Configuración del inicio de sesión único de plataforma para dispositivos macOS en Microsoft Intune

• Aplícase a:

  ✅ macOS

En los dispositivos macOS, puede configurar Platform SSO para habilitar el inicio de sesión único (SSO) mediante la autenticación sin contraseña, Microsoft Entra ID cuentas de usuario o tarjetas inteligentes. El inicio de sesión único de plataforma es una mejora del complemento de Inicio de sesión único de Microsoft Enterprise y la extensión de la aplicación sso. El inicio de sesión único de plataforma puede iniciar sesión en sus dispositivos Mac administrados mediante sus credenciales de Microsoft Entra ID y Touch ID.

Esta característica se aplica a:

• macOS

El complemento Microsoft Enterprise SSO Microsoft Entra ID incluye dos características de SSO: Sso de plataforma y extensión de aplicación sso. Este artículo se centra en la configuración del inicio de sesión único de Platform con Microsoft Entra ID para dispositivos macOS (versión preliminar pública).

Algunas ventajas del inicio de sesión único de Platform incluyen:

• Incluye la extensión de aplicación sso. No se configura la extensión de la aplicación sso por separado.
• Vaya sin contraseña con credenciales resistentes a la suplantación de identidad que estén enlazadas por hardware al dispositivo Mac.
• La experiencia de inicio de sesión es similar a iniciar sesión en un dispositivo Windows con una cuenta profesional o educativa, como hacen los usuarios con Windows Hello para empresas.
• Ayuda a minimizar el número de veces que los usuarios necesitan escribir sus credenciales de Microsoft Entra ID.
• Ayuda a reducir el número de contraseñas que los usuarios deben recordar.
• Obtenga las ventajas de Microsoft Entra unión, lo que permite a cualquier usuario de la organización iniciar sesión en el dispositivo.
• Se incluye con todos los planes de licencia de Microsoft Intune.

Cuando los dispositivos Mac se unen a un inquilino de Microsoft Entra ID, los dispositivos obtienen un certificado de unión al área de trabajo (WPJ) que está enlazado a hardware y solo es accesible mediante el complemento de inicio de sesión único de Microsoft Enterprise. Para acceder a los recursos protegidos mediante el acceso condicional, las aplicaciones y los exploradores web necesitan este certificado WPJ. Con platform SSO configurado, la extensión de aplicación sso actúa como agente para la autenticación Microsoft Entra ID y el acceso condicional.

El inicio de sesión único de plataforma se puede configurar mediante el catálogo de opciones. Cuando la directiva esté lista, asigne la directiva a los usuarios. Microsoft recomienda asignar la directiva cuando el usuario inscribe el dispositivo en Intune. Sin embargo, se puede asignar en cualquier momento, incluso en dispositivos existentes.

En este artículo se muestra cómo configurar el inicio de sesión único de Platform para dispositivos macOS en Intune.

Requisitos previos

• Los dispositivos deben ejecutar macOS 13.0 y versiones posteriores.

• Microsoft Intune se requiere Portal de empresa versión5.2404.0 y posterior de la aplicación en los dispositivos. Esta versión incluye el inicio de sesión único de Platform.

• Los siguientes exploradores web admiten el inicio de sesión único de Platform:

  • Microsoft Edge

  • Google Chrome con la extensión microsoft Inicio de sesión único

    Con una directiva de archivo de preferencias de Intune (.plist), puede forzar la instalación de esta extensión. En el .plist archivo, necesita parte de la información en Chrome Enterprise policy - ExtensionInstallForcelist (abre el sitio web de Google).

    Advertencia

    Hay archivos de ejemplo .plist en ejemplos de ManagedPreferencesApplications en GitHub. Este repositorio de GitHub no es propiedad de Microsoft, no se mantiene y no lo crea. Use la información a su propio riesgo.

  • Safari

  Puede usar Intune para agregar aplicaciones de explorador web, incluidos archivos de paquete (.pkg) e imagen de disco (.dmg), e implementar la aplicación en los dispositivos macOS. Para empezar, vaya a Agregar aplicaciones para Microsoft Intune.

