Unión de un dispositivo Mac con Microsoft Entra ID mediante el Portal de empresa (versión preliminar)

En este tutorial, aprenderá a registrar un dispositivo Mac con el inicio de sesión único de plataforma macOS (PSSO) mediante el Portal de empresa y la inscripción MDM de Intune con la unión a Microsoft Entra. Hay tres métodos en los que puede registrar un dispositivo Mac con PSSO, enclave seguro, tarjeta inteligente o contraseña. Se recomienda usar enclave seguro o tarjeta inteligente para obtener la mejor experiencia sin contraseña, pero es importante tener en cuenta que el administrador de la empresa preestablecerá este método mediante Microsoft Intune.

Requisitos previos

• Una versión mínima recomendada de macOS 14 Sonoma. Aunque macOS 13 Ventura es compatible, se recomienda encarecidamente usar macOS 14 Sonoma para obtener la mejor experiencia.
• Aplicación Portal de empresa de Microsoft Intune, versión 5.2404.0 o posterior
• Un dispositivo Mac inscrito en la administración de dispositivos móviles (MDM) con Microsoft Intune.
• Una carga de MDM de la extensión SSO con la configuración de PSSO en Intune configurada por un administrador.
• Microsoft Authenticator (recomendado), el usuario debe registrarse para algún tipo de autenticación multifactor (MFA) de Microsoft Entra ID para completar el registro de dispositivos.
• Para la configuración de tarjetas inteligentes, laautenticación basada en certificados configurada y habilitada. Una tarjeta inteligente cargada con un certificado para la autenticación con Microsoft Entra y la tarjeta inteligente emparejada con la cuenta local.

MDM de Intune y unión a Microsoft Entra mediante el Portal de empresa

Para registrar un dispositivo Mac con PSSO, primero debes inscribir el dispositivo en Microsoft Intune mediante la aplicación Portal de empresa. Una vez inscrito, puedes usar enclave seguro, tarjeta inteligente o contraseña para registrar el dispositivo con PSSO.

1. Abre la aplicación Portal de empresa y selecciona Iniciar sesión.

2. Escribe tus credenciales de Microsoft Entra ID y selecciona Siguiente.

3. Se te pedirá Configurar el acceso a {Company}. El marcador de posición "Company" es diferente en función de tu configuración. Selecciona Comenzar y, después, en la siguiente pantalla, selecciona Continuar.

   

4. Se te presentan los pasos para instalar el perfil de administración, que debe ser configurado por parte de un administrador mediante Microsoft Intune. Selecciona Descargar perfil.

   

5. Abre Configuración>Privacidad y seguridad>Perfiles, si no aparece automáticamente. Selecciona Perfil de administración.

   

6. Selecciona Instalar para obtener acceso a los recursos de la empresa.

   

7. Escribe la contraseña del dispositivo local en la ventana Perfiles que aparece y selecciona Inscribir.

   

8. Verás una notificación en Portal de empresa en la que se ha completado la instalación. Selecciona Listo.

Registro de Platform SSO

Ahora que el dispositivo cumple con el Portal de empresa, debes registrar el dispositivo con PSSO. Aparece un elemento emergente Registro requerido en la parte superior derecha de la pantalla después de la finalización correcta de MDM de Intune y unión a Microsoft Entra mediante el Portal de empresa. Usa las pestañas para registrar el dispositivo con PSSO mediante enclave seguro, tarjeta inteligente o contraseña.

Enclave seguro

1. Ve al menú emergenteRegistro requerido en la parte superior derecha de la pantalla. Mantén el puntero sobre el elemento emergente y selecciona Registrar. En el caso de los usuarios de macOS 14 Sonoma, verás un mensaje para registrar el dispositivo con Microsoft Entra. Este mensaje no aparece para macOS 13 Ventura.

   

2. Una vez desbloqueada la cuenta con Touch ID o la contraseña, selecciona la cuenta en la que iniciar sesión, escribe las credenciales de inicio de sesión y selecciona Siguiente.

3. Se requiere MFA como parte de este flujo de inicio de sesión. Abra la aplicación Authenticator (recomendado) o use otros métodos de MFA que haya registrado y escriba el número que se muestra en la pantalla para finalizar el registro.

4. Cuando se completa el flujo de MFA y desaparece la pantalla de carga, el dispositivo debe registrarse con PSSO. Ahora puede usar PSSO para acceder a los recursos de la aplicación de Microsoft.

Habilitación de credenciales de plataforma para macOS para su uso como clave de paso

La configuración del dispositivo mediante el método de enclave seguro le permite usar la credencial resultante guardada en el equipo Mac como una clave de paso en el explorador. Para habilitarlo;

1. Abra la aplicación Configuración y vaya a Contraseñas>Opciones de contraseña.

2. En Opciones de contraseña, busque Usar contraseñas y claves de paso desde y habilite Portal de empresa con el conmutador de alternancia.

