Share via

Konfigurera plattforms-SSO för macOS-enheter i Microsoft Intune

  • Artikel
  • Gäller för:
    ✅ macOS

På dina macOS-enheter kan du konfigurera plattforms-SSO för att aktivera enkel inloggning (SSO) med lösenordslös autentisering, Microsoft Entra ID användarkonton eller smartkort. Plattforms-SSO är en förbättring av plugin-programmet Microsoft Enterprise SSO och SSO-apptillägget. Plattforms-SSO kan logga in användare på sina hanterade Mac-enheter med sina Microsoft Entra ID autentiseringsuppgifter och Touch ID.

Den här artikeln gäller för:

  • macOS

Plugin-programmet Microsoft Enterprise SSO i Microsoft Entra ID innehåller två SSO-funktioner – plattforms-SSO och SSO-apptillägget. Den här artikeln fokuserar på att konfigurera plattforms-SSO med Entra-ID för macOS-enheter som är i förhandsversion.

Några fördelar med enkel plattform är:

  • Innehåller SSO-apptillägget. Du konfigurerar inte SSO-apptillägget separat.
  • Gå utan lösenord med nätfiskeresistenta autentiseringsuppgifter som är maskinvarubundna till Mac-enheten.
  • Inloggningsupplevelsen liknar inloggning på en Windows-enhet med ett arbets- eller skolkonto, som användare gör med Windows Hello för företag.
  • Hjälper till att minimera antalet gånger användarna behöver ange sina Microsoft Entra ID autentiseringsuppgifter.
  • Hjälper till att minska antalet lösenord som användare behöver komma ihåg.
  • Få fördelarna med Microsoft Entra anslutning, vilket gör att alla organisationsanvändare kan logga in på enheten.
  • Ingår i alla Microsoft Intune licensieringsplaner.

När Mac-enheter ansluter till en Microsoft Entra ID klientorganisation får enheterna ett WPJ-certifikat (workplace join) som är maskinvarubundet och endast tillgängligt via plugin-programmet Microsoft Enterprise SSO. För att få åtkomst till resurser som skyddas med villkorlig åtkomst behöver appar och webbläsare det här WPJ-certifikatet. När plattforms-SSO har konfigurerats fungerar SSO-apptillägget som asynkron meddelandekö för Microsoft Entra ID-autentisering och villkorsstyrd åtkomst.

Enkel inloggning med plattform kan konfigureras med hjälp av inställningskatalogen. När principen är klar tilldelar du principen till dina användare. Microsoft rekommenderar att du tilldelar principen när användaren registrerar enheten i Intune. Men den kan tilldelas när som helst, inklusive på befintliga enheter.

Den här artikeln visar hur du konfigurerar enkel inloggning med plattform för macOS-enheter i Intune.

Förutsättningar

Steg 1 – Bestäm autentiseringsmetod

När du skapar plattformens princip för enkel inloggning i Intune måste du bestämma vilken autentiseringsmetod du vill använda.

Principen för enkel inloggning med plattform och den autentiseringsmetod som du använder ändrar hur användare loggar in på enheterna.

  • När du konfigurerar enkel inloggning med plattform loggar användarna in på sina macOS-enheter med den autentiseringsmetod som du konfigurerar.
  • När du inte använder plattforms-SSO loggar användarna in på sina macOS-enheter med ett lokalt konto. Sedan loggar de in på appar och webbplatser med sina Microsoft Entra ID.

I det här steget använder du informationen för att lära dig skillnaderna med autentiseringsmetoderna och hur de påverkar användarens inloggningsupplevelse.

Tips

Microsoft rekommenderar att du använder Secure Enclave som autentiseringsmetod när du konfigurerar enkel inloggning med plattform.

Funktion Säker enklav Smartkort Lösenord
Lösenordsfri (nätfiskebeständig)
TouchID stöds för upplåsning
Kan användas som nyckel
MFA obligatoriskt för installation

Multifaktorautentisering (MFA) rekommenderas alltid
Lokalt Mac-lösenord synkroniserat med Entra-ID
Stöds på macOS 13.x +
Stöds på macOS 14.x +
Du kan också tillåta nya användare att logga in med autentiseringsuppgifter för Entra-ID (macOS 14.x +)

Säker enklav

När du konfigurerar plattforms-SSO med säker enklavens autentiseringsmetod använder plugin-programmet för enkel inloggning maskinvarubundna kryptografiska nycklar. Den använder inte Microsoft Entra autentiseringsuppgifter för att autentisera användaren till appar och webbplatser.

Mer information om Secure Enclave finns i Secure Enclave (öppnar Apples webbplats).

Säker enklav:

  • Anses vara lösenordsfri och uppfyller MFA-krav (phish-resistant multifactor). Det liknar konceptuellt Windows Hello för företag. Den kan också använda samma funktioner som Windows Hello för företag, till exempel villkorsstyrd åtkomst.
  • Lämnar det lokala kontots användarnamn och lösenord som det är. Dessa värden ändras inte.

    Obs!

    Det här beteendet beror avsiktligt på Apples FileVault-diskkryptering, som använder det lokala lösenordet som upplåsningsnyckel.

  • När en enhet har startats om måste användarna ange lösenordet för det lokala kontot. Efter den första upplåsningen av datorn kan Touch ID användas för att låsa upp enheten.
  • Efter upplåsningen hämtar enheten den maskinvarubaserade primära uppdateringstoken (PRT) för enhetsomfattande enkel inloggning.
  • I webbläsare kan den här PRT-nyckeln användas som en nyckel med hjälp av WebAuthN-API:er.
  • Dess konfiguration kan startas med en autentiseringsapp för MFA-autentisering eller Microsoft Temporary Access Pass (TAP).
  • Gör det möjligt att skapa och använda Microsoft Entra ID nyckelnycklar.

Lösenord

När du konfigurerar plattforms-SSO med autentiseringsmetoden Lösenord loggar användarna in på enheten med sitt Microsoft Entra ID användarkonto i stället för sitt lokala kontolösenord.

Det här alternativet aktiverar enkel inloggning mellan appar som använder Microsoft Entra ID för autentisering.

Med autentiseringsmetoden Lösenord :

  • Det Microsoft Entra ID lösenordet ersätter det lokala kontolösenordet och de två lösenorden hålls synkroniserade.

    Obs!

    Lösenordet för den lokala kontodatorn tas inte bort helt från enheten. Det här beteendet beror avsiktligt på Apples FileVault-diskkryptering, som använder det lokala lösenordet som upplåsningsnyckel.

  • Användarnamnet för det lokala kontot ändras inte och förblir som det är.

  • Slutanvändare kan använda Touch ID för att logga in på enheten.

  • Det finns färre lösenord för användare och administratörer att komma ihåg och hantera.

  • Användarna måste ange sitt Microsoft Entra ID lösenord när en enhet har startats om. När den här första datorn har låsts upp kan Touch ID låsa upp enheten.

  • Efter upplåsningen hämtar enheten autentiseringsuppgifterna för maskinvarubunden primär uppdateringstoken (PRT) för Microsoft Entra ID enkel inloggning.

Obs!

Alla Intune lösenordsprinciper som du konfigurerar påverkar även den här inställningen. Om du till exempel har en lösenordsprincip som blockerar enkla lösenord blockeras även enkla lösenord för den här inställningen.

Kontrollera att din Intune lösenordsprincip och/eller efterlevnadsprincip matchar din Microsoft Entra lösenordsprincip. Om principerna inte matchar kanske lösenordet inte synkroniseras och slutanvändarna nekas åtkomst.

Smartkort

När du konfigurerar plattforms-SSO med autentiseringsmetoden smartkort kan användarna använda smartkortcertifikatet och den associerade PIN-koden för att logga in på enheten och autentisera till appar och webbplatser.

Det här alternativet:

  • Anses vara lösenordsfri.
  • Lämnar det lokala kontots användarnamn och lösenord som det är. Dessa värden ändras inte.

Mer information finns i Microsoft Entra certifikatbaserad autentisering på iOS och macOS.

Steg 2 – Skapa principen för enkel inloggning med plattform i Intune

Om du vill konfigurera principen för enkel inloggning för plattform använder du följande steg för att skapa en katalogprincip för Intune inställningar. De här inställningarna krävs av plugin-programmet Microsoft Enterprise SSO. Mer information finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter.

Mer information om nyttolastinställningarna för tillägget Utökningsbar enkel inloggning finns i Utökningsbara MDM-nyttolastinställningar för enkel inloggning för Apple-enheter (öppnar Apples webbplats).

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enhetskonfiguration>>Skapa>Ny princip.

  3. Ange följande egenskaper:

    • Plattform: Välj macOS.
    • Profiltyp: Välj Inställningskatalog.

  4. Välj Skapa.

  5. Ange följande egenskaper i Grundinställningar:

    • Namn: Ange ett beskrivande namn på principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ge till exempel principen namnet macOS – Platform SSO.
    • Beskrivning: Ange en beskrivning för principen. Denna inställning är valfri, men rekommenderas.

  6. Välj Nästa.

  7. I Konfigurationsinställningar väljer du Lägg till inställningar. I inställningsväljaren expanderar du Autentisering och väljer Utökningsbar Enkel inloggning (SSO):

    Skärmbild som visar inställningsväljaren för inställningskatalogen och väljer autentisering och utökningsbar kategori för enkel inloggning i Microsoft Intune.

    Välj följande inställningar i listan:

    • Autentiseringsmetod (inaktuell) (endast macOS 13)
    • Tilläggsidentifierare
    • Expandera plattforms-SSO:
      • Välj autentiseringsmetod (macOS 14+)
      • Välj Använd delade enhetsnycklar
    • Registreringstoken
    • Beteende för låst skärm
    • Teamidentifierare
    • Typ
    • Webbadresser

    Stäng inställningsväljaren.

    Tips

    Det finns fler valfria inställningar för plattforms-SSO som du kan konfigurera i principen. En lista finns i Mer plattformsinställningar för enkel inloggning som du kan konfigurera (i den här artikeln).

  8. Konfigurera följande obligatoriska inställningar:

    Namn Konfigurationsvärde Beskrivning
    Autentiseringsmetod (inaktuell)
    (endast macOS 13)    		 Lösenord eller UserSecureEnclave Välj den plattform för SSO-autentiseringsmetod som du valde i Steg 1 – Bestäm autentiseringsmetod (i den här artikeln).

    Den här inställningen gäller endast för macOS 13. För macOS 14.0 och senare använder du inställningenAutentiseringsmetod förplattforms-SSO>.
    Tilläggsidentifierare com.microsoft.CompanyPortalMac.ssoextension Det här ID:t är det SSO-apptillägg som profilen behöver för att enkel inloggning ska fungera.

    Värdena för tilläggsidentifierare och teamidentifierare fungerar tillsammans.
    Enkel inloggning> på plattformAutentiseringsmetod
    (macOS 14+)    		 Lösenord, UserSecureEnclave eller SmartCard Välj den plattform för SSO-autentiseringsmetod som du valde i Steg 1 – Bestäm autentiseringsmetod (i den här artikeln).

    Den här inställningen gäller för macOS 14 och senare. För macOS 13 använder du inställningen Autentiseringsmetod (inaktuell).
    Enkel inloggning> på plattformAnvända delade enhetsnycklar
    (macOS 14+)    		 Aktiverat När den är aktiverad använder plattforms-SSO samma signerings- och krypteringsnycklar för alla användare på samma enhet.

    Användare som uppgraderar från macOS 13.x till 14.x uppmanas att registrera sig igen.
    Registreringstoken {{DEVICEREGISTRATION}} Du måste inkludera klammerparenteserna. Mer information om den här registreringstoken finns i Konfigurera Microsoft Entra enhetsregistrering.

    Den här inställningen kräver att du även konfigurerar inställningen AuthenticationMethod .

    – Om du bara använder macOS 13-enheter konfigurerar du inställningen Autentiseringsmetod (inaktuell).
    – Om du bara använder macOS 14+-enheter konfigurerar du inställningenAutentiseringsmetod förplattforms-SSO>.
    – Om du har en blandning av macOS 13- och macOS 14+-enheter konfigurerar du båda autentiseringsinställningarna i samma profil.
    Beteende för låst skärm Hantera inte När värdet är Do Not Handle (Hantera inte) fortsätter begäran utan enkel inloggning.
    Teamidentifierare UBF8T346G9 Den här identifieraren är teamidentifieraren för plugin-tillägget enterprise SSO.
    Typ Omdirigera
    Webbadresser Ange alla följande URL:er:

    https://login.microsoftonline.com
    https://login.microsoft.com
    https://sts.windows.net
    https://login.partner.microsoftonline.cn
    https://login.chinacloudapi.cn
    https://login.microsoftonline.us
    https://login-us.microsoftonline.com    		 Dessa URL-prefix är identitetsprovidrar som utför SSO-apptillägg. URL:erna krävs för omdirigeringsnyttolaster och ignoreras för nyttolaster för autentiseringsuppgifter .

    Mer information om dessa URL:er finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter.

    Viktigt

    Om du har en blandning av macOS 13- och macOS 14+-enheter i din miljö konfigurerar du autentiseringsinställningarna platform SSO>Authentication Method och autentiseringsmetoden (inaktuell) i samma profil.

  9. Välj Nästa.

  10. Under Omfångstaggar (valfritt), tilldelar du en tagg för att filtrera profilen till specifika IT-grupper, till exempel US-NC IT Team eller JohnGlenn_ITDepartment. Mer information om omfångstaggar finns i Använda RBAC-roller och omfångstaggar för distribuerad IT.

    Välj Nästa.

  11. I Tilldelningar väljer du de användare eller användargrupper som ska ta emot din profil. Principer för enkel inloggning på plattformen är användarbaserade principer. Tilldela inte plattformens SSO-princip till enheter.

    Mer information om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.

    Välj Nästa.

  12. Granska inställningarna under Granska + skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i profillistan.

Nästa gång enheten söker efter konfigurationsuppdateringar tillämpas de inställningar som du har konfigurerat.

Steg 3 – Distribuera Företagsportal-appen för macOS

Företagsportal-appen för macOS distribuerar och installerar plugin-programmet Microsoft Enterprise SSO. Det här plugin-programmet möjliggör enkel inloggning med plattform.

Med hjälp av Intune kan du lägga till Företagsportal-appen och distribuera den som en obligatorisk app till dina macOS-enheter:

Det finns inga specifika steg för att konfigurera appen för enkel inloggning med plattform. Kontrollera bara att den senaste Företagsportal-appen har lagts till i Intune och distribuerats till dina macOS-enheter.

Om du har en äldre version av Företagsportal appen installerad fungerar inte enkel inloggning med plattform.

Steg 4 – Registrera enheterna och tillämpa principerna

Om du vill använda plattforms-SSO måste enheterna vara MDM-registrerade i Intune med någon av följande metoder:

För nya enheter rekommenderar vi att du skapar och konfigurerar alla nödvändiga principer, inklusive registreringsprincipen. När enheterna sedan registreras i Intune tillämpas principerna automatiskt.

För befintliga enheter som redan har registrerats i Intune tilldelar du principen plattforms-SSO till dina användare eller användargrupper. Nästa gång enheterna synkroniseras eller checkar in med Intune-tjänsten får de principinställningarna för enkel inloggning på plattformen som du skapar.

Steg 5 – Registrera enheten

När enheten tar emot principen visas ett registreringsmeddelande som visas i Meddelandecenter.

Skärmbild som visar den uppmaning som krävs för registrering på slutanvändarenheter när du konfigurerar enkel inloggning med plattform i Microsoft Intune.

  • Slutanvändarna väljer det här meddelandet, loggar in på Microsoft Entra ID-plugin-programmet med sitt organisationskonto och slutför multifaktorautentisering (MFA) om det behövs.

    Obs!

    MFA är en funktion i Microsoft Entra. Kontrollera att MFA är aktiverat i din klientorganisation. Mer information, inklusive andra appkrav, finns i Microsoft Entra multifaktorautentisering.

  • När de autentiseras är enheten Microsoft Entra ansluten till organisationen och wpj-certifikatet (workplace join) är bundet till enheten.

Följande artiklar visar användarupplevelsen, beroende på registreringsmetoden:

Steg 6 – Bekräfta inställningarna på enheten

När registreringen av enkel inloggning med plattform har slutförts kan du bekräfta att plattforms-SSO har konfigurerats. För stegen går du till Microsoft Entra ID – Kontrollera enhetens registreringsstatus.

På Intune registrerade enheter kan du också gå till Inställningar>Sekretess- och säkerhetsprofiler>. Din profil för enkel inloggning för plattform visas under com.apple.extensiblesso Profile. Välj profilen för att se de inställningar som du har konfigurerat, inklusive URL:erna.

Om du vill felsöka enkel inloggning med plattform går du till kända problem och felsökning för enkel inloggning med macOS Platform.

Steg 7 – Ta bort tilldelningen av befintliga profiler för SSO-apptillägg

När du har bekräftat att inställningarnas katalogprincip fungerar tar du bort tilldelningen av befintliga profiler för SSO-apptillägg som skapats med hjälp av mallen Intune Enhetsfunktioner.

Om du behåller båda principerna kan konflikter uppstå.

Fler inställningar för enkel inloggning på plattformen som du kan konfigurera

När du skapar inställningskatalogprofilen i steg 2 – Skapa principen för enkel inloggning för plattform i Intune finns det fler valfria inställningar som du kan konfigurera.

Med följande inställningar kan du anpassa slutanvändarupplevelsen och ge mer detaljerad kontroll över användarbehörigheter. Odokumenterade inställningar för enkel inloggning med plattform stöds inte.

Inställningar för enkel inloggning för plattform Möjliga värden Användning
Kontovisningsnamn Valfritt strängvärde. Anpassa det organisationsnamn som slutanvändarna ser i meddelandena om enkel inloggning på plattformen.
Aktivera Skapa användare vid inloggning Aktivera eller inaktivera. Tillåt alla organisationsanvändare att logga in på enheten med sina Microsoft Entra autentiseringsuppgifter.
Nytt användarauktoriseringsläge Standard, Admin eller Grupper Engångsbehörigheter som användaren har vid inloggning när kontot skapas med plattforms-SSO. Standard- ochAdmin-värden stöds för närvarande. Minst en Admin användare krävs på enheten innan standardläget kan användas.
Användarauktoriseringsläge Standard, Admin eller Grupper Beständiga behörigheter som användaren har vid inloggning varje gång användaren autentiserar med plattforms-SSO. Standard- ochAdmin-värden stöds för närvarande. Minst en Admin användare krävs på enheten innan standardläget kan användas.

Vanliga fel

När du konfigurerar enkel inloggning med plattform kan följande fel visas:

  • 10001: misconfiguration in the SSOe payload.

    Det här felet kan inträffa om:

    • Det finns en obligatorisk inställning som inte har konfigurerats i inställningarnas katalogprofil.
    • Det finns en inställning i inställningskatalogprofilen som du har konfigurerat och som inte gäller för nyttolasten för omdirigeringstypen.

    De autentiseringsinställningar som du konfigurerar i inställningskatalogprofilen skiljer sig åt för macOS 13.x- och 14.x-enheter.

    Om du har macOS 13- och macOS 14-enheter i din miljö måste du skapa en inställningskatalogprincip och konfigurera deras respektive autentiseringsinställningar i samma princip. Den här informationen dokumenteras i steg 2 – Skapa principen för enkel inloggning för plattform i Intune (i den här artikeln).

  • 10002: multiple SSOe payloads configured.

    Flera nyttolaster för SSO-tillägg tillämpas på enheten och är i konflikt. Det bör bara finnas en tilläggsprofil på enheten och den profilen ska vara inställningarnas katalogprofil.

    Om du tidigare har skapat en profil för SSO-apptillägg med hjälp av mallen Enhetsfunktioner tar du bort tilldelningen av profilen. Katalogprofilen för inställningar är den enda profil som ska tilldelas till enheten.