Microsoft Intune kullanan macOS cihazları için platform SSO yapılandırma kılavuzu

Platform SSO'sunu parolasız kimlik doğrulaması, Microsoft Entra ID kullanıcı hesapları veya akıllı kartlar kullanarak macOS cihazlarınızda çoklu oturum açmayı (SSO) etkinleştirecek şekilde yapılandırabilirsiniz. Platform SSO, Microsoft Enterprise SSO eklentisini ve SSO uygulama uzantısını geliştiren Microsoft Entra bir özelliktir.

Bu özellik şu platformlarda geçerlidir:

• macOS

Platform SSO, Microsoft Entra ID kimlik bilgilerini ve Touch ID'lerini kullanarak kullanıcıları yönetilen Mac cihazlarında oturum açabilir. Intune kullanarak Platform SSO'sunu yapılandırabilir ve Platform SSO yapılandırmasını macOS cihazlarınıza dağıtabilirsiniz.

Microsoft Entra ID'deki Microsoft Enterprise SSO eklentisi iki SSO özelliği içerir: Platform SSO ve SSO uygulama uzantısı. Bu makalede Platform SSO'sunun Microsoft Entra ID ile yapılandırılması ele almaktadır.

Bu makalede, Intune'de macOS cihazları için Platform SSO'nun nasıl yapılandırılır gösterilmektedir. Yapılandırabileceğiniz bazı yaygın Platform SSO senaryoları için macOS cihazları için Ortak Platform SSO senaryoları bölümüne gidin.

Fayda -ları

Platform SSO'nun bazı avantajları şunlardır:

• SSO uygulama uzantısını içerir. SSO uygulama uzantısını ayrı olarak yapılandırmazsınız.
• Mac cihazına donanıma bağlı kimlik avına dayanıklı kimlik bilgileriyle parolasız geçiş yapabilirsiniz.
• Oturum açma deneyimi, kullanıcıların İş İçin Windows Hello gibi bir iş veya okul hesabıyla Windows cihazında oturum açmaya benzer.
• Kullanıcıların Microsoft Entra ID kimlik bilgilerini girme sayısını en aza indirmeye yardımcı olur.
• Kullanıcıların hatırlaması gereken parola sayısını azaltmaya yardımcı olur.
• Kuruluş kullanıcılarının cihazda oturum açmasına izin veren Microsoft Entra katılma avantajlarından yararlanabilirsiniz.
• Tüm Microsoft Intune lisanslama planlarıyla birlikte bulunur.

Nasıl çalışır?

Mac cihazlar Microsoft Entra ID bir kiracıya katıldığında, cihazlar çalışma alanına katılma (WPJ) sertifikası alır. Bu WPJ sertifikası donanıma bağlıdır ve yalnızca Microsoft Enterprise SSO eklentisi tarafından erişilebilir. Koşullu Erişim kullanarak korunan kaynaklara erişmek için uygulamalar ve web tarayıcıları bu WPJ sertifikasına ihtiyaç duyar.

Platform SSO yapılandırıldığında, SSO uygulama uzantısı Microsoft Entra ID kimlik doğrulaması ve Koşullu Erişim için aracı görevi görür.

Platform SSO'sunu Intune ayarları kataloğunu kullanarak yapılandırabilirsiniz. Ayarlar kataloğu ilkesi hazır olduğunda, ilkeyi atarsınız. Microsoft, kullanıcı cihazı Intune kaydettiğinde ilkeyi atamanızı önerir. Ancak, mevcut cihazlar da dahil olmak üzere istediğiniz zaman atanabilir.

Önkoşullar

• Cihazların macOS 13.0 ve daha yeni bir sürümünü çalıştırıyor olması gerekir.

• Microsoft Intune Şirket Portalı uygulama sürümü 5.2404.0 ve daha yenisi cihazlarda gereklidir. Bu sürüm Platform SSO'larını içerir.

• Aşağıdaki web tarayıcıları Platform SSO'sunu destekler:

  • Microsoft Edge

  • Microsoft Çoklu Oturum Açma uzantısına sahip Google Chrome

    bir Intune tercih dosyası (.plist) ilkesi kullanarak bu uzantıyı yüklemeye zorlayabilirsiniz. Dosyanızda .plist, Chrome Kurumsal ilkesi - ExtensionInstallForcelist (Google'ın web sitesini açar) başlığı altında bazı bilgilere ihtiyacınız vardır.

