共用方式為


在 Microsoft Intune 中設定 macOS 裝置的平臺 SSO

在macOS裝置上,您可以設定 Platform SSO,以使用無密碼驗證、Microsoft Entra ID 用戶帳戶或智慧卡啟用單一登入 (SSO) 。 平臺 SSO 是 Microsoft Enterprise SSO 外掛程式SSO 應用程式延伸模組的增強功能。 平臺 SSO 可以使用使用者的 Microsoft Entra ID 認證和 Touch ID,將使用者登入其受控 Mac 裝置。

本功能適用於:

  • macOS

Microsoft Enterprise SSO 外掛程式 Microsoft Entra ID 包含兩個 SSO 功能 - 平台 SSOSSO 應用程式延伸模組。 本文著重於在公開預覽) (設定與 macOS 裝置 Microsoft Entra ID 平臺 SSO

Platform SSO 的一些優點包括:

  • 包含 SSO 應用程式延伸模組。 您不會個別設定 SSO 應用程式延伸模組。
  • 使用硬體系結至 Mac 裝置的防網路釣魚認證移至無密碼。
  • 登入體驗類似於使用公司或學校帳戶登入 Windows 裝置,就像使用者使用 Windows Hello 企業版 一樣。
  • 協助將使用者輸入其 Microsoft Entra ID 認證所需的次數降至最低。
  • 協助減少使用者需要記住的密碼數目。
  • 取得 Microsoft Entra 加入的優點,這可讓任何組織使用者登入裝置。
  • 隨附於所有 Microsoft Intune 授權方案

當 Mac 裝置加入 Microsoft Entra ID 租使用者時,裝置會 (WPJ) 憑證取得工作場所加入,該憑證是硬體系結的,且只能由 Microsoft Enterprise SSO 外掛程式存取。 若要存取使用條件式存取保護的資源,應用程式和網頁瀏覽器需要此 WPJ 憑證。 設定 Platform SSO 之後,SSO 應用程式延伸模組會作為 Microsoft Entra ID 驗證和條件式存取的訊息代理程式。

您可以使用 設定目錄來設定平臺 SSO。 當原則準備就緒時,您會將原則指派給使用者。 Microsoft建議您在使用者於 Intune 中註冊裝置時指派原則。 但是,您可以隨時指派它,包括在現有的裝置上。

本文說明如何在 Intune 中設定macOS裝置的平臺SSO。

必要條件

步驟 1 - 決定驗證方法

當您在 Intune 中建立平臺 SSO 原則時,您必須決定要使用的驗證方法。

您使用的平臺 SSO 原則和驗證方法會變更使用者登入裝置的方式。

  • 當您設定 Platform SSO 時,使用者會使用您設定的驗證方法登入其 macOS 裝置。
  • 當您未使用平臺 SSO 時,使用者會使用本機帳戶登入其 macOS 裝置。 然後,他們使用其 Microsoft Entra ID 登入應用程式和網站。

在此步驟中,使用資訊來了解驗證方法的差異,以及它們如何影響使用者登入體驗。

提示

Microsoft建議在設定平臺 SSO 時使用 安全記憶體 保護區作為驗證方法。

功能 安全記憶體保護區 智慧卡 密碼
無密碼 (防網路釣魚)
支援解除鎖定的 TouchID
可以當做通行金鑰使用
設定的

必要 MFA一律建議使用多重要素驗證 (MFA)
與 Entra ID 同步處理的本機 Mac 密碼
macOS 13.x 上支援 +
macOS 14.x + 支援
選擇性地允許新的使用者使用macOS 14.x+ (的 Entra ID 認證登入)

安全記憶體保護區

當您使用 安全記憶體保護區 驗證方法設定 Platform SSO 時,SSO 外掛程式會使用硬體系結的密碼編譯密鑰。 它不會使用 Microsoft Entra 認證向應用程式和網站驗證使用者。

如需安全記憶體保護區的詳細資訊,請移至 安全記憶體 保護區 (開啟 Apple 的網站) 。

安全記憶體保護區:

  • 被視為無密碼且符合防網路釣魚的多重要素 (MFA) 需求。 它在概念上類似於 Windows Hello 企業版。 它也可以使用與 Windows Hello 企業版 相同的功能,例如條件式存取。
  • 將本機帳戶用戶名稱和密碼保留為原狀。 這些值不會變更。

