Platform SSO konfigurálása macOS-eszközökhöz a Microsoft Intune

• A következőre érvényes::

  ✅ macOS

MacOS-eszközein konfigurálhatja a Platform SSO-t úgy, hogy jelszó nélküli hitelesítés, Microsoft Entra ID felhasználói fiókok vagy intelligens kártyák használatával engedélyezze az egyszeri bejelentkezést (SSO). A platform SSO a Microsoft Enterprise SSO beépülő modul és az SSO-alkalmazásbővítmény továbbfejlesztése. A platform egyszeri bejelentkezése a felhasználókat a Microsoft Entra ID hitelesítő adataikkal és a Touch ID azonosítójukkal tudja bejelentkezni a felügyelt Mac-eszközeikre.

Ez a funkció az alábbiakra vonatkozik:

• macOS

A Microsoft Enterprise SSO beépülő modulja Microsoft Entra ID két SSO-funkciót tartalmaz: a platform SSO-t és az SSO-alkalmazásbővítményt. Ez a cikk a platform egyszeri bejelentkezésének konfigurálásával foglalkozik Microsoft Entra ID macOS-eszközökhöz (nyilvános előzetes verzió).

A platform egyszeri bejelentkezésének néhány előnye:

• Tartalmazza az SSO-alkalmazásbővítményt. Az SSO-alkalmazásbővítményt nem kell külön konfigurálnia.
• Jelszó nélküli, a Mac-eszközhöz hardveresen kötött, adathalászatnak ellenálló hitelesítő adatokkal.
• A bejelentkezési élmény hasonló ahhoz, mint amikor munkahelyi vagy iskolai fiókkal jelentkezik be egy Windows-eszközre, ahogyan a felhasználók Vállalati Windows Hello.
• Segít minimalizálni, hogy a felhasználóknak hányszor kell megadniuk Microsoft Entra ID hitelesítő adataikat.
• Segít csökkenteni azoknak a jelszavaknak a számát, amelyekre a felhasználóknak emlékezniük kell.
• Kihasználhatja Microsoft Entra csatlakozás előnyeit, így bármely szervezeti felhasználó bejelentkezhet az eszközre.
• Az összes Microsoft Intune licenccsomag tartalmazza.

Amikor a Mac-eszközök csatlakoznak egy Microsoft Entra ID-bérlőhöz, az eszközök munkahelyi csatlakoztatási (WPJ) tanúsítványt kapnak, amely hardveresen kötött, és csak a Microsoft Enterprise SSO beépülő modulja fér hozzá. A feltételes hozzáféréssel védett erőforrások eléréséhez az alkalmazásoknak és a webböngészőknek szüksége van erre a WPJ-tanúsítványra. A platform egyszeri bejelentkezésének konfigurálásával az SSO-alkalmazásbővítmény közvetítőként működik Microsoft Entra ID hitelesítéshez és feltételes hozzáféréshez.

A platform egyszeri bejelentkezése beállításkatalógussal konfigurálható. Ha a szabályzat elkészült, hozzárendelheti a szabályzatot a felhasználókhoz. A Microsoft azt javasolja, hogy rendelje hozzá a szabályzatot, amikor a felhasználó regisztrálja az eszközt Intune. De bármikor hozzárendelhető, beleértve a meglévő eszközöket is.

Ez a cikk bemutatja, hogyan konfigurálhatja a platform SSO-t macOS-eszközökhöz Intune.

Előfeltételek

• Az eszközöknek macOS 13.0-s és újabb rendszerűnek kell lenniük.

• Microsoft Intune Céges portál alkalmazás5.2404.0-s és újabb verziójára van szükség az eszközökön. Ez a verzió platform SSO-t is tartalmaz.

• A következő webböngészők támogatják a platform egyszeri bejelentkezését:

  • Microsoft Edge

  • Google Chrome a Microsoft Egyszeri bejelentkezés bővítménnyel

    A Intune beállításfájlra (.plist) vonatkozó szabályzat használatával kényszerítheti a bővítmény telepítését. .plist A fájlban szüksége lesz néhány információra a Chrome Enterprise szabályzat – ExtensionInstallForcelist (a Google webhelyének megnyitása) című cikkben.

    Figyelmeztetés

    A GitHub managedPreferencesApplications példáiban mintafájlok .plist találhatók. Ezt a GitHub-adattárat nem a Microsoft birtokolja, nem tartja karban, és nem hozza létre. Az információkat saját felelősségére használhatja.

  • Safari

  A Intune segítségével hozzáadhat webböngésző-alkalmazásokat, beleértve a csomagfájlok (.pkg) és lemezképfájlok (.dmg) fájljait, és telepítheti az alkalmazást a macOS-eszközökön. Első lépésként nyissa meg az Alkalmazások hozzáadása Microsoft Intune című témakört.

• A platform egyszeri bejelentkezése a Intune beállításkatalógusával konfigurálja a szükséges beállításokat. A beállításkatalógus-szabályzat létrehozásához legalább jelentkezzen be a Microsoft Intune Felügyeleti központba egy olyan fiókkal, amely a következő Intune engedélyekkel rendelkezik:

  • Eszközkonfiguráció – Olvasási, létrehozási, frissítési és hozzárendelési engedélyek

  Vannak olyan beépített szerepkörök, amelyek rendelkeznek ezekkel az engedélyekkel, például a Szabályzat- és profilkezelő Intune az RBAC-szerepkörrel. A Intune RBAC-szerepköreiről a Szerepköralapú hozzáférés-vezérlés (RBAC) Microsoft Intune című témakörben talál további információt.

• Az 5. lépés – Az eszköz regisztrálása (ebben a cikkben) a felhasználók regisztrálják az eszközeiket. Ezeknek a felhasználóknak engedélyezni kell az eszközök Entra-azonosítóhoz való csatlakoztatását. További információt az Eszközbeállítások konfigurálása című témakörben talál.

1. lépés – A hitelesítési módszer kiválasztása

Amikor a platform SSO-szabályzatát Intune hozza létre, el kell döntenie a használni kívánt hitelesítési módszert.

A platform SSO-szabályzata és az Ön által használt hitelesítési módszer megváltoztatja, hogy a felhasználók hogyan jelentkezzenek be az eszközökre.

• A platform egyszeri bejelentkezésének konfigurálásakor a felhasználók az Ön által konfigurált hitelesítési módszerrel jelentkeznek be a macOS-eszközeikre.
• Ha nem használja a Platform SSO-t, a felhasználók helyi fiókkal jelentkeznek be macOS-eszközeikre. Ezután bejelentkeznek az alkalmazásokba és webhelyekre a Microsoft Entra ID.

Ebben a lépésben az információk segítségével megismerheti a hitelesítési módszerek közötti különbségeket, és hogy ezek hogyan befolyásolják a felhasználói bejelentkezési élményt.

Tipp

A Microsoft a Platform SSO konfigurálásakor a Secure Enclave hitelesítési módszert javasolja.

Kiemelés	Biztonságos enklávé	Intelligenskártya	Password
Jelszó nélküli (adathalászatnak ellenálló)	✅	✅	❌
A TouchID a zárolás feloldásához támogatott	✅	✅	✅
Jelszóként használható	✅	❌	❌
A beállításhoz kötelező az MFA A többtényezős hitelesítés (MFA) használata mindig ajánlott	✅	✅	❌
Helyi Mac-jelszó entra-azonosítóval szinkronizálva	❌	❌	✅
MacOS 13.x + rendszeren támogatott	✅	❌	✅
MacOS 14.x + rendszeren támogatott	✅	✅	✅
Másik lehetőségként engedélyezheti, hogy az új felhasználók Entra ID hitelesítő adatokkal jelentkezzenek be (macOS 14.x +)	✅	✅	✅

Biztonságos enklávé

Ha a Platform SSO-t a Secure Enclave hitelesítési módszerrel konfigurálja, az SSO beépülő modul hardverhez kötött titkosítási kulcsokat használ. Nem használja a Microsoft Entra hitelesítő adatokat a felhasználó alkalmazásokban és webhelyeken való hitelesítéséhez.

A Biztonságos enklávéról további információt a Biztonságos enklávé című témakörben talál (megnyitja az Apple webhelyét).

Biztonságos enklávé:

• Jelszó nélkülinek minősül, és megfelel az adathalászatnak ellenálló többtényezős (MFA) követelményeknek. Ez fogalmilag hasonlít a Vállalati Windows Hello. Ugyanazokat a funkciókat használhatja, mint a Vállalati Windows Hello, például a feltételes hozzáférést.
• A helyi fiók felhasználónevét és jelszavát a megadott módon hagyja meg. Ezek az értékek nem változnak.

  Megjegyzés:

  Ezt a viselkedést az Apple FileVault lemeztitkosítása okozza, amely a helyi jelszót használja feloldókulcsként.