• Platform SSO usa el catálogo de configuración de Intune para configurar los valores necesarios. Para crear la directiva de catálogo de configuración, como mínimo, inicie sesión en el centro de administración de Microsoft Intune con una cuenta que tenga los siguientes permisos de Intune:

  • Permisos de lectura, creación, actualización y asignación de configuración de dispositivos

  Hay algunos roles integrados que tienen estos permisos, incluidos el rol RBAC Intune Administrador de directivas y perfiles. Para obtener más información sobre los roles de RBAC en Intune, vaya a Control de acceso basado en rol (RBAC) con Microsoft Intune.

• En El paso 5: Registro del dispositivo (este artículo), los usuarios registran sus dispositivos. Se debe permitir que estos usuarios unan dispositivos a Id. de entra. Para obtener más información, vaya a Configuración del dispositivo.

Paso 1: Decidir el método de autenticación

Al crear la directiva de INICIO de sesión único de la plataforma en Intune, debe decidir el método de autenticación que desea usar.

La directiva de SSO de plataforma y el método de autenticación que usa cambian la forma en que los usuarios inician sesión en los dispositivos.

• Al configurar el inicio de sesión único de platform, los usuarios inician sesión en sus dispositivos macOS con el método de autenticación que configure.
• Cuando no usa el inicio de sesión único de Platform, los usuarios inician sesión en sus dispositivos macOS con una cuenta local. A continuación, inician sesión en aplicaciones y sitios web con sus Microsoft Entra ID.

En este paso, use la información para conocer las diferencias con los métodos de autenticación y cómo afectan a la experiencia de inicio de sesión del usuario.

Sugerencia

Microsoft recomienda usar Secure Enclave como método de autenticación al configurar el inicio de sesión único de platform.

Característica	Enclave seguro	Tarjeta inteligente	Password
Sin contraseña (resistente a la suplantación de identidad)	✅	✅	❌
TouchID compatible con el desbloqueo	✅	✅	✅
Se puede usar como clave de paso	✅	❌	❌
MFA obligatorio para la instalación Siempre se recomienda la autenticación multifactor (MFA)	✅	✅	❌
Contraseña de Mac local sincronizada con el id. de Entra	❌	❌	✅
Compatible con macOS 13.x +	✅	❌	✅
Compatible con macOS 14.x +	✅	✅	✅
Opcionalmente, permita que los nuevos usuarios inicien sesión con credenciales de id. de entra (macOS 14.x +)	✅	✅	✅

Enclave seguro

Al configurar Platform SSO con el método de autenticación Secure Enclave , el complemento sso usa claves criptográficas enlazadas por hardware. No usa las credenciales de Microsoft Entra para autenticar al usuario en aplicaciones y sitios web.

Para obtener más información sobre Secure Enclave, vaya a Enclave seguro (abre el sitio web de Apple).

Enclave seguro:

• Se considera que no tiene contraseña y cumple los requisitos multifactor (MFA) resistentes a la phish. Conceptualmente es similar a Windows Hello para empresas. También puede usar las mismas características que Windows Hello para empresas, como el acceso condicional.
• Deja el nombre de usuario y la contraseña de la cuenta local tal cual. Estos valores no se cambian.

  Nota:

  Este comportamiento es por diseño debido al cifrado de disco FileVault de Apple, que usa la contraseña local como clave de desbloqueo.

• Después de reiniciar un dispositivo, los usuarios deben escribir la contraseña de la cuenta local. Después de desbloquear esta máquina inicial, touch ID se puede usar para desbloquear el dispositivo.
• Después del desbloqueo, el dispositivo obtiene el token de actualización principal (PRT) respaldado por hardware para el inicio de sesión único en todo el dispositivo.
• En los exploradores web, esta clave PRT se puede usar como clave de paso mediante las API de WebAuthN.
• Su configuración se puede arrancar con una aplicación de autenticación para la autenticación MFA o el paso de acceso temporal (TAP) de Microsoft.
• Permite la creación y el uso de Microsoft Entra ID passkeys.

Password

Al configurar platform sso con el método de autenticación de contraseña, los usuarios inician sesión en el dispositivo con su cuenta de usuario Microsoft Entra ID en lugar de su contraseña de cuenta local.

Esta opción habilita el inicio de sesión único en todas las aplicaciones que usan Microsoft Entra ID para la autenticación.

Con el método de autenticación de contraseña :

• La contraseña de Microsoft Entra ID reemplaza la contraseña de la cuenta local y las dos contraseñas se mantienen sincronizadas.

