你可以設定平台單點登入(Platform SSO),透過無密碼認證、Microsoft Entra ID使用者帳號或智慧卡,為你的 macOS 裝置啟用單點登入 (SSO) 。 平台單點是 Microsoft Entra 的一項功能,能強化 Microsoft Enterprise 的 SSO 外掛及 SSO 應用擴充功能。
本功能適用於:
- macOS
平台單點登入(Platform SSO)可利用使用者的 Microsoft Entra ID 憑證與 Touch ID 登入其受管理的 Mac 裝置。 你可以用 Intune 設定平台單點,並將平台單點點設定部署到你的 macOS 裝置上。
Microsoft Enterprise 的 SSO 外掛在 Microsoft Entra ID 中包含兩個 SSO 功能——平台 SSO 與 SSO 應用程式擴充功能。 本文重點在於如何設定使用 Microsoft Entra ID 來設定平台單點登入(Platform SSO)。
這篇文章會教你如何在 Intune 中為 macOS 裝置設定平台單點單點(Platform SSO)。 關於一些常見的平台單點單點(SOS)情境,你也可以設定,請參考 macOS 裝置的通用平台單點單點(SSO)。
優點
平台單點登入的一些優點包括:
- 它包含了 SSO 應用程式擴充功能。 你不需要另外設定 SSO 應用程式擴充功能。
- 你可以用硬體綁定在 Mac 裝置上的抗釣魚憑證,實現無密碼。
- 登入體驗類似於用工作或學校帳號登入 Windows 裝置,就像使用者使用 Windows Hello 企業版一樣。
- 這有助於減少使用者輸入 Microsoft Entra ID 憑證的次數。
- 這有助於減少使用者需要記住的密碼數量。
- 你可以享受 Microsoft Entra join 的好處,讓任何組織使用者都能登入裝置。
- 它包含在所有 Microsoft Intune 授權方案中。
運作方式
當 Mac 裝置加入 Microsoft Entra ID 租戶時,裝置會獲得 WPJ) 憑證 (工作場所加入。 此 WPJ 憑證受硬體限制,僅能透過 Microsoft Enterprise 的 SSO 外掛存取。 要存取使用條件存取保護的資源,應用程式和網頁瀏覽器需要這份 WPJ 憑證。
在設定 Platform SSO 後,SSO 應用程式擴充功能會作為 Microsoft Entra ID 認證與條件存取的代理。
你可以用 Intune 設定目錄來設定平台單點單點。 當設定目錄的政策準備好後,你就可以指派該政策。 Microsoft 建議你在使用者將裝置註冊到 Intune 時就指派該政策。 但它可以隨時指派,包括現有裝置。
必要條件
裝置必須運行 macOS 13.0 及更新版本。
裝置上必須安裝 Microsoft Intune 公司入口網站5.2404.0 及更新版本。 此版本包含平台單點登入(Platform SSO)。
以下網頁瀏覽器支援平台單點單點登入(Platform SSO):
Microsoft Edge
Google Chrome 搭配 Microsoft 單一登入擴充功能
你可以用Intune偏好設定檔 (.plist) 政策,強制安裝這個擴充功能。 在您的檔案中
.plist,您需要 Chrome Enterprise 政策中的部分資訊 - ExtensionInstallForcelist (開啟 Google 網站) 。警告
GitHub 上的 ManagedPreferencesApplications 範例中有範例
.plist檔案。 這個 GitHub 倉庫並非 Microsoft 擁有、維護或建立。 使用這些資訊請自行承擔風險。Safari
你可以用 Intune 加入網頁瀏覽器應用程式,包括套件 (
.pkg) 和磁碟映像 (.dmg) 檔案,並將應用程式部署到你的 macOS 裝置。 要開始,請前往「新增應用程式到 Microsoft Intune」。平台單點登入會使用 Intune 的設定目錄來設定所需的設定。 要建立設定目錄政策,至少請以擁有以下 Intune 權限的帳號登入 Microsoft Intune 管理中心:
- 裝置設定 讀取、 建立、 更新及 分配 權限
有些內建角色具備這些權限,包括 Policy 和 Profile Manager 的 Intune 角色。 欲了解更多Intune RBAC 角色資訊,請參閱基於角色的角色存取控制 (RBAC) with Microsoft Intune。
