通过

在 Microsoft Intune 中为 macOS 设备配置平台 SSO

  • 项目
  • 适用于:
    ✅ macOS

在 macOS 设备上,可以将平台 SSO 配置为使用无密码身份验证、Microsoft Entra ID 用户帐户或智能卡启用单一登录 (SSO) 。 平台 SSO 是 Microsoft企业 SSO 插件SSO 应用扩展的增强。 平台 SSO 可以使用其 Microsoft Entra ID 凭据和触控 ID 将用户登录到其托管 Mac 设备。

本文适用于:

  • macOS

Microsoft Entra ID 中的 Microsoft Enterprise SSO 插件 包括两个 SSO 功能 - 平台 SSOSSO 应用扩展。 本文重点介绍如何为 macOS 设备配置 具有 Entra ID( 预览版)的平台 SSO。

平台 SSO 的一些优势包括:

  • 包括 SSO 应用扩展。 不单独配置 SSO 应用扩展。
  • 使用硬件绑定到 Mac 设备的防钓鱼凭据实现无密码。
  • 登录体验类似于使用工作或学校帐户登录到 Windows 设备,就像用户使用 Windows Hello 企业版一样。
  • 帮助最大程度地减少用户需要输入其Microsoft Entra ID 凭据的次数。
  • 帮助减少用户需要记住的密码数。
  • 获取 Microsoft Entra 联接的好处,这样任何组织用户都能够登录到设备。
  • 包含在所有 Microsoft Intune 许可计划中

当 Mac 设备加入 Microsoft Entra ID 租户时,设备将获得工作区加入 (WPJ) 证书,该证书是硬件绑定的,只能由 Microsoft Enterprise SSO 插件访问。 若要访问使用条件访问保护的资源,应用和 Web 浏览器需要此 WPJ 证书。 配置了平台 SSO 后,SSO 应用扩展充当Microsoft Entra ID 身份验证和条件访问的代理。

可以使用 设置目录配置平台 SSO。 策略准备就绪后,将策略分配给用户。 Microsoft建议用户在 Intune 中注册设备时分配策略。 但是,可以随时分配它,包括在现有设备上。

本文介绍如何在 Intune 中为 macOS 设备配置平台 SSO。

先决条件

步骤 1 - 确定身份验证方法

在 Intune 中创建平台 SSO 策略时,需要确定要使用的身份验证方法。

使用的平台 SSO 策略和身份验证方法会更改用户登录到设备的方式。

  • 配置平台 SSO 时,用户使用配置的身份验证方法登录到其 macOS 设备。
  • 不使用平台 SSO 时,用户使用本地帐户登录到其 macOS 设备。 然后,他们使用其Microsoft Entra ID 登录到应用和网站。

在此步骤中,使用信息了解身份验证方法的差异以及它们如何影响用户登录体验。

提示

Microsoft建议在配置平台 SSO 时使用 安全 Enclave 作为身份验证方法。

功能 安全 Enclave 智能卡 Password
无密码 (防钓鱼)
支持解锁的 TouchID
可用作密钥
安装

时必须执行 MFA始终建议使用多重身份验证 (MFA)
与 Entra ID 同步的本地 Mac 密码
macOS 13.x 支持 +
在 macOS 14.x 上受支持 +
(可选)允许新用户使用 entra ID 凭据 (macOS 14.x +)

安全 Enclave

使用 安全 Enclave 身份验证方法配置平台 SSO 时,SSO 插件使用硬件绑定加密密钥。 它不使用 Microsoft Entra 凭据对应用和网站的用户进行身份验证。

有关安全 Enclave 的详细信息,请转到 安全 Enclave (打开 Apple 网站) 。

安全 Enclave:

  • 被视为无密码,满足防钓鱼多重 (MFA) 要求。 它在概念上类似于 Windows Hello 企业版。 它还可以使用与 Windows Hello 企业版相同的功能,例如条件访问。
  • 保留本地帐户用户名和密码的原样。 这些值不会更改。

    注意

    由于 Apple 的 FileVault 磁盘加密使用本地密码作为解锁密钥,因此此行为是设计造成的。

  • 设备重新启动后,用户必须输入本地帐户密码。 在此初始计算机解锁后,触控 ID 可用于解锁设备。
  • 解锁后,设备获取硬件支持的主刷新令牌 (PRT) 设备范围的 SSO。
  • 在 Web 浏览器中,可以使用 WebAuthN API 将此 PRT 密钥用作密钥。
  • 其设置可以使用用于 MFA 身份验证的身份验证应用启动,也可以Microsoft 临时访问传递 (TAP)
  • 启用Microsoft Entra ID 密码的创建和使用。

Password

使用 密码 身份验证方法配置平台 SSO 时,用户使用其Microsoft Entra ID 用户帐户而不是本地帐户密码登录到设备。

此选项可在使用 Microsoft Entra ID 进行身份验证的应用之间启用 SSO。

使用 密码 身份验证方法:

  • Microsoft Entra ID 密码将替换本地帐户密码,并且两个密码保持同步。

    注意

    不会从设备中完全删除本地帐户计算机密码。 由于 Apple 的 FileVault 磁盘加密使用本地密码作为解锁密钥,因此此行为是设计造成的。

  • 本地帐户用户名不会更改,并按原样保留。

  • 最终用户可以使用 Touch ID 登录到设备。

  • 用户和管理员需要记住和管理的密码更少。

  • 设备重新启动后,用户必须输入其Microsoft Entra ID 密码。 在此初始计算机解锁后,触控 ID 可以解锁设备。

  • 解锁后,设备获取硬件绑定的主刷新令牌 (PRT) 凭据Microsoft Entra ID SSO。

注意

配置的任何 Intune 密码策略也会影响此设置。 例如,如果你有阻止简单密码的密码策略,则此设置也会阻止简单密码。

确保 Intune 密码策略和/或合规性策略与 Microsoft Entra 密码策略匹配。 如果策略不匹配,则密码可能无法同步,并且最终用户将被拒绝访问。

智能卡

使用 智能卡 身份验证方法配置平台 SSO 时,用户可以使用智能卡证书和关联的 PIN 登录到设备,并向应用和网站进行身份验证。

此选项:

  • 被视为无密码。
  • 保留本地帐户用户名和密码的原样。 这些值不会更改。

有关详细信息,请转到 在 iOS 和 macOS 上Microsoft Entra 基于证书的身份验证

步骤 2 - 在 Intune 中创建平台 SSO 策略

若要配置平台 SSO 策略,请使用以下步骤创建 Intune 设置目录 策略。 Microsoft Enterprise SSO 插件需要这些设置。 有关详细信息,请转到 适用于 Apple 设备的Microsoft企业 SSO 插件

有关可扩展单一登录扩展的有效负载设置的详细信息,请转到 适用于 Apple 设备的可扩展单一登录 MDM 有效负载设置 , (打开 Apple 网站) 。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“ 设备>管理设备>”“配置>创建新>策略”。

  3. 输入以下属性:

    • 平台:选择 macOS
    • 配置文件类型:选择 “设置目录”。

  4. 选择“创建”。

  5. “基本信息”中,输入以下属性:

    • 名称:输入策略的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,将策略命名为 macOS - 平台 SSO
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。

  6. 选择 下一步

  7. 在“配置设置”中,选择“添加设置”。 在设置选取器中,展开 “身份验证”,然后选择“ 可扩展单一登录 (SSO)

    显示“设置目录设置”选取器,并选择“Microsoft Intune”中的“身份验证和可扩展 SSO”类别的屏幕截图。

    在列表中,选择以下设置:

    • 身份验证方法 (仅) 弃用 ( macOS 13)
    • 扩展标识符
    • 展开 “平台 SSO”:
      • (macOS 14+) 选择身份验证方法
      • 选择 “令牌到用户映射”
      • 选择 “使用共享设备密钥”
    • 注册令牌
    • 屏幕锁定行为
    • 团队标识符
    • 类型
    • URL

    关闭设置选取器。

    提示

    可以在策略中配置更多可选的平台 SSO 设置。 有关列表,请转到本文) 中 可以配置 (的更多平台 SSO 设置

  8. 配置以下必需设置:

    名称 配置值 说明
    身份验证方法 (已弃用)
    仅 (macOS 13)     		PasswordUserSecureEnclave 选择在 步骤 1 - 确定 本文) (身份验证方法中选择的平台 SSO 身份验证方法。

