Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El inicio de sesión único de la plataforma macOS (PSSO) es una funcionalidad en macOS que está habilitada mediante la extensión de inicio de sesión único de Microsoft Enterprise. La Plataforma de Inicio de Sesión Único (SSO) permite a los usuarios integrar sus dispositivos macOS con Entra y acceder utilizando una clave vinculada al hardware, una tarjeta inteligente, o su contraseña de Microsoft Entra ID a través de un Token Primario de Actualización (PRT) de la Plataforma SSO.
Además del PRT de PSSO, Microsoft Entra también emite vales de concesión de vales de Kerberos (TGT) locales y basados en la nube que, a continuación, se comparten con la pila nativa de Kerberos en macOS a través de la asignación de TGT en PSSO. Los clientes tienen la flexibilidad de determinar cómo se usan estos TGT en su entorno y pueden configurar el archivo de extensión SSO de Kerberos en consecuencia. La extensión de SSO de Kerberos, propiedad y mantenida por Apple, está diseñada para proporcionar un inicio de sesión único sin problemas para los recursos basados en Kerberos en macOS. Para obtener ayuda necesaria con la configuración de la extensión de SSO de Kerberos, póngase en contacto con Apple.
En este tutorial se muestra cómo aprovechar el TGT de SSO de la plataforma para admitir el inicio de sesión único basado en Kerberos en recursos de la nube y locales, además del inicio de sesión único en Microsoft Entra ID. El SSO de Kerberos es una funcionalidad opcional dentro del SSO de la Plataforma, pero se recomienda si los usuarios aún necesitan acceder a recursos locales de Active Directory que utilizan Kerberos para la autenticación.
Personalización de la configuración de TGT de Kerberos
Los clientes pueden personalizar la configuración de mapeo de TGT mediante el siguiente par clave/valor en el diccionario de datos de extensión en la configuración de la extensión SSO. Esta opción solo está habilitada en la versión 2508 y posteriores del Portal de empresa.
-
Clave:
custom_tgt_setting -
Tipo:
Integer
| Importancia | Descripción |
|---|---|
0 |
Ambos TGT locales y en la nube: asigna TGT tanto locales como en la nube. Esta es la configuración predeterminada. |
1 |
Solo TGT local – Mapea solo el TGT local. |
2 |
Solo TGT en la nube: mapea únicamente el TGT de la nube. |
3 |
Sin TGT : deshabilita completamente la asignación de TGT. |
Ejemplo de configuración:
Requisitos previos
- La versión mínima recomendada de macOS 14.6 Sonoma.
- Microsoft Intune Company Portal versión 5.2408.0 o posterior
- Un dispositivo Mac inscrito en la administración de dispositivos móviles (MDM).
- Una carga MDM de extensión SSO configurada con la configuración de SSO de plataforma por parte de un administrador, ya implementada en el dispositivo. Consulta la documentación del inicio de sesión único de la plataforma o la guía de implementación de Intune si Intune es tu MDM.
- Implemente Microsoft Entra Kerberos, que es necesario para algunas capacidades de Kerberos en Active Directory local. Para obtener más información, consulte la guía de implementación de confianza de Cloud Kerberos para Windows Hello for Business o consulte directamente las instrucciones de configuración de confianza de Cloud Kerberos para iniciar la configuración. Si ya ha implementado Windows Hello for Business con la confianza de Kerberos en la nube o el inicio de sesión de clave de seguridad sin contraseña para Windows, este paso ya se ha completado.
Configuración del dispositivo macOS
Consulte la documentación Microsoft Entra ID SSO de la plataforma macOS para configurar e implementar el inicio de sesión único de plataforma. El inicio de sesión único de la plataforma debe implementarse en equipos Mac administrados por la empresa, independientemente de si decides implementar el inicio de sesión único de Kerberos mediante esta guía.
Configuración del perfil MDM de SSO de Kerberos para Active Directory local
Debe configurar perfiles MDM de Kerberos SSO independientes si tiene previsto usar Microsoft Entra ID Kerberos de la nube y entornos de Active Directory locales. Si no tiene previsto usar el TGT de Microsoft Entra Cloud Kerberos, solo tiene que configurar el perfil de inicio de sesión único de Kerberos local.
