使用 Microsoft Intune 的 macOS 设备的平台 SSO 配置指南

可以将平台 SSO 配置为使用无密码身份验证、Microsoft Entra ID用户帐户或智能卡为 macOS 设备启用单一登录 (SSO) 。 平台 SSO 是一项Microsoft Entra功能，可增强 Microsoft Enterprise SSO 插件和 SSO 应用扩展。

此功能适用于：

• macOS

平台 SSO 可以使用其Microsoft Entra ID凭据和触控 ID 将用户登录到其托管 Mac 设备。 可以使用 Intune 配置平台 SSO 并将平台 SSO 配置部署到 macOS 设备。

Microsoft企业 SSO 插件Microsoft Entra ID包括两个 SSO 功能 - 平台 SSO 和 SSO 应用扩展。 本文重点介绍如何使用 Microsoft Entra ID 配置平台 SSO。

本文介绍如何在 Intune 中为 macOS 设备配置平台 SSO。 对于还可以配置的一些常见平台 SSO 方案，请转到 macOS 设备的通用平台 SSO 方案。

优点

平台 SSO 的一些优势包括：

• 它包括 SSO 应用扩展。 不单独配置 SSO 应用扩展。
• 可以使用硬件绑定到 Mac 设备的防钓鱼凭据实现无密码。
• 登录体验类似于使用工作或学校帐户登录到 Windows 设备，就像用户使用Windows Hello 企业版一样。
• 它有助于最大程度地减少用户需要输入其Microsoft Entra ID凭据的次数。
• 它有助于减少用户需要记住的密码数。
• 你将获得Microsoft Entra加入的好处，它允许任何组织用户登录到设备。
• 它包含在所有Microsoft Intune许可计划中。

运作方式

当 Mac 设备加入Microsoft Entra ID租户时，设备将获得工作区加入 (WPJ) 证书。 此 WPJ 证书是硬件绑定的，只能由 Microsoft Enterprise SSO 插件访问。 若要访问使用条件访问保护的资源，应用和 Web 浏览器需要此 WPJ 证书。

配置了平台 SSO 后，SSO 应用扩展充当Microsoft Entra ID身份验证和条件访问的代理。

使用 Intune 设置目录配置平台 SSO。 设置目录策略准备就绪后，请分配策略。 Microsoft建议用户在 Intune 中注册设备时分配策略。 但是，可以随时分配它，包括在现有设备上。

先决条件

• 设备必须运行 macOS 13.0 及更新版本。

• 设备上需要Microsoft Intune公司门户应用版本 5.2404.0 及更新版本。 此版本包括平台 SSO。

• 以下 Web 浏览器支持平台 SSO：

  • Microsoft Edge

  • 具有 Microsoft 单一登录 扩展的 Google Chrome

    使用Intune首选项文件 (.plist) 策略，可以强制安装此扩展。 在文件中 .plist ，你需要 Chrome Enterprise 策略 - ExtensionInstallForcelist 中的一些信息， (打开 Google 的网站) 。

    警告

    GitHub 上的 ManagedPreferencesApplications 示例中提供了示例.plist文件。 此 GitHub 存储库不是Microsoft所有、不维护的，也不是创建的。 使用信息的风险自担。

  • Safari

  可以使用Intune添加 Web 浏览器应用，包括包 (.pkg) 和磁盘映像 (.dmg) 文件，并将应用部署到 macOS 设备。 若要开始，请转到将应用添加到Microsoft Intune。

• 平台 SSO 使用Intune设置目录来配置所需的设置。 若要创建设置目录策略，请至少使用以下Intune权限的帐户登录到 Microsoft Intune 管理中心：

  • 设备配置 读取、 创建、 更新和 分配 权限

  有一些内置角色具有这些权限，包括策略和配置文件管理器Intune角色。 有关 Intune 中的 RBAC 角色的详细信息，请转到基于角色的访问控制 (具有 Microsoft Intune 的 RBAC) 。

• 在本文) 的步骤 2 - 创建平台 SSO 策略 (创建一个设置目录策略，用于配置平台 SSO 所需的设置。 可在此策略中配置其他常见方案和设置。 有关详细信息，请转到 macOS 设备的常见平台 SSO 方案。

  建议在创建设置目录策略之前查看方案。 这样，就可以在最初创建策略时配置所需的设置。 如果最初未配置可选方案设置，则以后始终可以编辑策略。 只能将一个 SSO 策略分配给组。 因此，请将这些方案设置添加到现有的平台 SSO 设置目录策略。

• 在 步骤 5 - 注册设备 (本文) ，用户注册其设备。 必须允许这些用户加入设备以Microsoft Entra ID。 有关详细信息，请转到 配置设备设置。

步骤 1 - 确定身份验证方法

在 Intune 中创建平台 SSO 策略时，需要确定要使用的身份验证方法。

使用的平台 SSO 策略和身份验证方法会更改用户登录到设备的方式。

• 配置平台 SSO 时，用户使用配置的身份验证方法登录到其 macOS 设备。
• 不使用平台 SSO 时，用户使用本地帐户登录到其 macOS 设备。 然后，他们使用Microsoft Entra ID登录到应用和网站。

在此步骤中，使用信息了解身份验证方法的差异以及它们如何影响用户登录体验。

选项 1 - 建议 (安全 Enclave)

使用 安全 Enclave 身份验证方法配置平台 SSO 时，SSO 插件使用硬件绑定加密密钥。 它不使用Microsoft Entra凭据对应用和网站的用户进行身份验证。

有关安全 Enclave 的详细信息，请转到 安全 Enclave (打开 Apple 网站) 。

安全 Enclave：

• 被视为无密码，满足防钓鱼多重 (MFA) 要求。 它在概念上类似于 Windows Hello 企业版。 它还可以使用与Windows Hello 企业版相同的功能，例如条件访问。
• 保留本地帐户用户名和密码的原样。 这些值不会更改。由于 Apple 的 FileVault 磁盘加密使用本地密码作为解锁密钥，因此此行为是设计造成的。
• 设备重新启动后，用户必须输入本地帐户密码。 在此初始计算机解锁后，触控 ID 可用于解锁设备。
• 解锁后，设备获取硬件支持的主刷新令牌 (PRT) 设备范围的 SSO。
• 在 Web 浏览器中，可以使用 WebAuthN API 将此 PRT 密钥用作密钥。
• 其设置可以使用用于 MFA 身份验证的身份验证应用启动，也可以Microsoft 临时访问传递 (TAP) 。
• 启用Microsoft Entra ID密钥的创建和使用。

选项 2 - 智能卡

使用 Smart 卡 身份验证方法配置平台 SSO 时，用户可以使用智能卡证书和关联的 PIN 登录到设备，并向应用和网站进行身份验证。

此选项：

• 被视为无密码。
• 保留本地帐户用户名和密码的原样。 这些值不会更改。

有关详细信息，请转到在 iOS 和 macOS 上Microsoft Entra基于证书的身份验证。

选项 3 - 密码

使用密码身份验证方法配置平台 SSO 时，用户使用其Microsoft Entra ID用户帐户而不是本地帐户密码登录到设备。

此选项可在使用 Microsoft Entra ID 进行身份验证的应用之间启用 SSO。

使用 密码 身份验证方法：

• Microsoft Entra ID密码将替换本地帐户密码，并且两个密码保持同步。

  不会从设备中完全删除本地帐户计算机密码。 由于 Apple 的 FileVault 磁盘加密使用本地密码作为解锁密钥，因此此行为是设计造成的。

• 本地帐户用户名不会更改，并按原样保留。

• 最终用户可以使用 Touch ID 登录到设备。

• 用户和管理员需要记住和管理的密码更少。

• 设备重新启动后，用户必须输入其Microsoft Entra ID密码。 在此初始计算机解锁后，触控 ID 可以解锁设备。

• 解锁后，设备获取硬件绑定的主刷新令牌 (PRT) 凭据，用于Microsoft Entra ID SSO。

配置 keyvault 恢复 (可选)

使用密码同步身份验证时，可以启用 keyvault 恢复，确保在用户忘记密码时可以恢复数据。 IT 管理员应查看 Apple 的文档，并评估使用机构 FileVault 恢复密钥是否适合他们。

• 使用移动设备管理管理 FileVault
• Apple 设备的 FileVault MDM 有效负载设置

步骤 2 - 在 Intune 中创建平台 SSO 策略

若要配置平台 SSO 策略，请使用本部分中的步骤创建Intune设置目录策略。 Microsoft Enterprise SSO 插件需要列出的设置。

1. 登录到Microsoft Intune 管理中心。

2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

3. 输入以下属性：

   • 平台：选择 macOS。
   • 配置文件类型：选择 “设置目录”。

4. 选择“创建”。

5. 在“基本信息”中，输入以下属性：

   • 名称：输入策略的描述性名称。 为策略命名，以便稍后可以轻松地识别它们。 例如，将策略命名为 macOS - 平台 SSO。
   • 说明：输入配置文件的说明。 此设置是可选的，但建议进行。

6. 选择 下一步。

7. 在“配置设置”中，选择“添加设置”。 在设置选取器中，展开“身份验证”，然后选择“可扩展单一登录 (SSO) ：

   

   在列表中，选择以下设置：

   • 身份验证方法 (弃用) (仅选择 macOS 13)
   • 扩展标识符
   • 展开 “平台 SSO”：
     • 选择 “身份验证方法 ” (选择 macOS 14+)
     • 选择 “文件保管库策略 (选择 macOS 15+)
     • 选择 “令牌到用户映射”
     • 选择 “使用共享设备密钥”
   • 注册令牌
   • 屏幕锁定行为
   • 团队标识符
   • Type
   • URL

   关闭设置选取器。

   提示

   可以向策略添加更多平台 SSO 设置，用于配置不同方案，例如启用 Kerberos SSO、使用触控 ID 生物识别身份验证，以及启用非Microsoft应用的 SSO。 若要详细了解这些方案及其所需设置，请转到 macOS 设备的常见平台 SSO 方案。

   如果最初未配置可选方案设置，则以后始终可以编辑策略。

8. 配置以下必需设置：

   名称	配置值	说明
   身份验证方法 (已弃用) 仅 (macOS 13)	Password 或 UserSecureEnclaveKey	选择在 步骤 1 - 确定 本文) (身份验证方法中选择的平台 SSO 身份验证方法。 此设置仅适用于 macOS 13。 对于 macOS 14.0 及更高版本，请使用 平台 SSO>身份验证方法 设置。
   扩展标识符	com.microsoft.CompanyPortalMac.ssoextension	复制此值并将其粘贴到 设置中。 此 ID 是配置文件运行 SSO 所需的 SSO 应用扩展。 扩展标识符和团队标识符值协同工作。
   平台 SSO>身份验证方法 (macOS 14+)	Password、 UserSecureEnclaveKey 或 SmartCard	选择在 步骤 1 - 确定 本文) (身份验证方法中选择的平台 SSO 身份验证方法。 此设置适用于 macOS 14 及更高版本。 对于 macOS 13，请使用 “身份验证方法 (已弃用) 设置。
   平台 SSO>FileVault 策略 (macOS 15+)	AttemptAuthentication	在为“身份验证方法”设置选择“密码”时适用。 复制此值并将其粘贴到 设置中。 当 Mac 设备处于打开状态时，此设置允许设备在 FileVault 解锁屏幕上使用Microsoft Entra来验证Microsoft Entra ID密码。 此设置适用于 macOS 15 及更高版本。
   平台 SSO>使用共享设备密钥 (macOS 14+)	Enabled	启用后，平台 SSO 对同一设备上的所有用户使用相同的签名和加密密钥。 系统会提示从 macOS 13.x 升级到 14.x 的用户再次注册。
   注册令牌	{{DEVICEREGISTRATION}}	复制此值并将其粘贴到 设置中。 必须包括大括号。 若要了解有关此注册令牌的详细信息，请转到配置Microsoft Entra设备注册。 此设置还要求配置设置 AuthenticationMethod 。 - 如果仅使用 macOS 13 设备，请配置 “身份验证方法 (已弃用) 设置。 - 如果仅使用 macOS 14+ 设备，请配置 平台 SSO>身份验证方法 设置。 - 如果混合使用 macOS 13 和 macOS 14+ 设备，请在同一配置文件中配置这两个身份验证设置。
   屏幕锁定行为	不处理	设置为 “不处理”时，请求将继续不执行 SSO。
   令牌到用户的映射>帐户名称	preferred_username	复制此值并将其粘贴到 设置中。 此令牌指定Microsoft Entrapreferred_username属性值用于 macOS 帐户的“帐户名称”值。
   令牌到用户的映射>全名	name	复制此值并将其粘贴到 设置中。 此令牌指定Microsoft Entraname声明用于 macOS 帐户的“全名”值。
   团队标识符	UBF8T346G9	复制此值并将其粘贴到 设置中。 此标识符是 Enterprise SSO 插件应用扩展的团队标识符。
   Type	Redirect
   URL	复制并粘贴以下所有 URL： https://login.microsoftonline.com https://login.microsoft.com https://sts.windows.net 如果你的环境需要允许主权云域（如 Azure 政府 或 Azure 中国世纪互联），请添加以下 URL： https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn https://login.microsoftonline.us https://login-us.microsoftonline.com	这些 URL 前缀是执行 SSO 应用扩展的标识提供者。 重定向有效负载需要 URL，凭据有效负载将被忽略。 有关这些 URL 的详细信息，请转到 适用于 Apple 设备的 Microsoft Enterprise SSO 插件。