    此设置仅适用于 macOS 13。 对于 macOS 14.0 及更高版本,请使用 平台 SSO>身份验证方法 设置。
    扩展标识符 com.microsoft.CompanyPortalMac.ssoextension 此 ID 是配置文件运行 SSO 所需的 SSO 应用扩展。

    扩展标识符团队标识符值协同工作。
    平台 SSO>身份验证方法
    (macOS 14+)     		PasswordUserSecureEnclaveSmartCard 选择在 步骤 1 - 确定 本文) (身份验证方法中选择的平台 SSO 身份验证方法。

    此设置适用于 macOS 14 及更高版本。 对于 macOS 13,请使用 “身份验证方法 (已弃用) 设置。
    平台 SSO>使用共享设备密钥
    (macOS 14+)     		Enabled 启用后,平台 SSO 对同一设备上的所有用户使用相同的签名和加密密钥。

    系统会提示从 macOS 13.x 升级到 14.x 的用户再次注册。
    注册令牌 {{DEVICEREGISTRATION}} 必须包括大括号。 有关此注册令牌的详细信息,请转到 配置Microsoft Entra 设备注册

    此设置还要求配置设置 AuthenticationMethod

    - 如果仅使用 macOS 13 设备,请配置 “身份验证方法 (已弃用) 设置。
    - 如果仅使用 macOS 14+ 设备,请配置 平台 SSO>身份验证方法 设置。
    - 如果混合使用 macOS 13 和 macOS 14+ 设备,请在同一配置文件中配置这两个身份验证设置。
    屏幕锁定行为 不处理 设置为 “不处理”时,请求将继续不执行 SSO。
    令牌到用户的映射>帐户名称 preferred_username 此令牌指定 Entra preferred_username 属性值用于 macOS 帐户的“帐户名称”值。
    令牌到用户的映射>全名 name 此令牌指定 Entra name 声明用于 macOS 帐户的“全名”值。
    团队标识符 UBF8T346G9 此标识符是 Enterprise SSO 插件应用扩展的团队标识符。
    类型 Redirect
    URL 输入以下所有 URL:

    https://login.microsoftonline.com
    https://login.microsoft.com
    https://sts.windows.net

    如果环境需要允许主权云域,则还要添加以下 URL:

    https://login.partner.microsoftonline.cn
    https://login.chinacloudapi.cn
    https://login.microsoftonline.us
    https://login-us.microsoftonline.com    		 这些 URL 前缀是执行 SSO 应用扩展的标识提供者。 重定向有效负载需要 URL,凭据有效负载将被忽略。

    有关这些 URL 的详细信息,请转到 适用于 Apple 设备的 Microsoft Enterprise SSO 插件

    重要

    如果你的环境中混合使用 macOS 13 和 macOS 14+ 设备,请在同一配置文件中配置平台 SSO>身份验证方法和身份验证方法 (弃用) 身份验证设置。

    配置文件准备就绪后,它类似于以下示例:

    显示 Intune MDM 配置文件中建议的平台 SSO 设置的屏幕截图。

  9. 选择 下一步

  10. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请转到 为分布式 IT 使用 RBAC 角色和范围标记

    选择“下一步”。

  11. “分配”中,选择接收配置文件的用户或设备组。 对于具有用户相关性的设备,请分配给用户或用户组。 对于注册了多个用户且没有用户相关性的设备,请分配给设备或设备组。

    有关分配配置文件的详细信息,请转到 分配用户和设备配置文件

    选择 下一步

  12. “查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

下次设备检查配置更新时,将应用你配置的设置。

步骤 3 - 部署适用于 macOS 的公司门户应用

适用于 macOS 的公司门户应用部署并安装 Microsoft Enterprise SSO 插件。 此插件启用平台 SSO。

使用 Intune,可以添加公司门户应用,并将其作为所需应用部署到 macOS 设备:

没有为平台 SSO 配置应用的任何特定步骤。 只需确保最新的公司门户应用已添加到 Intune 并部署到 macOS 设备。

如果已安装较旧版本的公司门户应用,则平台 SSO 将不起作用。

步骤 4 - 注册设备并应用策略

若要使用平台 SSO,设备必须使用以下方法之一在 Intune 中注册 MDM:

  • 对于 组织拥有的设备,可以:

  • 对于 个人拥有的设备,请创建 设备注册 策略。 使用此注册方法,最终用户将打开公司门户应用并使用其Microsoft Entra ID 登录。 成功登录后,会应用注册策略。

对于 新设备,建议预先创建并配置所有必要的策略,包括注册策略。 然后,当设备在 Intune 中注册时,策略会自动应用。

对于已在 Intune 中注册 的现有设备 ,请将平台 SSO 策略分配给用户或用户组。 下次设备与 Intune 服务同步或签入时,它们会收到你创建的平台 SSO 策略设置。

步骤 5 - 注册设备

设备收到策略时,通知中心会显示“ 需要注册 ”通知。

屏幕截图显示了在 Microsoft Intune 中配置平台 SSO 时最终用户设备上需要注册的提示。

  • 最终用户选择此通知,使用其组织帐户登录到Microsoft Entra ID 插件,并根据需要完成多重身份验证 (MFA) 。

    注意

    MFA 是 Microsoft Entra 的一项功能。 确保已在租户中启用 MFA。 有关详细信息(包括任何其他应用要求),请转到 Microsoft Entra 多重身份验证

  • 成功进行身份验证后,设备将Microsoft Entra 加入组织,并将工作区加入 (WPJ) 证书绑定到设备。

以下文章介绍了用户体验,具体取决于注册方法:

步骤 6 - 确认设备上的设置

平台 SSO 注册完成后,可以确认已配置平台 SSO。 有关步骤,请转到 Microsoft Entra ID - 检查设备注册状态

在已注册 Intune 的设备上,还可以转到 “设置>隐私和安全>配置文件”。 平台 SSO 配置文件显示在 下 com.apple.extensiblesso Profile。 选择配置文件以查看配置的设置,包括 URL。

若要排查平台 SSO 问题,请转到 macOS 平台单一登录已知问题和故障排除

步骤 7 - 取消分配任何现有的 SSO 应用扩展配置文件

确认设置目录策略正常工作后,取消分配使用 Intune 设备功能模板创建的任何现有 SSO 应用扩展 配置文件。

如果保留这两个策略,则可能发生冲突。

可以配置的更多平台 SSO 设置

步骤 2 - Intune 中创建平台 SSO 策略中的设置目录配置文件时,可以配置更多可选设置。

通过以下设置,可以自定义最终用户体验,并更精细地控制用户权限。 不支持任何未记录的平台 SSO 设置。

平台 SSO 设置 可能的值 用法
帐户显示名称 任何字符串值。 自定义最终用户在平台 SSO 通知中看到的组织名称。
启用登录时创建用户 启用或禁用 允许任何组织用户使用其Microsoft Entra 凭据登录到设备。
新建用户授权模式 标准管理员 使用平台 SSO 创建帐户时,用户在登录时拥有的一次性权限。 目前支持 StandardAdmin 值。 设备上至少需要一个 管理员 用户才能使用 标准 模式。
用户授权模式 标准管理员 每次用户使用平台 SSO 进行身份验证时,用户在登录时拥有的持久权限。 目前支持 StandardAdmin 值。 设备上至少需要一个 管理员 用户才能使用 标准 模式。

常见错误

配置平台 SSO 时,可能会看到以下错误:

  • 10001: misconfiguration in the SSOe payload.

    在以下情况中,可能会出现此错误:

    • 设置目录配置文件中未配置所需的设置。
    • 配置的设置目录配置文件中有一个不适用于 重定向类型有效负载的设置。

    在设置目录配置文件中配置的身份验证设置对于 macOS 13.x 和 14.x 设备是不同的。

    如果环境中有 macOS 13 和 macOS 14 设备,则必须创建一个设置目录策略,并在同一策略中配置其各自的身份验证设置。 本文) 的步骤 2 - 在 Intune (中创建平台 SSO 策略 中介绍了此信息。

  • 10002: multiple SSOe payloads configured.

    多个 SSO 扩展有效负载正在应用于设备,并且存在冲突。 设备上应只有一个扩展配置文件,该配置文件应是设置目录配置文件。

    如果以前使用设备功能模板创建了 SSO 应用扩展配置文件,请取消分配该配置文件。 设置目录配置文件是应分配给设备的唯一配置文件。