Use las opciones siguientes para configurar el perfil de on-premises Active Directory, asegurándose de reemplazar todas las referencias a contoso.com y Contoso por los valores adecuados para su entorno:
| Clave de configuración | Valor recomendado | Nota: |
|---|---|---|
Hosts |
<string>.contoso.com</string> |
Reemplaza contoso.com por el nombre de tu dominio o bosque local. Mantenga el carácter . que precede al nombre de dominio o bosque. |
Hosts |
<string>contoso.com</string> |
Reemplaza contoso.com por el nombre de tu dominio o bosque local |
Realm |
<string>CONTOSO.COM</string> |
Reemplace CONTOSO.COM por el nombre de su dominio local. El valor debe estar completamente en mayúsculas. |
PayloadOrganization |
<string>Contoso</string> |
Reemplaza Contoso por el nombre de la organización |
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>ExtensionData</key>
<dict>
<key>allowPasswordChange</key>
<true/>
<key>allowPlatformSSOAuthFallback</key>
<true/>
<key>performKerberosOnly</key>
<true/>
<key>pwReqComplexity</key>
<true/>
<key>syncLocalPassword</key>
<false/>
<key>usePlatformSSOTGT</key>
<true/>
</dict>
<key>ExtensionIdentifier</key>
<string>com.apple.AppSSOKerberos.KerberosExtension</string>
<key>Hosts</key>
<array>
<string>.contoso.com</string>
<string>contoso.com</string>
</array>
<key>Realm</key>
<string>CONTOSO.COM</string>
<key>PayloadDisplayName</key>
<string>Single Sign-On Extensions Payload for On-Premises</string>
<key>PayloadIdentifier</key>
<string>com.apple.extensiblesso.1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
<key>TeamIdentifier</key>
<string>apple</string>
<key>Type</key>
<string>Credential</string>
</dict>
</array>
<key>PayloadDescription</key>
<string></string>
<key>PayloadDisplayName</key>
<string>Kerberos SSO Extension for macOS for On-Premises</string>
<key>PayloadEnabled</key>
<true/>
<key>PayloadIdentifier</key>
<string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
<key>PayloadOrganization</key>
<string>Contoso</string>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
Guarde la configuración mediante un editor de texto con la extensión de archivo mobileconfig (por ejemplo, el archivo podría denominarse on-prem-kerberos.mobileconfig) después de actualizar la configuración con los valores adecuados para su entorno.
Configuración del perfil mdm de SSO de Kerberos para Microsoft Entra ID Cloud Kerberos
Debe configurar perfiles MDM de Kerberos SSO independientes si tiene previsto usar Microsoft Entra ID Kerberos de la nube y entornos de Active Directory locales. Se recomienda implementar el perfil de Active Directory local antes del perfil de Kerberos de Microsoft Entra ID Cloud.
Use las siguientes opciones para configurar el perfil de Kerberos de Microsoft Entra ID Cloud, asegurándose de reemplazar todas las referencias por los valores adecuados para el inquilino:
| Clave de configuración | Valor recomendado | Nota: |
|---|---|---|
preferredKDCs |
<string>kkdcp://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/kerberos</string> |
Reemplace el valor aaaabbbb-0000-cccc-1111-dddd2222eeee por el identificador de arrendatario, que se puede encontrar en la página Información general del Centro de administración de Microsoft Entra |
PayloadOrganization |
<string>Contoso</string> |
Reemplaza Contoso por el nombre de la organización |
Hosts |
<string>.windows.net</string> |
|
Hosts |
<string>windows.net</string> |
|
Realm |
<string>KERBEROS.MICROSOFTONLINE.COM</string> |
El valor debe estar completamente en mayúsculas. |
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>ExtensionData</key>
<dict>
<key>usePlatformSSOTGT</key>
<true/>
<key>performKerberosOnly</key>
<true/>
<key>preferredKDCs</key>
<array>
<string>kkdcp://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/kerberos</string>
</array>
</dict>
<key>ExtensionIdentifier</key>
<string>com.apple.AppSSOKerberos.KerberosExtension</string>
<key>Hosts</key>
<array>
<string>windows.net</string>
<string>.windows.net</string>
</array>
<key>Realm</key>
<string>KERBEROS.MICROSOFTONLINE.COM</string>
<key>PayloadDisplayName</key>
<string>Single Sign-On Extensions Payload for Microsoft Entra ID Cloud Kerberos</string>
<key>PayloadIdentifier</key>
<string>com.apple.extensiblesso.00aa00aa-bb11-cc22-dd33-44ee44ee44ee</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>00aa00aa-bb11-cc22-dd33-44ee44ee44ee</string>
<key>TeamIdentifier</key>
<string>apple</string>
<key>Type</key>
<string>Credential</string>
</dict>
</array>
<key>PayloadDescription</key>
<string></string>
<key>PayloadDisplayName</key>
<string>Kerberos SSO Extension for macOS for Microsoft Entra ID Cloud Kerberos</string>
<key>PayloadEnabled</key>
<true/>
<key>PayloadIdentifier</key>
<string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
<key>PayloadOrganization</key>
<string>Contoso</string>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
Guarde la configuración mediante un editor de texto con la extensión de archivo mobileconfig (por ejemplo, el archivo podría denominarse cloud-kerberos.mobileconfig) después de actualizar la configuración con los valores adecuados para su entorno.