• Az eszköz újraindítása után a felhasználóknak meg kell adniuk a helyi fiók jelszavát. A gép kezdeti zárolásának feloldása után a Touch ID segítségével feloldható az eszköz zárolása.
• A zárolás feloldása után az eszköz megkapja a hardveralapú elsődleges frissítési jogkivonatot (PRT) az eszközszintű egyszeri bejelentkezéshez.
• A webböngészőkben ez a PRT-kulcs használható hozzáférési kulcsként a WebAuthN API-k használatával.
• A beállítása elindítható egy MFA-hitelesítést vagy Microsoft ideiglenes hozzáférési bérletet (TAP) használó hitelesítési alkalmazással.
• Lehetővé teszi Microsoft Entra ID hozzáférési kulcsok létrehozását és használatát.

Password

Amikor a Platform SSO-t jelszó-hitelesítési módszerrel konfigurálja, a felhasználók a helyi fiók jelszavuk helyett a Microsoft Entra ID felhasználói fiókjukkal jelentkeznek be az eszközre.

Ez a beállítás engedélyezi az egyszeri bejelentkezést a hitelesítéshez Microsoft Entra ID használó alkalmazásokban.

A Jelszó-hitelesítési módszerrel:

• A Microsoft Entra ID jelszó felülírja a helyi fiók jelszavát, és a két jelszó szinkronban marad.

  Megjegyzés:

  A helyi fiók számítógépének jelszava nem törlődik teljesen az eszközről. Ezt a viselkedést az Apple FileVault lemeztitkosítása okozza, amely a helyi jelszót használja feloldókulcsként.

• A helyi fiók felhasználóneve nem változik, és változatlan marad.

• A végfelhasználók a Touch ID használatával jelentkezhetnek be az eszközre.

• A felhasználók és rendszergazdák kevesebb jelszót jegyeznek meg és kezelnek.

• A felhasználóknak meg kell adniuk Microsoft Entra ID jelszavukat az eszköz újraindítása után. A gép kezdeti feloldása után a Touch ID feloldja az eszköz zárolását.

• A feloldás után az eszköz megkapja a hardverhez kötött elsődleges frissítési jogkivonat (PRT) hitelesítő adatait Microsoft Entra ID egyszeri bejelentkezéshez.

Megjegyzés:

A konfigurált Intune jelszóházirend szintén hatással van erre a beállításra. Ha például van egy jelszóházirendje, amely blokkolja az egyszerű jelszavakat, akkor az egyszerű jelszavak is le lesznek tiltva ehhez a beállításhoz.

Győződjön meg arról, hogy a Intune jelszóházirendje és/vagy megfelelőségi szabályzata megegyezik a Microsoft Entra jelszóházirenddel. Ha a szabályzatok nem egyeznek, akkor előfordulhat, hogy a jelszó nem szinkronizálódik, és a rendszer megtagadja a hozzáférést a végfelhasználóktól.

Intelligenskártya

Amikor a Platform SSO-t intelligens kártyás hitelesítési módszerrel konfigurálja, a felhasználók az intelligens kártya tanúsítványával és a társított PIN-kóddal jelentkezhetnek be az eszközre, és hitelesíthetik magukat az alkalmazásokban és webhelyeken.

Ez a beállítás:

• Jelszó nélkülinek minősül.
• A helyi fiók felhasználónevét és jelszavát a megadott módon hagyja meg. Ezek az értékek nem változnak.

További információ: Microsoft Entra tanúsítványalapú hitelesítés iOS és macOS rendszeren.

KeyVault-helyreállítás konfigurálása (nem kötelező)

Jelszó-szinkronizálási hitelesítés használatakor engedélyezheti a keyvault helyreállítását, hogy az adatok helyreállíthatók legyenek abban az esetben, ha a felhasználó elfelejti a jelszavát. Az informatikai rendszergazdáknak át kell tekinteniük az Apple dokumentációját, és értékelniük kell, hogy az intézményi FileVault helyreállítási kulcsok használata jó választás-e számukra.

• A FileVault kezelése mobileszköz-kezeléssel

• FileVault Az MDM hasznosadat-beállításai Apple-eszközökhöz

2. lépés – A platform SSO-szabályzatának létrehozása Intune

A platform SSO-szabályzatának konfigurálásához az alábbi lépésekkel hozzon létre egy Intune-beállításkatalógus-szabályzatot. A Microsoft Enterprise SSO beépülő modulhoz a felsorolt beállítások szükségesek.

