Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O macOS Platform Single Sign-on (PSSO) é um novo recurso alimentado pelo plug-in Enterprise SSO da Microsoft, Platform Credentials for macOS que permite que os usuários entrem em dispositivos Mac usando suas credenciais Microsoft Entra ID. Esse recurso oferece benefícios para os administradores, simplificando o processo de entrada para os usuários e reduzindo o número de senhas que eles precisam lembrar. Ele também permite que os usuários se autentiquem com o Microsoft Entra ID com um cartão inteligente ou chave ligada ao hardware. Esse recurso melhora a experiência do usuário final ao não ter que se lembrar de duas senhas separadas e diminui a necessidade de os administradores gerenciarem a senha da conta local.
Existem três métodos de autenticação diferentes que determinam a experiência do utilizador final;
- Credencial da plataforma para macOS: provisiona uma chave criptográfica vinculada ao hardware com suporte de enclave seguro que é usada para SSO em aplicativos que usam o Microsoft Entra ID para autenticação. A palavra-passe da conta local do utilizador não é afetada e é necessária para iniciar sessão no Mac.
- Cartão inteligente: o usuário entra na máquina usando um cartão inteligente externo ou um token rígido compatível com cartão inteligente (por exemplo, Yubikey). Depois que o dispositivo é desbloqueado, o cartão inteligente é usado com o Microsoft Entra ID para conceder SSO em aplicativos que usam o Microsoft Entra ID para autenticação.
- Senha como método de autenticação: sincroniza a senha do Microsoft Entra ID do usuário com a conta local e habilita o SSO entre aplicativos que usam o Microsoft Entra ID para autenticação.
Alimentado pelo plugue Microsoft Enterprise SSO em dispositivos Apple, PSSO;
- Permite que os usuários fiquem sem senha usando o Touch ID.
- Usa credenciais resistentes a phishing, com base na tecnologia Windows Hello for Business.
- Poupa dinheiro às organizações de clientes, eliminando a necessidade de chaves de segurança.
- Avança os objetivos do Zero Trust usando a integração com o Enclave Seguro.
Para habilitá-lo, um administrador precisa configurar o PSSO por meio do Microsoft Intune ou outro MDM com suporte. Dependendo de como o dispositivo está configurado, o usuário final pode configurar seu dispositivo com PSSO por meio de enclave seguro, cartão inteligente ou método de autenticação baseado em senha.
Requisitos
Para implantar o SSO da plataforma para macOS, você precisa atender aos seguintes requisitos mínimos.
- Uma versão mínima recomendada do macOS 14 Sonoma. Embora o macOS 13 Ventura seja suportado, recomendamos vivamente a utilização do macOS 14 Sonoma para uma melhor experiência.
- Autenticador Microsoft
- Aplicativo Portal da Empresa do Microsoft Intune versão 5.2404.0 ou posterior instalado. Esta versão é necessária antes que os usuários sejam direcionados para o PSSO.
- Os usuários devem ter permissões suficientes para registrar e ingressar dispositivos no Microsoft Entra ID.
Configuração
Você pode encontrar mais informações e instruções sobre como configurar nestes artigos:
Observação
Se estiveres a configurar o Platform SSO para dispositivos macOS usando um MDM de terceiros, consulta a documentação fornecida pelo teu fabricante de MDM para obter instruções específicas sobre como configurar o Platform SSO.
Se você for um desenvolvedor de uma solução de MDM de 3ª parte, consulte o Integrate macOS Platform Single Sign On (PSSO) em seu guia de solução de MDM para obter mais informações sobre como integrar o PSSO em sua solução de MDM.
Implementação
Você pode encontrar mais informações e instruções sobre como implantar o SSO da plataforma para macOS nestes artigos.
- Junte-se a um dispositivo Mac com o Microsoft Entra ID durante a experiência pronta para uso
- Ingressar em um dispositivo Mac com o Microsoft Entra ID usando o Portal da Empresa
Autenticação sem palavra-passe
As senhas são um vetor de ataque primário para agentes mal-intencionados. Eles usam engenharia social, phishing e ataques de spray para comprometer senhas. Uma estratégia de autenticação sem palavra-passe mitiga o risco destes ataques.
Saiba como pode utilizar o SSO da plataforma para macOS para ativar a autenticação sem palavra-passe para a sua organização.
- Opções de autenticação sem palavra-passe para o Microsoft Entra ID
- Planejar uma implantação de autenticação sem senha no Microsoft Entra ID
A Credencial de Plataforma para macOS também pode ser usada como uma credencial resistente a phishing para uso em desafios WebAuthn (incluindo cenários de reautenticação do navegador). Se você usar restrições de chave em sua política FIDO, precisará adicionar o AAGUID para a credencial da plataforma macOS à sua lista de AAGUIDs permitidos: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC
SSO da plataforma Microsoft: UserSecureEnclaveKeyBiometricPolicy
O Microsoft Platform SSO suporta a opção UserSecureEnclaveKeyBiometricPolicy ao usar o SSO da plataforma com o método de autenticação UserSecureEnclaveKey. Essa política aumenta a segurança, exigindo que os usuários se autentiquem com o Touch ID sempre que a Chave de Enclave Segura do Usuário precisar ser acessada.
