Aggiungere un dispositivo Mac con Microsoft Entra ID durante l'esperienza predefinita con macOS PSSO (anteprima)

Gli utenti Mac possono aggiungere il nuovo dispositivo all'ID Microsoft Entra durante la prima esperienza guidata.Mac users can join their new device to Microsoft Entra ID during the first-run out-of-box experience (Configurazione guidata). L'accesso Single Sign-On (PSSO) di macOS Platform è una funzionalità di macOS abilitata tramite l'estensione Microsoft Enterprise Single Sign-On. PSSO consente agli utenti di accedere a un dispositivo Mac usando una chiave associata a hardware, una smart card o la password dell'ID Microsoft Entra. Questa esercitazione illustra come configurare un dispositivo Mac durante la configurazione guidata per l'uso dell'accesso Single Sign-On tramite registrazione automatica dei dispositivi.

Prerequisiti

• Versione minima consigliata di macOS 14 Sonoma. Sebbene macOS 13 Venga supportato, è consigliabile usare macOS 14 Sonoma per un'esperienza ottimale.
• Dispositivo registrato con registrazione automatica dei dispositivi . Rivolgersi all'amministratore se non si è certi che il dispositivo sia registrato con questo requisito.
• Microsoft Portale aziendale Intune versione 5.2404.0 o successiva
• Un dispositivo Mac registrato nella gestione di dispositivi mobili (MDM) con Microsoft Intune.
• Microsoft Authenticator (scelta consigliata): l'utente deve essere registrato per una forma di autenticazione a più fattori (MFA) di Microsoft Entra ID nel dispositivo mobile per completare la registrazione del dispositivo.
• Per la configurazione della smart card, l'autenticazione basata su certificati configurata e abilitata. Una smart card caricata con un certificato per l'autenticazione con Microsoft Entra e la smart card abbinata all'account locale.

Configurare il dispositivo macOS

1. Dopo aver visualizzato la schermata "Hello" quando si apre il Mac per la prima volta, seguire la procedura per selezionare il paese o l'area geografica e configurare le impostazioni di rete in base alle esigenze.

2. Viene richiesto di scaricare un profilo di gestione remota, che consente di applicare la configurazione in Microsoft Intune al dispositivo. Selezionare Continua e immettere le credenziali dell'ID Entra di Microsoft quando viene richiesto di approvare il download del profilo di gestione.

   

3. Immettere il codice inviato all'app Authenticator (scelta consigliata) o usare un altro metodo MFA.

4. Per creare un account utente, immettere il nome completo, il nome dell'account e creare una password dell'account locale. Selezionare Continua e viene visualizzata la schermata iniziale.

   

Registrazione con registrazione automatica dei dispositivi

Per la registrazione PSSO sono disponibili tre metodi di autenticazione:

• Secure Enclave: l'utente accede al dispositivo con una chiave crittografica protetta supportata dall'enclave usata per l'accesso Single Sign-On tra le app che usano l'ID Microsoft Entra per l'autenticazione. Può anche essere definito Platform Credential per macOS.
• Smart card: l'utente accede al computer usando una smart card esterna o un token rigido compatibile con smart card
• Password: l'utente accede al dispositivo locale con un account locale, aggiornato per usare la password dell'ID Microsoft Entra

È consigliabile che l'amministratore di sistema abbia registrato il Mac usando l'enclave sicuro o la smart card. Queste nuove funzionalità senza password sono supportate solo da PSSO. Verificare quale metodo di autenticazione è stato configurato dall'amministratore prima di continuare.

Enclave sicuro

1. Passare al popup Registrazione richiesta in alto a destra della schermata. Passare il puntatore del mouse sul popup e selezionare Registra. Per gli utenti macOS 14 Sonoma, verrà visualizzato un prompt per registrare il dispositivo con Microsoft Entra. Questa richiesta non viene visualizzata per macOS 13Partizioni.

   

2. Viene visualizzato un prompt per immettere la password dell'account locale. Immettere la password e selezionare OK.

3. Dopo aver sbloccato l'account, selezionare l'account a cui accedere, immettere le credenziali di accesso e selezionare Avanti.

4. L'autenticazione a più fattori è necessaria come parte di questo flusso di accesso. Aprire l'app Authenticator (scelta consigliata) o usare gli altri metodi MFA registrati e immettere il numero visualizzato nella schermata per completare la registrazione.

   

5. Al termine del flusso MFA e la schermata di caricamento scompare, il dispositivo deve essere registrato con PSSO. È ora possibile usare PSSO per accedere alle risorse dell'app Microsoft.

