Einbinden eines Mac-Geräts in Microsoft Entra ID mithilfe des Unternehmensportals (Vorschau)
In diesem Tutorial erfahren Sie, wie Sie ein Mac-Gerät mit macOS PSSO (Plattform-SSO, Single Sign-On, einmaliges Anmelden) mithilfe des Unternehmensportals und der Intune-MDM-Registrierung mit Microsoft Entra-Einbindung registrieren. Es gibt drei Methoden, mit denen Sie ein Mac-Gerät mit PSSO registrieren können: Secure Enclave, Smartcard oder Kennwort. Für eine optimale kennwortlose Erfahrung wird empfohlen, Secure Enclave oder Smartcards zu verwenden. Beachten Sie jedoch, dass die Methode von Ihrem Unternehmensadministratorteam mit Microsoft Intune voreingestellt wird.
Voraussetzungen
- Die empfohlene Mindestversion ist macOS 14 Sonoma. macOS 13 Ventura wird zwar unterstützt, für eine optimale Erfahrung wird jedoch dringend die Verwendung von macOS 14 Sonoma empfohlen.
- Mindestens Version 5.2404.0 der Microsoft Intune-Unternehmensportal-App
- Durch das Administratorteam konfigurierte MDM-Nutzdaten für die SSO-Erweiterung mit PSSO-Einstellungen in Intune
- Microsoft Authenticator (empfohlen): Zum Abschließen der Geräteregistrierung müssen die Benutzenden für eine Form der Multi-Faktor-Authentifizierung (MFA) mit Microsoft Entra ID registriert sein.
- Für die Einrichtung einer Smartcard muss die zertifikatbasierte Authentifizierung konfiguriert und aktiviert sein. Eine Smartcard mit geladenem Zertifikat für die Authentifizierung mit Microsoft Entra, die mit einem lokalen Konto gekoppelt ist
Intune MDM- und Microsoft Entra-Einbindung über das Unternehmensportal
Um ein Mac-Gerät mit PSSO zu registrieren, müssen Sie es zuerst mit der Unternehmensportal-App in Microsoft Intune registrieren. Nach der Registrierung können Sie Secure Enclave, Smartcards oder Kennwörter verwenden, um Ihr Gerät mit PSSO zu registrieren.
Öffnen Sie die Unternehmensportal-App, und wählen Sie Anmelden aus.
Geben Sie Ihre Microsoft Entra ID-Anmeldeinformationen ein, und wählen Sie Weiter aus.
Sie werden aufgefordert, den Zugriff für {Unternehmen} einzurichten. Der Platzhalter „Unternehmen“ unterscheidet sich je nach Setup. Wählen Sie Beginnen und dann auf dem nächsten Bildschirm Weiter aus.
Es werden Schritte zum Installieren des Verwaltungsprofils angezeigt, das vom Administratorteam in Microsoft Intune eingerichtet werden sollte. Wählen Sie Profil herunterladen aus.
Öffnen Sie Einstellungen>Datenschutz und Sicherheit>Profile, wenn keine automatische Anzeige erfolgt. Wählen Sie Verwaltungsprofil aus.
Wählen Sie Installieren aus, um Zugriff auf Unternehmensressourcen zu erhalten.
Geben Sie Ihr lokales Gerätekennwort im angezeigten Fenster Profile ein, und wählen Sie Registrieren aus.
Im Unternehmensportal wird eine Benachrichtigung angezeigt, dass die Installation abgeschlossen ist. Wählen Sie Fertig aus.
Plattform-SSO-Registrierung
Nachdem das Gerät nun mit dem Unternehmensportal konform ist, müssen Sie Ihr Gerät für PSSO registrieren. Nach erfolgreichem Abschluss des Schritts Intune MDM- und Microsoft Entra-Einbindung über das Unternehmensportal wird rechts oben auf dem Bildschirm das Popupfenster Registrierung erforderlich angezeigt. Verwenden Sie die Registerkarten, um Ihr Gerät für PSSO mithilfe von Secure Enclave, Smartcard oder Kennwort zu registrieren.
