Delen via

overzicht van eenmalige aanmelding voor macOS Platform (preview)

macOS Platform Single Sign-on (PSSO) is een nieuwe functie die mogelijk wordt gemaakt door de Enterprise SSO-invoegtoepassing van Microsoft, platformreferenties voor macOS waarmee gebruikers zich met hun Microsoft Entra ID-referenties kunnen aanmelden bij Mac-apparaten. Deze functie biedt voordelen voor beheerders door het aanmeldingsproces voor gebruikers te vereenvoudigen en het aantal wachtwoorden te verminderen dat ze moeten onthouden. Gebruikers kunnen zich ook verifiëren met Microsoft Entra ID met een smartcard of hardwaregebonden sleutel. Deze functie verbetert de ervaring van eindgebruikers door niet twee afzonderlijke wachtwoorden te onthouden en vermindert de noodzaak voor beheerders om het wachtwoord voor het lokale account te beheren.

Er zijn drie verschillende verificatiemethoden die de eindgebruikerservaring bepalen;

  • Platformreferenties voor macOS: richt een beveiligde enclave-ondersteunde cryptografische sleutel in die wordt gebruikt voor eenmalige aanmelding in apps die gebruikmaken van Microsoft Entra-id voor verificatie. Het wachtwoord van het lokale account van de gebruiker wordt niet beïnvloed en is vereist om u aan te melden bij de Mac.
  • Smartcard: De gebruiker meldt zich aan bij de machine met behulp van een externe smartcard of een met smartcard compatibele harde token (bijvoorbeeld Yubikey). Zodra het apparaat is ontgrendeld, wordt de smartcard gebruikt met Microsoft Entra-id om eenmalige aanmelding te verlenen voor apps die gebruikmaken van Microsoft Entra-id voor verificatie.
  • Wachtwoord als verificatiemethode: hiermee synchroniseert u het Microsoft Entra ID-wachtwoord van de gebruiker met het lokale account en schakelt u eenmalige aanmelding in voor apps die gebruikmaken van Microsoft Entra-id voor verificatie.

Mogelijk gemaakt door de Microsoft Enterprise SSO-plug in Apple-apparaten, PSSO;

  • Hiermee kunnen gebruikers zonder wachtwoord gaan met Touch ID.
  • Maakt gebruik van phish-bestendige referenties, op basis van Windows Hello voor Bedrijven technologie.
  • Bespaart klantenorganisaties geld door de behoefte aan beveiligingssleutels te verwijderen.
  • Hiermee worden Zero Trust-doelstellingen bereikt met behulp van integratie met de Secure Enclave.

Als u dit wilt inschakelen, moet een beheerder PSSO configureren via Microsoft Intune of andere ondersteunde MDM. Afhankelijk van hoe het apparaat is geconfigureerd, kan de eindgebruiker zijn apparaat met PSSO instellen via een beveiligde enclave, smartcard of verificatiemethode op basis van een wachtwoord.

Vereisten

Als u Platform SSO voor macOS wilt implementeren, moet u voldoen aan de volgende minimale vereisten.

Configuratie

U vindt meer informatie en instructies voor het configureren in deze artikelen:

Implementatie

In deze artikelen vindt u meer informatie en instructies over het implementeren van Platform SSO voor macOS.

Verificatie zonder wachtwoord

Wachtwoorden zijn een primaire aanvalsvector voor slechte actoren. Ze gebruiken social engineering, phishing en sprayaanvallen om wachtwoorden in gevaar te komen. Met een strategie voor verificatie zonder wachtwoord vermindert u het risico op deze aanvallen.

Meer informatie over hoe u platform-SSO voor macOS kunt gebruiken om verificatie zonder wachtwoord in te schakelen voor uw organisatie.

Platformreferenties voor macOS kunnen ook worden gebruikt als phishingbestendige referentie voor gebruik in WebAuthn-uitdagingen (inclusief scenario's voor opnieuw verificatie van browsers). Beheerders moeten de verificatiemethode voor de FIDO2-beveiligingssleutel inschakelen voor deze mogelijkheid. Als u sleutelbeperkingen in uw FIDO-beleid gebruikt, moet u de AAGUID voor de macOS-platformreferentie toevoegen aan uw lijst met toegestane AAGUIDs: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

Single Sign-On van Microsoft Platform: UserSecureEnclaveKeyBiometricPolicy

Microsoft Platform SSO ondersteunt de optie UserSecureEnclaveKeyBiometricPolicy bij het gebruik van Platform SSO met de verificatiemethode UserSecureEnclaveKey. Dit beleid verbetert de beveiliging doordat gebruikers zich moeten verifiëren met Touch ID wanneer de sleutel van de beveiligde enclave van de gebruiker moet worden geopend.

