在 Microsoft Intune 中为 macOS 设备配置平台 SSO
在 macOS 设备上,可以将平台 SSO 配置为使用无密码身份验证、Microsoft Entra ID 用户帐户或智能卡启用单一登录 (SSO) 。 平台 SSO 是 Microsoft企业 SSO 插件 和 SSO 应用扩展的增强。 平台 SSO 可以使用其 Microsoft Entra ID 凭据和触控 ID 将用户登录到其托管 Mac 设备。
本文适用于:
- macOS
Microsoft Entra ID 中的 Microsoft Enterprise SSO 插件 包括两个 SSO 功能 - 平台 SSO 和 SSO 应用扩展。 本文重点介绍如何为 macOS 设备配置 具有 Entra ID( 预览版)的平台 SSO。
平台 SSO 的一些优势包括:
- 包括 SSO 应用扩展。 不单独配置 SSO 应用扩展。
- 使用硬件绑定到 Mac 设备的防钓鱼凭据实现无密码。
- 登录体验类似于使用工作或学校帐户登录到 Windows 设备,就像用户使用 Windows Hello 企业版一样。
- 帮助最大程度地减少用户需要输入其Microsoft Entra ID 凭据的次数。
- 帮助减少用户需要记住的密码数。
- 获取 Microsoft Entra 联接的好处,这样任何组织用户都能够登录到设备。
- 包含在所有 Microsoft Intune 许可计划中。
当 Mac 设备加入 Microsoft Entra ID 租户时,设备将获得工作区加入 (WPJ) 证书,该证书是硬件绑定的,只能由 Microsoft Enterprise SSO 插件访问。 若要访问使用条件访问保护的资源,应用和 Web 浏览器需要此 WPJ 证书。 配置了平台 SSO 后,SSO 应用扩展充当Microsoft Entra ID 身份验证和条件访问的代理。
可以使用 设置目录配置平台 SSO。 策略准备就绪后,将策略分配给用户。 Microsoft建议用户在 Intune 中注册设备时分配策略。 但是,可以随时分配它,包括在现有设备上。
本文介绍如何在 Intune 中为 macOS 设备配置平台 SSO。
先决条件
设备必须运行 macOS 13.0 及更新版本。
Microsoft Intune 公司门户应用 版本 5.2404.0 及更新是必需的。 此版本包括平台 SSO。
支持的 Web 浏览器包括:
- Microsoft Edge
- 具有 Microsoft 单一登录扩展的 Google Chrome。 可以使用 Chrome Enterprise 策略 - ExtensionInstallForcelist 部署此扩展, (设置目录中打开 Google 网站) 。
- Safari
若要创建 Intune 策略,请至少使用以下 Intune 权限的帐户登录:
- 设备配置 读取、 创建、 更新和 分配 权限
有一些内置角色具有这些权限,包括 策略和配置文件管理器 Intune RBAC 角色。 有关 Intune 中 RBAC 角色的详细信息,请转到 基于角色的访问控制 (使用 Microsoft Intune 的 RBAC) 。
步骤 1 - 确定身份验证方法
在 Intune 中创建平台 SSO 策略时,需要确定要使用的身份验证方法。
使用的平台 SSO 策略和身份验证方法会更改用户登录到设备的方式。
- 配置平台 SSO 时,用户使用配置的身份验证方法登录到其 macOS 设备。
- 不使用平台 SSO 时,用户使用本地帐户登录到其 macOS 设备。 然后,他们使用其Microsoft Entra ID 登录到应用和网站。
在此步骤中,使用信息了解身份验证方法的差异以及它们如何影响用户登录体验。
提示
Microsoft建议在配置平台 SSO 时使用 安全 Enclave 作为身份验证方法。
功能 | 安全 Enclave | 智能卡 | Password |
---|---|---|---|
无密码 (防钓鱼) | ✅ | ✅ | ❌ |
支持解锁的 TouchID | ✅ | ✅ | ✅ |
可用作密钥 | ✅ | ❌ | ❌ |
安装时必须执行 MFA始终建议使用多重身份验证 (MFA) | ✅ | ✅ | ❌ |
与 Entra ID 同步的本地 Mac 密码 | ❌ | ❌ | ✅ |
macOS 13.x 支持 + | ✅ | ❌ | ✅ |
在 macOS 14.x 上受支持 + | ✅ | ✅ | ✅ |
(可选)允许新用户使用 entra ID 凭据 (macOS 14.x +) | ✅ | ✅ | ✅ |
安全 Enclave
