Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los usuarios de Mac pueden unir su nuevo dispositivo a Microsoft Entra ID durante la primera experiencia rápida (OOBE). El inicio de sesión único de la plataforma macOS (PSSO) es una funcionalidad en macOS que está habilitada mediante la extensión de inicio de sesión único de Microsoft Enterprise. PSSO permite a los usuarios iniciar sesión en un dispositivo Mac mediante una clave enlazada a hardware, una tarjeta inteligente o su contraseña de Microsoft Entra ID.
En este tutorial se muestra cómo configurar el inicio de sesión único de plataforma para admitir el inicio de sesión único basado en Kerberos en recursos locales y en la nube, además del inicio de sesión único de Microsoft Entra ID. El inicio de sesión único de Kerberos es una funcionalidad opcional dentro del inicio de sesión único de la plataforma, pero se recomienda si los usuarios siguen necesitando acceder a los recursos de Active Directory local que usan Kerberos para la autenticación.
Requisitos previos
- La versión mínima recomendada de macOS 14.6 Sonoma.
- Portal de empresa de Microsoft Intune versión 5.2408.0 o posterior
- Un dispositivo Mac inscrito en la administración de dispositivos móviles (MDM).
- Una carga MDM de extensión SSO configurada con la configuración de SSO de plataforma por parte de un administrador, ya implementada en el dispositivo. Consulta la documentación del inicio de sesión único de la plataforma o la guía de implementación de Intune si Intune es tu MDM.
- Implementa Kerberos de Microsoft Entra, ya que se necesita para algunas funcionalidades de Kerberos en Active Directory local. Para obtener más información, consulte la guía de implementación de confianza de Kerberos en la nube para Windows Hello para empresas o consulte directamente las instrucciones de configuración de confianza de Kerberos en la nube para comenzar la configuración. Si ya has implementado Windows Hello para empresas con la confianza de Kerberos en la nube o el inicio de sesión de clave de seguridad sin contraseña para Windows, este paso ya se ha completado.
Configuración del dispositivo macOS
Consulte la documentación de Microsoft Entra ID macOS Platform SSO para configurar e implementar el SSO de la plataforma. El inicio de sesión único de la plataforma debe implementarse en equipos Mac administrados por la empresa, independientemente de si decides implementar el inicio de sesión único de Kerberos mediante esta guía.
Configuración del perfil mdm de SSO de Kerberos para Active Directory local
Debe configurar perfiles MDM de SSO de Kerberos por separado si tiene previsto usar Kerberos de Microsoft Entra ID Cloud y reinos locales de Active Directory. Se recomienda implementar el perfil de Active Directory local antes del perfil Kerberos de Microsoft Entra ID Cloud.
Use las siguientes opciones para configurar el perfil de Active Directory local, asegurándose de reemplazar todas las referencias a contoso.com y Contoso por los valores adecuados para su entorno:
Clave de configuración | Valor recomendado | Nota: |
---|---|---|
Hosts |
<string>.contoso.com</string> |
Reemplaza contoso.com por el nombre de tu dominio o bosque local |
Hosts |
<string>contoso.com</string> |
Reemplaza contoso.com por el nombre de tu dominio o bosque local. Conserva los caracteres anteriores . antes del nombre de dominio o bosque |
Realm |
<string>CONTOSO.COM</string> |
Reemplace CONTOSO.COM por el nombre de su dominio local. El valor debe estar completamente en mayúsculas. |
PayloadOrganization |
<string>Contoso</string> |
Reemplaza Contoso por el nombre de la organización |
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>ExtensionData</key>
<dict>
<key>allowPasswordChange</key>
<true/>
<key>allowPlatformSSOAuthFallback</key>
<true/>
<key>performKerberosOnly</key>
<true/>
<key>pwReqComplexity</key>
<true/>
<key>syncLocalPassword</key>
<false/>
<key>usePlatformSSOTGT</key>
<true/>
</dict>
<key>ExtensionIdentifier</key>
<string>com.apple.AppSSOKerberos.KerberosExtension</string>
<key>Hosts</key>
<array>
<string>.contoso.com</string>
<string>contoso.com</string>
</array>
<key>Realm</key>
<string>CONTOSO.COM</string>
<key>PayloadDisplayName</key>
<string>Single Sign-On Extensions Payload for On-Premises</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
<key>TeamIdentifier</key>
<string>apple</string>
<key>Type</key>
<string>Credential</string>
</dict>
</array>
<key>PayloadDescription</key>
<string></string>
<key>PayloadDisplayName</key>
<string>Kerberos SSO Extension for macOS for On-Premises</string>
<key>PayloadEnabled</key>
<true/>
<key>PayloadIdentifier</key>
<string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
<key>PayloadOrganization</key>
<string>Contoso</string>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
Guarde la configuración mediante un editor de texto con la extensión de archivo mobileconfig (por ejemplo, el archivo podría denominarse on-prem-kerberos.mobileconfig) después de actualizar la configuración con los valores adecuados para su entorno.
