Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les informations d'identification de plateforme pour macOS sont une nouvelle fonctionnalité sur macOS activée à l'aide de l'extension Microsoft Enterprise Single Sign-On (SSOe). Elle provisionne une clé de chiffrement liée au matériel protégée par une enclave de sécurité qui est utilisée pour l'authentification unique entre les applications qui s'authentifient à l'aide de Microsoft Entra ID. Le mot de passe du compte local de l'utilisateur n'est pas modifié et reste nécessaire pour se connecter au Mac.
Les informations d'identification de plateforme pour macOS permettent aux utilisateurs de se connecter sans mot de passe en configurant Touch ID pour déverrouiller leur appareil. Cette méthode utilise des identifiants résistants au hameçonnage, basés sur la technologie Windows Hello for Business. Cela permet aux organisations clientes de réaliser des économies en supprimant le besoin de clés de sécurité physiques, tout en renforçant les objectifs Confiance Zéro grâce à l'intégration avec l'enclave sécurisée.
Les informations d'identification de plateforme pour macOS peuvent également être utilisées comme identifiants résistants à l'hameçonnage dans des vérifications WebAuthn, dont des scénarios de réauthentification de navigateur. Si vous appliquez des stratégies de restriction de clés dans votre stratégie FIDO, vous devez ajouter l'AAGUID correspondant aux informations d'identification de plateforme macOS à votre liste d'AAGUID autorisés : 7FD635B3-2EF9-4542-8D9D-164F2C771EFC.
- Un utilisateur déverrouille son macOS à l'aide d'un geste ou de son empreinte digitale, ce qui déverrouille le trousseau de clés pour permettre l'accès à la UserSecureEnclaveKey.
- Le macOS demande un nonce (nombre arbitraire aléatoire qui ne peut être utilisé qu'une seule fois) à Microsoft Entra ID.
- Microsoft Entra ID renvoie un nonce qui est valide pendant 5 minutes.
- Le système d'exploitation (OS) envoie ensuite une requête de connexion à Microsoft Entra ID contenant une assertion signée avec la UserSecureEnclaveKey qui réside dans l'enclave sécurisée.
- Microsoft Entra ID valide l'assertion signée en utilisant la clé publique inscrite de manière sécurisée de l'utilisateur correspondant à la UserSecureEnclaveKey. Microsoft Entra ID valide la signature ainsi que le nonce. Une fois l'assertion validée, Microsoft Entra ID crée un jeton d'actualisation principal (PRT) chiffré avec la clé publique de la UserDeviceEncryptionKey échangée lors de l'inscription et renvoie la réponse au système d'exploitation.
- Le système d'exploitation déchiffre et valide la réponse, récupère les jetons d'authentification unique, les stocke et les partage avec l'extension SSO pour permettre une authentification unique. L'utilisateur peut ainsi accéder à son macOS, aux applications cloud et aux applications locales à l'aide de l'authentification unique.
Pour plus d'informations sur la configuration et le déploiement des informations d'identification de plateforme pour macOS, reportez-vous à l'article consacré à l'authentification unique de plateforme macOS.
Authentification unique de plateforme pour macOS avec carte à puce
L'authentification unique de plateforme (PSSO) pour macOS permet aux utilisateurs de se connecter sans mot de passe à l'aide de la méthode d'authentification par carte à puce. L’utilisateur se connecte à l’appareil à l’aide d’une carte à puce externe ou d’un jeton matériel compatible avec carte à puce (tel que Yubikey). Une fois l’appareil déverrouillé, la carte à puce est utilisée avec l’ID Microsoft Entra pour accorder l’authentification unique à toutes les applications qui utilisent Microsoft Entra ID pour l’authentification à l’aide de l’authentification par certificat (CBA). La CBA doit être configurée et activée pour les utilisateurs pour que cette fonctionnalité soit opérationnelle. Pour plus d’informations sur la configuration de l’authentification basée sur les certificats, consultez Comment configurer l’authentification basée sur des certificats Microsoft Entra.
Pour activer cette fonctionnalité, un administrateur doit configurer la PSSO à l'aide de Microsoft Intune ou d'une autre solution de gestion des appareils mobiles (MDM) prise en charge.
- Un utilisateur déverrouille son macOS à l'aide du code PIN de sa carte à puce, ce qui déverrouille la carte à puce ainsi que le trousseau de clés, permettant l'accès aux clés d'inscription de l'appareil stockées dans l'enclave sécurisée.
- Le macOS demande un nonce (nombre arbitraire aléatoire qui ne peut être utilisé qu'une seule fois) à Microsoft Entra ID.
- Microsoft Entra ID renvoie un nonce qui est valide pendant 5 minutes.
- Le système d'exploitation (OS) envoie alors une requête de connexion à Microsoft Entra ID, contenant une assertion signée avec le certificat Microsoft Entra de l'utilisateur, présent sur la carte à puce.
- Microsoft Entra ID valide l'assertion signée, la signature ainsi que le nonce. Une fois l'assertion validée, Microsoft Entra ID crée un jeton d'actualisation principal (PRT) chiffré avec la clé publique de la UserDeviceEncryptionKey échangée lors de l'inscription et renvoie la réponse au système d'exploitation.
- Le système d'exploitation déchiffre et valide la réponse, récupère les jetons d'authentification unique, les stocke et les partage avec l'extension SSO pour permettre une authentification unique. L'utilisateur peut ainsi accéder à son macOS, aux applications cloud et aux applications locales à l'aide de l'authentification unique.
Contenu connexe
Quelles méthodes d’authentification et de vérification sont disponibles dans Microsoft Entra ID ?