  Nota:

  La contraseña del equipo de la cuenta local no se ha quitado completamente del dispositivo. Este comportamiento es por diseño debido al cifrado de disco FileVault de Apple, que usa la contraseña local como clave de desbloqueo.

• El nombre de usuario de la cuenta local no cambia y permanece tal cual.

• Los usuarios finales pueden usar Touch ID para iniciar sesión en el dispositivo.

• Hay menos contraseñas para que los usuarios y administradores recuerden y administren.

• Los usuarios deben escribir su contraseña de Microsoft Entra ID después de reiniciar un dispositivo. Después de desbloquear esta máquina inicial, Touch ID puede desbloquear el dispositivo.

• Después del desbloqueo, el dispositivo obtiene la credencial de token de actualización principal (PRT) enlazada por hardware para Microsoft Entra ID sso.

Nota:

Cualquier directiva de contraseña de Intune que configure también afecta a esta configuración. Por ejemplo, si tiene una directiva de contraseñas que bloquea contraseñas sencillas, las contraseñas simples también se bloquean para esta configuración.

Asegúrese de que la directiva de contraseñas de Intune o la directiva de cumplimiento coincidan con la directiva de contraseña de Microsoft Entra. Si las directivas no coinciden, es posible que la contraseña no se sincronice y se deniegue el acceso a los usuarios finales.

Tarjeta inteligente

Al configurar platform sso con el método de autenticación de tarjeta inteligente , los usuarios pueden usar el certificado de tarjeta inteligente y el PIN asociado para iniciar sesión en el dispositivo y autenticarse en aplicaciones y sitios web.

Esta opción:

• Se considera sin contraseña.
• Deja el nombre de usuario y la contraseña de la cuenta local tal cual. Estos valores no se cambian.

Para obtener más información, vaya a Microsoft Entra autenticación basada en certificados en iOS y macOS.

Configuración de la recuperación de KeyVault (opcional)

Al usar la autenticación de sincronización de contraseñas, puede habilitar la recuperación de keyvault para asegurarse de que los datos se pueden recuperar en caso de que un usuario olvide su contraseña. Los administradores de TI deben revisar la documentación de Apple y evaluar si el uso de claves de recuperación institucionales de FileVault es una buena opción para ellos.

• Administración de FileVault con la administración de dispositivos móviles

• Configuración de carga de MDM de FileVault para dispositivos Apple

Paso 2: Creación de la directiva de SSO de plataforma en Intune

Para configurar la directiva de SSO de plataforma, siga estos pasos para crear una directiva de catálogo de configuración de Intune. El complemento Microsoft Enterprise SSO requiere la configuración que se muestra.

• Para obtener más información sobre el complemento, vaya al complemento de INICIO de sesión único de Microsoft Enterprise para dispositivos Apple.
• Para obtener más información sobre la configuración de carga de la extensión de inicio de sesión único extensible, vaya a Configuración de carga de MDM de inicio de sesión único extensible para dispositivos Apple (abre el sitio web de Apple).

Cree la directiva:

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Dispositivos>Administrar dispositivos>Configuración>Crear>Nueva directiva.

3. Escriba las propiedades siguientes:

   • Plataforma: seleccione macOS.
   • Tipo de perfil: seleccione Catálogo de configuración.

4. Seleccione Crear.

5. En Básico, escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, asigne un nombre a la directiva macOS - Platform SSO.
   • Descripción: escriba una descripción para la directiva. Esta configuración es opcional pero recomendada.

6. Seleccione Siguiente.

7. En Opciones de configuración, seleccione Agregar configuración. En el selector de configuración, expanda Autenticación y seleccione Extensible Inicio de sesión único (SSO):

   

   En la lista, seleccione la siguiente configuración:

   • Método de autenticación (en desuso) (solo macOS 13)
   • Identificador de extensión
   • Expanda Sso de plataforma:
     • Seleccionar método de autenticación (macOS 14+)
     • Seleccionar asignación de token a usuario
     • Seleccione Usar claves de dispositivo compartido.
   • Token de registro
   • Comportamiento de pantalla bloqueada
   • Identificador de equipo
   • Tipo
   • Direcciones URL

   Cierre el selector de configuración.