    注意事項

    此行為的設計是因為 Apple 的 FileVault 磁碟加密,其使用本機密碼作為解除鎖定密鑰。

  • 裝置重新啟動之後,用戶必須輸入本機帳戶密碼。 在此初始電腦解除鎖定之後,觸控標識碼可用來解除鎖定裝置。
  • 解除鎖定之後,裝置會取得全裝置 SSO 的硬體支援的主要重新整理令牌 (PRT) 。
  • 在網頁瀏覽器中,此 PRT 金鑰可以使用 WebAuthN API 作為通行密鑰。
  • 其設定可以透過驗證應用程式開機以進行 MFA 驗證,或Microsoft TAP) (暫時存取階段。
  • 啟用 Microsoft Entra ID 密碼的建立和使用。

密碼

當您使用密碼驗證方法設定 Platform SSO 時,使用者會使用其 Microsoft Entra ID 使用者帳戶而非本機帳戶密碼來登入裝置。

這個選項可在使用 Microsoft Entra ID 進行驗證的應用程式之間啟用 SSO。

使用 密碼 驗證方法:

  • Microsoft Entra ID 密碼會取代本機帳戶密碼,且兩個密碼會保持同步。

    注意事項

    本機帳戶計算機密碼不會完全從裝置中移除。 此行為的設計是因為 Apple 的 FileVault 磁碟加密,其使用本機密碼作為解除鎖定密鑰。

  • 本機帳戶用戶名稱不會變更,且會保持原樣。

  • 終端使用者可以使用 Touch ID 來登入裝置。

  • 用戶和系統管理員要記住和管理的密碼較少。

  • 用戶必須在裝置重新啟動后輸入其 Microsoft Entra ID 密碼。 在此初始電腦解除鎖定之後,觸控標識碼可以解除鎖定裝置。

  • 解除鎖定之後,裝置會取得 #DF5B2EC0CD23E481397C7832A9DFC298E SSO 的硬體系結主要重新整理令牌 (PRT) 認證。

注意事項

您設定的任何 Intune 密碼原則也會影響此設定。 例如,如果您有封鎖簡單密碼的密碼原則,則此設定也會封鎖簡單密碼。

請確定您的 Intune 密碼原則和/或合規性原則符合您的 Microsoft Entra 密碼原則。 如果原則不相符,則密碼可能不會同步處理,且終端使用者會被拒絕存取。

智慧卡

當您使用 智慧卡 驗證方法設定 Platform SSO 時,使用者可以使用智慧卡憑證和相關聯的 PIN 來登入裝置,並向應用程式和網站進行驗證。

此選項:

  • 被視為無密碼。
  • 將本機帳戶用戶名稱和密碼保留為原狀。 這些值不會變更。

如需詳細資訊,請移至在iOS和macOS上 Microsoft Entra憑證式驗證

設定keyvault復原 (選擇性)

使用密碼同步驗證時,您可以啟用金鑰保存庫復原,以確保在使用者忘記密碼時可以復原數據。 IT 系統管理員應該檢閱 Apple 的檔,並評估使用機構檔案保存庫修復密鑰是否適合他們。

步驟 2 - 在 Intune 中建立平臺 SSO 原則

若要設定平臺 SSO 原則,請使用下列步驟來建立 Intune 設定目錄原則。 Microsoft Enterprise SSO 外掛程式需要列出的設定。

建立原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]

  3. 輸入下列內容:

    • 平台:選 取macOS
    • 設定檔類型:選 取 [設定目錄]
  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • 名稱: 輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,將原則命名為 macOS - Platform SSO
    • 描述:輸入原則的描述。 這是選擇性設定,但建議進行。
  6. 選取[下一步]。

  7. 在 [ 組態設定] 中,選取 [ 新增設定]。 在設定選擇器中,展開 [驗證],然後選取 [可延伸 單一登入 (SSO)

    此螢幕快照顯示 [設定目錄設定] 選擇器,以及選取 [Microsoft Intune 中的驗證和可延伸 SSO 類別。

    在清單中,選取下列設定:

    • 限macOS 13 ( (已淘汰) 驗證方法)
    • 延伸模組識別碼
    • 展開 [平臺 SSO]:
      • 選取macOS 14+ (驗證方法)
      • 取令牌對用戶對應
      • 取 [使用共用裝置密鑰]
    • 註冊令牌
    • 屏幕鎖定行為
    • 小組標識碼
    • 類型
    • URL

    關閉設定選擇器。

    提示

    您可以在原則中設定更多平臺 SSO 設定:

  8. 設定下列必要設定:

    名稱 組態值 描述
    已淘汰 (驗證方法)
    僅 (macOS 13)
    密碼UserSecureEnclave 選取您在本文) 的 步驟 1 - 決定驗證方法 (中選擇的平臺 SSO 驗證方法。