在 步驟 2 - 建立本文 () 的平台單點單點政策 中,您可以建立一個設定目錄政策,來配置平台單點所需的設定。 此政策中還有其他常見的情境和設定可設定。 欲了解更多資訊,請參閱 macOS 裝置的通用平台單點單點情境。
我們建議您在建立設定目錄政策前,先檢視這些情境。 這樣你就能在建立政策初期設定你需要或想要的設定。 如果你一開始沒有設定可選情境設定,之後可以隨時編輯政策。 你的群組只能指派一個單一點登入政策。 所以,請將這些情境設定加入你現有的平台單點設定目錄政策中。
在 步驟五 - 註冊裝置 (本文) ,使用者註冊他們的裝置。 這些使用者必須被允許將裝置加入 Microsoft Entra ID。 欲了解更多資訊,請前往 「設定您的裝置設定」。
步驟 1 - 決定認證方法
當你在 Intune 建立平台單點單點政策時,你需要決定你想使用的驗證方法。
平台的 SSO 政策和你使用的認證方式會改變使用者登入裝置的方式。
- 當你設定平台單點登入時,使用者會用你設定的認證方式登入他們的 macOS 裝置。
- 當你不使用 Platform SSO 時,使用者會用本地帳號登入 macOS 裝置。 接著,他們會用 Microsoft Entra ID 登入應用程式和網站。
在此步驟中,利用這些資訊了解認證方法的差異,以及它們如何影響使用者登入體驗。
提示
Microsoft 建議在設定平台單點登入時,使用 Secure Enclave 作為認證方法。
| 功能 | 安全飛地 | 智慧卡 | 密碼 |
|---|---|---|---|
| 無密碼 (防釣魚) | ✅ | ✅ | ❌ |
| 支援解鎖的 TouchID | ✅ | ✅ | ✅ |
| 可用作通行金鑰 | ✅ | ❌ | ❌ |
| 設定 時必須使用 MFA多重驗證 (多重驗證) 始終建議使用 |
✅ | ✅ | ❌ |
| 本地 Mac 密碼與 Entra ID 同步 | ❌ | ❌ | ✅ |
| 支援 macOS 13.x + | ✅ | ❌ | ✅ |
| 支援 macOS 14.x + | ✅ | ✅ | ✅ |
| 可選擇性地允許新用戶使用 Entra ID 憑證登入 macOS 14.x + () | ✅ | ✅ | ✅ |
選項一 - 安全飛地 (推薦)
當你用 安全飛區 認證方法設定平台單點登入時,SSO 外掛會使用硬體綁定的密碼金鑰。 它不會使用 Microsoft Entra 憑證來驗證使用者的應用程式和網站。
欲了解更多關於 Secure Enclave 的資訊,請前往 Secure Enclave (開啟 Apple 網站) 。
安全飛地:
- 被視為無密碼,並符合抗釣魚多重因素 (多重因素) 要求。 它的概念與 Windows Hello 企業版相似。 它也可以使用與 Windows Hello 企業版相同的功能,例如條件存取。
- 保持本地帳號的使用者名稱和密碼不變。 這些價值觀不會改變。這種行為是因為蘋果的 FileVault 磁碟加密技術,該加密使用本地密碼作為解鎖金鑰。
- 裝置重啟後,使用者必須輸入本地帳號密碼。 在完成初始機器解鎖後,可以使用 Touch ID 來解鎖裝置。
- 解鎖後,裝置會獲得硬體支援的 Primary Refresh Token (PRT) 用於全裝置 SSO。
- 在網頁瀏覽器中,此 PRT 金鑰可透過 WebAuthN API 作為通行金鑰使用。
- 其設定可透過驗證應用程式啟動,進行多重認證(MFA)認證,或Microsoft TAP (Temporary Access Pass) 進行。
- 啟用 Microsoft Entra ID 通行金鑰的建立與使用
選項二 - 智慧卡
當你設定 Platform SSO 並搭配 智慧卡 認證方法時,使用者可以使用智慧卡憑證及相關的 PIN 登入裝置,並驗證應用程式與網站。
此選項:
- 被視為無密碼。
- 保持本地帳號的使用者名稱和密碼不變。 這些價值觀不會改變。
欲了解更多資訊,請參閱 iOS 與 macOS 上的 Microsoft Entra 憑證式認證。
選項三 - 密碼
當你用密碼驗證方法設定平台單點登入時,使用者會用他們的 Microsoft Entra ID 使用者帳號登入裝置,而不是本地帳號密碼。
此選項可啟用使用 Microsoft Entra ID 驗證的應用程式間的單點單點(SSO)。
使用 密碼 驗證方法:
Microsoft Entra ID 密碼取代了本地帳號密碼,且兩個密碼保持同步。
本地帳號機器的密碼並沒有完全從裝置中移除。 這種行為是因為蘋果的 FileVault 磁碟加密技術,該加密使用本地密碼作為解鎖金鑰。
本地帳號的使用者名稱沒有更改,保持不變。
終端使用者可以使用 Touch ID 登入裝置。
使用者和管理員需要記住和管理的密碼也較少。
使用者必須在裝置重啟後輸入 Microsoft Entra ID 密碼。 在完成初始的機器解鎖後,Touch ID 就能解鎖裝置。
解鎖後,裝置會獲得硬體綁定的主刷新令牌 (PRT) 憑證,用於Microsoft Entra ID SSO。
注意事項
你設定的任何 Intune 密碼政策也會影響這個設定。 例如,如果你有封鎖簡單密碼的密碼政策,那麼在這個設定下,簡單密碼也會被封鎖。
請確保您的 Intune 密碼政策和/或合規政策與 Microsoft Entra 密碼政策相符。 如果政策不符,密碼可能無法同步,最終使用者會被拒絕存取。
設定 keyvault 復原 (可選)
使用密碼同步驗證時,你可以啟用 keyvault 復原,確保若使用者忘記密碼,資料能被恢復。 IT 管理員應查閱 Apple 的文件,評估使用 Institutional FileVault Recovery Keys 是否適合他們。
步驟 2 - 在 Intune 建立平台單點單點(Platform SSO)政策
要設定平台單點單點政策,請依本節步驟建立 Intune 設定目錄政策。 Microsoft Enterprise 的 SSO 外掛需要上述設定。
選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。
輸入下列內容:
- 平台:選擇 macOS。
- 設定檔類型:選擇 設定目錄。
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
- 名稱: 輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,將政策命名為 macOS - Platform SSO。
- 說明:輸入保單說明。 這是選擇性設定,但建議進行。
選取[下一步]。
在 設定設定中,選擇 新增設定。 在設定選擇器中,展開「驗證」,選擇可擴充單一登入 (SSO) :
在清單中,選擇以下設定:
- 認證方法 (已棄用) 僅在 macOS 13 (選擇)
- 分機識別碼
- 展開 平台單向單點連結:
- 選擇 認證方式 (選擇 macOS 14+)
- 選擇 FileVault Policy (選擇 macOS 15+)
- 選擇 令牌到使用者映射
- 選擇 使用共用裝置金鑰
- 註冊令牌
- 螢幕鎖定行為
- 球隊識別碼
- Type
- URL
關閉設定選擇器。
提示
你可以在政策中加入更多平台單登入(Platform SSO)設定,來設定不同情境,例如啟用 Kerberos SSO、使用 Touch ID 生物辨識驗證,以及在非 Microsoft 應用程式上啟用 SSO。 想了解更多關於這些情境及其所需設定,請參考 macOS 裝置的通用平台 SSO 情境。
如果你一開始沒有設定可選情境設定,之後可以隨時編輯政策。
請設定以下必要的設定:
名稱 配置值 描述 認證方法 (已棄用)
(macOS 13)密碼 或 UserSecureEnclaveKey 選擇您在 步驟 1 - 決定認證方式 時所選擇的平台單點單點認證方法, (本文) 。
此設定僅適用於 macOS 13。 macOS 14.0 及以上版本,請使用 Platform SSO>認證方法 設定。分機識別碼 com.microsoft.CompanyPortalMac.ssoextension將這個數值複製貼上到設定中。
這個 ID 是設定檔需要的 SSO 應用程式擴充功能,才能讓 SSO 正常運作。
擴充識別碼與團隊識別碼值是協同運作的。平台單點單點>認證方法
(macOS 14+)密碼、 UserSecureEnclaveKey 或 智慧卡 選擇您在 步驟 1 - 決定認證方式 時所選擇的平台單點單點認證方法, (本文) 。
此設定適用於 macOS 14 及更新版本。 對於 macOS 13,請使用 Authentication Method (Deprecated) 設定。平台單點單點>FileVault 政策
(macOS 15+)AttemptAuthentication當你在驗證方法設定中選擇密碼時,會生效。 將這個數值複製貼上到設定中。
此設定允許裝置在 Mac裝置開機時,於FileVault解鎖畫面與Microsoft Entra驗證Microsoft Entra ID密碼。
此設定適用於 macOS 15 及更新版本。平台單點單點>使用共用裝置金鑰
(macOS 14+)Enabled 啟用後,平台單登入會對同一裝置上的所有使用者使用相同的簽約與加密金鑰。