   

Tarjeta inteligente

Emparejar la tarjeta inteligente con la cuenta local

Para poder registrar el dispositivo con una tarjeta inteligente, debe emparejar la tarjeta inteligente con su cuenta local. Abra la aplicación Terminal y ejecute los siguientes comandos para buscar el hash de clave pública del certificado de tarjeta inteligente y emparejarlo con su cuenta local y a continuación, compruebe que se ha realizado correctamente. Esto debe ejecutarse mediante sudo.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Registro del dispositivo con la tarjeta inteligente

1. Vaya al menú emergenteRegistro requerido en la parte superior derecha de la pantalla. Mantenga el puntero sobre el elemento emergente y seleccione Registrar. Si la tarjeta inteligente está emparejada con su cuenta local, verá un mensaje para escribir el pin de tarjeta inteligente

   

2. Es posible que el administrador haya configurado MFA para el flujo de registro de dispositivos. Si es así, abra la aplicación Authenticator en el dispositivo móvil y complete el flujo de MFA.

   

3. Si el certificado aún no está emparejado con la cuenta local, el usuario verá un mensaje para usar la tarjeta inteligente. Seleccione Tarjeta inteligente.

4. Se le pedirá que escriba el pin de la tarjeta inteligente. Escriba el pin y seleccione Escribir pin para la tarjeta inteligente. Cuando se escribe el pin correcto, se completa el registro de PSSO con autenticación de tarjeta inteligente.

5. Ahora puede usar PSSO para acceder a los recursos de la aplicación de Microsoft y desbloquear el dispositivo con el pin de tarjeta inteligente. Deberá usar la contraseña local para iniciar sesión después de reiniciar para desbloquear el acceso a la cadena de claves.

Contraseña

1. Vaya al menú emergenteRegistro requerido en la parte superior derecha de la pantalla. Mantenga el puntero sobre el elemento emergente y seleccione Registrar.

   • En el caso de los usuarios de macOS 13 Ventura, verá un mensaje para registrar el dispositivo con Microsoft Entra. Escriba las credenciales de inicio de sesión y seleccione Siguiente.

   

2. Se le pedirá que registre el dispositivo con Microsoft Entra ID. Escriba las credenciales de inicio de sesión y seleccione Siguiente.

   1. Es posible que el administrador haya configurado MFA para el flujo de registro de dispositivos. Si es así, abra la aplicación Authenticator en el dispositivo móvil y complete el flujo de MFA.

   

3. Cuando aparezca una ventana Inicio de sesión único, escriba la contraseña de la cuenta local y seleccione Aceptar. Si está en macOS 14,

   

4. Si su contraseña local difiere de su contraseña de Microsoft Entra ID, en la parte superior derecha de la pantalla, aparecerá una ventana emergente de Autenticación requerida. Mantenga el puntero sobre el banner y seleccione Iniciar sesión.

5. Cuando aparezca una ventana Microsoft Entra, escriba la contraseña de Microsoft Entra ID y seleccione Iniciar sesión.

   

6. Después de desbloquear el equipo Mac, ahora puede usar PSSO para acceder a los recursos de la aplicación de Microsoft. Desde este momento, la contraseña antigua no funciona porque PSSO está habilitado para el dispositivo.

Comprobación del estado del registro del dispositivo

Una vez que haya completado los pasos anteriores, es una buena idea comprobar el estado de registro del dispositivo.

1. Para comprobar que el registro se ha completado correctamente, vaya a Configuración y seleccioneUsuarios y grupos.

2. Seleccione Editar junto a Servidor de cuentas de red y compruebe que Platform SSO aparezca como Registrado.

3. Para comprobar el método usado para la autenticación, vaya al nombre de usuario en la ventana de Usuarios y grupos y seleccione el icono Información. Compruebe el método enumerado, que debe ser Enclave seguro, Tarjeta inteligente o Contraseña.

   Nota:

   También puede usar la aplicaciónTerminal para comprobar el estado de registro. Ejecute el comando siguiente para comprobar el estado del registro del dispositivo. Debería ver en la parte inferior de la salida que se recuperan los tokens de SSO. Para los usuarios de macOS 13 Ventura, este comando es necesario para comprobar el estado de registro.

   app-sso platform -s
   

Actualización del dispositivo Mac para habilitar PSSO

Para los usuarios de macOS cuyo dispositivo ya está inscrito en el Portal de empresa, el administrador puede habilitar PSSO al actualizar el perfil de extensión de SSO del dispositivo. Una vez implementado e instalado el perfil de PSSO en el dispositivo, se le pedirá que registre el dispositivo con PSSO a través de la notificación Registro requerido en la parte superior derecha de la pantalla. Esto quitará el registro de SSO antiguo del dispositivo en lugar del nuevo registro de PSSO.

Aunque se recomienda hacerlo inmediatamente, puede elegir seleccionarlo e iniciar el registro del dispositivo en un momento conveniente para usted.

Consulte también

• Unirse a un dispositivo Mac con Microsoft Entra ID durante la experiencia rápida
• Opciones de autenticación sin contraseña para Microsoft Entra ID
• Planeamiento de una implementación de autenticación sin contraseña en Id. de Microsoft Entra
• Complemento de Microsoft Enterprise SSO para dispositivos Apple