- Quando essa política é habilitada, os usuários são solicitados para autenticação Touch ID sempre que a Chave de Enclave Segura do Usuário é acessada. A solicitação ocorrerá durante o registo PSSO, nos cenários de reautenticação do navegador, usando a chave de utilizador como chave de acesso, e durante a autenticação ao iniciar sessão para obter o token PSSO.
- A ativação desta política requer que o dispositivo suporte a autenticação biométrica Touch ID. Os usuários precisam configurar o Touch ID para prosseguir com o registro PSSO. Os administradores devem certificar-se de que os utilizadores têm um dispositivo suportado por biometria ou um teclado externo que suporte o Touch ID antes de ativarem esta política.
Observação
Não há opção de alternativa para palavra-passe durante a autenticação com a Chave de Enclave Segura do Utilizador quando a UserSecureEnclaveKeyBiometricPolicy está ativada. Portanto, os usuários não poderão se autenticar no Microsoft Entra ID se não tiverem a biometria do Touch ID disponível.
Requisitos para UserSecureEnclaveKeyBiometricPolicy
Sistema operacional: macOS 14.6 e posterior
Versão do Portal da Empresa: 2504 e posterior
Importante
Se esse recurso for habilitado após a conclusão do registro do PSSO, todos os usuários precisarão passar por um processo completo de reregistro do PSSO para que a política entre em vigor. Esse processo de novo registro deve ser orientado pelo administrador, pois os usuários não verão um prompt de novo registro. Os administradores devem considerar cuidadosamente se devem habilitar essa política e planejar a implantação do PSSO de acordo.
Como habilitar UserSecureEnclaveKeyBiometricPolicy
Os clientes de alta segurança podem optar por ativar esse recurso definindo um sinalizador no dicionário de dados da extensão SSO.
- Nome da chave: enable_se_key_biometric_policy
- Valor: verdadeiro
Benefícios de UserSecureEnclaveKeyBiometricPolicy
- Segurança Reforçada: O acesso à Chave de Enclave Segura do Usuário é protegido por hardware e só pode ser acessado após a autenticação bem-sucedida do Touch ID, fornecendo uma camada extra de segurança.
Desvantagens de UserSecureEnclaveKeyBiometricPolicy
- Mais solicitações: os utilizadores encontrarão solicitações extras durante o registo PSSO, pois a chave é acedida várias vezes durante o processo.
- Acesso Biometric-Only: A chave de acesso PSSO só pode ser acessada com autenticação biométrica. Não há alternativa de senha. Se o dispositivo for desbloqueado com uma senha, os usuários ainda serão solicitados para autenticação biométrica para obter o token PSSO.
SSO Kerberos para recursos Kerberos locais do Ative Directory e Microsoft Entra ID Kerberos
O macOS permite que os usuários configurem o SSO da plataforma para suportar o SSO baseado em Kerberos para recursos locais e na nuvem, além do SSO para o ID do Microsoft Entra. O SSO do Kerberos é um recurso opcional no SSO da plataforma, mas é recomendado se os usuários ainda precisarem acessar recursos do Ative Directory local que usam o Kerberos para autenticação.
Para saber mais, consulte SSO Kerberos para Active Directory local e os recursos Kerberos do Microsoft Entra ID.
Suporte à API do Graph
Você pode usar a API do Microsoft Graph para gerenciar o método de autenticação PlatformCredential.
As seguintes APIs estão disponíveis:
- tipo de recurso platformCredentialAuthenticationMethod.
- Liste os métodos de autenticação de credenciais da plataforma.
- Exclua platformCredentialAuthenticationMethod.
Instituto Nacional de Normas e Tecnologia (NIST)
O National Institute of Standards and Technology (NIST) é uma agência federal não reguladora dentro do Departamento de Comércio dos EUA. O NIST desenvolve e emite normas, diretrizes e outras publicações para ajudar as agências federais na gestão de programas rentáveis para proteger as suas informações e sistemas de informação.
Você pode saber mais sobre como usar o macOS Platform SSO para atender aos requisitos do NIST nestes artigos.
- Configurar o Microsoft Entra ID para atender aos níveis de garantia do autenticador NIST
- Tipos de autenticador NIST e métodos alinhados do Microsoft Entra.
- Garantia do autenticador NIST nível 3 usando o Microsoft Entra ID
Resolução de Problemas
Se você tiver problemas ao implementar o SSO da plataforma macOS, consulte nossa documentação sobre problemas conhecidos e solução de problemas de logon único da plataforma macOS