Konfigurowanie jednokrotnego logowania platformy macOS (PSSO) w celu spełnienia wymagań NIST SP 800-63 i EO 14028 (wersja zapoznawcza)

Artykuł
2024-12-15

Ten dokument zawiera kompleksowe wskazówki dotyczące wdrażania pojedynczej Sign-On platformy macOS (PSSO) przez amerykańskie agencje rządowe w celu spełnienia wymagań National Institute of Standards and Technology (NIST) Special Publication (SP) 800-63 Revision 4 i Executive Order (EO) 14028. Postępując zgodnie z instrukcjami i najlepszymi rozwiązaniami opisanymi w tym dokumencie, organizacje mogą zapewnić bezproblemowe i bezpieczne logowanie jednokrotne dla użytkowników systemu macOS.

Warunki wstępne

Minimalna wersja systemu macOS 13 Ventura (zalecane jest system macOS 14 Sonoma lub nowszy)
Użytkownicy muszą mieć możliwość przeprowadzenia uwierzytelniania wieloskładnikowego podczas rejestracji przy użyciu jednej z obsługiwanych metod uwierzytelniania wieloskładnikowego w elemecie Entra ID.
Aplikacja Portal Firmy Microsoft Intune w wersji 5.2408.0 lub nowszej zainstalowana. Ta wersja jest wymagana, zanim użytkownicy będą objęci logowaniem jednokrotnym.
(Zdecydowanie zalecane) Zaleca się zarejestrowanie klucza dostępu na swoich urządzeniach przenośnych.

Wybór metody uwierzytelniania

Amerykańskie agencje rządowe muszą używać odpornej na wyłudzanie informacji metody uwierzytelniania w konfiguracji SSO platformy wdrożonej na ich urządzenia.

macOS 14 Sonoma i późniejsze oferują dwie metody odporne na phishing w ramach systemu SSO platformy Apple:

Bezpieczna Enklawa (zalecane).
Inteligentna karta.

Aby uzyskać więcej informacji i porównanie dostępnych metod uwierzytelniania z Platform SSO, zobacz Wybrać metodę uwierzytelniania.

Konfiguracja usługi Microsoft Intune

Zobacz Konfiguracja SSO platformy dla urządzeń z systemem macOS w Microsoft Intune.

Konfiguracja dla innych systemów MDM

Aby uzyskać informacje na temat obsługi i aprowizacji logowania jednokrotnego do platformy dla systemu macOS, zapoznaj się z dokumentacją swojego dostawcy MDM.

Włączanie logowania jednokrotnego dla aplikacji, które nie korzystają z biblioteki Microsoft Authentication Library (MSAL)

Zobacz Włącz SSO dla aplikacji, które nie korzystają z MSAL.

Konfiguracja integracji jednokrotnego logowania Kerberos

Zobacz , jak włączyć logowanie jednokrotne Kerberos do lokalnego Active Directory i zasobów Kerberos Microsoft Entra ID w Platform SSO.

Zarządzanie kontami

Twórz i przydzielaj konta

Aby korzystać z platformowego SSO, urządzenia muszą być zarejestrowane w systemie MDM. W przypadku korzystania z usługi Intune użyj jednej z następujących metod:

W przypadku urządzeń należących do organizacji można wykonywać następujące czynności:
- Utwórz zasady automatycznego rejestrowania urządzeń przy użyciu programu Apple Business Manager.
- Utwórz zasady rejestracji bezpośredniej przy użyciu programu Apple Configurator.
W przypadku urządzeń należących do użytkownika utwórz politykę rejestracji urządzeń . Dzięki tej metodzie rejestracji użytkownicy końcowi otwierają aplikację Portal firmy i logują się przy użyciu konta użytkownika Microsoft Entra ID. Po pomyślnym zalogowaniu zasady rejestracji będą stosowane.

W przypadku nowych urządzeń zalecamy wstępne utworzenie i skonfigurowanie wszystkich niezbędnych zasad, w tym zasad rejestracji. Następnie po zarejestrowaniu urządzeń w usłudze Intune zasady będą stosowane automatycznie.

W przypadku istniejących urządzeń już zarejestrowanych w usłudze Intune przypisz zasady jednokrotnego logowania platformy do użytkowników lub grup użytkowników. Przy następnej synchronizacji lub zgłoszeniu urządzeń w usłudze Intune otrzymają one ustawienia zasad platformy SSO, które utworzyłeś.

Tworzenie zasad zgodności urządzeń

Zasady zgodności urządzeń w usłudze Microsoft Intune umożliwiają administratorom zapewnienie, że zarejestrowane urządzenia spełniają standardy zabezpieczeń organizacji i są prawidłowo skonfigurowane. Te zasady pomagają chronić dane firmowe, wymuszając wymagania, takie jak szyfrowanie, wersje systemu operacyjnego i środki zabezpieczeń, takie jak siła hasła. Aby uzyskać więcej informacji na temat konfigurowania zasad zgodności urządzeń, zobacz Ustawienia zgodności urządzeń dla ustawień systemu macOS w usłudze Intune.