   重要

   如果你的环境中混合使用 macOS 13 和 macOS 14+ 设备，请在同一配置文件中配置平台 SSO>身份验证方法和身份验证方法 (弃用) 身份验证设置。

   配置文件准备就绪后，它类似于以下示例：

   

9. 选择 下一步。

10. 在“作用域标记”（可选）中，分配一个标记以将配置文件筛选到特定 IT 组（如 US-NC IT Team 或 JohnGlenn_ITDepartment）。 有关范围标记的详细信息，请转到 为分布式 IT 使用 RBAC 角色和范围标记。

    选择 下一步。

11. 在 “分配”中，选择接收配置文件的用户或设备组。 对于具有用户相关性的设备，请分配给用户或用户组。 对于注册了多个用户且没有用户相关性的设备，请分配给设备或设备组。

    重要

    对于具有用户相关性的设备上的平台 SSO 设置，不支持将其分配给设备组或筛选器。 在具有用户相关性的设备上将设备组分配或用户组分配与筛选器一起使用时，用户可能无法访问受条件访问保护的资源。 此问题可能发生：

    • 如果平台 SSO 设置应用不正确，或者
    • 如果未启用平台 SSO，公司门户应用绕过Microsoft Entra设备注册

    有关分配配置文件的详细信息，请转到 分配用户和设备配置文件。

    选择 下一步。

12. 在“查看并创建”中查看设置。 选择“创建”时，将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

下次设备检查配置更新时，将应用你配置的设置。

了解详细信息

• 若要了解有关插件的详细信息，请转到 Microsoft适用于 Apple 设备的企业 SSO 插件。
• 有关可扩展单一登录扩展的有效负载设置的详细信息，请转到 适用于 Apple 设备的可扩展单一登录 MDM 有效负载设置 ， (打开 Apple 网站) 。

步骤 3 - 部署适用于 macOS 的 公司门户 应用

适用于 macOS 的 公司门户 应用部署并安装 Microsoft Enterprise SSO 插件。 此插件启用平台 SSO。

使用 Intune，可以添加 公司门户 应用，并将其作为所需应用部署到 macOS 设备：

• 添加适用于 macOS 的公司门户应用列出了这些步骤。
• 将公司门户应用配置为将组织信息 (可选) 。 有关步骤，请转到如何配置Intune 公司门户应用、公司门户网站和Intune应用。

没有为平台 SSO 配置应用的任何特定步骤。 只需确保最新的公司门户应用已添加到Intune并部署到 macOS 设备。

如果已安装较旧版本的 公司门户 应用，则平台 SSO 将失败。

步骤 4 - 注册设备并应用策略

若要使用平台 SSO，设备必须是使用下列方法之一在 Intune中注册的 MDM：

• 对于 组织拥有的设备，可以：

  • 使用 Apple Business Manager 或 Apple School Manager 创建 自动设备注册 策略。
  • 使用 Apple Configurator 创建 直接注册 策略。

• 对于 个人拥有的设备，请创建 设备注册 策略。 使用此注册方法，最终用户打开公司门户应用并使用其Microsoft Entra ID登录。 成功登录后，会应用注册策略。

对于 新设备，建议预先创建并配置所有必要的策略，包括注册策略。 然后，当设备Intune注册时，策略会自动应用。

对于已在 Intune 中注册的现有设备，请将平台 SSO 策略分配给用户或用户组。 设备下次与 Intune 服务同步或检查时，它们会收到你创建的平台 SSO 策略设置。

步骤 5 - 注册设备

设备收到策略时，通知中心会显示“ 需要注册 ”通知。

• 最终用户选择此通知，使用其组织帐户登录到Microsoft Entra ID插件，并根据需要 (MFA) 完成多重身份验证。

  注意

  MFA 是Microsoft Entra的一项功能。 确保已在租户中启用 MFA。 有关详细信息，包括任何其他应用要求，请转到Microsoft Entra多重身份验证。

• 成功进行身份验证后，设备Microsoft Entra加入组织，工作区加入 (WPJ) 证书绑定到设备。

以下文章介绍了用户体验，具体取决于注册方法：

• 使用 Microsoft Entra ID 加入 Mac 设备。
• 在 OOBE 期间使用 macOS 平台 SSO 加入具有 Microsoft Entra ID 的 Mac 设备。

步骤 6 - 确认设备上的设置

平台 SSO 注册完成后，可以确认已配置平台 SSO。 有关步骤，请转到Microsoft Entra ID - 检查设备注册状态。

在已注册Intune设备上，还可以转到“设置>隐私和安全>配置文件”。 平台 SSO 配置文件显示在 下 com.apple.extensiblesso Profile。 选择配置文件以查看配置的设置，包括 URL。

若要排查平台 SSO 问题，请转到 macOS 平台单一登录已知问题和故障排除。

步骤 7 - 取消分配任何现有的 SSO 应用扩展配置文件

确认设置目录策略正常工作后，取消分配使用Intune设备功能模板创建的任何现有 SSO 应用扩展配置文件。

如果保留这两个策略，则可能发生冲突。

其他 MDM

如果 MDM 支持平台 SSO，则可以将平台 SSO 与其他移动设备管理服务 (MM) 配置。 使用其他 MDM 服务时，请使用以下指南：

• 本文中列出的设置是应配置Microsoft建议的设置。 可以在 MDM 服务策略中复制/粘贴本文中的设置值。

  MDM 服务中的配置步骤可能有所不同。 建议与 MDM 服务提供商合作，正确配置和部署这些平台 SSO 设置。

• 使用平台 SSO 进行设备注册更安全，并使用硬件绑定设备证书。 这些更改可能会影响某些 MDM 流，例如与 设备合规性合作伙伴的集成。

  应与 MDM 服务提供商联系，了解是否已通过 MDM 测试的平台 SSO，证明其软件与平台 SSO 正常工作，并且已准备好支持使用平台 SSO 的客户。

常见错误

配置平台 SSO 时，可能会看到以下错误：

• 10001: misconfiguration in the SSOe payload.

  在以下情况中，可能会出现此错误：

  • 设置目录配置文件中未配置所需的设置。
  • 配置的设置目录配置文件中有一个不适用于 重定向类型有效负载的设置。

  在设置目录配置文件中配置的身份验证设置对于 macOS 13.x 和 14.x 设备是不同的。

  如果环境中有 macOS 13 和 macOS 14 设备，则必须创建一个设置目录策略，并在同一策略中配置其各自的身份验证设置。 本文) 的步骤 2 - 在 Intune (中创建平台 SSO 策略中介绍了此信息。

• 10002: multiple SSOe payloads configured.

  多个 SSO 扩展有效负载正在应用于设备，并且存在冲突。 设备上应只有一个扩展配置文件，该配置文件应是设置目录配置文件。

  如果以前使用设备功能模板创建了 SSO 应用扩展配置文件，请取消分配该配置文件。 设置目录配置文件是应分配给设备的唯一配置文件。

相关文章

• 适用于 macOS 设备的常见平台 SSO 方案
• macOS Platform 单一登录概述 (预览版)
• Microsoft企业 SSO 插件
• 在 macOS 设备上使用 Microsoft Enterprise SSO 应用扩展
• 什么是主刷新令牌 (PRT) ？
• macOS Platform 单一登录已知问题和故障排除