Поделиться через


Обзор единого входа на платформе macOS (предварительная версия)

Единый вход для платформы macOS (PSSO) — это новая функция, используемая подключаемым модулем единого входа Корпорации Майкрософт, учетными данными платформы для macOS, которая позволяет пользователям входить на устройства Mac с помощью учетных данных Идентификатора Microsoft Entra ID. Эта функция обеспечивает преимущества для администраторов, упрощая процесс входа для пользователей и уменьшая количество паролей, которые необходимо помнить. Он также позволяет пользователям проходить проверку подлинности с помощью идентификатора Microsoft Entra с помощью смарт-карты или аппаратного ключа. Эта функция улучшает взаимодействие с конечным пользователем, не забывая два отдельных пароля и уменьшая потребность администраторов в управлении паролем локальной учетной записи.

Существует три различных метода проверки подлинности, определяющих взаимодействие с конечным пользователем;

  • Учетные данные платформы для macOS: подготавливает защищенный аппаратный криптографический ключ, привязанный к оборудованию, который используется для единого входа в приложениях, использующих идентификатор Microsoft Entra для проверки подлинности. Пароль локальной учетной записи пользователя не затрагивается и требуется для входа в Mac.
  • Смарт-карта: пользователь входит на компьютер с помощью внешней смарт-карты или жесткого маркера, совместимого с смарт-картами (например, Yubikey). После разблокировки устройства смарт-карта используется с идентификатором Microsoft Entra для предоставления единого входа в приложениях, использующих идентификатор Microsoft Entra для проверки подлинности.
  • Пароль в качестве метода проверки подлинности: синхронизирует пароль идентификатора Microsoft Entra пользователя с локальной учетной записью и включает единый вход в приложениях, использующих идентификатор Microsoft Entra для проверки подлинности.

Подключаемый модуль единого входа Microsoft Enterprise на устройствах Apple, PSSO;

  • Позволяет пользователям идти без пароля с помощью Touch ID.
  • Использует фишинговые учетные данные, основанные на технологии Windows Hello для бизнеса.
  • Экономит деньги организации клиентов, удаляя необходимость ключей безопасности.
  • Перемещает цели нулевого доверия с помощью интеграции с Безопасным анклава.

Чтобы включить его, администратору необходимо настроить единый вход с помощью Microsoft Intune или другого поддерживаемого MDM. В зависимости от того, как настроено устройство, конечный пользователь может настроить устройство с помощью PSSO с помощью безопасного анклава, метода проверки подлинности на основе смарт-карты или пароля.

Требования

Чтобы развернуть единый вход платформы для macOS, вам потребуется выполнить следующие минимальные требования.

  • Рекомендуемая минимальная версия macOS 14 Sonoma. Хотя macOS 13 Ventura поддерживается, настоятельно рекомендуется использовать macOS 14 Sonoma для лучшего опыта.

  • Microsoft Authenticator

  • Microsoft Intune Корпоративный портал приложение версии 5.2404.0 или более поздней версии. Эта версия необходима, прежде чем пользователи предназначены для PSSO.

Настройка

Дополнительные сведения и инструкции по настройке см. в следующих статьях:

Развертывание

Дополнительные сведения и инструкции по развертыванию единого входа платформы для macOS см. в следующих статьях.

Проверка подлинности без пароля

Пароли — это основной вектор атаки для плохих субъектов. Они используют социальные инженерии, фишинг и атаки распыления для компрометации паролей. Стратегия проверки подлинности без пароля снижает риск этих атак.

Узнайте, как использовать единый вход платформы для macOS, чтобы включить проверку подлинности без пароля для вашей организации.

Учетные данные платформы для macOS также можно использовать в качестве фишинговых учетных данных для использования в проблемах WebAuthn (включая сценарии повторной проверки подлинности браузера). Администраторам потребуется включить метод проверки подлинности ключа безопасности FIDO2 для этой возможности. Если вы используете политики ограничений ключей в политике FIDO, необходимо добавить AAGUID для учетных данных платформы macOS в список разрешенных AAGUID: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

Национальный институт стандартов и технологий (NIST)

Национальный институт стандартов и технологий (NIST) является нерегулируемым федеральным агентством в Министерстве торговли США. NIST разрабатывает и выдает стандарты, рекомендации и другие публикации, помогающие федеральным агентствам управлять экономически эффективными программами для защиты информации и информационных систем.

Дополнительные сведения об использовании единого входа платформы macOS см. в соответствии с требованиями NIST в этих статьях.

Устранение неполадок

Если возникают проблемы при реализации единого входа на платформе macOS, ознакомьтесь с нашей документацией по известным проблемам единого входа в macOS Platform и устранению неполадок.