Configuración del perfil mdm de SSO de Kerberos para Microsoft Entra ID Cloud Kerberos
Debe configurar perfiles MDM de SSO de Kerberos por separado si tiene previsto usar Kerberos de Microsoft Entra ID Cloud y reinos locales de Active Directory. Se recomienda implementar el perfil de Active Directory local antes del perfil Kerberos de Microsoft Entra ID Cloud.
Use las siguientes opciones para configurar el perfil kerberos de Microsoft Entra ID Cloud, asegurándose de reemplazar todas las referencias por los valores adecuados para el inquilino:
Clave de configuración | Valor recomendado | Nota: |
---|---|---|
preferredKDCs |
<string>kkdcp://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/kerberos</string> |
Reemplace el valor aaaabbbb-0000-cccc-1111-dddd2222eeee por el identificador del arrendatario de su arrendatario, que se puede encontrar en la página Información general del Centro de administración de Microsoft Entra. |
PayloadOrganization |
<string>Contoso</string> |
Reemplaza Contoso por el nombre de la organización |
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>ExtensionData</key>
<dict>
<key>usePlatformSSOTGT</key>
<true/>
<key>performKerberosOnly</key>
<true/>
<key>preferredKDCs</key>
<array>
<string>kkdcp://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/kerberos</string>
</array>
</dict>
<key>ExtensionIdentifier</key>
<string>com.apple.AppSSOKerberos.KerberosExtension</string>
<key>Hosts</key>
<array>
<string>windows.net</string>
<string>.windows.net</string>
</array>
<key>Realm</key>
<string>KERBEROS.MICROSOFTONLINE.COM</string>
<key>PayloadDisplayName</key>
<string>Single Sign-On Extensions Payload for Microsoft Entra ID Cloud Kerberos</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>00aa00aa-bb11-cc22-dd33-44ee44ee44ee</string>
<key>TeamIdentifier</key>
<string>apple</string>
<key>Type</key>
<string>Credential</string>
</dict>
</array>
<key>PayloadDescription</key>
<string></string>
<key>PayloadDisplayName</key>
<string>Kerberos SSO Extension for macOS for Microsoft Entra ID Cloud Kerberos</string>
<key>PayloadEnabled</key>
<true/>
<key>PayloadIdentifier</key>
<string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
<key>PayloadOrganization</key>
<string>Contoso</string>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
Guarde la configuración mediante un editor de texto con la extensión de archivo mobileconfig (por ejemplo, el archivo podría denominarse cloud-kerberos.mobileconfig) después de actualizar la configuración con los valores adecuados para su entorno.