Nota:
Asegúrese de prestar atención a las claves usePlatformSSOTGT y performKerberosOnly. Si usePlatformSSOTGT se establece en true, la extensión Kerberos utiliza el TGT del SSO de la plataforma con el mismo realm. El valor predeterminado es false. Si performKerberosOnly se establece en true, la extensión Kerberos no realiza comprobaciones de expiración de contraseñas, comprobaciones de cambios de contraseña externas ni recupera el directorio principal del usuario. El valor predeterminado es false. Esto es aplicable a las configuraciones locales y en la nube, estas claves deben configurarse en ambos perfiles.
Pasos de la configuración de Intune
Si usas Intune como MDM, puedes realizar los pasos siguientes para implementar el perfil. Asegúrese de seguir las instrucciones anteriores sobre cómo reemplazar los valores de contoso.com por los valores adecuados para su organización.
- Inicie sesión en el centro de administración de Microsoft Intune.
- Selecciona Dispositivos>Configuración>Crear>Nueva directiva.
- Escribe las siguientes propiedades:
- Plataforma: seleccione macOS.
- Tipo de perfil: seleccione Plantillas.
- Elige la plantilla Personalizada y selecciona Crear.
- En Datos básicos, escribe las propiedades siguientes:
- Nombre: escribe un nombre descriptivo para la directiva. Asigna un nombre a las directivas para poder identificarlas fácilmente más adelante. Por ejemplo, asigna un nombre a la directiva macOS - SSO de Plataforma Kerberos.
- Descripción: escribe una descripción de la directiva. Esta configuración es opcional pero se recomienda.
- Seleccione Siguiente.
- Escribe un nombre en el cuadro Nombre del perfil de configuración personalizado.
- Elija un canal de implementación. Se recomienda el canal del dispositivo.
- Haz clic en el icono de carpeta para cargar el archivo de perfil de configuración. Elija el archivo kerberos.mobileconfig que [guardó anteriormente](#configuración de perfil de SSO MDM para Active Directory local) después de personalizar la plantilla.
- Seleccione Siguiente.
- En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como
US-NC IT TeamoJohnGlenn_ITDepartment. Seleccione Siguiente.- Para más información sobre las etiquetas de ámbito, consulte Usar roles de control de acceso basado en rol (RBAC) y etiquetas de ámbito para TI distribuida.
- En Asignaciones, selecciona los usuarios o grupos de usuarios que recibirán el perfil. Las políticas de inicio de sesión único de la plataforma son políticas basadas en el usuario. No asignes la política de inicio de sesión único (SSO) de la plataforma a los dispositivos.
- Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.
- Seleccione Siguiente.
- En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La política también se muestra en la lista de perfiles.
- Repita este proceso si necesita implementar ambos perfiles porque usará el inicio de sesión único de Kerberos local y Microsoft Entra ID Cloud Kerberos.
La próxima vez que el dispositivo compruebe si hay actualizaciones de configuración, se aplicarán las opciones que configuraste.
Prueba de SSO de Kerberos
Una vez que el usuario haya completado el registro de SSO de la plataforma, puede comprobar que el dispositivo tiene tickets Kerberos ejecutando el app-sso platform -s comando en la aplicación Terminal.
app-sso platform -s
Debe tener dos tickets Kerberos: uno para su AD local con el valor ticketKeyPath de tgt_ad y otro para su tenant de Microsoft Entra ID con el valor ticketKeyPath de tgt_cloud. La salida debe ser similar a la siguiente:
Comprueba que la configuración funciona mediante pruebas con los recursos adecuados compatibles con Kerberos:
- Pruebe on-premises Active Directory funcionalidad mediante el acceso a un servidor de archivos integrado de AD local mediante Finder o una aplicación web mediante Safari. El usuario debe poder acceder al recurso compartido de archivos sin que se le pidan credenciales interactivas.
