Panoramica dell'accesso Single Sign-On di macOS Platform (anteprima)

macOS Platform Single Sign-On (PSSO) è una nuova funzionalità basata sul plug-in Enterprise SSO di Microsoft, Platform Credentials for macOS che consente agli utenti di accedere ai dispositivi Mac usando le credenziali di Microsoft Entra ID. Tale funzionalità offre vantaggi agli amministratori poiché semplifica il processo di accesso degli utenti e riduce il numero di password da ricordare. Consente inoltre agli utenti di eseguire l'autenticazione con Microsoft Entra ID con una smart card o una chiave associata a hardware. Questa funzionalità migliora l'esperienza dell'utente finale senza dover ricordare due password separate e riduce la necessità per gli amministratori di gestire la password dell'account locale.

Esistono tre diversi metodi di autenticazione che determinano l'esperienza dell'utente finale;

• Platform Credential per macOS: effettua il provisioning di una chiave crittografica protetta associata a hardware supportata dall'enclave usata per l'accesso SSO tra app che usano Microsoft Entra ID per l'autenticazione. La password dell'account locale dell'utente non è interessata ed è necessaria per accedere al Mac.
• Smart card: l'utente accede al computer usando una smart card esterna o un token rigido compatibile con smart card (ad esempio, Yubikey). Una volta sbloccato il dispositivo, la smart card viene usata con Microsoft Entra ID per concedere l'accesso SSO tra le app che usano l'ID Microsoft Entra per l'autenticazione.
• Password come metodo di autenticazione: sincronizza la password dell'ID Microsoft Entra dell'utente con l'account locale e abilita l'accesso SSO tra le app che usano l'ID Microsoft Entra per l'autenticazione.

Basato sul plug-in Microsoft Enterprise SSO nei dispositivi Apple, PSSO;

• Consente agli utenti di passare senza password usando Touch ID.
• Usa credenziali resistenti al phish, basate sulla tecnologia Windows Hello for Business.
• Risparmia denaro per le organizzazioni dei clienti rimuovendo la necessità di chiavi di sicurezza.
• Avanza gli obiettivi zero trust usando l'integrazione con l'enclave sicuro.

Per abilitarla, un amministratore deve configurare l'accesso PSSO tramite Microsoft Intune o un altro MDM supportato. A seconda della configurazione del dispositivo, l'utente finale può configurare il dispositivo con PSSO tramite enclave sicuro, smart card o metodo di autenticazione basato su password.

Requisiti

Per distribuire Platform SSO for macOS, è necessario soddisfare i requisiti minimi seguenti.

• Si consiglia come versione minima macOS 14 Sonoma. Sebbene macOS 13 Ventura sia supportato, si consiglia l'uso di macOS 14 Sonoma per un'esperienza ottimale.

• Microsoft Authenticator

• Microsoft Intune Portale aziendale app versione 5.2404.0 o successiva installata. Questa versione è necessaria prima che gli utenti siano destinati all'accesso PSSO.

Impostazione

Altre informazioni e istruzioni su come eseguire la configurazione sono disponibili in questi articoli:

• Configurare l'accesso Single Sign-On della piattaforma per i dispositivi macOS in Microsoft Intune

Distribuzione

Altre informazioni e istruzioni su come distribuire Platform SSO for macOS sono disponibili in questi articoli.

• Aggiungere un dispositivo Mac con Microsoft Entra ID durante l'esperienza predefinita
• Aggiungere un dispositivo Mac con Microsoft Entra ID usando il portale aziendale

Autenticazione senza password

Le password sono un vettore di attacco principale per gli attori malintenzionati. Usano attacchi di ingegneria sociale, phishing e spraying per compromettere le password. Una strategia di autenticazione senza password riduce il rischio di questi attacchi.

Informazioni su come usare Platform SSO for macOS per abilitare l'autenticazione senza password per l'organizzazione.

• Opzioni di autenticazione senza password per Microsoft Entra ID
• Pianificare una distribuzione dell'autenticazione senza password in Microsoft Entra ID

Le credenziali della piattaforma per macOS possono essere usate anche come credenziali resistenti al phishing per l'uso in problemi di WebAuthn (inclusi gli scenari di riautenticazione del browser). Gli amministratori dovranno abilitare il metodo di autenticazione della chiave di sicurezza FIDO2 per questa funzionalità. Se si sfruttano i criteri di restrizione delle chiavi nei criteri FIDO, sarà necessario aggiungere AAGUID per le credenziali della piattaforma macOS all'elenco di AAGUID consentiti: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

National Institute of Standards and Technology (NIST)

Il National Institute of Standards and Technology (NIST) è un'agenzia federale non normativa all'interno del Dipartimento del Commercio degli Stati Uniti. NIST sviluppa e rilascia standard, linee guida e altre pubblicazioni per aiutare le agenzie federali a gestire programmi convenienti per proteggere le informazioni e i sistemi informativi.

Per altre informazioni sull'uso dell'accesso Single Sign-On di macOS Platform, vedere questi articoli.

• Configurare Microsoft Entra ID per soddisfare i livelli di garanzia dell'autenticatore NIST
• Tipi di autenticatore NIST e metodi Microsoft Entra allineati.
• Livello di garanzia dell'autenticatore NIST 3 tramite Microsoft Entra ID

Risoluzione dei problemi

Se si verificano problemi durante l'implementazione dell'accesso Single Sign-On di macOS Platform, vedere la documentazione relativa ai problemi noti relativi all'accesso Single Sign-On di macOS Platform e alla risoluzione dei problemi