Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Logon Único da Plataforma (PSSO) do macOS é uma funcionalidade no macOS habilitada usando a Extensão de Logon Único do Microsoft Enterprise. O SSO da plataforma permite que os usuários ingressem em seus dispositivos macOS e entrem usando uma chave associada a hardware, um cartão inteligente ou sua senha Microsoft Entra ID por meio de um PRT (Token de Atualização Primária) do PSSO.
Além do PSSO PRT, a Microsoft Entra também emite Tickets de Concessão de Ticket Kerberos (TGTs), tanto locais quanto baseados em nuvem, que são então compartilhados com a pilha Kerberos nativa no macOS por meio do mapeamento TGT no PSSO. Os clientes têm a flexibilidade de determinar como esses TGTs são utilizados em seu ambiente e podem configurar adequadamente qualquer um dos arquivos de extensão de SSO Kerberos. A extensão de SSO Kerberos, de propriedade e mantida pela Apple, foi projetada para fornecer logon único perfeito para recursos baseados em Kerberos no macOS. Para obter qualquer ajuda necessária com a configuração de extensão de SSO do Kerberos, entre em contato com a Apple.
Este tutorial ilustra como aproveitar o SSO da Plataforma TGT para dar suporte ao SSO baseado em Kerberos para recursos locais e de nuvem, além do SSO para Microsoft Entra ID. Kerberos SSO é uma funcionalidade opcional no Platform SSO, mas é recomendável se os usuários ainda precisarem acessar recursos do Active Directory no local que usam Kerberos para autenticação.
Personalizar a configuração do TGT do Kerberos
Os clientes podem personalizar a configuração de mapeamento TGT usando a chave/valor abaixo no dicionário de dados de extensão na configuração de extensão de SSO. Essa opção só está habilitada no Portal da Empresa versão 2508 e superior.
-
Chave:
custom_tgt_setting -
Tipo:
Integer
| Value | Descrição |
|---|---|
0 |
Ambos os TGTs no local e na nuvem – mapeia TGTs tanto no local quanto na nuvem. Essa é a configuração padrão. |
1 |
Somente TGT On-Prem – mapeia apenas o TGT local. |
2 |
Somente TGT de nuvem – mapeia apenas o TGT baseado em nuvem. |
3 |
Sem TGTs – desabilita totalmente o mapeamento TGT. |
Exemplo de configuração:
Pré-requisitos
- Uma versão mínima do macOS 14.6 Sonoma.
- Microsoft Intune Company Portal versão 5.2408.0 ou posterior
- Um dispositivo Mac registrado no MDM (gerenciamento de dispositivo móvel).
- Uma carga útil de MDM da extensão SSO configurada com as configurações de SSO da plataforma por um administrador já foi implantada no dispositivo. Consulte a documentação do SSO da plataforma ou o guia de implantação do Intune se o Intune for seu MDM.
- Implante o Microsoft Entra Kerberos, necessário para alguns recursos do Kerberos no Active Directory local. Para obter mais informações, consulte o guia de implantação de confiança Cloud Kerberos para Windows Hello for Business ou consulte diretamente as instruções de configuração de confiança do Cloud Kerberos para iniciar a instalação. Se você já implantou Windows Hello for Business com a confiança do Kerberos na nuvem ou a entrada da chave de segurança sem senha para Windows, essa etapa já foi concluída.
Configurar seu dispositivo macOS
Consulte a documentação Microsoft Entra ID SSO da Plataforma macOS para configurar e implantar o SSO da Plataforma. O SSO da plataforma deve ser implantado em Macs gerenciados pela empresa, independentemente de você optar por implantar o SSO Kerberos usando este guia.
Configuração de perfil de MDM do SSO do Kerberos para on-premises Active Directory
Você deve configurar perfis de MDM de SSO do Kerberos separados se planeja usar tanto os realms do Microsoft Entra ID Cloud Kerberos quanto do Active Directory local. Se você não planeja usar o Microsoft Entra Cloud Kerberos TGT, você só precisa configurar o perfil de SSO kerberos local.
