Compartir a través de

Configuración del inicio de sesión único de plataforma para dispositivos macOS en Microsoft Intune

  • Artículo
  • Se aplica a:
    ✅ macOS

En los dispositivos macOS, puede configurar Platform SSO para habilitar el inicio de sesión único (SSO) mediante la autenticación sin contraseña, las cuentas de usuario de Microsoft Entra ID o las tarjetas inteligentes. El inicio de sesión único de plataforma es una mejora del complemento de Inicio de sesión único de Microsoft Enterprise y la extensión de la aplicación sso. El inicio de sesión único de plataforma puede iniciar sesión en sus dispositivos Mac administrados mediante sus credenciales de Microsoft Entra ID y Touch ID.

Este artículo se aplica a:

  • macOS

El complemento Microsoft Enterprise SSO en Microsoft Entra ID incluye dos características de SSO: Sso de plataforma y extensión de aplicación sso. Este artículo se centra en la configuración del inicio de sesión único de Platform con el id. de Entra para dispositivos macOS que se encuentra en versión preliminar.

Algunas ventajas del inicio de sesión único de Platform incluyen:

  • Incluye la extensión de aplicación sso. No se configura la extensión de la aplicación sso por separado.
  • Vaya sin contraseña con credenciales resistentes a la suplantación de identidad que estén enlazadas por hardware al dispositivo Mac.
  • La experiencia de inicio de sesión es similar a iniciar sesión en un dispositivo Windows con una cuenta profesional o educativa, como hacen los usuarios con Windows Hello para empresas.
  • Ayuda a minimizar el número de veces que los usuarios necesitan especificar sus credenciales de Microsoft Entra ID.
  • Ayuda a reducir el número de contraseñas que los usuarios deben recordar.
  • Obtenga las ventajas de la unión a Microsoft Entra, que permite a cualquier usuario de la organización iniciar sesión en el dispositivo.
  • Se incluye con todos los planes de licencias de Microsoft Intune.

Cuando los dispositivos Mac se unen a un inquilino de Microsoft Entra ID, los dispositivos obtienen un certificado de unión al área de trabajo (WPJ) que está enlazado a hardware y solo es accesible por el complemento de INICIO de sesión único de Microsoft Enterprise. Para acceder a los recursos protegidos mediante el acceso condicional, las aplicaciones y los exploradores web necesitan este certificado WPJ. Con platform SSO configurado, la extensión de aplicación sso actúa como agente para la autenticación de Microsoft Entra ID y el acceso condicional.

El inicio de sesión único de plataforma se puede configurar mediante el catálogo de opciones. Cuando la directiva esté lista, asigne la directiva a los usuarios. Microsoft recomienda asignar la directiva cuando el usuario inscribe el dispositivo en Intune. Sin embargo, se puede asignar en cualquier momento, incluso en dispositivos existentes.

En este artículo se muestra cómo configurar el inicio de sesión único de Platform para dispositivos macOS en Intune.

Requisitos previos

  • Los dispositivos deben ejecutar macOS 13.0 y versiones posteriores.

  • Se requiere la versión5.2404.0 y posteriores de la aplicación Portal de empresa de Microsoft Intune. Esta versión incluye el inicio de sesión único de Platform.

  • Los exploradores web admitidos incluyen:

  • Para crear la directiva de Intune, como mínimo, inicie sesión con una cuenta que tenga los siguientes permisos de Intune:

    • Permisos de lectura, creación, actualización y asignación de configuración de dispositivos

    Hay algunos roles integrados que tienen estos permisos, como el rol RBAC de Intune del Administrador de perfiles y directivas. Para obtener más información sobre los roles de RBAC en Intune, vaya a Control de acceso basado en rol (RBAC) con Microsoft Intune.

Paso 1: Decidir el método de autenticación

Al crear la directiva de INICIO de sesión único de la plataforma en Intune, debe decidir el método de autenticación que desea usar.

La directiva de SSO de plataforma y el método de autenticación que usa cambian la forma en que los usuarios inician sesión en los dispositivos.

  • Al configurar el inicio de sesión único de platform, los usuarios inician sesión en sus dispositivos macOS con el método de autenticación que configure.
  • Cuando no usa el inicio de sesión único de Platform, los usuarios inician sesión en sus dispositivos macOS con una cuenta local. A continuación, inician sesión en aplicaciones y sitios web con su id. de Microsoft Entra.

En este paso, use la información para conocer las diferencias con los métodos de autenticación y cómo afectan a la experiencia de inicio de sesión del usuario.