    Uyarı

    GitHub'da ManagedPreferencesApplications örneklerinde örnek .plist dosyalar vardır. Bu GitHub deposu Microsoft'a ait değildir, korunmaz ve oluşturulmaz. Bilgileri kendi riskinizle kullanın.

  • Safari

  • Firefox - MicrosoftEntraSSO ilkesini yapılandırın (Mozilla'nın web sitesini açar).

  paket () ve disk görüntüsü (.dmg.pkg) dosyaları dahil olmak üzere web tarayıcısı uygulamaları eklemek ve uygulamayı macOS cihazlarınıza dağıtmak için Intune kullanabilirsiniz. Başlamak için Microsoft Intune uygulama ekleme bölümüne gidin.

• Platform SSO,gerekli ayarları yapılandırmak için Intune ayarları kataloğunu kullanır. Ayarlar kataloğu ilkesini oluşturmak için en azından Microsoft Intune yönetim merkezinde aşağıdaki Intune izinlerine sahip bir hesapla oturum açın:

  • Cihaz Yapılandırması Okuma, Oluşturma, Güncelleştirme ve Atama izinleri

  İlke ve Profil Yöneticisi Intune rolü de dahil olmak üzere bu izinlere sahip bazı yerleşik roller vardır. Intune RBAC rolleri hakkında daha fazla bilgi için Microsoft Intune ile rol tabanlı erişim denetimi (RBAC) bölümüne gidin.

• 2. Adım - Platform SSO ilkesi oluşturma (bu makalede), Platform SSO için gerekli ayarları yapılandıran bir ayarlar kataloğu ilkesi oluşturursunuz. Bu ilkede yapılandırabileceğiniz diğer yaygın senaryolar ve ayarlar vardır. Daha fazla bilgi için bkz. macOS cihazları için Ortak Platform SSO senaryoları.

  Ayarlar kataloğu ilkesini oluşturmadan öncesenaryoları gözden geçirmenizi öneririz. Bu şekilde, ilkeyi ilk oluşturduğunuzda ihtiyacınız olan/istediğiniz ayarları yapılandırabilirsiniz. İsteğe bağlı senaryo ayarlarını başlangıçta yapılandırmazsanız, ilkeyi daha sonra istediğiniz zaman düzenleyebilirsiniz. Gruplarınıza yalnızca bir SSO ilkesi atanabilir. Bu nedenle, bu senaryo ayarlarını mevcut Platform SSO ayarları katalog ilkenize ekleyin.

• Platform SSO Kimlik Doğrulama Yöntemi veya Platform SSO Paylaşılan Cihaz Anahtarlarını Kullan ayarları ilkede değiştirildiğinde, Microsoft Entra'da mevcut bir Platform SSO >> ilkesi yeniden kaydı olan cihazlar. Eklediğiniz veya değiştirdiğiniz diğer ayarlar için Platform SSO ilkesi atanmamış ve yeniden atanmışsa cihaz yeniden kaydolabilir.

• 5. Adım - Cihazı kaydetme (bu makale) bölümünde kullanıcılar cihazlarını kaydeder. Bu kullanıcıların Microsoft Entra ID için cihazlara katılmasına izin verilmelidir. Daha fazla bilgi için Cihaz ayarlarınızı yapılandırma bölümüne gidin.

1. Adım - Kimlik doğrulama yöntemine karar verme

Intune'de platform SSO ilkesini oluşturduğunuzda, kullanmak istediğiniz kimlik doğrulama yöntemine karar vermeniz gerekir.

Platform SSO ilkesi ve kullandığınız kimlik doğrulama yöntemi, kullanıcıların cihazlarda oturum açma şeklini değiştirir.

• Platform SSO'sunu yapılandırdığınızda, kullanıcılar yapılandırdığınız kimlik doğrulama yöntemiyle macOS cihazlarında oturum açar.
• Platform SSO'sunu kullanmadığınızda, kullanıcılar macOS cihazlarında yerel bir hesapla oturum açar. Ardından, Microsoft Entra ID ile uygulamalarda ve web sitelerinde oturum açarlar.

