Ingressar um dispositivo Mac ao Microsoft Entra ID durante a experiência pronta para uso com o PSSO do macOS (pré-visualização)

Os usuários do Mac podem ingressar seus novos dispositivo no Microsoft Entra ID durante a primeira execução da experiência pronta para uso (OOBE). O Logon Único da Plataforma (PSSO) do macOS é uma funcionalidade no macOS habilitada usando a Extensão de Logon Único do Microsoft Enterprise. O PSSO permite que os usuários entrem em um dispositivo Mac usando uma chave vinculada a hardware, um cartão inteligente ou a senha do Microsoft Entra ID da pessoa. Este tutorial mostra como configurar um dispositivo Mac durante a OOBE para usar o PSSO com o Registro Automatizado de Dispositivos.

Pré-requisitos

• Versão mínima recomendada do macOS 14 Sonoma. Embora haja suporte para o macOS 13 Ventura, é altamente recomendável usar o macOS 14 Sonoma para obter a melhor experiência.
• Dispositivo registrado do Registro Automatizado de Dispositivos (ADE). Verifique com o administrador se você não tem certeza se seu dispositivo está registrado com esse requisito.
• Versão 5.2404.0 ou mais recente do Portal da Empresa do Microsoft Intune
• Um dispositivo Mac registrado no gerenciamento de dispositivo móvel (MDM) com o Microsoft Intune.
• Microsoft Authenticator (recomendado): os usuários devem estar registrados em algum tipo de autenticação multifator (MFA) do Microsoft Entra ID no próprio dispositivo móvel para concluir o registro do dispositivo.
• Para configurar um cartão inteligente, a autenticação baseada em certificado deve estar configurada e habilitada. Um cartão inteligente carregado com um certificado para autenticação com o Microsoft Entra e o cartão inteligente emparelhado com a conta local.

Configurar seu dispositivo macOS

1. Ao ver a tela "Olá" ao ligar seu Mac pela primeira vez, siga as etapas para selecionar seu país ou região e defina as configurações de rede conforme necessário.

2. Você será solicitado a baixar um perfil de Gerenciamento Remoto, que permite que a configuração no Microsoft Intune seja aplicada ao seu dispositivo. Selecione Continuare insira suas credenciais do Microsoft Entra ID quando for solicitado para aprovar o download do perfil de gerenciamento.

   

3. Insira o código enviado para seu aplicativo Authenticator (recomendado) ou use outro método MFA.

4. Para criar uma conta de usuário, preencha o nome completo, o nome da conta e crie uma senha para a conta local. Selecione Continuar para voltar à tela inicial.

   

Registro automatizado de dispositivo

Existem três métodos de autenticação para o registro no PSSO:

• Secure Enclave:a pessoa faz logon em seu dispositivo que possui uma chave criptográfica compatível com o Secure Enclave usada para SSO em aplicativos que usam o Microsoft Entra ID para autenticação. Também pode ser chamado como Credencial de Plataforma para macOS.
• Cartão inteligente: a pessoa faz logon no computador usando um cartão inteligente externo ou um token de hardware compatível com cartão inteligente
• Senha: a pessoa faz logon em seu dispositivo local com uma conta local, atualizada para usar a senha do Microsoft Entra ID

É recomendável que o administrador do sistema registre o Mac usando o Secure Enclave ou cartão inteligente. Essas novas funcionalidades sem senha são suportadas apenas pelo PSSO. Verifique qual método de autenticação foi configurado pela administração antes de continuar.

Secure Enclave

1. Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se. Para usuários do macOS 14 Sonoma, você verá uma solicitação para registrar o seu dispositivo no Microsoft Entra. Esta solicitação não aparece no macOS 13 Ventura.

   

2. Você verá uma solicitação para inserir sua senha de conta local. Insira a senha e selecione Ok.

3. Depois que sua conta for desbloqueada, selecione a conta para entrar, insira suas credenciais de entrada e selecione Avançar.

4. A MFA é necessária como parte deste fluxo de entrada. Abra o seu aplicativo Authenticator (recomendado) ou use seus outros métodos de MFA registrados e insira o número exibido na tela para concluir o registro.

   

5. Quando o fluxo de MFA for concluído e a tela de carregamento desaparecer, seu dispositivo deverá ser registrado com PSSO. Agora você pode usar o PSSO para acessar os recursos de aplicativo da Microsoft.

