分享方式:


在 Microsoft Intune 中設定 macOS 裝置的平臺 SSO

在macOS裝置上,您可以設定 Platform SSO,以使用無密碼驗證、Microsoft Entra ID 使用者帳戶或智慧卡來啟用單一登錄 (SSO) 。 平臺 SSO 是 Microsoft Enterprise SSO 外掛程式SSO 應用程式延伸模組的增強功能。 平臺 SSO 可以使用其Microsoft Entra ID 認證和 Touch ID,將使用者登入其受控 Mac 裝置。

本文適用於:

  • macOS

Microsoft Entra ID 中的 Microsoft Enterprise SSO 外掛程式 包含兩個 SSO 功能 - 平台 SSOSSO 應用程式延伸模組。 本文著重於為處於預覽狀態的macOS裝置設定 具有EntraID的平臺SSO

Platform SSO 的一些優點包括:

  • 包含 SSO 應用程式延伸模組。 您不會個別設定 SSO 應用程式延伸模組。
  • 使用硬體系結至 Mac 裝置的防網路釣魚認證移至無密碼。
  • 登入體驗類似於使用公司或學校帳戶登入 Windows 裝置,就像使用者使用 Windows Hello 企業版一樣。
  • 協助將使用者輸入其Microsoft Entra ID 認證所需的次數降到最低。
  • 協助減少使用者需要記住的密碼數目。
  • 取得 Microsoft Entra join 的優點,這可讓任何組織使用者登入裝置。
  • 隨附於所有 Microsoft Intune 授權方案

當 Mac 裝置加入 Microsoft Entra ID 租使用者時,裝置會 (WPJ) 憑證取得工作場所聯結,該憑證是硬體系結的,且只能由 Microsoft Enterprise SSO 外掛程式存取。 若要存取使用條件式存取保護的資源,應用程式和網頁瀏覽器需要此 WPJ 憑證。 設定 Platform SSO 後,SSO 應用程式延伸模組會作為代理程式,以Microsoft Entra ID 驗證和條件式存取。

您可以使用 設定目錄來設定平臺 SSO。 當原則準備就緒時,您會將原則指派給使用者。 Microsoft建議您在使用者於 Intune 中註冊裝置時指派原則。 但是,您可以隨時指派它,包括在現有的裝置上。

本文說明如何在 Intune 中設定 macOS 裝置的平臺 SSO。

先決條件

步驟 1 - 決定驗證方法

當您在 Intune 中建立平臺 SSO 原則時,您必須決定要使用的驗證方法。

您使用的平臺 SSO 原則和驗證方法會變更使用者登入裝置的方式。

  • 當您設定 Platform SSO 時,使用者會使用您設定的驗證方法登入其 macOS 裝置。
  • 當您未使用平臺 SSO 時,使用者會使用本機帳戶登入其 macOS 裝置。 然後,他們使用其Microsoft Entra ID 登入應用程式和網站。

在此步驟中,使用資訊來了解驗證方法的差異,以及它們如何影響使用者登入體驗。

提示

Microsoft建議在設定平臺 SSO 時使用 安全記憶體 保護區作為驗證方法。

功能 安全記憶體保護區 智慧卡 密碼
無密碼 (防網路釣魚)
支援解除鎖定的 TouchID
可以當做通行金鑰使用
設定的

必要 MFA一律建議使用多重要素驗證 (MFA)
與 Entra ID 同步處理的本機 Mac 密碼
macOS 13.x 上支援 +
macOS 14.x + 支援
選擇性地允許新的使用者使用macOS 14.x+ (的 Entra ID 認證登入)

安全記憶體保護區

當您使用 安全記憶體保護區 驗證方法設定 Platform SSO 時,SSO 外掛程式會使用硬體系結的密碼編譯密鑰。 它不會使用 Microsoft Entra 認證向應用程式和網站驗證使用者。

如需安全記憶體保護區的詳細資訊,請移至 安全記憶體 保護區 (開啟 Apple 的網站) 。

安全記憶體保護區:

  • 被視為無密碼且符合防網路釣魚的多重要素 (MFA) 需求。 它在概念上類似於 Windows Hello 企業版。 它也可以使用與 Windows Hello 企業版相同的功能,例如條件式存取。
  • 將本機帳戶用戶名稱和密碼保留為原狀。 這些值不會變更。

