Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Logowanie jednokrotne (PSSO) platformy dla systemu macOS to nowa funkcja obsługiwana przez wtyczkę logowania jednokrotnego enterprise firmy Microsoft, poświadczenia platformy dla systemu macOS, która umożliwia użytkownikom logowanie się na urządzeniach Mac przy użyciu poświadczeń identyfikatora Entra firmy Microsoft. Ta funkcja zapewnia korzyści administratorom, upraszczając proces logowania użytkowników i zmniejszając liczbę haseł, które muszą zapamiętać. Umożliwia również użytkownikom uwierzytelnianie za pomocą identyfikatora Entra firmy Microsoft przy użyciu karty inteligentnej lub klucza powiązanego ze sprzętem. Ta funkcja usprawnia środowisko użytkownika końcowego, nie trzeba pamiętać dwóch oddzielnych haseł i zmniejsza potrzebę zarządzania hasłem konta lokalnego przez administratorów.
Istnieją trzy różne metody uwierzytelniania, które określają środowisko użytkownika końcowego;
- Poświadczenia platformy dla systemu macOS: aprowizuje bezpieczny klucz kryptograficzny powiązany ze sprzętem, który jest używany do logowania jednokrotnego w aplikacjach korzystających z identyfikatora Entra firmy Microsoft do uwierzytelniania. Nie ma to wpływu na hasło konta lokalnego użytkownika i jest wymagane do zalogowania się na komputerze Mac.
- Karta inteligentna: użytkownik loguje się do maszyny przy użyciu zewnętrznej karty inteligentnej lub tokenu twardego zgodnego z kartą inteligentną (na przykład Yubikey). Po odblokowaniu urządzenia karta inteligentna jest używana z identyfikatorem Entra firmy Microsoft do udzielania logowania jednokrotnego w aplikacjach korzystających z identyfikatora Entra firmy Microsoft do uwierzytelniania.
- Hasło jako metoda uwierzytelniania: synchronizuje hasło microsoft Entra ID użytkownika z kontem lokalnym i włącza logowanie jednokrotne w aplikacjach, które używają identyfikatora Entra firmy Microsoft do uwierzytelniania.
Obsługiwane przez wtyczkę logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach firmy Apple, PSSO;
- Umożliwia użytkownikom korzystanie z funkcji Touch ID bez hasła.
- Używa poświadczeń odpornych na phish w oparciu o technologię Windows Hello dla firm.
- Oszczędza pieniądze organizacji klientów, usuwając potrzebę posiadania kluczy zabezpieczeń.
- Rozwija cele zero trust przy użyciu integracji z bezpieczną enklawą.
Aby ją włączyć, administrator musi skonfigurować logowanie jednokrotne za pośrednictwem usługi Microsoft Intune lub innego obsługiwanego zarządzania urządzeniami przenośnymi. W zależności od sposobu konfigurowania urządzenia użytkownik końcowy może ustawić swoje urządzenie za pomocą PSSO za pośrednictwem bezpiecznej enklawy, karty inteligentnej lub metody uwierzytelniania opartej na haśle.
Wymagania
Aby wdrożyć logowanie jednokrotne platformy dla systemu macOS, musisz spełnić następujące minimalne wymagania.
- Zalecana minimalna wersja systemu macOS 14 Sonoma. Chociaż system macOS 13 Ventura jest obsługiwany, zdecydowanie zalecamy używanie systemu macOS 14 Sonoma w celu uzyskania najlepszego środowiska.
- Microsoft Authenticator
- Zainstalowano aplikację microsoft Intune Portal firmy w wersji 5.2404.0 lub nowszej. Ta wersja jest wymagana, zanim użytkownicy będą objęci logowaniem jednokrotnym.
- Użytkownicy muszą mieć wystarczające uprawnienia do rejestrowania i dołączania urządzeń do identyfikatora Entra firmy Microsoft.
Konfigurowanie
Więcej informacji i instrukcji dotyczących konfigurowania można znaleźć w następujących artykułach:
Uwaga / Notatka
Jeśli konfigurujesz logowanie jednokrotne platformy dla urządzeń z systemem macOS przy użyciu rozwiązania MDM innej firmy, zapoznaj się z dokumentacją dostarczoną przez dostawcę oprogramowania MDM, aby uzyskać szczegółowe instrukcje dotyczące konfigurowania logowania jednokrotnego platformy.
Jeśli jesteś twórcą rozwiązania MDM innej firmy, zapoznaj się z przewodnikiem Integrowanie Single Sign On platformy systemu macOS do rozwiązania MDM, aby uzyskać więcej informacji, jak zintegrować PSSO z rozwiązaniem MDM.
Wdrożenie
Więcej informacji i instrukcji dotyczących wdrażania logowania jednokrotnego platformy dla systemu macOS można znaleźć w tych artykułach.
- Dołączanie urządzenia Mac przy użyciu identyfikatora Microsoft Entra ID podczas korzystania z gotowego środowiska
- Dołączanie urządzenia Mac przy użyciu identyfikatora Entra firmy Microsoft przy użyciu Portal firmy
Uwierzytelnianie bez hasła
Hasła są podstawowym wektorem ataku dla złych aktorów. Używają one ataków inżynierii społecznej, wyłudzania informacji i sprayu w celu naruszenia haseł. Strategia uwierzytelniania bezhasłowego ogranicza ryzyko tych ataków.
Dowiedz się, jak za pomocą logowania jednokrotnego platformy dla systemu macOS włączyć uwierzytelnianie bez hasła dla organizacji.
- Opcje uwierzytelniania bez hasła dla usługi Microsoft Entra ID
- Planowanie wdrożenia uwierzytelniania bez hasła w usłudze Microsoft Entra ID
Poświadczenia platformy macOS mogą być również używane jako odporne na wyłudzanie informacji poświadczenia do użycia w wyzwaniach związanych z WebAuthn (w tym scenariuszach ponownego uwierzytelniania przeglądarek). Jeśli używasz ograniczeń klucza w zasadach FIDO, musisz dodać identyfikator AAGUID dla poświadczeń platformy systemu macOS do listy dozwolonych identyfikatorów AAGUID: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC
Logowanie jednokrotne platformy Microsoft: Polityka biometryczna klucza bezpiecznej enklawy użytkownika
Logowanie jednokrotne platformy Microsoft obsługuje opcję UserSecureEnclaveKeyBiometricPolicy w przypadku korzystania z logowania jednokrotnego platformy z metodą uwierzytelniania UserSecureEnclaveKey. Te zasady zwiększają bezpieczeństwo, wymagając od użytkowników uwierzytelniania za pomocą funkcji Touch ID za każdym razem, gdy trzeba uzyskać dostęp do Klucza Zabezpieczonej Enklawy Użytkownika.
- Po włączeniu tych zasad użytkownicy są monitowani o uwierzytelnianie za pomocą funkcji Touch ID za każdym razem, gdy jest uzyskiwany dostęp do bezpiecznego klucza enklawy użytkownika. Monitowanie będzie wykonywane podczas rejestracji PSSO, scenariuszy ponownego uwierzytelniania przeglądarki przy użyciu klucza użytkownika jako klucza dostępu i uwierzytelniania podczas logowania w celu uzyskania tokenu PSSO.
- Włączenie tych zasad wymaga, aby urządzenie obsługiwało uwierzytelnianie biometryczne touch ID. Użytkownicy muszą skonfigurować funkcję Touch ID, aby kontynuować rejestrację PSSO. Administratorzy powinni upewnić się, że użytkownicy mają urządzenie obsługiwane biometrycznie lub zewnętrzną klawiaturę obsługującą funkcję Touch ID przed włączeniem tych zasad.
Uwaga / Notatka
Nie ma opcji alternatywy dla hasła podczas uwierzytelniania przy użyciu klucza Bezpiecznej Enklawy Użytkownika, gdy opcja UserSecureEnclaveKeyBiometricPolicy jest włączona. W związku z tym użytkownicy nie będą mogli uwierzytelniać się w usłudze Microsoft Entra ID, jeśli nie mają dostępnej biometrii Touch ID.
