Dołączanie urządzenia Mac przy użyciu identyfikatora Microsoft Entra ID podczas korzystania z gotowego środowiska z logowaniem jednokrotnym dla systemu macOS (wersja zapoznawcza)

Użytkownicy komputerów Mac mogą dołączyć nowe urządzenie do identyfikatora Entra firmy Microsoft podczas pierwszego uruchomienia gotowego środowiska (OOBE). Logowanie jednokrotne platformy systemu macOS (PSSO) to funkcja w systemie macOS, która jest włączona przy użyciu rozszerzenia microsoft Enterprise Single Sign-on. Logowanie jednokrotne umożliwia użytkownikom logowanie się do urządzenia Mac przy użyciu klucza powiązanego ze sprzętem, karty inteligentnej lub hasła identyfikatora Entra firmy Microsoft. W tym samouczku pokazano, jak skonfigurować urządzenie Mac podczas korzystania z funkcji PSSO przy użyciu funkcji automatycznego rejestrowania urządzeń.

Wymagania wstępne

• Zalecana minimalna wersja systemu macOS 14 Sonoma. Chociaż system macOS 13 Ventura jest obsługiwany, zdecydowanie zalecamy używanie systemu macOS 14 Sonoma w celu uzyskania najlepszego środowiska.
• Urządzenie zarejestrowane w programie Automated Device Enrollment (ADE). Sprawdź się z administratorem, jeśli nie masz pewności, czy urządzenie zostało zarejestrowane przy użyciu tego wymagania.
• Microsoft Intune — Portal firmy w wersji 5.2404.0 lub nowszej
• Urządzenie Mac zarejestrowane w rozwiązaniu do zarządzania urządzeniami przenośnymi (MDM) w usłudze Microsoft Intune.
• Skonfigurowany ładunek MDM rozszerzenia logowania jednokrotnego z ustawieniami PSSO w usłudze Intune przez administratora
• Microsoft Authenticator (zalecane): aby ukończyć rejestrację urządzenia, użytkownik musi być zarejestrowany w jakiejś formie uwierzytelniania wieloskładnikowego (MFA) firmy Microsoft.
• W przypadku konfiguracji karty inteligentnej skonfigurowane i włączone uwierzytelnianie oparte na certyfikatach. Karta inteligentna załadowana przy użyciu certyfikatu na potrzeby uwierzytelniania z firmą Microsoft Entra i kartą inteligentną sparowaną z kontem lokalnym.

Konfigurowanie urządzenia z systemem macOS

1. Po wyświetleniu ekranu "Hello" podczas otwierania komputera Mac po raz pierwszy wykonaj kroki, aby wybrać kraj lub region i skonfigurować ustawienia sieciowe zgodnie z potrzebami.

2. Zostanie wyświetlony monit o pobranie profilu zdalnego zarządzania , który umożliwia zastosowanie konfiguracji w usłudze Microsoft Intune do urządzenia. Wybierz pozycję Kontynuuj i wprowadź poświadczenia identyfikatora entra firmy Microsoft po wyświetleniu monitu o zatwierdzenie pobierania profilu zarządzania.

   

3. Wprowadź kod wysłany do aplikacji Authenticator (zalecane) lub użyj innej metody uwierzytelniania wieloskładnikowego.

4. Aby utworzyć konto użytkownika, wypełnij imię i nazwisko, nazwę konta i utwórz hasło konta lokalnego. Wybierz pozycję Kontynuuj , a ekran główny pojawi się.

