Aggiungere un dispositivo Mac con Microsoft Entra ID durante la configurazione guidata con PSSO per macOS (anteprima)

Gli utenti Mac possono aggiungere il nuovo dispositivo a Microsoft Entra ID durante la prima configurazione guidata (OOBE). L'accesso Platform Single Sign-On (PSSO) per macOS è una funzionalità di macOS abilitata tramite Estensione di Microsoft Enterprise Single Sign-On. PSSO consente agli utenti di accedere a un dispositivo Mac tramite una chiave associata all'hardware, smart card o password Microsoft Entra ID. Questa esercitazione illustra come configurare un dispositivo Mac durante la configurazione guidata per utilizzare l'accesso PSSO tramite registrazione automatica dei dispositivi.

Prerequisiti

• Si consiglia come versione minima macOS 14 Sonoma. Sebbene macOS 13 Ventura sia supportato, si consiglia l'uso di macOS 14 Sonoma per un'esperienza ottimale.
• Dispositivo registrato con Registrazione automatica dei dispositivi (ADE). Rivolgersi all'amministratore se non si è certi che il dispositivo sia stato registrato con questo requisito.
• Portale aziendale di Microsoft Intune versione 5.2404.0, o successive
• Un dispositivo Mac registrato nella gestione di dispositivi mobili (MDM) con Microsoft Intune.
• Microsoft Authenticator (scelta consigliata): per completare la registrazione del dispositivo, l'utente deve essere registrato per una forma di autenticazione a più fattori (MFA) di Microsoft Entra ID nel dispositivo mobile.
• Per la configurazione della smart card, l'autenticazione basata su certificato configurata e abilitata. Una smart card caricata con un certificato per l'autenticazione con Microsoft Entra e la smart card associata all'account locale.

Configurare il dispositivo macOS

1. Quando viene visualizzata la schermata "Hello" alla prima apertura del Mac, seguire la procedura per selezionare il paese o l'area geografica e configurare le impostazioni di rete secondo necessità.

2. Verrà richiesto di scaricare un profilo diGestione remota che consente di applicare al dispositivo la configurazione di Microsoft Intune. Selezionare Continua e immettere le credenziali di Microsoft Entra ID quando viene richiesto di approvare il download del profilo di gestione.

   

3. Immettere il codice inviato all'app Authenticator (scelta consigliata) o usare un altro metodo MFA.

4. Per creare un account utente, immettere il nome completo, il nome dell'account e creare una password per l'account locale. Selezionare Continua, verrà visualizzata la schermata iniziale.

   

Registrazione con la registrazione automatica dei dispositivi (ADE)

Per la registrazione PSSO sono disponibili tre metodi di autenticazione:

• Enclave sicura: l'utente accede al dispositivo con una chiave di crittografia protetta supportata dall'enclave sicura usata per l'accesso SSO alle app che utilizzano Microsoft Entra ID per l'autenticazione. Può anche essere definito credenziali di piattaforma per macOS.
• Smart card: l'utente accede al computer usando una smart card esterna o un token hardware compatibile con smart card
• Password: l'utente accede al dispositivo locale tramite un account locale, aggiornato per l'uso della password Microsoft Entra ID

È consigliabile che l'amministratore di sistema registri il Mac usando l'enclave sicura o la smart card. Queste nuove funzionalità senza password sono supportate solo da PSSO. Prima di procedere, verificare quale metodo di autenticazione abbia configurato l'amministratore.

Enclave sicura

1. Passare all'elemento popup Registrazione richiesta nella parte superiore destra della schermata. Passare il puntatore del mouse sull'elemento popup e selezionare Registra. Per gli utenti di macOS 14 Sonoma, verrà visualizzato un prompt che richiede la registrazione del dispositivo con Microsoft Entra. Questo prompt non viene visualizzato per macOS 13 Ventura.

   

2. Viene visualizzato un prompt che richiede di immettere la password dell'account locale. Immettere la password e selezionare OK.

3. Dopo aver sbloccato l'account, selezionare l'account al quale si desidera accedere, immettere le credenziali di accesso e selezionare Avanti.

4. L'autenticazione a più fattori è richiesta come parte di questo flusso di accesso. Aprire l'app Authenticator (scelta consigliata) o usare gli altri metodi MFA registrati e immettere il numero visualizzato nella schermata per completare la registrazione.

   

5. Quando il flusso dell'autenticazione a più fattori è stato completato e la schermata di caricamento scompare, il dispositivo deve essere registrato con PSSO. Adesso è possibile usare PSSO per accedere alle risorse app Microsoft.

Abilitare le credenziali della piattaforma per macOS da usare come passkey

La configurazione del dispositivo con il metodo dell'enclave sicura consente di utilizzare le credenziali risultanti salvate nel Mac come passkey nel browser. Per abilitarle:

1. Aprire l'app Impostazioni, quindi passare a Password>Opzioni password.

2. In Opzioni password, trovare Usa password e passkey da e abilitare il Portale aziendale con l'opzione di attivazione/disattivazione.

   

Smart card

Associare la smart card all'account locale

Prima di poter registrare il dispositivo con una smart card, è necessario associare la smart card all'account locale. Aprire l'app Terminale ed eseguire i comandi seguenti per trovare l'hash della chiave pubblica del certificato della smart card e associarla all'account locale, quindi verificare che l'operazione sia stata eseguita correttamente. L'operazione deve essere eseguita usando sudo.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Registrare il dispositivo con la smart card

1. Passare all'elemento popup Registrazione richiesta nella parte superiore destra della schermata. Passare il puntatore del mouse sull'elemento popup e selezionare Registra. Se la smart card è associata all'account locale, verrà visualizzato un prompt che richiede di immettere il pin della smart card

   

2. L'amministratore potrebbe aver configurato l'autenticazione a più fattori per il flusso di registrazione del dispositivo. In tal caso, aprire l'app Authenticator nel dispositivo mobile e completare il flusso di autenticazione a più fattori.

   

3. Se il certificato non è già associato all'account locale, verrà visualizzato un prompt che richiede di utilizzare la smart card. Selezionare Smart card.

4. Verrà richiesto di immettere il pin della smart card. Immettere il pin e selezionare Invia pin della smart card. Se viene immesso il pin corretto, la registrazione PSSO con autenticazione tramite smart card viene completata.

5. Adesso è possibile usare PSSO per accedere alle risorse app Microsoft e sbloccare il dispositivo con il pin della smart card. Si dovrà usare la password locale per eseguire l’accesso dopo un riavvio per sbloccare l'accesso portachiavi.

Password

1. Passare all'elemento popup Registrazione richiesta nella parte superiore destra della schermata. Passare il puntatore del mouse sull'elemento popup e selezionare Registra.

   

2. Viene visualizzato un prompt che richiede di immettere la password dell'account locale. Immettere la password e selezionare OK.

3. Dopo aver sbloccato l'account, selezionare l'account al quale si desidera accedere, immettere le credenziali di accesso e selezionare Avanti.

4. L'autenticazione a più fattori è richiesta come parte di questo flusso di accesso. Aprire l'app Authenticator (scelta consigliata) o usare gli altri metodi MFA registrati e immettere il numero visualizzato nella schermata per completare la registrazione.

   

5. Se la password locale è diversa dalla password di Microsoft Entra ID, viene visualizzato l'elemento popup Autenticazione richiesta nella parte superiore destra della schermata. Passare il puntatore del mouse sul banner e selezionare Accedi.

6. Quando viene visualizzata una finestra Microsoft Entra, immettere la password di Microsoft Entra ID e selezionare Accedi.

   

7. Dopo aver sbloccato il Mac, adesso è possibile usare PSSO per accedere alle risorse app Microsoft. D'ora in avanti, la vecchia password non funzionerà perché PSSO è abilitato per il dispositivo.

Verificare lo stato di registrazione del dispositivo

Dopo aver completato i passaggi precedenti, è buona prassi verificare lo stato di registrazione del dispositivo.

1. Per verificare che la registrazione sia stata completata correttamente, passare a Impostazioni, quindi selezionare Utenti e gruppi.

2. Selezionare Modifica accanto a Server account di rete e verificare che Platform SSO sia indicato come Registrato.

3. Per verificare il metodo usato per l'autenticazione, passare al nome utente nella finestra Utenti e gruppi, quindi selezionare l'icona Informazioni. Controllare il metodo elencato, che deve essere Enclave sicura, Smart Card o Password.

   Nota

   Inoltre, è possibile usare l'app Terminale per controllare lo stato della registrazione. Eseguire il comando seguente per verificare lo stato della registrazione del dispositivo. Nella parte inferiore dell'output verrò indicato che i token SSO sono stati recuperati. Per gli utenti di macOS 13 Ventura, questo comando è necessario per controllare lo stato della registrazione.

   app-sso platform -s
   

Vedi anche

• Aggiungere un dispositivo Mac con Microsoft Entra ID usando il portale aziendale
• Opzioni di autenticazione senza password per Microsoft Entra ID
• Pianificare una distribuzione dell'autenticazione senza password in Microsoft Entra ID
• Plug-in Microsoft Enterprise SSO per dispositivi Apple