使用 安全 Enclave 身份验证方法配置平台 SSO 时,SSO 插件使用硬件绑定加密密钥。 它不使用 Microsoft Entra 凭据对应用和网站的用户进行身份验证。
有关安全 Enclave 的详细信息,请转到 安全 Enclave (打开 Apple 网站) 。
安全 Enclave:
- 被视为无密码,满足防钓鱼多重 (MFA) 要求。 它在概念上类似于 Windows Hello 企业版。 它还可以使用与 Windows Hello 企业版相同的功能,例如条件访问。
- 保留本地帐户用户名和密码的原样。 这些值不会更改。
注意
由于 Apple 的 FileVault 磁盘加密使用本地密码作为解锁密钥,因此此行为是设计造成的。
- 设备重新启动后,用户必须输入本地帐户密码。 在此初始计算机解锁后,触控 ID 可用于解锁设备。
- 解锁后,设备获取硬件支持的主刷新令牌 (PRT) 设备范围的 SSO。
- 在 Web 浏览器中,可以使用 WebAuthN API 将此 PRT 密钥用作密钥。
- 其设置可以使用用于 MFA 身份验证的身份验证应用启动,也可以Microsoft 临时访问传递 (TAP) 。
- 启用Microsoft Entra ID 密码的创建和使用。
Password
使用 密码 身份验证方法配置平台 SSO 时,用户使用其Microsoft Entra ID 用户帐户而不是本地帐户密码登录到设备。
此选项可在使用 Microsoft Entra ID 进行身份验证的应用之间启用 SSO。
使用 密码 身份验证方法:
Microsoft Entra ID 密码将替换本地帐户密码,并且两个密码保持同步。
注意
不会从设备中完全删除本地帐户计算机密码。 由于 Apple 的 FileVault 磁盘加密使用本地密码作为解锁密钥,因此此行为是设计造成的。
本地帐户用户名不会更改,并按原样保留。
最终用户可以使用 Touch ID 登录到设备。
用户和管理员需要记住和管理的密码更少。
设备重新启动后,用户必须输入其Microsoft Entra ID 密码。 在此初始计算机解锁后,触控 ID 可以解锁设备。
解锁后,设备获取硬件绑定的主刷新令牌 (PRT) 凭据Microsoft Entra ID SSO。
注意
配置的任何 Intune 密码策略也会影响此设置。 例如,如果你有阻止简单密码的密码策略,则此设置也会阻止简单密码。
确保 Intune 密码策略和/或合规性策略与 Microsoft Entra 密码策略匹配。 如果策略不匹配,则密码可能无法同步,并且最终用户将被拒绝访问。
智能卡
使用 智能卡 身份验证方法配置平台 SSO 时,用户可以使用智能卡证书和关联的 PIN 登录到设备,并向应用和网站进行身份验证。
此选项:
- 被视为无密码。
- 保留本地帐户用户名和密码的原样。 这些值不会更改。
有关详细信息,请转到 在 iOS 和 macOS 上Microsoft Entra 基于证书的身份验证。
步骤 2 - 在 Intune 中创建平台 SSO 策略
若要配置平台 SSO 策略,请使用以下步骤创建 Intune 设置目录 策略。 Microsoft Enterprise SSO 插件需要这些设置。 有关详细信息,请转到 适用于 Apple 设备的Microsoft企业 SSO 插件。
有关可扩展单一登录扩展的有效负载设置的详细信息,请转到 适用于 Apple 设备的可扩展单一登录 MDM 有效负载设置 , (打开 Apple 网站) 。
选择“ 设备>管理设备>”“配置>创建新>策略”。
输入以下属性:
- 平台:选择 macOS。
- 配置文件类型:选择 “设置目录”。
选择“创建”。
在“基本信息”中,输入以下属性:
- 名称:输入策略的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,将策略命名为 macOS - 平台 SSO。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
选择 下一步。
在“配置设置”中,选择“添加设置”。 在设置选取器中,展开 “身份验证”,然后选择“ 可扩展单一登录 (SSO) :
在列表中,选择以下设置:
- 身份验证方法 (仅) 弃用 ( macOS 13)
- 扩展标识符
- 展开 “平台 SSO”:
- (macOS 14+) 选择身份验证方法
- 选择 “令牌到用户映射”
- 选择 “使用共享设备密钥”
- 注册令牌
- 屏幕锁定行为
- 团队标识符
- 类型
- URL
关闭设置选取器。
提示
可以在策略中配置更多可选的平台 SSO 设置。 有关列表,请转到本文) 中 可以配置 (的更多平台 SSO 设置 。
配置以下必需设置:
名称 配置值 说明 身份验证方法 (已弃用) 仅 (macOS 13) Password 或 UserSecureEnclave 选择在 步骤 1 - 确定 本文) (身份验证方法中选择的平台 SSO 身份验证方法。
此设置仅适用于 macOS 13。 对于 macOS 14.0 及更高版本,请使用 平台 SSO>身份验证方法 设置。扩展标识符 com.microsoft.CompanyPortalMac.ssoextension
此 ID 是配置文件运行 SSO 所需的 SSO 应用扩展。
扩展标识符和团队标识符值协同工作。平台 SSO>身份验证方法 (macOS 14+) Password、 UserSecureEnclave 或 SmartCard 选择在 步骤 1 - 确定 本文) (身份验证方法中选择的平台 SSO 身份验证方法。
此设置适用于 macOS 14 及更高版本。 对于 macOS 13,请使用 “身份验证方法 (已弃用) 设置。平台 SSO>使用共享设备密钥 (macOS 14+) Enabled 启用后,平台 SSO 对同一设备上的所有用户使用相同的签名和加密密钥。 系统会提示从 macOS 13.x 升级到 14.x 的用户再次注册。 注册令牌 {{DEVICEREGISTRATION}}
必须包括大括号。 有关此注册令牌的详细信息,请转到 配置Microsoft Entra 设备注册。
此设置还要求配置设置AuthenticationMethod
。
- 如果仅使用 macOS 13 设备,请配置 “身份验证方法 (已弃用) 设置。
- 如果仅使用 macOS 14+ 设备,请配置 平台 SSO>身份验证方法 设置。
- 如果混合使用 macOS 13 和 macOS 14+ 设备,请在同一配置文件中配置这两个身份验证设置。屏幕锁定行为 不处理 设置为 “不处理”时,请求将继续不执行 SSO。 令牌到用户的映射>帐户名称 preferred_username
此令牌指定 Entra preferred_username
属性值用于 macOS 帐户的“帐户名称”值。令牌到用户的映射>全名 name
此令牌指定 Entra name
声明用于 macOS 帐户的“全名”值。团队标识符 UBF8T346G9
此标识符是 Enterprise SSO 插件应用扩展的团队标识符。 类型 Redirect URL 输入以下所有 URL: https://login.microsoftonline.com
https://login.microsoft.com
https://sts.windows.net
如果环境需要允许主权云域,则还要添加以下 URL:
https://login.partner.microsoftonline.cn
https://login.chinacloudapi.cn
https://login.microsoftonline.us
https://login-us.microsoftonline.com
这些 URL 前缀是执行 SSO 应用扩展的标识提供者。 重定向有效负载需要 URL,凭据有效负载将被忽略。
有关这些 URL 的详细信息,请转到 适用于 Apple 设备的 Microsoft Enterprise SSO 插件。重要
如果你的环境中混合使用 macOS 13 和 macOS 14+ 设备,请在同一配置文件中配置平台 SSO>身份验证方法和身份验证方法 (弃用) 身份验证设置。
配置文件准备就绪后,它类似于以下示例:
选择 下一步。
在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如
US-NC IT Team
或JohnGlenn_ITDepartment
)。 有关范围标记的详细信息,请转到 为分布式 IT 使用 RBAC 角色和范围标记。选择“下一步”。
在 “分配”中,选择接收配置文件的用户或设备组。 对于具有用户相关性的设备,请分配给用户或用户组。 对于注册了多个用户且没有用户相关性的设备,请分配给设备或设备组。
有关分配配置文件的详细信息,请转到 分配用户和设备配置文件。
选择 下一步。
在“查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。
下次设备检查配置更新时,将应用你配置的设置。
步骤 3 - 部署适用于 macOS 的公司门户应用
适用于 macOS 的公司门户应用部署并安装 Microsoft Enterprise SSO 插件。 此插件启用平台 SSO。
使用 Intune,可以添加公司门户应用,并将其作为所需应用部署到 macOS 设备:
- 有关步骤,请转到 为 macOS 添加公司门户应用。
- 可选。 将公司门户应用配置为包含组织信息。 有关步骤,请转到 如何配置 Intune 公司门户应用、公司门户网站和 Intune 应用。
