Microsoft Intune'da macOS cihazları için Platform SSO'sını yapılandırma

• Şunlara uygulanır:

  ✅ macOS

macOS cihazlarınızda Platform SSO'sunu parolasız kimlik doğrulaması, Microsoft Entra ID kullanıcı hesapları veya akıllı kartları kullanarak çoklu oturum açmayı (SSO) etkinleştirecek şekilde yapılandırabilirsiniz. Platform SSO, Microsoft Enterprise SSO eklentisine ve SSO uygulama uzantısına yönelik bir geliştirmedir. Platform SSO, Microsoft Entra ID kimlik bilgilerini ve Touch ID'lerini kullanarak kullanıcıları yönetilen Mac cihazlarında oturum açabilir.

Bu özellik şu platformlarda geçerlidir:

• macOS

Microsoft Entra ID'deki Microsoft Enterprise SSO eklentisi iki SSO özelliği içerir: Platform SSO ve SSO uygulama uzantısı. Bu makalede, macOS cihazları için Microsoft Entra ID (genel önizleme) ile Platform SSO'sunun yapılandırılması ele alınır.

Platform SSO'nun bazı avantajları şunlardır:

• SSO uygulama uzantısını içerir. SSO uygulama uzantısını ayrı olarak yapılandırmazsınız.
• Mac cihazına donanıma bağlı kimlik avına dayanıklı kimlik bilgileriyle parolasız gidin.
• Oturum açma deneyimi, kullanıcıların İş için Windows Hello'da olduğu gibi bir windows cihazında iş veya okul hesabıyla oturum açmaya benzer.
• Kullanıcıların Microsoft Entra ID kimlik bilgilerini girme sayısını en aza indirmeye yardımcı olur.
• Kullanıcıların hatırlaması gereken parola sayısını azaltmaya yardımcı olur.
• Tüm kuruluş kullanıcılarının cihazda oturum açmasına olanak tanıyan Microsoft Entra katılımının avantajlarından yararlanın.
• Tüm Microsoft Intune lisanslama planlarıyla birlikte.

Mac cihazları bir Microsoft Entra ID kiracıya katıldığında, cihazlar donanıma bağlı ve yalnızca Microsoft Enterprise SSO eklentisi tarafından erişilebilen bir çalışma alanına katılma (WPJ) sertifikası alır. Koşullu Erişim kullanarak korunan kaynaklara erişmek için uygulamalar ve web tarayıcıları bu WPJ sertifikasına ihtiyaç duyar. Platform SSO yapılandırıldığında, SSO uygulama uzantısı Microsoft Entra Id kimlik doğrulaması ve Koşullu Erişim için aracı görevi görür.

Platform SSO'su ayarlar kataloğu kullanılarak yapılandırılabilir. İlke hazır olduğunda, ilkeyi kullanıcılarınıza atarsınız. Microsoft, kullanıcı cihazı Intune'a kaydettiğinde ilkeyi atamanızı önerir. Ancak, mevcut cihazlar da dahil olmak üzere istediğiniz zaman atanabilir.

Bu makalede, Intune'da macOS cihazları için Platform SSO'sunun nasıl yapılandırabileceğiniz gösterilmektedir.

Önkoşullar

• Cihazların macOS 13.0 ve daha yeni bir sürümünü çalıştırıyor olması gerekir.

• Cihazlarda Microsoft Intune Şirket Portalı uygulaması sürüm 5.2404.0 ve daha yeni bir sürüm gereklidir. Bu sürüm Platform SSO'larını içerir.

• Aşağıdaki web tarayıcıları Platform SSO'sunu destekler:

  • Microsoft Edge

  • Microsoft Çoklu Oturum Açma uzantısına sahip Google Chrome

    Bir Intune tercih dosyası (.plist) ilkesi kullanarak bu uzantıyı yüklemeye zorlayabilirsiniz. Dosyanızda .plist, Chrome Kurumsal ilkesi - ExtensionInstallForcelist (Google'ın web sitesini açar) başlığı altında bazı bilgilere ihtiyacınız vardır.

    Uyarı

    GitHub'da ManagedPreferencesApplications örneklerinde örnek .plist dosyalar vardır. Bu GitHub deposu Microsoft'a ait değildir, korunmaz ve oluşturulmaz. Bilgileri kendi riskinizle kullanın.

  • Safari

  Intune'u kullanarak paket () ve disk görüntüsü (.dmg.pkg) dosyaları dahil olmak üzere web tarayıcısı uygulamaları ekleyebilir ve uygulamayı macOS cihazlarınıza dağıtabilirsiniz. Başlamak için Microsoft Intune'a uygulama ekleme bölümüne gidin.

• Platform SSO,gerekli ayarları yapılandırmak için Intune ayarları kataloğunu kullanır. Ayarlar kataloğu ilkesini oluşturmak için microsoft Intune yönetim merkezinde en azından aşağıdaki Intune izinlerine sahip bir hesapla oturum açın:

  • Cihaz Yapılandırması Okuma, Oluşturma, Güncelleştirme ve Atama izinleri

  İlke ve Profil Yöneticisi Intune RBAC rolü de dahil olmak üzere bu izinlere sahip bazı yerleşik roller vardır. Intune'daki RBAC rolleri hakkında daha fazla bilgi için Microsoft Intune ile rol tabanlı erişim denetimi (RBAC) bölümüne gidin.

1. Adım - Kimlik doğrulama yöntemine karar verme

Intune'da platform SSO ilkesini oluşturduğunuzda, kullanmak istediğiniz kimlik doğrulama yöntemine karar vermeniz gerekir.

Platform SSO ilkesi ve kullandığınız kimlik doğrulama yöntemi, kullanıcıların cihazlarda oturum açma şeklini değiştirir.

• Platform SSO'sunu yapılandırdığınızda, kullanıcılar yapılandırdığınız kimlik doğrulama yöntemiyle macOS cihazlarında oturum açar.
• Platform SSO'sunu kullanmadığınızda, kullanıcılar macOS cihazlarında yerel bir hesapla oturum açar. Ardından, Microsoft Entra Kimlikleriyle uygulamalarda ve web sitelerinde oturum açarlar.

Bu adımda, kimlik doğrulama yöntemleriyle arasındaki farkları ve bunların kullanıcı oturum açma deneyimini nasıl etkilediğini öğrenmek için bu bilgileri kullanın.

İpucu

Microsoft, Platform SSO'sunu yapılandırırken kimlik doğrulama yöntemi olarak Secure Enclave kullanılmasını önerir.

Özellik	Güvenli Kapanım	Akıllı Kart	Password
Parolasız (kimlik avına dayanıklı)	✅	✅	❌
Kilidi açmak için desteklenen TouchID	✅	✅	✅
Geçiş anahtarı olarak kullanılabilir	✅	❌	❌
Kurulum için MFA zorunlu Çok faktörlü kimlik doğrulaması (MFA) her zaman önerilir	✅	✅	❌
Yerel Mac parolası Entra ID ile eşitlendi	❌	❌	✅
macOS 13.x + sürümünde desteklenir	✅	❌	✅
macOS 14.x + sürümünde desteklenir	✅	✅	✅
İsteğe bağlı olarak, yeni kullanıcıların Entra Id kimlik bilgileriyle (macOS 14.x +) oturum açmasına izin verin	✅	✅	✅

Güvenli Kapanım

Platform SSO'sunu Güvenli Kapanım kimlik doğrulama yöntemiyle yapılandırdığınızda, SSO eklentisi donanıma bağlı şifreleme anahtarlarını kullanır. Kullanıcıların kimliklerini uygulamalarda ve web sitelerinde doğrulamak için Microsoft Entra kimlik bilgilerini kullanmaz.

Güvenli Kapanım hakkında daha fazla bilgi için Güvenli Kapanım'a gidin (Apple'ın web sitesini açar).

Güvenli Kapanım:

• Parolasız olarak kabul edilir ve kimlik avına dayanıklı çok faktörlü (MFA) gereksinimlerini karşılar. Kavramsal olarak İş İçin Windows Hello'ya benzer. Koşullu Erişim gibi İş İçin Windows Hello ile aynı özellikleri de kullanabilir.
• Yerel hesabın kullanıcı adını ve parolasını olduğu gibi bırakır. Bu değerler değiştirilmez.

  Not

  Bu davranış, Apple'ın kilit açma anahtarı olarak yerel parolayı kullanan FileVault disk şifrelemesi nedeniyle tasarım gereğidir.

• Cihaz yeniden başlatıldıktan sonra kullanıcıların yerel hesap parolasını girmesi gerekir. Bu ilk makinenin kilidini açtıktan sonra cihazın kilidini açmak için Touch ID kullanılabilir.
• Kilidi açtıktan sonra cihaz, cihaz genelinde SSO için donanım destekli Birincil Yenileme Belirtecini (PRT) alır.
• Web tarayıcılarında bu PRT anahtarı WebAuthN API'leri kullanılarak geçiş anahtarı olarak kullanılabilir.
• Kurulumu, MFA kimlik doğrulaması veya Microsoft Geçici Erişim Geçişi (TAP) için bir kimlik doğrulama uygulamasıyla önyüklenebilir.
• Microsoft Entra ID geçiş anahtarlarının oluşturulmasını ve kullanımını etkinleştirir.

Password

Platform SSO'sunu Parola kimlik doğrulama yöntemiyle yapılandırdığınızda, kullanıcılar cihazda yerel hesap parolaları yerine Microsoft Entra ID kullanıcı hesaplarıyla oturum açar.

Bu seçenek, kimlik doğrulaması için Microsoft Entra Id kullanan uygulamalar arasında SSO'ya olanak tanır.

Parola kimlik doğrulama yöntemiyle:

• Microsoft Entra Id parolası yerel hesap parolasının yerini alır ve iki parola eşitlenmiş olarak tutulur.

  Not

  Yerel hesap makinesi parolası cihazdan tamamen kaldırılmaz. Bu davranış, Apple'ın kilit açma anahtarı olarak yerel parolayı kullanan FileVault disk şifrelemesi nedeniyle tasarım gereğidir.

• Yerel hesap kullanıcı adı değiştirilmez ve olduğu gibi kalır.

• Son kullanıcılar cihazda oturum açmak için Touch ID kullanabilir.

• Kullanıcıların ve yöneticilerin hatırlaması ve yönetmesi için daha az parola vardır.

• Bir cihaz yeniden başlatıldıktan sonra kullanıcıların Microsoft Entra ID parolalarını girmeleri gerekir. Bu ilk makinenin kilidini açtıktan sonra Touch ID cihazın kilidini açabilir.

• Kilidi açtıktan sonra cihaz, Microsoft Entra Id SSO için donanıma bağlı Birincil Yenileme Belirteci (PRT) kimlik bilgilerini alır.

Not

Yapılandırdığınız tüm Intune parola ilkeleri de bu ayarı etkiler. Örneğin, basit parolaları engelleyen bir parola ilkeniz varsa, bu ayar için basit parolalar da engellenir.

Intune parola ilkenizin ve/veya uyumluluk ilkenizin Microsoft Entra parola ilkenizle eşleştiğinden emin olun. İlkeler eşleşmiyorsa parola eşitlenmeyebilir ve son kullanıcıların erişimi reddedilir.

Akıllı Kart

Platform SSO'sunu Akıllı kart kimlik doğrulama yöntemiyle yapılandırdığınızda, kullanıcılar cihazda oturum açmak ve uygulamalarda ve web sitelerinde kimlik doğrulaması yapmak için akıllı kart sertifikasını ve ilişkili PIN'i kullanabilir.

Bu seçenek:

• Parolasız olarak kabul edilir.
• Yerel hesabın kullanıcı adını ve parolasını olduğu gibi bırakır. Bu değerler değiştirilmez.

Daha fazla bilgi için iOS ve macOS üzerinde Microsoft Entra sertifika tabanlı kimlik doğrulaması bölümüne gidin.

2. Adım - Intune'da Platform SSO ilkesi oluşturma

Platform SSO ilkesini yapılandırmak için aşağıdaki adımları kullanarak bir Intune ayarları katalog ilkesi oluşturun. Microsoft Enterprise SSO eklentisi listelenen ayarları gerektirir.

• Eklenti hakkında daha fazla bilgi edinmek için Apple cihazları için Microsoft Enterprise SSO eklentisi'ne gidin.
• Genişletilebilir Çoklu Oturum Açma uzantısının yük ayarları hakkında ayrıntılı bilgi için Apple cihazları için Genişletilebilir Çoklu Oturum Açma MDM yük ayarlarına gidin (Apple'ın web sitesini açar).

İlkeyi oluşturun:

1. Microsoft Intune yönetim merkezinde oturum açın.

2. Cihazlar>Cihazları yönet>Yapılandırma>Oluştur>Yeni ilkeyi seçin.

3. Aşağıdaki özellikleri girin:

   • Platform: macOS'yi seçin.
   • Profil türü: Ayarlar kataloğu'nu seçin.

4. Oluştur’u seçin.

5. Temel Bilgiler’de aşağıdaki özellikleri girin:

   • Ad: İlke için açıklayıcı bir ad girin. İlkelerinizi daha sonra kolayca tanıyacak şekilde adlandırın. Örneğin, ilkeyi macOS - Platform SSO olarak adlandırın.
   • Açıklama: İlke için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

6. İleri'yi seçin.

7. Yapılandırma ayarları'ndaAyarlar ekle'yi seçin. Ayarlar seçicide Kimlik Doğrulaması'nı genişletin ve Genişletilebilir Çoklu Oturum Açma (SSO) seçeneğini belirleyin:

   

   Listede aşağıdaki ayarları seçin:

   • Kimlik Doğrulama Yöntemi (Kullanım Dışı) (yalnızca macOS 13)
   • Uzantı Tanımlayıcısı
   • Platform SSO'sını genişletin:
     • Kimlik Doğrulama Yöntemi (macOS 14+) seçeneğini belirleyin
     • Belirteci Kullanıcı Eşlemesi'ne seçme
     • Paylaşılan Cihaz Anahtarlarını Kullan'ı seçin
   • Kayıt Belirteci
   • Ekran Kilitli Davranışı
   • Takım Tanımlayıcısı
   • Tür
   • URL'ler

   Ayarlar seçiciyi kapatın.

   İpucu

   İlkede yapılandırabileceğiniz daha fazla Platform SSO ayarı vardır:

   • Microsoft dışı uygulamalar ve Microsoft Enterprise SSO Uzantısı ayarları (bu makalede)
   • Son kullanıcı deneyimi ayarları (bu makalede)

8. Aşağıdaki gerekli ayarları yapılandırın:

   Name	Yapılandırma değeri	Açıklama
   Kimlik Doğrulama Yöntemi (Kullanım Dışı) (yalnızca macOS 13)	Parola veya UserSecureEnclave	1. Adım - Kimlik doğrulama yöntemine karar verin (bu makalede) bölümünde seçtiğiniz Platform SSO kimlik doğrulama yöntemini seçin. Bu ayar yalnızca macOS 13 için geçerlidir. macOS 14.0 ve üzeri için Platform SSO>Kimlik Doğrulama Yöntemi ayarını kullanın.
   Uzantı Tanımlayıcısı	com.microsoft.CompanyPortalMac.ssoextension	Bu değeri kopyalayıp ayara yapıştırın. Bu kimlik, SSO'nun çalışması için profilin ihtiyaç duyduğu SSO uygulama uzantısıdır. Uzantı Tanımlayıcısı ve Takım Tanımlayıcısı değerleri birlikte çalışır.
   Platform SSO>Kimlik Doğrulama Yöntemi (macOS 14+)	Parola, UserSecureEnclave veya SmartCard	1. Adım - Kimlik doğrulama yöntemine karar verin (bu makalede) bölümünde seçtiğiniz Platform SSO kimlik doğrulama yöntemini seçin. Bu ayar macOS 14 ve üzeri için geçerlidir. macOS 13 için Kimlik Doğrulama Yöntemi (Kullanım dışı) ayarını kullanın.
   Platform SSO>Paylaşılan Cihaz Anahtarlarını Kullanma(macOS 14+)	Etkin	Etkinleştirildiğinde, Platform SSO aynı cihazdaki tüm kullanıcılar için aynı imzalama ve şifreleme anahtarlarını kullanır. macOS 13.x'ten 14.x'e yükselten kullanıcılardan yeniden kaydolmaları istenir.
   Kayıt belirteci	{{DEVICEREGISTRATION}}	Bu değeri kopyalayıp ayara yapıştırın. Küme ayraçlarını eklemeniz gerekir. Bu kayıt belirteci hakkında daha fazla bilgi edinmek için Microsoft Entra cihaz kaydını yapılandırma konusuna gidin. Bu ayar, ayarı da yapılandırmanızı AuthenticationMethod gerektirir. - Yalnızca macOS 13 cihazları kullanıyorsanız Kimlik Doğrulama Yöntemi (Kullanım Dışı) ayarını yapılandırın. - Yalnızca macOS 14+ cihazları kullanıyorsanız Platform SSO>Kimlik Doğrulama Yöntemi ayarını yapılandırın. - macOS 13 ve macOS 14+ cihazların bir karışımına sahipseniz, aynı profilde her iki kimlik doğrulama ayarını da yapılandırın.
   Ekran Kilitli Davranışı	İşleme	İşlemiyor olarak ayarlandığında istek SSO olmadan devam eder.
   Kullanıcı Eşlemesine> BelirteçHesap Adı	preferred_username	Bu değeri kopyalayıp ayara yapıştırın. Bu belirteç, macOS hesabının Hesap Adı değeri için Entra preferred_username özniteliği değerinin kullanıldığını belirtir.
   Kullanıcı Eşlemesine> BelirteçTam Ad	name	Bu değeri kopyalayıp ayara yapıştırın. Bu belirteç, MacOS hesabının Tam Ad değeri için Entra name talebi kullanıldığını belirtir.
   Takım Tanımlayıcısı	UBF8T346G9	Bu değeri kopyalayıp ayara yapıştırın. Bu tanımlayıcı, Kurumsal SSO eklentisi uygulama uzantısının ekip tanımlayıcısıdır.
   Tür	Yönlendirme
   URL'ler	Aşağıdaki TÜM URL'leri kopyalayıp yapıştırın: https://login.microsoftonline.com https://login.microsoft.com https://sts.windows.net Ortamınızın Azure Kamu veya Azure China 21Vianet gibi bağımsız bulut etki alanlarına izin sağlaması gerekiyorsa aşağıdaki URL'leri de ekleyin: https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn https://login.microsoftonline.us https://login-us.microsoftonline.com	Bu URL ön ekleri, SSO uygulama uzantıları kullanan kimlik sağlayıcılarıdır. URL'ler yeniden yönlendirme yükleri için gereklidir ve kimlik bilgisi yükleri için yoksayılır. Bu URL'ler hakkında daha fazla bilgi için Apple cihazları için Microsoft Enterprise SSO eklentisi'ne gidin.

   Önemli

   Ortamınızda macOS 13 ve macOS 14+ cihazların bir karışımı varsa, aynı profilde Platform SSO>Kimlik Doğrulama Yöntemi ve Kimlik Doğrulama Yöntemi (Kullanım dışı) kimlik doğrulama ayarlarını yapılandırın.

   Profil hazır olduğunda aşağıdaki örneğe benzer:

   

9. İleri'yi seçin.

10. Kapsam etiketleri’nde (isteğe bağlı), profili US-NC IT Team veya JohnGlenn_ITDepartment gibi belirli BT gruplarına göre filtrelemek için bir etiket atayın. Kapsam etiketleri hakkında daha fazla bilgi için Bkz. Dağıtılmış BT için RBAC rollerini ve kapsam etiketlerini kullanma.

    İleri'yi seçin.

11. Atamalar'da profilinizi alan kullanıcı veya cihaz gruplarını seçin. Kullanıcı benzitesine sahip cihazlar için kullanıcılara veya kullanıcı gruplarına atayın. Kullanıcı benşimi olmadan kaydedilmiş birden çok kullanıcısı olan cihazlar için cihazlara veya cihaz gruplarına atayın.

    Profil atama hakkında daha fazla bilgi için Kullanıcı ve cihaz profilleri atama bölümüne gidin.

    İleri'yi seçin.

12. Gözden geçir ve oluştur bölümünde ayarlarınızı gözden geçirin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, profiller listesinde de gösterilir.

Cihaz, yapılandırma güncelleştirmelerini bir sonraki sefer denetlediğinde, yapılandırdığınız ayarlar uygulanır.

3. Adım - macOS için Şirket Portalı uygulamasını dağıtma

macOS için Şirket Portalı uygulaması, Microsoft Enterprise SSO eklentisini dağıtır ve yükler. Bu eklenti Platform SSO'ya olanak tanır.

Intune kullanarak Şirket Portalı uygulamasını ekleyebilir ve macOS cihazlarınıza gerekli bir uygulama olarak dağıtabilirsiniz:

• macOS için Şirket Portalı uygulamasını ekleme adımları listeler.
• Şirket Portalı uygulamasını kuruluş bilgilerinizi içerecek şekilde yapılandırın (İsteğe bağlı). Adımlar için Intune Şirket Portalı uygulamalarını, Şirket Portalı web sitesini ve Intune uygulamasını yapılandırma bölümüne gidin.

Uygulamayı Platform SSO için yapılandırmaya yönelik belirli bir adım yoktur. En son Şirket Portalı uygulamasının Intune'a eklendiğinden ve macOS cihazlarınıza dağıtıldığından emin olun.

Şirket Portalı uygulamasının eski bir sürümü yüklüyse Platform SSO başarısız olur.

4. Adım - Cihazları kaydetme ve ilkeleri uygulama

Platform SSO'sunun kullanılabilmesi için cihazların aşağıdaki yöntemlerden biri kullanılarak Intune'a kaydedilmiş MDM olması gerekir:

• Kuruluşa ait cihazlar için şunları yapabilirsiniz:

  • Apple Business Manager veya Apple School Manager kullanarak otomatik cihaz kayıt ilkesi oluşturun.
  • Apple Configurator kullanarak bir Doğrudan kayıt ilkesi oluşturun.

• Kişisel cihazlar için bir Cihaz kayıt ilkesi oluşturun. Bu kayıt yöntemiyle, son kullanıcılar Şirket Portalı uygulamasını açar ve Microsoft Entra Kimlikleriyle oturum açar. Başarıyla oturum açtıklarında kayıt ilkesi uygulanır.

Yeni cihazlar için, kayıt ilkesi de dahil olmak üzere tüm gerekli ilkeleri önceden oluşturmanızı ve yapılandırmanızı öneririz. Ardından, cihazlar Intune'a kaydolduğunda ilkeler otomatik olarak uygulanır.

Intune'a zaten kayıtlı olan mevcut cihazlar için Platform SSO ilkesini kullanıcılarınıza veya kullanıcı gruplarınıza atayın. Cihazlar Intune hizmetiyle bir sonraki eşitlenme veya iade etme işlemi için oluşturduğunuz Platform SSO ilke ayarlarını alır.

5. Adım - Cihazı kaydetme

Cihaz ilkeyi aldığında, Bildirim Merkezi'nde görüntülenen bir Kayıt gerekli bildirimi vardır.

• Son kullanıcılar bu bildirimi seçer, kuruluş hesaplarıyla Microsoft Entra ID eklentisinde oturum açar ve gerekirse çok faktörlü kimlik doğrulamasını (MFA) tamamlar.

  Not

  MFA, Microsoft Entra'nın bir özelliğidir. Kiracınızda MFA'nın etkinleştirildiğinden emin olun. Diğer uygulama gereksinimleri de dahil olmak üzere daha fazla bilgi için Microsoft Entra çok faktörlü kimlik doğrulaması'na gidin.

• Başarıyla kimlik doğrulaması yaptıklarında cihaz Microsoft Entra ile kuruluşa katılır ve çalışma alanına katılma (WPJ) sertifikası cihaza bağlıdır.

Aşağıdaki makalelerde kayıt yöntemine bağlı olarak kullanıcı deneyimi gösterilir:

• Microsoft Entra Id ile bir Mac cihazına katılın.
• macOS Platform SSO ile OOBE sırasında Microsoft Entra ID ile bir Mac cihazına katılın.

6. Adım - Cihazdaki ayarları onaylayın

Platform SSO kaydı tamamlandığında Platform SSO'nun yapılandırıldığını onaylayabilirsiniz. Adımlar için Microsoft Entra Id - Cihazınızın kayıt durumunu denetleyin bölümüne gidin.

Intune'a kayıtlı cihazlarda Ayarlar>Gizlilik ve güvenlik>Profilleri'ne de gidebilirsiniz. Platform SSO profiliniz altında com.apple.extensiblesso Profilegösterilir. URL'ler de dahil olmak üzere yapılandırdığınız ayarları görmek için profili seçin.

Platform SSO sorunlarını gidermek için macOS Platform çoklu oturum açma bilinen sorunları ve sorun giderme bölümüne gidin.

7. Adım - Mevcut SSO uygulama uzantısı profillerinin atamasını kaldırma

Ayarlar kataloğu ilkenizin çalıştığını onayladıktan sonra, Intune Cihaz Özellikleri şablonu kullanılarak oluşturulan mevcut SSO uygulama uzantısı profillerinin atamasını kaldırın.

her iki ilkeyi de saklarsanız çakışmalar oluşabilir.

Microsoft dışı uygulamalar ve Microsoft Enterprise SSO Uzantısı ayarları

Daha önce Microsoft Kurumsal SSO Uzantısı'nı kullandıysanız ve/veya Microsoft dışı uygulamalarda SSO'yu etkinleştirmek istiyorsanız Uzantı Verileri ayarını mevcut Platform SSO ayarları katalog ilkenize ekleyin.

Uzantı Verileri ayarı, açık metin alanına benzer bir kavramdır; ihtiyacınız olan tüm değerleri yapılandırabilirsiniz.

Bu bölümde Uzantı Verileri ayarını kullanarak şunları yapacağız:

• Önceki Microsoft Enterprise SSO Uzantısı Intune ilkenizde kullandığınız ayarları yapılandırın.
• Microsoft dışı uygulamaların SSO kullanmasına izin veren ayarları yapılandırın.

Bu bölümde, eklemeniz gereken önerilen en düşük ayarlar listelenir. Önceki Microsoft Enterprise SSO Uzantısı ilkenizde daha fazla ayar yapılandırmış olabilirsiniz. Önceki Microsoft Enterprise SSO Uzantısı ilkenizde yapılandırdığınız diğer anahtar & değer çifti ayarlarını eklemenizi öneririz.

Gruplarınıza yalnızca bir SSO ilkesi atanması gerektiğini unutmayın. Bu nedenle, Platform SSO kullanıyorsanız, 2. Adım - Intune'da Platform SSO ilkesi oluşturma (bu makalede) içinde oluşturduğunuz Platform SSO ayarları katalog ilkesinde Platform SSO ayarlarını ve Microsoft Enterprise SSO Uzantısı ayarlarını yapılandırmanız gerekir.

Microsoft dışı uygulamalar için SSO desteğini yapılandırma da dahil olmak üzere SSO ayarlarını yapılandırmak için yaygın olarak aşağıdaki ayarlar önerilir.

1. Mevcut Platform SSO ayarları katalog ilkenize Uzantı Verileri ekleyin:

   1. Intune yönetim merkezinde (Cihazlar Cihazları>>yönetirYapılandırması), mevcut Platform SSO ayarları katalog ilkenizi seçin.

   2. Özellikler>Yapılandırma ayarları'ndaEkle ayarlarınıdüzenle'yi> seçin.

   3. Ayarlar seçicide Kimlik Doğrulaması'nı genişletin ve Genişletilebilir Çoklu Oturum Açma (SSO) seçeneğini belirleyin:

      

   4. Listede Uzantı Verileri'ni seçin ve ayarlar seçicisini kapatın:

      

2. Uzantı Verileri'nde aşağıdaki anahtarları ve değerleri ekleyin:

   Tuş	Tür	Değer	Açıklama
   AppPrefixAllowList	Dize	com.microsoft.,com.apple.	Bu değeri kopyalayıp ayara yapıştırın. AppPrefixAllowList , SSO kullanabilen uygulamalarla uygulama satıcılarının listesini oluşturmanıza olanak tanır. Gerektiğinde bu listeye daha fazla uygulama satıcısı ekleyebilirsiniz.
   browser_sso_interaction_enabled	Tam sayı	1	Önerilen aracı ayarını yapılandırıyor.
   disable_explicit_app_prompt	Tam sayı	1	Önerilen aracı ayarını yapılandırıyor.

   Aşağıdaki örnekte önerilen yapılandırma gösterilmektedir:

   

3. Değişikliklerinizi kaydetmek için İleri'yi seçin ve ilkeyi tamamlayın. İlke kullanıcılara veya gruplara zaten atanmışsa, bu gruplar intune hizmetiyle bir sonraki eşitlemelerinde ilke değişikliklerini alır.

Son kullanıcı deneyimi ayarları

2. Adım - Intune'da Platform SSO ilkesi oluşturma bölümünde ayarlar kataloğu profilini oluşturduğunuzda, yapılandırabileceğiniz daha fazla isteğe bağlı ayar vardır.

Aşağıdaki ayarlar, son kullanıcı deneyimini özelleştirmenize ve kullanıcı ayrıcalıkları üzerinde daha ayrıntılı denetim sahibi olmanıza olanak tanır. Belgelenmemiş Platform SSO ayarları desteklenmez.

Platform SSO ayarları	Olası değerler	Kullanım
Hesap Görünen Adı	Herhangi bir dize değeri.	Platform SSO bildirimlerinde son kullanıcıların gördüğü kuruluş adını özelleştirin.
Oturum açma sırasında kullanıcı oluşturma özelliğini etkinleştirme	Etkinleştir veya Devre Dışı Bırak.	Kuruluş kullanıcılarının Microsoft Entra kimlik bilgilerini kullanarak cihazda oturum açmasına izin verin. Yeni yerel hesaplar oluşturduğunuzda, sağlanan kullanıcı adı ve parola kullanıcının Microsoft Entra ID UPN'si (user@contoso.com) ve parolası ile aynı olmalıdır.
Yeni Kullanıcı Yetkilendirme Modu	Standart, Yönetici veya Gruplar	Hesap Platform SSO kullanılarak oluşturulduğunda kullanıcının oturum açma sırasında sahip olduğu tek seferlik izinler. Şu anda Standart ve Yönetici değerleri desteklenmektedir. Standart modun kullanılabilmesi için cihazda en az bir Yönetici kullanıcı gereklidir.
Kullanıcı Yetkilendirme Modu	Standart, Yönetici veya Gruplar	Kullanıcının Platform SSO kullanarak kimlik doğrulaması her seferinde oturum açma sırasında sahip olduğu kalıcı izinler. Şu anda Standart ve Yönetici değerleri desteklenmektedir. Standart modun kullanılabilmesi için cihazda en az bir Yönetici kullanıcı gereklidir.

Diğer MDM'ler

MDM, Platform SSO'larını destekliyorsa, Platform SSO'larını diğer mobil cihaz yönetim hizmetleriyle (MDM'ler) yapılandırabilirsiniz. Başka bir MDM hizmeti kullanırken aşağıdaki kılavuzu kullanın:

• Bu makalede listelenen ayarlar, yapılandırmanız gereken Microsoft tarafından önerilen ayarlardır. Bu makaledeki ayar değerlerini MDM hizmet ilkenizde kopyalayabilir/yapıştırabilirsiniz.

  MDM hizmetinizdeki yapılandırma adımları farklı olabilir. Bu Platform SSO ayarlarını doğru yapılandırmak ve dağıtmak için MDM hizmet satıcınızla birlikte çalışmanızı öneririz.

• Platform SSO ile cihaz kaydı daha güvenlidir ve donanıma bağlı cihaz sertifikaları kullanır. Bu değişiklikler , cihaz uyumluluk iş ortaklarıyla tümleştirme gibi bazı MDM akışlarını etkileyebilir.

  MDM'nin Platform SSO'sunu test edip etmediğini, yazılımlarının Platform SSO ile düzgün çalıştığını ve Platform SSO kullanan müşterileri desteklemeye hazır olup olmadığını anlamak için MDM hizmet satıcınızla konuşmalısınız.

Yaygın hatalar

Platform SSO'sunu yapılandırırken aşağıdaki hataları görebilirsiniz:

• 10001: misconfiguration in the SSOe payload.

  Aşağıdaki durumlarda bu hata oluşabilir:

  • Ayarlar kataloğu profilinde yapılandırılmamış gerekli bir ayar vardır.
  • Yapılandırdığınız ayarlar kataloğu profilinde , yeniden yönlendirme türü yükü için geçerli olmayan bir ayar vardır.

  Ayarlar kataloğu profilinde yapılandırdığınız kimlik doğrulama ayarları macOS 13.x ve 14.x cihazları için farklıdır.

  Ortamınızda macOS 13 ve macOS 14 cihazları varsa, bir ayar kataloğu ilkesi oluşturmanız ve aynı ilkede ilgili kimlik doğrulama ayarlarını yapılandırmanız gerekir. Bu bilgiler 2. Adım - Intune'da Platform SSO ilkesi oluşturma (bu makalede) bölümünde belgelenmiştir.

• 10002: multiple SSOe payloads configured.

  Cihaza birden çok SSO uzantısı yükü uygulanıyor ve çakışıyor. Cihazda yalnızca bir uzantı profili olmalıdır ve bu profil ayarlar kataloğu profili olmalıdır.

  Daha önce Cihaz Özellikleri şablonunu kullanarak bir SSO uygulama uzantısı profili oluşturduysanız bu profilin atamasını kaldırın. Ayarlar kataloğu profili, cihaza atanması gereken tek profildir.

İlgili makaleler

• macOS Platform Çoklu Oturum Açma'ya genel bakış (önizleme)
• Microsoft Enterprise SSO eklentisi
• macOS cihazlarda Microsoft Enterprise SSO uygulama uzantısını kullanma
• Birincil Yenileme Belirteci (PRT) nedir?
• macOS Platformu çoklu oturum açma ile ilgili bilinen sorunlar ve sorun giderme