從 macOS 13.x 升級到 14.x 的使用者會被提示重新註冊。註冊令牌 {{DEVICEREGISTRATION}}將這個數值複製貼上到設定中。 你必須把捲曲牙套也包括在內。
想了解更多關於此註冊令牌的資訊,請前往「設定 Microsoft Entra 裝置註冊」。
這個設定也需要你先設定好。AuthenticationMethod
- 如果你只使用 macOS 13 裝置,請設定「 驗證方法 (棄用) 設定。
- 如果您只使用 macOS 14+ 裝置,請設定 平台 SSO>認證方法 設定。
- 如果你有 macOS 13 和 macOS 14+ 裝置混合使用,請在同一設定檔中設定兩個認證設定。螢幕鎖定行為 不要處理 當設定為 「Do Not Handle」時,請求會持續進行,無需 SSO。 令牌到使用者映射>帳號名稱 preferred_username將這個數值複製貼上到設定中。
此令牌指定 Microsoft Entrapreferred_username屬性值用於 macOS 帳號的帳號名稱值。令牌到使用者映射>全名 name將這個數值複製貼上到設定中。
此令牌指定 Microsoft Entraname聲明用於 macOS 帳號的全名值。球隊識別碼 UBF8T346G9將這個數值複製貼上到設定中。
此識別碼即為企業 SSO 外掛應用程式擴充的團隊識別碼。Type 重新導向 URL 複製並貼上以下所有網址: https://login.microsoftonline.com
https://login.microsoft.com
https://sts.windows.net
如果你的環境需要允許主權雲端網域,例如 Azure Government 或 Azure China 21Vianet,也請新增以下網址:
https://login.partner.microsoftonline.cn
https://login.chinacloudapi.cn
https://login.microsoftonline.us
https://login-us.microsoftonline.com這些 URL 前綴是執行 SSO 應用程式擴充功能的身份提供者。 重 定向 有效載荷需要這些網址, 憑證有效載 荷則忽略。
欲了解更多關於這些網址的資訊,請參考 Microsoft Enterprise 的 Apple 裝置 SSO 外掛。重要事項
如果你的環境裡有 macOS 13 和 macOS 14+ 裝置混合使用,請在同一設定檔中設定 平台 SSO>認證方法 和 (已棄用的) 認證方法 。
當剖面準備好後,看起來類似以下範例:
選取[下一步]。
在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如
US-NC IT Team或JohnGlenn_ITDepartment。 欲了解更多範圍標籤資訊,請參閱 使用 RBAC 角色與分散式 IT 範圍標籤。選取 [下一步]。
在 「指派」中,選擇接收你設定檔的使用者或裝置群組。 對於有使用者親和性的裝置,請指派給使用者或使用者群組。 對於多位使用者且未建立使用者關聯的裝置,請指派給裝置或裝置群組。
重要事項
對於具有使用者親和性的裝置的平台單點單點設定,不支援指派裝置群組或過濾器。 當你在具有使用者親和力的裝置上使用裝置群組指派或帶有過濾器的使用者群組指派時,使用者可能無法存取受條件存取保護的資源。 這個問題可能會發生:
- 如果平台單點單點設定套用錯誤,或,
- 如果公司入口網站應用程式在未啟用平台單點登入時,會繞過 Microsoft Entra 裝置註冊
欲了解更多關於指派設定檔的資訊,請前往 「指派使用者與裝置設定檔」。
選取[下一步]。
在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。
下次裝置檢查組態更新時,會套用您設定的設定。
深入了解
- 想了解更多關於外掛的資訊,請前往 Microsoft Enterprise 的 Apple 裝置 SSO 外掛。
- 欲了解可擴展單一登入擴充套件的有效載荷設定詳情,請前往蘋果 裝置的可擴充單一登入 MDM 有效載荷設定 (開啟蘋果網站) 。
步驟 3 - 部署 macOS 公司入口網站應用程式
macOS 的公司入口網站應用程式部署並安裝 Microsoft Enterprise SSO 外掛。 此外掛啟用平台單點單點(Platform SSO)。
使用 Intune,您可以新增公司入口網站應用程式,並將其作為必備應用程式部署至 macOS 裝置:
- 新增 macOS 的公司入口網站應用程式會列出步驟。
