Freigeben über


Einbinden eines Mac-Geräts in Microsoft Entra ID mithilfe des Unternehmensportals (Vorschau)

In diesem Tutorial erfahren Sie, wie Sie ein Mac-Gerät mit macOS PSSO (Plattform-SSO, Single Sign-On, einmaliges Anmelden) mithilfe des Unternehmensportals und der Intune-MDM-Registrierung mit Microsoft Entra-Einbindung registrieren. Es gibt drei Methoden, mit denen Sie ein Mac-Gerät mit PSSO registrieren können: Secure Enclave, Smartcard oder Kennwort. Für eine optimale kennwortlose Erfahrung wird empfohlen, Secure Enclave oder Smartcards zu verwenden. Beachten Sie jedoch, dass die Methode von Ihrem Unternehmensadministratorteam mit Microsoft Intune voreingestellt wird.

Voraussetzungen

  • Die empfohlene Mindestversion ist macOS 14 Sonoma. macOS 13 Ventura wird zwar unterstützt, für eine optimale Erfahrung wird jedoch dringend die Verwendung von macOS 14 Sonoma empfohlen.
  • Mindestens Version 5.2404.0 der Microsoft Intune-Unternehmensportal-App
  • Ein Mac-Gerät, das bei der Verwaltung mobiler Geräte (MDM) mit Microsoft Intune angemeldet ist.
  • Eine von einem Administrator konfigurierte SSO-Erweiterung MDM Payload mit PSSO-Einstellungen in Intune
  • Microsoft Authenticator (empfohlen): Zum Abschließen der Geräteregistrierung müssen die Benutzenden für eine Form der Multi-Faktor-Authentifizierung (MFA) mit Microsoft Entra ID registriert sein.
  • Für die Einrichtung einer Smartcard muss die zertifikatbasierte Authentifizierung konfiguriert und aktiviert sein. Eine Smartcard mit geladenem Zertifikat für die Authentifizierung mit Microsoft Entra, die mit einem lokalen Konto gekoppelt ist

Intune MDM- und Microsoft Entra-Einbindung über das Unternehmensportal

Um ein Mac-Gerät mit PSSO zu registrieren, müssen Sie es zuerst mit der Unternehmensportal-App in Microsoft Intune registrieren. Nach der Registrierung können Sie Secure Enclave, Smartcards oder Kennwörter verwenden, um Ihr Gerät mit PSSO zu registrieren.

  1. Öffnen Sie die Unternehmensportal-App, und wählen Sie Anmelden aus.

  2. Geben Sie Ihre Microsoft Entra ID-Anmeldeinformationen ein, und wählen Sie Weiter aus.

  3. Sie werden aufgefordert, den Zugriff für {Unternehmen} einzurichten. Der Platzhalter „Unternehmen“ unterscheidet sich je nach Setup. Wählen Sie Beginnen und dann auf dem nächsten Bildschirm Weiter aus.

    Screenshot des Fensters für die Zugriffseinrichtung im Unternehmensportal

  4. Es werden Schritte zum Installieren des Verwaltungsprofils angezeigt, das vom Administratorteam in Microsoft Intune eingerichtet werden sollte. Wählen Sie Profil herunterladen aus.

    Screenshot eines Fensters im Unternehmensportal mit der Aufforderung zum Herunterladen des Verwaltungsprofils

  5. Öffnen Sie Einstellungen>Datenschutz und Sicherheit>Profile, wenn keine automatische Anzeige erfolgt. Wählen Sie Verwaltungsprofil aus.

    Screenshot der Einstellungs-App für Profile mit einem heruntergeladenen Verwaltungsprofil

  6. Wählen Sie Installieren aus, um Zugriff auf Unternehmensressourcen zu erhalten.

    Screenshot der Aufforderung zum Installieren des Verwaltungsprofils in den Einstellungen

  7. Geben Sie Ihr lokales Gerätekennwort im angezeigten Fenster Profile ein, und wählen Sie Registrieren aus.

    Screenshot des Fensters „Profile“ mit der Aufforderung zur Kennworteingabe für die Registrierung bei einem MDM-Dienst

  8. Im Unternehmensportal wird eine Benachrichtigung angezeigt, dass die Installation abgeschlossen ist. Wählen Sie Fertig aus.

Plattform-SSO-Registrierung

Nachdem das Gerät nun mit dem Unternehmensportal konform ist, müssen Sie Ihr Gerät für PSSO registrieren. Nach erfolgreichem Abschluss des Schritts Intune MDM- und Microsoft Entra-Einbindung über das Unternehmensportal wird rechts oben auf dem Bildschirm das Popupfenster Registrierung erforderlich angezeigt. Verwenden Sie die Registerkarten, um Ihr Gerät für PSSO mithilfe von Secure Enclave, Smartcard oder Kennwort zu registrieren.