Abilitare le credenziali della piattaforma per macOS da usare come passkey

La configurazione del dispositivo tramite il metodo di enclave sicuro consente di usare le credenziali risultanti salvate nel Mac come passkey nel browser. Per abilitarlo;

1. Aprire l'app Impostazioni e passare a Password>opzioni.

2. In Opzioni password trovare Usa password e passkey da e abilitare Portale aziendale tramite l'interruttore attiva/disattiva.

   

Smart card

Associare la smart card con l'account locale

Prima di poter registrare il dispositivo con una smart card, è necessario associare la smart card all'account locale. Aprire l'app Terminale ed eseguire i comandi seguenti per trovare l'hash della chiave pubblica del certificato della smart card e associarlo all'account locale, quindi verificare che sia stato eseguito correttamente. Questa operazione deve essere eseguita usando sudo.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Registrare il dispositivo con la smart card

1. Passare al popup Registrazione richiesta in alto a destra della schermata. Passare il puntatore del mouse sul popup e selezionare Registra. Se la smart card è associata all'account locale, verrà visualizzato un prompt per immettere il pin della smart card

   

2. L'amministratore potrebbe aver configurato l'autenticazione a più fattori per il flusso di registrazione del dispositivo. In tal caso, aprire l'app Authenticator nel dispositivo mobile e completare il flusso MFA.

   

3. Se il certificato non è già associato all'account locale, verrà visualizzato un prompt per l'uso della smart card. Selezionare Smart card.

4. Viene richiesto di immettere il pin per la smart card. Immettere il pin e selezionare Invio pin per la smart card. Quando viene immesso il pin corretto, la registrazione PSSO con l'autenticazione tramite smart card è completata.

5. È ora possibile usare PSSO per accedere alle risorse dell'app Microsoft e sbloccare il dispositivo con il pin della smart card. Sarà necessario usare la password locale per accedere dopo un riavvio per sbloccare l'accesso al keychain.

Password

1. Passare al popup Registrazione richiesta in alto a destra della schermata. Passare il puntatore del mouse sul popup e selezionare Registra.

   

2. Viene visualizzato un prompt per immettere la password dell'account locale. Immettere la password e selezionare OK.

3. Dopo aver sbloccato l'account, selezionare l'account a cui accedere, immettere le credenziali di accesso e selezionare Avanti.

4. L'autenticazione a più fattori è necessaria come parte di questo flusso di accesso. Aprire l'app Authenticator (scelta consigliata) o usare gli altri metodi MFA registrati e immettere il numero visualizzato nella schermata per completare la registrazione.

   

5. Se la password locale è diversa dalla password dell'ID Entra Microsoft, viene visualizzata una finestra popup Authentication Required (Autenticazione richiesta ) nella parte superiore destra della schermata. Passare il puntatore del mouse sul banner e selezionare Accedi.

6. Quando viene visualizzata una finestra di Microsoft Entra , immettere la password dell'ID di Microsoft Entra e selezionare Accedi.

   

7. Dopo aver sbloccato il Mac, è ora possibile usare PSSO per accedere alle risorse dell'app Microsoft. Da questo punto in poi, la vecchia password non funziona perché PSSO è abilitato per il dispositivo.

Controllare lo stato di registrazione del dispositivo

Dopo aver completato i passaggi precedenti, è consigliabile controllare lo stato di registrazione del dispositivo.

1. Per verificare che la registrazione sia stata completata correttamente, passare a Impostazioni e selezionare Utenti e gruppi.

2. Selezionare Modifica accanto a Server account di rete e verificare che Platform SSO sia elencato come Registrato.

3. Per verificare il metodo usato per l'autenticazione, passare al nome utente nella finestra Utenti e gruppi e selezionare l'icona Informazioni . Controllare il metodo elencato, che deve essere Enclave sicuro, Smart Card o Password.

   Nota

   È anche possibile usare l'app Terminale per controllare lo stato di registrazione. Eseguire il comando seguente per controllare lo stato della registrazione del dispositivo. Verrà visualizzato nella parte inferiore dell'output che vengono recuperati i token SSO. Per gliutentii macOS 13, questo comando è necessario per controllare lo stato di registrazione.

   app-sso platform -s
   

Vedi anche

• Aggiungere un dispositivo Mac con Microsoft Entra ID usando Portale aziendale
• Opzioni di autenticazione senza password per Microsoft Entra ID
• Pianificare una distribuzione dell'autenticazione senza password in Microsoft Entra ID
• Plug-in Microsoft Enterprise SSO per dispositivi Apple