Bu adımda, kimlik doğrulama yöntemleriyle arasındaki farkları ve bunların kullanıcı oturum açma deneyimini nasıl etkilediğini öğrenmek için bu bilgileri kullanın.

İpucu

Microsoft, Platform SSO'sunu yapılandırırken kimlik doğrulama yöntemi olarak Secure Enclave kullanılmasını önerir.

Özellik	Güvenli Kapanım	Akıllı Kart	Password
Parolasız (kimlik avına dayanıklı)	✅	✅	❌
Kilidi açmak için desteklenen TouchID	✅	✅	✅
Geçiş anahtarı olarak kullanılabilir	✅	❌	❌
Kurulum için MFA zorunlu Çok faktörlü kimlik doğrulaması (MFA) her zaman önerilir	✅	✅	❌
Entra kimliğiyle eşitlenen yerel Mac parolası	❌	❌	✅
macOS 13.x + sürümünde desteklenir	✅	❌	✅
macOS 14.x + sürümünde desteklenir	✅	✅	✅
İsteğe bağlı olarak, yeni kullanıcıların Entra Kimliği kimlik bilgileriyle (macOS 14.x +) oturum açmasına izin verin	✅	✅	✅

Seçenek 1 - Güvenli Kapanım (önerilir)

Platform SSO'sunu Güvenli Kapanım kimlik doğrulama yöntemiyle yapılandırdığınızda, SSO eklentisi donanıma bağlı şifreleme anahtarlarını kullanır. Uygulama ve web sitelerinde kullanıcının kimliğini doğrulamak için Microsoft Entra kimlik bilgilerini kullanmaz.

Güvenli Kapanım hakkında daha fazla bilgi için Güvenli Kapanım'a gidin (Apple'ın web sitesini açar).

Güvenli Kapanım:

• Parolasız olarak kabul edilir ve kimlik avına dayanıklı çok faktörlü (MFA) gereksinimlerini karşılar. Kavramsal olarak İş İçin Windows Hello benzer. Koşullu Erişim gibi İş İçin Windows Hello ile aynı özellikleri de kullanabilir.
• Yerel hesabın kullanıcı adını ve parolasını olduğu gibi bırakır. Bu değerler değiştirilmez. Bu davranış, Apple'ın kilit açma anahtarı olarak yerel parolayı kullanan FileVault disk şifrelemesi nedeniyle tasarım gereğidir.
• Cihaz yeniden başlatıldıktan sonra kullanıcıların yerel hesap parolasını girmesi gerekir. Bu ilk makinenin kilidini açtıktan sonra cihazın kilidini açmak için Touch ID kullanılabilir.
• Kilidi açtıktan sonra cihaz, cihaz genelinde SSO için donanım destekli Birincil Yenileme Belirtecini (PRT) alır.
• Web tarayıcılarında bu PRT anahtarı WebAuthN API'leri kullanılarak geçiş anahtarı olarak kullanılabilir.
• Kurulumu, MFA kimlik doğrulaması veya Microsoft Geçici Erişim Geçişi (TAP) için bir kimlik doğrulama uygulamasıyla önyüklenebilir.
• Microsoft Entra ID geçiş anahtarlarının oluşturulmasını ve kullanımını etkinleştirir.

Seçenek 2 - Akıllı Kart

Platform SSO'sunu Akıllı kart kimlik doğrulama yöntemiyle yapılandırdığınızda, kullanıcılar cihazda oturum açmak ve uygulamalarda ve web sitelerinde kimlik doğrulaması yapmak için akıllı kart sertifikasını ve ilişkili PIN'i kullanabilir.

Bu seçenek:

• Parolasız olarak kabul edilir.
• Yerel hesabın kullanıcı adını ve parolasını olduğu gibi bırakır. Bu değerler değiştirilmez.

Daha fazla bilgi için iOS ve macOS üzerinde sertifika tabanlı kimlik doğrulaması Microsoft Entra bölümüne gidin.

Seçenek 3 - Parola

Platform SSO'sunu Parola kimlik doğrulama yöntemiyle yapılandırdığınızda, kullanıcılar yerel hesap parolaları yerine Microsoft Entra ID kullanıcı hesaplarıyla cihazda oturum açar.

