Unirse a un dispositivo Mac con el id. de Microsoft Entra durante la experiencia lista para usar con psSO de macOS (versión preliminar)

Los usuarios de Mac pueden unir su nuevo dispositivo a Microsoft Entra ID durante la primera experiencia rápida (OOBE). El inicio de sesión único (PSSO) de macOS Platform es una funcionalidad en macOS que está habilitada mediante la extensión de inicio de sesión único de Microsoft Enterprise. PSSO permite a los usuarios iniciar sesión en un dispositivo Mac mediante una clave enlazada a hardware, una tarjeta inteligente o su contraseña de Microsoft Entra ID. En este tutorial se muestra cómo configurar un dispositivo Mac durante la OOBE para usar PSSO mediante la inscripción de dispositivos automatizada.

Requisitos previos

• Una versión mínima recomendada de macOS 14 Sonoma. Aunque macOS 13 Ventura es compatible, se recomienda encarecidamente usar macOS 14 Sonoma para obtener la mejor experiencia.
• Dispositivo inscrito en inscripción automatizada de dispositivos (ADE ). Compruebe con el administrador si no está seguro de si el dispositivo está inscrito con este requisito.
• Portal de empresa de Microsoft Intune versión 5.2404.0 o posterior
• Un dispositivo Mac inscrito en la administración de dispositivos móviles (MDM) con Microsoft Intune.
• Microsoft Authenticator (recomendado): el usuario debe registrarse para algún tipo de autenticación multifactor de Microsoft Entra ID (MFA) en su dispositivo móvil para completar el registro de dispositivos.
• Para la configuración de tarjetas inteligentes, laautenticación basada en certificados configurada y habilitada. Una tarjeta inteligente cargada con un certificado para la autenticación con Microsoft Entra y la tarjeta inteligente emparejada con la cuenta local.

Configuración del dispositivo macOS

1. Después de ver la pantalla "Hola" al abrir su Mac por primera vez, siga los pasos para seleccionar su país o región y configurar las opciones de red según sea necesario.

2. Se le pedirá que descargue un perfil de administración remota, lo que permite aplicar la configuración en Microsoft Intune al dispositivo. Seleccione Continuary escriba sus credenciales de Id. de Entra de Microsoft cuando se le pida que apruebe la descarga del perfil de administración.

   

3. Escriba el código enviado a la Aplicación Authenticator (recomendado) o use otro método MFA.

4. Para crear una cuenta de usuario, rellene el nombre completo, el nombre de la cuenta y cree una contraseña de cuenta local. Seleccione Continuar y aparecerá la pantalla principal.

   

Registro con inscripción automatizada de dispositivos

Hay tres métodos de autenticación para el registro de PSSO:

• Enclave seguro: el usuario inicia sesión en su dispositivo que tiene una clave criptográfica segura respaldada por el enclave que se usa para el inicio de sesión único en las aplicaciones que usan Microsoft Entra ID para la autenticación. También se puede denominar Credencial de plataforma para macOS.
• Tarjeta inteligente: el usuario inicia sesión en la máquina mediante una tarjeta inteligente externa o un token duro compatible con tarjeta inteligente
• Contraseña: el usuario inicia sesión en su dispositivo local con una cuenta local, actualizada para usar su contraseña de Microsoft Entra ID

Se recomienda que el administrador del sistema tenga el equipo Mac inscrito mediante el enclave seguro o la tarjeta inteligente. Estas nuevas características sin contraseña solo son compatibles con PSSO. Compruebe qué método de autenticación ha configurado el administrador antes de continuar.

Eclave seguro

1. Vaya al menú emergenteRegistro requerido en la parte superior derecha de la pantalla. Mantenga el puntero sobre el elemento emergente y seleccione Registrar. Para los usuarios de macOS 14 Sonoma, verá un mensaje para registrar el dispositivo con Microsoft Entra. Este mensaje no aparece para macOS 13 Ventura.

   

2. Aparece un mensaje para escribir la contraseña de la cuenta local. Escriba la contraseña y seleccione Aceptar.

3. Una vez desbloqueada la cuenta, seleccione la cuenta en la que iniciar sesión, escriba las credenciales de inicio de sesión y seleccione Siguiente.

4. Se requiere MFA como parte de este flujo de inicio de sesión. Abra la Aplicación Authenticator (recomendado) o use otros métodos de MFA que haya registrado y escriba el número que se muestra en la pantalla para finalizar el registro.

   

5. Cuando se completa el flujo de MFA y desaparece la pantalla de carga, el dispositivo debe registrarse con PSSO. Ahora puede usar PSSO para acceder a los recursos de la aplicación de Microsoft.

