在 macOS PSSO 現成體驗期間，使用 Microsoft Entra ID 加入 Mac 裝置 （預覽）

Mac 使用者可以在全新體驗 （OOBE） 期間，將其新裝置加入 Microsoft Entra ID。 macOS Platform 單一登錄 （PSSO） 是 macOS 上的功能，可使用 Microsoft Enterprise 單一登錄擴充功能來啟用。 PSSO 可讓使用者使用硬體系結密鑰、智慧卡或其 Microsoft Entra 識別符密碼登入 Mac 裝置。 本教學課程說明如何在 OOBE 期間設定 Mac 裝置，以使用自動化裝置註冊來使用 PSSO。

必要條件

• 建議的最低macOS 14 Sonoma版本。 雖然支援macOS 13 Ventura，但我們強烈建議使用macOS 14 Sonoma以獲得最佳體驗。
• 自動裝置註冊 （ADE） 已註冊的裝置。 如果您不確定您的裝置是否已向這項需求註冊，請洽詢您的系統管理員。
• Microsoft Intune 公司入口網站 5.2404.0 版或更新版本
• 使用 Microsoft Intune 註冊行動裝置管理 （MDM） 的 Mac 裝置。
• Microsoft Authenticator （建議）：用戶必須在行動裝置上註冊某種形式的 Microsoft Entra ID 多重要素驗證（MFA），才能完成裝置註冊。
• 針對智慧卡設定， 已設定並啟用憑證式驗證 。 使用憑證載入的智慧卡，以向 Microsoft Entra 進行驗證，以及與本機帳戶配對的智慧卡。

設定macOS裝置

1. 第一次開啟 Mac 時看到 「Hello」 畫面時，請遵循步驟來選取您的國家或地區，並視需要設定網路設定。

2. 系統會提示您下載 遠端管理 配置檔，以允許將 Microsoft Intune 中的組態設定套用至您的裝置。 選取 [ 繼續]，並在系統提示您核准管理配置文件下載時輸入您的 Microsoft Entra ID 認證。

   

3. 輸入傳送至 驗證器應用程式 的程式代碼（建議使用），或使用另一個 MFA 方法。

4. 若要建立使用者帳戶，請填入您的完整名稱、帳戶名稱，然後建立本機帳戶密碼。 選取 [ 繼續 ]，並顯示主畫面。

   

使用自動化裝置註冊進行註冊

PSSO 註冊有三種驗證方法：

• 安全記憶體保護區：使用者登入其裝置，其具有安全記憶體保護區支援的密碼編譯密鑰，用於跨使用 Microsoft Entra ID 進行驗證的應用程式使用 SSO。 它也可以稱為macOS平台認證。
• 智慧卡：使用者使用外部智慧卡或智慧卡相容硬令牌登入計算機
• 密碼：使用者以本機帳戶登入其本機裝置，更新為使用其 Microsoft Entra ID 密碼

建議您讓系統管理員使用安全記憶體保護區或智慧卡註冊Mac。 只有 PSSO 才支持這些新的無密碼功能。 在繼續之前，請先檢查系統管理員已設定的驗證方法。

安全記憶體保護區

1. 瀏覽至畫面右上方的 [ 註冊必要] 彈出視窗。 將滑鼠停留在彈出視窗上方，然後選取 [ 註冊]。 針對macOS 14 Sonoma使用者，您會看到向 Microsoft Entra 註冊裝置的提示。 macOS 13 Ventura 不會顯示此提示。

   

2. 出現提示以輸入您的本機帳戶密碼。 輸入您的密碼，然後選取 [ 確定]。

3. 一旦您的帳戶解除鎖定，請選取要登入的帳戶，輸入您的登入認證，然後選取 [ 下一步]。

4. 需要 MFA 作為此登入流程的一部分。 開啟您的 Authenticator 應用程式 （建議）或使用您已註冊的其他 MFA 方法，並輸入畫面上顯示的號碼以完成註冊。

   

5. 當 MFA 流程完成且載入畫面消失時，您的裝置應該向 PSSO 註冊。 您現在可以使用 PSSO 來存取 Microsoft 應用程式資源。

啟用適用於macOS的平臺認證作為通行金鑰

使用安全記憶體保護區方法來設定您的裝置，可讓您使用儲存至 Mac 的產生的認證作為瀏覽器中的通行密鑰。 啟用它;