Use as seguintes configurações para configurar o perfil on-premises Active Directory, garantindo que você substitua todas as referências a contoso.com e Contoso pelos valores adequados para seu ambiente:
| Chave de configuração | Valor recomendado | Observação |
|---|---|---|
Hosts |
<string>.contoso.com</string> |
Substitua contoso.com pelo nome do seu domínio/floresta local. Mantenha o caractere precedente . antes do nome do domínio/floresta |
Hosts |
<string>contoso.com</string> |
Substitua contoso.com pelo nome do seu domínio/floresta interna |
Realm |
<string>CONTOSO.COM</string> |
Substitua CONTOSO.COM pelo nome do realm local. O valor deve ser todo em maiúsculas. |
PayloadOrganization |
<string>Contoso</string> |
Substitua Contoso pelo nome da sua organização |
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>ExtensionData</key>
<dict>
<key>allowPasswordChange</key>
<true/>
<key>allowPlatformSSOAuthFallback</key>
<true/>
<key>performKerberosOnly</key>
<true/>
<key>pwReqComplexity</key>
<true/>
<key>syncLocalPassword</key>
<false/>
<key>usePlatformSSOTGT</key>
<true/>
</dict>
<key>ExtensionIdentifier</key>
<string>com.apple.AppSSOKerberos.KerberosExtension</string>
<key>Hosts</key>
<array>
<string>.contoso.com</string>
<string>contoso.com</string>
</array>
<key>Realm</key>
<string>CONTOSO.COM</string>
<key>PayloadDisplayName</key>
<string>Single Sign-On Extensions Payload for On-Premises</string>
<key>PayloadIdentifier</key>
<string>com.apple.extensiblesso.1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
<key>TeamIdentifier</key>
<string>apple</string>
<key>Type</key>
<string>Credential</string>
</dict>
</array>
<key>PayloadDescription</key>
<string></string>
<key>PayloadDisplayName</key>
<string>Kerberos SSO Extension for macOS for On-Premises</string>
<key>PayloadEnabled</key>
<true/>
<key>PayloadIdentifier</key>
<string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
<key>PayloadOrganization</key>
<string>Contoso</string>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
Salve a configuração usando um editor de texto com a extensão de arquivo mobileconfig (por exemplo, o arquivo pode ser nomeado em-prem-kerberos.mobileconfig) depois de atualizar a configuração com os valores adequados para seu ambiente.
Configuração de perfil do MDM do SSO do Kerberos para Microsoft Entra ID Cloud Kerberos
Você deve configurar perfis de MDM de SSO do Kerberos separados se planeja usar tanto os realms do Microsoft Entra ID Cloud Kerberos quanto do Active Directory local. É recomendável implantar o perfil do Active Directory local antes do perfil do Microsoft Entra ID Cloud Kerberos.
Use as seguintes configurações para configurar o perfil do Microsoft Entra ID Cloud Kerberos, garantindo que você substitua todas as referências pelos valores adequados para seu locatário:
| Chave de configuração | Valor recomendado | Observação |
|---|---|---|
preferredKDCs |
<string>kkdcp://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/kerberos</string> |
Substitua o valor aaaabbbb-0000-cccc-1111-dddd2222eeee pelo ID do Locatário, que pode ser encontrada na página Visão geral do Microsoft Entra Admin Center |
PayloadOrganization |
<string>Contoso</string> |
Substitua Contoso pelo nome da sua organização |
Hosts |
<string>.windows.net</string> |
|
Hosts |
<string>windows.net</string> |
|
Realm |
<string>KERBEROS.MICROSOFTONLINE.COM</string> |
O valor deve ser todo em maiúsculas. |
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>ExtensionData</key>
<dict>
<key>usePlatformSSOTGT</key>
<true/>
<key>performKerberosOnly</key>
<true/>
<key>preferredKDCs</key>
<array>
<string>kkdcp://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/kerberos</string>
</array>
</dict>
<key>ExtensionIdentifier</key>
<string>com.apple.AppSSOKerberos.KerberosExtension</string>
<key>Hosts</key>
<array>
<string>windows.net</string>
<string>.windows.net</string>
</array>
<key>Realm</key>
<string>KERBEROS.MICROSOFTONLINE.COM</string>
<key>PayloadDisplayName</key>
<string>Single Sign-On Extensions Payload for Microsoft Entra ID Cloud Kerberos</string>
<key>PayloadIdentifier</key>
<string>com.apple.extensiblesso.00aa00aa-bb11-cc22-dd33-44ee44ee44ee</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>00aa00aa-bb11-cc22-dd33-44ee44ee44ee</string>
<key>TeamIdentifier</key>
<string>apple</string>
<key>Type</key>
<string>Credential</string>
</dict>
</array>
<key>PayloadDescription</key>
<string></string>
<key>PayloadDisplayName</key>
<string>Kerberos SSO Extension for macOS for Microsoft Entra ID Cloud Kerberos</string>
<key>PayloadEnabled</key>
<true/>
<key>PayloadIdentifier</key>
<string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
<key>PayloadOrganization</key>
<string>Contoso</string>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
Salve a configuração usando um editor de texto com a extensão de arquivo mobileconfig (por exemplo, o arquivo pode ser nomeado cloud-kerberos.mobileconfig) depois de atualizar a configuração com os valores adequados para seu ambiente.