• A beépülő modulról további információt az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modulban olvashat.
• Az Extensible Single Sign-on bővítmény hasznosadat-beállításaival kapcsolatos részletekért nyissa meg az Extensible Single Sign-on MDM payload settings for Apple devices (Extensible Single Sign-on MDM payload settings for Apple devices ( Az Apple webhelyének megnyitása) című cikket.

Hozza létre a szabályzatot:

1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

2. Válassza az Eszközök>Eszközök kezelése>Konfiguráció>Létrehozás>Új házirend lehetőséget.

3. Adja meg a következő tulajdonságokat:

   • Platform: Válassza a macOS lehetőséget.
   • Profil típusa: Válassza a Beállítások katalógus lehetőséget.

4. Válassza a Létrehozás lehetőséget.

5. Az Alapadatok között adja meg a következő tulajdonságokat:

   • Név: Adja meg a házirend leíró nevét. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Adja például a szabályzatnak a macOS - Platform SSO nevet.
   • Leírás: Adja meg a szabályzat leírását. A beállítás használata nem kötelező, de ajánlott.

6. Válassza a Tovább gombot.

7. A Konfigurációs beállítások területen válassza a Beállítások hozzáadása lehetőséget. A beállításválasztóban bontsa ki a Hitelesítés elemet, majd válassza az Bővíthető Egyszeri bejelentkezés (SSO) lehetőséget:

   

   A listában válassza ki a következő beállításokat:

   • Hitelesítési módszer (elavult) (csak macOS 13 esetén)
   • Bővítmény azonosítója
   • Bontsa ki a Platform SSO-t:
     • Hitelesítési módszer kiválasztása (macOS 14+)
     • Jogkivonat kiválasztása felhasználóleképezéshez
     • Válassza a Megosztott eszközkulcsok használata lehetőséget
   • Regisztrációs jogkivonat
   • Képernyő zárolt viselkedése
   • Csapatazonosító
   • Típus
   • URL-címek

   Zárja be a beállításválasztót.

   Tipp

   A szabályzatban több platform SSO-beállítást is konfigurálhat:

   • Nem Microsoft-alkalmazások és a Microsoft Enterprise SSO-bővítmény beállításai (ebben a cikkben)
   • Végfelhasználói élmény beállításai (ebben a cikkben)

8. Konfigurálja a következő szükséges beállításokat:

   Name (Név)	Konfigurációs érték	Leírás
   Hitelesítési módszer (elavult) (csak macOS 13 esetén)	Jelszó vagy UserSecureEnclave	Válassza ki a Platform SSO hitelesítési módszert, amelyet az 1. lépés – A hitelesítési módszer kiválasztása című szakaszban választott (ebben a cikkben). Ez a beállítás csak a macOS 13 rendszerre vonatkozik. MacOS 14.0-s és újabb verziók esetén használja a Platform SSO>hitelesítési módszer beállítását.
   Bővítmény azonosítója	com.microsoft.CompanyPortalMac.ssoextension	Másolja és illessze be ezt az értéket a beállításba. Ez az azonosító az SSO-alkalmazásbővítmény, amelyet a profilnak szüksége van az egyszeri bejelentkezés működéséhez. A Bővítményazonosító és a Csapatazonosító értékek együtt működnek.
   Platform SSO>Hitelesítési módszer (macOS 14+)	Password, UserSecureEnclave vagy SmartCard	Válassza ki a Platform SSO hitelesítési módszert, amelyet az 1. lépés – A hitelesítési módszer kiválasztása című szakaszban választott (ebben a cikkben). Ez a beállítás a macOS 14-s és újabb verzióira vonatkozik. MacOS 13 esetén használja a Hitelesítési módszer (elavult) beállítást.
   Platform SSO>Megosztott eszközkulcsok használata(macOS 14+)	Engedélyezve	Ha engedélyezve van, a platform egyszeri bejelentkezése ugyanazokat az aláírási és titkosítási kulcsokat használja az ugyanazon az eszközön lévő összes felhasználóhoz. A macOS 13.x-ről 14.x-re frissítő felhasználókat a rendszer kérni fogja, hogy regisztráljanak újra.
   Regisztrációs jogkivonat	{{DEVICEREGISTRATION}}	Másolja és illessze be ezt az értéket a beállításba. A kapcsos zárójeleket meg kell adnia. A regisztrációs jogkivonattal kapcsolatos további információkért tekintse meg Microsoft Entra eszközregisztráció konfigurálását ismertető témakört. Ehhez a beállításhoz a AuthenticationMethod beállítást is konfigurálnia kell. – Ha csak macOS 13 rendszerű eszközöket használ, konfigurálja a Hitelesítési módszer (elavult) beállítást. – Ha csak macOS 14+ rendszerű eszközöket használ, konfigurálja a Platform SSO>hitelesítési módszer beállítását. – Ha macOS 13 és macOS 14+ rendszerű eszközök kombinációjával rendelkezik, akkor mindkét hitelesítési beállítást ugyanabban a profilban konfigurálja.
   Képernyő zárolt viselkedése	Nem kezelhető	Ha a Do Not Handle (Nincs kezelés) értékre van állítva, a kérés SSO nélkül folytatódik.
   Jogkivonat felhasználóleképezéshez>Fióknév	preferred_username	Másolja és illessze be ezt az értéket a beállításba. Ez a jogkivonat azt adja meg, hogy az Entra preferred_username attribútum értéke a macOS-fiók Fióknév értékéhez lesz használva.
   Jogkivonat felhasználóleképezéshez>Teljes név	name	Másolja és illessze be ezt az értéket a beállításba. Ez a jogkivonat azt adja meg, hogy az Entra-jogcím name a macOS-fiók Teljes név értékéhez lesz használva.
   Csapatazonosító	UBF8T346G9	Másolja és illessze be ezt az értéket a beállításba. Ez az azonosító a vállalati egyszeri bejelentkezés beépülő modul alkalmazásbővítményének csapatazonosítója.
   Típus	Átirányít
   URL-címek	Másolja és illessze be az alábbi URL-címeket: https://login.microsoftonline.com https://login.microsoft.com https://sts.windows.net Ha a környezetnek engedélyeznie kell a szuverén felhőtartományokat, például a Azure Government vagy az Azure China 21Vianetet, adja hozzá a következő URL-címeket is: https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn https://login.microsoftonline.us https://login-us.microsoftonline.com	Ezek az URL-előtagok az SSO-alkalmazásbővítményeket végző identitásszolgáltatók. Az URL-címek az átirányítási hasznos adatokhoz szükségesek, és a hitelesítő adatok esetében figyelmen kívül lesznek hagyva. Ezekről az URL-címekről további információt az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modulban talál.