1. 開啟 設定 應用程式，然後流覽至 [密碼密碼>] 選項。

2. 在 [密碼選項] 底下，尋找 [使用密碼和密碼]，然後透過切換開關啟用 公司入口網站。

   

Smart

將智慧卡與本機帳戶配對

您必須先將智慧卡與本機帳戶配對，才能向智慧卡註冊您的裝置。 開啟終端機應用程式並執行下列命令，以尋找智慧卡憑證的公鑰哈希，並將它與您的本機帳戶配對，然後檢查它是否成功。 這必須使用 來執行 sudo。

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

使用智慧卡註冊您的裝置

1. 瀏覽至畫面右上方的 [ 註冊必要] 彈出視窗。 將滑鼠停留在彈出視窗上方，然後選取 [ 註冊]。 如果您的智慧卡與本機帳戶配對，您會看到輸入智慧卡 PIN 的提示

   

2. 您的系統管理員可能已設定裝置註冊流程的 MFA。 如果是，請在行動裝置上開啟您的 Authenticator 應用程式，並完成 MFA 流程。

   

3. 如果憑證尚未與本機帳戶配對，使用者會看到使用智慧卡的提示。 選取 [ 智慧卡]。

4. 系統會提示您輸入智慧卡的釘選。 輸入您的釘選，然後選取 智慧卡的 [輸入釘選]。 輸入正確的 PIN 時，會完成使用智慧卡驗證的 PSSO 註冊。

5. 您現在可以使用 PSSO 來存取 Microsoft 應用程式資源，並使用智慧卡釘選解除鎖定裝置。 您必須使用本機密碼在重新啟動後登入，才能解除鎖定密鑰鏈存取。

密碼

1. 瀏覽至畫面右上方的 [ 註冊必要] 彈出視窗。 將滑鼠停留在彈出視窗上方，然後選取 [ 註冊]。

   

2. 出現提示以輸入您的本機帳戶密碼。 輸入您的密碼，然後選取 [ 確定]。

3. 一旦您的帳戶解除鎖定，請選取要登入的帳戶，輸入您的登入認證，然後選取 [ 下一步]。

4. 需要 MFA 作為此登入流程的一部分。 開啟您的 Authenticator 應用程式 （建議）或使用您已註冊的其他 MFA 方法，並輸入畫面上顯示的號碼以完成註冊。

   

5. 如果您的本機密碼與您的 Microsoft Entra ID 密碼不同，畫面右上方會出現 [ 需要 驗證] 彈出視窗。 將滑鼠停留在橫幅上，然後選取 [ 登入]。

6. 當 Microsoft Entra 視窗出現時，請輸入您的 Microsoft Entra ID 密碼，然後選取 [登入]。

   

7. 解除鎖定 Mac 之後，您現在可以使用 PSSO 來存取 Microsoft 應用程式資源。 從此開始，您的舊密碼無法運作，因為您的裝置已啟用 PSSO。

檢查您的裝置註冊狀態

完成上述步驟之後，最好檢查您的裝置註冊狀態。

1. 若要檢查註冊是否已順利完成，請流覽至 [設定]，然後選取 [使用者和群組]。

2. 選取 [網络帳戶伺服器] 旁的 [編輯]，並確認 [平臺 SSO] 已列為 [已註冊]。

3. 若要驗證用於驗證的方法，請在 [使用者和群組] 視窗中流覽至您的使用者名稱，然後選取 [資訊] 圖示。 檢查列出的方法，其應該是 安全記憶體保護區、 智慧卡或 密碼。

   注意

   您也可以使用 終端 機應用程式來檢查註冊狀態。 執行下列命令來檢查裝置註冊的狀態。 您應該會在輸出底部看到擷取 SSO 令牌。 針對macOS 13 Ventura使用者，需要此命令才能檢查註冊狀態。

   app-sso platform -s
   

另請參閱

• 使用 公司入口網站，使用 Microsoft Entra ID 加入 Mac 裝置
• Microsoft Entra ID 的無密碼驗證選項
• 在 Microsoft Entra ID 中規劃無密碼驗證部署
• 適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式