   Sugerencia

   Hay más opciones de configuración del inicio de sesión único de plataforma que puede configurar en la directiva:

   • Aplicaciones que no son de Microsoft y configuración de la extensión de inicio de sesión único de Microsoft Enterprise (en este artículo)
   • Configuración de la experiencia del usuario final (en este artículo)

8. Configure las siguientes opciones necesarias:

   Nombre	Valor de configuración	Descripción
   Método de autenticación (en desuso) (solo macOS 13)	Contraseña o UserSecureEnclave	Seleccione el método de autenticación de Sso de plataforma que eligió en Paso 1: Decidir el método de autenticación (en este artículo). Esta configuración solo se aplica a macOS 13. Para macOS 14.0 y versiones posteriores, use la configuraciónMétodo de autenticación de SSO> de plataforma.
   Identificador de extensión	com.microsoft.CompanyPortalMac.ssoextension	Copie y pegue este valor en la configuración. Este identificador es la extensión de aplicación sso que el perfil necesita para que el inicio de sesión único funcione. Los valores de Identificador de extensión e Identificador de equipo funcionan juntos.
   Inicio de sesión único> de plataformaMétodo de autenticación(macOS 14+)	Contraseña, UserSecureEnclave o SmartCard	Seleccione el método de autenticación de Sso de plataforma que eligió en Paso 1: Decidir el método de autenticación (en este artículo). Esta configuración se aplica a macOS 14 y versiones posteriores. Para macOS 13, use la configuración Método de autenticación (en desuso).
   Inicio de sesión único> de plataformaUso de claves de dispositivo compartido(macOS 14+)	Enabled	Cuando está habilitado, platform SSO usa las mismas claves de firma y cifrado para todos los usuarios del mismo dispositivo. Se pide a los usuarios que actualicen de macOS 13.x a 14.x que se registren de nuevo.
   Token de registro	{{DEVICEREGISTRATION}}	Copie y pegue este valor en la configuración. Debe incluir las llaves. Para más información sobre este token de registro, vaya a Configurar Microsoft Entra registro de dispositivos. Esta configuración requiere que también configure la AuthenticationMethod configuración. - Si solo usa dispositivos macOS 13, configure la opción Método de autenticación (en desuso ). - Si solo usa dispositivos macOS 14+ y versiones posteriores, configure la opciónPlatform SSO Authentication Method (Método de autenticación de SSO> de plataforma). - Si tiene una combinación de dispositivos macOS 13 y macOS 14+, configure ambas opciones de autenticación en el mismo perfil.
   Comportamiento de pantalla bloqueada	No controlar	Cuando se establece en No controlar, la solicitud continúa sin inicio de sesión único.
   Asignación de token a usuario>Nombre de la cuenta	preferred_username	Copie y pegue este valor en la configuración. Este token especifica que el valor del atributo Entra preferred_username se usa para el valor nombre de cuenta de la cuenta de macOS.
   Asignación de token a usuario>Nombre completo	name	Copie y pegue este valor en la configuración. Este token especifica que la notificación Entra name se usa para el valor nombre completo de la cuenta macOS.
   Identificador de equipo	UBF8T346G9	Copie y pegue este valor en la configuración. Este identificador es el identificador de equipo de la extensión de aplicación de complemento enterprise SSO.
   Tipo	Redirect
   Direcciones URL	Copie y pegue todas las direcciones URL siguientes: https://login.microsoftonline.com https://login.microsoft.com https://sts.windows.net Si su entorno necesita permitir dominios de nube soberana, como Azure Government o Azure China 21Vianet, agregue también las siguientes direcciones URL: https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn https://login.microsoftonline.us https://login-us.microsoftonline.com	Estos prefijos de dirección URL son los proveedores de identidades que realizan extensiones de aplicación sso. Las direcciones URL son necesarias para las cargas de redireccionamiento y se omiten para las cargas de credenciales . Para obtener más información sobre estas direcciones URL, vaya al complemento sso de Microsoft Enterprise para dispositivos Apple.

   Importante

   Si tiene una combinación de dispositivos macOS 13 y macOS 14+ en su entorno, configure los valores de Platform SSO>Authentication Method y Authentication Method (Deprecated) en el mismo perfil.

