Připojení zařízení Mac s Microsoft Entra ID během běhu s macOS PSSO (Preview)

Uživatelé Mac se můžou připojit ke svému novému zařízení k Microsoft Entra ID během prvního spuštění integrovaného prostředí (OOBE). Jednotné přihlašování (PSSO) platformy macOS je funkce v systému macOS, která je povolená pomocí rozšíření jednotného přihlašování Microsoft Enterprise. Jednotné přihlašování uživatelům umožňuje přihlásit se k zařízení Mac pomocí hardwarového klíče, čipové karty nebo hesla Microsoft Entra ID. V tomto kurzu se dozvíte, jak nastavit zařízení Mac během OOBE tak, aby používalo jednotné přihlašování pomocí automatizované registrace zařízení.

Požadavky

• Doporučená minimální verze macOS 14 Sonoma. I když se podporuje macOS 13 Ventura, důrazně doporučujeme používat macOS 14 Sonoma, aby to bylo nejlepší.
• Zaregistrované zařízení automatizované registrace zařízení (ADE). Obraťte se na správce, jestli si nejste jistí, jestli je vaše zařízení zaregistrované s tímto požadavkem.
• Microsoft Portál společnosti Intune verze 5.2404.0 nebo novější
• Zařízení Mac zaregistrované ve správě mobilních zařízení (MDM) v Microsoft Intune
• Nakonfigurovaná datová část MDM rozšíření jednotného přihlašování s nastavením jednotného přihlašování v Intune správcem
• Microsoft Authenticator (doporučeno): Aby bylo možné dokončit registraci zařízení, musí být uživatel zaregistrovaný pro určitou formu vícefaktorového ověřování Microsoft Entra ID (MFA) na svém mobilním zařízení.
• Pro nastavení čipové karty je nakonfigurované a povolené ověřování na základě certifikátů. Čipová karta načtená s certifikátem pro ověřování pomocí Microsoft Entra a čipové karty spárované s místním účtem.

Nastavení zařízení s macOS

1. Když se při prvním otevření Počítače Mac zobrazí obrazovka "Hello", podle pokynů vyberte zemi nebo oblast a podle potřeby nakonfigurujte nastavení sítě.

2. Zobrazí se výzva ke stažení profilu vzdálené správy , který umožňuje nastavení konfigurace v Microsoft Intune použít na vaše zařízení. Vyberte Pokračovat a po zobrazení výzvy ke schválení stahování profilu pro správu zadejte svoje přihlašovací údaje Microsoft Entra ID.

   

3. Zadejte kód odeslaný do aplikace Authenticator (doporučeno) nebo použijte jinou metodu vícefaktorového ověřování.

4. Pokud chcete vytvořit uživatelský účet, vyplňte celé jméno, název účtu a vytvořte heslo místního účtu. Vyberte Pokračovat a zobrazí se domovská obrazovka.

   

Registrace pomocí automatizované registrace zařízení

Existují tři metody ověřování pro registraci jednotného přihlašování:

• Zabezpečený enkláva: Uživatel se přihlásí ke svému zařízení, které má zabezpečený kryptografický klíč založený na enklávě, který se používá pro jednotné přihlašování napříč aplikacemi, které k ověřování používají Microsoft Entra ID. Může se také značovat jako přihlašovací údaje platformy pro macOS.
• Čipová karta: Uživatel se k počítači přihlásí pomocí externí čipové karty nebo pevného tokenu kompatibilního s čipovou kartou.
• Heslo: Uživatel se přihlásí k místnímu zařízení pomocí místního účtu a aktualizuje se tak, aby používal heslo Microsoft Entra ID.

Doporučuje se, aby správce systému zaregistroval Mac pomocí zabezpečené enklávy nebo čipové karty. Tyto nové funkce bez hesla podporují jenom jednotné přihlašování. Než budete pokračovat, zkontrolujte, jakou metodu ověřování správce nastavil.

Zabezpečení enklávy

1. Přejděte do místní nabídky Požadovaná registrace v pravém horním rohu obrazovky. Najeďte myší na místní okno a vyberte Zaregistrovat. Pro uživatele macOS 14 Sonoma se zobrazí výzva k registraci zařízení v Microsoft Entra. Tato výzva se nezobrazí pro macOS 13 Ventura.

   

2. Zobrazí se výzva k zadání hesla k místnímu účtu. Zadejte heslo a vyberte OK.

3. Jakmile je váš účet odemknutý, vyberte účet, ke který se chcete přihlásit, zadejte přihlašovací údaje a vyberte Další.

4. V rámci tohoto toku přihlašování se vyžaduje vícefaktorové ověřování. Otevřete aplikaci Authenticator (doporučeno) nebo použijte jiné metody vícefaktorového ověřování, které jste zaregistrovali, a zadáním čísla zobrazeného na obrazovce dokončete registraci.

5. Po dokončení toku vícefaktorového ověřování a obrazovka načítání zmizí, mělo by být vaše zařízení zaregistrované pomocí jednotného přihlašování. K přístupu k prostředkům aplikace Microsoftu teď můžete použít jednotné přihlašování.

Povolení přihlašovacích údajů platformy pro macOS pro použití jako klíč

Nastavení zařízení pomocí zabezpečené metody enklávy umožňuje použít výsledné přihlašovací údaje uložené na Počítači Mac jako klíč v prohlížeči. Povolení;

1. Otevřete aplikaci Nastavení a přejděte do možností Hesla>.

2. V části Možnosti hesla najděte možnost Použít hesla a klíče z a povolte Portál společnosti prostřednictvím přepínače.

   

Chytrá karta

Spárování čipové karty s místním účtem

Než budete moct zařízení zaregistrovat pomocí čipové karty, musíte čipovou kartu spárovat s místním účtem. Otevřete aplikaci Terminál a spuštěním následujících příkazů vyhledejte hodnotu hash veřejného klíče certifikátu čipové karty a spárujte ji s místním účtem a zkontrolujte, jestli byla úspěšná. To musí být spuštěno pomocí sudo.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Registrace zařízení pomocí čipové karty

1. Přejděte do místní nabídky Požadovaná registrace v pravém horním rohu obrazovky. Najeďte myší na místní okno a vyberte Zaregistrovat. Pokud je čipová karta spárovaná s místním účtem, zobrazí se výzva k zadání špendlíku čipové karty.

   

2. Správce možná nakonfiguroval vícefaktorové ověřování pro tok registrace zařízení. Pokud ano, otevřete aplikaci Authenticator na mobilním zařízení a dokončete tok vícefaktorového ověřování.

   

3. Pokud certifikát ještě není spárovaný s místním účtem, zobrazí se uživateli výzva k použití čipové karty. Vyberte čipovou kartu.

4. Zobrazí se výzva k zadání špendlíku pro čipovou kartu. Zadejte pin a vyberte Enter PIN pro čipovou kartu. Po zadání správného pin kódu se dokončí registrace jednotného přihlašování s ověřením čipové karty.

5. Pomocí jednotného přihlašování teď můžete přistupovat k prostředkům aplikace Microsoftu a odemknout zařízení pomocí pinu čipové karty. Pokud chcete odemknout přístup ke klíčence, budete muset po restartování použít místní heslo.

Heslo

1. Přejděte do místní nabídky Požadovaná registrace v pravém horním rohu obrazovky. Najeďte myší na místní okno a vyberte Zaregistrovat.

   

2. Zobrazí se výzva k zadání hesla k místnímu účtu. Zadejte heslo a vyberte OK.

3. Jakmile je váš účet odemknutý, vyberte účet, ke který se chcete přihlásit, zadejte přihlašovací údaje a vyberte Další.

4. V rámci tohoto toku přihlašování se vyžaduje vícefaktorové ověřování. Otevřete aplikaci Authenticator (doporučeno) nebo použijte jiné metody vícefaktorového ověřování, které jste zaregistrovali, a zadáním čísla zobrazeného na obrazovce dokončete registraci.

5. Pokud se vaše místní heslo liší od hesla Microsoft Entra ID, zobrazí se v pravém horním rohu obrazovky automaticky otevírané okno Vyžadováno ověření. Najeďte myší na banner a vyberte Přihlásit se.

6. Když se zobrazí okno Microsoft Entra, zadejte své heslo ID Microsoft Entra a vyberte Přihlásit se.

   

7. Po odemknutí Počítače Mac teď můžete použít jednotné přihlašování k přístupu k prostředkům aplikace Microsoftu. Od tohoto okamžiku vaše staré heslo nefunguje, protože je pro vaše zařízení povolené jednotné přihlašování.

Kontrola stavu registrace zařízení

Po dokončení výše uvedených kroků je vhodné zkontrolovat stav registrace zařízení.

1. Pokud chcete zkontrolovat, jestli se registrace úspěšně dokončila, přejděte do Nastavení a vyberte Uživatelé a skupiny.

2. Vyberte Upravit vedle serveru síťového účtu a zkontrolujte, jestli je jednotné přihlašování platformy uvedené jako registrované.

3. Pokud chcete ověřit metodu použitou k ověřování, přejděte do uživatelského jména v okně Uživatelé a skupiny a vyberte ikonu Informace . Zkontrolujte uvedenou metodu, která by měla být zabezpečená enkláva, čipová karta nebo heslo.

   Poznámka:

   Stav registrace můžete zkontrolovat také pomocí aplikace Terminál . Spuštěním následujícího příkazu zkontrolujte stav registrace zařízení. V dolní části výstupu byste měli vidět, že se načítají tokeny jednotného přihlašování. Pro uživatele macOS 13 Ventura je tento příkaz nutný ke kontrole stavu registrace.

   app-sso platform -s
   

Viz také

• Připojení zařízení Mac pomocí Microsoft Entra ID pomocí Portál společnosti
• Možnosti bezheslového ověřování pro Microsoft Entra ID
• Plánování nasazení ověřování bez hesla v Microsoft Entra ID
• Modul plug-in Microsoft Enterprise SSO pro zařízení Apple