Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Logon Único (PSSO) da Plataforma macOS é um novo recurso de plug-in SSO da plataforma Microsoft Enterprise, Credenciais de Plataforma para macOS, que permite que os usuários entrem nos dispositivos Mac usando suas credenciais do Microsoft Entra ID. Esse recurso oferece benefícios para os administradores, simplificando o processo de entrada para os usuários e reduzindo o número de senhas que eles precisam lembrar. Ele também permite que os usuários se autentiquem com o Microsoft Entra ID com um cartão inteligente ou uma chave associada a hardware. Esse recurso melhora a experiência do usuário final por não precisar se lembrar de duas senhas separadas e diminui a necessidade de os administradores gerenciarem a senha da conta local.
Há três métodos de autenticação diferentes que determinam a experiência do usuário final;
- Credencial de Plataforma para o macOS: Fornece uma chave criptográfica associada ao hardware com suporte de enclave seguro que é usada para SSO em aplicativos que usam o Microsoft Entra ID para autenticação. A senha da conta local do usuário não é afetada e é necessária para entrar no Mac.
- Cartão inteligente: O usuário entra no computador usando um cartão inteligente externo ou um hard token compatível com cartão inteligente (por exemplo, Yubikey). Depois que o dispositivo é desbloqueado, o cartão inteligente é usado com o Microsoft Entra ID para conceder SSO em aplicativos que usam o Microsoft Entra ID para autenticação.
- Senha como método de autenticação: Sincroniza a senha do Microsoft Entra ID do usuário com a conta local e habilita o SSO em aplicativos que usam o Microsoft Entra ID para autenticação.
Da plataforma do plug-in SSO do Microsoft Enterprise em dispositivos Apple, PSSO;
- Permite que os usuários fiquem sem senha usando o Touch ID.
- Usa credenciais resistentes a phishing, com base na tecnologia Windows Hello para Empresas.
- Economiza o dinheiro das organizações clientes ao eliminar a necessidade de chaves de segurança.
- Avança os objetivos de Confiança Zero usando a integração com o Enclave Seguro.
Para habilitá-lo, um administrador precisa configurar o PSSO por meio do Microsoft Intune ou de outro MDM com suporte. Dependendo de como o dispositivo está configurado, o usuário final pode configurar seu dispositivo com PSSO por meio de enclave seguro, cartão inteligente ou método de autenticação baseado em senha.
Requisitos
Para implantar o SSO da Plataforma para macOS, você precisa atender aos seguintes requisitos mínimos.
- Uma versão mínima recomendada do macOS 14 Sonoma. Embora haja suporte para o macOS 13 Ventura, é altamente recomendável usar o macOS 14 Sonoma para obter a melhor experiência.
- Microsoft Authenticator
- O aplicativo Portal da Empresa do Microsoft Intune versão 5.2404.0 ou posterior instalado. Essa versão é necessária antes que os usuários sejam direcionados para o PSSO.
- Os usuários devem ter permissões suficientes para registrar e ingressar dispositivos na ID do Microsoft Entra.
Configuração
Você pode encontrar mais informações e instruções sobre como configurar nestes artigos:
Observação
Se você estiver configurando o SSO da Plataforma para dispositivos macOS usando um MDM de terceiros, consulte a documentação fornecida pelo fornecedor do MDM para obter instruções específicas sobre como configurar o SSO da Plataforma.
Se você for um desenvolvedor de uma solução de MDM de terceiros, consulte o guia Integre o Single Sign On (PSSO) da plataforma macOS à sua solução de MDM para mais informações sobre como integrar o PSSO à sua solução de MDM.
Implantação
Você pode encontrar mais informações e instruções sobre como implantar o SSO da Plataforma para macOS nestes artigos.
- Ingressar um dispositivo Mac com o Microsoft Entra ID durante a experiência pronta para uso
- Ingressar um dispositivo Mac com o Microsoft Entra ID usando o Portal da Empresa
Autenticação sem senha
As senhas são o principal vetor de ataque para agentes mal-intencionados. Eles usam engenharia social, phishing e ataques de pulverização para comprometer as senhas. Uma estratégia de autenticação com senha reduz o risco desses ataques.
Saiba como você pode usar o SSO da Plataforma para o macOS para habilitar a autenticação sem senha em sua organização.
- Opções de autenticação sem senha para o Microsoft Entra ID
- Planejar uma implantação de autenticação sem senha no Microsoft Entra ID
Credencial de Plataforma para macOS também pode ser usada como uma credencial resistente a phishing para uso em desafios do WebAuthn (incluindo cenários de reautenticação do navegador). Se você usar restrições de chave em sua política FIDO, precisará adicionar o AAGUID para a Credencial da Plataforma macOS à sua lista de AAGUIDs permitidos: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC
SSO da Plataforma Microsoft: UserSecureEnclaveKeyBiometricPolicy
O SSO da Plataforma Microsoft dá suporte à opção UserSecureEnclaveKeyBiometricPolicy ao usar o SSO da Plataforma com o método de autenticação UserSecureEnclaveKey. Essa política aprimora a segurança exigindo que os usuários se autentiquem com o Touch ID sempre que a Chave de Enclave Seguro do Usuário precisar ser acessada.
