Condividi tramite

Aggiungere un dispositivo Mac con Microsoft Entra ID e configurarlo per gli scenari di dispositivo condiviso (anteprima)

  • Articolo

In questo tutorial imparerai come configurare un Mac unito a Microsoft Entra tramite Gestione dispositivi mobili (MDM) per supportare più utenti. Esistono tre metodi in cui è possibile registrare un dispositivo Mac con Platform SSO (PSSO), enclave sicuro, smart card o password. È consigliabile usare l'enclave sicuro o la smart card per un'esperienza senza password ottimale, ma i Mac condivisi o multiutente possono trarre vantaggio dall'uso del metodo password. Gli scenari comuni per i Mac condivisi con password sono lab informatici in scuole o università. In questi scenari, gli studenti usano più dispositivi, più studenti usano lo stesso dispositivo e hanno solo password e nessuna autenticazione a più fattori o credenziali senza password.

Prerequisiti

  • Versione minima richiesta di macOS 14 Sonoma o versione successiva. Sebbene macOS 13 Ventura sia supportato per Platform SSO nel complesso, solo Sonoma supporta gli strumenti necessari per lo scenario Mac condiviso della Piattaforma SSO descritto in questa guida.
  • Microsoft Intune Portale aziendale app versione 5.2404.0 o successiva.
  • Un payload di MDM SSO della piattaforma configurato nel tuo MDM da un amministratore.

Configurazione MDM

Esistono tre passaggi principali per la configurazione dell'accesso Single Sign-On di Platform in un dispositivo condiviso:

  1. Distribuire Portale aziendale. Per altre informazioni, vedere Aggiungere il Portale aziendale per l'app macOS.
  2. Distribuire la configurazione dell'accesso Single Sign-On della Piattaforma. Creare e distribuire un profilo di catalogo delle impostazioni con la configurazione di Platform SSO richiesta.
  3. Distribuire la configurazione della schermata di accesso di macOS. La configurazione della schermata di accesso macOS può essere modificata per consentire ai nuovi utenti di accedere.

Configurazione del profilo SSO della piattaforma

Il profilo MDM SSO della piattaforma deve applicare le configurazioni seguenti per supportare i dispositivi multiutente:

Parametro di configurazione Valore/i Nota
Comportamento dello schermo quando è bloccato Non maneggiare Richiesto
Token di registrazione {{DEVICEREGISTRATION}} Consigliato per un'esperienza utente di registrazione ottimale
Metodo di autenticazione Password Consigliata per questo articolo, è consigliabile proteggere la chiave dell'enclave per i dispositivi con utente singolo
Abilitare l'autorizzazione Attivata Richiesto
Abilitare la creazione dell'utente alla schermata di accesso Attivata Richiesto
Nuova modalità di autorizzazione utente Standard Consigliato
Mappatura dei token agli utenti -> Nome account nome_utente_preferito Richiesto
Mappatura dei token agli utenti - Nome completo nome Richiesto
Usare le chiavi condivise del dispositivo Attivata Richiesto
Modalità autorizzazione utente Standard Consigliato
Identificatore del team UBF8T346G9 Richiesto
Identificatore dell'estensione com.microsoft.CompanyPortalMac.ssoextension Richiesto
Tipo Reindirizza Richiesto
URL https://login.microsoftonline.com, https://login.microsoft.com, https://sts.windows.net, https://login.partner.microsoftonline.cnhttps://login.chinacloudapi.cn, , https://login.microsoftonline.ushttps://login-us.microsoftonline.com Richiesto

Se si usa Intune come MDM preferito, le impostazioni del profilo di configurazione verranno visualizzate come segue:

Screenshot di un profilo SSO MDM della piattaforma in Intune.

Configurazione della schermata di accesso di macOS

Per consentire ai nuovi utenti di accedere ed essere creati dalla schermata di accesso di macOS, è possibile usare due configurazioni:

  • Mostra altri utenti gestiti. Con questa configurazione, la schermata di accesso di macOS mostra un elenco di profili creati e un pulsante "altro utente" che può essere usato per accedere con un nome utente e una password. Gli utenti possono selezionare il loro profilo esistente per accedere oppure utilizzare il nome principale utente (UPN) di Microsoft Entra ID per l'accesso.

  • Mostra il nome completo. Con questa configurazione, nella schermata di accesso macOS viene visualizzato il campo nome utente e password senza alcun elenco di utenti. Gli utenti possono accedere con l'UPN dell'ID Microsoft Entra.

Queste configurazioni sono disponibili nel catalogo delle impostazioni di Intune in Accesso>Comportamento della finestra di accesso.

Registrazione e registrazione dei dispositivi

Per registrare un dispositivo Mac con Platform SSO, i dispositivi devono essere registrati in MDM. Per i dispositivi condivisi, l'utente che configura il dispositivo in genere è un amministratore o un tecnico. Questo utente avrà diritti amministrativi locali, a meno che non sia stato creato un account amministratore locale alternativo.

Nota

Se si esegue la registrazione usando la registrazione automatica dei dispositivi, è possibile scegliere di incoraggiare l'utente a configurare il dispositivo per creare l'account locale come:

  • Nome account: nome utente MICROSOFT Entra ID (ad esempio user@domain.com).
  • Nome completo: nome e cognome. Ciò è dovuto al fatto che l'account locale creato durante l'assistente configurazione verrà associato all'account ID Microsoft Entra durante la registrazione.

