Condividi tramite

Metodi di autenticazione in Microsoft Entra ID - Platform Credential for macOS

Platform Credential per macOS è una nuova funzionalità su macOS abilitata tramite l'estensione Microsoft Enterprise single sign-on (SSOe). Effettua il provisioning di una chiave crittografica associata all'hardware, supportata da un'enclave sicura, usata per il Single Sign-On tra le app che utilizzano Microsoft Entra ID per l'autenticazione. La password dell'account locale dell'utente non è interessata ed è necessaria per accedere al Mac.

Screenshot che mostra un esempio di finestra popup che richiede all'utente di registrare l'account macOS con il provider di identità usando Platform Single Sign-On.

Le credenziali della piattaforma per macOS consentono agli utenti di passare senza password configurando Touch ID per sbloccare il dispositivo e usa credenziali resistenti al phishing, basate sulla tecnologia Windows Hello for Business. In questo modo le organizzazioni dei clienti risparmiano denaro rimuovendo la necessità di chiavi di sicurezza e avanzando gli obiettivi Zero Trust usando l'integrazione con l'enclave sicuro.

Le credenziali della piattaforma per macOS possono essere usate anche come credenziali resistenti al phishing per l'uso in problemi di WebAuthn, inclusi gli scenari di riautenticazione del browser. Se si usano i criteri di restrizione delle chiavi nei criteri FIDO, è necessario aggiungere AAGUID per le credenziali della piattaforma macOS all'elenco di AAGUID consentiti: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC.

Diagramma che illustra i passaggi necessari per l'accesso utente con macOS Platform SSO.

  1. Un utente sblocca macOS usando l'impronta digitale o il movimento della password, che sblocca il contenitore delle chiavi per fornire l'accesso a UserSecureEnclaveKey.
  2. MacOS richiede un nonce (un numero arbitrario casuale che può essere usato una sola volta) da Microsoft Entra ID.
  3. Microsoft Entra ID restituisce un nonce valido per 5 minuti.
  4. Il sistema operativo invia una richiesta di accesso a Microsoft Entra ID con un'asserzione incorporata firmata con UserSecureEnclaveKey che risiede nell'enclave sicuro.
  5. Microsoft Entra ID convalida l'asserzione firmata usando la chiave pubblica registrata in modo sicuro dell'utente della chiave UserSecureEnclave. Microsoft Entra ID convalida la firma e il nonce. Dopo aver convalidato l'asserzione, Microsoft Entra ID crea un token di aggiornamento primario (PRT) crittografato con la chiave pubblica di UserDeviceEncryptionKey scambiata durante la registrazione e invia la risposta al sistema operativo.
  6. Il sistema operativo decrittografa e convalida la risposta, recupera i token SSO, archivia e lo condivide con l'estensione SSO per fornire l'accesso SSO. L'utente è in grado di accedere alle applicazioni macOS, cloud e locali tramite SSO.

Per ulteriori informazioni su come configurare e distribuire le Credenziali della Piattaforma su macOS, consultare macOS Platform SSO (SSO della piattaforma).

Single Sign-On della piattaforma per macOS con SmartCard

Platform Single Sign-On (PSSO) per macOS consente agli utenti di passare senza password usando il metodo di autenticazione SmartCard. L'utente accede al dispositivo usando una smart card esterna o un token basato su hardware compatibile con smart card (ad esempio Yubikey). Una volta sbloccato il dispositivo, la smart card viene usata con Microsoft Entra ID per concedere l'accesso SSO tra le app che usano l'ID Microsoft Entra per l'autenticazione usando l'autenticazione basata su certificato (CBA). CBA deve essere configurato e abilitato affinché gli utenti possano utilizzare questa funzionalità. Per ulteriori informazioni su come configurare l'autenticazione basata su certificati di Microsoft Entra, vedere Come configurare l'autenticazione basata su certificati di Microsoft Entra.

Per abilitarla, un amministratore deve configurare PSSO usando Microsoft Intune o un'altra soluzione mobile Gestione dispositivi (MDM) supportata.

Diagramma che illustra i passaggi necessari per l'accesso utente con macOS Platform SSO.

  1. Un utente sblocca macOS usando il pin della smart card, che sblocca la smart card e il contenitore delle chiavi per fornire l'accesso alle chiavi di registrazione del dispositivo presenti in Secure Enclave.
  2. MacOS richiede un nonce (un numero arbitrario casuale che può essere usato una sola volta) da Microsoft Entra ID.
  3. Microsoft Entra ID restituisce un nonce valido per 5 minuti.
  4. Il sistema operativo invia una richiesta di accesso a Microsoft Entra ID con un'asserzione incorporata firmata con il certificato Microsoft Entra dell'utente dalla smart card.
  5. Microsoft Entra ID convalida l'asserzione firmata, la firma e il nonce. Dopo aver convalidato l'asserzione, Microsoft Entra ID crea un token di aggiornamento primario (PRT) crittografato con la chiave pubblica di UserDeviceEncryptionKey scambiata durante la registrazione e invia la risposta al sistema operativo.
  6. Il sistema operativo decrittografa e convalida la risposta, recupera i token SSO, archivia e lo condivide con l'estensione SSO per fornire l'accesso SSO. L'utente è in grado di accedere alle applicazioni macOS, cloud e locali tramite SSO.

Contenuti correlati

Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?

  • Last updated on