Observação
Lembre-se de prestar atenção às chaves usePlatformSSOTGT e performKerberosOnly. Se usePlatformSSOTGT estiver definido como true, a Extensão Kerberos usará o TGT do SSO da Plataforma com o mesmo domínio. O padrão é false. Se performKerberosOnly for definido como true, a extensão Kerberos não executará verificações de expiração de senha, verificações de alteração de senha externa ou recuperará o diretório base do usuário. O padrão é false. Isso é aplicável às configurações locais e de nuvem, essas chaves devem ser configuradas em ambos os perfis.
Etapas para a configuração do Intune
Se você usar o Intune como seu MDM, poderá executar as etapas a seguir para implantar o perfil. Siga as instruções anteriores sobre como substituir contoso.com valores pelos valores adequados para sua organização.
- Entre no Microsoft Intune centro de administração.
- Selecione Dispositivos>Configuração>Criar>Nova política.
- Insira as seguintes propriedades:
- Plataforma: selecione macOS.
- Tipo de perfil: selecione Modelos.
- Escolha o modelo Personalizado e selecione Criar.
- Em Informações básicas, insira as seguintes propriedades:
- Nome: insira um nome descritivo para a política. Nomeie as suas políticas de modo que você possa identificá-las facilmente mais tarde. Por exemplo, nomeie a política macOS – SSO de plataforma Kerberos.
- Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.
- Selecione Próximo.
- Insira um nome na caixa Nome do perfil de configuração personalizada.
- Selecione um Canal de implementação. Recomenda-se o canal do dispositivo.
- Clique no ícone de pasta para carregar seu arquivo de perfil de configuração. Escolha o arquivo kerberos.mobileconfig que você [salvou anteriormente](#Kerberos configuração de perfil do SSO MDM para on-premises Active Directory) depois de personalizar o modelo.
- Selecione Próximo.
- Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como
US-NC IT TeamouJohnGlenn_ITDepartment. Selecione Próximo.- Para obter mais informações sobre tags de escopo, veja Usar funções RBAC e tags de escopo para TI distribuída.
- Em Atribuições, selecione os usuários ou grupos de usuários que receberão seu perfil. As políticas de SSO da plataforma são políticas baseadas no usuário. Não atribua a política de SSO da plataforma a dispositivos.
- Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.
- Selecione Próximo.
- Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.
- Repita esse processo se precisar implantar ambos os perfis, pois você usará o SSO do Kerberos local e o Microsoft Entra ID Cloud Kerberos.
Na próxima vez que o dispositivo verificar se há atualizações de configuração, as configurações definidas serão aplicadas.
Testar o SSO Kerberos
Depois que o usuário concluir o registro do SSO da Plataforma, você poderá verificar se o dispositivo tem tíquetes Kerberos executando o app-sso platform -s comando no aplicativo Terminal:
app-sso platform -s
Você deve ter dois tíquetes Kerberos, um para seu AD local com o valor ticketKeyPath de tgt_ad e outro para seu locatário Microsoft Entra ID com o valor ticketKeyPath de tgt_cloud. O resultado deve ser assim:
Valide se sua configuração está funcionando testando com recursos compatíveis com Kerberos apropriados:
- Teste a funcionalidade do Active Directory local acessando um servidor de arquivos integrado ao Active Directory local usando o Finder ou um aplicativo Web usando o Safari. O usuário deve ser capaz de acessar o compartilhamento de arquivo sem ser desafiado por credenciais interativas.
- Teste a funcionalidade Kerberos do Microsoft Entra ID acessando um compartilhamento do Azure Files habilitado para o Kerberos da nuvem do Microsoft Entra ID. O usuário deve ser capaz de acessar o compartilhamento de arquivo sem ser desafiado por credenciais interativas.
