macOS 平台單一登入概觀 (預覽)
macOS Platform Single Sign-on (PSSO) 是一項新功能,由 Microsoft 的企業 SSO 外掛程式、macOS 平台認證所提供,可讓使用者使用其 Microsoft Entra ID 認證登入 Mac 裝置。 此功能可藉由簡化使用者的登入程式,並減少他們需要記住的密碼數量,為系統管理員帶來好處。 它也允許使用者使用智慧卡或硬體繫結金鑰,使用 Microsoft Entra ID 進行驗證。 這項功能不需要記住兩個不同的密碼,並降低系統管理員管理本機帳戶密碼的需求,藉此改善使用者體驗。
有三種不同的驗證方法可決定使用者體驗;
- macOS 平台認證:佈建安全記憶體保護區支援的硬體繫結密碼編譯金鑰,用於跨使用 Microsoft Entra ID 進行驗證的應用程式使用 SSO。 使用者的本機帳戶密碼不會受到影響,而且需要登入 Mac。
- 智慧卡:使用者使用外部智慧卡或智慧卡相容的硬權杖登入機器 (例如 Yubikey)。 一旦裝置解除鎖定,智慧卡會與 Microsoft Entra ID 搭配使用,以在使用 Microsoft Entra ID 進行驗證的應用程式之間授與 SSO。
- 密碼做為驗證方法:將使用者的 Microsoft Entra ID 密碼與本機帳戶同步處理,並在使用 Microsoft Entra ID 進行驗證的應用程式之間啟用 SSO。
由 Apple 裝置中的 Microsoft 企業 SSO 外掛程式所提供,PSSO;
- 允許使用者使用觸控識別碼來實現無密碼。
- 根據 Windows Hello 企業版技術使用防網路釣魚認證。
- 藉由移除安全性金鑰的需求來節省客戶組織的資金。
- 使用與安全記憶體保護區整合來推進零信任目標。
若要啟用此功能,系統管理員必須透過 Microsoft Intune 或其他支援的 MDM 來設定 PSSO。 根據裝置的設定方式,使用者可透過安全記憶體保護區、智慧卡或密碼型驗證方法,使用 PSSO 設定其裝置。
需求
若要部署適用於 macOS 的平台 SSO,您需要符合下列最低需求。
建議的最低 macOS 14 Sonoma 版本。 雖然支援 macOS 13 Ventura,但我們強烈建議使用 macOS 14 Sonoma 以獲得最佳體驗。
Microsoft 已安裝 Intune 公司入口網站應用程式 5.2404.0 版或更新版本。 在以 PSSO 為目標之前,必須先有此版本。
組態
您可以在下列文章中找到有關如何設定的詳細資訊和指示:
部署
您可以在這些文章中找到有關如何部署 macOS 平台 SSO 的詳細資訊和指示。
無密碼驗證
密碼是攻擊者的主要攻擊媒介。 他們使用社交工程、網路釣魚和噴灑攻擊來破解密碼。 無密碼驗證策略可降低這些攻擊的風險。
了解如何使用適用於 macOS 的平台 SSO,為貴組織啟用無密碼驗證。
macOS 平台認證也可以做為防網路釣魚認證,以用於 WebAuthn 挑戰 (包括瀏覽器重新驗證案例)。 系統管理員必須啟用此功能的 FIDO2 安全性金鑰驗證方法。 如果您在 FIDO 原則中使用金鑰限制原則,則必須將 macOS 平台認證的 AAGUID 新增至允許的 AAGUID 清單:7FD635B3-2EF9-4542-8D9D-164F2C771EFC
國家標準暨技術研究院 (NIST)
美國國家標準暨技術研究院 (NIST) 是美國商務部的非監管聯邦機構。 NIST 開發和發行標準、指導方針和其他出版物,協助聯邦機構管理符合成本效益的計劃,以保護其資訊和資訊系統。
您可以在這些文章中深入了解如何使用 macOS Platform SSO 來滿足 NIST 需求。
- 設定 Microsoft Entra ID 以符合 NIST 驗證器保證等級
- NIST 驗證器類型和對齊 Microsoft Entra 方法。
- 使用 Microsoft Entra ID 的 NIST 驗證器保證等級 3
疑難排解
如果您在實作 macOS Platform SSO 時遇到問題,請參閱 macOS Platform 單一登入已知問題和疑難排解上的文件