Sugerencia

Microsoft recomienda usar Secure Enclave como método de autenticación al configurar el inicio de sesión único de platform.

Característica Enclave seguro Tarjeta inteligente Password
Sin contraseña (resistente a la suplantación de identidad)
TouchID compatible con el desbloqueo
Se puede usar como clave de paso
MFA obligatorio para la instalación

Siempre se recomienda la autenticación multifactor (MFA)
Contraseña de Mac local sincronizada con el id. de Entra
Compatible con macOS 13.x +
Compatible con macOS 14.x +
Opcionalmente, permita que los nuevos usuarios inicien sesión con credenciales de id. de entra (macOS 14.x +)

Enclave seguro

Al configurar Platform SSO con el método de autenticación Secure Enclave , el complemento sso usa claves criptográficas enlazadas por hardware. No usa las credenciales de Microsoft Entra para autenticar al usuario en aplicaciones y sitios web.

Para obtener más información sobre Secure Enclave, vaya a Enclave seguro (abre el sitio web de Apple).

Enclave seguro:

  • Se considera que no tiene contraseña y cumple los requisitos multifactor (MFA) resistentes a la phish. Conceptualmente es similar a Windows Hello para empresas. También puede usar las mismas características que Windows Hello para empresas, como el acceso condicional.
  • Deja el nombre de usuario y la contraseña de la cuenta local tal cual. Estos valores no se cambian.

    Nota:

    Este comportamiento es por diseño debido al cifrado de disco FileVault de Apple, que usa la contraseña local como clave de desbloqueo.

  • Después de reiniciar un dispositivo, los usuarios deben escribir la contraseña de la cuenta local. Después de desbloquear esta máquina inicial, touch ID se puede usar para desbloquear el dispositivo.
  • Después del desbloqueo, el dispositivo obtiene el token de actualización principal (PRT) respaldado por hardware para el inicio de sesión único en todo el dispositivo.
  • En los exploradores web, esta clave PRT se puede usar como clave de paso mediante las API de WebAuthN.
  • Su configuración se puede arrancar con una aplicación de autenticación para la autenticación MFA o el paso de acceso temporal (TAP) de Microsoft.
  • Permite la creación y el uso de las claves de paso de id. de Microsoft Entra.

Password

Al configurar platform SSO con el método de autenticación de contraseña , los usuarios inician sesión en el dispositivo con su cuenta de usuario de Microsoft Entra ID en lugar de con la contraseña de la cuenta local.

Esta opción habilita el inicio de sesión único en todas las aplicaciones que usan Microsoft Entra ID para la autenticación.

Con el método de autenticación de contraseña :

  • La contraseña de Microsoft Entra ID reemplaza la contraseña de la cuenta local y las dos contraseñas se mantienen sincronizadas.

    Nota:

    La contraseña del equipo de la cuenta local no se ha quitado completamente del dispositivo. Este comportamiento es por diseño debido al cifrado de disco FileVault de Apple, que usa la contraseña local como clave de desbloqueo.

  • El nombre de usuario de la cuenta local no cambia y permanece tal cual.

  • Los usuarios finales pueden usar Touch ID para iniciar sesión en el dispositivo.

  • Hay menos contraseñas para que los usuarios y administradores recuerden y administren.

  • Los usuarios deben escribir su contraseña de Id. de Microsoft Entra después de reiniciar un dispositivo. Después de desbloquear esta máquina inicial, Touch ID puede desbloquear el dispositivo.

  • Después del desbloqueo, el dispositivo obtiene la credencial de token de actualización principal (PRT) enlazada por hardware para el inicio de sesión único de Microsoft Entra ID.

Nota:

Cualquier directiva de contraseñas de Intune que configure también afecta a esta configuración. Por ejemplo, si tiene una directiva de contraseñas que bloquea contraseñas sencillas, las contraseñas simples también se bloquean para esta configuración.

Asegúrese de que la directiva de contraseñas de Intune o la directiva de cumplimiento coincidan con la directiva de contraseñas de Microsoft Entra. Si las directivas no coinciden, es posible que la contraseña no se sincronice y se deniegue el acceso a los usuarios finales.

Tarjeta inteligente

Al configurar platform sso con el método de autenticación de tarjeta inteligente , los usuarios pueden usar el certificado de tarjeta inteligente y el PIN asociado para iniciar sesión en el dispositivo y autenticarse en aplicaciones y sitios web.

Esta opción:

  • Se considera sin contraseña.
  • Deja el nombre de usuario y la contraseña de la cuenta local tal cual. Estos valores no se cambian.