   Cuando el perfil está listo, es similar al ejemplo siguiente:

   

9. Seleccione Siguiente.

10. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vaya a Uso de roles de RBAC y etiquetas de ámbito para TI distribuida.

    Seleccione Siguiente.

11. En Asignaciones, seleccione los grupos de usuarios o dispositivos que reciben el perfil. Para dispositivos con afinidad de usuario, asigne a usuarios o grupos de usuarios. Para dispositivos con varios usuarios inscritos sin afinidad de usuario, asigne a dispositivos o grupos de dispositivos.

    Para obtener más información sobre la asignación de perfiles, vaya a Asignación de perfiles de usuario y dispositivo.

    Seleccione Siguiente.

12. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

La siguiente vez que el dispositivo busca actualizaciones de configuración, se aplican los valores que configuró.

Paso 3: Implementación de la aplicación Portal de empresa para macOS

La aplicación Portal de empresa para macOS implementa e instala el complemento de inicio de sesión único de Microsoft Enterprise. Este complemento habilita el inicio de sesión único de Platform.

Con Intune, puede agregar la aplicación Portal de empresa e implementarla como una aplicación necesaria en los dispositivos macOS:

• Agregar la aplicación Portal de empresa para macOS muestra los pasos.
• Configure la aplicación Portal de empresa para incluir la información de la organización (opcional). Para ver los pasos, vaya a Configuración de las aplicaciones de Portal de empresa de Intune, Portal de empresa sitio web y Intune aplicación.

No hay ningún paso específico para configurar la aplicación para el inicio de sesión único de Platform. Solo tiene que asegurarse de que la aplicación de Portal de empresa más reciente se agrega a Intune e implementa en los dispositivos macOS.

Si tiene instalada una versión anterior de la aplicación Portal de empresa, se produce un error en el inicio de sesión único de platform.

Paso 4: Inscribir los dispositivos y aplicar las directivas

Para usar el inicio de sesión único de plataforma, los dispositivos deben estar inscritos en MDM en Intune mediante uno de los métodos siguientes:

• En el caso de los dispositivos propiedad de la organización, puede:

  • Cree una directiva de inscripción de dispositivos automatizada mediante Apple Business Manager o Apple School Manager.
  • Cree una directiva de inscripción directa mediante Apple Configurator.

• Para dispositivos de propiedad personal, cree una directiva de inscripción de dispositivos. Con este método de inscripción, los usuarios finales abren la aplicación Portal de empresa e inician sesión con sus Microsoft Entra ID. Cuando inician sesión correctamente, se aplica la directiva de inscripción.

En el caso de los dispositivos nuevos, se recomienda crear previamente y configurar todas las directivas necesarias, incluida la directiva de inscripción. A continuación, cuando los dispositivos se inscriben en Intune, las directivas se aplican automáticamente.

Para los dispositivos existentes ya inscritos en Intune, asigne la directiva de SSO de plataforma a los usuarios o grupos de usuarios. La próxima vez que los dispositivos se sincronicen o activen con el servicio Intune, recibirán la configuración de directiva de SSO de plataforma que cree.

Paso 5: Registro del dispositivo

Cuando el dispositivo recibe la directiva, hay una notificación de registro necesaria que se muestra en el Centro de notificaciones.

• Los usuarios finales seleccionan esta notificación, inician sesión en el complemento Microsoft Entra ID con su cuenta de organización y completan la autenticación multifactor (MFA), si es necesario.

  Nota:

  MFA es una característica de Microsoft Entra. Asegúrese de que MFA está habilitado en el inquilino. Para obtener más información, incluidos los demás requisitos de la aplicación, vaya a Microsoft Entra autenticación multifactor.

• Cuando se autentican correctamente, el dispositivo se Microsoft Entra une a la organización y el certificado de unión al área de trabajo (WPJ) está enlazado al dispositivo.

En los artículos siguientes se muestra la experiencia del usuario, en función del método de inscripción:

• Une un dispositivo Mac con Microsoft Entra ID.
• Únase a un dispositivo Mac con Microsoft Entra ID durante el inicio de sesión único de OOBE con macOS Platform.

Paso 6: Confirmar la configuración en el dispositivo

Cuando se complete el registro de Platform SSO, puede confirmar que el inicio de sesión único de Platform está configurado. Para ver los pasos, vaya a Microsoft Entra ID: Compruebe el estado del registro del dispositivo.

