在現成體驗期間，透過 macOS PSSO 使用 Microsoft Entra ID 加入 Mac 裝置 (預覽)

Mac 使用者可以在全新體驗 (OOBE) 期間，將其新裝置加入 Microsoft Entra ID。 macOS 平台單一登入 (PSSO) 是 macOS 上的一項功能，可使用 Microsoft 企業單一登入擴充功能啟用。 PSSO 可讓使用者使用硬體繫結金鑰、智慧卡或其 Microsoft Entra ID 密碼登入 Mac 裝置。 本教學課程說明如何在 OOBE 期間設定 Mac 裝置，以使用自動裝置註冊來使用 PSSO。

必要條件

• 建議的最低 macOS 版本為 14 Sonoma 版本。 雖然支援 macOS 13 Ventura，但我們強烈建議使用 macOS 14 Sonoma 以獲得最佳體驗。
• 自動裝置註冊 (ADE) 註冊的裝置。 如果您不確定裝置是否符合這項要求，請洽詢系統管理員。
• Microsoft Intune 公司入口網站 5.2404.0 或更新版本
• 透過 Microsoft Intune 註冊行動裝置管理 (MDM) 中的 Mac裝置。
• Microsoft Authenticator (建議)：使用者必須在其行動裝置上註冊某種形式的 Microsoft Entra ID 多重要素驗證 (MFA)，才能完成裝置註冊。
• 對於智慧卡設定，已設定並啟用憑證式驗證。 使用憑證載入以使用 Microsoft Entra 進行驗證的智慧卡，以及與本機帳戶配對的智慧卡。

設定 macOS 裝置

1. 初次開啟 Mac 時看到「Hello」畫面時，請遵循步驟來選取您的國家或地區，並視需要設定網路設定。

2. 系統會提示您下載遠端管理設定檔，讓 Microsoft Intune 中的組態設定套用至您的裝置。 選取 [繼續]，並在系統提示您核准下載管理設定檔時，輸入您的 Microsoft Entra ID 認證。

   

3. 輸入傳送至您的驗證器應用程式的程式碼 (建議)，或使用另一個 MFA 方法。

4. 若要建立使用者帳戶，請填入您的完整名稱、帳戶名稱，然後建立本機帳戶密碼。 選取 [繼續]，並顯示主畫面。

   

使用自動裝置註冊進行註冊

PSSO 註冊的驗證方法有以下三種：

• 安全記憶體保護區：使用者登入其裝置，其具有安全記憶體保護區支援的密碼編譯金鑰，可以在使用 Microsoft Entra ID 進行驗證的應用程式中進行 SSO。 它也可以稱為 macOS 的平台認證。
• 智慧卡：使用者使用外部智慧卡或智慧卡相容硬權杖登入電腦
• 密碼：使用者以本機帳戶登入其本機裝置，更新為使用其 Microsoft Entra ID 密碼

建議系統管理員使用安全記憶體保護區或智慧卡註冊 Mac。 這些新的無密碼功能僅受 PSSO 支援。 在繼續進行之前，請先檢查系統管理員已設定的驗證方法。

安全記憶體保護區

1. 瀏覽至畫面右上方的 [需要註冊] 彈出視窗。 將滑鼠停留在彈出視窗上方，然後選取 [註冊]。 對於 macOS 14 Sonoma 使用者，您會看到向 Microsoft Entra 註冊裝置的提示。 macOS 13 Ventura 不會顯示此提示。

   

2. 出現輸入本機帳戶密碼的提示。 輸入您的密碼，然後選取 [確定]。

3. 帳戶解除鎖定之後，請選取要登入的帳戶，輸入登入認證，然後選取 [下一步]。

4. 此登入流程需要 MFA。 開啟您的 [驗證應用程式] (建議) 或使用已註冊的其他 MFA 方法，並輸入畫面上顯示的號碼以完成註冊。

   