   Fontos

   Ha a környezetben macOS 13 és macOS 14+ rendszerű eszközök is vannak, akkor ugyanabban a profilban konfigurálja a platform egyszeri bejelentkezéses>hitelesítési módszerét és a hitelesítési módszer (elavult) hitelesítési beállításait.

   Ha a profil készen áll, az a következő példához hasonlóan néz ki:

   

9. Válassza a Tovább gombot.

10. A Hatókörcímkék (nem kötelező) csoportban rendeljen hozzá egy címkét a profil adott informatikai csoportokra (például US-NC IT Team vagy JohnGlenn_ITDepartment) való szűréséhez. A hatókörcímkékről további információt az RBAC-szerepkörök és hatókörcímkék használata elosztott informatikai eszközökhöz című témakörben talál.

    Válassza a Tovább gombot.

11. A Hozzárendelések területen válassza ki azokat a felhasználói vagy eszközcsoportokat, amelyek megkapják a profilját. Felhasználói affinitású eszközök esetén rendeljen hozzá felhasználókhoz vagy felhasználói csoportokhoz. A felhasználói affinitás nélkül regisztrált több felhasználóval rendelkező eszközök esetén rendeljen hozzá eszközöket vagy eszközcsoportokat.

    A profilok hozzárendeléséről további információt a Felhasználói és eszközprofilok hozzárendelése című témakörben talál.

    Válassza a Tovább gombot.

12. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

Amikor az eszköz legközelebb konfigurációfrissítéseket keres, a rendszer alkalmazza a konfigurált beállításokat.

3. lépés – Az Céges portál alkalmazás üzembe helyezése macOS rendszeren

A macOS-hez készült Céges portál alkalmazás telepíti és telepíti a Microsoft Enterprise SSO beépülő modult. Ez a beépülő modul engedélyezi a platform egyszeri bejelentkezését.

A Intune használatával hozzáadhatja a Céges portál alkalmazást, és üzembe helyezheti kötelező alkalmazásként a macOS-eszközökön:

• A macOS-hez készült Céges portál alkalmazás hozzáadása felsorolja a lépéseket.
• Konfigurálja a Céges portál alkalmazást a szervezeti adatok belefoglalására (nem kötelező). A lépésekért tekintse meg a Intune Céges portál alkalmazások, Céges portál webhely és Intune alkalmazás konfigurálása című témakört.