  1. Navigieren Sie rechts oben auf dem Bildschirm zum Popupbereich Registrierung erforderlich. Zeigen Sie mit der Maus auf das Popupelement, und wählen Sie Registrieren aus. Benutzenden von macOS 14 Sonoma wird eine Aufforderung zum Registrieren Ihres Geräts bei Microsoft Entra angezeigt. Diese Aufforderung wird unter macOS 13 Ventura nicht angezeigt.

    Screenshot einer Microsoft Entra-Registrierungsaufforderung, die unter macOS 14 nach Auswahl der Benachrichtigung „Registrierung erforderlich“ angezeigt wird

  2. Nachdem Ihr Konto per Touch-ID oder Kennwort entsperrt wurde, wählen Sie das Konto für die Anmeldung aus, geben Ihre Anmeldeinformationen ein und wählen dann Weiter aus.

  3. MFA ist bei diesem Anmeldeflow erforderlich. Öffnen Sie die Authenticator-App (empfohlen), oder verwenden Sie eine der anderen MFA-Methoden, die Sie registriert haben, und geben Sie die auf dem Bildschirm angezeigte Nummer ein, um die Registrierung abzuschließen.

  4. Wenn der MFA-Flow abgeschlossen ist und der Ladebildschirm ausgeblendet wird, sollte Ihr Gerät bei PSSO registriert sein. Sie können ab sofort PSSO verwenden, um auf Microsoft-App-Ressourcen zuzugreifen.

Aktivieren von Plattformanmeldeinformationen für macOS für die Verwendung als Passkey

Wenn Sie Ihr Gerät mithilfe der Secure Enclave-Methode einrichten, können Sie die resultierenden Anmeldeinformationen, die auf dem Mac-Gerät gespeichert werden, im Browser als Passkey (Hauptschlüssel) verwenden. So aktivieren Sie diese Funktion

  1. Öffnen Sie die App Einstellungen, und navigieren Sie zu Kennwörter>Kennwortoptionen.

  2. Suchen Sie unter Kennwortoptionen die Option Kennwörter und Passkeys verwenden aus, und aktivieren Sie den Umschalter Unternehmensportal.

    Screenshot des Fensters „Kennwortoptionen“ mit aktiviertem Umschalter für die Verwendung von Kennwörtern und Passkeys aus dem Unternehmensportal

Überprüfen des Geräteregistrierungsstatus

Nachdem Sie die obigen Schritte abgeschlossen haben, sollten Sie den Geräteregistrierungsstatus überprüfen.

  1. Um zu überprüfen, ob die Registrierung erfolgreich abgeschlossen wurde, navigieren Sie zu Einstellungen und wählen Benutzer und Gruppen aus.

  2. Wählen Sie neben Netzwerkkontoserver die Option Bearbeiten aus, und überprüfen Sie, ob Plattform-SSO als Registriert aufgeführt wird.

  3. Um die für die Authentifizierung verwendete Methode zu überprüfen, navigieren Sie im Fenster Benutzer und Gruppen zu Ihrem Benutzernamen und wählen das Symbol Informationen aus. Überprüfen Sie, ob als Methode Secure Enclave, Smartcard oder Kennwort aufgeführt wird.

    Hinweis

    Sie können auch die Terminal-App verwenden, um den Registrierungsstatus zu überprüfen. Führen Sie den folgenden Befehl aus, um den Status der Geräteregistrierung zu überprüfen. Sie sollten unten in der Ausgabe sehen, dass SSO-Token abgerufen werden. Unter macOS 13 Ventura ist dieser Befehl erforderlich, um den Registrierungsstatus zu überprüfen.

    app-sso platform -s
    

Aktualisieren Ihres Mac-Geräts zum Aktivieren von PSSO

Für macOS-Geräte, die bereits im Unternehmensportal registriert sind, kann das Administratorteam PSSO aktivieren, indem das SSO-Erweiterungsprofil des Geräts aktualisiert wird. Nachdem das PSSO-Profil auf Ihrem Gerät bereitgestellt und installiert wurde, werden Sie über die Benachrichtigung Registrierung erforderlich rechts oben auf dem Bildschirm aufgefordert, Ihr Gerät für PSSO zu registrieren. Dadurch wird die alte SSO-Registrierung von Ihrem Gerät entfernt und durch die neue PSSO-Registrierung ersetzt.

Es wird zwar empfohlen, dies sofort zu erledigen, Sie können die Geräteregistrierung aber auch zu einem für Sie geeigneteren Zeitpunkt durchführen.

Weitere Informationen