Para obtener más información, vaya a Autenticación basada en certificados de Microsoft Entra en iOS y macOS.

Paso 2: Creación de la directiva de SSO de plataforma en Intune

Para configurar la directiva de SSO de plataforma, siga estos pasos para crear una directiva de catálogo de configuración de Intune . El complemento de inicio de sesión único de Microsoft Enterprise requiere esta configuración. Para obtener más información, vaya al complemento de inicio de sesión único de Microsoft Enterprise para dispositivos Apple.

Para obtener más información sobre la configuración de carga de la extensión de inicio de sesión único extensible, vaya a Configuración de carga de MDM de inicio de sesión único extensible para dispositivos Apple (abre el sitio web de Apple).

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>Administrar dispositivos>Configuración>Crear>nueva directiva.

  3. Escriba las propiedades siguientes:

    • Plataforma: seleccione macOS.
    • Tipo de perfil: seleccione Catálogo de configuración.

  4. Seleccione Crear.

  5. En Básico, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, asigne un nombre a la directiva macOS - Platform SSO.
    • Descripción: escriba una descripción para la directiva. Esta configuración es opcional pero recomendada.

  6. Seleccione Siguiente.

  7. En Opciones de configuración, seleccione Agregar configuración. En el selector de configuración, expanda Autenticación y seleccione Inicio de sesión único extensible (SSO):

    Captura de pantalla que muestra el selector configuración del catálogo de configuración y la selección de la categoría autenticación y sso extensible en Microsoft Intune.

    En la lista, seleccione la siguiente configuración:

    • Método de autenticación (en desuso) (solo macOS 13)
    • Identificador de extensión
    • Expanda Sso de plataforma:
      • Seleccionar método de autenticación (macOS 14+)
      • Seleccionar asignación de token a usuario
      • Seleccione Usar claves de dispositivo compartido.
    • Token de registro
    • Comportamiento de pantalla bloqueada
    • Identificador de equipo
    • Tipo
    • Direcciones URL

    Cierre el selector de configuración.

    Sugerencia

    Hay más opciones de configuración opcionales del inicio de sesión único de Platform que puede configurar en la directiva. Para obtener una lista, vaya a Más configuración de SSO de plataforma que puede configurar (en este artículo).

  8. Configure las siguientes opciones necesarias:

    Nombre Valor de configuración Descripción
    Método de autenticación (en desuso)
    (solo macOS 13)    		 Contraseña o UserSecureEnclave Seleccione el método de autenticación de Sso de plataforma que eligió en Paso 1: Decidir el método de autenticación (en este artículo).

    Esta configuración solo se aplica a macOS 13. Para macOS 14.0 y versiones posteriores, use la configuraciónMétodo de autenticación de SSO> de plataforma.
    Identificador de extensión com.microsoft.CompanyPortalMac.ssoextension Este identificador es la extensión de aplicación sso que el perfil necesita para que el inicio de sesión único funcione.

    Los valores de Identificador de extensión e Identificador de equipo funcionan juntos.
    Inicio de sesión único> de plataformaMétodo
    de autenticación(macOS 14+)    		 Contraseña, UserSecureEnclave o SmartCard Seleccione el método de autenticación de Sso de plataforma que eligió en Paso 1: Decidir el método de autenticación (en este artículo).

    Esta configuración se aplica a macOS 14 y versiones posteriores. Para macOS 13, use la configuración Método de autenticación (en desuso).
    Inicio de sesión único> de plataformaUso de claves
    de dispositivo compartido(macOS 14+)    		 Enabled Cuando está habilitado, platform SSO usa las mismas claves de firma y cifrado para todos los usuarios del mismo dispositivo.

    Se pide a los usuarios que actualicen de macOS 13.x a 14.x que se registren de nuevo.
    Token de registro {{DEVICEREGISTRATION}} Debe incluir las llaves. Para obtener más información sobre este token de registro, vaya a Configuración del registro de dispositivos Microsoft Entra.

    Esta configuración requiere que también configure la AuthenticationMethod configuración.

    - Si solo usa dispositivos macOS 13, configure la opción Método de autenticación (en desuso ).
    - Si solo usa dispositivos macOS 14+ y versiones posteriores, configure la opciónPlatform SSO Authentication Method (Método de autenticación de SSO> de plataforma).
    - Si tiene una combinación de dispositivos macOS 13 y macOS 14+, configure ambas opciones de autenticación en el mismo perfil.
    Comportamiento de pantalla bloqueada No controlar Cuando se establece en No controlar, la solicitud continúa sin inicio de sesión único.
    Asignación de token a usuario>Nombre de la cuenta preferred_username Este token especifica que el valor del atributo Entra preferred_username se usa para el valor nombre de cuenta de la cuenta de macOS.
    Asignación de token a usuario>Nombre completo name Este token especifica que la notificación Entra name se usa para el valor nombre completo de la cuenta macOS.
    Identificador de equipo UBF8T346G9 Este identificador es el identificador de equipo de la extensión de aplicación de complemento enterprise SSO.
    Tipo Redirect
    Direcciones URL Escriba todas las direcciones URL siguientes:

    https://login.microsoftonline.com
    https://login.microsoft.com
    https://sts.windows.net

    Si el entorno necesita permitir dominios de nube soberana, agregue también las siguientes direcciones URL:

    https://login.partner.microsoftonline.cn
    https://login.chinacloudapi.cn
    https://login.microsoftonline.us
    https://login-us.microsoftonline.com    		 Estos prefijos de dirección URL son los proveedores de identidades que realizan extensiones de aplicación sso. Las direcciones URL son necesarias para las cargas de redireccionamiento y se omiten para las cargas de credenciales .

    Para obtener más información sobre estas direcciones URL, vaya al complemento sso de Microsoft Enterprise para dispositivos Apple.

    Importante

    Si tiene una combinación de dispositivos macOS 13 y macOS 14+ en su entorno, configure los valores de Platform SSO>Authentication Method y Authentication Method (Deprecated) en el mismo perfil.

    Cuando el perfil está listo, es similar al ejemplo siguiente:

    Captura de pantalla que muestra la configuración recomendada del inicio de sesión único de plataforma en un perfil mdm de Intune.

  9. Seleccione Siguiente.

  10. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vaya a Uso de roles de RBAC y etiquetas de ámbito para TI distribuida.

    Seleccione Siguiente.

  11. En Asignaciones, seleccione los grupos de usuarios o dispositivos que reciben el perfil. Para dispositivos con afinidad de usuario, asigne a usuarios o grupos de usuarios. Para dispositivos con varios usuarios inscritos sin afinidad de usuario, asigne a dispositivos o grupos de dispositivos.

    Para obtener más información sobre la asignación de perfiles, vaya a Asignación de perfiles de usuario y dispositivo.

    Seleccione Siguiente.

  12. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

La siguiente vez que el dispositivo busca actualizaciones de configuración, se aplican los valores que configuró.

Paso 3: Implementación de la aplicación Portal de empresa para macOS

La aplicación Portal de empresa para macOS implementa e instala el complemento de inicio de sesión único de Microsoft Enterprise. Este complemento habilita el inicio de sesión único de Platform.

Con Intune, puede agregar la aplicación Portal de empresa e implementarla como una aplicación necesaria en los dispositivos macOS:

No hay ningún paso específico para configurar la aplicación para el inicio de sesión único de Platform. Solo tiene que asegurarse de que la aplicación portal de empresa más reciente se agrega a Intune y se implementa en los dispositivos macOS.

Si tiene instalada una versión anterior de la aplicación Portal de empresa, el inicio de sesión único de plataforma no funcionará.

Paso 4: Inscribir los dispositivos y aplicar las directivas

Para usar el inicio de sesión único de plataforma, los dispositivos deben estar inscritos en MDM en Intune mediante uno de los métodos siguientes:

  • En el caso de los dispositivos propiedad de la organización, puede:

  • Para dispositivos de propiedad personal, cree una directiva de inscripción de dispositivos. Con este método de inscripción, los usuarios finales abren la aplicación Portal de empresa e inician sesión con su identificador de Microsoft Entra. Cuando inician sesión correctamente, se aplica la directiva de inscripción.

En el caso de los dispositivos nuevos, se recomienda crear previamente y configurar todas las directivas necesarias, incluida la directiva de inscripción. A continuación, cuando los dispositivos se inscriben en Intune, las directivas se aplican automáticamente.

Para los dispositivos existentes ya inscritos en Intune, asigne la directiva de SSO de plataforma a los usuarios o grupos de usuarios. La próxima vez que los dispositivos se sincronicen o activen con el servicio Intune, recibirán la configuración de directiva de SSO de plataforma que cree.

Paso 5: Registro del dispositivo

Cuando el dispositivo recibe la directiva, hay una notificación de registro necesaria que se muestra en el Centro de notificaciones.

Captura de pantalla que muestra el mensaje de registro necesario en los dispositivos de usuario final al configurar el inicio de sesión único de plataforma en Microsoft Intune.

  • Los usuarios finales seleccionan esta notificación, inician sesión en el complemento Microsoft Entra ID con su cuenta de organización y completan la autenticación multifactor (MFA) si es necesario.

    Nota:

    MFA es una característica de Microsoft Entra. Asegúrese de que MFA está habilitado en el inquilino. Para obtener más información, incluidos los demás requisitos de la aplicación, vaya a Autenticación multifactor de Microsoft Entra.

  • Cuando se autentican correctamente, el dispositivo está unido a Microsoft Entra a la organización y el certificado de unión al área de trabajo (WPJ) está enlazado al dispositivo.

En los artículos siguientes se muestra la experiencia del usuario, en función del método de inscripción:

Paso 6: Confirmar la configuración en el dispositivo

Cuando se complete el registro de Platform SSO, puede confirmar que el inicio de sesión único de Platform está configurado. Para ver los pasos, vaya a Microsoft Entra ID: Comprobar el estado de registro del dispositivo.

En los dispositivos inscritos en Intune, también puede ir a Configuración>Perfiles deprivacidad y seguridad>. El perfil de SSO de plataforma se muestra en com.apple.extensiblesso Profile. Seleccione el perfil para ver la configuración que configuró, incluidas las direcciones URL.

Para solucionar problemas de inicio de sesión único de plataforma, vaya a problemas conocidos de inicio de sesión único de macOS Platform y solución de problemas.

Paso 7: Anulación de la asignación de los perfiles de extensión de aplicación de SSO existentes

Después de confirmar que la directiva de catálogo de configuración funciona, anule la asignación de los perfiles de extensión de aplicación de SSO existentes creados mediante la plantilla Características de dispositivo de Intune.

Si mantiene ambas directivas, pueden producirse conflictos.

Más opciones de configuración del inicio de sesión único de plataforma que puede configurar

Al crear el perfil de catálogo de configuración en Paso 2: Creación de la directiva de SSO de plataforma en Intune, hay opciones más opcionales que puede configurar.

La siguiente configuración le permite personalizar la experiencia del usuario final y proporcionar un control más pormenorizado sobre los privilegios de usuario. No se admite ninguna configuración de SSO de plataforma no documentada.

Configuración del inicio de sesión único de plataforma Posibles valores Uso
Nombre para mostrar de la cuenta Cualquier valor de cadena. Personalice el nombre de la organización que los usuarios finales ven en las notificaciones de SSO de plataforma.
Habilitación de la creación de un usuario al iniciar sesión Habilitar o deshabilitar. Permitir que cualquier usuario de la organización inicie sesión en el dispositivo con sus credenciales de Microsoft Entra.
Nuevo modo de autorización de usuario Estándar, Administrador o Grupos Permisos únicos que el usuario tiene al iniciar sesión cuando se crea la cuenta mediante el inicio de sesión único de Platform. Actualmente, se admiten los valores Estándar y Administrador . Se requiere al menos un usuario administrador en el dispositivo para poder usar el modo Estándar .
Modo de autorización de usuario Estándar, Administrador o Grupos Permisos persistentes que el usuario tiene al iniciar sesión cada vez que el usuario se autentica mediante el inicio de sesión único de Platform. Actualmente, se admiten los valores Estándar y Administrador . Se requiere al menos un usuario administrador en el dispositivo para poder usar el modo Estándar .

Errores frecuentes

Al configurar el inicio de sesión único de platform, es posible que vea los siguientes errores:

  • 10001: misconfiguration in the SSOe payload.

    Este error puede producirse si:

    • Hay una configuración necesaria que no está configurada en el perfil de catálogo de configuración.
    • Hay una configuración en el perfil de catálogo de configuración que configuró que no es aplicable a la carga del tipo de redireccionamiento.

    Las opciones de autenticación que se configuran en el perfil de catálogo de configuración son diferentes para dispositivos macOS 13.x y 14.x.

    Si tiene dispositivos macOS 13 y macOS 14 en su entorno, debe crear una directiva de catálogo de configuración y configurar sus respectivas opciones de autenticación en la misma directiva. Esta información se documenta en Paso 2: Creación de la directiva de SSO de plataforma en Intune (en este artículo).

  • 10002: multiple SSOe payloads configured.

    Varias cargas de extensión de SSO se aplican al dispositivo y están en conflicto. Solo debe haber un perfil de extensión en el dispositivo y ese perfil debe ser el perfil de catálogo de configuración.

    Si anteriormente creó un perfil de extensión de aplicación sso mediante la plantilla Características del dispositivo, anule la asignación de ese perfil. El perfil de catálogo de configuración es el único perfil que se debe asignar al dispositivo.