Unión de un dispositivo Mac con Microsoft Entra ID mediante Portal de empresa

En este tutorial, aprenderá a registrar un dispositivo Mac con el inicio de sesión único (PSSO) de macOS Platform mediante Portal de empresa y la inscripción mdm de Intune con Microsoft Entra Join. Hay tres métodos en los que puede registrar un dispositivo Mac con PSSO, enclave seguro, tarjeta inteligente o contraseña. Se recomienda usar enclave seguro o tarjeta inteligente para obtener la mejor experiencia sin contraseña, pero es importante tener en cuenta que el administrador de la empresa preestablecerá este método mediante Microsoft Intune.

Prerequisites

• Una versión mínima recomendada de macOS 14 Sonoma. Aunque macOS 13 Ventura es compatible, se recomienda encarecidamente usar macOS 14 Sonoma para obtener la mejor experiencia.
• Microsoft Intune Portal de empresa aplicación versión 5.2404.0 o posterior
• Un dispositivo Mac inscrito en la administración de dispositivos móviles (MDM) con Microsoft Intune.
• Una carga de MDM de la extensión SSO con la configuración de PSSO en Intune configurada por un administrador.
• Microsoft Authenticator (recomendado), el usuario debe estar registrado para algún tipo de autenticación multifactor (MFA) de Microsoft Entra ID para completar el registro del dispositivo.
• Para la configuración de tarjetas inteligentes, se ha configurado y habilitado la autenticación basada en certificados. Una tarjeta inteligente cargada con un certificado para la autenticación con Microsoft Entra y la tarjeta inteligente emparejada con la cuenta local.
• Los usuarios deben tener permisos suficientes para registrar y unir dispositivos a Microsoft Entra ID.
• Si tiene habilitado el filtrado de proxy de red o la inspección de TLS en su entorno, asegúrese de revisar la configuración sugerida documentada en la guía de solución de problemas de Platform Single Sign-On.

MDM de Intune y Microsoft Entra Join mediante el Portal de empresa

Para registrar un dispositivo Mac con PSSO, primero debe inscribir el dispositivo en Microsoft Intune mediante la aplicación Portal de empresa. Una vez inscrito, puedes usar enclave seguro, tarjeta inteligente o contraseña para registrar el dispositivo con PSSO.

1. Abra la aplicación Portal de empresa y seleccione Sign in.

2. Escriba las credenciales de Microsoft Entra ID y seleccione Siguiente.

3. Se te pedirá Configurar el acceso a {Company}. El marcador de posición "Company" es diferente en función de tu configuración. Selecciona Comenzar y, después, en la siguiente pantalla, selecciona Continuar.

   Captura de pantalla de la ventana de configuración de acceso al Portal de empresa.

4. Se le presentan los pasos para instalar el perfil de administración. Un administrador debe haber configurado el perfil de administración mediante Microsoft Intune. Selecciona Descargar perfil.

   

5. Abre Configuración > Privacidad y seguridad > Perfiles, si no se abre automáticamente. Selecciona Perfil de administración.

   Captura de pantalla de los perfiles de la aplicación Configuración que muestra un perfil de administración descargado.

6. Selecciona Instalar para obtener acceso a los recursos de la empresa.

   Captura de pantalla del mensaje para instalar el perfil de administración en la configuración.

7. Escribe la contraseña del dispositivo local en la ventana Perfiles que aparece y selecciona Inscribir.

   Captura de pantalla de la ventana de perfiles que solicita una contraseña para inscribirla en un servicio MDM.

8. Verá una notificación en Portal de empresa que se ha completado la instalación. Seleccione Listo.

Registro de Plataforma SSO

Ahora que el dispositivo cumple con Portal de empresa, debe registrar el dispositivo con PSSO. Aparece una ventana emergente con el mensaje Registro Requerido en la parte superior derecha de la pantalla después de completar correctamente Intune MDM y Microsoft Entra Join mediante el portal de la empresa. Usa las pestañas para registrar el dispositivo con PSSO mediante enclave seguro, tarjeta inteligente o contraseña.

