Freigeben über

Authentifizierungsmethoden in Microsoft Entra ID – Plattform-Credential für macOS

Platform Credentials für macOS sind eine neue Funktion unter macOS, die mit der Microsoft Enterprise-Erweiterung für einmaliges Anmelden (Single Sign-On Extension, SSOe) aktiviert ist. Es stellt einen hardwaregebundenen kryptografischen Schlüssel aus Secure Enclave bereit, der für einmaliges Anmelden (SSO) für Apps verwendet wird, die Microsoft Entra ID für die Authentifizierung verwenden. Das Benutzerkennwort für das lokale Konto ist davon nicht betroffen, und es ist eine Anmeldung auf dem Mac-Gerät erforderlich.

Screenshot eines Beispiels für ein Popupfenster, in dem die Benutzerin oder der Benutzer aufgefordert wird, das macOS-Konto bei dem Identitätsanbieter mithilfe von Plattform SSO zu registrieren.

Platform Credentials für macOS ermöglicht es Benutzerinnen und Benutzern, sich kennwortlos anzumelden, indem sie Touch-ID zum Entsperren des Geräts konfigurieren und Phishing-resistente Anmeldeinformationen basierend auf der Windows Hello for Business-Technologie verwenden. Dies spart Kundenorganisationen Geld, indem die Notwendigkeit von Sicherheitsschlüsseln beseitigt und Zero Trust-Ziele mithilfe der Integration in die Secure Enklave verbessert werden.

Die Plattform-Berechtigung für macOS kann auch als phishingresistente Anmeldeinformation für die Verwendung in WebAuthn-Herausforderungen verwendet werden, einschließlich Browser-Reauthentifizierungsszenarien. Wenn Sie Schlüsseleinschränkungsrichtlinien in Ihrer FIDO-Richtlinie nutzen, müssen Sie die AAGUID für die macOS-Plattformanmeldeinformationen zu Ihrer Liste der zulässigen AAGUIDs hinzufügen: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

Abbildung der Übersicht über die Schritte bei der Benutzeranmeldung mit der macOS Platform SSO.

  1. Eine Benutzerin oder ein Benutzer entsperrt macOS mit Fingerabdruck oder Kennwortgeste, wodurch der Schlüsselbund entsperrt wird, um Zugriff auf UserSecureEnclaveKey zu ermöglichen.
  2. MacOS fordert eine Nonce (eine zufällige beliebige Zahl, die nur einmal verwendet werden kann) von Microsoft Entra ID an.
  3. Microsoft Entra ID gibt eine Nonce zurück, die 5 Minuten lang gültig ist.
  4. Das Betriebssystem (OS) sendet eine Anmeldeanforderung an Microsoft Entra ID mit einer eingebetteten Assertion, die mit dem UserSecureEnclaveKey signiert ist, der sich in der Secure Enklave befindet.
  5. Microsoft Entra ID überprüft die signierte Assert-Anweisung mithilfe des sicher registrierten öffentlichen Benutzerschlüssels des UserSecureEnclave-Schlüssels. Microsoft Entra ID überprüft die Signatur und Nonce. Nachdem die Assert-Anweisung überprüft wurde, erstellt Microsoft Entra ID ein primäres Aktualisierungstoken (PRT), das mit dem öffentlichen Schlüssel des UserDeviceEncryptionKey verschlüsselt ist, der während der Registrierung ausgetauscht wird, und sendet die Antwort an das Betriebssystem zurück.
  6. Das Betriebssystem entschlüsselt und überprüft die Antwort, ruft die SSO-Token ab, speichert sie und teilt sie mit der SSO-Erweiterung für die Bereitstellung von SSO. Der Benutzer kann über Single Sign-On auf macOS-, Cloud- und lokale Anwendungen zugreifen.

Weitere Informationen zum Konfigurieren und Bereitstellen von Platform Credentials für macOS finden Sie unter macOS Platform SSO.

Platform Single Sign-On für macOS mit SmartCard

Platform Single Sign-On (PSSO) für macOS ermöglicht es Benutzerinnen und Benutzern, sich kennwortlos mit der SmartCard-Authentifizierungsmethode anzumelden. Der Benutzer meldet sich mit einer externen Smartcard oder einem hardwarekompatiblen Hardwaretoken (z. B. Yubikey) beim Gerät an. Nachdem das Gerät entsperrt wurde, wird die Smartcard mit Microsoft Entra-ID verwendet, um SSO für Apps zu gewähren, die Microsoft Entra-ID für die Authentifizierung mithilfe der zertifikatbasierten Authentifizierung (CBA) verwenden. Die zertifikatbasierte Authentifizierung muss für Benutzer konfiguriert und aktiviert sein, damit dieses Feature funktioniert. Weitere Informationen zum Konfigurieren von CBA finden Sie unter Konfigurieren der zertifikatbasierten Microsoft Entra-Authentifizierung.

Um dies zu ermöglichen, muss ein Administrator PSSO mithilfe von Microsoft Intune oder einer anderen unterstützten Mobile-Device-Management-Lösung (MDM) konfigurieren.

Abbildung der Übersicht über die Schritte bei der Benutzeranmeldung mit der macOS Platform SSO.

  1. Ein Benutzer entsperrt macOS mithilfe des Smartcard-Pins, der die Smartcard und den Schlüsselbund entsperrt, um Zugriff auf Geräteregistrierungsschlüssel zu ermöglichen, die in Secure Enclave vorhanden sind.
  2. MacOS fordert eine Nonce (eine zufällige beliebige Zahl, die nur einmal verwendet werden kann) von Microsoft Entra ID an.
  3. Microsoft Entra ID gibt eine Nonce zurück, die 5 Minuten lang gültig ist.
  4. Das Betriebssystem (OS) sendet eine Anmeldeanforderung an Microsoft Entra ID mit einer eingebetteten Assertion, die mit dem Microsoft Entra-Zertifikat der Smartcard des Benutzerkontos signiert ist.
  5. Microsoft Entra ID überprüft die signierte Assertion, Signatur und Nonce. Nachdem die Assert-Anweisung überprüft wurde, erstellt Microsoft Entra ID ein primäres Aktualisierungstoken (PRT), das mit dem öffentlichen Schlüssel des UserDeviceEncryptionKey verschlüsselt ist, der während der Registrierung ausgetauscht wird, und sendet die Antwort an das Betriebssystem zurück.
  6. Das Betriebssystem entschlüsselt und überprüft die Antwort, ruft die SSO-Token ab, speichert sie und teilt sie mit der SSO-Erweiterung für die Bereitstellung von SSO. Der Benutzer kann über Single Sign-On auf macOS-, Cloud- und lokale Anwendungen zugreifen.

Verwandte Inhalte

Welche Authentifizierungs- und Prüfmethoden stehen in Microsoft Entra ID zur Verfügung?

  • Last updated on