Compartir a través de

Introducción al inicio de sesión único en macOS Platform

El inicio de sesión único de plataforma (PSSO) para macOS es una nueva característica con la tecnología del complemento de Microsoft Enterprise SSO, Credenciales de plataforma para macOS que permite a los usuarios iniciar sesión en dispositivos Mac con sus credenciales de Microsoft Entra ID. Esta característica proporciona ventajas a los administradores al simplificar el proceso de inicio de sesión para los usuarios y reducir el número de contraseñas que necesitan recordar. También permite a los usuarios autenticarse con Microsoft Entra ID con una tarjeta inteligente o una clave enlazada a hardware. Esta característica mejora la experiencia del usuario final, que no tiene que recordar dos contraseñas independientes, y disminuye la necesidad de que los administradores tengan que administrar la contraseña de la cuenta local.

Hay tres métodos de autenticación diferentes que determinan la experiencia del usuario final;

  • Credencial de plataforma para macOS: aprovisiona una clave criptográfica enlazada a hardware respaldada por el enclave seguro, que se usa para el inicio de sesión único en todas las aplicaciones que usan Microsoft Entra ID para la autenticación. La contraseña de la cuenta local del usuario no se ve afectada y es necesaria para iniciar sesión en el Equipo Mac.
  • Tarjeta inteligente: el usuario inicia sesión en la máquina mediante una tarjeta inteligente externa o un token de hardware compatible con tarjetas inteligentes (por ejemplo, Yubikey). Una vez desbloqueado el dispositivo, la tarjeta inteligente se usa con Microsoft Entra ID para conceder SSO entre aplicaciones que usan Microsoft Entra ID para la autenticación.
  • Contraseña como método de autenticación: sincroniza la contraseña de Microsoft Entra ID del usuario con la cuenta local y habilita el inicio de sesión único en todas las aplicaciones que usan Microsoft Entra ID para la autenticación.

Con tecnología del complemento de Microsoft Enterprise SSO para dispositivos Apple, PSSO:

  • Permite a los usuarios acceder sin contraseña mediante Touch ID.
  • Usa credenciales resistentes a la suplantación de identidad (phishing), basadas en la tecnología de Windows Hello para empresas.
  • Ahorra dinero a las organizaciones de los clientes quitando la necesidad de usar claves de seguridad.
  • Permite avanzar hacia los objetivos de Confianza cero mediante la integración con el enclave seguro.

Para habilitarlo, un administrador debe configurar PSSO a través de Microsoft Intune u otro MDM compatible. En función de cómo se configure el dispositivo, el usuario final puede configurar su dispositivo con PSSO a través del enclave seguro, la tarjeta inteligente o el método de autenticación basado en contraseña.

Requisitos

Para implementar el inicio de sesión único de plataforma para macOS, necesita cumplir los siguientes requisitos mínimos.

Configuración

Puedes obtener más información e instrucciones sobre la configuración en estos artículos:

Nota:

Si va a configurar el inicio de sesión único de plataforma para dispositivos macOS mediante una MDM de terceros, consulte la documentación proporcionada por el proveedor de MDM para obtener instrucciones específicas sobre cómo configurar el inicio de sesión único de la plataforma.

Si es desarrollador de una solución MDM de terceros, consulte integración del inicio de sesión único (PSSO) de macOS Platform en la guía de la solución MDM para obtener más información sobre cómo integrar PSSO en la solución MDM.

Implementación

Puedes obtener más información e instrucciones sobre cómo implementar SSO de plataforma para macOS en estos artículos.

Autenticación sin contraseñas

Las contraseñas son un vector de ataque principal de los actores con malas intenciones. Usan ataques de ingeniería social, suplantación de identidad (phishing) y ataques de pulverización de contraseñas para obtenerlas. Una estrategia de autenticación sin contraseña mitiga el riesgo de estos ataques.

Obtén información sobre cómo puedes usar el SSO de plataforma para macOS para habilitar la autenticación sin contraseña para tu organización.

Las credenciales de plataforma para macOS también se pueden usar como credenciales resistentes a la suplantación de identidad para su uso en desafíos de WebAuthn (incluidos los escenarios de reautenticación del explorador). Si usa restricciones clave en la directiva FIDO, deberá agregar el AAGUID de la credencial de la plataforma macOS a su lista de AAGUID permitidos: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

SSO de la plataforma Microsoft: UserSecureEnclaveKeyBiometricPolicy

Microsoft Platform SSO admite la opción UserSecureEnclaveKeyBiometricPolicy cuando se usa Platform SSO con el método de autenticación UserSecureEnclaveKey. Esta directiva mejora la seguridad al requerir que los usuarios se autentiquen con Touch ID siempre que se tenga acceso a la clave de enclave seguro de usuario.

  • Cuando esta directiva está habilitada, se solicita a los usuarios la autenticación touch ID cada vez que se accede a la clave de enclave seguro de usuario. La solicitud se producirá durante el registro de PSSO, en los escenarios de re-autenticación del navegador utilizando la clave de usuario como clave de acceso, y durante el inicio de sesión para obtener el token de PSSO.
  • La habilitación de esta directiva requiere que el dispositivo admita la autenticación biométrica touch ID. Los usuarios deben configurar Touch ID para continuar con el registro de PSSO. Los administradores deben asegurarse de que los usuarios tengan un dispositivo compatible con biometría o un teclado externo que admita Touch ID antes de habilitar esta directiva.

Nota:

No hay ninguna opción para la reserva de contraseñas mientras se autentica con la clave de enclave seguro de usuario cuando UserSecureEnclaveKeyBiometricPolicy está habilitado. Por lo tanto, los usuarios no podrán autenticarse en microsoft Entra ID si no tienen datos biométricos de Touch ID disponibles.

Requisitos para UserSecureEnclaveKeyBiometricPolicy

  • Sistema operativo: macOS 14.6 y versiones posteriores

  • Versión del Portal de empresa: 2504 y versiones posteriores

    Importante

    Si esta función se habilita después de completar el registro de PSSO, todos los usuarios deberán someterse a un proceso completo de nuevo registro de PSSO para que la política surta efecto. Este proceso de nuevo registro debe estar controlado por el administrador, ya que los usuarios no verán una solicitud de nuevo registro. Los administradores deben considerar detenidamente si se habilita esta directiva y se planea la implementación de PSSO en consecuencia.

Cómo habilitar UserSecureEnclaveKeyBiometricPolicy

Los clientes de alta seguridad pueden optar por habilitar esta característica estableciendo una marca en el diccionario de datos de la extensión SSO.

  • Nombre de clave: enable_se_key_biometric_policy
  • Valor: true

Captura de pantalla de la configuración UserSecureEnclaveKeyBiometricPolicy en Microsoft Intune.

Ventajas de UserSecureEnclaveKeyBiometricPolicy

  • Seguridad mejorada: el acceso a la clave de enclave seguro de usuario está protegido por hardware y solo se puede acceder después de la autenticación correcta de Touch ID, lo que proporciona una capa adicional de seguridad.

Desventajas de UserSecureEnclaveKeyBiometricPolicy

  • Más avisos: los usuarios encontrarán mensajes adicionales durante el registro de PSSO a medida que se accede a la clave varias veces durante el proceso.
  • Biometric-Only Access: solo se puede acceder a la clave de acceso PSSO con autenticación biométrica. No hay método alternativo de recuperación de la contraseña. Si el dispositivo está desbloqueado con una contraseña, se pedirá a los usuarios la autenticación biométrica para obtener el token de PSSO.

Inicio de sesión único de Kerberos en recursos locales de Active Directory y Microsoft Entra ID Kerberos

macOS permite a los usuarios configurar el inicio de sesión único de la plataforma para admitir el inicio de sesión único basado en Kerberos en recursos locales y en la nube, además de SSO a Microsoft Entra ID. Kerberos SSO es una funcionalidad opcional dentro del inicio de sesión único de la plataforma, pero se recomienda si los usuarios todavía necesitan acceder a los recursos locales de Active Directory que usan Kerberos para la autenticación.

Para obtener más información, consulte Kerberos SSO to on-premises Active Directory and Microsoft Entra ID Kerberos resources (Inicio de sesión único de Kerberos de Kerberos en el entorno local de Active Directory y recursos kerberos de Microsoft Entra ID).

Compatibilidad con Graph API

Puede usar Microsoft Graph API para administrar el método de autenticación PlatformCredential.

Las SIGUIENTES API están disponibles:

Instituto Nacional de Estándares y Tecnología (NIST)

El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia federal no normativa dentro de los Estados Unidos. Departamento de Comercio. NIST desarrolla y publica normas, directrices y otras publicaciones para ayudar a las agencias federales a administrar programas rentables para proteger la información y los sistemas de información.

Puedes obtener más información sobre el uso del inicio de sesión único de plataforma para macOS para cumplir los requisitos de NIST en estos artículos.

Solución de problemas

Si experimenta problemas al implementar el inicio de sesión único de plataforma para macOS, consulte nuestra documentación sobre problemas conocidos de inicio de sesión único de plataforma para macOS y solución de problemas.

  • Last updated on