Sugerencia

Si la ventana emergente "Registro Requerido" no aparece o desaparece antes de que puedas interactuar con ella:

• Espere aproximadamente 10 minutos — la ventana emergente vuelve a aparecer automáticamente después de un intento de registro fallido o no realizado.
• Cierra la sesión y vuelve a iniciarla en tu Mac; esto reactiva la notificación de registro.
• Reparar el registro (macOS 14+): vaya a Configuración > Usuarios y Grupos > Servidor de cuentas de red > Editar > Reparar para reiniciar el flujo de registro.
• Si cerró la solicitud de autenticación de SSO durante el registro, cierre la sesión y vuelva a iniciarla para restaurar la notificación.

Para obtener más pasos de resolución de problemas, consulte los problemas conocidos de SSO de la plataforma y su resolución.

1. Ve a la ventana emergente de Registro requerido en la esquina superior derecha de la pantalla. Mantén el puntero sobre el elemento emergente y selecciona Registrar. Para los usuarios de macOS 14 Sonoma, verá un mensaje para registrar el dispositivo con Microsoft Entra. Este mensaje no aparece para macOS 13 Ventura.

   

2. Una vez desbloqueada la cuenta con Touch ID o la contraseña, selecciona la cuenta en la que iniciar sesión, escribe las credenciales de inicio de sesión y selecciona Siguiente.

3. Se requiere MFA como parte de este flujo de inicio de sesión. Abre la aplicación Authenticator (recomendado) o usa otros métodos de MFA que hayas registrado y escribe el número que se muestra en la pantalla para finalizar el registro.

4. Cuando se completa el flujo de MFA y desaparece la pantalla de carga, el dispositivo debe registrarse con PSSO. Ahora puede usar PSSO para acceder a los recursos de la aplicación de Microsoft.

Habilitación de credenciales de plataforma para macOS para su uso como clave de paso

La configuración del dispositivo mediante el método de enclave seguro le permite usar la credencial resultante guardada en el equipo Mac como una clave de paso en el explorador. Para habilitarlo;

1. Abra la aplicación Configuración y vaya a GeneralAutocompletar y contraseñas.

2. En Autofill & Passwords, busque Autocompletar desde y habilite Portal de empresa a través del interruptor de alternancia.

   

Emparejar la tarjeta inteligente con la cuenta local

Para poder registrar el dispositivo con una tarjeta inteligente, debe emparejar la tarjeta inteligente con su cuenta local. Abra la aplicación Terminal y ejecute los siguientes comandos para buscar el hash de clave pública del certificado de tarjeta inteligente y emparejarlo con su cuenta local y a continuación, compruebe que se ha realizado correctamente. Esto debe ejecutarse mediante .

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Registro del dispositivo con la tarjeta inteligente

1. Dirígete al menú emergente "Registro requerido" en la parte superior derecha de la pantalla. Mantén el puntero sobre el elemento emergente y selecciona Registrar. Si la tarjeta inteligente está emparejada con su cuenta local, verá un mensaje para escribir el pin de tarjeta inteligente.

   Captura de pantalla del registro de Platform SSO, en el que solicita al usuario que escriba su pin de tarjeta inteligente.

2. Compruebe si el administrador ha configurado MFA para el flujo de registro de dispositivos. Si es así, abra la aplicación Authenticator en el dispositivo móvil y complete el flujo de MFA.

   Captura de pantalla de la ventana de registro que solicita inicio de sesión con Microsoft.

3. Si el certificado aún no está emparejado con la cuenta local, el usuario ve una solicitud para usar la tarjeta inteligente. Seleccione Tarjeta inteligente.

4. Se le pedirá que escriba el pin de la tarjeta inteligente. Escriba el pin y seleccione Escribir pin para la tarjeta inteligente. Cuando se escribe el pin correcto, se completa el registro de PSSO con autenticación de tarjeta inteligente.