Bu seçenek, kimlik doğrulaması için Microsoft Entra ID kullanan uygulamalar arasında SSO'ya olanak tanır.

Parola kimlik doğrulama yöntemiyle:

• Microsoft Entra ID parolası yerel hesap parolasının yerini alır ve iki parola eşitlenmiş olarak tutulur.

  Yerel hesap makinesi parolası cihazdan tamamen kaldırılmaz. Bu davranış, Apple'ın kilit açma anahtarı olarak yerel parolayı kullanan FileVault disk şifrelemesi nedeniyle tasarım gereğidir.

• Yerel hesap kullanıcı adı değiştirilmez ve olduğu gibi kalır.

• Son kullanıcılar cihazda oturum açmak için Touch ID kullanabilir.

• Kullanıcıların ve yöneticilerin hatırlaması ve yönetmesi için daha az parola vardır.

• Cihaz yeniden başlatıldıktan sonra kullanıcıların Microsoft Entra ID parolalarını girmesi gerekir. Bu ilk makinenin kilidini açtıktan sonra Touch ID cihazın kilidini açabilir.

• Kilidi açtıktan sonra cihaz, Microsoft Entra ID SSO için donanıma bağlı Birincil Yenileme Belirteci (PRT) kimlik bilgilerini alır.

Not

Yapılandırdığınız tüm Intune parola ilkeleri de bu ayarı etkiler. Örneğin, basit parolaları engelleyen bir parola ilkeniz varsa, bu ayar için basit parolalar da engellenir.

Intune parola ilkenizin ve/veya uyumluluk ilkenizin Microsoft Entra parola ilkenizle eşleştiğinden emin olun. İlkeler eşleşmiyorsa parola eşitlenmeyebilir ve son kullanıcıların erişimi reddedilir.

Keyvault kurtarmayı yapılandırma (isteğe bağlı)

Parola eşitleme kimlik doğrulamasını kullanırken, kullanıcı parolasını unutursa verilerin kurtarılabilmesini sağlamak için keyvault kurtarmayı etkinleştirebilirsiniz. BT Yöneticileri Apple belgelerini gözden geçirmeli ve Kurumsal FileVault Kurtarma Anahtarlarını kullanmanın onlar için iyi bir seçenek olup olmadığını değerlendirmelidir.

• FileVault'i mobil cihaz yönetimiyle yönetme
• Apple cihazları için FileVault MDM yük ayarları

2. Adım - Intune'de Platform SSO ilkesi oluşturma

Platform SSO ilkesini yapılandırmak için bu bölümdeki adımları kullanarak bir Intune ayarları katalog ilkesi oluşturun. Microsoft Enterprise SSO eklentisi listelenen ayarları gerektirir.

1. Microsoft Intune yönetim merkezinde oturum açın.

2. Cihazlar>Cihazları yönet>Yapılandırma>Oluştur>Yeni ilkeyi seçin.

3. Aşağıdaki özellikleri girin:

   • Platform: macOS'yi seçin.
   • Profil türü: Ayarlar kataloğu'nu seçin.

4. Oluştur’u seçin.

5. Temel Bilgiler’de aşağıdaki özellikleri girin:

   • Ad: İlke için açıklayıcı bir ad girin. İlkelerinizi daha sonra kolayca tanıyacak şekilde adlandırın. Örneğin, ilkeyi macOS - Platform SSO olarak adlandırın.
   • Açıklama: İlke için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

6. İleri'yi seçin.

7. Yapılandırma ayarları'ndaAyarlar ekle'yi seçin. Ayarlar seçicide Kimlik Doğrulaması'nı genişletin ve Genişletilebilir Çoklu Oturum Açma (SSO) öğesini seçin:

   

   Listede aşağıdaki ayarları seçin:

   • Kimlik Doğrulama Yöntemi (Kullanım Dışı) (Yalnızca macOS 13 için seçin)
   • Uzantı Tanımlayıcısı
   • Platform SSO'sını genişletin:
     • Kimlik Doğrulama Yöntemi'ne tıklayın (macOS 14+ için seçin)
     • FileVault İlkesi'ni seçin (macOS 15+ için seçin)
     • Belirteci Kullanıcı Eşlemesi'ne seçme
     • Paylaşılan Cihaz Anahtarlarını Kullan'ı seçin
   • Kayıt Belirteci
   • Ekran Kilitli Davranışı
   • Takım Tanımlayıcısı
   • Tür
   • Url 'leri

   Ayarlar seçiciyi kapatın.

   İpucu

   İlkeye Kerberos SSO'nun etkinleştirilmesi, Touch ID biyometrik kimlik doğrulamasının kullanılması ve Microsoft dışı uygulamalarda SSO'nun etkinleştirilmesi gibi farklı senaryoları yapılandıran daha fazla Platform SSO ayarı vardır. Bu senaryolar ve gerekli ayarları hakkında daha fazla bilgi edinmek için macOS cihazları için Ortak Platform SSO senaryoları bölümüne gidin.

   İsteğe bağlı senaryo ayarlarını başlangıçta yapılandırmazsanız, ilkeyi daha sonra istediğiniz zaman düzenleyebilirsiniz.

8. Aşağıdaki gerekli ayarları yapılandırın:

   Name	Yapılandırma değeri	Açıklama
   Kimlik Doğrulama Yöntemi (Kullanım Dışı) (yalnızca macOS 13)	Password veya UserSecureEnclaveKey	1. Adım - Kimlik doğrulama yöntemine karar verin (bu makalede) bölümünde seçtiğiniz Platform SSO kimlik doğrulama yöntemini seçin. Bu ayar yalnızca macOS 13 için geçerlidir. macOS 14.0 ve üzeri için Platform SSO>Kimlik Doğrulama Yöntemi ayarını kullanın.
   Uzantı Tanımlayıcısı	com.microsoft.CompanyPortalMac.ssoextension	Bu değeri kopyalayıp ayara yapıştırın. Bu kimlik, SSO'nun çalışması için profilin ihtiyaç duyduğu SSO uygulama uzantısıdır. Uzantı Tanımlayıcısı ve Takım Tanımlayıcısı değerleri birlikte çalışır.
   Platform SSO>Kimlik Doğrulama Yöntemi (macOS 14+)	Password, UserSecureEnclaveKey veya SmartCard	1. Adım - Kimlik doğrulama yöntemine karar verin (bu makalede) bölümünde seçtiğiniz Platform SSO kimlik doğrulama yöntemini seçin. Bu ayar macOS 14 ve üzeri için geçerlidir. macOS 13 için Kimlik Doğrulama Yöntemi (Kullanım dışı) ayarını kullanın.
   Platform SSO>FileVault İlkesi (macOS 15+)	AttemptAuthentication	Kimlik Doğrulama Yöntemi ayarı için Parola'ı seçtiğinizde geçerlidir. Bu değeri kopyalayıp ayara yapıştırın. Bu ayar, bir Mac cihazı açıldığında cihazın Microsoft Entra ID parolasını FileVault kilit açma ekranındaki Microsoft Entra ile doğrulamasını sağlar. Bu ayar macOS 15 ve üzeri için geçerlidir.
   Platform SSO>Paylaşılan Cihaz Anahtarlarını Kullanma(macOS 14+)	Etkin	Etkinleştirildiğinde, Platform SSO aynı cihazdaki tüm kullanıcılar için aynı imzalama ve şifreleme anahtarlarını kullanır. macOS 13.x'ten 14.x'e yükselten kullanıcılardan yeniden kaydolmaları istenir.
   Kayıt belirteci	{{DEVICEREGISTRATION}}	Bu değeri kopyalayıp ayara yapıştırın. Küme ayraçlarını eklemeniz gerekir. Bu kayıt belirteci hakkında daha fazla bilgi edinmek için Microsoft Entra cihaz kaydını yapılandırma konusuna gidin. Bu ayar, ayarı da yapılandırmanızı AuthenticationMethod gerektirir. - Yalnızca macOS 13 cihazları kullanıyorsanız Kimlik Doğrulama Yöntemi (Kullanım Dışı) ayarını yapılandırın. - Yalnızca macOS 14+ cihazları kullanıyorsanız Platform SSO>Kimlik Doğrulama Yöntemi ayarını yapılandırın. - macOS 13 ve macOS 14+ cihazların bir karışımına sahipseniz, aynı profilde her iki kimlik doğrulama ayarını da yapılandırın.
   Ekran Kilitli Davranışı	İşleme	İşlemiyor olarak ayarlandığında istek SSO olmadan devam eder.
   Kullanıcı Eşlemesine> BelirteçHesap Adı	preferred_username	Bu değeri kopyalayıp ayara yapıştırın. Bu belirteç, macOS hesabının Hesap Adı değeri için Microsoft Entra preferred_username öznitelik değerinin kullanıldığını belirtir.
   Kullanıcı Eşlemesine> BelirteçTam Ad	name	Bu değeri kopyalayıp ayara yapıştırın. Bu belirteç, macOS hesabının Tam Ad değeri için Microsoft Entra name talebi kullanıldığını belirtir.
   Takım Tanımlayıcısı	UBF8T346G9	Bu değeri kopyalayıp ayara yapıştırın. Bu tanımlayıcı, Kurumsal SSO eklentisi uygulama uzantısının ekip tanımlayıcısıdır.
   Tür	Yönlendirme
   Url 'leri	Aşağıdaki TÜM URL'leri kopyalayıp yapıştırın: https://login.microsoftonline.com https://login.microsoft.com https://sts.windows.net Ortamınızın Azure Kamu veya Azure China 21Vianet gibi bağımsız bulut etki alanlarına izin vermesi gerekiyorsa aşağıdaki URL'leri de ekleyin: https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn https://login.microsoftonline.us https://login-us.microsoftonline.com	Bu URL ön ekleri, SSO uygulama uzantıları kullanan kimlik sağlayıcılarıdır. URL'ler yeniden yönlendirme yükleri için gereklidir ve kimlik bilgisi yükleri için yoksayılır. Bu URL'ler hakkında daha fazla bilgi için Apple cihazları için Microsoft Enterprise SSO eklentisi'ne gidin.