   

Rejestracja przy użyciu zautomatyzowanej rejestracji urządzeń

Istnieją trzy metody uwierzytelniania rejestracji PSSO:

• Bezpieczna enklawa: użytkownik loguje się do swojego urządzenia z bezpiecznym kluczem kryptograficznym opartym na enklawie używanym do logowania jednokrotnego w aplikacjach korzystających z identyfikatora Microsoft Entra do uwierzytelniania. Można go również nazywać poświadczenie platformy dla systemu macOS.
• Karta inteligentna: użytkownik loguje się do maszyny przy użyciu zewnętrznej karty inteligentnej lub zgodnego z kartą inteligentną tokenu twardego
• Hasło: użytkownik loguje się na swoim urządzeniu lokalnym przy użyciu konta lokalnego, zaktualizowane w celu używania hasła identyfikatora Entra firmy Microsoft

Zaleca się, aby administrator systemu zarejestrował komputer Mac przy użyciu bezpiecznej enklawy lub karty inteligentnej. Te nowe funkcje bez hasła są obsługiwane tylko przez logowanie jednokrotne. Przed kontynuowaniem sprawdź, która metoda uwierzytelniania została skonfigurowana przez administratora.

Bezpieczna enklawa

1. Przejdź do okna podręcznego Wymagana rejestracja w prawym górnym rogu ekranu. Zatrzymaj wskaźnik myszy na wyskakującym okienku i wybierz pozycję Zarejestruj. W przypadku użytkowników systemu macOS 14 Sonoma zostanie wyświetlony monit o zarejestrowanie urządzenia w usłudze Microsoft Entra. Ten monit nie jest wyświetlany dla systemu macOS 13 Ventura.

   

2. Zostanie wyświetlony monit o wprowadzenie hasła konta lokalnego. Wprowadź hasło i wybierz przycisk OK.

3. Po odblokowaniu konta wybierz konto, do których chcesz się zalogować, wprowadź poświadczenia logowania, a następnie wybierz pozycję Dalej.

4. Uwierzytelnianie wieloskładnikowe jest wymagane w ramach tego przepływu logowania. Otwórz aplikację Authenticator (zalecaną) lub użyj innych zarejestrowanych metod uwierzytelniania wieloskładnikowego, a następnie wprowadź numer wyświetlany na ekranie, aby zakończyć rejestrację.

5. Po zakończeniu przepływu uwierzytelniania wieloskładnikowego i zniknięciu ekranu ładowania urządzenie powinno zostać zarejestrowane w usłudze PSSO. Teraz możesz uzyskiwać dostęp do zasobów aplikacji firmy Microsoft przy użyciu funkcji PSSO.

Włączanie poświadczeń platformy dla systemu macOS do użycia jako klucza dostępu

Skonfigurowanie urządzenia przy użyciu bezpiecznej metody enklawy umożliwia użycie wynikowego poświadczenia zapisanego na komputerze Mac jako klucza dostępu w przeglądarce. Aby ją włączyć;

1. Otwórz aplikację Ustawienia i przejdź do opcji Hasła>.

2. W obszarze Opcje hasła znajdź pozycję Użyj haseł i kluczy dostępu z i włącz Portal firmy za pomocą przełącznika.

   

Karta inteligentna

Parowanie karty inteligentnej z kontem lokalnym

Aby można było zarejestrować urządzenie za pomocą karty inteligentnej, należy sparować kartę inteligentną z kontem lokalnym. Otwórz aplikację Terminal i uruchom następujące polecenia, aby znaleźć skrót klucza publicznego certyfikatu karty inteligentnej i sparować go z kontem lokalnym, a następnie sprawdź, czy przebiegł pomyślnie. Należy to uruchomić przy użyciu polecenia sudo.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Rejestrowanie urządzenia przy użyciu karty inteligentnej

1. Przejdź do okna podręcznego Wymagana rejestracja w prawym górnym rogu ekranu. Zatrzymaj wskaźnik myszy na wyskakującym okienku i wybierz pozycję Zarejestruj. Jeśli karta inteligentna jest sparowana z kontem lokalnym, zostanie wyświetlony monit o wprowadzenie numeru PIN karty inteligentnej

   

2. Administrator mógł skonfigurować uwierzytelnianie wieloskładnikowe dla przepływu rejestracji urządzeń. Jeśli tak, otwórz aplikację Authenticator na urządzeniu przenośnym i ukończ przepływ uwierzytelniania wieloskładnikowego.

   

3. Jeśli certyfikat nie jest jeszcze sparowany z kontem lokalnym, użytkownik zobaczy monit o użycie karty inteligentnej. Wybierz pozycję Karta inteligentna.

