overzicht van eenmalige aanmelding voor macOS Platform (preview)
macOS Platform Single Sign-on (PSSO) is een nieuwe functie die mogelijk wordt gemaakt door de Enterprise SSO-invoegtoepassing van Microsoft, platformreferenties voor macOS waarmee gebruikers zich met hun Microsoft Entra ID-referenties kunnen aanmelden bij Mac-apparaten. Deze functie biedt voordelen voor beheerders door het aanmeldingsproces voor gebruikers te vereenvoudigen en het aantal wachtwoorden te verminderen dat ze moeten onthouden. Gebruikers kunnen zich ook verifiëren met Microsoft Entra ID met een smartcard of hardwaregebonden sleutel. Deze functie verbetert de ervaring van eindgebruikers door niet twee afzonderlijke wachtwoorden te onthouden en vermindert de noodzaak voor beheerders om het wachtwoord voor het lokale account te beheren.
Er zijn drie verschillende verificatiemethoden die de eindgebruikerservaring bepalen;
- Platformreferenties voor macOS: richt een beveiligde enclave-ondersteunde cryptografische sleutel in die wordt gebruikt voor eenmalige aanmelding in apps die gebruikmaken van Microsoft Entra-id voor verificatie. Het wachtwoord van het lokale account van de gebruiker wordt niet beïnvloed en is vereist om u aan te melden bij de Mac.
- Smartcard: De gebruiker meldt zich aan bij de machine met behulp van een externe smartcard of een met smartcard compatibele harde token (bijvoorbeeld Yubikey). Zodra het apparaat is ontgrendeld, wordt de smartcard gebruikt met Microsoft Entra-id om eenmalige aanmelding te verlenen voor apps die gebruikmaken van Microsoft Entra-id voor verificatie.
- Wachtwoord als verificatiemethode: hiermee synchroniseert u het Microsoft Entra ID-wachtwoord van de gebruiker met het lokale account en schakelt u eenmalige aanmelding in voor apps die gebruikmaken van Microsoft Entra-id voor verificatie.
Mogelijk gemaakt door de Microsoft Enterprise SSO-plug in Apple-apparaten, PSSO;
- Hiermee kunnen gebruikers zonder wachtwoord gaan met Touch ID.
- Maakt gebruik van phish-bestendige referenties, op basis van Windows Hello voor Bedrijven technologie.
- Bespaart klantenorganisaties geld door de behoefte aan beveiligingssleutels te verwijderen.
- Hiermee worden Zero Trust-doelstellingen bereikt met behulp van integratie met de Secure Enclave.
Als u dit wilt inschakelen, moet een beheerder PSSO configureren via Microsoft Intune of andere ondersteunde MDM. Afhankelijk van de manier waarop het apparaat is geconfigureerd, kan de eindgebruiker zijn apparaat met PSSO instellen via een beveiligde enclave, smartcard of verificatiemethode op basis van een wachtwoord.
Vereisten
Als u Platform SSO voor macOS wilt implementeren, moet u voldoen aan de volgende minimale vereisten.
- Een aanbevolen minimumversie van macOS 14 Sonoma. Hoewel macOS 13 Ventura wordt ondersteund, raden we u ten zeerste aan macOS 14 Sonoma te gebruiken voor de beste ervaring.
- Microsoft Authenticator
- Microsoft Intune Bedrijfsportal app versie 5.2404.0 of hoger geïnstalleerd. Deze versie is vereist voordat gebruikers zich richten op PSSO.
Implementatie
In deze artikelen vindt u meer informatie en instructies over het implementeren van Platform SSO voor macOS.
- Deelnemen aan een Mac-apparaat met Microsoft Entra-id tijdens de out-of-box-ervaring
- Een Mac-apparaat toevoegen met Microsoft Entra-id met behulp van Bedrijfsportal
Verificatie zonder wachtwoord
Wachtwoorden zijn een primaire aanvalsvector voor slechte actoren. Ze gebruiken social engineering, phishing en sprayaanvallen om wachtwoorden in gevaar te komen. Met een strategie voor verificatie zonder wachtwoord vermindert u het risico op deze aanvallen.
Meer informatie over hoe u platform-SSO voor macOS kunt gebruiken om verificatie zonder wachtwoord in te schakelen voor uw organisatie.
- Verificatieopties zonder wachtwoord voor Microsoft Entra ID
- Een implementatie van verificatie zonder wachtwoord plannen in Microsoft Entra-id
Platformreferenties voor macOS kunnen ook worden gebruikt als phishingbestendige referentie voor gebruik in WebAuthn-uitdagingen (inclusief scenario's voor opnieuw verificatie van browsers). Beheer moet de verificatiemethode voor de FIDO2-beveiligingssleutel voor deze mogelijkheid inschakelen. Als u sleutelbeperkingsbeleid in uw FIDO-beleid gebruikt, moet u de AAGUID voor de macOS-platformreferentie toevoegen aan uw lijst met toegestane AAGUIDs: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC
National Institute of Standards and Technology (NIST)
Het National Institute of Standards and Technology (NIST) is een niet-regulerend federale instantie binnen het Amerikaanse ministerie van Handel. NIST ontwikkelt standaarden, richtlijnen en andere publicaties om federale agentschappen te helpen bij het beheren van kosteneffectieve programma's om hun informatie- en informatiesystemen te beschermen.
In deze artikelen vindt u meer informatie over het gebruik van macOS Platform SSO om te voldoen aan NIST-vereisten.
- Microsoft Entra-id configureren om te voldoen aan de controleniveaus van NIST Authenticator
- NIST-verificatortypen en uitgelijnde Microsoft Entra-methoden.
- NIST authenticator assurance level 3 met behulp van Microsoft Entra ID
Probleemoplossing
Als u problemen ondervindt bij het implementeren van eenmalige aanmelding van macOS Platform, raadpleegt u onze documentatie over bekende problemen met eenmalige aanmelding bij macOS Platform en het oplossen van problemen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor