Bagikan melalui

Menghubungkan perangkat Mac dengan Microsoft Entra ID dan mengonfigurasinya untuk skenario perangkat bersama (Pratinjau)

  • Artikel

Dalam tutorial ini, Anda akan mempelajari cara mengonfigurasi Microsoft Entra Joined Mac melalui Mobile Manajemen Perangkat (MDM) untuk mendukung beberapa pengguna. Ada tiga metode di mana Anda dapat mendaftarkan perangkat Mac dengan Platform SSO (PSSO), enklave aman, kartu pintar, atau kata sandi. Sebaiknya gunakan enklave aman atau kartu pintar untuk pengalaman tanpa kata sandi terbaik, namun Mac bersama atau multi-pengguna dapat memperoleh manfaat dari menggunakan metode kata sandi sebagai gantinya. Skenario umum untuk penggunaan Mac secara bersama dengan kata sandi adalah di lab komputer sekolah dan universitas. Dalam skenario ini, siswa menggunakan beberapa perangkat, beberapa siswa menggunakan perangkat yang sama, dan mereka hanya memiliki kata sandi dan tidak ada MFA atau kredensial tanpa kata sandi.

Prasyarat

  • Versi minimum macOS 14 Sonoma yang diperlukan atau yang lebih baru. Meskipun macOS 13 Ventura didukung untuk Platform SSO secara keseluruhan, hanya Sonoma yang mendukung alat yang diperlukan untuk skenario berbagi Mac dengan Platform SSO yang dijelaskan dalam panduan ini.
  • Aplikasi Portal Perusahaan Microsoft Intune versi 5.2404.0 atau yang lebih baru.
  • Payload MDM untuk SSO Platform yang telah dikonfigurasi oleh administrator dalam MDM Anda.

Konfigurasi MDM

Ada tiga langkah utama untuk mengonfigurasi SSO Platform pada perangkat bersama:

  1. Menyebarkan Portal Perusahaan. Untuk informasi selengkapnya, lihat Menambahkan Portal Perusahaan untuk aplikasi macOS.
  2. Penerapan Konfigurasi SSO Platform. Buat dan sebarkan profil katalog pengaturan dengan Konfigurasi SSO Platform yang diperlukan.
  3. Menyebarkan Konfigurasi Layar Masuk macOS. Konfigurasi layar Masuk macOS dapat diubah untuk memungkinkan pengguna baru masuk.

Konfigurasi profil SSO platform

Profil MDM SSO Platform Anda harus menerapkan konfigurasi berikut untuk mendukung perangkat multi-pengguna:

Parameter Konfigurasi Nilai/Nilai-nilai Catatan
Perilaku Layar Terkunci Jangan Tangani Wajib
Token Pendaftaran {{DEVICEREGISTRATION}} Direkomendasikan untuk pengalaman pengguna pendaftaran terbaik
Metode Autentikasi Kata sandi Direkomendasikan untuk artikel ini, kunci enklave aman sebaiknya digunakan untuk perangkat pengguna tunggal.
Aktifkan Otorisasi Diaktifkan Wajib
Aktifkan Buat Pengguna Saat Masuk Diaktifkan Wajib
Mode Otorisasi Pengguna Baru Standar Direkomendasikan
Pemetaan Token ke Pengguna --> Nama Akun nama_pengguna_yang_dipilih Wajib
Pemetaan Token ke Pengguna --> Nama Lengkap nama Wajib
Gunakan Kunci Perangkat Bersama Diaktifkan Wajib
Mode Otorisasi Pengguna Standard Direkomendasikan
Pengidentifikasi Tim UBF8T346G9 Wajib
Pengidentifikasi Ekstensi com.microsoft.CompanyPortalMac.ssoextension Wajib
Tipe Pengalihan Wajib
URL https://login.microsoftonline.com, https://login.microsoft.com, https://sts.windows.net, https://login.partner.microsoftonline.cn, https://login.chinacloudapi.cn, https://login.microsoftonline.us, https://login-us.microsoftonline.com Wajib

Jika Anda menggunakan Intune sebagai MDM pilihan Anda, pengaturan profil konfigurasi akan muncul seperti ini:

Cuplikan layar profil MDM SSO Platform di Intune.