- 設定 公司入口網站 應用程式,包含你的組織資訊 (可選的) 。 步驟請參考「如何設定 Intune 公司入口網站應用程式、公司入口網站網站及 Intune 應用程式。
沒有特定的步驟可以設定應用程式來設定平台單點點(Platform SSO)。 只要確保最新的公司入口網站應用程式已加入 Intune 並部署到你的 macOS 裝置即可。
如果你安裝的是較舊版本的公司入口網站應用程式,那麼平台單點登入就會失敗。
步驟 4 - 註冊裝置並套用政策
要使用 Platform SSO,裝置必須透過以下其中一種方式註冊 Intune 的 MDM:
對於 組織自有裝置,你可以:
對於 個人擁有的裝置,請建立 裝置註冊 政策。 使用此註冊方式,終端使用者需開啟公司入口網站應用程式並以 Microsoft Entra ID 登入。 當他們成功登入時,註冊政策即適用。
對於 新裝置,我們建議您預先建立並設定所有必要的政策,包括註冊政策。 當裝置註冊 Intune 時,政策就會自動套用。
對於已註冊在 Intune 的現有裝置,請將平台單點(SSO)政策指派給你的使用者或使用者群組。 下次裝置同步或檢查 Intune 服務時,會收到你建立的平台 SSO 政策設定。
步驟 5 - 註冊裝置
當裝置收到該政策時,通知中心會顯示一個 「註冊要求 」通知。
終端使用者選擇此通知,使用組織帳號登入Microsoft Entra ID外掛,並在需要時完成多重驗證 (多重驗證) 。
注意事項
多重認證是 Microsoft Entra 的一項功能。 確保你的租戶啟用了多重身份驗證(MFA)。 欲了解更多資訊,包括其他應用程式需求,請參考 Microsoft Entra 多重驗證。
當他們成功認證時,裝置會Microsoft Entra加入組織,而工作場所加入 (WPJ) 憑證會綁定到裝置上。
以下文章依照註冊方式展示使用者體驗:
步驟 6 - 確認裝置上的設定
當平台單點單點註冊完成後,您可以確認平台單點點登入已設定完成。 步驟請到 Microsoft Entra ID - 查看你的裝置註冊狀態。
在 Intune 註冊的裝置上,您也可以前往設定>中的隱私與安全>設定檔。 你的平台單點單點設定檔顯示在 com.apple.extensiblesso Profile。 選擇個人檔案即可查看你設定的設定,包括網址。
要排除平台單點登入問題,請前往 macOS 平台單一登入已知問題與故障排除頁面。
步驟 7 - 取消所有現有的 SSO 應用程式擴充設定檔
確認設定目錄政策正常運作後,取消使用 Intune 裝置功能範本建立的所有現有 SSO 應用程式擴充功能設定檔。
如果你同時持有兩份保單,可能會產生衝突。
其他 MDM
你可以用其他行動裝置管理服務 (MDM) 設定平台單點單點登入(Platform SSO),前提是 MDM 支援平台單點單點。 使用其他 MDM 服務時,請參考以下指引:
本文列出的設定是 Microsoft 建議你應該設定的。 你可以將本文中的設定值複製貼上到你的 MDM 服務政策中。
你的 MDM 服務中的設定步驟可能會有所不同。 我們建議您與您的 MDM 服務供應商合作,正確配置並部署這些平台單點(Platform SSO)設定。
使用平台單點登入的裝置註冊更安全,且使用硬體綁定的裝置憑證。 這些變更可能影響部分 MDM 流程,例如與 裝置合規夥伴的整合。
你應該和你的 MDM 服務供應商聯繫,了解 MDM 是否測試了 Platform SSO,證明他們的軟體是否能正常支援 Platform SSO,並且準備好支援客戶使用 Platform SSO。
常見錯誤
當您設定平台單點登入時,可能會看到以下錯誤:
10001: misconfiguration in the SSOe payload.此錯誤可能發生於以下情況:
- 設定目錄設定檔裡有個必須設定的設定,但沒有設定。
- 你設定的目錄設定檔裡有個設定不適用於 重定向類型 payload。
你在設定目錄設定檔中設定的認證設定,macOS 13.x 和 14.x 裝置是不同的。
如果你的環境裡有 macOS 13 和 macOS 14 裝置,那麼你必須建立一個設定目錄政策,並在同一個政策中設定它們各自的認證設定。 此資訊已記錄在本篇文章 ) 的步驟 2 - 建立平台單點單點政策Intune (。
10002: multiple SSOe payloads configured.多個 SSO 擴充有效載荷同時套用於裝置且存在衝突。 裝置上應該只有一個擴充設定檔,而那個設定檔應該是設定目錄的設定檔。
如果你之前用裝置功能範本建立了 SSO 應用程式擴充功能設定檔,那就取消指派該設定檔。 設定目錄的設定檔是裝置唯一應該被指派的設定檔。