macOS 平台單一登入概觀 (預覽)

macOS Platform Single Sign-on (PSSO) 是一項新功能，由 Microsoft 的企業 SSO 外掛程式、macOS 平台認證所提供，可讓使用者使用其 Microsoft Entra ID 認證登入 Mac 裝置。 此功能可藉由簡化使用者的登入程式，並減少他們需要記住的密碼數量，為系統管理員帶來好處。 它也允許使用者使用智慧卡或硬體繫結金鑰，使用 Microsoft Entra ID 進行驗證。 這項功能不需要記住兩個不同的密碼，並降低系統管理員管理本機帳戶密碼的需求，藉此改善使用者體驗。

有三種不同的驗證方法可決定使用者體驗；

• macOS 平台認證：佈建安全記憶體保護區支援的硬體繫結密碼編譯金鑰，用於跨使用 Microsoft Entra ID 進行驗證的應用程式使用 SSO。 使用者的本機帳戶密碼不會受到影響，而且需要登入Mac。
• 智慧卡：使用者使用外部智慧卡或智慧卡相容的硬權杖登入機器 (例如 Yubikey)。 一旦裝置解除鎖定，智慧卡會與 Microsoft Entra ID 搭配使用，以在使用 Microsoft Entra ID 進行驗證的應用程式之間授與 SSO。
• 密碼做為驗證方法：將使用者的 Microsoft Entra ID 密碼與本機帳戶同步處理，並在使用 Microsoft Entra ID 進行驗證的應用程式之間啟用 SSO。

由 Apple 裝置中的 Microsoft 企業 SSO 外掛程式所提供，PSSO；

• 允許使用者使用觸控識別碼來實現無密碼。
• 根據 Windows Hello 企業版技術使用防網路釣魚認證。
• 藉由移除安全性金鑰的需求來節省客戶組織的資金。
• 使用與安全記憶體保護區整合來推進零信任目標。

若要啟用此功能，系統管理員必須透過 Microsoft Intune 或其他支援的 MDM 來設定 PSSO。 視裝置的設定方式而定，用戶可透過安全記憶體保護區、智慧卡或密碼型驗證方法，使用 PSSO 設定其裝置。

需求

若要部署適用於 macOS 的平台 SSO，您需要符合下列最低需求。

• 建議的最低 macOS 14 Sonoma 版本。 雖然支援 macOS 13 Ventura，但我們強烈建議使用 macOS 14 Sonoma 以獲得最佳體驗。
• Microsoft Authenticator
• Microsoft 已安裝 Intune 公司入口網站應用程式 5.2404.0 版或更新版本。 在以 PSSO 為目標之前，必須先有此版本。
• 用戶必須有足夠的許可權，才能註冊裝置並加入 Microsoft Entra ID。

組態

您可以在下列文章中找到有關如何設定的詳細資訊和指示：

• 在 Microsoft Intune 中設定 macOS 裝置的平臺 SSO

部署

您可以在這些文章中找到有關如何部署 macOS 平台 SSO 的詳細資訊和指示。

• 在現成體驗期間，使用 Microsoft Entra ID 加入 Mac 裝置
• 使用公司入口網站加入 Mac 裝置與 Microsoft Entra ID

無密碼驗證

密碼是攻擊者的主要攻擊媒介。 他們使用社交工程、網路釣魚和噴灑攻擊來破解密碼。 無密碼驗證策略可降低這些攻擊的風險。

了解如何使用適用於 macOS 的平台 SSO，為貴組織啟用無密碼驗證。

• Microsoft Entra ID 的無密碼驗證選項
• 在 Microsoft Entra ID 中計劃無密碼驗證部署

適用於 macOS 的平台認證也可用來作為網路釣魚防護認證，以用於 WebAuthn 挑戰（包括瀏覽器重新驗證案例）。 系統管理員必須啟用此功能的 FIDO2 安全性金鑰驗證方法。 如果您在 FIDO 原則中使用金鑰限制，則必須將 macOS 平台認證的 AAGUID 新增至允許的 AAGUID 清單： 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

微軟平台單一登入：用戶安全隔離密鑰生物識別策略

Microsoft Platform SSO 支援使用 UserSecureEnclaveKey 驗證方法的 UserSecureEnclaveKeyBiometricPolicy 選項時的 Platform SSO。 每當需要存取使用者安全記憶體保護區密鑰時，此原則會要求使用者使用 Touch ID 進行驗證，藉此增強安全性。

• 啟用此原則時，每當存取使用者安全記憶體保護區密鑰時，系統會提示使用者進行觸控標識符驗證。 在 PSSO 註冊期間、使用使用者金鑰作為密碼重設的瀏覽器重新驗證情境，以及登入期間的驗證以取得 PSSO 令牌時，會進行提示。
• 啟用此原則需要裝置支援觸控標識碼生物特徵辨識驗證。 用戶必須設定 Touch ID 才能繼續進行 PSSO 註冊。 系統管理員應該先確定使用者擁有生物特徵辨識支援的裝置或支援觸控標識碼的外部鍵盤，再啟用此原則。

備註

啟用 UserSecureEnclaveKeyBiometricPolicy 時，使用使用者安全記憶體保護區密鑰進行驗證時，沒有密碼後援的選項。 因此，如果用戶沒有觸控標識符生物特徵辨識技術，將無法驗證Microsoft Entra ID。

UserSecureEnclaveKeyBiometricPolicy 的使用需求

• 作系統：macOS 14.6 和更新版本

• 公司入口網站版本：2504 和更新版本

  這很重要

  如果在 PSSO 註冊完成後啟用此功能，所有用戶都必須進行完整的 PSSO 重新註冊程式，原則才會生效。 此重新註冊程式必須是管理員導向，因為使用者不會看到重新註冊提示。 系統管理員應仔細考慮是否啟用此原則，並據此規劃 PSSO 的部署。

如何啟用「UserSecureEnclaveKeyBiometricPolicy」

高安全性客戶可以選擇在 SSO 延伸模組的數據字典中設定旗標來啟用這項功能。

• 機碼名稱：enable_se_key_biometric_policy
• 值：True

UserSecureEnclaveKeyBiometricPolicy 的優點

• 增強安全性：使用者安全記憶體保護區密鑰存取受到硬體保護，且只能在成功進行觸控標識元驗證之後存取，以提供額外的安全性層。

UserSecureEnclaveKeyBiometricPolicy 的缺點

• 更多提示：使用者會在 PSSO 註冊期間遇到額外的提示，因為密鑰會在程式期間多次存取。
• Biometric-Only 存取：PSSO 密碼只能透過生物辨識驗證來存取。 沒有密碼後援。 如果裝置使用密碼解除鎖定，使用者仍會提示用戶進行生物特徵辨識驗證，以取得 PSSO 令牌。

國家標準暨技術研究院 (NIST)

美國國家標準暨技術研究院 (NIST) 是美國商務部的非監管聯邦機構。 NIST 開發和發行標準、指導方針和其他出版物，協助聯邦機構管理符合成本效益的計劃，以保護其資訊和資訊系統。

您可以在這些文章中深入了解如何使用 macOS Platform SSO 來滿足 NIST 需求。

• 設定 Microsoft Entra ID 以符合 NIST 驗證器保證等級
• NIST 驗證器類型和對齊 Microsoft Entra 方法。
• 使用 Microsoft Entra ID 的 NIST 驗證器保證等級 3

疑難排解

如果您在實作 macOS Platform SSO 時遇到問題，請參閱 macOS Platform 單一登入已知問題和疑難排解上的文件