macOS 디바이스에서는 Microsoft Entra 계정으로 SSO(Single Sign-On)를 사용하도록 Platform SSO를 구성할 수 있습니다. 플랫폼 SSO를 사용하면 사용자가 자격 증명을 반복적으로 입력할 필요 없이 macOS 디바이스의 리소스에 액세스할 수 있습니다.
플랫폼 SSO가 구성된 경우 이 문서에 설명된 시나리오를 사용하여 Kerberos SSO 인증을 온-프레미스 리소스에 사용하고, 생체 인식으로 보안을 강화하고, 타사 앱에서 SSO를 사용하도록 설정하고, 사용자 환경을 개선할 수 있습니다.
이 기능은 다음에 적용됩니다.
- macOS
시작하기 전에
이 문서의 시나리오 를 구성하려면 먼저 Microsoft Intune에서 macOS 디바이스용 Platform SSO 를 구성해야 합니다. 구성되면 이 문서에 설명된 시나리오를 추가하는 데 사용하는 기존 플랫폼 SSO 설정 카탈로그 정책이 있습니다.
하나의 SSO 정책만 그룹에 할당할 수 있습니다. 따라서 플랫폼 SSO를 이미 구성한 경우 기존 플랫폼 SSO 설정 카탈로그 정책에 이러한 시나리오 설정을 추가합니다.
기존 설정 카탈로그 정책을 업데이트하려면 최소한 다음 Intune 권한이 있는 계정으로 Microsoft Intune 관리 센터에 로그인합니다.
- 디바이스 구성 읽기, 만들기, 업데이트 및 권한 할당
기본 제공 정책 및 프로필 관리자 Intune 역할을 포함하여 이러한 권한이 있는 몇 가지 기본 제공 역할이 있습니다. Intune의 RBAC 역할에 대한 자세한 내용은 Microsoft Intune을 사용하여 RBAC(역할 기반 액세스 제어)를 참조하세요.
Kerberos SSO가 ID를 온-프레미스 Active Directory Microsoft Entra 사용하도록 설정
적용 대상:
- 회사 포털 버전 2508 이상
Microsoft Entra 온-프레미스 및 클라우드 기반 Kerberos 티켓 부여 티켓(TGT) 문제를 해결합니다. 플랫폼 SSO를 사용하여 Apple의 Kerberos SSO 확장을 사용하여 온-프레미스 Active Directory 및 Microsoft Entra ID에 액세스하도록 이러한 TGT를 구성할 수 있습니다(Apple 웹 사이트 열기).
사용자가 Kerberos 인증을 사용하는 온-프레미스 및 클라우드 리소스에 대한 SSO 액세스 권한을 갖도록 하려면 이 시나리오가 적합합니다. Microsoft Entra Kerberos SSO에 대한 자세한 내용은 Kerberos SSO를 온-프레미스 Active Directory 및 플랫폼 SSO에서 ID Kerberos 리소스를 Microsoft Entra 사용을 참조하세요.
기존 플랫폼 SSO 설정 카탈로그 정책에서 확장 데이터 설정을 추가합니다. 확장 데이터 설정은 열린 텍스트 필드와 유사한 개념입니다. 필요한 값을 구성할 수 있습니다.
기존 플랫폼 SSO 설정 카탈로그 정책에서 확장 데이터를 추가합니다.
Intune 관리 센터(디바이스>디바이스> 관리구성)에서 기존 플랫폼 SSO 설정 카탈로그 정책을 선택합니다.
속성>구성 설정에서설정 추가편집>을 선택합니다.
설정 선택기에서 인증을 확장하고 SSO(Extensible Single Sign On)를 선택합니다.
목록에서 확장 데이터를 선택하고 설정 선택기를 닫습니다.
확장 데이터에서 다음 키와 기본 설정 값을 추가합니다. 키에 대해 하나의 값만 입력합니다.
