共用方式為

在 Microsoft Intune 中設定 macOS 裝置的平臺 SSO

  • 發行項
  • 適用於:
    ✅ macOS

在macOS裝置上,您可以設定 Platform SSO,以使用無密碼驗證、Microsoft Entra ID 用戶帳戶或智慧卡啟用單一登入 (SSO) 。 平臺 SSO 是 Microsoft Enterprise SSO 外掛程式SSO 應用程式延伸模組的增強功能。 平臺 SSO 可以使用使用者的 Microsoft Entra ID 認證和 Touch ID,將使用者登入其受控 Mac 裝置。

本文適用於:

  • macOS

Microsoft Entra ID 中的 Microsoft Enterprise SSO 外掛程式包含兩個 SSO 功能 - 平台 SSOSSO 應用程式延伸模組。 本文著重於為處於預覽狀態的macOS裝置設定 具有EntraID的平臺SSO

Platform SSO 的一些優點包括:

  • 包含 SSO 應用程式延伸模組。 您不會個別設定 SSO 應用程式延伸模組。
  • 使用硬體系結至 Mac 裝置的防網路釣魚認證移至無密碼。
  • 登入體驗類似於使用公司或學校帳戶登入 Windows 裝置,就像使用者使用 Windows Hello 企業版 一樣。
  • 協助將使用者輸入其 Microsoft Entra ID 認證所需的次數降至最低。
  • 協助減少使用者需要記住的密碼數目。
  • 取得 Microsoft Entra 加入的優點,這可讓任何組織使用者登入裝置。
  • 隨附於所有 Microsoft Intune 授權方案

當 Mac 裝置加入 Microsoft Entra ID 租使用者時,裝置會取得 WPJ (WPJ) 憑證,該憑證由硬體系結且只能由 Microsoft Enterprise SSO 外掛程式存取。 若要存取使用條件式存取保護的資源,應用程式和網頁瀏覽器需要此 WPJ 憑證。 設定 Platform SSO 後,SSO 應用程式延伸模組會作為 Microsoft Entra ID 驗證和條件式存取的訊息代理程式。

您可以使用 設定目錄來設定平臺 SSO。 當原則準備就緒時,您會將原則指派給使用者。 當使用者在 Intune 中註冊裝置時,Microsoft 建議您指派原則。 但是,您可以隨時指派它,包括在現有的裝置上。

本文說明如何在 Intune 中設定macOS裝置的平臺SSO。

必要條件

步驟 1 - 決定驗證方法

當您在 Intune 中建立平臺 SSO 原則時,您必須決定要使用的驗證方法。

您使用的平臺 SSO 原則和驗證方法會變更使用者登入裝置的方式。

  • 當您設定 Platform SSO 時,使用者會使用您設定的驗證方法登入其 macOS 裝置。
  • 當您未使用平臺 SSO 時,使用者會使用本機帳戶登入其 macOS 裝置。 然後,他們使用其 Microsoft Entra ID 登入應用程式和網站。

在此步驟中,使用資訊來了解驗證方法的差異,以及它們如何影響使用者登入體驗。

提示

Microsoft 建議在設定平臺 SSO 時,使用 安全記憶體 保護區作為驗證方法。

功能 安全記憶體保護區 智慧卡 密碼
無密碼 (防網路釣魚)
支援解除鎖定的 TouchID
可以當做通行金鑰使用
設定的

必要 MFA一律建議使用多重要素驗證 (MFA)
與 Entra ID 同步處理的本機 Mac 密碼
macOS 13.x 上支援 +
macOS 14.x + 支援
選擇性地允許新的使用者使用macOS 14.x+ (的 Entra ID 認證登入)

安全記憶體保護區

當您使用 安全記憶體保護區 驗證方法設定 Platform SSO 時,SSO 外掛程式會使用硬體系結的密碼編譯密鑰。 它不會使用 Microsoft Entra 認證向應用程式和網站驗證使用者。

如需安全記憶體保護區的詳細資訊,請移至 安全記憶體 保護區 (開啟 Apple 的網站) 。

安全記憶體保護區:

  • 被視為無密碼且符合防網路釣魚的多重要素 (MFA) 需求。 它在概念上類似於 Windows Hello 企業版。 它也可以使用與 Windows Hello 企業版 相同的功能,例如條件式存取。
  • 將本機帳戶用戶名稱和密碼保留為原狀。 這些值不會變更。

    注意事項

    此行為的設計是因為 Apple 的 FileVault 磁碟加密,其使用本機密碼作為解除鎖定密鑰。

  • 裝置重新啟動之後,用戶必須輸入本機帳戶密碼。 在此初始電腦解除鎖定之後,觸控標識碼可用來解除鎖定裝置。
  • 解除鎖定之後,裝置會取得全裝置 SSO 的硬體支援的主要重新整理令牌 (PRT) 。
  • 在網頁瀏覽器中,此 PRT 金鑰可以使用 WebAuthN API 作為通行密鑰。
  • 其設定可以透過驗證應用程式開機以進行 MFA 驗證,或使用 MICROSOFT 暫時存取傳遞 (TAP)
  • 啟用 Microsoft Entra ID 密碼的建立和使用。

密碼

當您使用密碼驗證方法設定 Platform SSO 時,使用者會使用其 Microsoft Entra ID 用戶帳戶而非其本機帳戶密碼來登入裝置。

這個選項可在使用 Microsoft Entra ID 進行驗證的應用程式之間啟用 SSO。

使用 密碼 驗證方法:

  • Microsoft Entra ID 密碼會取代本機帳戶密碼,且兩個密碼會保持同步。

    注意事項

    本機帳戶計算機密碼不會完全從裝置中移除。 此行為的設計是因為 Apple 的 FileVault 磁碟加密,其使用本機密碼作為解除鎖定密鑰。

  • 本機帳戶用戶名稱不會變更,且會保持原樣。

  • 終端使用者可以使用 Touch ID 來登入裝置。

  • 用戶和系統管理員要記住和管理的密碼較少。

  • 用戶必須在裝置重新啟動后輸入其 Microsoft Entra ID 密碼。 在此初始電腦解除鎖定之後,觸控標識碼可以解除鎖定裝置。

  • 解除鎖定之後,裝置會取得硬體系結的主要重新整理令牌 (PRT) 認證,Microsoft Entra ID SSO。

注意事項

您設定的任何 Intune 密碼原則也會影響此設定。 例如,如果您有封鎖簡單密碼的密碼原則,則此設定也會封鎖簡單密碼。

請確定您的 Intune 密碼原則和/或合規性原則符合您的 Microsoft Entra 密碼原則。 如果原則不相符,則密碼可能不會同步處理,且終端使用者會被拒絕存取。

智慧卡

當您使用 智慧卡 驗證方法設定 Platform SSO 時,使用者可以使用智慧卡憑證和相關聯的 PIN 來登入裝置,並向應用程式和網站進行驗證。

此選項:

  • 被視為無密碼。
  • 將本機帳戶用戶名稱和密碼保留為原狀。 這些值不會變更。

如需詳細資訊,請移至在iOS和macOS上 Microsoft Entra憑證式驗證

步驟 2 - 在 Intune 中 Create 平臺 SSO 原則

若要設定平臺 SSO 原則,請使用下列步驟來建立 Intune 設定目錄原則。 Microsoft Enterprise SSO 外掛程式需要這些設定。 如需詳細資訊,請移至 適用於Apple裝置的 Microsoft Enterprise SSO 外掛程式

如需可延伸單一登錄延伸模塊承載設定的詳細資訊,請移至 Apple 裝置的可延伸單一登錄 MDM 承載設定 , (開啟 Apple 的網站) 。

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>設定>Create>[新增原則]

  3. 輸入下列內容:

    • 平台:選 取macOS
    • 設定檔類型:選 取 [設定目錄]

  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,將原則命名為 macOS - Platform SSO
    • 描述:輸入原則的描述。 這是選擇性設定,但建議進行。

  6. 選取[下一步]。

  7. 在 [ 組態設定] 中,選取 [ 新增設定]。 在設定選擇器中,展開 [驗證],然後選取 [可延伸 單一登入 (SSO)

    此螢幕快照顯示 [設定目錄設定] 選擇器,以及選取 [Microsoft Intune 中的驗證和可延伸 SSO 類別。

    在清單中,選取下列設定:

    • 限macOS 13 ( (已淘汰) 驗證方法)
    • 延伸模組識別碼
    • 展開 [平臺 SSO]:
      • 選取macOS 14+ (驗證方法)
      • 取 [使用共用裝置密鑰]
    • 註冊令牌
    • 屏幕鎖定行為
    • 小組標識碼
    • 類型
    • URL

    關閉設定選擇器。

    提示

    您可以在原則中設定更多選擇性的平臺 SSO 設定。 如需清單,請移至您可以在本文) 中設定 (的 [ 更多平臺 SSO 設定]。

  8. 設定下列必要設定:

    名稱 組態值 描述
    已淘汰 (驗證方法)
    僅 (macOS 13)     		密碼UserSecureEnclave 選取您在本文) 的 步驟 1 - 決定驗證方法 (中選擇的平臺 SSO 驗證方法。

    此設定僅適用於 macOS 13。 針對macOS 14.0和更新版本,請使用 [平臺 SSO>驗證方法 ] 設定。
    延伸模組識別碼 com.microsoft.CompanyPortalMac.ssoextension 此識別碼是配置檔需要的 SSO 應用程式延伸模組,SSO 才能運作。

    擴充功能識別碼小組標識碼值一起運作。
    平臺 SSO>驗證方法
    (macOS 14+)     		PasswordUserSecureEnclaveSmartCard 選取您在本文) 的 步驟 1 - 決定驗證方法 (中選擇的平臺 SSO 驗證方法。

    此設定適用於macOS 14和更新版本。 若為macOS 13,請使用 [ 驗證方法 (已被取代) 設定。
    平臺 SSO>使用共用裝置金鑰
    (macOS 14+)     		Enabled 啟用時,平臺 SSO 會針對相同裝置上的所有使用者使用相同的簽署和加密密鑰。

    系統會提示從 macOS 13.x 升級至 14.x 的使用者再次註冊。
    註冊令牌 {{DEVICEREGISTRATION}} 您必須包含大括弧。 如需此註冊令牌的詳細資訊,請移至設定 Microsoft Entra 裝置註冊

    此設定需要您也進行 AuthenticationMethod 設定。

    - 如果您只使用 macOS 13 裝置,請設定 [ 已淘汰) (驗證方法 設定。
    - 如果您只使用 macOS 14+ 裝置,請設定 [平臺 SSO>驗證方法 ] 設定。
    - 如果您混合使用 macOS 13 和 macOS 14+ 裝置,請在同一個設定檔中設定這兩個驗證設定。
    屏幕鎖定行為 不要處理 當設定為 [不要處理] 時,要求會在沒有 SSO 的情況下繼續。
    小組標識碼 UBF8T346G9 此標識碼是企業 SSO 外掛程式應用程式延伸模組的小組識別碼。
    類型 重新導向
    URL 輸入下列所有網址:

    https://login.microsoftonline.com
    https://login.microsoft.com
    https://sts.windows.net
    https://login.partner.microsoftonline.cn
    https://login.chinacloudapi.cn
    https://login.microsoftonline.us
    https://login-us.microsoftonline.com    		 這些 URL 前置詞是執行 SSO 應用程式擴充功能的識別提供者。 重新導向承載需要 URL,認證承載則會忽略這些 URL

    如需這些 URL 的詳細資訊,請移至 適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式

    重要事項

    如果您的環境中混合了 macOS 13 和 macOS 14+ 裝置,請在同一個設定檔中設定 平臺 SSO>驗證方法驗證方法 (已被取代) 驗證設定。

  9. 選取[下一步]。

  10. 在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如 US-NC IT TeamJohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請移至 使用分散式IT的 RBAC 角色和範圍標籤

    選取 [下一步]

  11. 在 [ 指派] 中,選取將接收配置檔的使用者或使用者群組。 平臺 SSO 原則是以用戶為基礎的原則。 請勿將平臺 SSO 原則指派給裝置。

    如需指派配置檔的詳細資訊,請移至 指派使用者和裝置配置檔

    選取[下一步]。

  12. 在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。

下次裝置檢查組態更新時,會套用您設定的設定。

步驟 3 - 部署適用於 macOS 的 公司入口網站 應用程式

適用於 macOS 的 公司入口網站 應用程式會部署並安裝 Microsoft Enterprise SSO 外掛程式。 此外掛程式會啟用平臺 SSO。

使用 Intune,您可以新增 公司入口網站 應用程式,並將其部署為 macOS 裝置的必要應用程式:

沒有任何特定步驟可設定平臺 SSO 的應用程式。 只要確定最新 公司入口網站 應用程式已新增至 Intune,並部署到您的macOS裝置。

如果您已安裝舊版的 公司入口網站 應用程式,則平臺 SSO 將無法運作。

步驟 4 - 註冊裝置並套用原則

若要使用平臺 SSO,裝置必須使用下列其中一種方法在 Intune 中註冊 MDM:

  • 針對 組織擁有的裝置,您可以:

  • 針對 個人擁有的裝置,建立 裝置註冊 原則。 使用此註冊方法,終端用戶會開啟 公司入口網站 應用程式,並使用其 Microsoft Entra ID 登入。 成功登入時,會套用註冊原則。

針對 新的裝置,建議您預先建立並設定所有必要的原則,包括註冊原則。 然後,當裝置註冊 Intune 時,原則會自動套用。

針對已在 Intune 中註冊的現有裝置,請將平臺 SSO 原則指派給您的使用者或使用者群組。 下次裝置與 Intune 服務同步或簽入時,會收到您建立的平臺 SSO 原則設定。

步驟 5 - 註冊裝置

當裝置收到原則時,通知中心會顯示註冊 必要 通知。

此螢幕快照顯示當您在 Microsoft Intune 中設定 Platform SSO 時,終端使用者裝置上需要註冊的提示。

  • 用戶選取此通知、使用其組織帳戶登入 Microsoft Entra ID 外掛程式,並視需要完成多重要素驗證 (MFA) 。

    注意事項

    MFA 是一項 Microsoft Entra 功能。 請確定您的租用戶已啟用 MFA。 如需詳細資訊,包括任何其他應用程式需求,請移至 Microsoft Entra 多重要素驗證

  • 成功驗證時,裝置會 Microsoft Entra 加入組織,且 WPJ () 憑證的工作場所加入會系結至裝置。

下列文章會根據註冊方法顯示用戶體驗:

步驟 6 - 確認裝置上的設定

當平臺 SSO 註冊完成時,您可以確認已設定 Platform SSO。 如需步驟,請移至 Microsoft Entra ID - 檢查您的裝置註冊狀態

在已註冊 Intune 裝置上,您也可以移至 [設定隱私權和安全>性>配置檔]。 您的平臺 SSO 設定檔會顯示在 底下 com.apple.extensiblesso Profile。 選取設定檔以查看您設定的設定,包括URL。

若要針對平臺 SSO 進行疑難解答,請移至 macOS Platform 單一登錄已知問題並進行疑難解答

步驟 7 - 取消指派任何現有的 SSO 應用程式延伸模組設定檔

確認您的設定類別目錄原則正常運作之後,請取消指派使用 Intune 裝置功能範本建立的任何現有 SSO 應用程式延伸模組設定檔。

如果您保留這兩個原則,可能會發生衝突。

您可以設定的更多平臺 SSO 設定

當您在步驟 2 - Create Intune 中的平臺 SSO 原則中建立設定類別目錄設定檔時,還有更多您可以設定的選擇性設定。

下列設定可讓您自定義用戶體驗,並提供更細微的用戶權力控制。 不支援任何未記載的平臺 SSO 設定。

平臺 SSO 設定 可能值 使用情況
帳戶顯示名稱 任何字串值。 自定義用戶在平臺 SSO 通知中看到的組織名稱。
在登入時啟用 Create 使用者 啟用停用 允許任何組織使用者使用其 Microsoft Entra 認證登入裝置。
新增用戶授權模式 標準管理員群組 使用平臺 SSO 建立帳戶時,使用者在登入時擁有的一次性許可權。 目前支持標準管理員 值。 在使用標準模式之前,裝置上至少需要一個 管理員 使用者。
用戶授權模式 標準管理員群組 每次使用者使用 Platform SSO 進行驗證時,使用者在登入時擁有的持續性許可權。 目前支持標準管理員 值。 在使用標準模式之前,裝置上至少需要一個 管理員 使用者。

常見錯誤

當您設定 Platform SSO 時,可能會看到下列錯誤:

  • 10001: misconfiguration in the SSOe payload.

    如果發生下列情況,就會發生此錯誤:

    您在設定目錄設定檔中設定的驗證設定,與 macOS 13.x 和 14.x 裝置不同。

    如果您的環境中有 macOS 13 和 macOS 14 裝置,則必須建立一個設定目錄原則,並在相同的原則中設定其各自的驗證設定。 本文的步驟 2 - Create Intune (中的平臺 SSO 原則) 記載此資訊。

  • 10002: multiple SSOe payloads configured.

    多個 SSO 擴充功能承載正在套用至裝置,且發生衝突。 裝置上應該只有一個擴充功能配置檔,而且該配置檔應該是設定類別目錄配置檔。

    如果您先前使用裝置功能範本建立 SSO 應用程式延伸模組設定檔,請取消指派該設定檔。 設定類別目錄配置檔是唯一應該指派給裝置的配置檔。