Konfigurasi layar masuk macOS

Untuk memungkinkan pengguna baru masuk dan dibuat dari layar masuk macOS, ada dua konfigurasi yang dapat digunakan:

  • Perlihatkan Pengguna Lain Yang Dikelola. Dengan konfigurasi ini, layar masuk macOS menampilkan daftar profil yang telah dibuat dan tombol "pengguna lain" yang dapat digunakan untuk masuk dengan nama pengguna dan kata sandi. Pengguna dapat memilih profil yang ada untuk masuk atau masuk dengan nama prinsipal pengguna (UPN) ID Microsoft Entra mereka.

  • Perlihatkan nama lengkap. Dengan konfigurasi ini, layar login macOS menampilkan bidang untuk nama pengguna dan kata sandi tanpa daftar pengguna. Pengguna dapat masuk dengan UPN ID Microsoft Entra mereka.

Konfigurasi ini dapat ditemukan di Katalog Pengaturan Intune di bawah Masuk>Perilaku Jendela Masuk.

Memasukkan dan mendaftarkan perangkat

Untuk mendaftarkan perangkat Mac dengan SSO Platform, perangkat harus terdaftar ke MDM. Untuk perangkat bersama, pengguna yang menyiapkan perangkat biasanya akan menjadi administrator atau teknisi - pengguna ini akan memiliki hak administratif lokal kecuali ada akun admin lokal alternatif yang dibuat.

Catatan

Jika Anda mendaftar menggunakan Pendaftaran Perangkat Otomatis, Anda dapat memilih untuk mendorong pengguna menyiapkan perangkat untuk membuat akun lokal sebagai:

  • Nama akun: Nama pengguna ID Microsoft Entra (misalnya. user@domain.com).
  • Nama Lengkap: Nama Depan dan Belakang. Ini karena akun lokal yang dibuat selama asisten pengaturan akan dihubungkan dengan akun Microsoft Entra ID selama pendaftaran.

Ada tiga langkah tingkat tinggi untuk menyiapkan SSO Platform pada perangkat bersama:

  1. Admin TI atau orang yang didelegasikan mendaftarkan perangkat dengan Intune.
  2. Admin TI atau orang yang didelegasikan mendaftarkan perangkat dengan ID Microsoft Entra menggunakan kredensial mereka.
  3. Sekarang perangkat siap bagi pengguna baru untuk masuk dari layar masuk ID Microsoft Entra.

Organisasi dapat mendaftarkan perangkat bersama ke Intune menggunakan metode yang berbeda tergantung pada kepemilikan perangkat.

Metode pendaftaran Kepemilikan Perangkat Persyaratan
Pendaftaran Perangkat Otomatis tanpa keterkaitan pengguna Milik perusahaan atau sekolah ✔️Pendaftaran di Apple Business Manager
✔️ Pendaftaran Perangkat Otomatis yang dikonfigurasi di Intune
Portal Perusahaan Pribadi Tidak

Pendaftaran SSO Platform

Setelah perangkat terdaftar di MDM dan telah menginstal Portal Perusahaan, Anda perlu mendaftarkan perangkat Anda dengan Platform SSO. Popup Pendaftaran Diperlukan muncul di kanan atas layar. Gunakan popup untuk mendaftarkan perangkat Anda dengan SSO Platform menggunakan kredensial ID Microsoft Entra Anda:

  1. Navigasikan ke popup Pendaftaran diperlukan di kanan atas layar. Arahkan mouse ke atas popup dan pilih Daftar.

    Cuplikan layar desktop dengan popup pendaftaran yang diperlukan di kanan atas layar.

  2. Anda diminta untuk mendaftarkan perangkat Anda dengan ID Microsoft Entra. Masukkan kredensial masuk Anda dan pilih Berikutnya.