5. 當 MFA 流程完成且載入畫面消失時，裝置應已註冊到 PSSO。 您現在可以使用 PSSO 來存取 Microsoft 應用程式資源。

為 macOS 啟用平台認證以用作通行金鑰

使用安全記憶體保護區方法來設定裝置，可以使用瀏覽器中作為通行金鑰儲存至 Mac 的結果認證。 若要啟用這項功能，請執行以下操作：

1. 開啟 [設定] 應用程式，然後瀏覽至 [密碼]>[密碼選項]。

2. 在 [密碼選項] 底下，尋找 [使用密碼和通行金鑰來源]，然後透過切換開關啟用 [公司入口網站]。

   

Smart

將智慧卡與本機帳戶配對

您必須先將智慧卡與本機帳戶配對，才能使用智慧卡註冊裝置。 開啟 [終端] 應用程式並執行下列命令，以尋找智慧卡憑證的公開金鑰雜湊並將其與本機帳戶配對，然後檢查是否成功。 這必須使用 sudo 來執行。

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

使用智慧卡註冊裝置

1. 瀏覽至畫面右上方的 [需要註冊] 彈出視窗。 將滑鼠停留在彈出視窗上方，然後選取 [註冊]。 如果您的智慧卡與本機帳戶配對，即會看到輸入智慧卡 PIN 的提示

   

2. 您的系統管理員可能已設定裝置註冊流程的 MFA。 如果是，請在行動裝置上開啟驗證器應用程式，並完成 MFA 流程。

   

3. 如果憑證尚未與本機帳戶配對，使用者會看到使用智慧卡的提示。 選取 [智慧卡]。

4. 系統會提示您輸入智慧卡 PIN。 輸入您的 PIN，然後選取 [輸入智慧卡 PIN]。 輸入正確的 PIN 後，會完成使用智慧卡驗證的 PSSO 註冊。

5. 您現在可以使用 PSSO 來存取 Microsoft 應用程式資源，並使用智慧卡 PIN 解除鎖定裝置。 重新啟動後，您必須使用本機密碼登入才能解除鎖定金鑰鏈存取。

密碼

1. 瀏覽至畫面右上方的 [需要註冊] 彈出視窗。 將滑鼠停留在彈出視窗上方，然後選取 [註冊]。

   

2. 出現輸入本機帳戶密碼的提示。 輸入您的密碼，然後選取 [確定]。

3. 帳戶解除鎖定之後，請選取要登入的帳戶，輸入登入認證，然後選取 [下一步]。

4. 此登入流程需要 MFA。 開啟您的 [驗證應用程式] (建議) 或使用已註冊的其他 MFA 方法，並輸入畫面上顯示的號碼以完成註冊。

   

5. 如果本機密碼與 Microsoft Entra ID 密碼不同，畫面右上方會出現 [需要驗證] 彈出視窗。 將滑鼠停留在橫幅上，然後選取 [登入]。

6. 當 Microsoft Entra 視窗出現時，請輸入您的 Microsoft Entra ID 密碼，然後選取 [登入]。

   

7. 解除鎖定 Mac 之後，您現在可以使用 PSSO 來存取 Microsoft 應用程式資源。 從此時開始，舊密碼將無法運作，因為裝置已啟用 PSSO。

檢查裝置註冊狀態

完成上述步驟之後，最好檢查您的裝置註冊狀態。

1. 若要檢查註冊是否已順利完成，請瀏覽至 [設定]，然後選取 [使用者和群組]。

2. 選取 [網路帳戶伺服器] 旁的 [編輯]，並檢查 [平台 SSO] 是否已列為 [已註冊]。

3. 若要驗證用於驗證的方法，請在 [使用者和群組] 視窗中瀏覽至使用者名稱，然後選取 [資訊] 圖示。 檢查列出的方法，應為 [安全記憶體保護區]、[智慧卡] 或 [密碼]。

   注意

   您還可以使用 [終端] 應用程式來檢查註冊狀態。 執行下列命令來檢查裝置註冊的狀態。 您應該會在輸出底部看到擷取的 SSO 權杖。 對於 macOS 13 Ventura 使用者，需要此命令才能檢查註冊狀態。

   app-sso platform -s
   

另請參閱

• 使用公司入口網站透過 Microsoft Entra ID 加入 Mac 裝置
• Microsoft Entra ID 的無密碼驗證選項
• 在 Microsoft Entra ID 中計劃無密碼驗證部署
• 適用於 Apple 裝置的 Microsoft 企業 SSO 外掛程式