Nota:
Asegúrese de prestar atención a las claves usePlatformSSOTGT y performKerberosOnly. Si usePlatformSSOTGT se establece en true, la extensión Kerberos utiliza el TGT del SSO de la plataforma con el mismo realm. El valor predeterminado es false. Si performKerberosOnly se establece en true, la extensión Kerberos no realiza comprobaciones de expiración de contraseñas, comprobaciones de cambios de contraseña externas ni recupera el directorio principal del usuario. El valor predeterminado es false. Esto es aplicable a las configuraciones locales y en la nube, estas claves deben configurarse en ambos perfiles.
Pasos de la configuración de Intune
Si usas Intune como MDM, puedes realizar los pasos siguientes para implementar el perfil. Asegúrese de seguir las [instrucciones anteriores](#Kerberos configuración del perfil mdm de SSO para Active Directory local) sobre cómo reemplazar los valores de contoso.com por los valores adecuados para su organización.
- Inicia sesión en el Centro de administración de Microsoft Intune.
- Selecciona Dispositivos>Configuración>Crear>Nueva directiva.
- Escribe las siguientes propiedades:
- Plataforma: selecciona macOS.
- Tipo de perfil: selecciona Plantillas.
- Elige la plantilla Personalizada y selecciona Crear.
- En Datos básicos, escribe las propiedades siguientes:
- Nombre: escribe un nombre descriptivo para la directiva. Asigna un nombre a las directivas para poder identificarlas fácilmente más adelante. Por ejemplo, asigna un nombre a la directiva macOS - SSO Kerberos Plataforma.
- Descripción: escribe una descripción de la directiva. Esta configuración es opcional pero se recomienda.
- Selecciona Siguiente.
- Escribe un nombre en el cuadro Nombre del perfil de configuración personalizado.
- Elige un canal de implementación. Se recomienda el canal de dispositivo.
- Haz clic en el icono de carpeta para cargar el archivo de perfil de configuración. Elija el archivo kerberos.mobileconfig que [guardó anteriormente](#Kerberos configuración del perfil MDM de SSO para Active Directory local) después de personalizar la plantilla.
- Selecciona Siguiente.
- En Etiquetas de ámbito (opcional), asigna una etiqueta para filtrar el perfil a grupos de TI específicos, como
US-NC IT Team
oJohnGlenn_ITDepartment
. Selecciona Siguiente.- Para obtener más información sobre las etiquetas de ámbito, consulta Uso de roles RBAC y etiquetas de ámbito para TI distribuidas.
- En Asignaciones, selecciona los usuarios o grupos de usuarios que recibirán el perfil. Las directivas de inicio de sesión único de la plataforma son directivas basadas en el usuario. No asignes la directiva de inicio de sesión único de plataforma a los dispositivos.
- Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.
- Selecciona Siguiente.
- Selecciona el botón Revisar y crear para revisar la configuración. Al seleccionar Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.
- Repita este proceso si necesita implementar ambos perfiles porque usará tanto Kerberos SSO local como Kerberos de Microsoft Entra ID Cloud.
La próxima vez que el dispositivo compruebe si hay actualizaciones de configuración, se aplicarán las opciones que configuraste.
Prueba del inicio de sesión único de Kerberos
Una vez que el usuario haya completado el registro de SSO de la plataforma, puede comprobar que el dispositivo tiene tickets Kerberos ejecutando el app-sso platform -s
comando en la aplicación Terminal.
app-sso platform -s
Debes tener dos vales Kerberos, uno para tu AD local con el valor ticketKeyPath de tgt_ad y otro para el inquilino de Microsoft Entra ID con el valor ticketKeyPath de tgt_cloud. La salida debe ser similar a la siguiente:
Comprueba que la configuración funciona mediante pruebas con los recursos adecuados compatibles con Kerberos:
- Prueba la funcionalidad de Active Directory local mediante el acceso a un servidor de archivos integrado de AD local a través de Finder o una aplicación web mediante Safari. El usuario debe poder acceder al recurso compartido de archivos sin que se le pidan credenciales interactivas.