Navigieren Sie rechts oben auf dem Bildschirm zum Popupbereich Registrierung erforderlich. Zeigen Sie mit der Maus auf das Popupelement, und wählen Sie Registrieren aus. Benutzenden von macOS 14 Sonoma wird eine Aufforderung zum Registrieren Ihres Geräts bei Microsoft Entra angezeigt. Diese Aufforderung wird unter macOS 13 Ventura nicht angezeigt.
Nachdem Ihr Konto per Touch-ID oder Kennwort entsperrt wurde, wählen Sie das Konto für die Anmeldung aus, geben Ihre Anmeldeinformationen ein und wählen dann Weiter aus.
MFA ist bei diesem Anmeldeflow erforderlich. Öffnen Sie die Authenticator-App (empfohlen), oder verwenden Sie eine der anderen MFA-Methoden, die Sie registriert haben, und geben Sie die auf dem Bildschirm angezeigte Nummer ein, um die Registrierung abzuschließen.
Wenn der MFA-Flow abgeschlossen ist und der Ladebildschirm ausgeblendet wird, sollte Ihr Gerät bei PSSO registriert sein. Sie können ab sofort PSSO verwenden, um auf Microsoft-App-Ressourcen zuzugreifen.
Aktivieren von Plattformanmeldeinformationen für macOS für die Verwendung als Passkey
Wenn Sie Ihr Gerät mithilfe der Secure Enclave-Methode einrichten, können Sie die resultierenden Anmeldeinformationen, die auf dem Mac-Gerät gespeichert werden, im Browser als Passkey (Hauptschlüssel) verwenden. So aktivieren Sie diese Funktion
Öffnen Sie die App Einstellungen, und navigieren Sie zu Kennwörter>Kennwortoptionen.
Suchen Sie unter Kennwortoptionen die Option Kennwörter und Passkeys verwenden aus, und aktivieren Sie den Umschalter Unternehmensportal.
Überprüfen des Geräteregistrierungsstatus
Nachdem Sie die obigen Schritte abgeschlossen haben, sollten Sie den Geräteregistrierungsstatus überprüfen.
Um zu überprüfen, ob die Registrierung erfolgreich abgeschlossen wurde, navigieren Sie zu Einstellungen und wählen Benutzer und Gruppen aus.
Wählen Sie neben Netzwerkkontoserver die Option Bearbeiten aus, und überprüfen Sie, ob Plattform-SSO als Registriert aufgeführt wird.
Um die für die Authentifizierung verwendete Methode zu überprüfen, navigieren Sie im Fenster Benutzer und Gruppen zu Ihrem Benutzernamen und wählen das Symbol Informationen aus. Überprüfen Sie, ob als Methode Secure Enclave, Smartcard oder Kennwort aufgeführt wird.
Hinweis
Sie können auch die Terminal-App verwenden, um den Registrierungsstatus zu überprüfen. Führen Sie den folgenden Befehl aus, um den Status der Geräteregistrierung zu überprüfen. Sie sollten unten in der Ausgabe sehen, dass SSO-Token abgerufen werden. Unter macOS 13 Ventura ist dieser Befehl erforderlich, um den Registrierungsstatus zu überprüfen.
app-sso platform -s
Aktualisieren Ihres Mac-Geräts zum Aktivieren von PSSO
Für macOS-Geräte, die bereits im Unternehmensportal registriert sind, kann das Administratorteam PSSO aktivieren, indem das SSO-Erweiterungsprofil des Geräts aktualisiert wird. Nachdem das PSSO-Profil auf Ihrem Gerät bereitgestellt und installiert wurde, werden Sie über die Benachrichtigung Registrierung erforderlich rechts oben auf dem Bildschirm aufgefordert, Ihr Gerät für PSSO zu registrieren. Dadurch wird die alte SSO-Registrierung von Ihrem Gerät entfernt und durch die neue PSSO-Registrierung ersetzt.
Es wird zwar empfohlen, dies sofort zu erledigen, Sie können die Geräteregistrierung aber auch zu einem für Sie geeigneteren Zeitpunkt durchführen.