   Önemli

   Ortamınızda macOS 13 ve macOS 14+ cihazların bir karışımı varsa, aynı profilde Platform SSO>Kimlik Doğrulama Yöntemi ve Kimlik Doğrulama Yöntemi (Kullanım dışı) kimlik doğrulama ayarlarını yapılandırın.

   Profil hazır olduğunda aşağıdaki örneğe benzer:

   

9. İleri'yi seçin.

10. Kapsam etiketleri’nde (isteğe bağlı), profili US-NC IT Team veya JohnGlenn_ITDepartment gibi belirli BT gruplarına göre filtrelemek için bir etiket atayın. Kapsam etiketleri hakkında daha fazla bilgi için Bkz. Dağıtılmış BT için RBAC rollerini ve kapsam etiketlerini kullanma.

    İleri'yi seçin.

11. Atamalar'da profilinizi alan kullanıcı veya cihaz gruplarını seçin. Kullanıcı benzitesine sahip cihazlar için kullanıcılara veya kullanıcı gruplarına atayın. Kullanıcı benşimi olmadan kaydedilmiş birden çok kullanıcısı olan cihazlar için cihazlara veya cihaz gruplarına atayın.

    Önemli

    Kullanıcı bencesiliği olan cihazlarda Platform SSO ayarları için cihaz gruplarına veya filtrelere atanması desteklenmez. Cihaz grubu atamasını veya kullanıcı grubu atamasını kullanıcı benzimliği olan cihazlarda filtrelerle kullandığınızda, kullanıcı Koşullu Erişim ile korunan kaynaklara erişemeyebilir. Bu sorun oluşabilir:

    • Platform SSO ayarları yanlış uygulanmışsa veya
    • Platform SSO etkinleştirilmediğinde Şirket Portalı uygulaması Microsoft Entra cihaz kaydını atlarsa

    Profil atama hakkında daha fazla bilgi için Kullanıcı ve cihaz profilleri atama bölümüne gidin.

    İleri'yi seçin.

12. Gözden geçir ve oluştur bölümünde ayarlarınızı gözden geçirin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, profiller listesinde de gösterilir.

Cihaz, yapılandırma güncelleştirmelerini bir sonraki sefer denetlediğinde, yapılandırdığınız ayarlar uygulanır.

Daha fazla bilgi

• Eklenti hakkında daha fazla bilgi edinmek için Apple cihazları için Microsoft Enterprise SSO eklentisi'ne gidin.
• Genişletilebilir Çoklu Oturum Açma uzantısının yük ayarları hakkında ayrıntılı bilgi için Apple cihazları için Genişletilebilir Çoklu Oturum Açma MDM yük ayarlarına gidin (Apple'ın web sitesini açar).