4. Zostanie wyświetlony monit o wprowadzenie numeru PIN dla karty inteligentnej. Wprowadź numer PIN i wybierz pozycję Wprowadź numer PIN dla karty inteligentnej. Po wprowadzeniu poprawnego numeru PIN rejestracja za pomocą logowania jednokrotnego z uwierzytelnianiem za pomocą karty inteligentnej zostanie ukończona.

5. Teraz możesz użyć funkcji PSSO, aby uzyskać dostęp do zasobów aplikacji firmy Microsoft i odblokować urządzenie przy użyciu numeru PIN karty inteligentnej. Aby odblokować dostęp do pęku kluczy, należy użyć hasła lokalnego, aby zalogować się po ponownym uruchomieniu.

Hasło

1. Przejdź do okna podręcznego Wymagana rejestracja w prawym górnym rogu ekranu. Zatrzymaj wskaźnik myszy na wyskakującym okienku i wybierz pozycję Zarejestruj.

   

2. Zostanie wyświetlony monit o wprowadzenie hasła konta lokalnego. Wprowadź hasło i wybierz przycisk OK.

3. Po odblokowaniu konta wybierz konto, do których chcesz się zalogować, wprowadź poświadczenia logowania, a następnie wybierz pozycję Dalej.

4. Uwierzytelnianie wieloskładnikowe jest wymagane w ramach tego przepływu logowania. Otwórz aplikację Authenticator (zalecaną) lub użyj innych zarejestrowanych metod uwierzytelniania wieloskładnikowego, a następnie wprowadź numer wyświetlany na ekranie, aby zakończyć rejestrację.

5. Jeśli hasło lokalne różni się od hasła identyfikatora entra firmy Microsoft, w prawym górnym rogu ekranu zostanie wyświetlone okno podręczne Wymagane uwierzytelnianie. Umieść kursor na banerze i wybierz pozycję Zaloguj się.

6. Po wyświetleniu okna Microsoft Entra wprowadź hasło identyfikatora Entra firmy Microsoft i wybierz pozycję Zaloguj się.

   

7. Po odblokowaniu komputera Mac możesz teraz uzyskiwać dostęp do zasobów aplikacji firmy Microsoft przy użyciu funkcji PSSO. Od tego momentu stare hasło nie działa, ponieważ dla urządzenia jest włączone logowanie jednokrotne.

Sprawdzanie stanu rejestracji urządzenia

Po wykonaniu powyższych kroków warto sprawdzić stan rejestracji urządzenia.

1. Aby sprawdzić, czy rejestracja zakończyła się pomyślnie, przejdź do pozycji Ustawienia i wybierz pozycję Użytkownicy i grupy.

2. Wybierz pozycję Edytuj obok pozycji Serwer konta sieciowego i sprawdź, czy logowanie jednokrotne platformy jest wyświetlane jako zarejestrowane.

3. Aby sprawdzić metodę używaną do uwierzytelniania, przejdź do nazwy użytkownika w oknie Użytkownicy i grupy i wybierz ikonę Informacje . Sprawdź wymienioną metodę, która powinna być bezpieczną enklawą, kartą inteligentną lub hasłem.

   Uwaga

   Możesz również użyć aplikacji Terminal, aby sprawdzić stan rejestracji. Uruchom następujące polecenie, aby sprawdzić stan rejestracji urządzenia. W dolnej części danych wyjściowych powinny zostać wyświetlone tokeny logowania jednokrotnego. W przypadku użytkowników systemu macOS 13 Ventura to polecenie jest wymagane do sprawdzenia stanu rejestracji.

   app-sso platform -s
   

Zobacz też

• Dołączanie urządzenia Mac przy użyciu identyfikatora Entra firmy Microsoft przy użyciu Portal firmy
• Opcje uwierzytelniania bez hasła dla usługi Microsoft Entra ID
• Planowanie wdrożenia uwierzytelniania bez hasła w usłudze Microsoft Entra ID
• Wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple