本文件提供全面指导,供美国政府机构部署 macOS 平台单一 Sign-On(PSSO),以符合国家标准和技术研究所(NIST)特别出版物(SP)800-63 修订版 4 和行政命令(EO)14028 的要求。 按照本文档中所述的说明和最佳做法,组织可以确保其 macOS 用户的无缝安全 SSO 体验。
先决条件
- macOS 13 Ventura 的最低版本(建议使用 macOS 14 Sonoma 或更高版本)
- 用户在注册期间必须使用 Entra ID 中受支持的 MFA 方法之一来执行多重身份验证。
- 已安装 Microsoft Intune 公司门户应用版本 5.2408.0 或更高版本。 在将用户定向到 PSSO 之前,需要安装此版本。
- (强烈建议)建议用户在其移动设备上注册通行密钥。
身份验证方法选择
美国政府机构必须在部署到其设备的平台 SSO 配置中使用防钓鱼身份验证方法。
macOS 14 Sonoma 及更高版本在 Apple Platform SSO 框架中提供了两种防钓鱼方法:
有关详细信息和使用平台 SSO 的可用身份验证方法的比较,请参阅 确定身份验证方法。
Microsoft Intune 配置
请参阅在 Microsoft Intune 中为 macOS 设备配置平台 SSO。
其他 MDM 的配置
有关 macOS 的平台 SSO 支持和设置信息,请参阅您的 MDM 提供商文档。
为未使用 Microsoft 身份验证库 (MSAL) 的应用程序启用单一登录 (SSO)
配置 Kerberos SSO 集成
请参阅在平台 SSO 中启用 Kerberos SSO 以访问本地 Active Directory 和 Microsoft Entra ID Kerberos 资源。
帐户管理
创建和预配帐户
若要使用平台 SSO,设备必须已注册到移动设备管理(MDM)中。 如果使用 Intune,请使用以下方法之一:
对于组织拥有的设备,可以执行以下操作:
对于个人拥有的设备,请创建设备注册策略。 使用此注册方法,最终用户打开公司门户应用,并使用其Microsoft Entra ID 用户帐户登录。 当成功登录时,便会应用注册策略。
对于新设备,建议预先创建和配置所有必要的策略,包括注册策略。 然后,当设备注册 Intune 时,策略会自动应用。
对于已在 Intune 中注册的现有设备,请将平台 SSO 策略分配给用户或用户组。 下次设备与 Intune 同步或签入时,它们会收到你创建的平台 SSO 策略设置。
创建设备符合性策略
Microsoft Intune 中的设备符合性策略允许管理员确保已注册的设备符合组织安全标准并正确配置。 这些策略通过强制要求(如加密、操作系统版本和密码强度等安全措施)来帮助保护公司数据。 有关配置设备符合性策略的详细信息,请参阅 Intune中适用于 macOS 设置
撤销或登出帐户
从租户中删除用户
请参阅 如何创建、邀请和删除用户。
撤销用户的访问权限
请参阅在 Microsoft Entra ID 中撤销用户访问权限。
使用 Intune 远程锁定设备
请参阅使用 Intune 远程锁定设备。
MDM 取消注册
步骤 1 - 从配置文件分配中移除 PSSO 目标用户
- 在 Microsoft Intune 管理中心,单击“主页”。
- 依次转到“设备”和“配置文件”。
- 从列表中选择要编辑的配置文件。
- 在“分配”旁边,选择“编辑”。
- 若要删除分配,请选择 删除。
- 选择“查看 + 保存”以完成更改。
步骤 2 - 执行批量设备操作以同步删除策略
- 在 Microsoft 终结点管理中心中,选择“设备”。
- 选择“所有设备”并选择“批量设备操作”。
- 在 批量设备操作 页上,选择 macOS 作为 OS,同步 作为设备操作。
- 选择“下一步”,然后选择操作支持的最大设备数,再选择“下一步”。
- 在“查看 + 创建”页上,选择“创建”并运行操作。
提示
若要同步特定设备,请参阅 同步设备以获取 Intune的最新策略和操作。
检测并移除 Microsoft Entra ID 和 Intune 中的陈旧设备
请参阅 操作说明:管理Microsoft Entra ID 中的过时设备,从 Intune 管理中心中删除设备。
将应用程序与 SSO Broker 集成
适用于 Apple 设备的 MSAL 版本 1.1.0 及更高版本支持工作和学校帐户本机使用适用于 Apple 设备的 Microsoft 企业 SSO 插件。
如果遵循 快速入门:从 iOS 或 macOS 应用 登录用户并调用 Microsoft Graph,并使用 默认重定向 URI 格式,则不需要任何特殊配置。
在具有 SSO 插件的设备上,MSAL 会自动为所有交互式和无提示令牌请求调用它。 它还会调用它进行帐户枚举和帐户删除操作。 由于 MSAL 实现了依赖于客户操作的本机 SSO 插件协议,因此此设置为最终用户提供了最流畅的本机体验。
最佳做法
智能卡证书固定
使用基于智能卡的身份验证时,强烈建议你指定哪些证书颁发机构用于智能卡证书的信任评估。 这种信任与证书信任设置协同工作,称为证书固定。 有关详细信息,请参阅 Mac上的
示例配置
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" http://www.apple.com/DTDs/PropertyList-1.0.dtd>
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>PlatformSSO:$1</string>
</dict>
<key>TrustedAuthorities</key>
<array>
<string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string>
</array>
</dict>
</plist>
故障排除
如果在部署 macOS 平台 SSO 时遇到问题,请参阅有关 macOS Platform 单一登录已知问题和排查问题的文档。