没有为平台 SSO 配置应用的任何特定步骤。 只需确保最新的公司门户应用已添加到 Intune 并部署到 macOS 设备。
如果已安装较旧版本的公司门户应用,则平台 SSO 将不起作用。
步骤 4 - 注册设备并应用策略
若要使用平台 SSO,设备必须使用以下方法之一在 Intune 中注册 MDM:
对于 组织拥有的设备,可以:
对于 个人拥有的设备,请创建 设备注册 策略。 使用此注册方法,最终用户将打开公司门户应用并使用其Microsoft Entra ID 登录。 成功登录后,会应用注册策略。
对于 新设备,建议预先创建并配置所有必要的策略,包括注册策略。 然后,当设备在 Intune 中注册时,策略会自动应用。
对于已在 Intune 中注册 的现有设备 ,请将平台 SSO 策略分配给用户或用户组。 下次设备与 Intune 服务同步或签入时,它们会收到你创建的平台 SSO 策略设置。
步骤 5 - 注册设备
设备收到策略时,通知中心会显示“ 需要注册 ”通知。
最终用户选择此通知,使用其组织帐户登录到Microsoft Entra ID 插件,并根据需要完成多重身份验证 (MFA) 。
注意
MFA 是 Microsoft Entra 的一项功能。 确保已在租户中启用 MFA。 有关详细信息(包括任何其他应用要求),请转到 Microsoft Entra 多重身份验证。
成功进行身份验证后,设备将Microsoft Entra 加入组织,并将工作区加入 (WPJ) 证书绑定到设备。
以下文章介绍了用户体验,具体取决于注册方法:
步骤 6 - 确认设备上的设置
平台 SSO 注册完成后,可以确认已配置平台 SSO。 有关步骤,请转到 Microsoft Entra ID - 检查设备注册状态。
在已注册 Intune 的设备上,还可以转到 “设置>隐私和安全>配置文件”。 平台 SSO 配置文件显示在 下 com.apple.extensiblesso Profile
。 选择配置文件以查看配置的设置,包括 URL。
若要排查平台 SSO 问题,请转到 macOS 平台单一登录已知问题和故障排除。
步骤 7 - 取消分配任何现有的 SSO 应用扩展配置文件
确认设置目录策略正常工作后,取消分配使用 Intune 设备功能模板创建的任何现有 SSO 应用扩展 配置文件。
如果保留这两个策略,则可能发生冲突。
可以配置的更多平台 SSO 设置
在 步骤 2 - Intune 中创建平台 SSO 策略中的设置目录配置文件时,可以配置更多可选设置。
通过以下设置,可以自定义最终用户体验,并更精细地控制用户权限。 不支持任何未记录的平台 SSO 设置。
平台 SSO 设置 | 可能的值 | 用法 |
---|---|---|
帐户显示名称 | 任何字符串值。 | 自定义最终用户在平台 SSO 通知中看到的组织名称。 |
启用登录时创建用户 | 启用或禁用。 | 允许任何组织用户使用其Microsoft Entra 凭据登录到设备。 |
新建用户授权模式 | 标准、 管理员或 组 | 使用平台 SSO 创建帐户时,用户在登录时拥有的一次性权限。 目前支持 Standard 和 Admin 值。 设备上至少需要一个 管理员 用户才能使用 标准 模式。 |
用户授权模式 | 标准、 管理员或 组 | 每次用户使用平台 SSO 进行身份验证时,用户在登录时拥有的持久权限。 目前支持 Standard 和 Admin 值。 设备上至少需要一个 管理员 用户才能使用 标准 模式。 |
常见错误
配置平台 SSO 时,可能会看到以下错误:
10001: misconfiguration in the SSOe payload.
在以下情况中,可能会出现此错误:
- 设置目录配置文件中未配置所需的设置。
- 配置的设置目录配置文件中有一个不适用于 重定向类型有效负载的设置。
在设置目录配置文件中配置的身份验证设置对于 macOS 13.x 和 14.x 设备是不同的。
如果环境中有 macOS 13 和 macOS 14 设备,则必须创建一个设置目录策略,并在同一策略中配置其各自的身份验证设置。 本文) 的步骤 2 - 在 Intune (中创建平台 SSO 策略 中介绍了此信息。
10002: multiple SSOe payloads configured.
多个 SSO 扩展有效负载正在应用于设备,并且存在冲突。 设备上应只有一个扩展配置文件,该配置文件应是设置目录配置文件。
如果以前使用设备功能模板创建了 SSO 应用扩展配置文件,请取消分配该配置文件。 设置目录配置文件是应分配给设备的唯一配置文件。
相关文章
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