Ingressar um dispositivo Mac ao Microsoft Entra ID durante a experiência pronta para uso com o PSSO do macOS (pré-visualização)

Os usuários do Mac podem ingressar seus novos dispositivo no Microsoft Entra ID durante a primeira execução da experiência pronta para uso (OOBE). O Logon Único da Plataforma (PSSO) do macOS é uma funcionalidade no macOS habilitada usando a Extensão de Logon Único do Microsoft Enterprise. O PSSO permite que os usuários entrem em um dispositivo Mac usando uma chave vinculada a hardware, um cartão inteligente ou a senha do Microsoft Entra ID da pessoa. Este tutorial mostra como configurar um dispositivo Mac durante a OOBE para usar o PSSO com o Registro Automatizado de Dispositivos.

Pré-requisitos

• Versão mínima recomendada do macOS 14 Sonoma. Embora haja suporte para o macOS 13 Ventura, é altamente recomendável usar o macOS 14 Sonoma para obter a melhor experiência.
• Um dispositivo com registro automatizado de dispositivo (ADE) registrado. Verifique com o administrador se você não tem certeza se seu dispositivo está registrado com esse requisito.
• Portal da Empresa Microsoft Intune versão 5.2404.0 ou posterior.
• Um dispositivo Mac registrado no MDM (gerenciamento de dispositivo móvel) com o Microsoft Intune.
• Um conteúdo de MDM de extensão de SSO (logon único) configurado com configurações de PSSO no Intune por um administrador
• Microsoft Authenticator (recomendado): os usuários devem estar registrados em algum tipo de autenticação multifator (MFA) do Microsoft Entra ID no próprio dispositivo móvel para concluir o registro do dispositivo.
• Para configurar um cartão inteligente, a autenticação baseada em certificado deve estar configurada e habilitada. Um cartão inteligente carregado com um certificado para autenticação com o Microsoft Entra e o cartão inteligente emparelhado com a conta local.
• Os usuários devem ter permissões suficientes para registrar e ingressar dispositivos na ID do Microsoft Entra.

Configurar seu dispositivo macOS

1. Ao ver a tela "Olá" ao ligar seu Mac pela primeira vez, siga as etapas para selecionar seu país ou região e defina as configurações de rede conforme necessário.

2. Você será solicitado a baixar um perfil de Gerenciamento Remoto, que permite que a configuração no Microsoft Intune seja aplicada ao seu dispositivo. Selecione Continuare insira suas credenciais do Microsoft Entra ID quando for solicitado para aprovar o download do perfil de gerenciamento.

   

3. Insira o código enviado para seu aplicativo Authenticator (recomendado) ou use outro método MFA.

4. Para criar uma conta de usuário, preencha o nome completo, o nome da conta e crie uma senha para a conta local. Selecione Continuar para voltar à tela inicial.

   

Registro automatizado de dispositivo

Existem três métodos de autenticação para o registro no PSSO:

• Secure Enclave:a pessoa faz logon em seu dispositivo que possui uma chave criptográfica compatível com o Secure Enclave usada para SSO em aplicativos que usam o Microsoft Entra ID para autenticação. Também pode ser chamado como Credencial de Plataforma para macOS.
• Cartão inteligente: a pessoa faz logon no computador usando um cartão inteligente externo ou um token de hardware compatível com cartão inteligente
• Senha: a pessoa faz logon em seu dispositivo local com uma conta local, atualizada para usar a senha do Microsoft Entra ID

Verifique se o administrador do sistema tem o Mac registrado usando enclave seguro ou cartão inteligente. Essas novas funcionalidades sem senha são suportadas apenas pelo PSSO. Verifique qual método de autenticação foi configurado pela administração antes de continuar.

Enclave seguro

1. Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se. Para usuários do macOS 14 Sonoma, haverá uma solicitação para registrar o seu dispositivo no Microsoft Entra. Esta solicitação não aparece no macOS 13 Ventura.

   

2. Você verá uma solicitação para inserir sua senha de conta local. Insira a senha e selecione Ok.

3. Depois que sua conta for desbloqueada, selecione a conta para entrar, insira suas credenciais de entrada e selecione Avançar.

4. A MFA é necessária como parte deste fluxo de entrada. Abra o seu aplicativo Authenticator (recomendado) ou use seus outros métodos de MFA registrados e insira o número exibido na tela para concluir o registro.

5. Quando o fluxo de MFA for concluído e a tela de carregamento desaparecer, seu dispositivo deverá ser registrado com PSSO. Agora você pode usar o PSSO para acessar os recursos de aplicativo da Microsoft.

Habilitar a Credencial de Plataforma para macOS para uso como uma chave de acesso

Configurar o seu dispositivo usando o método Secure Enclave permite que você use a credencial resultante salva no Mac como uma chave de acesso no navegador. Para habilitar esta opção;

1. Abra o aplicativo Configurações e navegue até Senhas>Opções de senha.

2. Em Opções de senha, procure por Usar senhas e chaves de acesso de e habilite Portal da Empresa por meio do botão de alternância.

   

Cartão inteligente

Emparelhar o cartão inteligente com sua conta local

Antes de registrar seu dispositivo com um cartão inteligente, você precisa emparelhar o cartão inteligente com sua conta local usando sudo. Abra o aplicativo Terminal e execute os comandos a seguir sudo para localizar o hash de chave pública do certificado de cartão inteligente e emparelhá-lo com sua conta local e verificar se ele foi bem-sucedido.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Registrar o seu dispositivo com o cartão inteligente

1. Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se. Se o cartão inteligente estiver emparelhado com a sua conta local, você verá uma solicitação para inserir o PIN do cartão inteligente

   

2. Verifique se o administrador configurou a MFA para o fluxo de registro do dispositivo. Nesse caso, abra o aplicativo Authenticator em seu dispositivo móvel e conclua o fluxo de MFA.

   

3. Se o certificado ainda não estiver emparelhado com a conta local, o usuário verá um prompt para usar o cartão inteligente. Selecione Cartão inteligente.

4. Você precisará inserir o PIN do cartão inteligente. Insira seu pin e selecione Inserir pin para o cartão inteligente. Quando você insere o PIN correto, o registro PSSO com autenticação de cartão inteligente é concluído.

5. Agora você pode usar o PSSO para acessar os recursos do aplicativo Microsoft e desbloquear o dispositivo com o PIN de cartão inteligente. Você precisará usar a senha local para entrar após uma reinicialização para desbloquear o acesso ao conjunto de chaves.

Senha

1. Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se.

   

2. Você verá uma solicitação para inserir sua senha de conta local. Insira a senha e selecione Ok.

3. Depois que sua conta for desbloqueada, selecione a conta para entrar, insira suas credenciais de entrada e selecione Avançar.

4. A MFA é necessária como parte deste fluxo de entrada. Abra o seu aplicativo Authenticator (recomendado) ou use seus outros métodos de MFA registrados e insira o número exibido na tela para concluir o registro.

5. Se a senha local for diferente da senha do Microsoft Entra ID, um pop-up Autenticação Necessária será exibido no canto superior direito da tela. Passe o mouse sobre a faixa e selecione Entrar.

6. Quando uma janela do Microsoft Entra for exibida, insira a sua senha do Microsoft Entra ID e selecione Entrar.

   

7. Depois de desbloquear o Mac, você poderá usar o PSSO para acessar os recursos de aplicativo da Microsoft. A partir deste ponto, a sua senha antiga não funciona porque o PSSO está habilitado para o seu dispositivo.

Verificar o status de registro do dispositivo

Depois de concluir as etapas acima, lembre-se de verificar o status de registro do dispositivo.

1. Para verificar se o registro foi concluído com sucesso, navegue até Configurações e selecione Usuários e grupos.

2. Selecione Editar ao lado de Servidor de Conta de Rede e verifique se o SSO da Plataforma está listado como Registrado.

3. Para verificar o método usado para autenticação, navegue até o seu nome de usuário na janela Usuários e grupos e selecione o ícone Informações. Verifique o método listado, que deve ser Secure Enclave, Cartão inteligente ou Senha.

   Observação

   Você também pode usar o aplicativo Terminal para verificar o status do registro. Execute o comando a seguir para verificar o status do registro do dispositivo. Você deve ver na parte inferior da saída que os tokens SSO são recuperados. Para usuários do macOS 13 Ventura, este comando é necessário para verificar o status do registro.

   app-sso platform -s
   

Confira também

• Ingressar um dispositivo Mac com o Microsoft Entra ID usando o Portal da Empresa
• Opções de autenticação sem senha para o Microsoft Entra ID
• Planejar uma implantação de autenticação sem senha no Microsoft Entra ID
• Plug-in do Microsoft Enterprise SSO para dispositivos Apple