Wymagania dotyczące elementu UserSecureEnclaveKeyBiometricPolicy
System operacyjny: macOS 14.6 lub nowszy
Portal firmy w wersji 2504 lub nowszej
Ważne
Jeśli ta funkcja jest włączona po zakończeniu rejestracji PSSO, wszyscy użytkownicy będą musieli przejść pełny proces ponownej rejestracji PSSO, aby zasady zaczęły obowiązywać. Ten proces ponownej rejestracji musi być sterowany przez administratora, ponieważ użytkownicy nie zobaczą monitu o ponowną rejestrację. Administratorzy powinni dokładnie rozważyć, czy włączyć te zasady i odpowiednio zaplanować wdrożenie usługi PSSO.
Jak włączyć politykę UserSecureEnclaveKeyBiometricPolicy
Klienci z wysokimi zabezpieczeniami mogą wyrazić zgodę na włączenie tej funkcji, ustawiając flagę w słowniku danych rozszerzenia logowania jednokrotnego.
- Nazwa klucza: enable_se_key_biometric_policy
- Wartość: true
Zalety funkcji UserSecureEnclaveKeyBiometricPolicy
- Zwiększone zabezpieczenia: Dostęp do klucza bezpiecznego enklawy użytkownika jest chroniony sprzętowo i może być dostępny tylko po pomyślnym uwierzytelnieniu za pomocą funkcji Touch ID, zapewniając dodatkową warstwę zabezpieczeń.
Wady funkcji UserSecureEnclaveKeyBiometricPolicy
- Więcej monitów: użytkownicy będą napotykać dodatkowe monity podczas rejestracji PSSO, ponieważ klucz jest uzyskiwany wiele razy w trakcie procesu.
- Biometric-Only Access: dostęp do klucza dostępu PSSO można uzyskać tylko za pomocą uwierzytelniania biometrycznego. Nie ma alternatywnego hasła. Jeśli urządzenie zostanie odblokowane przy użyciu hasła, użytkownicy będą nadal monitowani o uwierzytelnienie biometryczne w celu uzyskania tokenu PSSO.
Logowanie jednokrotne Kerberos do lokalnej usługi Active Directory i zasobów protokołu Kerberos identyfikatora Entra firmy Microsoft
System macOS umożliwia użytkownikom konfigurowanie Platform SSO w celu obsługi SSO opartego na protokole Kerberos do zasobów lokalnych i w chmurze, oraz SSO do Microsoft Entra ID. Kerberos SSO to opcjonalna funkcja w ramach Platform SSO, ale zaleca się jej użycie, jeśli użytkownicy powinni nadal uzyskiwać dostęp do lokalnych zasobów Active Directory, które używają protokołu Kerberos do uwierzytelniania.
Aby dowiedzieć się więcej, zobacz Kerberos SSO dla lokalnego usługi Active Directory oraz zasobów Kerberos Microsoft Entra ID.
Obsługa interfejsu API programu Graph
Interfejs API programu Microsoft Graph umożliwia zarządzanie metodą uwierzytelniania PlatformCredential.
Dostępne są następujące interfejsy API:
- typ zasobu platformCredentialAuthenticationMethod.
- Lista platformCredentialAuthenticationMethods.
- Usuń platformCredentialAuthenticationMethod.
Narodowy Instytut Standardów i Technologii (NIST)
National Institute of Standards and Technology (NIST) jest nieuregulacyjną agencją federalną w Departamencie Handlu USA. NIST opracowuje standardy, wytyczne i inne publikacje, aby pomóc agencjom federalnym w zarządzaniu opłacalnymi programami w celu ochrony swoich systemów informacyjnych i informacyjnych.
Więcej informacji na temat korzystania z logowania jednokrotnego platformy systemu macOS w celu spełnienia wymagań aplikacji NIST można uzyskać w tych artykułach.
- Konfigurowanie identyfikatora entra firmy Microsoft w celu spełnienia poziomów NIST authenticator assurance
- Typy wystawców uwierzytelnianych NIST i dopasowane metody firmy Microsoft Entra.
- Poziom zaufania uwierzytelniającego NIST 3 przy użyciu Microsoft Entra ID
Rozwiązywanie problemów
Jeśli występują problemy podczas implementowania logowania jednokrotnego platformy systemu macOS, zapoznaj się z naszą dokumentacją dotyczącą znanych problemów z logowaniem jednokrotnym platformy macOS i rozwiązywania problemów