Esistono tre passaggi generali per configurare l'accesso Single Sign-On di Platform in un dispositivo condiviso:

  1. L'amministratore IT o la persona delegata registra il dispositivo con Intune.
  2. L'amministratore IT o la persona delegata registra il dispositivo con l'ID Microsoft Entra usando le proprie credenziali.
  3. Il dispositivo è ora pronto per consentire ai nuovi utenti di accedere dalla schermata di accesso di Microsoft Entra ID.

Le organizzazioni possono registrare i dispositivi condivisi in Intune usando metodi diversi a seconda della proprietà del dispositivo.

Metodo di registrazione Proprietà del dispositivo Requisiti
Registrazione automatica dei dispositivi senza affinità utente Società o istituto di istruzione di proprietà ✔️Registrazione in Apple Business Manager
✔️ Registrazione automatica dei dispositivi configurata in Intune
Portale aziendale Personal None

Registrazione SSO della piattaforma

Dopo aver registrato il dispositivo MDM e aver installato Portale aziendale, è necessario registrare il dispositivo con Platform SSO. Viene visualizzata una finestra popup Registrazione obbligatoria nella parte superiore destra della schermata. Usare il popup per registrare il dispositivo con Platform SSO usando le credenziali di Microsoft Entra ID:

  1. Passare all'elemento popup Registrazione richiesta nella parte superiore destra della schermata. Passare il puntatore del mouse sull'elemento popup e selezionare Registra.

    Screenshot di una schermata desktop con l'elemento popup di registrazione richiesto nella parte superiore destra della schermata.

  2. Viene richiesto di registrare il dispositivo con Microsoft Entra ID. Immettere le credenziali di accesso e selezionare Avanti.

    1. L'amministratore potrebbe aver configurato l'autenticazione a più fattori per il flusso di registrazione del dispositivo. In tal caso, aprire l'app Authenticator nel dispositivo mobile e completare il flusso di autenticazione a più fattori.

    Screenshot della finestra di registrazione che richiede l'accesso con Microsoft.

  3. Quando viene visualizzata una finestra Single Sign-On , immettere la password dell'account locale e selezionare OK.

    Screenshot di una finestra di accesso Single Sign-On che richiede all'utente di immettere la password dell'account locale.

  4. Se la password locale è diversa dalla password di Microsoft Entra ID, viene visualizzato l'elemento popup Autenticazione richiesta nella parte superiore destra della schermata. Passare il puntatore del mouse sul banner e selezionare Accedi.

  5. Quando viene visualizzata una finestra Microsoft Entra, immettere la password di Microsoft Entra ID e selezionare Accedi.

    Screenshot di una finestra di accesso di Microsoft Entra.

  6. Dopo aver sbloccato il Mac, è ora possibile usare Platform SSO per accedere alle risorse dell'app Microsoft. Da questo punto in poi, la vecchia password non funziona perché Platform SSO è abilitato per il dispositivo.

Verificare lo stato di registrazione del dispositivo

Dopo aver completato i passaggi precedenti, è consigliabile controllare lo stato di registrazione del dispositivo.

  1. Per verificare che la registrazione sia stata completata correttamente, passare a Impostazioni, quindi selezionare Utenti e gruppi.

  2. Selezionare Modifica accanto a Server account di rete e verificare che Platform SSO sia indicato come Registrato.

  3. Per verificare il metodo usato per l'autenticazione, passare al nome utente nella finestra Utenti e gruppi, quindi selezionare l'icona Informazioni. Controllare il metodo elencato, che deve essere Enclave sicura, Smart Card o Password.

    Nota

    Inoltre, è possibile usare l'app Terminale per controllare lo stato della registrazione. Eseguire il comando seguente per verificare lo stato della registrazione del dispositivo. Nella parte inferiore dell'output verrò indicato che i token SSO sono stati recuperati. Per gli utenti di macOS 13 Ventura, questo comando è necessario per controllare lo stato della registrazione.

    app-sso platform -s

Testare la funzionalità Abilitare Crea Utente al Login

Successivamente, è necessario verificare che il dispositivo sia pronto per consentire ad altri utenti del tenant di accedervi.

  1. Disconnettersi dal Mac con l'account usato per eseguire la configurazione iniziale.
  2. Nella schermata di accesso scegliere l'opzione Altro per accedere con un nuovo account utente

Screenshot della schermata di accesso di macOS.

  1. Immettere lo User Principal Name e la password dell'ID Microsoft Entra di un utente.

Screenshot della casella di accesso macOS in cui un utente ha immesso le credenziali.

  1. Se il Nome Principale Utente e la password sono corretti, l'utente verrà connesso. L'utente viene indirizzato a passare attraverso diverse schermate della finestra di dialogo Assistente configurazione per impostazione predefinita e quindi atterrare sul desktop macOS.

Risoluzione dei problemi

Se l'utente non riesce ad accedere correttamente, usare le risorse seguenti per risolvere i problemi:

  1. Consultare la guida ai problemi noti e alla risoluzione degli accessi Single Sign-On della piattaforma macOS
  2. Verificare che l'utente possa accedere correttamente a Microsoft Entra ID usando il nome principale utente e la password su un altro dispositivo in un browser. È possibile eseguire il test con l'utente che passa a un'app Web, ad esempio https://myapps.microsoft.com

Vedi anche