Habilitación de credenciales de plataforma para macOS para su uso como clave de paso

La configuración del dispositivo mediante el método de enclave seguro le permite usar la credencial resultante guardada en el equipo Mac como una clave de acceso en el explorador. Para habilitarlo;

1. Abra la aplicación Configuración, y vaya a Opciones contraseñas>Contraseñas.

2. En Opciones de contraseña, busque Usar contraseñas y claves de acceso desde y habilite Portal de empresa a través del modificador de alternancia.

   

Tarjeta inteligente

Emparejar la tarjeta inteligente con la cuenta local

Para poder registrar el dispositivo con una tarjeta inteligente, debe emparejar la tarjeta inteligente con su cuenta local. Abra la aplicación Terminal y ejecute los siguientes comandos para buscar el hash de clave pública del certificado de tarjeta inteligente y emparejarlo con su cuenta local y a continuación, compruebe que se ha realizado correctamente. Esto debe ejecutarse mediante sudo.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Registro del dispositivo con la tarjeta inteligente

1. Vaya al menú emergenteRegistro requerido en la parte superior derecha de la pantalla. Mantenga el puntero sobre el elemento emergente y seleccione Registrar. Si la tarjeta inteligente está emparejada con su cuenta local, verá un mensaje para escribir el pin de tarjeta inteligente

   

2. Es posible que el administrador haya configurado MFA para el flujo de registro de dispositivos. Si es así, abra la aplicación Authenticator en el dispositivo móvil y complete el flujo de MFA.

   

3. Si el certificado aún no está emparejado con la cuenta local, el usuario verá un mensaje para usar la tarjeta inteligente. Seleccione Tarjeta inteligente.

4. Se le pedirá que escriba el pin de la tarjeta inteligente. Escriba el pin y seleccione Entrar pin para la tarjeta inteligente. Cuando se escribe el pin correcto, se completa el registro de PSSO con autenticación de tarjeta inteligente.

5. Ahora puede usar PSSO para acceder a los recursos de la aplicación de Microsoft y desbloquear el dispositivo con el pin de tarjeta inteligente. Deberá usar la contraseña local para iniciar sesión después de reiniciar para desbloquear el acceso a la cadena de claves.

Contraseña

1. Vaya al menú emergenteRegistro requerido en la parte superior derecha de la pantalla. Mantenga el puntero sobre el elemento emergente y seleccione Registrar.

   

2. Aparece un mensaje para escribir la contraseña de la cuenta local. Escriba la contraseña y seleccione Aceptar.

3. Una vez desbloqueada la cuenta, seleccione la cuenta en la que iniciar sesión, escriba las credenciales de inicio de sesión y seleccione Siguiente.

4. Se requiere MFA como parte de este flujo de inicio de sesión. Abra la Aplicación Authenticator (recomendado) o use otros métodos de MFA que haya registrado y escriba el número que se muestra en la pantalla para finalizar el registro.

   

5. Si su contraseña local difiere de su contraseña de Microsoft Entra ID, en la parte superior derecha de la pantalla aparecerá una ventana emergente de Autenticación requerida. Mantenga el puntero sobre el banner y seleccione Iniciar sesión.

6. Cuando aparezca una ventana Microsoft Entra, escriba la contraseña de Microsoft Entra ID y seleccione Iniciar sesión.

   

7. Después de desbloquear el equipo Mac, ahora puede usar PSSO para acceder a los recursos de la aplicación de Microsoft. Desde este momento, la contraseña antigua no funciona porque PSSO está habilitado para el dispositivo.

Comprobación del estado del registro del dispositivo

Una vez que haya completado los pasos anteriores, es una buena idea comprobar el estado de registro del dispositivo.

1. Para comprobar que el registro se ha completado correctamente, vaya a Configuración y seleccioneUsuarios y grupos.

2. Seleccione Editar junto a Servidor de cuentas de red y compruebe que el Inicio de sesión único de la plataforma aparece como Registrado.

3. Para comprobar el método usado para la autenticación, vaya al nombre de usuario en la ventana de Usuarios y grupos y seleccione el icono Información. Compruebe el método enumerado, que debe ser Enclave seguro, Tarjeta inteligente o Contraseña.

   Nota:

   También puede usar la aplicaciónTerminal para comprobar el estado de registro. Ejecute el comando siguiente para comprobar el estado del registro del dispositivo. Debería ver en la parte inferior de la salida que se recuperan los tokens de SSO. Para los usuarios de macOS 13 Ventura, este comando es necesario para comprobar el estado de registro.

   app-sso platform -s
   

Consulte también

• Unión de un dispositivo Mac con Microsoft Entra ID mediante el Portal de empresa
• Opciones de autenticación sin contraseña para Microsoft Entra ID
• Planeamiento de una implementación de autenticación sin contraseña en Id. de Microsoft Entra
• Complemento de Microsoft Enterprise SSO para dispositivos Apple