    此設定僅適用於 macOS 13。 針對macOS 14.0和更新版本,請使用 [平臺 SSO>驗證方法 ] 設定。
    延伸模組識別碼 com.microsoft.CompanyPortalMac.ssoextension 在設定中複製並貼上此值。

    此識別碼是配置檔需要的 SSO 應用程式延伸模組,SSO 才能運作。

    擴充功能識別碼小組標識碼值一起運作。
    平臺 SSO>驗證方法
    (macOS 14+)
    PasswordUserSecureEnclaveSmartCard 選取您在本文) 的 步驟 1 - 決定驗證方法 (中選擇的平臺 SSO 驗證方法。

    此設定適用於macOS 14和更新版本。 若為macOS 13,請使用 [ 驗證方法 (已被取代) 設定。
    平臺 SSO>使用共用裝置金鑰
    (macOS 14+)
    Enabled 啟用時,平臺 SSO 會針對相同裝置上的所有使用者使用相同的簽署和加密密鑰。

    系統會提示從 macOS 13.x 升級至 14.x 的使用者再次註冊。
    註冊令牌 {{DEVICEREGISTRATION}} 在設定中複製並貼上此值。 您必須包含大括弧。

    若要深入瞭解此註冊令牌,請移至設定 Microsoft Entra 裝置註冊

    此設定需要您也進行 AuthenticationMethod 設定。

    - 如果您只使用 macOS 13 裝置,請設定 [ 已淘汰) (驗證方法 設定。
    - 如果您只使用 macOS 14+ 裝置,請設定 [平臺 SSO>驗證方法 ] 設定。
    - 如果您混合使用 macOS 13 和 macOS 14+ 裝置,請在同一個設定檔中設定這兩個驗證設定。
    屏幕鎖定行為 不要處理 當設定為 [不要處理] 時,要求會在沒有 SSO 的情況下繼續。
    令牌對用戶對應>帳戶名稱 preferred_username 在設定中複製並貼上此值。

    此令牌會指定將 Entra preferred_username 屬性值用於 macOS 帳戶的 [帳戶名稱] 值。
    令牌對用戶對應>全名 name 在設定中複製並貼上此值。

    此令牌會指定將 Entra name 宣告用於macOS帳戶的全名值。
    小組標識碼 UBF8T346G9 在設定中複製並貼上此值。

    此標識碼是企業 SSO 外掛程式應用程式延伸模組的小組識別碼。
    類型 重新導向
    URL 複製並貼上下列所有網址:

    https://login.microsoftonline.com
    https://login.microsoft.com
    https://sts.windows.net

    如果您的環境需要允許主權雲端網域,例如 Azure Government 或 Azure China 21Vianet,則也新增下列 URL:

    https://login.partner.microsoftonline.cn
    https://login.chinacloudapi.cn
    https://login.microsoftonline.us
    https://login-us.microsoftonline.com
    這些 URL 前置詞是執行 SSO 應用程式擴充功能的識別提供者。 重新導向承載需要 URL,認證承載則會忽略這些 URL

    如需這些 URL 的詳細資訊,請移至 Microsoft Apple 裝置的企業 SSO 外掛程式

    重要事項

    如果您的環境中混合了 macOS 13 和 macOS 14+ 裝置,請在同一個設定檔中設定 平臺 SSO>驗證方法驗證方法 (已被取代) 驗證設定。

    配置文件準備就緒時,看起來類似下列範例:

    顯示 Intune MDM 設定檔中建議平臺 SSO 設定的螢幕快照。

  9. 選取[下一步]。

  10. 在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如 US-NC IT TeamJohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請移至 使用分散式IT的 RBAC 角色和範圍標籤

    選取 [下一步]

  11. 在 [ 指派] 中,選取接收配置檔的使用者或裝置群組。 針對具有使用者親和性的裝置,指派給使用者或使用者群組。 對於具有多個使用者且未具備使用者親和性的裝置,請指派給裝置或裝置群組。

    如需指派配置檔的詳細資訊,請移至 指派使用者和裝置配置檔

    選取[下一步]。

  12. 在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。

下次裝置檢查組態更新時,會套用您設定的設定。

步驟 3 - 部署適用於 macOS 的 公司入口網站 應用程式

適用於 macOS 的 公司入口網站 應用程式會部署並安裝 Microsoft Enterprise SSO 外掛程式。 此外掛程式會啟用平臺 SSO。

使用 Intune,您可以新增 公司入口網站 應用程式,並將其部署為 macOS 裝置的必要應用程式:

沒有任何特定步驟可設定平臺 SSO 的應用程式。 只要確定最新的 公司入口網站 應用程式已新增至 Intune,並部署到您的 macOS 裝置。

如果您已安裝舊版的 公司入口網站 應用程式,則平臺 SSO 會失敗。

步驟 4 - 註冊裝置並套用原則

若要使用平臺 SSO,裝置必須使用下列其中一種方法在 Intune 中註冊 MDM:

  • 針對 組織擁有的裝置,您可以:

  • 針對 個人擁有的裝置,建立 裝置註冊 原則。 使用此註冊方法,終端用戶會開啟 公司入口網站 應用程式,並使用其 Microsoft Entra ID 登入。 成功登入時,會套用註冊原則。

針對 新的裝置,建議您預先建立並設定所有必要的原則,包括註冊原則。 然後,當裝置註冊 Intune 時,原則會自動套用。

針對已在 Intune 中註冊的現有裝置,請將平臺 SSO 原則指派給您的使用者或使用者群組。 下次裝置與 Intune 服務同步或簽入時,會收到您建立的平臺 SSO 原則設定。

步驟 5 - 註冊裝置

當裝置收到原則時,通知中心會顯示註冊 必要 通知。

此螢幕快照顯示當您在 Microsoft Intune 中設定 Platform SSO 時,終端使用者裝置上需要註冊的提示。

  • 用戶選取此通知、使用其組織帳戶登入 Microsoft Entra ID 外掛程式,然後視需要完成多重要素驗證 (MFA) 。

    注意事項

    MFA 是 Microsoft Entra的功能。 請確定您的租用戶已啟用 MFA。 如需詳細資訊,包括任何其他應用程式需求,請移至 Microsoft Entra 多重要素驗證

  • 成功驗證時,裝置會 Microsoft Entra 加入組織,且 WPJ) 憑證 (加入工作場所會系結至裝置。

下列文章會根據註冊方法顯示用戶體驗:

步驟 6 - 確認裝置上的設定

當平臺 SSO 註冊完成時,您可以確認已設定 Platform SSO。 如需步驟,請移至 Microsoft Entra ID - 檢查您的裝置註冊狀態

在已註冊 Intune 裝置上,您也可以移至 [設定隱私權和安全>性>配置檔]。 您的平臺 SSO 設定檔會顯示在 底下 com.apple.extensiblesso Profile。 選取設定檔以查看您設定的設定,包括URL。

若要針對平臺 SSO 進行疑難解答,請移至 macOS Platform 單一登錄已知問題並進行疑難解答

步驟 7 - 取消指派任何現有的 SSO 應用程式延伸模組設定檔

確認您的設定類別目錄原則正常運作之後,請取消指派使用 [Intune 裝置功能] 範本建立的任何現有 SSO 應用程式延伸模組設定檔。

如果您保留這兩個原則,可能會發生衝突。

非Microsoft應用程式和Microsoft企業 SSO 擴充功能設定

如果您先前使用 Microsoft Enterprise SSO 擴充功能,以及/或想要在非Microsoft應用程式上啟用 SSO,請將 [ 延伸模組數據 ] 設定新增至現有的平臺 SSO 設定目錄原則。

[ 延伸模組數據 ] 設定與開啟的文字欄位的概念類似;您可以設定所需的任何值。

在本節中,我們會使用 [延伸模組數據 ] 設定來:

  • 設定您在先前的 Microsoft Enterprise SSO 擴充功能 Intune 原則中使用的設定。
  • 設定允許非Microsoft應用程式使用 SSO 的設定。

本節列出您應該新增的最低建議設定。 在先前的Microsoft企業 SSO 擴充原則中,您可能已設定更多設定。 建議您新增您在先前Microsoft企業 SSO 擴充原則中設定的任何其他密鑰 & 值組設定。

請記住,應該只有一個 SSO 原則指派給您的群組。 因此,如果您使用平臺 SSO,則必須在本文) 的步驟 2 - 建立平臺 SSO 原則中建立的平臺 SSO 設定目錄原則 (Intune 中,設定平臺 SSO 設定 Microsoft Enterprise SSO 擴充功能設定。

通常建議使用下列設定來設定 SSO 設定,包括設定非Microsoft應用程式的 SSO 支援。

  1. 在您現有的平臺 SSO 設定目錄原則中,新增 延伸模組數據

    1. Intune 系統管理中心 (裝置>管理裝置>設定) 中,選取您現有的平臺 SSO 設定目錄原則。

    2. 在 [ 屬性>組態設定] 中,選取 [ 編輯>新增設定]

    3. 在設定選擇器中,展開 [驗證],然後選取 [可延伸 單一登入 (SSO)

      此螢幕快照顯示 [設定目錄設定] 選擇器,以及選取 [Microsoft Intune 中的驗證和可延伸 SSO 類別。

    4. 在清單中,選取 [ 延伸模組數據 ],然後關閉設定選擇器:

      顯示 [設定目錄設定] 選擇器,以及選取 [驗證] 和 [延伸數據] Microsoft Intune 的螢幕快照。

  2. [擴充數據] 中, 新增 下列索引鍵和值:

    機碼 Type 描述
    AppPrefixAllowList 字串 com.microsoft.,com.apple. 在設定中複製並貼上此值。

    AppPrefixAllowList 可讓您使用可使用 SSO 的應用程式建立應用程式廠商清單。 您可以視需要將更多應用程式廠商新增至此清單。
    browser_sso_interaction_enabled 整數 1 設定建議的訊息代理程序設定。
    disable_explicit_app_prompt 整數 1 設定建議的訊息代理程序設定。

    下列範例顯示建議的設定:

    顯示如何設定延伸模組數據設定的螢幕快照,例如 AppPrefixAllowList。

  3. 取 [下一步 ] 以儲存您的變更,並完成原則。 如果原則已指派給使用者或群組,則這些群組會在下次與 Intune 服務同步時收到原則變更。

用戶體驗設定

當您在步驟 2 - 在 Intune 中建立平臺 SSO 原則中建立設定目錄設定檔時,您可以設定更多選擇性設定。

下列設定可讓您自定義用戶體驗,並提供更細微的用戶權力控制。 不支援任何未記載的平臺 SSO 設定。

平臺 SSO 設定 可能值 使用情況
帳戶顯示名稱 任何字串值。 自定義用戶在平臺 SSO 通知中看到的組織名稱。
啟用在登入時建立使用者 啟用停用 允許任何組織使用者使用其 Microsoft Entra 認證登入裝置。 當您建立新的本機帳戶時,提供的使用者名稱和密碼必須與使用者的 Microsoft Entra ID UPN () user@contoso.com 和密碼相同。
新增用戶授權模式 標準管理員群組 使用平臺 SSO 建立帳戶時,使用者在登入時擁有的一次性許可權。 目前支援 Standard管理員 值。 在使用標準模式之前裝置上至少需要一個 管理員 使用者。
用戶授權模式 標準管理員群組 每次使用者使用 Platform SSO 進行驗證時,使用者在登入時擁有的持續性許可權。 目前支援 Standard管理員 值。 在使用標準模式之前裝置上至少需要一個 管理員 使用者。

其他 MDM

如果 MDM 支援平臺 SSO,您可以 (MDM) 設定平臺 SSO 與其他行動裝置管理服務。 使用另一個 MDM 服務時,請使用下列指引:

  • 本文中列出的設定是您應該設定的Microsoft建議設定。 您可以在 MDM 服務原則中複製/貼上本文中的設定值。

    MDM 服務中的設定步驟可能不同。 建議您與 MDM 服務廠商合作,正確設定及部署這些平臺 SSO 設定。

  • 使用平臺 SSO 註冊裝置更安全,並使用硬體系結的裝置憑證。 這些變更可能會影響某些 MDM 流程,例如與 裝置合規性合作夥伴整合。

    您應該與 MDM 服務廠商洽詢,以瞭解 MDM 是否通過平臺 SSO 測試、認證其軟體可正確搭配平臺 SSO 運作,並準備好支援使用平臺 SSO 的客戶。

常見錯誤

當您設定 Platform SSO 時,可能會看到下列錯誤:

  • 10001: misconfiguration in the SSOe payload.

    如果發生下列情況,就會發生此錯誤:

    您在設定目錄設定檔中設定的驗證設定,與 macOS 13.x 和 14.x 裝置不同。

    如果您的環境中有 macOS 13 和 macOS 14 裝置,則必須建立一個設定目錄原則,並在相同的原則中設定其各自的驗證設定。 此資訊記載於本文) Intune (中的步驟 2 - 建立平臺 SSO 原則。

  • 10002: multiple SSOe payloads configured.

    多個 SSO 擴充功能承載正在套用至裝置,且發生衝突。 裝置上應該只有一個擴充功能配置檔,而且該配置檔應該是設定類別目錄配置檔。

    如果您先前使用裝置功能範本建立 SSO 應用程式延伸模組設定檔,請取消指派該設定檔。 設定類別目錄配置檔是唯一應該指派給裝置的配置檔。