En Intune dispositivos inscritos, también puede ir a Configuración>Perfiles deprivacidad y seguridad>. El perfil de SSO de plataforma se muestra en com.apple.extensiblesso Profile. Seleccione el perfil para ver la configuración que configuró, incluidas las direcciones URL.

Para solucionar problemas de inicio de sesión único de plataforma, vaya a problemas conocidos de inicio de sesión único de macOS Platform y solución de problemas.

Paso 7: Anulación de la asignación de los perfiles de extensión de aplicación de SSO existentes

Después de confirmar que la directiva de catálogo de configuración funciona, anule la asignación de los perfiles de extensión de aplicación de SSO existentes creados con la plantilla características de dispositivo Intune.

Si mantiene ambas directivas, pueden producirse conflictos.

Aplicaciones que no son de Microsoft y configuración de la extensión de inicio de sesión único de Microsoft Enterprise

Si anteriormente usó la extensión de inicio de sesión único de Microsoft Enterprise o quiere habilitar el inicio de sesión único en aplicaciones que no son de Microsoft, agregue la configuración De datos de extensión a la directiva de catálogo de configuración de SSO de plataforma existente.

La configuración datos de extensión es un concepto similar a un campo de texto abierto; puede configurar los valores que necesite.

En esta sección, usamos la opción Datos de extensión para:

• Configure los valores que usó en la directiva de Intune de extensión de inicio de sesión único de Microsoft Enterprise anterior.
• Configure las opciones que permiten que las aplicaciones que no son de Microsoft usen el inicio de sesión único.

En esta sección se enumeran los valores mínimos recomendados que debe agregar. En la directiva anterior de extensión de inicio de sesión único de Microsoft Enterprise, es posible que haya configurado más opciones. Se recomienda agregar cualquier otra clave & configuración de par de valores que haya configurado en la directiva anterior de extensión de INICIO de sesión único de Microsoft Enterprise.

Recuerde que solo debe haber una directiva de SSO asignada a los grupos. Por lo tanto, si usa Platform SSO, debe configurar los valores de Platform SSO y Microsoft Enterprise SSO Extension en la directiva de catálogo de configuración de Platform SSO que creó en Step 2 - Create the Platform SSO policy in Intune (en este artículo).

Normalmente, se recomiendan las siguientes opciones para configurar la configuración del inicio de sesión único, incluida la configuración de la compatibilidad con SSO para aplicaciones que no son de Microsoft.

1. En la directiva de catálogo de configuración de SSO de Platform existente, agregue Datos de extensión:

   1. En el centro de administración de Intune (Dispositivos>administrar laconfiguración de dispositivos>), seleccione la directiva de catálogo de configuración de SSO de plataforma existente.

   2. En Propiedades>Configuración, seleccione Editar>Agregar configuración.

   3. En el selector de configuración, expanda Autenticación y seleccione Extensible Inicio de sesión único (SSO):

      

   4. En la lista, seleccione Datos de extensión y cierre el selector de configuración:

      

2. En Datos de extensión, agregue las siguientes claves y valores:

   Key	Tipo	Valor	Descripción
   AppPrefixAllowList	Cadena	com.microsoft.,com.apple.	Copie y pegue este valor en la configuración. AppPrefixAllowList permite crear una lista de proveedores de aplicaciones con aplicaciones que pueden usar el inicio de sesión único. Puede agregar más proveedores de aplicaciones a esta lista según sea necesario.
   browser_sso_interaction_enabled	Entero	1	Configura una configuración de agente recomendada.
   disable_explicit_app_prompt	Entero	1	Configura una configuración de agente recomendada.

   En el ejemplo siguiente se muestra la configuración recomendada:

   

3. Seleccione Siguiente para guardar los cambios y completar la directiva. Si la directiva ya está asignada a usuarios o grupos, estos grupos recibirán los cambios de directiva la próxima vez que se sincronicen con el servicio Intune.

Configuración de la experiencia del usuario final

Al crear el perfil de catálogo de configuración en Paso 2: Creación de la directiva de SSO de plataforma en Intune, hay más opciones opcionales que puede configurar.