Az alkalmazás platform SSO-hoz való konfigurálásának nincsenek konkrét lépései. Csak győződjön meg arról, hogy a legújabb Céges portál alkalmazás hozzá van adva a Intune és üzembe helyezve a macOS-eszközökön.

Ha a Céges portál alkalmazás régebbi verziója van telepítve, akkor a platform egyszeri bejelentkezése sikertelen lesz.

4. lépés – Az eszközök regisztrálása és a szabályzatok alkalmazása

A platform egyszeri bejelentkezésének használatához az eszközöket MDM-ben kell regisztrálni Intune az alábbi módszerek egyikével:

• A szervezet tulajdonában lévő eszközök esetében a következőt teheti:

  • Automatizált eszközregisztrációs szabályzat létrehozása az Apple Business Manager vagy az Apple School Manager használatával.
  • Hozzon létre egy közvetlen regisztrációs szabályzatot az Apple Configurator használatával.

• Személyes tulajdonú eszközök esetén hozzon létre egy eszközregisztrációs szabályzatot. Ezzel a regisztrációs módszerrel a végfelhasználók megnyithatják a Céges portál alkalmazást, és bejelentkeznek a Microsoft Entra ID. Amikor sikeresen bejelentkeznek, a regisztrációs szabályzat érvényes lesz.

Új eszközök esetén javasoljuk, hogy előre állítsa össze és konfigurálja az összes szükséges szabályzatot, beleértve a regisztrációs szabályzatot is. Ezután, amikor az eszközök regisztrálnak a Intune, a szabályzatok automatikusan érvényesülnek.

A Intune már regisztrált meglévő eszközök esetében rendelje hozzá a platform egyszeri bejelentkezési szabályzatát a felhasználókhoz vagy felhasználói csoportokhoz. Amikor az eszközök legközelebb szinkronizálnak vagy bejelentkeznek az Intune szolgáltatással, megkapják a létrehozott platform SSO-házirend-beállításokat.

5. lépés – Az eszköz regisztrálása

Amikor az eszköz megkapja a szabályzatot, megjelenik egy Regisztráció szükséges értesítés az Értesítési központban.

• A végfelhasználók ezt az értesítést választják, bejelentkeznek a Microsoft Entra ID beépülő modulba a szervezeti fiókjukkal, és szükség esetén elvégzik a többtényezős hitelesítést (MFA).

  Megjegyzés:

  Az MFA a Microsoft Entra egyik funkciója. Győződjön meg arról, hogy az MFA engedélyezve van a bérlőben. További információkért, beleértve az egyéb alkalmazáskövetelményeket is, látogasson el a Microsoft Entra többtényezős hitelesítésre.

• Sikeres hitelesítés esetén az eszköz Microsoft Entra csatlakozik a szervezethez, és a munkahelyi csatlakoztatási (WPJ) tanúsítvány az eszközhöz van kötve.

A következő cikkek a felhasználói élményt mutatják be a regisztrációs módszertől függően:

• Mac-eszköz csatlakoztatása Microsoft Entra ID.
• Csatlakozzon egy Mac-eszközhöz Microsoft Entra ID az OOBE során a macOS Platform SSO-val.

6. lépés – Az eszköz beállításainak megerősítése

A platform SSO-regisztrációjának befejeződésekor ellenőrizheti, hogy a platform egyszeri bejelentkezése konfigurálva van-e. A lépéseket a Microsoft Entra ID – Az eszközregisztráció állapotának ellenőrzése című témakörben találja.

Intune regisztrált eszközökön a Beállítások>Adatvédelmi és biztonsági>profilok menüpontot is megnyithatja. A platform SSO-profilja a alatt com.apple.extensiblesso Profilelátható. Válassza ki a profilt a konfigurált beállítások, köztük az URL-címek megtekintéséhez.

A platform egyszeri bejelentkezésének hibaelhárításához lépjen a macOS Platform egyszeri bejelentkezés ismert problémáira és hibaelhárítására.

7. lépés – Meglévő SSO-alkalmazásbővítmény-profilok hozzárendelésének megszüntetése

Miután meggyőződik arról, hogy a beállításkatalógus-szabályzat működik, törölje a Intune Eszközfunkciók sablonnal létrehozott meglévő SSO-alkalmazásbővítmény-profilok hozzárendelését.

Ha mindkét szabályzatot megtartja, ütközések léphetnek fel.

