Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’authentification unique sur la plateforme (PSSO) pour macOS est une nouvelle fonctionnalité basée sur le plug-in Enterprise SSO de Microsoft, Platform Credentials for macOS qui permet aux utilisateurs de se connecter aux appareils Mac à l’aide de leurs informations d’identification Microsoft Entra ID. Cette fonctionnalité offre des avantages aux administrateurs en simplifiant le processus de connexion pour les utilisateurs et en réduisant le nombre de mots de passe à mémoriser. Il permet également aux utilisateurs de s’authentifier avec Microsoft Entra ID à l’aide d’une carte à puce ou d’une clé matérielle. Cette fonctionnalité améliore l’expérience de l’utilisateur final, qui n’est pas contraint de mémoriser deux mots de passe distincts, et les administrateurs ont moins besoin de gérer le mot de passe du compte local.
Il existe trois méthodes différentes d’authentification qui déterminent l’expérience de l’utilisateur final :
- Platform Credential for macOS : approvisionne une clé de chiffrement liée au matériel avec Secure Enclave qui est utilisée pour l’authentification unique SSO entre les applications qui s’authentifient à l’aide de Microsoft Entra ID. Le mot de passe du compte local de l’utilisateur n’est pas affecté et est requis pour se connecter au Mac.
- Carte à puce : l’utilisateur se connecte à la machine à l’aide d’une carte à puce externe ou d’un jeton matériel compatible avec une carte à puce (par exemple, Yubikey). Une fois l’appareil déverrouillé, la carte à puce est utilisée avec Microsoft Entra ID pour permettre l’authentification unique SSO entre les applications qui s’authentifient à l’aide de Microsoft Entra ID.
- Mot de passe comme méthode d’authentification : synchronise le mot de passe Microsoft Entra ID de l’utilisateur avec le compte local et permet l’authentification unique SSO entre les applications qui s’authentifient à l’aide de Microsoft Entra ID.
Basée sur le plug-in Microsoft Enterprise Single Sign-On pour les appareils Apple, l’authentification unique PSSO :
- Permet aux utilisateurs de se passer de mots de passe en utilisant Touch ID.
- Utilise des informations d’identification résistantes au hameçonnage, basées sur la technologie Windows Hello Entreprise.
- Permet aux organisations clientes de réaliser des économies en leur évitant d’utiliser des clés de sécurité.
- Rapproche des objectifs de Confiance Zéro grâce à l’intégration à Secure Enclave.
Pour l’activer, un administrateur doit configurer l’authentification unique PSSO via Microsoft Intune ou une autre GPM prise en charge. Selon la configuration de l’appareil, l’utilisateur final peut configurer son appareil avec l’authentification unique via une enclave sécurisée, une carte à puce ou une méthode d’authentification basée sur un mot de passe.
Spécifications
Pour déployer l’authentification unique SSO sur la plateforme pour macOS, vous devez disposer de la configuration minimale suivante.
- Une version minimale recommandée de macOS 14 Sonoma. Bien que macOS 13 Ventura soit pris en charge, nous vous recommandons vivement d’utiliser macOS 14 Sonoma pour une expérience optimale.
- Microsoft Authenticator
- L’application Portail d’entreprise Microsoft Intune version 5.2404.0 ou ultérieure installée. Cette version est nécessaire pour permettre aux utilisateurs d’être ciblés pour l’authentification unique PSSO.
- Les utilisateurs doivent disposer des autorisations suffisantes pour inscrire et joindre des appareils à Microsoft Entra ID.
Paramétrage
Vous trouverez des informations complémentaires et des instructions relatives à la configuration de ces articles :
- Configurer l’authentification unique de la plateforme pour les appareils macOS dans Microsoft Intune
Remarque
Si vous configurez l’authentification unique de plateforme pour les appareils macOS à l’aide d’un GPM tiers, reportez-vous à la documentation fournie par votre fournisseur MDM pour obtenir des instructions spécifiques sur la configuration de l’authentification unique de plateforme.
Si vous êtes développeur d’une solution MDM tierce, reportez-vous au guide Intégrer macOS Platform Single Sign On (PSSO) dans votre solution MDM pour plus d’informations sur l’intégration de PSSO à votre solution MDM.
Déploiement
Vous trouverez des informations complémentaires et des instructions sur la manière de déployer l’authentification unique SSO sur la plateforme pour macOS dans ces articles.
- Joindre un appareil Mac avec Microsoft Entra ID pendant l’expérience prête à l’emploi
- Joindre un appareil Mac avec Microsoft Entra ID à l’aide du Portail d’entreprise
Authentification sans mot de passe
Les mots de passe constituent un vecteur d’attaque primordial pour les acteurs malveillants. Ils utilisent l’ingénierie sociale, le hameçonnage et les attaques par pulvérisation de mots de passe pour compromettre les mots de passe. Une stratégie d’authentification sans mot de passe atténue ces risques d’attaques.
Découvrez comment utiliser l’authentification unique SSO sur la plateforme pour macOS pour activer l’authentification sans mot de passe pour votre organisation.
- Options d’authentification sans mot de passe pour Microsoft Entra ID
- Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID
Les informations d’identification de la plateforme pour macOS peuvent également être utilisées comme informations d’identification résistantes par hameçonnage pour une utilisation dans les défis WebAuthn (y compris les scénarios de réauthentification du navigateur). Si vous utilisez des restrictions de clé dans votre stratégie FIDO, vous devez ajouter l’AAGUID pour les informations d’identification de la plateforme macOS à votre liste d’AAGUID autorisés : 7FD635B3-2EF9-4542-8D9D-164F2C771EFC
Authentification unique de plateforme Microsoft (SSO) : Politique biométrique de clé d'enclave sécurisée de l'utilisateur
Microsoft Platform SSO prend en charge l'option UserSecureEnclaveKeyBiometricPolicy lors de l'utilisation de Platform SSO avec la méthode d'authentification UserSecureEnclaveKey. Cette stratégie améliore la sécurité en obligeant les utilisateurs à s’authentifier avec l’ID tactile chaque fois que la clé d’enclave sécurisée de l’utilisateur doit être accessible.
- Lorsque cette stratégie est activée, les utilisateurs sont invités à utiliser l’authentification Touch ID chaque fois que la clé d’enclave sécurisée de l’utilisateur est accessible. L'invite se produit lors de l'enregistrement PSSO, des scénarios de ré-authentification du navigateur utilisant la clé utilisateur comme clé d'accès, et lors de l'authentification pendant la connexion pour obtenir le jeton PSSO.
- L’activation de cette stratégie nécessite que l’appareil prenne en charge l’authentification biométrique Touch ID. Les utilisateurs doivent configurer Touch ID pour continuer l'inscription à la PSSO. Les administrateurs doivent s’assurer que les utilisateurs disposent d’un appareil biométrique ou d’un clavier externe prenant en charge l’ID tactile avant d’activer cette stratégie.
Remarque
Il n'existe aucune option comme alternative au mot de passe lors de l'authentification avec la clé sécurisée d’enclave utilisateur lorsque UserSecureEnclaveKeyBiometricPolicy est activé. Par conséquent, les utilisateurs ne pourront pas s’authentifier auprès de Microsoft Entra ID s’ils n’ont pas de biométrie Touch ID disponible.
Configuration requise pour UserSecureEnclaveKeyBiometricPolicy
Système d’exploitation : macOS 14.6 et versions ultérieures
Version du portail d’entreprise : 2504 et versions ultérieures
Important
Si cette fonctionnalité est activée une fois l’inscription PSSO terminée, tous les utilisateurs devront suivre un processus complet de réinscription PSSO pour que la politique prenne effet. Ce processus de réinscription doit être piloté par l’administrateur, car les utilisateurs ne voient pas d’invite de réinscription. Les administrateurs doivent examiner attentivement s’il faut activer cette stratégie et planifier le déploiement de l’authentification unique en conséquence.
Comment activer UserSecureEnclaveKeyBiometricPolicy
Les clients à haute sécurité peuvent choisir d’activer cette fonctionnalité en définissant un indicateur dans le dictionnaire de données de l’extension SSO.
- Nom de clé : enable_se_key_biometric_policy
- Valeur : true
Avantages de UserSecureEnclaveKeyBiometricPolicy
- Sécurité renforcée : l’accès à la clé d’enclave sécurisée par l’utilisateur est protégé par le matériel et est accessible uniquement après l’authentification Touch ID réussie, fournissant une couche supplémentaire de sécurité.
Inconvénients de UserSecureEnclaveKeyBiometricPolicy
- Plus d’invites : les utilisateurs rencontreront des invites supplémentaires lors de l’inscription à PSSO, car la clé est consultée plusieurs fois au cours du processus.
- Biometric-Only Access : la clé secrète PSSO est accessible uniquement avec l’authentification biométrique. Il n'existe aucune option de récupération de mot de passe. Si l’appareil est déverrouillé avec un mot de passe, les utilisateurs sont toujours invités à demander l’authentification biométrique pour obtenir le jeton PSSO.
SSO Kerberos vers des ressources Kerberos Active Directory locales et Kerberos Microsoft Entra ID
macOS permet aux utilisateurs de configurer Platform SSO pour prendre en charge l’authentification unique basée sur Kerberos sur des ressources locales et cloud, en plus de l'authentification unique vers Microsoft Entra ID. L’authentification unique Kerberos est une fonctionnalité facultative dans Platform SSO, mais il est recommandé si les utilisateurs ont toujours besoin d’accéder aux ressources Active Directory locales qui utilisent Kerberos pour l’authentification.
Pour en savoir plus, consultez l'authentification unique Kerberos pour les ressources Active Directory locales et Microsoft Entra ID Kerberos.
Prise en charge de l’API Graph
Vous pouvez utiliser l’API Microsoft Graph pour gérer la méthode d’authentification PlatformCredential.
Les API suivantes sont disponibles :
- type de ressource platformCredentialAuthenticationMethod.
- Répertorier platformCredentialAuthenticationMethods.
- Supprime platformCredentialAuthenticationMethod.
National Institute of Standards and Technology (NIST)
Le National Institute of Standards and Technology (NIST) est une agence fédérale non régulatrice qui dépend du Département du Commerce des États-Unis. Le NIST élabore et émet des normes, des recommandations et autres publications dans l’optique d’aider les agences fédérales à gérer des programmes efficaces destinés à protéger leurs informations et systèmes informatiques.
Vous trouverez dans les articles suivants des informations supplémentaires sur l’utilisation de l’authentification unique SSO sur la plateforme pour macOS afin de répondre aux exigences de NIST.
- Configurer Microsoft Entra ID pour répondre aux niveaux d'assurance de l'authentificateur NIST
- Types d’authentificateurs NIST et méthodes Microsoft Entra alignées
- Niveau d’assurance de l’authentificateur NIST 3 à l’aide de Microsoft Entra ID
Dépannage
Si vous rencontrez des problèmes lors de l’implémentation de l’authentification unique SSO sur la plateforme pour macOS, reportez-vous à notre documentation relatives aux problèmes connus de l’authentification unique sur la plateforme pour macOS et à leur résolution