    注意事項

    此行為的設計是因為 Apple 的 FileVault 磁碟加密,其使用本機密碼作為解除鎖定密鑰。

  • 裝置重新啟動之後,用戶必須輸入本機帳戶密碼。 在此初始電腦解除鎖定之後,觸控標識碼可用來解除鎖定裝置。
  • 解除鎖定之後,裝置會取得全裝置 SSO 的硬體支援的主要重新整理令牌 (PRT) 。
  • 在網頁瀏覽器中,此 PRT 金鑰可以使用 WebAuthN API 作為通行密鑰。
  • 其設定可以透過驗證應用程式開機以進行 MFA 驗證,或Microsoft TAP) (暫時存取階段。
  • 啟用建立和使用 Microsoft Entra ID 通行密鑰。

密碼

當您使用 密碼 驗證方法設定 Platform SSO 時,使用者會使用其Microsoft Entra ID 用戶帳戶而非其本機帳戶密碼來登入裝置。

此選項可在使用 Microsoft Entra ID 進行驗證的應用程式之間啟用 SSO。

使用 密碼 驗證方法:

  • Microsoft Entra ID 密碼會取代本機帳戶密碼,且兩個密碼會保持同步。

    注意事項

    本機帳戶計算機密碼不會完全從裝置中移除。 此行為的設計是因為 Apple 的 FileVault 磁碟加密,其使用本機密碼作為解除鎖定密鑰。

  • 本機帳戶用戶名稱不會變更,且會保持原樣。

  • 終端使用者可以使用 Touch ID 來登入裝置。

  • 用戶和系統管理員要記住和管理的密碼較少。

  • 用戶必須在裝置重新啟動之後,輸入其Microsoft Entra ID 密碼。 在此初始電腦解除鎖定之後,觸控標識碼可以解除鎖定裝置。

  • 解除鎖定之後,裝置會取得Microsoft Entra ID SSO 的硬體系結主要重新整理令牌 (PRT) 認證。

注意事項

您設定的任何 Intune 密碼原則也會影響此設定。 例如,如果您有封鎖簡單密碼的密碼原則,則此設定也會封鎖簡單密碼。

請確定您的 Intune 密碼原則和/或合規性原則符合您的 Microsoft Entra 密碼原則。 如果原則不相符,則密碼可能不會同步處理,且終端使用者會被拒絕存取。

智慧卡

當您使用 智慧卡 驗證方法設定 Platform SSO 時,使用者可以使用智慧卡憑證和相關聯的 PIN 來登入裝置,並向應用程式和網站進行驗證。

此選項:

  • 被視為無密碼。
  • 將本機帳戶用戶名稱和密碼保留為原狀。 這些值不會變更。

如需詳細資訊,請移 至在iOS和macOS上Microsoft以憑證為基礎的驗證

步驟 2 - 在 Intune 中建立平臺 SSO 原則

若要設定平臺 SSO 原則,請使用下列步驟來建立 Intune 設定目錄 原則。 Microsoft Enterprise SSO 外掛程式需要這些設定。 如需詳細資訊,請移 至 Microsoft Apple 裝置的企業 SSO 外掛程式

如需可延伸單一登錄延伸模塊承載設定的詳細資訊,請移至 Apple 裝置的可延伸單一登錄 MDM 承載設定 , (開啟 Apple 的網站) 。

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>管理裝置>設定>] [建立>新原則]

  3. 輸入下列內容:

    • 平台:選 取macOS
    • 設定檔類型:選 取 [設定目錄]
  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,將原則命名為 macOS - Platform SSO
    • 描述:輸入原則的描述。 這是選擇性設定,但建議進行。
  6. 選取[下一步]。

  7. 在 [ 組態設定] 中,選取 [ 新增設定]。 在設定選擇器中,展開 [ 驗證],然後選取 [ 可延伸的單一登錄 (SSO)

    此螢幕快照顯示 [設定目錄設定] 選擇器,以及在 Microsoft Intune 中選取驗證和可延伸 SSO 類別。

    在清單中,選取下列設定:

    • 限macOS 13 ( (已淘汰) 驗證方法)
    • 延伸模組識別碼
    • 展開 [平臺 SSO]:
      • 選取macOS 14+ (驗證方法)
      • 取令牌對用戶對應
      • 取 [使用共用裝置密鑰]
    • 註冊令牌
    • 屏幕鎖定行為
    • 小組標識碼
    • 類型
    • URL

    關閉設定選擇器。

    提示

    您可以在原則中設定更多選擇性的平臺 SSO 設定。 如需清單,請移至您可以在本文) 中設定 (的 [ 更多平臺 SSO 設定]。

  8. 設定下列必要設定:

    名稱 組態值 描述
    已淘汰 (驗證方法)
    僅 (macOS 13)
    密碼UserSecureEnclave 選取您在本文) 的 步驟 1 - 決定驗證方法 (中選擇的平臺 SSO 驗證方法。