- Quando essa política está habilitada, os usuários são solicitados a fazer a autenticação do Touch ID sempre que a Chave de Enclave Seguro do Usuário é acessada. A solicitação ocorrerá durante o registro PSSO, cenários de re-autenticação de navegador usando a chave do usuário como uma chave de acesso, e autenticação durante o login para obter o token PSSO.
- Habilitar essa política requer que o dispositivo dê suporte à autenticação biométrica do Touch ID. Os usuários precisam configurar o Touch ID para continuar com o registro de PSSO. Os administradores devem garantir que os usuários tenham um dispositivo com suporte biométrico ou um teclado externo que dê suporte à ID de Toque antes de habilitar essa política.
Observação
Não há nenhuma opção de alternativa de senha durante a autenticação com a Chave de Enclave Segura do Usuário quando UserSecureEnclaveKeyBiometricPolicy está habilitado. Portanto, os usuários não poderão se autenticar na ID do Microsoft Entra se não tiverem a biometria do Touch ID disponível.
Requisitos para UserSecureEnclaveKeyBiometricPolicy
Sistema operacional: macOS 14.6 e posterior
Versão do Portal da Empresa: 2504 e posterior
Importante
Se esse recurso estiver habilitado após a conclusão do registro PSSO, todos os usuários precisarão passar por um processo completo de re-registro do PSSO para que a política entre em vigor. Esse processo de re-registro deve ser controlado pelo administrador, pois os usuários não verão um prompt de re-registro. Os administradores devem considerar cuidadosamente se devem habilitar essa política e planejar a implantação do PSSO adequadamente.
Como habilitar UserSecureEnclaveKeyBiometricPolicy
Os clientes de alta segurança podem optar por habilitar esse recurso definindo um sinalizador no dicionário de dados da extensão SSO.
- Nome da chave: enable_se_key_biometric_policy
- Valor: verdadeiro
Benefícios de UserSecureEnclaveKeyBiometricPolicy
- Segurança aprimorada: o acesso à Chave de Enclave Seguro do Usuário é protegido por hardware e só pode ser acessado após a autenticação bem-sucedida do Touch ID, fornecendo uma camada extra de segurança.
Desvantagens de UserSecureEnclaveKeyBiometricPolicy
- Mais solicitações: os usuários encontrarão solicitações extras durante o registro de PSSO, pois a chave é acessada várias vezes durante o processo.
- Biometric-Only Access: a chave de acesso PSSO só pode ser acessada com autenticação biométrica. Não há método alternativo para senha. Se o dispositivo for desbloqueado com uma senha, os usuários ainda serão solicitados a obter a autenticação biométrica para obter o token PSSO.
SSO do Kerberos para recursos locais do Active Directory e do Microsoft Entra ID Kerberos
O macOS permite que os usuários configurem o SSO da Plataforma para dar suporte ao SSO baseado em Kerberos para recursos locais e de nuvem, além do SSO para a ID do Microsoft Entra. O SSO do Kerberos é uma funcionalidade opcional no SSO da Plataforma, mas é recomendável que os usuários ainda precisem acessar recursos locais do Active Directory que usam Kerberos para autenticação.
Para saber mais, consulte o SSO do Kerberos para recursos do Active Directory local e do Microsoft Entra ID Kerberos.
Suporte à API do Graph
Você pode usar a API do Microsoft Graph para gerenciar o método de autenticação PlatformCredential.
As seguintes APIs estão disponíveis:
- Tipo de recurso platformCredentialAuthenticationMethod.
- Listar platformCredentialAuthenticationMethods.
- Excluir platformCredentialAuthenticationMethod.
NIST (National Institute of Standards and Technology) dos EUA
O National Institute of Standards and Technology (NIST) é uma agência federal não regulatória dentro dos Estados Unidos. Departamento de Comércio. O NIST desenvolve e emite padrões, diretrizes e outras publicações para ajudar as agências federais a gerenciar programas econômicos para proteger suas informações e sistemas de informação.
Você pode saber mais sobre como usar o SSO da Plataforma macOS para atender aos requisitos do NIST nestes artigos.
- Configurar o Microsoft Entra ID para atender aos níveis de garantia do autenticador NIST
- Tipos de autenticadores NIST e métodos do Microsoft Entra alinhados.
- Nível 3 de garantia do autenticador NIST usando o Microsoft Entra ID
Solução de problemas
Se você tiver problemas ao implementar o SSO da Plataforma macOS, consulte nossa documentação sobre problemas conhecidos e solução de problemas de logon único da Plataforma macOS