Inicio de sesión único de plataforma para macOS (versión preliminar)

El inicio de sesión único de plataforma (PSSO) para macOS es una nueva característica con la tecnología del complemento de Microsoft Enterprise SSO, Credenciales de plataforma para macOS que permite a los usuarios iniciar sesión en dispositivos Mac con sus credenciales de Microsoft Entra ID. Esta característica proporciona ventajas a los administradores al simplificar el proceso de inicio de sesión para los usuarios y reducir el número de contraseñas que necesitan recordar. También permite a los usuarios autenticarse con Microsoft Entra ID con una tarjeta inteligente o una clave enlazada a hardware. Esta característica mejora la experiencia del usuario final, que no tiene que recordar dos contraseñas independientes, y disminuye la necesidad de que los administradores tengan que administrar la contraseña de la cuenta local.

Hay tres métodos de autenticación diferentes que determinan la experiencia del usuario final;

• Credencial de plataforma para macOS: aprovisiona una clave criptográfica enlazada a hardware respaldada por el enclave seguro, que se usa para el inicio de sesión único en todas las aplicaciones que usan Microsoft Entra ID para la autenticación. La contraseña de la cuenta local del usuario no se ve afectada y es necesaria para iniciar sesión en el equipo Mac.
• Tarjeta inteligente: el usuario inicia sesión en la máquina mediante una tarjeta inteligente externa o un token de hardware compatible con tarjetas inteligentes (por ejemplo, Yubikey). Una vez desbloqueado el dispositivo, la tarjeta inteligente se usa con Microsoft Entra ID para conceder SSO entre aplicaciones que usan Microsoft Entra ID para la autenticación.
• Contraseña como método de autenticación: sincroniza la contraseña de Microsoft Entra ID del usuario con la cuenta local y habilita el inicio de sesión único en todas las aplicaciones que usan Microsoft Entra ID para la autenticación.

Con tecnología del complemento de Microsoft Enterprise SSO para dispositivos Apple, PSSO:

• Permite a los usuarios acceder sin contraseña mediante Touch ID.
• Usa credenciales resistentes a la suplantación de identidad (phishing), basadas en la tecnología de Windows Hello para empresas.
• Ahorra dinero a las organizaciones de los clientes quitando la necesidad de usar claves de seguridad.
• Permite avanzar hacia los objetivos de Confianza cero mediante la integración con el enclave seguro.

Para habilitarlo, un administrador debe configurar PSSO a través de Microsoft Intune u otro MDM compatible. En función de cómo se configure el dispositivo, el usuario final puede configurar su dispositivo con PSSO a través del enclave seguro, la tarjeta inteligente o el método de autenticación basado en contraseña.

Requisitos

Para implementar el inicio de sesión único de plataforma para macOS, necesita cumplir los siguientes requisitos mínimos.

• La versión mínima recomendada de macOS 14 Sonoma. Aunque macOS 13 Ventura es compatible, se recomienda encarecidamente usar macOS 14 Sonoma para obtener la mejor experiencia.
• Microsoft Authenticator
• La versión 5.2404.0 de la aplicación Portal de empresa de Microsoft Intune o posterior instalada. Esta versión es necesaria para que se pueda destinar a los usuarios a PSSO.

Implementación

Puede encontrar más información e instrucciones sobre cómo implementar el inicio de sesión único de plataforma para macOS en estos artículos.

• Unir un dispositivo Mac con Microsoft Entra ID durante la experiencia rápida
• Unir un dispositivo Mac con Microsoft Entra ID mediante el Portal de empresa

Autenticación sin contraseñas

Las contraseñas son un vector de ataque principal de los actores con malas intenciones. Usan ataques de ingeniería social, suplantación de identidad (phishing) y ataques de pulverización de contraseñas para obtenerlas. Una estrategia de autenticación sin contraseña mitiga el riesgo de estos ataques.

Obtenga información sobre cómo puede usar el inicio de sesión único de plataforma para macOS para habilitar la autenticación sin contraseña para su organización.

• Opciones de autenticación sin contraseña para Microsoft Entra ID
• Planeamiento de una implementación de autenticación sin contraseña en Id. de Microsoft Entra

Las credenciales de plataforma para macOS también se pueden usar como credenciales resistentes a la suplantación de identidad para usarlas en los desafíos de WebAuthn (incluidos los escenarios de reautenticación del explorador). Los administradores deberán habilitar el método de autenticación de clave de seguridad FIDO2 para esta funcionalidad. Si saca provecho de las directivas de restricción de claves en la directiva FIDO, deberá agregar AAGUID para la credencial de la plataforma macOS a la lista de AAGUID permitidos: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

Instituto Nacional de Estándares y Tecnología (NIST)

El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia federal no normativa dentro de los Estados Unidos. Departamento de Comercio. NIST desarrolla y publica normas, directrices y otras publicaciones para ayudar a las agencias federales a administrar programas rentables para proteger la información y los sistemas de información.

Puede obtener más información sobre el uso del inicio de sesión único de plataforma para macOS para cumplir los requisitos de NIST en estos artículos.

• Configuración del identificador de Microsoft Entra ID para cumplir los niveles de garantía del autenticador de NIST
• Tipos de autenticador de NIST y métodos de Microsoft Entra alineados.
• Nivel 3 de garantía del autenticador de NIST mediante Microsoft Entra ID

Solución de problemas

Si experimenta problemas al implementar el inicio de sesión único de plataforma para macOS, consulte nuestra documentación sobre problemas conocidos de inicio de sesión único de plataforma para macOS y solución de problemas.