    此設定僅適用於 macOS 13。 針對macOS 14.0和更新版本,請使用 [平臺 SSO>驗證方法 ] 設定。
    延伸模組識別碼 com.microsoft.CompanyPortalMac.ssoextension 此識別碼是配置檔需要的 SSO 應用程式延伸模組,SSO 才能運作。

    擴充功能識別碼小組標識碼值一起運作。
    平臺 SSO>驗證方法
    (macOS 14+)
    PasswordUserSecureEnclaveSmartCard 選取您在本文) 的 步驟 1 - 決定驗證方法 (中選擇的平臺 SSO 驗證方法。

    此設定適用於macOS 14和更新版本。 若為macOS 13,請使用 [ 驗證方法 (已被取代) 設定。
    平臺 SSO>使用共用裝置金鑰
    (macOS 14+)
    Enabled 啟用時,平臺 SSO 會針對相同裝置上的所有使用者使用相同的簽署和加密密鑰。

    系統會提示從 macOS 13.x 升級至 14.x 的使用者再次註冊。
    註冊令牌 {{DEVICEREGISTRATION}} 您必須包含大括弧。 如需此註冊令牌的詳細資訊,請移至設定Microsoft裝置註冊。

    此設定需要您也進行 AuthenticationMethod 設定。

    - 如果您只使用 macOS 13 裝置,請設定 [ 已淘汰) (驗證方法 設定。
    - 如果您只使用 macOS 14+ 裝置,請設定 [平臺 SSO>驗證方法 ] 設定。
    - 如果您混合使用 macOS 13 和 macOS 14+ 裝置,請在同一個設定檔中設定這兩個驗證設定。
    屏幕鎖定行為 不要處理 當設定為 [不要處理] 時,要求會在沒有 SSO 的情況下繼續。
    令牌對用戶對應>帳戶名稱 preferred_username 此令牌會指定將 Entra preferred_username 屬性值用於 macOS 帳戶的 [帳戶名稱] 值。
    令牌對用戶對應>全名 name 此令牌會指定將 Entra name 宣告用於macOS帳戶的全名值。
    小組標識碼 UBF8T346G9 此標識碼是企業 SSO 外掛程式應用程式延伸模組的小組識別碼。
    類型 重新導向
    URL 輸入下列所有網址:

    https://login.microsoftonline.com
    https://login.microsoft.com
    https://sts.windows.net

    如果您的環境需要允許主權雲端網域,請同時新增下列 URL:

    https://login.partner.microsoftonline.cn
    https://login.chinacloudapi.cn
    https://login.microsoftonline.us
    https://login-us.microsoftonline.com
    這些 URL 前置詞是執行 SSO 應用程式擴充功能的識別提供者。 重新導向承載需要 URL,認證承載則會忽略這些 URL

    如需這些 URL 的詳細資訊,請移至 Microsoft Apple 裝置的企業 SSO 外掛程式

    重要事項

    如果您的環境中混合了 macOS 13 和 macOS 14+ 裝置,請在同一個設定檔中設定 平臺 SSO>驗證方法驗證方法 (已被取代) 驗證設定。

    配置文件準備就緒時,看起來類似下列範例:

    顯示 Intune MDM 設定檔中建議平臺 SSO 設定的螢幕快照。

  9. 選取[下一步]。

  10. 在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如 US-NC IT TeamJohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請移至 使用分散式IT的 RBAC 角色和範圍標籤

    選取 [下一步]

  11. 在 [ 指派] 中,選取接收配置檔的使用者或裝置群組。 針對具有使用者親和性的裝置,指派給使用者或使用者群組。 對於具有多個使用者且未具備使用者親和性的裝置,請指派給裝置或裝置群組。

    如需指派配置檔的詳細資訊,請移至 指派使用者和裝置配置檔

    選取[下一步]。

  12. 在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。

下次裝置檢查組態更新時,會套用您設定的設定。

步驟 3 - 部署 macOS 版公司入口網站應用程式

適用於 macOS 的公司入口網站應用程式會部署並安裝 Microsoft Enterprise SSO 外掛程式。 此外掛程式會啟用平臺 SSO。

使用 Intune,您可以新增公司入口網站應用程式,並將其部署為 macOS 裝置的必要應用程式:

沒有任何特定步驟可設定平臺 SSO 的應用程式。 只要確定最新的公司入口網站應用程式已新增至 Intune 並部署至 macOS 裝置即可。

如果您已安裝舊版的公司入口網站應用程式,則平臺 SSO 將無法運作。

步驟 4 - 註冊裝置並套用原則

若要使用平臺 SSO,裝置必須使用下列其中一種方法在 Intune 中註冊 MDM:

  • 針對 組織擁有的裝置,您可以:

  • 針對 個人擁有的裝置,建立 裝置註冊 原則。 使用此註冊方法,終端用戶會開啟公司入口網站應用程式,並使用其Microsoft Entra ID 登入。 成功登入時,會套用註冊原則。

針對 新的裝置,建議您預先建立並設定所有必要的原則,包括註冊原則。 然後,當裝置在 Intune 中註冊時,原則會自動套用。

針對已在 Intune 中註冊的 現有裝置 ,請將平臺 SSO 原則指派給您的使用者或使用者群組。 下次裝置與 Intune 服務同步或簽入時,會收到您建立的平臺 SSO 原則設定。

步驟 5 - 註冊裝置

當裝置收到原則時,通知中心會顯示註冊 必要 通知。

此螢幕快照顯示當您在 Microsoft Intune 中設定 Platform SSO 時,終端使用者裝置上需要註冊的提示。

  • 用戶選取此通知、使用其組織帳戶登入 Microsoft Entra ID 外掛程式,並視需要完成多重要素驗證 (MFA) 。

    注意事項

    MFA 是 Microsoft Entra 的功能。 請確定您的租用戶已啟用 MFA。 如需詳細資訊,包括任何其他應用程式需求,請移至 Microsoft 多重要素驗證。

  • 成功驗證時,裝置會Microsoft加入組織,且 WPJ (工作場所加入) 憑證會系結至裝置。

下列文章會根據註冊方法顯示用戶體驗:

步驟 6 - 確認裝置上的設定

當平臺 SSO 註冊完成時,您可以確認已設定 Platform SSO。 如需步驟,請移至 Microsoft Entra ID - 檢查您的裝置註冊狀態

在 Intune 註冊的裝置上,您也可以移至 [設定隱私權和安全>性>配置檔]。 您的平臺 SSO 設定檔會顯示在 底下 com.apple.extensiblesso Profile。 選取設定檔以查看您設定的設定,包括URL。

若要針對平臺 SSO 進行疑難解答,請移至 macOS Platform 單一登錄已知問題並進行疑難解答

步驟 7 - 取消指派任何現有的 SSO 應用程式延伸模組設定檔

確認您的設定目錄原則正常運作之後,請取消指派使用 Intune 裝置功能範本建立的任何現有 SSO 應用程式延伸 模組設定檔。

如果您保留這兩個原則,可能會發生衝突。

您可以設定的更多平臺 SSO 設定

當您在 步驟 2 - 在 Intune 中建立平臺 SSO 原則中建立設定目錄設定檔時,您可以設定更多選擇性設定。

下列設定可讓您自定義用戶體驗,並提供更細微的用戶權力控制。 不支援任何未記載的平臺 SSO 設定。

平臺 SSO 設定 可能值 使用情況
帳戶顯示名稱 任何字串值。 自定義用戶在平臺 SSO 通知中看到的組織名稱。
啟用在登入時建立使用者 啟用停用 允許任何組織使用者使用其 Microsoft Entra 認證登入裝置。
新增用戶授權模式 標準系統管理員群組 使用平臺 SSO 建立帳戶時,使用者在登入時擁有的一次性許可權。 目前支援 StandardAdmin 值。 在使用標準模式之前,裝置上至少需要一個系統管理員使用者。
用戶授權模式 標準系統管理員群組 每次使用者使用 Platform SSO 進行驗證時,使用者在登入時擁有的持續性許可權。 目前支援 StandardAdmin 值。 在使用標準模式之前,裝置上至少需要一個系統管理員使用者。

常見錯誤

當您設定 Platform SSO 時,可能會看到下列錯誤:

  • 10001: misconfiguration in the SSOe payload.

    如果發生下列情況,就會發生此錯誤:

    您在設定目錄設定檔中設定的驗證設定,與 macOS 13.x 和 14.x 裝置不同。

    如果您的環境中有 macOS 13 和 macOS 14 裝置,則必須建立一個設定目錄原則,並在相同的原則中設定其各自的驗證設定。 本文) 的步驟 2 - 在 Intune 中建立平臺 SSO 原則 (記載此資訊。

  • 10002: multiple SSOe payloads configured.

    多個 SSO 擴充功能承載正在套用至裝置,且發生衝突。 裝置上應該只有一個擴充功能配置檔,而且該配置檔應該是設定類別目錄配置檔。

    如果您先前使用裝置功能範本建立 SSO 應用程式延伸模組設定檔,請取消指派該設定檔。 設定類別目錄配置檔是唯一應該指派給裝置的配置檔。