITDepartment. Wählen Sie "Weiter" aus.
    • Weitere Informationen zu Bereichstags finden Sie unter "Nutzung von RBAC-Rollen und Bereichstags für verteilte IT".
12. Wählen Sie in "Aufgaben" die Benutzer oder Benutzergruppen aus, die Ihr Profil erhalten. Plattform-Single Sign-On-Richtlinien sind benutzerbasierte Richtlinien. Weisen Sie die Single Sign-On-Richtlinie der Plattform nicht den Geräten zu.
    • Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.
13. Wählen Sie "Weiter" aus.
14. Überprüfen Sie in "Überprüfen und erstellen" Ihre Einstellungen. Wenn Sie "Erstellen" auswählen, werden Ihre Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.
15. Wiederholen Sie diesen Vorgang, wenn Sie beide Profile bereitstellen müssen, da Sie sowohl lokale Kerberos-SSO als auch Microsoft Entra ID Cloud Kerberos verwenden.

Wenn das Gerät das nächste Mal nach Konfigurationsupdates sucht, werden die von Ihnen konfigurierten Einstellungen angewendet.

Kerberos Single Sign-On testen

Nachdem der Benutzer die Plattform-SSO-Registrierung abgeschlossen hat, können Sie überprüfen, ob das Gerät Über Kerberos-Tickets verfügt, indem Sie den app-sso platform -s Befehl in der Terminal-App ausführen:

app-sso platform -s

Sie sollten über zwei Kerberos-Tickets verfügen, eines für Ihr lokales AD mit dem ticketKeyPath-Wert tgt_ad und eines für Ihren Microsoft Entra ID-Mandanten mit dem ticketKeyPath-Wert von tgt_cloud. Die Ausgabe sollte wie folgt aussehen:

Überprüfen Sie, ob Ihre Konfiguration funktioniert, indem Sie sie mit geeigneten Kerberos-fähigen Ressourcen testen:

• Testen Sie die Funktionen von Active Directory vor Ort, indem Sie mit Finder auf einen AD-integrierten Dateiserver vor Ort oder mit Safari auf eine Webanwendung zugreifen. Der Benutzende sollte in der Lage sein, auf die Dateifreigabe zuzugreifen, ohne nach interaktiven Anmeldeinformationen gefragt zu werden.
• Testen Sie die Funktion von Microsoft Entra ID Kerberos, indem Sie auf eine Azure Files Freigabe zugreifen, die für Microsoft Entra ID Cloud Kerberos aktiviert ist. Der Benutzende sollte in der Lage sein, auf die Dateifreigabe zuzugreifen, ohne nach interaktiven Anmeldeinformationen gefragt zu werden. Lesen Sie dieses Handbuch , wenn Sie eine Clouddateifreigabe in Azure Files konfigurieren müssen.

Hinweis

Beachten Sie, dass die SSO-Implementierung der Plattform von Microsoft für die Ausgabe der Kerberos-TGTs und die Bereitstellung an macOS verantwortlich ist, damit macOS sie importieren kann. Wenn TGTs beim Ausführen von app-sso platform -s angezeigt werden, wurden die TGTs erfolgreich importiert. Wenn laufende Kerberos-Probleme auftreten, z. B. Probleme beim Zugriff auf lokale Ressourcen über Kerberos, empfiehlt es sich, sich an Apple zu wenden, um Unterstützung für die weitere Konfiguration Ihrer Kerberos-MDM-Profile zu erhalten. Die Kerberos-Implementierung in macOS verwendet systemeigene Apple-bereitgestellte Kerberos-Funktionen.

Bekannte Probleme

Zusätzliches Kerberos-SSO-Erweiterungsmenü

Bei der Bereitstellung der Unterstützung für Kerberos-SSO mit Plattform-SSO werden weiterhin die standardmäßigen Kerberos-SSO-Erweiterungsfunktionen von macOS verwendet. Wie bei einer Bereitstellung der nativen Kerberos-SSO-Erweiterung ohne Plattform-SSO wird das zusätzliche Kerberos-SSO-Erweiterungsmenü in der macOS-Menüleiste angezeigt:

Bei der Bereitstellung der Kerberos-Unterstützung mit Plattform-SSO müssen Benutzer nicht mit dem Kerberos-SSO-Erweiterungsmenü interagieren, um die Kerberos-Funktionalität zu aktivieren. Die Kerberos-SSO-Funktionalität funktioniert weiterhin, wenn der Benutzer sich nicht im zusätzlichen Menüleistenmodul anmeldet und das zusätzliche Menüleistenmodul "Nicht angemeldet" anzeigt. Sie können Benutzer anweisen, die Menüleiste extra zu ignorieren, wenn Sie mit Plattform-SSO bereitstellen, gemäß diesem Artikel. Vergewissern Sie sich stattdessen, dass Sie überprüfen, ob die Kerberos-Funktionalität ohne Interaktion mit der Zusätzlichen Menüleiste wie erwartet funktioniert, wie im Abschnitt "Kerberos-SSO testen " in diesem Artikel beschrieben.

Browserunterstützung für Kerberos-SSO

Einige Browser erfordern zusätzliche Konfiguration, um die Kerberos-SSO-Unterstützung zu aktivieren, z. B. wenn Sie Plattform-SSO verwenden, um Kerberos auf Ihren macOS-Geräten zu aktivieren. Stellen Sie bei der Bereitstellung der Kerberos-Unterstützung unter macOS die entsprechenden Einstellungen für jeden von Ihnen verwendeten Browser bereit, um sicherzustellen, dass sie mit den macOS Kerberos-SSO-Features interagieren können:

• Safari: unterstützt standardmäßig Kerberos-SSO
• Microsoft Edge:
  • Konfigurieren Sie die AuthNegotiateDelegateAllowlist-Einstellung, um Ihre lokalen Active Directory-Gesamtstrukturinformationen einzuschließen: AuthNegotiateDelegateAllowlist
  • Konfigurieren Sie die Einstellung "AuthServerAllowlist", um Ihre lokalen Active Directory-Gesamtstrukturinformationen einzuschließen: AuthServerAllowlist
• Google Chrome
  • Konfigurieren Sie die AuthNegotiateDelegateAllowlist-Einstellung, um Ihre lokalen Active Directory-Gesamtstrukturinformationen einzuschließen: AuthNegotiateDelegateAllowlist
  • Konfigurieren Sie die Einstellung "AuthServerAllowlist", um Ihre lokalen Active Directory-Gesamtstrukturinformationen einzuschließen: AuthServerAllowlist
• Mozilla Firefox
  • Konfigurieren Sie die Mozilla Firefox network.negotiate-auth.trusted-uris und network.automatic-ntlm-auth.trusted-uris-Einstellungen , um die Kerberos-SSO-Unterstützung zu aktivieren.

Siehe auch

• Verbinden eines Mac-Geräts mit Microsoft Entra-ID mithilfe des Unternehmensportals
• Kennwortlose Authentifizierungsoptionen für Microsoft Entra ID
• Planen einer kennwortlosen Authentifizierungsbereitstellung in microsoft Entra ID
• Microsoft Enterprise-SSO-Plug-In für Apple-Geräte