- Prueba la funcionalidad Kerberos de Microsoft Entra ID mediante el acceso a un recurso compartido de Azure Files habilitado para Kerberos en la nube de Microsoft Entra ID. El usuario debe poder acceder al recurso compartido de archivos sin que se le pidan credenciales interactivas. Consulta esta guía si necesitas configurar un recurso compartido de archivos en la nube en Azure Files.
Nota:
Tenga en cuenta que la implementación del inicio de sesión único de la plataforma de Microsoft es responsable de emitir los TGT de Kerberos y entregarlos a macOS para que macOS pueda importarlos. Si ve TGT al ejecutar app-sso platform -s
, los TGT se han importado correctamente. Si experimenta problemas continuos de Kerberos, como problemas de acceso a los recursos locales a través de Kerberos, se recomienda ponerse en contacto con Apple para obtener soporte técnico con la configuración adicional de los perfiles de MDM de Kerberos. La implementación de Kerberos en macOS usa funcionalidades nativas de Kerberos proporcionadas por Apple.
Problemas conocidos
Menú de extensión de SSO de Kerberos adicional
Al implementar soporte para el inicio de sesión único (SSO) de Kerberos junto con el inicio de sesión único de la plataforma, se siguen utilizando las capacidades estándar de extensión de Kerberos SSO de macOS. Al igual que con una implementación de la extensión de SSO de Kerberos nativa sin SSO de plataforma, el menú de extensión de SSO Kerberos adicional aparecerá en la barra de menús de macOS:
Al implementar la compatibilidad de Kerberos con el inicio de sesión único de la plataforma, los usuarios no necesitan interactuar con el menú de extensión de SSO de Kerberos adicional para que funcione la funcionalidad de Kerberos. La funcionalidad de SSO de Kerberos seguirá funcionando si el usuario no inicia sesión en la barra de menús adicional y la barra de menús adicionales notifica "No iniciado sesión". Puede indicar a los usuarios que omitan la barra de menús adicional al implementar el SSO de plataforma, según este artículo. Alternativamente, asegúrese de validar que la funcionalidad Kerberos funciona según lo previsto sin interacción con la barra de menús adicional, como se describe en la sección Prueba de SSO de Kerberos de este artículo.
Compatibilidad del explorador con el inicio de sesión único de Kerberos
Algunos exploradores requieren una configuración adicional para habilitar la compatibilidad con el inicio de sesión único de Kerberos, incluso si está utilizando el inicio de sesión único de la plataforma para habilitar Kerberos en los dispositivos macOS. Al implementar la compatibilidad con Kerberos en macOS, implemente la configuración adecuada para cada uno de los exploradores que use para asegurarse de que pueden interactuar con las características del inicio de sesión único de Kerberos de macOS:
- Safari: admite el inicio de sesión único de Kerberos de forma predeterminada.
- Microsoft Edge:
- Configure la entrada AuthNegotiateDelegateAllowlist para incluir la información del bosque de Active Directory local: AuthNegotiateDelegateAllowlist.
- Configure la entrada AuthNegotiateDelegateAllowlist para incluir la información del bosque de Active Directory local: AuthNegotiateDelegateAllowlist
- Google Chrome
- Configure la entrada AuthNegotiateDelegateAllowlist para incluir la información del bosque de Active Directory local: AuthNegotiateDelegateAllowlist.
- Configure la entrada AuthNegotiateDelegateAllowlist para incluir la información del bosque de Active Directory local: AuthNegotiateDelegateAllowlist
- Mozilla Firefox
- Configure las entradas network.negotiate-auth.trusted-uris y network.automatic-ntlm-auth.trusted-uris de Mozilla Firefox para habilitar la compatibilidad con el inicio de sesión único de Kerberos.
Consulte también
- Unión de un dispositivo Mac con Microsoft Entra ID mediante el Portal de empresa
- Opciones de autenticación sin contraseña para Microsoft Entra ID
- Planeamiento de una implementación de autenticación sin contraseña en Id. de Microsoft Entra
- Complemento de Microsoft Enterprise SSO para dispositivos Apple