3. Adım - macOS için Şirket Portalı uygulamasını dağıtma

macOS için Şirket Portalı uygulaması Microsoft Enterprise SSO eklentisini dağıtır ve yükler. Bu eklenti Platform SSO'ya olanak tanır.

Intune kullanarak Şirket Portalı uygulamasını ekleyebilir ve macOS cihazlarınıza gerekli bir uygulama olarak dağıtabilirsiniz:

• macOS için Şirket Portalı uygulamasını ekleme adımları listeler.
• Şirket Portalı uygulamasını kuruluş bilgilerinizi içerecek şekilde yapılandırın (isteğe bağlı). Adımlar için Intune Şirket Portalı uygulamaları, Şirket Portalı web sitesini ve Intune uygulamasını yapılandırma bölümüne gidin.

Uygulamayı Platform SSO için yapılandırmaya yönelik belirli bir adım yoktur. En son Şirket Portalı uygulamasının Intune eklendiğinden ve macOS cihazlarınıza dağıtıldığından emin olun.

Şirket Portalı uygulamasının eski bir sürümü yüklüyse Platform SSO başarısız olur.

4. Adım - Cihazları kaydetme ve ilkeleri uygulama

Platform SSO'sunun kullanılabilmesi için cihazların aşağıdaki yöntemlerden biri kullanılarak Intune MDM'ye kaydedilmiş olması gerekir:

• Kuruluşa ait cihazlar için şunları yapabilirsiniz:

  • Apple Business Manager veya Apple School Manager kullanarak otomatik cihaz kayıt ilkesi oluşturun.
  • Apple Configurator kullanarak bir Doğrudan kayıt ilkesi oluşturun.

• Kişisel cihazlar için bir Cihaz kayıt ilkesi oluşturun. Bu kayıt yöntemiyle, son kullanıcılar Şirket Portalı uygulamasını açar ve Microsoft Entra ID ile oturum açar. Başarıyla oturum açtıklarında kayıt ilkesi uygulanır.

Yeni cihazlar için, kayıt ilkesi de dahil olmak üzere tüm gerekli ilkeleri önceden oluşturmanızı ve yapılandırmanızı öneririz. Ardından, cihazlar Intune kaydolduğunda ilkeler otomatik olarak uygulanır.

Intune zaten kayıtlı olan mevcut cihazlar için Platform SSO ilkesini kullanıcılarınıza veya kullanıcı gruplarınıza atayın. Cihazlar Intune hizmetiyle bir sonraki eşitleme veya iade işlemi için oluşturduğunuz Platform SSO ilke ayarlarını alır.

5. Adım - Cihazı kaydetme

Cihaz ilkeyi aldığında, Bildirim Merkezi'nde görüntülenen bir Kayıt gerekli bildirimi vardır.

• Son kullanıcılar bu bildirimi seçer, kuruluş hesaplarıyla Microsoft Entra ID eklentisinde oturum açar ve gerekirse çok faktörlü kimlik doğrulamasını (MFA) tamamlar.

  Not

  MFA, Microsoft Entra bir özelliğidir. Kiracınızda MFA'nın etkinleştirildiğinden emin olun. Diğer uygulama gereksinimleri de dahil olmak üzere daha fazla bilgi için çok faktörlü kimlik doğrulaması Microsoft Entra bölümüne gidin.

• Başarıyla kimlik doğrulaması yaptıklarında cihaz Microsoft Entra kuruluşa katılır ve çalışma alanına katılma (WPJ) sertifikası cihaza bağlanır.

Aşağıdaki makalelerde kayıt yöntemine bağlı olarak kullanıcı deneyimi gösterilir:

• Microsoft Entra ID ile bir Mac cihazına katılın.
• macOS Platform SSO ile OOBE sırasında Microsoft Entra ID ile bir Mac cihazına katılın.

6. Adım - Cihazdaki ayarları onaylayın

Platform SSO kaydı tamamlandığında Platform SSO'nun yapılandırıldığını onaylayabilirsiniz. Adımlar için Microsoft Entra ID - Cihaz kayıt durumunuzu denetleyin bölümüne gidin.