    1. Administrator Anda mungkin telah mengonfigurasi MFA untuk alur pendaftaran perangkat. Jika demikian, buka aplikasi Authenticator di perangkat seluler Anda dan selesaikan alur MFA.

    Cuplikan layar jendela pendaftaran yang meminta masuk dengan Microsoft.

  3. Saat jendela Akses Menyeluruh muncul, masukkan kata sandi akun lokal Anda dan pilih OK.

    Cuplikan layar dari jendela satu kali masuk yang meminta pengguna untuk memasukkan kata sandi akun lokal mereka.

  4. Jika kata sandi lokal Anda berbeda dengan kata sandi ID Microsoft Entra Anda, popup Autentikasi Diperlukan muncul di kanan atas layar. Arahkan mouse ke atas banner dan pilih Masuk.

  5. Saat jendela Microsoft Entra muncul, masukkan kata sandi ID Microsoft Entra Anda dan pilih Masuk.

    Cuplikan layar jendela masuk Microsoft Entra.

  6. Setelah membuka mac, Anda sekarang dapat menggunakan SSO Platform untuk mengakses sumber daya aplikasi Microsoft. Mulai saat ini, kata sandi lama Anda tidak berfungsi karena SSO Platform diaktifkan untuk perangkat Anda.

Periksa status pendaftaran perangkat Anda

Setelah menyelesaikan langkah-langkah di atas, disarankan untuk memeriksa status pendaftaran perangkat Anda.

  1. Untuk memeriksa apakah pendaftaran telah berhasil diselesaikan, navigasikan ke Pengaturan dan pilih Pengguna & Grup.

  2. Pilih Edit di samping Server Akun Jaringan dan periksa apakah SSO Platform terdaftar sebagai Terdaftar.

  3. Untuk memverifikasi metode yang digunakan untuk autentikasi, navigasikan ke nama pengguna Anda di jendela Pengguna & Grup dan pilih ikon Informasi . Periksa metode yang tercantum, yang seharusnya enklave aman, kartu pintar, atau kata sandi.

    Catatan

    Anda juga dapat menggunakan aplikasi Terminal untuk memeriksa status pendaftaran. Jalankan perintah berikut untuk memeriksa status pendaftaran perangkat Anda. Anda seharusnya melihat di bagian bawah output bahwa token SSO telah diperoleh. Untuk pengguna macOS 13 Ventura, perintah ini diperlukan untuk memeriksa status pendaftaran.

    app-sso platform -s

Menguji Fungsionalitas Pembuatan Pengguna Baru saat Login.

Selanjutnya Anda harus memvalidasi bahwa perangkat siap bagi pengguna lain di penyewa untuk masuk ke dalamnya.

  1. Keluar dari Mac dengan akun yang Anda gunakan untuk melakukan pengaturan awal.
  2. Di layar masuk, pilih opsi Lainnya... untuk masuk dengan akun pengguna baru

Cuplikan layar masuk macOS.

  1. Masukkan Nama Prinsipal Pengguna dan kata sandi Microsoft Entra ID pengguna.

Cuplikan layar kotak masuk macOS tempat pengguna memasukkan kredensial mereka.

  1. Jika Nama Prinsipal Pengguna dan kata sandi sudah benar, maka pengguna akan masuk. Pengguna diarahkan untuk melalui beberapa layar dialog Asisten Penyiapan secara default dan kemudian mereka mendarat di desktop macOS.

Pemecahan Masalah

Jika pengguna tidak berhasil masuk, gunakan sumber daya berikut untuk memecahkan masalah:

  1. Lihat panduan masalah yang diketahui dan pemecahan masalah single sign-on Platform macOS
  2. Validasi bahwa pengguna dapat berhasil masuk ke MICROSOFT Entra ID menggunakan Nama Prinsipal Pengguna dan kata sandi mereka di browser di perangkat lain. Anda dapat menguji dengan meminta pengguna masuk ke aplikasi web, seperti https://myapps.microsoft.com

Lihat juga