Обзор единого входа на платформе macOS (предварительная версия)

Единый вход для платформы macOS (PSSO) — это новая функция, используемая подключаемым модулем единого входа Корпорации Майкрософт, учетными данными платформы для macOS, которая позволяет пользователям входить на устройства Mac с помощью учетных данных Идентификатора Microsoft Entra ID. Эта функция обеспечивает преимущества для администраторов, упрощая процесс входа для пользователей и уменьшая количество паролей, которые необходимо помнить. Он также позволяет пользователям проходить проверку подлинности с помощью идентификатора Microsoft Entra с помощью смарт-карта или аппаратного ключа. Эта функция улучшает взаимодействие с конечным пользователем, не забывая два отдельных пароля и уменьшая потребность администраторов в управлении паролем локальной учетной записи.

Существует три различных метода проверки подлинности, определяющих взаимодействие с конечным пользователем;

• Учетные данные платформы для macOS: подготавливает защищенный аппаратный криптографический ключ, привязанный к оборудованию, который используется для единого входа в приложениях, использующих идентификатор Microsoft Entra для проверки подлинности. Пароль локальной учетной записи пользователя не затрагивается и требуется для входа в Mac.
• Смарт-карта: пользователь входит на компьютер с помощью внешнего смарт-карта или смарт-маркера, совместимого с карта (например, Yubikey). После разблокировки устройства смарт-карта используется с идентификатором Microsoft Entra для предоставления единого входа в приложениях, использующих идентификатор Microsoft Entra для проверки подлинности.
• Пароль в качестве метода проверки подлинности: синхронизирует пароль идентификатора Microsoft Entra пользователя с локальной учетной записью и включает единый вход в приложениях, использующих идентификатор Microsoft Entra для проверки подлинности.

Подключаемый модуль единого входа Microsoft Enterprise на устройствах Apple, PSSO;

• Позволяет пользователям идти без пароля с помощью Touch ID.
• Использует фишинговые учетные данные, основанные на технологии Windows Hello для бизнеса.
• Экономит деньги организации клиентов, удаляя необходимость ключей безопасности.
• Перемещает цели нулевого доверия с помощью интеграции с Безопасным анклава.

Чтобы включить его, администратору необходимо настроить единый вход с помощью Microsoft Intune или другого поддерживаемого MDM. В зависимости от того, как настроено устройство, конечный пользователь может настроить свое устройство с помощью PSSO с помощью безопасного анклава, интеллектуального карта или метода проверки подлинности на основе паролей.

Требования

Чтобы развернуть единый вход платформы для macOS, вам потребуется выполнить следующие минимальные требования.

• Рекомендуемая минимальная версия macOS 14 Sonoma. Хотя macOS 13 Ventura поддерживается, настоятельно рекомендуется использовать macOS 14 Sonoma для лучшего опыта.
• Microsoft Authenticator
• Microsoft Intune Корпоративный портал приложение версии 5.2404.0 или более поздней версии. Эта версия необходима, прежде чем пользователи предназначены для PSSO.

Развертывание

Дополнительные сведения и инструкции по развертыванию единого входа платформы для macOS см. в следующих статьях.

• Присоединение устройства Mac к идентификатору Microsoft Entra ID во время выхода из коробки
• Присоединение устройства Mac с идентификатором Microsoft Entra с помощью Корпоративный портал

Проверка подлинности без пароля

Пароли — это основной вектор атаки для плохих субъектов. Они используют социальные инженерии, фишинг и атаки распыления для компрометации паролей. Стратегия проверки подлинности без пароля снижает риск этих атак.

Узнайте, как использовать единый вход платформы для macOS, чтобы включить проверку подлинности без пароля для вашей организации.

• Варианты проверки подлинности без пароля для Microsoft Entra ID
• Планирование развертывания проверки подлинности без пароля в идентификаторе Microsoft Entra

Учетные данные платформы для macOS также можно использовать в качестве фишинговых учетных данных для использования в проблемах WebAuthn (включая сценарии повторной проверки подлинности браузера). Администратор потребуется включить метод проверки подлинности ключа безопасности FIDO2 для этой возможности. Если вы используете политики ограничений ключей в политике FIDO, необходимо добавить AAGUID для учетных данных платформы macOS в список разрешенных AAGUID: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

Национальный институт стандартов и технологий (NIST)

Национальный институт стандартов и технологий (NIST) является нерегулируемым федеральным агентством в Министерстве торговли США. NIST разрабатывает и выдает стандарты, рекомендации и другие публикации, помогающие федеральным агентствам управлять экономически эффективными программами для защиты информации и информационных систем.

Дополнительные сведения об использовании единого входа платформы macOS см. в соответствии с требованиями NIST в этих статьях.

• Настройка идентификатора Microsoft Entra для соответствия уровням проверки подлинности NIST
• Типы проверки подлинности NIST и выровненные методы Microsoft Entra.
• Уровень проверки подлинности NIST 3 с помощью идентификатора Microsoft Entra

Устранение неполадок

Если возникают проблемы при реализации единого входа на платформе macOS, ознакомьтесь с нашей документацией по известным проблемам единого входа в macOS Platform и устранению неполадок.