Присоединение устройства Mac с идентификатором Microsoft Entra ID во время работы с macOS PSSO (предварительная версия)

Пользователи Mac могут присоединить новое устройство к Идентификатору Microsoft Entra во время первого запуска интерфейса (OOBE). Единый вход macOS Platform (PSSO) — это возможность в macOS, которая включена с помощью расширения единого входа Microsoft Enterprise. PSSO позволяет пользователям входить на устройство Mac с помощью аппаратного ключа, смарт-карты или пароля идентификатора Microsoft Entra ID. В этом руководстве показано, как настроить устройство Mac во время OOBE для использования PSSO с помощью автоматической регистрации устройств.

Необходимые компоненты

• Рекомендуемая минимальная версия macOS 14 Sonoma. Хотя macOS 13 Ventura поддерживается, настоятельно рекомендуется использовать macOS 14 Sonoma для лучшего опыта.
• Зарегистрированное устройство автоматической регистрации устройств (ADE ). Обратитесь к администратору, если вы не уверены, зарегистрировано ли устройство с этим требованием.
• Microsoft Корпоративный портал Intune версии 5.2404.0 или более поздней
• Устройство Mac, зарегистрированное в службе управления мобильными устройствами (MDM) с помощью Microsoft Intune.
• Настроенная полезные данные расширения SSO MDM с параметрами PSSO в Intune администратором
• Microsoft Authenticator (рекомендуется). Чтобы завершить регистрацию устройства, необходимо зарегистрировать пользователя для определенной формы многофакторной проверки подлинности (MFA) идентификатора Microsoft Entra.
• Для настройки смарт-карты настроена и включена проверка подлинности на основе сертификатов. Смарт-карта, загруженная с сертификатом для проверки подлинности с помощью Microsoft Entra и смарт-карты, в паре с локальной учетной записью.

Настройка устройства macOS

1. При первом открытии Mac на экране "Hello" выполните действия, чтобы выбрать страну или регион, а также настроить параметры сети по мере необходимости.

2. Вам будет предложено скачать профиль удаленного управления , который позволяет применить настройку конфигурации в Microsoft Intune к вашему устройству. Нажмите кнопку "Продолжить" и введите учетные данные идентификатора Microsoft Entra при появлении запроса на утверждение скачивания профиля управления.

   

3. Введите код, отправленный в приложение Authenticator (рекомендуется) или используйте другой метод MFA.

4. Чтобы создать учетную запись пользователя, введите полное имя, имя учетной записи и создайте пароль локальной учетной записи. Нажмите кнопку "Продолжить" и откроется начальный экран.

   

Регистрация с помощью автоматической регистрации устройств

Для регистрации PSSO существует три метода проверки подлинности:

• Безопасный анклава: вход пользователей на устройство с защищенным криптографическим ключом анклава, используемым для единого входа в приложениях, использующих идентификатор Microsoft Entra для проверки подлинности. Он также может называться учетными данными платформы для macOS.
• Смарт-карта: пользователь входит в систему на компьютере с помощью внешнего смарт-карты или совместимого смарт-карты с жестким маркером
• Пароль. Вход пользователей на локальное устройство с помощью локальной учетной записи обновлен, чтобы использовать пароль идентификатора Microsoft Entra

Для системного администратора рекомендуется зарегистрировать Mac с помощью безопасного анклава или смарт-карты. Эти новые функции без пароля поддерживаются только PSSO. Перед продолжением проверьте, какой метод проверки подлинности настроен администратором.

Безопасный анклава

1. Перейдите в всплывающее окно "Требуется регистрация" в правом верхнем углу экрана. Наведите указатель мыши на всплывающее окно и выберите "Зарегистрировать". Для пользователей macOS 14 Sonoma появится запрос на регистрацию устройства в Microsoft Entra. Этот запрос не отображается для macOS 13 Ventura.

   

2. Появится запрос на ввод пароля локальной учетной записи. Введите пароль и нажмите кнопку "ОК".

3. После разблокировки учетной записи выберите учетную запись для входа, введите учетные данные входа и нажмите кнопку "Далее".

4. MFA требуется в рамках этого потока входа. Откройте приложение Authenticator (рекомендуется) или используйте другие зарегистрированные методы MFA и введите номер, отображаемый на экране, чтобы завершить регистрацию.

5. Когда поток MFA завершится, а экран загрузки исчезнет, устройство должно быть зарегистрировано в PSSO. Теперь вы можете использовать PSSO для доступа к ресурсам приложения Майкрософт.

