Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
macOS cihazlarda Platform SSO'sunu, Microsoft Entra hesaplarınızla çoklu oturum açmayı (SSO) etkinleştirecek şekilde yapılandırabilirsiniz. Platform SSO kullanıcıları, kimlik bilgilerini tekrar tekrar girmelerine gerek kalmadan macOS cihazlarında kaynaklara erişebilir.
Platform SSO'sını yapılandırırken, şirket içi kaynaklar için Kerberos SSO kimlik doğrulamasını kullanmak, biyometri ile güvenliği artırmak, Microsoft dışı uygulamalarda SSO'yı etkinleştirmek ve kullanıcı deneyimini geliştirmek için bu makalede açıklanan senaryoları kullanın.
Bu özellik şu platformlarda geçerlidir:
- macOS
Başlamadan önce
Bu makaledeki senaryoları yapılandırmadan önce Microsoft Intune'da macOS cihazları için Platform SSO'larını yapılandırmanız gerekir. Yapılandırdığınızda, bu makalede açıklanan senaryoları eklemek için kullandığınız bir Platform SSO ayarları katalog ilkesi oluşturursunuz.
Gruplarınıza yalnızca bir SSO ilkesi atayabilirsiniz. Dolayısıyla Platform SSO'yu zaten yapılandırdıysanız, bu senaryo ayarlarını mevcut Platform SSO ayarları katalog ilkenize ekleyin.
Mevcut ayarlar kataloğu ilkenizi güncelleştirmek için en azından Microsoft Intune yönetim merkezinde aşağıdaki Intune izinlerine sahip bir hesapla oturum açın:
- Cihaz Yapılandırması Okuma, Oluşturma, Güncelleştirme ve Atama izinleri
Bazı yerleşik roller, yerleşik İlke ve Profil Yöneticisi Intune rolü de dahil olmak üzere bu izinlere sahiptir. Intune RBAC rolleri hakkında daha fazla bilgi için bkz. Microsoft Intune ile rol tabanlı erişim denetimi (RBAC).
Kerberos SSO'nun şirket içi Active Directory ve Microsoft Entra ID için etkinleştirme
Şunlar için geçerlidir:
- Şirket Portalı sürüm 2508 ve daha yenisi
şirket içi ve bulut tabanlı Kerberos Anahtar Verme Biletleri (TGT) sorunları Microsoft Entra. Platform SSO kullanarak, bu TGT'leri Apple'ın Kerberos SSO uzantısını kullanarak (Apple'ın web sitesini açar) şirket içi Active Directory ve Microsoft Entra ID erişmek için yapılandırabilirsiniz.
Kullanıcılarınızın Kerberos kimlik doğrulamasını kullanan şirket içi ve bulut kaynaklarına SSO erişimine sahip olmasını istiyorsanız, bu senaryo tam size göre. Microsoft Entra'da Kerberos SSO hakkında daha fazla bilgi edinmek için bkz. Kerberos SSO'nun Platform SSO'da Kerberos kaynaklarını şirket içi Active Directory ve Microsoft Entra ID için Kerberos SSO'larını etkinleştirme.
Mevcut Platform SSO ayarları katalog ilkenize Uzantı Verileri ayarını ekleyin. Uzantı Verileri ayarı, açık metin alanına benzer bir kavramdır; ihtiyacınız olan tüm değerleri yapılandırabilirsiniz.
Mevcut Platform SSO ayarları katalog ilkenize Uzantı Verileri ekleyin:
Intune yönetim merkezinde (Cihazlar Cihazları>>YönetirYapılandırması), mevcut Platform SSO ayarları katalog ilkenizi seçin.
Özellikler>Yapılandırma ayarları'ndaEkle ayarlarınıdüzenle'yi> seçin.
Ayarlar seçicide Kimlik Doğrulaması'nı genişletin ve Genişletilebilir Çoklu Oturum Açma (SSO) öğesini seçin:
Listede Uzantı Verileri'ni seçin ve ayarlar seçicisini kapatın:
Uzantı Verileri'nde aşağıdaki anahtarı ve tercih ettiğiniz değeri ekleyin. Anahtar için yalnızca bir değer girin.
Tuş Tür Değer Açıklama custom_tgt_setting Tamsayı 0Hem Şirket İçi hem de Bulut TGT'leri (varsayılan) – Hem şirket içi hem de bulut TGT'lerini eşler. 1Yalnızca Şirket İçi TGT – Yalnızca şirket içi TGT'yi eşler. 2Yalnızca Bulut TGT – Yalnızca bulut tabanlı TGT'yi eşler. 3TGT Yok – TGT eşlemesini tamamen devre dışı bırakır. Değişikliklerinizi kaydetmek için İleri'yi seçin ve ilkeyi tamamlayın. İlke kullanıcılara veya gruplara zaten atanmışsa, bu gruplar Intune hizmetiyle bir sonraki eşitlemelerinde ilke değişikliklerini alır.
Güvenli Kapanım kimlik doğrulaması ile Touch ID biyometrik ilkesini yapılandırma
Touch ID biyometrik kimlik doğrulamasını destekleyen cihazlarda, Microsoft Intune macOS cihazları için Platform SSO'sunu yapılandırma başlığı altında açıklandığı gibi Güvenli Kapanım kimlik doğrulaması seçeneğini kullanabilirsiniz.
Bu ilke, Kullanıcı Güvenli Kapanım Anahtarına her erişilmesi gerektiğinde kullanıcıların Touch ID ile kimlik doğrulaması yapmalarını gerektirir. hakkında UserSecureEnclaveKeyBiometricPolicydaha fazla bilgi edinmek için bkz . UserSecureEnclaveKeyBiometricPolicy.
Uzantı Verileri ayarını mevcut Platform SSO ayarları katalog ilkenize ekleyin.
Mevcut Platform SSO ayarları katalog ilkenize Uzantı Verileri ekleyin:
Intune yönetim merkezinde (Cihazlar Cihazları>>YönetirYapılandırması), mevcut Platform SSO ayarları katalog ilkenizi seçin.
Özellikler>Yapılandırma ayarları'ndaEkle ayarlarınıdüzenle'yi> seçin.
Ayarlar seçicide Kimlik Doğrulaması'nı genişletin ve Genişletilebilir Çoklu Oturum Açma (SSO) öğesini seçin:
Listede Uzantı Verileri'ni seçin ve ayarlar seçicisini kapatın:
Uzantı Verileri'nde aşağıdaki anahtarı ve değeri ekleyin:
Tuş Tür Değer Açıklama enable_se_key_biometric_policy Boole True Bu değeri kopyalayıp yapıştırın. Değişikliklerinizi kaydetmek için İleri'yi seçin ve ilkeyi tamamlayın. İlke kullanıcılara veya gruplara zaten atanmışsa, bu gruplar Intune hizmetiyle bir sonraki eşitlemelerinde ilke değişikliklerini alır.
Microsoft Kurumsal SSO Uzantısı ile Microsoft dışı uygulamalar için SSO'yi etkinleştirme
Daha önce Microsoft Kurumsal SSO Uzantısı'nı kullandıysanız ve/veya Microsoft dışı uygulamalarda SSO'yu etkinleştirmek istiyorsanız Uzantı Verileri ayarını mevcut Platform SSO ayarları katalog ilkenize ekleyin.
Bu senaryoda Uzantı Verileri ayarını kullanarak şunları yapacağız:
- Önceki Microsoft Enterprise SSO Uzantısı Intune ilkenizde kullandığınız ayarları yapılandırın.
- Microsoft dışı uygulamaların SSO kullanmasına izin veren ayarları yapılandırın.
Bu senaryoda eklemeniz gereken en düşük önerilen ayarlar listelenir. Önceki bir Microsoft Enterprise SSO Uzantısı ilkeniz varsa, daha fazla ayar yapılandırmış olabilirsiniz. Önceki Microsoft Enterprise SSO Uzantısı ilkenizde yapılandırdığınız diğer anahtar & değer çifti ayarlarını eklemenizi öneririz.
Microsoft dışı uygulamalar için SSO desteğini yapılandırma da dahil olmak üzere SSO ayarlarını yapılandırmak için yaygın olarak aşağıdaki ayarlar önerilir.
Mevcut Platform SSO ayarları katalog ilkenize Uzantı Verileri ekleyin:
Intune yönetim merkezinde (Cihazlar Cihazları>>YönetirYapılandırması), mevcut Platform SSO ayarları katalog ilkenizi seçin.
Özellikler>Yapılandırma ayarları'ndaEkle ayarlarınıdüzenle'yi> seçin.
Ayarlar seçicide Kimlik Doğrulaması'nı genişletin ve Genişletilebilir Çoklu Oturum Açma (SSO) öğesini seçin:
Listede Uzantı Verileri'ni seçin ve ayarlar seçicisini kapatın:
Uzantı Verileri'nde aşağıdaki anahtarları ve değerleri ekleyin:
Tuş Tür Değer Açıklama AppPrefixAllowList Dize com.microsoft.,com.apple.Bu değeri kopyalayıp ayara yapıştırın.
AppPrefixAllowList , SSO kullanabilen uygulamalarla uygulama satıcılarının listesini oluşturmanıza olanak tanır. Gerektiğinde bu listeye daha fazla uygulama satıcısı ekleyebilirsiniz.browser_sso_interaction_enabled Tamsayı 1Önerilen aracı ayarını yapılandırıyor. disable_explicit_app_prompt Tamsayı 1Önerilen aracı ayarını yapılandırıyor. Aşağıdaki örnekte önerilen yapılandırma gösterilmektedir:
Değişikliklerinizi kaydetmek için İleri'yi seçin ve ilkeyi tamamlayın. İlke kullanıcılara veya gruplara zaten atanmışsa, bu gruplar Intune hizmetiyle bir sonraki eşitlemelerinde ilke değişikliklerini alır.
Kurulum Yardımcısı ile Otomatik Cihaz Kaydı sırasında Platform SSO ilkesi uygulama
MacOS cihazlarını Otomatik Cihaz Kaydı (ADE) kullanarak kaydettiğinizde, Kurulum Yardımcısı deneyimi sırasında Platform SSO ilkesini uygulayabilirsiniz. Kullanıcılar masaüstüne ulaştığında cihazda daha tümleşik bir oturum açma deneyimine sahip olur ve Microsoft Entra ID kaynaklarına hemen erişebilir.
Daha fazla bilgi için bkz . MacOS cihazları için Otomatik Cihaz Kaydı sırasında Platform Tek Sign-On (PSSO) yapılandırma.
Son kullanıcı deneyimi ayarları
Son kullanıcı deneyimini özelleştiren ve kullanıcı ayrıcalıkları üzerinde daha ayrıntılı denetim sağlayan bazı ayarlar vardır. Belgelenmemiş Platform SSO ayarları desteklenmez.
Mevcut Platform SSO ayarları kataloğu ilkenizde aşağıdaki isteğe bağlı ayarları kullanın:
| Platform SSO ayarları | Olası değerler | Kullanım |
|---|---|---|
| Hesap Görünen Adı | Herhangi bir dize değeri | Platform SSO bildirimlerinde son kullanıcıların gördüğü kuruluş adını özelleştirin. |
| Oturum açma sırasında kullanıcı oluşturma özelliğini etkinleştirme | Etkinleştirme veya Devre Dışı Bırakma | Kuruluş kullanıcılarının Microsoft Entra kimlik bilgilerini kullanarak cihazda oturum açmasına izin verin. Yeni yerel hesaplar oluşturduğunuzda, sağlanan kullanıcı adı ve parola kullanıcının Microsoft Entra ID UPN'si (user@contoso.com) ve parolası ile aynı olmalıdır. |
| Yeni Kullanıcı Yetkilendirme Modu | Standart, Yönetici veya Gruplar | Hesap Platform SSO kullanılarak oluşturulduğunda kullanıcının oturum açma sırasında sahip olduğu tek seferlik izinler. Şu anda Standart ve Yönetici değerleri desteklenmektedir. Standart modun kullanılabilmesi için cihazda en az bir Yönetici kullanıcı gerekir. |
| Kullanıcı Yetkilendirme Modu | Standart, Yönetici veya Gruplar | Kullanıcının Platform SSO kullanarak kimlik doğrulaması her seferinde oturum açma sırasında sahip olduğu kalıcı izinler. Şu anda Standart ve Yönetici değerleri desteklenmektedir. Standart modun kullanılabilmesi için cihazda en az bir Yönetici kullanıcı gerekir. |
| Platform Dışı SSO Hesapları | Platform SSO'sunun dışında tutmak istediğiniz yerel hesap adlarını girin. | Bu yerel hesap listesinde Platform SSO'ya kaydolması istenmez. Bu ayar, yerel yönetici hesabı gibi bir Microsoft Entra hesabına kaydedilmemesi gereken hesaplar için uygundur. Bu ilkede listelenen hesaplar , LoginPolicyveya UnlockPolicyöğesine tabi FileVaultPolicydeğildir. |
| FileVault İlkesi | AttemptAuthentication, RequireAuthentication, AllowOfflineGracePeriod veya AllowAuthenticationGracePeriod | Bir Mac cihazı açıldığında cihazı Microsoft Entra ID parolayı Microsoft Entra ile doğrulamaya zorlamak için AttemptAuthentication kullanın. Bu ayar macOS 15 ve üzeri için geçerlidir. |