Kayıtlı Intune cihazlarda Ayarlar>Gizlilik ve güvenlik>Profilleri'ne de gidebilirsiniz. Platform SSO profiliniz altında com.apple.extensiblesso Profilegösterilir. URL'ler de dahil olmak üzere yapılandırdığınız ayarları görmek için profili seçin.

Platform SSO sorunlarını gidermek için macOS Platform çoklu oturum açma bilinen sorunları ve sorun giderme bölümüne gidin.

7. Adım - Mevcut SSO uygulama uzantısı profillerinin atamasını kaldırma

Ayarlar kataloğu ilkenizin çalıştığını onayladıktan sonra, Intune Cihaz Özellikleri şablonu kullanılarak oluşturulan mevcut SSO uygulama uzantısı profillerinin atamasını kaldırın.

her iki ilkeyi de saklarsanız çakışmalar oluşabilir.

Diğer MDM'ler

MDM, Platform SSO'larını destekliyorsa, Platform SSO'larını diğer mobil cihaz yönetim hizmetleriyle (MDM'ler) yapılandırabilirsiniz. Başka bir MDM hizmeti kullanırken aşağıdaki kılavuzu kullanın:

• Bu makalede listelenen ayarlar, yapılandırmanız gereken Microsoft tarafından önerilen ayarlardır. Bu makaledeki ayar değerlerini MDM hizmet ilkenizde kopyalayabilir/yapıştırabilirsiniz.

  MDM hizmetinizdeki yapılandırma adımları farklı olabilir. Bu Platform SSO ayarlarını doğru yapılandırmak ve dağıtmak için MDM hizmet satıcınızla birlikte çalışmanızı öneririz.

• Platform SSO ile cihaz kaydı daha güvenlidir ve donanıma bağlı cihaz sertifikaları kullanır. Bu değişiklikler , cihaz uyumluluk iş ortaklarıyla tümleştirme gibi bazı MDM akışlarını etkileyebilir.

  MDM'nin Platform SSO'sunu test edip etmediğini, yazılımlarının Platform SSO ile düzgün çalıştığını ve Platform SSO kullanan müşterileri desteklemeye hazır olup olmadığını anlamak için MDM hizmet satıcınızla konuşmalısınız.

Yaygın hatalar

Platform SSO'sunu yapılandırırken aşağıdaki hataları görebilirsiniz:

• 10001: misconfiguration in the SSOe payload.

  Aşağıdaki durumlarda bu hata oluşabilir:

  • Ayarlar kataloğu profilinde yapılandırılmamış gerekli bir ayar vardır.
  • Yapılandırdığınız ayarlar kataloğu profilinde , yeniden yönlendirme türü yükü için geçerli olmayan bir ayar vardır.

  Ayarlar kataloğu profilinde yapılandırdığınız kimlik doğrulama ayarları macOS 13.x ve 14.x cihazları için farklıdır.

  Ortamınızda macOS 13 ve macOS 14 cihazları varsa, bir ayar kataloğu ilkesi oluşturmanız ve aynı ilkede ilgili kimlik doğrulama ayarlarını yapılandırmanız gerekir. Bu bilgiler, Intune'da 2. Adım - Platform SSO ilkesi oluşturma bölümünde belgelenmiştir (bu makalede).

• 10002: multiple SSOe payloads configured.

  Cihaza birden çok SSO uzantısı yükü uygulanıyor ve çakışıyor. Cihazda yalnızca bir uzantı profili olmalıdır ve bu profil ayarlar kataloğu profili olmalıdır.

  Daha önce Cihaz Özellikleri şablonunu kullanarak bir SSO uygulama uzantısı profili oluşturduysanız bu profilin atamasını kaldırın. Ayarlar kataloğu profili, cihaza atanması gereken tek profildir.

İlgili makaleler

• macOS cihazları için yaygın Platform SSO senaryoları
• macOS Platformu Çoklu Oturum Açma'ya genel bakış
• Microsoft Enterprise SSO eklentisi
• macOS cihazlarda Microsoft Enterprise SSO uygulama uzantısını kullanma
• Birincil Yenileme Belirteci (PRT) nedir?
• macOS Platformu çoklu oturum açma ile ilgili bilinen sorunlar ve sorun giderme