Habilitar a Credencial de Plataforma para macOS para uso como uma chave de acesso

Configurar o seu dispositivo usando o método Secure Enclave permite que você use a credencial resultante salva no Mac como uma chave de acesso no navegador. Para habilitar esta opção;

1. Abra o aplicativo Configurações e navegue até Senhas>Opções de senha.

2. Em Opções de senha, procure por Usar senhas e chaves de acesso de e habilite Portal da Empresa por meio do botão de alternância.

   

Cartão inteligente

Emparelhar o cartão inteligente com sua conta local

Antes de registrar o seu dispositivo com um cartão inteligente, você precisa emparelhar o cartão inteligente com a sua conta local. Abra o aplicativo Terminal e execute os comandos a seguir para localizar o hash de chave pública do certificado de cartão inteligente e emparelhá-lo com sua conta local e verificar se ele foi bem-sucedido. Isso precisa ser executado usando sudo.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Registrar o seu dispositivo com o cartão inteligente

1. Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se. Se o cartão inteligente estiver emparelhado com a sua conta local, você verá uma solicitação para inserir o PIN do cartão inteligente

   

2. O administrador pode ter configurado a MFA para o fluxo de registro do dispositivo. Nesse caso, abra o aplicativo Authenticator em seu dispositivo móvel e conclua o fluxo de MFA.

   

3. Se o certificado ainda não estiver emparelhado com a conta local, o usuário verá uma solicitação para usar o cartão inteligente. Selecione Cartão inteligente.

4. Você precisará inserir o PIN do cartão inteligente. Insira seu pin e selecione Inserir pin para o cartão inteligente. Quando você insere o PIN correto, o registro PSSO com autenticação de cartão inteligente é concluído.

5. Agora você pode usar o PSSO para acessar os recursos do aplicativo Microsoft e desbloquear o dispositivo com o PIN de cartão inteligente. Você precisará usar a senha local para fazer logon após uma reinicialização para desbloquear o acesso ao conjunto de chaves.

Senha

1. Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se.

   

2. Você verá uma solicitação para inserir sua senha de conta local. Insira a senha e selecione Ok.

3. Depois que sua conta for desbloqueada, selecione a conta para entrar, insira suas credenciais de entrada e selecione Avançar.

4. A MFA é necessária como parte deste fluxo de entrada. Abra o seu aplicativo Authenticator (recomendado) ou use seus outros métodos de MFA registrados e insira o número exibido na tela para concluir o registro.

   

5. Se a senha local for diferente da senha do Microsoft Entra ID, um pop-up Autenticação Necessária será exibido no canto superior direito da tela. Passe o mouse sobre a faixa e selecione Entrar.

6. Quando uma janela do Microsoft Entra for exibida, insira a sua senha do Microsoft Entra ID e selecione Entrar.

   

7. Depois de desbloquear o Mac, você poderá usar o PSSO para acessar os recursos de aplicativo da Microsoft. A partir deste ponto, a sua senha antiga não funciona porque o PSSO está habilitado para o seu dispositivo.

Verificar o status de registro do dispositivo

Depois de concluir as etapas acima, lembre-se de verificar o status de registro do dispositivo.

1. Para verificar se o registro foi concluído com sucesso, navegue até Configurações e selecione Usuários e grupos.

2. Selecione Editar ao lado de Servidor de Conta de Rede e verifique se o SSO da Plataforma está listado como Registrado.

3. Para verificar o método usado para autenticação, navegue até o seu nome de usuário na janela Usuários e grupos e selecione o ícone Informações. Verifique o método listado, que deve ser Secure Enclave, Cartão inteligente ou Senha.

   Observação

   Você também pode usar o aplicativo Terminal para verificar o status do registro. Execute o comando a seguir para verificar o status do registro do dispositivo. Você deve ver na parte inferior da saída que os tokens SSO são recuperados. Para usuários do macOS 13 Ventura, este comando é necessário para verificar o status do registro.

   app-sso platform -s
   

Confira também

• Ingressar um dispositivo Mac com o Microsoft Entra ID usando o Portal da Empresa
• Opções de autenticação sem senha para o Microsoft Entra ID
• Planejar uma implantação de autenticação sem senha no Microsoft Entra ID
• Plug-in do Microsoft Enterprise SSO para dispositivos Apple