分享方式:


macOS 平台單一登入概觀 (預覽)

macOS Platform Single Sign-on (PSSO) 是一項新功能,由 Microsoft 的企業 SSO 外掛程式、macOS 平台認證所提供,可讓使用者使用其 Microsoft Entra ID 認證登入 Mac 裝置。 此功能可藉由簡化使用者的登入程式,並減少他們需要記住的密碼數量,為系統管理員帶來好處。 它也允許使用者使用智慧卡或硬體繫結金鑰,使用 Microsoft Entra ID 進行驗證。 這項功能不需要記住兩個不同的密碼,並降低系統管理員管理本機帳戶密碼的需求,藉此改善使用者體驗。

有三種不同的驗證方法可決定使用者體驗;

  • macOS 平台認證:佈建安全記憶體保護區支援的硬體繫結密碼編譯金鑰,用於跨使用 Microsoft Entra ID 進行驗證的應用程式使用 SSO。 使用者的本機帳戶密碼不會受到影響,而且需要登入 Mac。
  • 智慧卡:使用者使用外部智慧卡或智慧卡相容的硬權杖登入機器 (例如 Yubikey)。 一旦裝置解除鎖定,智慧卡會與 Microsoft Entra ID 搭配使用,以在使用 Microsoft Entra ID 進行驗證的應用程式之間授與 SSO。
  • 密碼做為驗證方法:將使用者的 Microsoft Entra ID 密碼與本機帳戶同步處理,並在使用 Microsoft Entra ID 進行驗證的應用程式之間啟用 SSO。

Apple 裝置中的 Microsoft 企業 SSO 外掛程式所提供,PSSO;

  • 允許使用者使用觸控識別碼來實現無密碼。
  • 根據 Windows Hello 企業版技術使用防網路釣魚認證。
  • 藉由移除安全性金鑰的需求來節省客戶組織的資金。
  • 使用與安全記憶體保護區整合來推進零信任目標。

若要啟用此功能,系統管理員必須透過 Microsoft Intune 或其他支援的 MDM 來設定 PSSO。 根據裝置的設定方式,使用者可透過安全記憶體保護區、智慧卡或密碼型驗證方法,使用 PSSO 設定其裝置。

需求

若要部署適用於 macOS 的平台 SSO,您需要符合下列最低需求。

  • 建議的最低 macOS 14 Sonoma 版本。 雖然支援 macOS 13 Ventura,但我們強烈建議使用 macOS 14 Sonoma 以獲得最佳體驗。

  • Microsoft Authenticator

  • Microsoft 已安裝 Intune 公司入口網站應用程式 5.2404.0 版或更新版本。 在以 PSSO 為目標之前,必須先有此版本。

組態

您可以在下列文章中找到有關如何設定的詳細資訊和指示:

部署

您可以在這些文章中找到有關如何部署 macOS 平台 SSO 的詳細資訊和指示。

無密碼驗證

密碼是攻擊者的主要攻擊媒介。 他們使用社交工程、網路釣魚和噴灑攻擊來破解密碼。 無密碼驗證策略可降低這些攻擊的風險。

了解如何使用適用於 macOS 的平台 SSO,為貴組織啟用無密碼驗證。

macOS 平台認證也可以做為防網路釣魚認證,以用於 WebAuthn 挑戰 (包括瀏覽器重新驗證案例)。 系統管理員必須啟用此功能的 FIDO2 安全性金鑰驗證方法。 如果您在 FIDO 原則中使用金鑰限制原則,則必須將 macOS 平台認證的 AAGUID 新增至允許的 AAGUID 清單:7FD635B3-2EF9-4542-8D9D-164F2C771EFC

國家標準暨技術研究院 (NIST)

美國國家標準暨技術研究院 (NIST) 是美國商務部的非監管聯邦機構。 NIST 開發和發行標準、指導方針和其他出版物,協助聯邦機構管理符合成本效益的計劃,以保護其資訊和資訊系統。

您可以在這些文章中深入了解如何使用 macOS Platform SSO 來滿足 NIST 需求。

疑難排解

如果您在實作 macOS Platform SSO 時遇到問題,請參閱 macOS Platform 單一登入已知問題和疑難排解上的文件