5. Ahora puede usar PSSO para acceder a los recursos de la aplicación de Microsoft y desbloquear el dispositivo con el pin de tarjeta inteligente. Deberá usar la contraseña local para iniciar sesión después de reiniciar para desbloquear el acceso a la cadena de claves.

1. Ve a la ventana emergente de Registro requerido en la esquina superior derecha de la pantalla. Mantén el puntero sobre el elemento emergente y selecciona Registrar.

   • Para los usuarios de macOS 13 Ventura, verá un mensaje para registrar el dispositivo con Microsoft Entra ID. Escriba las credenciales de inicio de sesión y seleccione Siguiente.

   Captura de pantalla del escritorio con una ventana emergente que requiere registro en la parte superior derecha de la pantalla.

2. Se le pedirá que registre el dispositivo con Microsoft Entra ID. Escriba las credenciales de inicio de sesión y seleccione Siguiente.

   1. Compruebe si el administrador ha configurado MFA para el flujo de registro de dispositivos. Si es así, abra la aplicación Authenticator en el dispositivo móvil y complete el flujo de MFA.

   Captura de pantalla de la ventana de registro que solicita inicio de sesión con Microsoft.

3. Cuando aparezca una ventana Inicio de sesión único, escriba la contraseña de la cuenta local y seleccione Aceptar. Si está en macOS 14, se le pedirá que desbloquee la cuenta local de antemano.

   Captura de pantalla de una ventana de inicio de sesión único que solicita al usuario que escriba su contraseña de cuenta local.

4. Si la contraseña local difiere de la contraseña de Microsoft Entra ID, aparecerá una ventana emergente Authentication Requerida en la parte superior derecha de la pantalla. Mantenga el puntero sobre el banner y seleccione Iniciar sesión.

5. Cuando aparezca una ventana Microsoft Entra, escriba la contraseña Microsoft Entra ID y seleccione Sign In.

   

6. Después de desbloquear el equipo Mac, ahora puede usar PSSO para acceder a los recursos de la aplicación de Microsoft. Desde este momento, la contraseña antigua no funciona porque PSSO está habilitado para el dispositivo.

Comprobación del estado del registro del dispositivo

Una vez que haya completado los pasos anteriores, es una buena idea comprobar el estado de registro del dispositivo.

1. Para comprobar que el registro se ha completado correctamente, vaya a Configuración y seleccioneUsuarios y grupos.

2. Seleccione Editar junto a Servidor de cuentas de red y compruebe que Platform SSO aparezca como Registrado.

3. Para comprobar el método usado para la autenticación, vaya al nombre de usuario en la ventana de Usuarios y grupos y seleccione el icono Información. Compruebe el método enumerado, que debe ser Enclave seguro, Tarjeta inteligente o Contraseña.

   Note

   También puede usar la aplicaciónTerminal para comprobar el estado de registro. Ejecute el comando siguiente para comprobar el estado del registro del dispositivo. Debería ver que en la parte inferior del resultado se recuperan los tokens de SSO. Para los usuarios de macOS 13 Ventura, este comando es necesario para comprobar el estado de registro.

   app-sso platform -s
   

Actualización del dispositivo Mac para habilitar PSSO

Para los usuarios de macOS cuyo dispositivo ya está inscrito en Portal de empresa, el administrador puede habilitar PSSO actualizando el perfil de extensión SSO del dispositivo. Una vez implementado e instalado el perfil de PSSO en el dispositivo, se le pedirá que registre el dispositivo con PSSO a través de la notificación Registro requerido en la parte superior derecha de la pantalla. Esto reemplaza el registro antiguo de SSO en su dispositivo por el nuevo registro de PSSO.

Aunque se recomienda hacerlo inmediatamente, puede elegir seleccionarlo e iniciar el registro del dispositivo en un momento conveniente para usted.

Consulte también

• Unirse a un dispositivo Mac con Microsoft Entra ID durante la experiencia inicial
• Opciones de autenticación sin contraseña para Microsoft Entra ID
• Plane una implementación de autenticación sin contraseña en Microsoft Entra ID
• Complemento de Microsoft Enterprise SSO para dispositivos Apple