La siguiente configuración le permite personalizar la experiencia del usuario final y proporcionar un control más pormenorizado sobre los privilegios de usuario. No se admite ninguna configuración de SSO de plataforma no documentada.

Configuración del inicio de sesión único de plataforma	Posibles valores	Uso
Nombre para mostrar de la cuenta	Cualquier valor de cadena.	Personalice el nombre de la organización que los usuarios finales ven en las notificaciones de SSO de plataforma.
Habilitación de la creación de un usuario al iniciar sesión	Habilitar o deshabilitar.	Permitir que cualquier usuario de la organización inicie sesión en el dispositivo con sus credenciales de Microsoft Entra. Al crear nuevas cuentas locales, el nombre de usuario y la contraseña proporcionados deben ser los mismos que el UPN (user@contoso.com) y la contraseña del usuario Microsoft Entra ID.
Nuevo modo de autorización de usuario	Estándar, Administración o Grupos	Permisos únicos que el usuario tiene al iniciar sesión cuando se crea la cuenta mediante el inicio de sesión único de Platform. Actualmente, se admiten los valores Estándar y Administración. Se requiere al menos un Administración usuario en el dispositivo para poder usar el modo Estándar.
Modo de autorización de usuario	Estándar, Administración o Grupos	Permisos persistentes que el usuario tiene al iniciar sesión cada vez que el usuario se autentica mediante el inicio de sesión único de Platform. Actualmente, se admiten los valores Estándar y Administración. Se requiere al menos un Administración usuario en el dispositivo para poder usar el modo Estándar.

Otros MDM

Puede configurar platform SSO con otros servicios de administración de dispositivos móviles (MDM), si esa MDM admite el inicio de sesión único de platform. Cuando use otro servicio MDM, siga estas instrucciones:

• Las opciones enumeradas en este artículo son las opciones recomendadas por Microsoft que debe configurar. Puede copiar y pegar los valores de configuración de este artículo en la directiva de servicio MDM.

  Los pasos de configuración del servicio MDM pueden ser diferentes. Se recomienda trabajar con el proveedor de servicios MDM para configurar e implementar correctamente estas opciones de SSO de plataforma.

• El registro de dispositivos con Platform SSO es más seguro y usa certificados de dispositivo enlazados a hardware. Estos cambios pueden afectar a algunos flujos de MDM, como la integración con asociados de cumplimiento de dispositivos.

  Debe comunicarse con el proveedor de servicios MDM para saber si mdm probó el inicio de sesión único de la plataforma, certificó que su software funciona correctamente con Platform SSO y está listo para admitir a los clientes con el inicio de sesión único de platform.

Errores frecuentes

Al configurar el inicio de sesión único de platform, es posible que vea los siguientes errores:

• 10001: misconfiguration in the SSOe payload.

  Este error puede producirse si:

  • Hay una configuración necesaria que no está configurada en el perfil de catálogo de configuración.
  • Hay una configuración en el perfil de catálogo de configuración que configuró que no es aplicable a la carga del tipo de redireccionamiento.

  Las opciones de autenticación que se configuran en el perfil de catálogo de configuración son diferentes para dispositivos macOS 13.x y 14.x.

  Si tiene dispositivos macOS 13 y macOS 14 en su entorno, debe crear una directiva de catálogo de configuración y configurar sus respectivas opciones de autenticación en la misma directiva. Esta información se documenta en Step 2 - Create the Platform SSO policy in Intune (en este artículo).

• 10002: multiple SSOe payloads configured.

  Varias cargas de extensión de SSO se aplican al dispositivo y están en conflicto. Solo debe haber un perfil de extensión en el dispositivo y ese perfil debe ser el perfil de catálogo de configuración.

  Si anteriormente creó un perfil de extensión de aplicación sso mediante la plantilla Características del dispositivo, anule la asignación de ese perfil. El perfil de catálogo de configuración es el único perfil que se debe asignar al dispositivo.

Artículos relacionados

• Introducción al inicio de sesión único en macOS Platform (versión preliminar)
• Complemento de inicio de sesión único de Microsoft Enterprise
• Uso de la extensión de aplicación de Inicio de sesión único de Microsoft Enterprise en dispositivos macOS
• ¿Qué es un token de actualización principal (PRT)?
• Solución de problemas conocidos y solución de problemas de inicio de sesión único de macOS Platform