- Pruebe la funcionalidad de Kerberos de Microsoft Entra ID accediendo a un recurso compartido de Azure Files habilitado para Kerberos en la nube de Microsoft Entra ID. El usuario debe poder acceder al recurso compartido de archivos sin que se le pidan credenciales interactivas.
Nota:
Tenga en cuenta que la implementación del inicio de sesión único de la plataforma de Microsoft es responsable de emitir los TGT de Kerberos y entregarlos a macOS para que macOS pueda importarlos. Si ve TGT al ejecutar app-sso platform -s, los TGT se han importado correctamente. Si experimenta problemas continuos de Kerberos, como problemas de acceso a los recursos locales a través de Kerberos, se recomienda ponerse en contacto con Apple para obtener soporte técnico con la configuración adicional de los perfiles de MDM de Kerberos. La implementación de Kerberos en macOS usa funcionalidades nativas de Kerberos proporcionadas por Apple.
Uso de TGT de Kerberos en la nube para acceder a Azure File Storage
El TGT en la nube emitido mediante la función SSO de la plataforma permite el acceso sin interrupciones a los recursos compartidos de archivos de Azure sin pedir a los usuarios credenciales interactivas. Tenga en cuenta que el acceso a los recursos compartidos de archivos de Azure mediante la característica TGT de Kerberos de PSSO está actualmente en versión preliminar limitada. Si está interesado en probarlo, póngase en contacto con azurefiles@microsoft.com para obtener soporte técnico de incorporación. Si necesita instrucciones sobre cómo configurar un recurso compartido de archivos en la nube en Azure Files, consulte este guía.
Nota:
Al montar el recurso compartido de archivos a través de SMB, asegúrese de que el archivo de manifiesto asociado al registro de la aplicación para Azure File Share incluye la asignación de cifs en minúsculas. Si este valor se establece en mayúsculas CIFS, puede provocar problemas durante el proceso de montaje.
Problemas conocidos
Menú extra de la extensión de Kerberos SSO
Al implementar soporte para el inicio de sesión único (SSO) de Kerberos junto con el inicio de sesión único de la plataforma, se siguen utilizando las capacidades estándar de extensión de Kerberos SSO de macOS. Al igual que con una implementación de la extensión de SSO de Kerberos nativa sin SSO de plataforma, el menú de extensión de SSO Kerberos adicional aparecerá en la barra de menús de macOS:
Al implementar la compatibilidad de Kerberos con el inicio de sesión único de la plataforma, los usuarios no necesitan interactuar con el menú de extensión de SSO de Kerberos adicional para que funcione la funcionalidad de Kerberos. La funcionalidad de SSO de Kerberos seguirá funcionando si el usuario no inicia sesión en la barra de menús adicional y la barra de menús adicionales notifica "No iniciado sesión". Puede indicar a los usuarios que omitan la barra de menús adicional al implementar el SSO de plataforma, según este artículo. Alternativamente, asegúrese de validar que la funcionalidad Kerberos funciona según lo previsto sin interacción con la barra de menús adicional, como se describe en la sección Prueba de SSO de Kerberos de este artículo.
Compatibilidad del navegador con SSO de Kerberos
Algunos exploradores requieren una configuración adicional para habilitar la compatibilidad con el inicio de sesión único de Kerberos, incluso si está utilizando el inicio de sesión único de la plataforma para habilitar Kerberos en los dispositivos macOS. Al implementar la compatibilidad con Kerberos en macOS, implemente la configuración adecuada para cada uno de los exploradores que use para asegurarse de que pueden interactuar con las características del inicio de sesión único de Kerberos de macOS:
- Safari: admite el inicio de sesión único de Kerberos de forma predeterminada.
- Microsoft Edge:
- Configure la configuración AuthNegotiateDelegateAllowlist para incluir la información del bosque de Active Directory local: AuthNegotiateDelegateAllowlist
- Configura el ajuste AuthServerAllowlist para incluir la información del forest local de Active Directory: AuthServerAllowlist
- Google Chrome
- Configure la configuración AuthNegotiateDelegateAllowlist para incluir la información del bosque de Active Directory local: AuthNegotiateDelegateAllowlist
- Configura el ajuste AuthServerAllowlist para incluir la información del forest local de Active Directory: AuthServerAllowlist
- Mozilla Firefox
- Configure las entradas network.negotiate-auth.trusted-uris y network.automatic-ntlm-auth.trusted-uris de Mozilla Firefox para habilitar la compatibilidad con el inicio de sesión único de Kerberos.