Compartilhar via

Métodos de autenticação na ID do Microsoft Entra – Credencial de Plataforma para macOS

A Credencial de Plataforma para macOS é uma nova funcionalidade no macOS habilitada usando a Extensão de Logon Único (SSOe) do Microsoft Enterprise. O recurso provisiona uma chave criptográfica vinculada a hardware com suporte de enclave seguro que é usada para SSO nos diversos aplicativos que usam o Microsoft Entra ID para autenticação. A senha da conta local do usuário não é afetada e é necessária para fazer logon no Mac.

Captura de tela mostrando o exemplo de uma janela pop-up solicitando que o usuário registre sua conta do macOS junto ao seu provedor de identidade usando o Logon Único na Plataforma.

A Credencial de Plataforma para macOS permite que os usuários acessem sem senha configurando o Touch ID para desbloquear o dispositivo e usa credenciais resistentes a phishing baseadas na tecnologia do Windows Hello para Empresas. O processo permite que as organizações clientes economizem ao remover a necessidade de chaves de segurança e promove os objetivos de Confiança Zero usando a integração com o Enclave Seguro.

A Credencial de Plataforma para macOS também pode ser usada como uma credencial resistente a phishing para uso em desafios do WebAuthn, incluindo cenários de reautenticação de navegador. Se utilizar as Políticas de Restrição de Chave na sua política de FIDO, você precisará adicionar o AAGUID para a Credencial da Plataforma macOS à sua lista de AAGUIDs permitidos: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

Diagrama descrevendo as etapas para o login do usuário com o SSO na Plataforma para macOS.

  1. Um usuário desbloqueia o macOS usando impressão digital ou gesto de senha, que desbloqueiam a keybag para fornecer acesso ao UserSecureEnclaveKey.
  2. O macOS solicita um nonce (um número arbitrário aleatório que pode ser usado apenas uma vez) do Microsoft Entra ID.
  3. O Microsoft Entra ID retorna um nonce que é válido por cinco minutos.
  4. O sistema operacional (SO) envia uma solicitação de login para o Microsoft Entra ID com uma asserção incorporada assinada com o UserSecureEnclaveKey que reside no Enclave Seguro.
  5. O Microsoft Entra ID valida a asserção assinada usando a chave pública registrada com segurança do usuário da chave do UserSecureEnclave. O Microsoft Entra ID valida a assinatura e o nonce. Assim que a asserção é validada, o Microsoft Entra ID cria um token de atualização primário (PRT) criptografado com a chave pública da UserDeviceEncryptionKey que é trocada durante o registro e envia a resposta de volta para o sistema operacional.
  6. O sistema operacional descriptografa e valida a resposta, recupera os tokens de SSO, a armazena e a compartilha com a extensão de SSO para fornecer o SSO. O usuário pode acessar os aplicativos macOS, de nuvem e locais usando o SSO.

Consulte SSO na Plataforma para macOS para obter mais informações sobre como configurar e implantar a Credencial de Plataforma para macOS.

Logon único da plataforma para macOS com SmartCard

O Logon Único na Plataforma (PSSO) para macOS permite que os usuários acessem sem senha usando o método de autenticação por SmartCard. O usuário entra no dispositivo usando um cartão inteligente externo ou token baseado em hardware compatível com cartão inteligente (como Yubikey). Depois que o dispositivo é desbloqueado, o cartão inteligente é usado com a ID do Microsoft Entra para conceder SSO entre aplicativos que usam a ID do Microsoft Entra para autenticação usando a CBA (autenticação baseada em certificado). O CBA precisa ser configurado e habilitado para os usuários para que esse recurso funcione. Para obter mais informações sobre como configurar o CBA, consulte Como configurar a autenticação baseada em certificado do Microsoft Entra.

Para habilitá-lo, um administrador precisa configurar o PSSO usando o Microsoft Intune ou outra solução de gerenciamento de dispositivo móvel (MDM) compatível.

Diagrama descrevendo as etapas para o login do usuário com o SSO na Plataforma para macOS.

  1. Um usuário desbloqueia o macOS usando um pin de cartão inteligente que desbloqueia o cartão inteligente e a keybag para fornecer acesso às chaves de registro do dispositivo presentes no Enclave Seguro.
  2. O macOS solicita um nonce (um número arbitrário aleatório que pode ser usado apenas uma vez) no Microsoft Entra ID.
  3. O Microsoft Entra ID retorna um nonce que é válido por cinco minutos.
  4. O sistema operacional (SO) envia uma solicitação de login para o Microsoft Entra ID com uma asserção incorporada assinada com o certificado do Microsoft Entra do cartão inteligente do usuário.
  5. O Microsoft Entra ID valida a declaração, a assinatura e o nonce assinados. Assim que a asserção é validada, o Microsoft Entra ID cria um token de atualização primário (PRT) criptografado com a chave pública da UserDeviceEncryptionKey que é trocada durante o registro e envia a resposta de volta para o sistema operacional.
  6. O sistema operacional descriptografa e valida a resposta, recupera os tokens de SSO, a armazena e a compartilha com a extensão de SSO para fornecer o SSO. O usuário pode acessar os aplicativos macOS, de nuvem e locais usando o SSO.

Conteúdo relacionado

Quais métodos de autenticação e verificação estão disponíveis na ID do Microsoft Entra?

  • Last updated on