Observação
Observe que a implementação de SSO da Plataforma da Microsoft é responsável por emitir os TGTs Kerberos e entregá-los ao macOS para que o macOS possa importá-los. Se você vir TGTs ao executar app-sso platform -s, os TGTs foram importados com êxito. Se você enfrentar problemas contínuos do Kerberos, como problemas de acesso a recursos locais por meio do Kerberos, é recomendável entrar em contato com a Apple para obter suporte com a configuração adicional de seus perfis de MDM Kerberos. A implementação do Kerberos no macOS usa recursos kerberos nativos fornecidos pela Apple.
Usar o TGT do Kerberos na Nuvem para acessar o Armazenamento de Arquivos Azure
O TGT de nuvem emitido por meio do SSO da Plataforma permite o acesso contínuo a compartilhamentos de arquivos Azure sem solicitar aos usuários credenciais interativas. Tenha em mente que o acesso a compartilhamentos de arquivos do Azure usando a funcionalidade PSSO Kerberos TGT está atualmente em pré-visualização limitada. Se você estiver interessado em experimentá-lo, entre em contato com azurefiles@microsoft.com para suporte na integração. Se você precisar de orientação sobre como configurar um compartilhamento de arquivos de nuvem em Azure Files, consulte te guia.
Observação
Ao montar o compartilhamento de arquivos por meio do SMB, verifique se o arquivo de manifesto associado ao registro do aplicativo para Azure Compartilhamento de Arquivos inclui o mapeamento cifs em lowercase. Se esse valor for definido como maiúsculo CIFS, ele poderá causar problemas durante o processo de montagem.
Problemas conhecidos
Menu extra da extensão Single Sign-On do Kerberos
Ao implementar o suporte para Kerberos SSO junto com o SSO da Plataforma, as capacidades padrão de extensão de SSO do macOS ainda são utilizadas. Assim como acontece com uma implantação da extensão nativa de SSO do Kerberos sem o SSO da Plataforma, o menu extra de extensão de SSO do Kerberos será exibido na barra de menus do macOS:
Ao implantar o suporte do Kerberos com o SSO da Plataforma, os usuários não precisam interagir com o menu adicional da extensão SSO do Kerberos para que a funcionalidade Kerberos funcione. A funcionalidade de SSO do Kerberos ainda funcionará se o usuário não fizer login na barra de menus extra, e a barra de menus extra informar "Não conectado". Você pode instruir os usuários a ignorar a barra de menus extra ao implantar com o SSO da Plataforma, de acordo com este artigo. Em vez disso, verifique se a funcionalidade kerberos funciona conforme o esperado sem interação com a barra de menus extra, conforme descrito na seção Testando o SSO do Kerberos deste artigo.
Suporte a navegador para SSO do Kerberos
Alguns navegadores exigem configuração adicional para habilitar o suporte ao SSO do Kerberos, incluindo se você estiver usando o SSO da Plataforma para habilitar o Kerberos em seus dispositivos macOS. Ao implantar o suporte do Kerberos no macOS, implante as configurações apropriadas para cada um dos navegadores que você utiliza, para garantir que eles possam interagir com os recursos de SSO do Kerberos para macOS:
- Safari: dá suporte ao SSO do Kerberos por padrão
- Microsoft Edge:
- Configure a configuração AuthNegotiateDelegateAllowlist para incluir suas informações de floresta on-premises Active Directory: AuthNegotiateDelegateAllowlist
- Defina a configuração AuthServerAllowlist para incluir as informações da floresta on-premises Active Directory: AuthServerAllowlist
- Google Chrome
- Configure a configuração AuthNegotiateDelegateAllowlist para incluir suas informações de floresta on-premises Active Directory: AuthNegotiateDelegateAllowlist
- Defina a configuração AuthServerAllowlist para incluir as informações da floresta on-premises Active Directory: AuthServerAllowlist
- Mozilla Firefox
- Configure as definições de network.negotiate-auth.trusted-uris e network.automatic-ntlm-auth.trusted-uris do Mozilla Firefox para habilitar o suporte ao SSO do Kerberos
Confira também
- Associe um dispositivo Mac ao Microsoft Entra ID usando o Portal da Empresa
- Opções de autenticação sem senha para Microsoft Entra ID
- Plane uma implantação de autenticação sem senha no Microsoft Entra ID
- Plug-in do Microsoft Enterprise SSO para dispositivos Apple