Включение учетных данных платформы для macOS для использования в качестве секретного ключа

Настройка устройства с помощью безопасного метода анклава позволяет использовать полученные учетные данные, сохраненные в Mac в качестве секретного ключа в браузере. Чтобы включить его;

1. Откройте приложение "Параметры" и перейдите к параметрам паролей>.

2. В разделе "Параметры пароля" найдите пароли и секретные ключи из и включите Корпоративный портал через переключатель переключателя.

   

Смарт-карта

Связывание смарт-карты с локальной учетной записью

Прежде чем зарегистрировать устройство с помощью смарт-карты, необходимо связать смарт-карту с локальной учетной записью. Откройте приложение терминала и выполните следующие команды, чтобы найти хэш открытого ключа сертификата смарт-карты и связать его с локальной учетной записью, а затем проверить успешность. Это необходимо выполнить с помощью sudo.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Регистрация устройства с помощью смарт-карты

1. Перейдите в всплывающее окно "Требуется регистрация" в правом верхнем углу экрана. Наведите указатель мыши на всплывающее окно и выберите "Зарегистрировать". Если смарт-карта связана с локальной учетной записью, появится запрос на ввод пин-кода смарт-карты.

   

2. Возможно, администратор настроит MFA для потока регистрации устройств. В этом случае откройте приложение Authenticator на мобильном устройстве и завершите поток MFA.

   

3. Если сертификат еще не связан с локальной учетной записью, пользователь увидит запрос на использование смарт-карты. Выберите смарт-карту.

4. Вам будет предложено ввести пин-код для смарт-карты. Введите пин-код и нажмите клавишу ВВОД для смарт-карты. После ввода правильного пин-кода регистрация PSSO с проверкой подлинности смарт-карты завершена.

5. Теперь вы можете использовать PSSO для доступа к ресурсам приложения Майкрософт и разблокировать устройство с помощью пин-карты. После перезагрузки необходимо использовать локальный пароль, чтобы разблокировать доступ к цепочке ключей.

Пароль

1. Перейдите в всплывающее окно "Требуется регистрация" в правом верхнем углу экрана. Наведите указатель мыши на всплывающее окно и выберите "Зарегистрировать".

   

2. Появится запрос на ввод пароля локальной учетной записи. Введите пароль и нажмите кнопку "ОК".

3. После разблокировки учетной записи выберите учетную запись для входа, введите учетные данные входа и нажмите кнопку "Далее".

4. MFA требуется в рамках этого потока входа. Откройте приложение Authenticator (рекомендуется) или используйте другие зарегистрированные методы MFA и введите номер, отображаемый на экране, чтобы завершить регистрацию.

5. Если ваш локальный пароль отличается от пароля идентификатора Microsoft Entra, всплывающее окно "Требуется проверка подлинности" отображается в правом верхнем углу экрана. Наведите указатель мыши на баннер и выберите "Войти".

6. Когда появится окно Microsoft Entra, введите пароль идентификатора Microsoft Entra и нажмите кнопку "Войти".

   

7. После разблокировки Mac теперь можно использовать PSSO для доступа к ресурсам приложения Майкрософт. В этом случае старый пароль не работает, так как для устройства включен единый вход.

Проверка состояния регистрации устройства

После выполнения описанных выше действий рекомендуется проверить состояние регистрации устройства.

1. Чтобы проверить успешность регистрации, перейдите в раздел "Параметры" и выберите "Пользователи и группы".

2. Выберите "Изменить " рядом с сервером учетной записи сети и убедитесь, что единый вход платформы указан как зарегистрированный.

3. Чтобы проверить метод, используемый для проверки подлинности, перейдите к имени пользователя в окне "Пользователи и группы" и выберите значок сведений. Проверьте указанный метод, который должен быть безопасным анклавами, смарт-картой или паролем.

   Примечание.

   Вы также можете использовать приложение терминала для проверки состояния регистрации. Выполните следующую команду, чтобы проверить состояние регистрации устройства. В нижней части выходных данных, которые извлекаются маркеры единого входа. Для пользователей macOS 13 Ventura эта команда требуется для проверки состояния регистрации.

   app-sso platform -s
   

См. также

• Присоединение устройства Mac с идентификатором Microsoft Entra с помощью Корпоративный портал
• Варианты проверки подлинности без пароля для Microsoft Entra ID
• Планирование развертывания проверки подлинности без пароля в идентификаторе Microsoft Entra
• Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple