Microsoft Intune macOS 디바이스용 플랫폼 SSO 구성
macOS 디바이스에서 암호 없는 인증, Microsoft Entra ID 사용자 계정 또는 스마트 카드를 사용하여 SSO(Single Sign-On)를 사용하도록 Platform SSO를 구성할 수 있습니다. 플랫폼 SSO는 Microsoft Enterprise SSO 플러그 인 및 SSO 앱 확장의 향상된 기능입니다. 플랫폼 SSO는 Microsoft Entra ID 자격 증명 및 터치 ID를 사용하여 사용자를 관리형 Mac 디바이스에 로그인할 수 있습니다.
이 기능은 다음에 적용됩니다.
- macOS
Microsoft Enterprise SSO 플러그 인 Microsoft Entra ID 플랫폼 SSO 및 SSO 앱 확장의 두 가지 SSO 기능이 포함되어 있습니다. 이 문서에서는 macOS 디바이스용 Microsoft Entra ID(공개 미리 보기)를 사용하여 플랫폼 SSO를 구성하는 데 중점을 둡니다.
플랫폼 SSO의 몇 가지 이점은 다음과 같습니다.
- SSO 앱 확장을 포함합니다. SSO 앱 확장을 별도로 구성하지 않습니다.
- Mac 디바이스에 하드웨어 바인딩된 피싱 방지 자격 증명을 사용하여 암호 없는 상태로 이동합니다.
- 로그인 환경은 사용자가 비즈니스용 Windows Hello 사용하는 것처럼 회사 또는 학교 계정으로 Windows 디바이스에 로그인하는 것과 유사합니다.
- 사용자가 Microsoft Entra ID 자격 증명을 입력해야 하는 횟수를 최소화하는 데 도움이 됩니다.
- 사용자가 기억해야 하는 암호 수를 줄이는 데 도움이 됩니다.
- 모든 organization 사용자가 디바이스에 로그인할 수 있는 Microsoft Entra 조인의 이점을 얻을 수 있습니다.
- 모든 Microsoft Intune 라이선스 계획에 포함됩니다.
Mac 디바이스가 Microsoft Entra ID 테넌트를 조인하면 디바이스는 하드웨어에 바인딩되고 Microsoft Enterprise SSO 플러그 인에서만 액세스할 수 있는 WPJ(작업 공간 조인) 인증서를 가져옵니다. 조건부 액세스를 사용하여 보호되는 리소스에 액세스하려면 앱 및 웹 브라우저에 이 WPJ 인증서가 필요합니다. 플랫폼 SSO가 구성된 경우 SSO 앱 확장은 Microsoft Entra ID 인증 및 조건부 액세스를 위한 브로커 역할을 합니다.
플랫폼 SSO는 설정 카탈로그를 사용하여 구성할 수 있습니다. 정책이 준비되면 사용자에게 정책을 할당합니다. 사용자가 Intune 디바이스를 등록할 때 정책을 할당하는 것이 좋습니다. 그러나 기존 디바이스를 포함하여 언제든지 할당할 수 있습니다.
이 문서에서는 Intune macOS 디바이스에 대한 플랫폼 SSO를 구성하는 방법을 보여 줍니다.
필수 구성 요소
디바이스는 macOS 13.0 이상을 실행해야 합니다.
Microsoft Intune 회사 포털 앱 버전 5.2404.0 이상은 디바이스에 필요합니다. 이 버전에는 플랫폼 SSO가 포함됩니다.
다음 웹 브라우저는 플랫폼 SSO를 지원합니다.
Microsoft Edge
Microsoft Single Sign On 확장을 사용하는 Google Chrome
Intune 기본 설정 파일(.plist) 정책을 사용하여 이 확장을 강제로 설치할 수 있습니다. 파일
.plist
에서 Chrome Enterprise 정책 - ExtensionInstallForcelist (Google 웹 사이트 열기)의 정보가 필요합니다.경고
GitHub의 ManagedPreferencesApplications 예제에는 샘플
.plist
파일이 있습니다. 이 GitHub 리포지토리는 소유되지 않고 유지 관리되지 않으며 Microsoft에서 만들지 않습니다. 사용자 고유의 위험에 대한 정보를 사용합니다.Safari
Intune 사용하여 패키지() 및 디스크 이미지(
.dmg
.pkg
) 파일을 포함한 웹 브라우저 앱을 추가하고 macOS 디바이스에 앱을 배포할 수 있습니다. 시작하려면 Microsoft Intune 앱 추가로 이동합니다.플랫폼 SSO는 Intune 설정 카탈로그를 사용하여 필요한 설정을 구성합니다. 설정 카탈로그 정책을 만들려면 최소한 다음 Intune 권한이 있는 계정으로 Microsoft Intune 관리 센터에 로그인합니다.
- 디바이스 구성 읽기, 만들기, 업데이트 및 권한 할당
정책 및 프로필 관리자 Intune RBAC 역할을 포함하여 이러한 권한이 있는 몇 가지 기본 제공 역할이 있습니다. Intune RBAC 역할에 대한 자세한 내용은 Microsoft Intune 사용하여 RBAC(역할 기반 액세스 제어)를 참조하세요.
5단계 - 디바이스 등록(이 문서)에서 사용자는 디바이스를 등록합니다. 이러한 사용자는 디바이스를 Entra ID에 조인할 수 있어야 합니다. 자세한 내용은 디바이스 설정 구성을 참조하세요.
1단계 - 인증 방법 결정
Intune 플랫폼 SSO 정책을 만들 때 사용하려는 인증 방법을 결정해야 합니다.
플랫폼 SSO 정책 및 사용하는 인증 방법은 사용자가 디바이스에 로그인하는 방법을 변경합니다.
- Platform SSO를 구성하면 사용자가 구성한 인증 방법으로 macOS 디바이스에 로그인합니다.
- 플랫폼 SSO를 사용하지 않는 경우 사용자는 로컬 계정으로 macOS 디바이스에 로그인합니다. 그런 다음 Microsoft Entra ID 사용하여 앱 및 웹 사이트에 로그인합니다.
이 단계에서는 정보를 사용하여 인증 방법의 차이점과 사용자 로그인 환경에 미치는 영향을 알아봅니다.
팁
플랫폼 SSO를 구성할 때 보안 Enclave 를 인증 방법으로 사용하는 것이 좋습니다.
기능 | 보안 Enclave | 스마트 카드 | 암호 |
---|---|---|---|
암호 없음(피싱 방지) | ✅ | ✅ | ❌ |
잠금 해제에 지원되는 TouchID | ✅ | ✅ | ✅ |
암호로 사용할 수 있습니다. | ✅ | ❌ | ❌ |
설치 에 대한 MFA 필수 MFA(다단계 인증)는 항상 권장됩니다. |
✅ | ✅ | ❌ |
Entra ID와 동기화된 로컬 Mac 암호 | ❌ | ❌ | ✅ |
macOS 13.x +에서 지원됨 | ✅ | ❌ | ✅ |
macOS 14.x +에서 지원됨 | ✅ | ✅ | ✅ |
필요에 따라 새 사용자가 Entra ID 자격 증명으로 로그인하도록 허용(macOS 14.x +) | ✅ | ✅ | ✅ |
보안 Enclave
Secure Enclave 인증 방법으로 Platform SSO를 구성하는 경우 SSO 플러그 인은 하드웨어 바인딩된 암호화 키를 사용합니다. Microsoft Entra 자격 증명을 사용하여 사용자를 앱 및 웹 사이트에 인증하지 않습니다.
Secure Enclave에 대한 자세한 내용은 Secure Enclave (Apple 웹 사이트 열기)로 이동하세요.
보안 Enclave:
- 암호 없는 것으로 간주되며 피싱 방지 MFA(다단계) 요구 사항을 충족합니다. 개념적으로 비즈니스용 Windows Hello 비슷합니다. 조건부 액세스와 같은 비즈니스용 Windows Hello 동일한 기능을 사용할 수도 있습니다.
- 로컬 계정 사용자 이름 및 암호를 있는 그대로 둡니다. 이러한 값은 변경되지 않습니다.
참고
이 동작은 잠금 해제 키로 로컬 암호를 사용하는 Apple의 FileVault 디스크 암호화로 인해 의도적으로 수행됩니다.
- 디바이스가 다시 부팅되면 사용자는 로컬 계정 암호를 입력해야 합니다. 이 초기 컴퓨터의 잠금을 해제한 후 터치 ID를 사용하여 디바이스의 잠금을 해제할 수 있습니다.
- 잠금 해제 후 디바이스는 디바이스 전체 SSO에 대한 하드웨어 기반 PRT(기본 새로 고침 토큰)를 가져옵니다.
- 웹 브라우저에서 이 PRT 키는 WebAuthN API를 사용하여 암호로 사용할 수 있습니다.
- 해당 설정은 MFA 인증 또는 MICROSOFT TAP(임시 액세스 패스)를 위한 인증 앱으로 부트스트랩할 수 있습니다.
- Microsoft Entra ID 암호를 만들고 사용할 수 있습니다.
암호
암호 인증 방법으로 Platform SSO를 구성하면 사용자는 로컬 계정 암호 대신 Microsoft Entra ID 사용자 계정으로 디바이스에 로그인합니다.
이 옵션을 사용하면 인증에 Microsoft Entra ID 사용하는 앱에서 SSO를 사용할 수 있습니다.
암호 인증 방법을 사용하는 경우:
Microsoft Entra ID 암호는 로컬 계정 암호를 대체하고 두 암호는 동기화 상태로 유지됩니다.
참고
로컬 계정 컴퓨터 암호가 디바이스에서 완전히 제거되지는 않습니다. 이 동작은 잠금 해제 키로 로컬 암호를 사용하는 Apple의 FileVault 디스크 암호화로 인해 의도적으로 수행됩니다.
로컬 계정 사용자 이름은 변경되지 않고 그대로 유지됩니다.
최종 사용자는 터치 ID를 사용하여 디바이스에 로그인할 수 있습니다.
사용자와 관리자가 기억하고 관리할 암호가 적습니다.
사용자는 디바이스를 다시 부팅한 후 Microsoft Entra ID 암호를 입력해야 합니다. 이 초기 컴퓨터가 잠금 해제되면 터치 ID가 디바이스의 잠금을 해제할 수 있습니다.
잠금 해제 후 디바이스는 Microsoft Entra ID SSO에 대한 하드웨어 바인딩 PRT(기본 새로 고침 토큰) 자격 증명을 가져옵니다.
참고
구성하는 모든 Intune 암호 정책도 이 설정에 영향을 줍니다. 예를 들어 간단한 암호를 차단하는 암호 정책이 있는 경우 이 설정에 대해 간단한 암호도 차단됩니다.
Intune 암호 정책 및/또는 준수 정책이 Microsoft Entra 암호 정책과 일치하는지 확인합니다. 정책이 일치하지 않으면 암호가 동기화되지 않을 수 있으며 최종 사용자에게 액세스가 거부됩니다.
스마트 카드
Smart 카드 인증 방법으로 Platform SSO를 구성하는 경우 사용자는 스마트 카드 인증서 및 연결된 PIN을 사용하여 디바이스에 로그인하고 앱 및 웹 사이트에 인증할 수 있습니다.
옵션
- 암호 없는 것으로 간주됩니다.
- 로컬 계정 사용자 이름 및 암호를 있는 그대로 둡니다. 이러한 값은 변경되지 않습니다.
자세한 내용은 iOS 및 macOS에서 인증서 기반 인증 Microsoft Entra 참조하세요.
keyvault 복구 구성(선택 사항)
암호 동기화 인증을 사용하는 경우 사용자가 암호를 잊어버린 경우 데이터를 복구할 수 있도록 keyvault 복구를 사용하도록 설정할 수 있습니다. IT 관리자는 Apple의 설명서를 검토하고 기관용 FileVault 복구 키를 사용하는 것이 좋은 옵션인지 평가해야 합니다.
2단계 - Intune 플랫폼 SSO 정책 만들기
플랫폼 SSO 정책을 구성하려면 다음 단계를 사용하여 Intune 설정 카탈로그 정책을 만듭니다. Microsoft Enterprise SSO 플러그 인에는 나열된 설정이 필요합니다.
- 플러그 인에 대해 자세히 알아보려면 Apple 디바이스용 Microsoft Enterprise SSO 플러그 인으로 이동하세요.
- Extensible Single Sign-On 확장에 대한 페이로드 설정에 대한 자세한 내용은 Apple 디바이스에 대한 확장 가능한 Single Sign-On MDM 페이로드 설정 (Apple 웹 사이트 열기)으로 이동하세요.
정책을 만듭니다.
Microsoft Intune 관리 센터에 로그인합니다.
Select 장치>장치 관리>구성>만들기>새 정책을 선택합니다.
다음 속성을 입력합니다.
- 플랫폼: macOS를 선택합니다.
- 프로필 유형: 설정 카탈로그를 선택합니다.
만들기를 선택합니다.
기본에서 다음 속성을 입력합니다.
- 이름: 정책에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 정책 이름을 지정합니다. 예를 들어 정책 이름을 macOS - Platform SSO로 지정합니다.
- 설명: 정책에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
다음을 선택합니다.
구성 설정에서 설정 추가를 선택합니다. 설정 선택기에서 인증을 확장하고 SSO(Extensible Single Sign On)를 선택합니다.
목록에서 다음 설정을 선택합니다.
- 인증 방법(사용되지 않음) (macOS 13에만 해당)
- 확장 식별자
-
플랫폼 SSO를 확장합니다.
- 인증 방법 선택(macOS 14 이상)
- 사용자 매핑에 대한 토큰 선택
- 공유 디바이스 키 사용을 선택합니다.
- 등록 토큰
- 화면 잠금 동작
- 팀 식별자:
- 유형
- URL
설정 선택기를 닫습니다.
팁
정책에서 구성할 수 있는 플랫폼 SSO 설정이 더 있습니다.
- 비 Microsoft 앱 및 Microsoft Enterprise SSO 확장 설정 (이 문서)
- 최종 사용자 환경 설정 (이 문서)
다음 필수 설정을 구성합니다.
이름 구성 값 설명 인증 방법(사용되지 않음)
(macOS 13에만 해당)암호 또는 UserSecureEnclave 1단계 - 인증 방법 결정(이 문서)에서 선택한 플랫폼 SSO 인증 방법을 선택합니다.
이 설정은 macOS 13에만 적용됩니다. macOS 14.0 이상의 경우 플랫폼 SSO>인증 방법 설정을 사용합니다.확장 식별자 com.microsoft.CompanyPortalMac.ssoextension
이 값을 복사하여 설정에 붙여넣습니다.
이 ID는 SSO가 작동하기 위해 프로필에 필요한 SSO 앱 확장입니다.
확장 식별자 및 팀 식별자 값이 함께 작동합니다.플랫폼 SSO>인증 방법
(macOS 14 이상)암호, UserSecureEnclave 또는 SmartCard 1단계 - 인증 방법 결정(이 문서)에서 선택한 플랫폼 SSO 인증 방법을 선택합니다.
이 설정은 macOS 14 이상에 적용됩니다. macOS 13의 경우 인증 방법(사용되지 않음) 설정을 사용합니다.플랫폼 SSO>공유 디바이스 키
사용(macOS 14 이상)Enabled 사용하도록 설정하면 플랫폼 SSO는 동일한 디바이스의 모든 사용자에 대해 동일한 서명 및 암호화 키를 사용합니다.
macOS 13.x에서 14.x로 업그레이드하는 사용자에게 다시 등록하라는 메시지가 표시됩니다.등록 토큰 {{DEVICEREGISTRATION}}
이 값을 복사하여 설정에 붙여넣습니다. 중괄호를 포함해야 합니다.
이 등록 토큰에 대해 자세히 알아보려면 Microsoft Entra 디바이스 등록 구성으로 이동합니다.
이 설정을 사용하려면 설정도 구성AuthenticationMethod
해야 합니다.
- macOS 13 디바이스만 사용하는 경우 인증 방법(사용되지 않음) 설정을 구성합니다.
- macOS 14 이상 디바이스만 사용하는 경우 플랫폼 SSO>인증 방법 설정을 구성합니다.
- macOS 13 및 macOS 14 이상 디바이스가 혼합된 경우 동일한 프로필에서 두 인증 설정을 모두 구성합니다.화면 잠금 동작 처리 안 함 처리 안 함으로 설정하면 SSO 없이 요청이 계속됩니다. 사용자 매핑>에 대한 토큰계정 이름 preferred_username
이 값을 복사하여 설정에 붙여넣습니다.
이 토큰은 entrapreferred_username
특성 값이 macOS 계정의 계정 이름 값에 사용되도록 지정합니다.사용자 매핑>에 대한 토큰전체 이름 name
이 값을 복사하여 설정에 붙여넣습니다.
이 토큰은 entraname
클레임이 macOS 계정의 전체 이름 값에 사용되도록 지정합니다.팀 식별자: UBF8T346G9
이 값을 복사하여 설정에 붙여넣습니다.
이 식별자는 Enterprise SSO 플러그 인 앱 확장의 팀 식별자입니다.유형 리디렉션 URL 다음 URL을 모두 복사하여 붙여넣습니다. https://login.microsoftonline.com
https://login.microsoft.com
https://sts.windows.net
환경이 Azure Government 또는 Azure 중국 21Vianet과 같은 소버린 클라우드 도메인을 허용해야 하는 경우 다음 URL도 추가합니다.
https://login.partner.microsoftonline.cn
https://login.chinacloudapi.cn
https://login.microsoftonline.us
https://login-us.microsoftonline.com
이러한 URL 접두사는 SSO 앱 확장을 수행하는 ID 공급자입니다. URL은 리디렉션 페이로드에 필요하며 자격 증명 페이로드에는 무시됩니다.
이러한 URL에 대한 자세한 내용은 Apple 디바이스용 Microsoft Enterprise SSO 플러그 인을 참조하세요.중요
사용자 환경에 macOS 13 및 macOS 14 이상 디바이스가 혼합되어 있는 경우 동일한 프로필에서 플랫폼 SSO>인증 방법 및 인증 방법(사용되지 않음) 인증 설정을 구성합니다.
프로필이 준비되면 다음 예제와 비슷합니다.
다음을 선택합니다.
범위 태그(선택 사항)에서 프로필을 특정 IT 그룹(예:
US-NC IT Team
또는JohnGlenn_ITDepartment
)으로 필터링하는 태그를 할당합니다. scope 태그에 대한 자세한 내용은 분산 IT에 RBAC 역할 및 scope 태그 사용을 참조하세요.다음을 선택합니다.
할당에서 프로필을 받는 사용자 또는 디바이스 그룹을 선택합니다. 사용자 선호도가 있는 디바이스의 경우 사용자 또는 사용자 그룹에 할당합니다. 사용자 선호도 없이 등록된 여러 사용자가 있는 디바이스의 경우 디바이스 또는 디바이스 그룹에 할당합니다.
프로필 할당에 대한 자세한 내용은 사용자 및 디바이스 프로필 할당을 참조하세요.
다음을 선택합니다.
검토 + 만들기에서 설정을 검토합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책은 프로필 목록에도 표시됩니다.
다음에 디바이스에서 구성 업데이트를 확인할 때 구성한 설정이 적용됩니다.
3단계 - macOS용 회사 포털 앱 배포
macOS용 회사 포털 앱은 Microsoft Enterprise SSO 플러그 인을 배포하고 설치합니다. 이 플러그 인은 플랫폼 SSO를 사용하도록 설정합니다.
Intune 사용하여 회사 포털 앱을 추가하고 macOS 디바이스에 필요한 앱으로 배포할 수 있습니다.
- macOS용 회사 포털 앱을 추가하면 단계가 나열됩니다.
- organization 정보를 포함하도록 회사 포털 앱을 구성합니다(선택 사항). 단계를 보려면 Intune 회사 포털 앱, 회사 포털 웹 사이트 및 Intune 앱을 구성하는 방법을 참조하세요.
플랫폼 SSO용 앱을 구성하는 특정 단계는 없습니다. 최신 회사 포털 앱이 Intune 추가되고 macOS 디바이스에 배포되었는지 확인합니다.
이전 버전의 회사 포털 앱이 설치된 경우 Platform SSO가 실패합니다.
4단계 - 디바이스 등록 및 정책 적용
플랫폼 SSO를 사용하려면 다음 방법 중 하나를 사용하여 Intune 디바이스에 MDM을 등록해야 합니다.
organization 소유 디바이스의 경우 다음을 수행할 수 있습니다.
- Apple Business Manager 또는 Apple School Manager를 사용하여 자동화된 디바이스 등록 정책을 만듭니다.
- Apple Configurator를 사용하여 직접 등록 정책을 만듭니다.
개인 소유 디바이스의 경우 디바이스 등록 정책을 만듭니다. 이 등록 방법을 사용하면 최종 사용자가 회사 포털 앱을 열고 Microsoft Entra ID 로그인합니다. 성공적으로 로그인하면 등록 정책이 적용됩니다.
새 디바이스의 경우 등록 정책을 포함하여 필요한 모든 정책을 미리 만들고 구성하는 것이 좋습니다. 그런 다음 디바이스가 Intune 등록하면 정책이 자동으로 적용됩니다.
Intune 이미 등록된 기존 디바이스의 경우 사용자 또는 사용자 그룹에 플랫폼 SSO 정책을 할당합니다. 다음에 디바이스가 Intune 서비스와 동기화되거나 검사 때 사용자가 만든 플랫폼 SSO 정책 설정을 받습니다.
5단계 - 디바이스 등록
디바이스가 정책을 수신하면 알림 센터에 표시되는 등록 필수 알림이 있습니다.
최종 사용자는 이 알림을 선택하고, organization 계정으로 Microsoft Entra ID 플러그 인에 로그인하고, 필요한 경우 MFA(다단계 인증)를 완료합니다.
참고
MFA는 Microsoft Entra 기능입니다. 테넌트에서 MFA가 사용하도록 설정되어 있는지 확인합니다. 다른 앱 요구 사항을 포함하여 자세한 내용은 Microsoft Entra 다단계 인증으로 이동하세요.
성공적으로 인증되면 디바이스가 organization Microsoft Entra 조인되고 WPJ(작업 공간 조인) 인증서가 디바이스에 바인딩됩니다.
다음 문서에서는 등록 방법에 따라 사용자 환경을 보여 줍니다.
- Microsoft Entra ID 사용하여 Mac 디바이스에 조인합니다.
- macOS Platform SSO를 사용하여 OOBE 중에 Microsoft Entra ID 사용하여 Mac 디바이스에 조인합니다.
6단계 - 디바이스의 설정 확인
플랫폼 SSO 등록이 완료되면 플랫폼 SSO가 구성되어 있는지 확인할 수 있습니다. 단계를 보려면 Microsoft Entra ID - 디바이스 등록 상태 확인으로 이동합니다.
등록된 디바이스를 Intune 설정>개인 정보 및 보안> 프로필로 이동하면됩니다. 플랫폼 SSO 프로필은 아래에 com.apple.extensiblesso Profile
표시됩니다. 프로필을 선택하여 URL을 포함하여 구성한 설정을 확인합니다.
플랫폼 SSO 문제를 해결하려면 macOS Platform Single Sign-On 알려진 문제 및 문제 해결로 이동합니다.
7단계 - 기존 SSO 앱 확장 프로필 할당 취소
설정 카탈로그 정책이 작동하는지 확인한 후 Intune 디바이스 기능 템플릿을 사용하여 만든 기존 SSO 앱 확장 프로필을 할당 취소합니다.
두 정책을 모두 유지하면 충돌이 발생할 수 있습니다.
비 Microsoft 앱 및 Microsoft Enterprise SSO 확장 설정
이전에 Microsoft Enterprise SSO 확장을 사용했거나 비 Microsoft 앱에서 SSO를 사용하도록 설정하려는 경우 기존 플랫폼 SSO 설정 카탈로그 정책에 확장 데이터 설정을 추가합니다.
확장 데이터 설정은 열린 텍스트 필드와 유사한 개념입니다. 필요한 값을 구성할 수 있습니다.
이 섹션에서는 확장 데이터 설정을 사용하여 다음을 수행합니다.
- 이전 Microsoft Enterprise SSO 확장 Intune 정책에서 사용한 설정을 구성합니다.
- 비 Microsoft 앱에서 SSO를 사용하도록 허용하는 설정을 구성합니다.
이 섹션에서는 추가해야 하는 최소 권장 설정을 나열합니다. 이전 Microsoft Enterprise SSO 확장 정책에서 더 많은 설정을 구성했을 수 있습니다. 이전 Microsoft Enterprise SSO 확장 정책에서 구성한 다른 키 & 값 쌍 설정을 추가하는 것이 좋습니다.
그룹에 할당된 SSO 정책은 하나만 있어야 합니다. 따라서 플랫폼 SSO를 사용하는 경우 2단계 - Intune 플랫폼 SSO 정책 만들기에서 만든 플랫폼 SSO 설정 카탈로그 정책에서 플랫폼 SSO 설정 및 Microsoft Enterprise SSO 확장 설정을 구성해야 합니다(이 문서).
다음 설정은 일반적으로 비 Microsoft 애플리케이션에 대한 SSO 지원 구성을 포함하여 SSO 설정을 구성하는 데 권장됩니다.
기존 플랫폼 SSO 설정 카탈로그 정책에서 확장 데이터를 추가합니다.
Intune 관리 센터(디바이스>디바이스> 관리구성)에서 기존 플랫폼 SSO 설정 카탈로그 정책을 선택합니다.
속성>구성 설정에서설정 추가편집>을 선택합니다.
설정 선택기에서 인증을 확장하고 SSO(Extensible Single Sign On)를 선택합니다.
목록에서 확장 데이터를 선택하고 설정 선택기를 닫습니다.
확장 데이터에서 다음 키와 값을 추가합니다.
키 타이핑 값 설명 AppPrefixAllowList 문자열 com.microsoft.,com.apple.
이 값을 복사하여 설정에 붙여넣습니다.
AppPrefixAllowList 를 사용하면 SSO를 사용할 수 있는 앱을 사용하여 앱 공급업체 목록을 만들 수 있습니다. 필요에 따라 이 목록에 더 많은 앱 공급업체를 추가할 수 있습니다.browser_sso_interaction_enabled 정수 1
권장 브로커 설정을 구성합니다. disable_explicit_app_prompt 정수 1
권장 브로커 설정을 구성합니다. 다음 예제에서는 권장되는 구성을 보여줍니다.
다음을 선택하여 변경 내용을 저장하고 정책을 완료합니다. 정책이 사용자 또는 그룹에 이미 할당된 경우 이러한 그룹은 다음에 Intune 서비스와 동기화할 때 정책 변경 내용을 받습니다.
최종 사용자 환경 설정
2단계 - Intune 플랫폼 SSO 정책 만들기에서 설정 카탈로그 프로필을 만들 때 구성할 수 있는 더 많은 선택적 설정이 있습니다.
다음 설정을 사용하면 최종 사용자 환경을 사용자 지정하고 사용자 권한에 대한 보다 세부적인 제어를 제공할 수 있습니다. 문서화되지 않은 플랫폼 SSO 설정은 지원되지 않습니다.
플랫폼 SSO 설정 | 사용 가능한 값 | 사용 현황 |
---|---|---|
계정 표시 이름 | 모든 문자열 값입니다. | 최종 사용자가 플랫폼 SSO 알림에 표시되는 organization 이름을 사용자 지정합니다. |
로그인 시 사용자 만들기 사용 | 사용 하거나 사용하지 않도록 설정합니다. | 모든 조직 사용자가 Microsoft Entra 자격 증명을 사용하여 디바이스에 로그인하도록 허용합니다. 새 로컬 계정을 만들 때 제공된 사용자 이름과 암호는 사용자의 Microsoft Entra ID UPN(user@contoso.com ) 및 암호와 동일해야 합니다. |
새 사용자 권한 부여 모드 | 표준, 관리 또는 그룹 | 플랫폼 SSO를 사용하여 계정을 만들 때 사용자가 로그인할 때 사용할 수 있는 일회성 권한입니다. 현재 표준 및 관리 값이 지원됩니다. 표준 모드를 사용하려면 디바이스에 하나 이상의 관리 사용자가 필요합니다. |
사용자 권한 부여 모드 | 표준, 관리 또는 그룹 | 사용자가 플랫폼 SSO를 사용하여 인증할 때마다 사용자가 로그인할 때마다 부여되는 영구 권한입니다. 현재 표준 및 관리 값이 지원됩니다. 표준 모드를 사용하려면 디바이스에 하나 이상의 관리 사용자가 필요합니다. |
기타 MDM
MDM이 플랫폼 SSO를 지원하는 경우 다른 MDM(모바일 디바이스 관리 서비스)에서 플랫폼 SSO를 구성할 수 있습니다. 다른 MDM 서비스를 사용하는 경우 다음 지침을 사용합니다.
이 문서에 나열된 설정은 구성해야 하는 Microsoft 권장 설정입니다. MDM 서비스 정책에서 이 문서의 설정 값을 복사/붙여넣을 수 있습니다.
MDM 서비스의 구성 단계는 다를 수 있습니다. MDM 서비스 공급업체와 협력하여 이러한 플랫폼 SSO 설정을 올바르게 구성하고 배포하는 것이 좋습니다.
플랫폼 SSO를 사용한 디바이스 등록은 더 안전하며 하드웨어 바인딩된 디바이스 인증서를 사용합니다. 이러한 변경 내용은 디바이스 규정 준수 파트너와의 통합과 같은 일부 MDM 흐름에 영향을 줄 수 있습니다.
MDM이 플랫폼 SSO를 테스트하고, 소프트웨어가 플랫폼 SSO와 제대로 작동하는지 인증하고, 플랫폼 SSO를 사용하는 고객을 지원할 준비가 되었는지 이해하려면 MDM 서비스 공급업체와 상의해야 합니다.
일반적인 오류
Platform SSO를 구성할 때 다음과 같은 오류가 표시될 수 있습니다.
10001: misconfiguration in the SSOe payload.
이 오류는 다음과 같은 경우에 발생할 수 있습니다.
- 설정 카탈로그 프로필에 구성되지 않은 필수 설정이 있습니다.
- 리디렉션 유형 페이로드에 적용되지 않도록 구성한 설정 카탈로그 프로필에 설정이 있습니다.
설정 카탈로그 프로필에서 구성하는 인증 설정은 macOS 13.x 및 14.x 디바이스에 대해 다릅니다.
사용자 환경에 macOS 13 및 macOS 14 디바이스가 있는 경우 하나의 설정 카탈로그 정책을 만들고 동일한 정책에서 해당 인증 설정을 구성해야 합니다. 이 정보는 2단계 - Intune 플랫폼 SSO 정책 만들기(이 문서)에 설명되어 있습니다.
10002: multiple SSOe payloads configured.
여러 SSO 확장 페이로드가 디바이스에 적용되고 충돌합니다. 디바이스에는 하나의 확장 프로필만 있어야 하며 해당 프로필은 설정 카탈로그 프로필이어야 합니다.
이전에 디바이스 기능 템플릿을 사용하여 SSO 앱 확장 프로필을 만든 경우 해당 프로필을 할당 취소합니다. 설정 카탈로그 프로필은 디바이스에 할당해야 하는 유일한 프로필입니다.