키 타이핑 값 설명 custom_tgt_setting 정수 0온-프레미스 및 클라우드 TGT (기본값) - 온-프레미스 및 클라우드 TGT를 모두 매핑합니다. 1온-프레미스 TGT 전용 – 온-프레미스 TGT만 매핑합니다. 2클라우드 TGT 전용 – 클라우드 기반 TGT만 매핑합니다. 3TGT 없음 – TGT 매핑을 완전히 사용하지 않도록 설정합니다. 다음을 선택하여 변경 내용을 저장하고 정책을 완료합니다. 정책이 사용자 또는 그룹에 이미 할당된 경우 이러한 그룹은 다음에 Intune 서비스와 동기화할 때 정책 변경 내용을 받습니다.
보안 Enclave 인증을 사용하는 터치 ID 생체 인식 정책
터치 ID 생체 인식 인증을 지원하는 디바이스에서는 Microsoft Intune에서 macOS 디바이스용 플랫폼 SSO 구성에 설명된 대로 보안 Enclave 인증 옵션을 사용할 수 있습니다.
이 정책을 사용하려면 사용자 보안 Enclave 키에 액세스해야 할 때마다 사용자가 Touch ID로 인증해야 합니다. 에 대한 UserSecureEnclaveKeyBiometricPolicy자세한 내용은 UserSecureEnclaveKeyBiometricPolicy를 참조하세요.
기존 플랫폼 SSO 설정 카탈로그 정책에 확장 데이터 설정을 추가합니다.
기존 플랫폼 SSO 설정 카탈로그 정책에서 확장 데이터를 추가합니다.
Intune 관리 센터(디바이스>디바이스> 관리구성)에서 기존 플랫폼 SSO 설정 카탈로그 정책을 선택합니다.
속성>구성 설정에서설정 추가편집>을 선택합니다.
설정 선택기에서 인증을 확장하고 SSO(Extensible Single Sign On)를 선택합니다.
목록에서 확장 데이터를 선택하고 설정 선택기를 닫습니다.
확장 데이터에서 다음 키와 값을 추가합니다.
키 타이핑 값 설명 enable_se_key_biometric_policy 부울 True 이 값을 복사하여 붙여넣습니다. 다음을 선택하여 변경 내용을 저장하고 정책을 완료합니다. 정책이 사용자 또는 그룹에 이미 할당된 경우 이러한 그룹은 다음에 Intune 서비스와 동기화할 때 정책 변경 내용을 받습니다.
비 Microsoft 앱 및 Microsoft Enterprise SSO 확장 설정
이전에 Microsoft Enterprise SSO 확장을 사용했거나 비 Microsoft 앱에서 SSO를 사용하도록 설정하려는 경우 기존 플랫폼 SSO 설정 카탈로그 정책에 확장 데이터 설정을 추가합니다.
이 시나리오에서는 확장 데이터 설정을 사용하여 다음을 수행합니다.
- 이전 Microsoft Enterprise SSO 확장 Intune 정책에서 사용한 설정을 구성합니다.
- 비 Microsoft 앱에서 SSO를 사용하도록 허용하는 설정을 구성합니다.
이 시나리오에는 추가해야 하는 최소 권장 설정이 나열됩니다. 이전 Microsoft Enterprise SSO 확장 정책이 있는 경우 더 많은 설정을 구성했을 수 있습니다. 이전 Microsoft Enterprise SSO 확장 정책에서 구성한 다른 키 & 값 쌍 설정을 추가하는 것이 좋습니다.
다음 설정은 일반적으로 비 Microsoft 애플리케이션에 대한 SSO 지원 구성을 포함하여 SSO 설정을 구성하는 데 권장됩니다.
기존 플랫폼 SSO 설정 카탈로그 정책에서 확장 데이터를 추가합니다.
Intune 관리 센터(디바이스>디바이스> 관리구성)에서 기존 플랫폼 SSO 설정 카탈로그 정책을 선택합니다.
속성>구성 설정에서설정 추가편집>을 선택합니다.
설정 선택기에서 인증을 확장하고 SSO(Extensible Single Sign On)를 선택합니다.
목록에서 확장 데이터를 선택하고 설정 선택기를 닫습니다.
확장 데이터에서 다음 키와 값을 추가합니다.
키 타이핑 값 설명 AppPrefixAllowList 문자열 com.microsoft.,com.apple.이 값을 복사하여 설정에 붙여넣습니다.
AppPrefixAllowList 를 사용하면 SSO를 사용할 수 있는 앱을 사용하여 앱 공급업체 목록을 만들 수 있습니다. 필요에 따라 이 목록에 더 많은 앱 공급업체를 추가할 수 있습니다.browser_sso_interaction_enabled 정수 1권장 브로커 설정을 구성합니다. disable_explicit_app_prompt 정수 1권장 브로커 설정을 구성합니다. 다음 예제에서는 권장되는 구성을 보여줍니다.
다음을 선택하여 변경 내용을 저장하고 정책을 완료합니다. 정책이 사용자 또는 그룹에 이미 할당된 경우 이러한 그룹은 다음에 Intune 서비스와 동기화할 때 정책 변경 내용을 받습니다.
최종 사용자 환경 설정
최종 사용자 환경을 사용자 지정하고 사용자 권한에 대한 보다 세부적인 제어를 제공하는 몇 가지 설정이 있습니다. 문서화되지 않은 플랫폼 SSO 설정은 지원되지 않습니다.
기존 플랫폼 SSO 설정 카탈로그 정책에서 다음 선택적 설정을 사용합니다.
| 플랫폼 SSO 설정 | 사용 가능한 값 | 사용 현황 |
|---|---|---|
| 계정 표시 이름 | 모든 문자열 값 | 최종 사용자가 플랫폼 SSO 알림에 표시되는 organization 이름을 사용자 지정합니다. |
| 로그인 시 사용자 만들기 사용 | 사용 또는 사용 안 함 | 모든 조직 사용자가 Microsoft Entra 자격 증명을 사용하여 디바이스에 로그인하도록 허용합니다. 새 로컬 계정을 만들 때 제공된 사용자 이름과 암호는 사용자의 Microsoft Entra ID UPN(user@contoso.com) 및 암호와 동일해야 합니다. |
| 새 사용자 권한 부여 모드 | Standard, 관리 또는 그룹 | 플랫폼 SSO를 사용하여 계정을 만들 때 사용자가 로그인할 때 사용할 수 있는 일회성 권한입니다. 현재 Standard 및 관리 값이 지원됩니다. Standard 모드를 사용하려면 디바이스에 하나 이상의 관리 사용자가 필요합니다. |
| 사용자 권한 부여 모드 | Standard, 관리 또는 그룹 | 사용자가 플랫폼 SSO를 사용하여 인증할 때마다 사용자가 로그인할 때마다 부여되는 영구 권한입니다. 현재 Standard 및 관리 값이 지원됩니다. Standard 모드를 사용하려면 디바이스에 하나 이상의 관리 사용자가 필요합니다. |
| 비 플랫폼 SSO 계정 | 플랫폼 SSO에서 제외하려는 로컬 계정 이름을 입력합니다. | 이 로컬 계정 목록은 플랫폼 SSO에 등록하라는 메시지가 표시되지 않습니다. 이 설정은 로컬 관리자 계정과 같이 Microsoft Entra 계정에 등록해서는 안 되는 계정에 적합합니다. 이 정책에 나열된 계정에는 , LoginPolicy또는 UnlockPolicy가 FileVaultPolicy적용되지 않습니다. |
| FileVault 정책 | AttemptAuthentication, RequireAuthentication, AllowOfflineGracePeriod 또는 AllowAuthenticationGracePeriod | Mac 디바이스가 켜져 있을 때 디바이스가 Microsoft Entra Microsoft Entra ID 암호를 확인하도록 하려면 AttemptAuthentication을 사용합니다. 이 설정은 macOS 15 이상에 적용됩니다. |