Nem Microsoft-alkalmazások és a Microsoft Enterprise SSO-bővítmény beállításai

Ha korábban a Microsoft Enterprise SSO bővítményt használta, és/vagy engedélyezni szeretné az egyszeri bejelentkezést a nem Microsoft-alkalmazásokban, adja hozzá a Bővítményadatok beállítást a meglévő Platform SSO-beállítások katalógusszabályzatához.

A Bővítményadatok beállítás egy nyílt szövegmezőhöz hasonló fogalom; a szükséges értékeket konfigurálhatja.

Ebben a szakaszban a Bővítményadatok beállítást használjuk a következőre:

• Konfigurálja az előző Microsoft Enterprise SSO-bővítmény Intune szabályzatban használt beállításokat.
• Konfigurálja azokat a beállításokat, amelyek lehetővé teszik a nem Microsoft-alkalmazások számára az egyszeri bejelentkezés használatát.

Ez a szakasz a minimálisan ajánlott beállításokat sorolja fel. Előfordulhat, hogy a Microsoft Enterprise SSO-bővítmény előző szabályzatában további beállításokat konfigurált. Javasoljuk, hogy adjon hozzá minden más kulcs-& értékpár-beállítást, amit a microsoftos SSO-bővítmény előző szabályzatában konfigurált.

Ne feledje, hogy a csoportokhoz csak egy SSO-szabályzat rendelhető. Ha tehát Platform SSO-t használ, akkor konfigurálnia kell a Platform SSO-beállításokat és a Microsoft Enterprise SSO-bővítmény beállításait a 2. lépés – Platform SSO-házirend létrehozása a Intune-ben (ebben a cikkben).

Az SSO-beállítások konfigurálásához általában az alábbi beállítások ajánlottak, beleértve a nem Microsoft-alkalmazások egyszeri bejelentkezési támogatásának konfigurálását.

1. A meglévő platform SSO-beállításkatalógusában adja hozzá a bővítményadatokat:

   1. A Intune Felügyeleti központban (Eszközök>kezelése eszközök>konfigurálása) válassza ki a platform egyszeri bejelentkezési beállításainak katalógusára vonatkozó meglévő szabályzatot.

   2. A Tulajdonságok>konfigurációs beállításai területen válassza aBeállítások szerkesztése> lehetőséget.

   3. A beállításválasztóban bontsa ki a Hitelesítés elemet, majd válassza az Bővíthető Egyszeri bejelentkezés (SSO) lehetőséget:

      

   4. A listában válassza a Bővítményadatok lehetőséget, és zárja be a beállítások választógombot:

      

2. A Bővítményadatok területen adja hozzá a következő kulcsokat és értékeket:

   Kulcs	Típus	Érték	Leírás
   AppPrefixAllowList	Karakterlánc	com.microsoft.,com.apple.	Másolja és illessze be ezt az értéket a beállításba. Az AppPrefixAllowList lehetővé teszi az SSO-t használó alkalmazásgyártók listájának létrehozását. Szükség szerint további alkalmazásgyártókat is hozzáadhat ehhez a listához.
   browser_sso_interaction_enabled	Egész szám	1	Konfigurál egy ajánlott közvetítőbeállítást.
   disable_explicit_app_prompt	Egész szám	1	Konfigurál egy ajánlott közvetítőbeállítást.

   Az alábbi példa az ajánlott konfigurációt mutatja be:

   

3. A módosítások mentéséhez és a szabályzat befejezéséhez válassza a Tovább gombot. Ha a szabályzat már hozzá van rendelve felhasználókhoz vagy csoportokhoz, akkor ezek a csoportok a következő szinkronizáláskor megkapják a szabályzat módosításait a Intune szolgáltatással.

Végfelhasználói élmény beállításai

Amikor létrehozza a beállításkatalógus-profilt a 2. lépés – Platform SSO-házirend létrehozása Intune, további választható beállításokat is konfigurálhat.

Az alábbi beállítások segítségével testre szabhatja a végfelhasználói élményt, és részletesebben szabályozhatja a felhasználói jogosultságokat. A platform SSO-val kapcsolatos nem dokumentált beállításai nem támogatottak.