Usuwanie lub dezaktywacja kont

Wyrejestrowanie z MDM

Krok 1 - Usuń docelowych użytkowników PSSO z przypisania profilu konfiguracji

W centrum administracyjnym usługi Microsoft Intune kliknij pozycję Home.
Przejdź do Urządzenia, a następnie Profile konfiguracji.
Wybierz profil konfiguracji, który chcesz edytować z listy.
Obok pozycji Przypisaniawybierz pozycję Edytuj.
Aby usunąć przypisanie, wybierz pozycję Usuń.
Wybierz pozycję Przejrzyj i zapisz, aby ukończyć zmiany.

Krok 2. Wykonanie zbiorczej akcji na urządzeniach w celu zsynchronizowania usunięcia zasad

W centrum zarządzania końcowymi punktami firmy Microsoft wybierz pozycję Urządzenia .
Wybierz pozycję Wszystkie urządzenia i wybierz pozycję Zbiorcze akcje urządzeń.
Na stronie zbiorczej akcji urządzenia wybierz macOS jako system operacyjny, a Synchronizuj jako akcję urządzenia.
Wybierz pozycję Dalej i wybierz maksymalną liczbę urządzeń, które obsługuje akcja, i wybierz pozycję Dalej.
Na stronie Przegląd i tworzenie wybierz pozycję Utwórz i zainicjuj akcję.

Napiwek

Jeśli chcesz zsynchronizować określone urządzenie, zapoznaj się z artykułem Sync devices (Synchronizowanie urządzeń) w celu uzyskania najnowszych zasad i akcji w usłudze Intune.

Wykrywanie i usuwanie nieaktualnych urządzeń w identyfikatorze Entra firmy Microsoft i usłudze Intune

Zobacz Jak zarządzać nieaktywnymi urządzeniami w usłudze Microsoft Entra ID oraz Jak usunąć urządzenia z centrum administracyjnego Intune.

Integrowanie aplikacji z brokerem logowania jednokrotnego

Biblioteka MSAL dla urządzeń Apple w wersjach 1.1.0 i nowszych bezpośrednio wspiera wtyczkę Microsoft Enterprise SSO dla urządzeń Apple, zapewniając natywne wsparcie dla kont służbowych i szkolnych.

Nie potrzebujesz żadnej specjalnej konfiguracji, jeśli wykonano Przewodnik Szybki start: logowanie użytkowników i wywoływanie programu Microsoft Graph z aplikacji systemu iOS lub macOS i użycie domyślnego formatu identyfikatora URI przekierowania .

Na urządzeniach z wtyczką SSO, biblioteka MSAL automatycznie wywołuje ją dla wszystkich żądań tokenów interakcyjnych i cichych. Wywołuje tę funkcję również dla operacji wyliczania kont i usuwania kont. Ponieważ biblioteka MSAL implementuje natywny protokół wtyczki logowania jednokrotnego, który opiera się na operacjach klienta, ta konfiguracja zapewnia najładniejsze środowisko natywne dla użytkownika końcowego.

Najlepsze rozwiązania

Przypinanie certyfikatu karty inteligentnej

W przypadku korzystania z uwierzytelniania opartego na kartach inteligentnych zdecydowanie zaleca się określenie, które urzędy wystawiające certyfikaty są używane do oceny zaufania certyfikatów kart inteligentnych. To zaufanie, które działa w połączeniu z ustawieniami zaufania certyfikatów, nazywa się przypinaniem certyfikatu. Aby uzyskać więcej informacji, zobacz Zaawansowane opcje karty inteligentnej na komputerze Mac.

Przykładowa konfiguracja

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" http://www.apple.com/DTDs/PropertyList-1.0.dtd>
    <plist version="1.0">
    <dict>
        <key>AttributeMapping</key>
        <dict>
            <key>dsAttributeString</key
            <string>dsAttrTypeStandard:AltSecurityIdentities</string>
            <key>fields</key>
            <array>
                <string>NT Principal Name</string>
            </array>
            <key>formatString</key>
            <string>PlatformSSO:$1</string>
        </dict>
        <key>TrustedAuthorities</key>
        <array>
    <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string>
        </array>
    </dict>
    </plist>

Rozwiązywanie problemów

Jeśli podczas wdrażania logowania jednokrotnego platformy systemu macOS wystąpią problemy, zapoznaj się z naszą dokumentacją dotyczącą logowania jednokrotnego platformy macOS i rozwiązywania znanych problemów z.

Udostępnij za pośrednictwem