  • Wanneer dit beleid is ingeschakeld, wordt gebruikers gevraagd om Touch ID-verificatie wanneer de Secure Enclave-sleutel van de gebruiker wordt geopend. Tijdens de PSSO-registratie zal er een verzoek zijn voor herauthenticatie in de browser met behulp van de gebruikerssleutel als sleutel, en voor authenticatie tijdens het inloggen om het PSSO-token te verkrijgen.
  • Als u dit beleid inschakelt, moet het apparaat biometrische verificatie van Touch ID ondersteunen. Gebruikers moeten Touch ID configureren om door te gaan met PSSO-registratie. Beheerders moeten ervoor zorgen dat gebruikers een biometrisch ondersteund apparaat of een extern toetsenbord hebben dat Touch ID ondersteunt voordat ze dit beleid inschakelen.

Opmerking

Er is geen optie voor het terugvallen van wachtwoorden tijdens verificatie met de Secure Enclave-sleutel van de gebruiker wanneer UserSecureEnclaveKeyBiometricPolicy is ingeschakeld. Daarom kunnen gebruikers zich niet verifiëren bij Microsoft Entra ID als ze geen Touch ID-biometrische gegevens beschikbaar hebben.

Vereisten voor UserSecureEnclaveKeyBiometricPolicy

  • Besturingssysteem: macOS 14.6 en hoger

  • Bedrijfsportalversie: 2504 en hoger

    Belangrijk

    Als deze functie is ingeschakeld nadat de PSSO-registratie is voltooid, moeten alle gebruikers een volledig PSSO-herregistratieproces ondergaan om het beleid van kracht te laten worden. Dit herregistratieproces moet worden beheerd, omdat gebruikers geen prompt voor opnieuw registreren zien. Beheerders moeten zorgvuldig overwegen of dit beleid moet worden ingeschakeld en de implementatie van PSSO dienovereenkomstig moeten worden gepland.

UserSecureEnclaveKeyBiometricPolicy inschakelen

Klanten met hoge beveiliging kunnen zich aanmelden om deze functie in te schakelen door een vlag in te stellen in de gegevenswoordenlijst van de SSO-extensie.

  • Sleutelnaam: enable_se_key_biometric_policy
  • Waarde: true

Schermopname van de configuratie UserSecureEnclaveKeyBiometricPolicy in Microsoft Intune.

Voordelen van UserSecureEnclaveKeyBiometricPolicy

  • Verbeterde beveiliging: de toegang tot de beveiligde enclavesleutel van de gebruiker is beveiligd met hardware en kan alleen worden geopend na geslaagde Touch ID-verificatie, waardoor er een extra beveiligingslaag wordt geboden.

Nadelen van UserSecureEnclaveKeyBiometricPolicy

  • Meer prompts: gebruikers krijgen tijdens de PSSO-registratie extra prompts omdat de sleutel meerdere keren tijdens het proces wordt geopend.
  • Biometric-Only Access: de PSSO-wachtwoordsleutel kan alleen worden geopend met biometrische verificatie. Er is geen terugval van wachtwoorden. Als het apparaat is ontgrendeld met een wachtwoord, wordt gebruikers nog steeds gevraagd om biometrische verificatie om het PSSO-token te verkrijgen.

National Institute of Standards and Technology (NIST)

Het National Institute of Standards and Technology (NIST) is een niet-regulerend federale instantie binnen het Amerikaanse ministerie van Handel. NIST ontwikkelt standaarden, richtlijnen en andere publicaties om federale agentschappen te helpen bij het beheren van kosteneffectieve programma's om hun informatie- en informatiesystemen te beschermen.

In deze artikelen vindt u meer informatie over het gebruik van macOS Platform SSO om te voldoen aan NIST-vereisten.

Probleemoplossing

Als u problemen ondervindt bij het implementeren van eenmalige aanmelding van macOS Platform, raadpleegt u onze documentatie over bekende problemen met eenmalige aanmelding bij macOS Platform en het oplossen van problemen