Platform SSO-beállításai	Lehetséges értékek	Használat
Fiók megjelenítendő neve	Bármilyen sztringérték.	Testre szabhatja a végfelhasználók által a platform SSO-értesítéseiben látható szervezetnevet.
Felhasználó létrehozása bejelentkezéskor	Engedélyezze vagy tiltsa le.	Bármely szervezeti felhasználó bejelentkezhet az eszközre a Microsoft Entra hitelesítő adataival. Új helyi fiókok létrehozásakor a megadott felhasználónévnek és jelszónak meg kell egyeznie a felhasználó Microsoft Entra ID UPN-ével (user@contoso.com) és jelszavával.
Új felhasználói engedélyezési mód	Standard, Rendszergazda vagy Csoportok	A felhasználó egyszeri engedélyekkel rendelkezik a bejelentkezéskor, amikor a fiókot platform egyszeri bejelentkezéssel hozták létre. Jelenleg a Standard és Rendszergazda értékek támogatottak. A Standard mód használata előtt legalább egy Rendszergazda felhasználó szükséges az eszközön.
Felhasználói engedélyezési mód	Standard, Rendszergazda vagy Csoportok	A felhasználó állandó engedélyekkel rendelkezik a bejelentkezéskor minden alkalommal, amikor a felhasználó platform egyszeri bejelentkezéssel hitelesíti magát. Jelenleg a Standard és Rendszergazda értékek támogatottak. A Standard mód használata előtt legalább egy Rendszergazda felhasználó szükséges az eszközön.

Egyéb mobileszköz-kezelők

Ha az MDM támogatja a platform SSO-t, konfigurálhatja a platform egyszeri bejelentkezését más mobileszköz-kezelési szolgáltatásokkal (MDM-ekkel). Ha másik MDM-szolgáltatást használ, kövesse az alábbi útmutatót:

• A cikkben felsorolt beállítások a Microsoft által javasolt beállítások, amelyeket konfigurálnia kell. Az ebben a cikkben szereplő beállításértékeket az MDM-szolgáltatásszabályzatban másolhatja/illesztheti be.

  Az MDM-szolgáltatás konfigurációs lépései eltérőek lehetnek. Javasoljuk, hogy az MDM-szolgáltatás szállítójával együttműködve konfigurálja és telepítse a platform SSO-beállításait.

• Az eszközregisztráció platform egyszeri bejelentkezéssel biztonságosabb, és hardverhez kötött eszköztanúsítványokat használ. Ezek a változások hatással lehetnek néhány MDM-folyamatra, például az eszközmegfelelési partnerekkel való integrációra.

  Forduljon az MDM-szolgáltatás gyártójához, és ellenőrizze, hogy az MDM tesztelt platform egyszeri bejelentkezése megfelelően működik-e a platform egyszeri bejelentkezésével, és készen áll-e a platform egyszeri bejelentkezést használó ügyfelek támogatására.

Gyakori hibák

A platform egyszeri bejelentkezésének konfigurálásakor a következő hibaüzenetek jelenhetnek meg:

• 10001: misconfiguration in the SSOe payload.

  Ez a hiba akkor fordulhat elő, ha:

  • Van egy kötelező beállítás, amely nincs konfigurálva a beállításkatalógus-profilban.
  • A beállításkatalógus-profilban olyan beállítás van beállítva, amely nem alkalmazható az átirányítási típus hasznos adataira.

  A beállításkatalógus profiljában konfigurált hitelesítési beállítások eltérőek macOS 13.x és 14.x rendszerű eszközök esetén.

  Ha a környezetben macOS 13 és macOS 14 rendszerű eszközök vannak, akkor létre kell hoznia egy beállításkatalógus-szabályzatot, és ugyanabban a házirendben kell konfigurálnia a megfelelő hitelesítési beállításokat. Ezeket az információkat a 2. lépés – Platform SSO-szabályzat létrehozása a Intune-ben című szakaszában (ebben a cikkben) dokumentáljuk.

• 10002: multiple SSOe payloads configured.

  Több SSO-bővítmény hasznos adata van alkalmazva az eszközre, és ütköznek. Az eszközön csak egy bővítményprofilnak kell lennie, és ennek a profilnak kell lennie a beállításkatalógus-profilnak.

  Ha korábban az Eszközfunkciók sablonnal létrehozott egy SSO-alkalmazásbővítmény-profilt, törölje a profil hozzárendelését. A beállításkatalógus profilja az egyetlen profil, amelyet hozzá kell rendelni az eszközhöz.

Kapcsolódó cikkek

• a macOS platform egyszeri bejelentkezésének áttekintése (előzetes verzió)
• Microsoft Enterprise SSO beépülő modul
• A Microsoft Enterprise SSO alkalmazásbővítmény használata macOS-eszközökön
• Mi az az elsődleges frissítési jogkivonat (PRT)?
• a macOS platform egyszeri bejelentkezéssel kapcsolatos ismert problémái és hibaelhárítása