Ingressar um dispositivo Mac com o Microsoft Entra ID usando o Portal da Empresa (versão prévia)

Neste tutorial, você aprenderá como registrar um dispositivo Mac com o Single Sign-On (SSO) da Plataforma macOS usando o "Portal da Empresa" e o registro de MDM do Intune com o Microsoft Entra Join. Há três métodos pelos quais você pode registrar um dispositivo Mac com PSSO, enclave seguro, cartão inteligente ou senha. É recomendável usar o enclave seguro ou o cartão inteligente para obter a melhor experiência sem senha; no entanto, é importante observar que este método será predefinido pelo administrador da sua empresa usando o Microsoft Intune.

Pré-requisitos

• Versão mínima recomendada do macOS 14 Sonoma. Embora haja suporte para o macOS 13 Ventura, é altamente recomendável usar o macOS 14 Sonoma para obter a melhor experiência.
• Aplicativo Portal da Empresa do Microsoft Intune versão 5.2404.0 ou posterior
• Um dispositivo Mac registrado no MDM (gerenciamento de dispositivo móvel) com o Microsoft Intune.
• Um conteúdo de MDM de extensão de SSO definido com configurações de PSSO no Intune por um administrador
• Microsoft Authenticator (recomendado), o usuário deve estar registrado em alguma forma de autenticação multifator (MFA) do Microsoft Entra ID para concluir o registro do dispositivo.
• Para configuração de cartão inteligente, autenticação baseada em certificado configurada e habilitada. Um cartão inteligente carregado com um certificado para autenticação com o Microsoft Entra e o cartão inteligente emparelhado com a conta local.

MDM do Intune e ingresso do Microsoft Entra usando o Portal da Empresa

Para registrar um dispositivo Mac com PSSO, primeiro você deve registrar seu dispositivo no Microsoft Intune usando o aplicativo Portal da Empresa. Depois de registrado, você pode usar enclave seguro, cartão inteligente ou senha para registrar seu dispositivo com PSSO.

1. Abra o aplicativo Portal da Empresa e selecione Entrar.

2. Insira suas credenciais do Microsoft Entra ID e selecione Avançar.

3. Você será solicitado a configurar o acesso de {Company}. O espaço reservado "Empresa" é diferente dependendo da configuração. Selecione Iniciar e, na próxima tela, selecione Continuar.

   

4. Você é apresentado(a) às etapas para instalar o perfil de gerenciamento. O perfil de gerenciamento deveria ter sido configurado por um administrador usando o Microsoft Intune. Selecione Baixar perfil.

   

5. Abra Configurações>Privacidade e segurança>Perfis se não aparecer automaticamente. Selecione Perfil de gerenciamento.

   

6. Selecione Instalar para obter acesso aos recursos da empresa.

   

7. Insira a senha do dispositivo local na janela Perfis que aparece e selecione Registrar.

   

8. Você verá uma notificação no Portal da Empresa de que a instalação está concluída. Selecione Concluído.

Registro de SSO da plataforma

Agora que o dispositivo está em conformidade com o Portal da Empresa, você precisa registrá-lo com PSSO. Um pop-up de Registro obrigatório é exibido no canto superior direito da tela após a conclusão bem-sucedida do MDM do Intune MDM e ingresso do Microsoft Entra usando o Portal da Empresa. Use as guias para registrar seu dispositivo com PSSO usando enclave seguro, cartão inteligente ou senha.

Enclave seguro

1. Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se. Para usuários do macOS 14 Sonoma, você verá um prompt para registrar seu dispositivo no Microsoft Entra. Esta solicitação não aparece no macOS 13 Ventura.

   

2. Depois que sua conta for desbloqueada com o Touch ID ou senha, selecione a conta para entrar, insira suas credenciais de entrada e selecione Avançar.

3. A MFA é necessária como parte deste fluxo de entrada. Abra o seu aplicativo Authenticator (recomendado) ou use seus outros métodos de MFA registrados e insira o número exibido na tela para concluir o registro.

4. Quando o fluxo de MFA for concluído e a tela de carregamento desaparecer, seu dispositivo deverá ser registrado com PSSO. Agora você pode usar o PSSO para acessar os recursos de aplicativo da Microsoft.

Habilitar a Credencial de Plataforma para macOS para uso como uma chave de acesso

Configurar o seu dispositivo usando o método Secure Enclave permite que você use a credencial resultante salva no Mac como uma chave de acesso no navegador. Para habilitar esta opção;

1. Abra o aplicativo Configurações e navegue até Senhas>Opções de senha.

2. Em Opções de senha, procure por Usar senhas e chaves de acesso de e habilite Portal da Empresa por meio do botão de alternância.

   

Cartão inteligente

Emparelhar o cartão inteligente com sua conta local

Antes de registrar o seu dispositivo com um cartão inteligente, você precisa emparelhar o cartão inteligente com a sua conta local. Abra o aplicativo Terminal e execute os comandos a seguir para localizar o hash de chave pública do certificado de cartão inteligente e emparelhá-lo com sua conta local e verificar se ele foi bem-sucedido. Isso precisa ser executado usando sudo.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Registrar o seu dispositivo com o cartão inteligente

1. Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se. Se o cartão inteligente estiver emparelhado com sua conta local, você verá um prompt para inserir o pino de cartão inteligente

   

2. Verifique se o administrador configurou a MFA para o fluxo de registro do dispositivo. Nesse caso, abra o aplicativo Authenticator em seu dispositivo móvel e conclua o fluxo de MFA.

   

3. Se o certificado ainda não estiver emparelhado com a conta local, o usuário verá um prompt para usar o cartão inteligente. Selecione Cartão inteligente.

4. Você precisará inserir o PIN do cartão inteligente. Insira seu pin e selecione Inserir pin para o cartão inteligente. Quando você insere o PIN correto, o registro PSSO com autenticação de cartão inteligente é concluído.

5. Agora você pode usar o PSSO para acessar os recursos do aplicativo Microsoft e desbloquear o dispositivo com o PIN de cartão inteligente. Você precisará usar a senha local para fazer logon após uma reinicialização para desbloquear o acesso ao conjunto de chaves.

Senha

1. Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se.

   • Para usuários do macOS 13 Ventura, você verá um prompt para registrar seu dispositivo com a ID do Microsoft Entra. Insira suas credenciais de entrada e selecione Avançar.

   

2. Você será solicitado a registrar o seu dispositivo com o Microsoft Entra ID. Insira suas credenciais de entrada e selecione Avançar.

   1. Verifique se o administrador configurou a MFA para o fluxo de registro do dispositivo. Nesse caso, abra o aplicativo Authenticator em seu dispositivo móvel e conclua o fluxo de MFA.

   

3. Quando uma janela de Logon único for exibida, insira sua senha de conta local e selecione OK. Se você estiver no macOS 14, será solicitado que você desbloqueie sua conta local com antecedência.

   

4. Se a senha local for diferente da senha do Microsoft Entra ID, um pop-up Autenticação necessária será exibido no canto superior direito da tela. Passe o mouse sobre a faixa e selecione Entrar.

5. Quando uma janela do Microsoft Entra for exibida, insira a sua senha do Microsoft Entra ID e selecione Entrar.

   

6. Depois de desbloquear o Mac, você poderá usar o PSSO para acessar os recursos de aplicativo da Microsoft. A partir deste ponto, a sua senha antiga não funciona porque o PSSO está habilitado para o seu dispositivo.

Verificar o status de registro do dispositivo

Depois de concluir as etapas acima, lembre-se de verificar o status de registro do dispositivo.

1. Para verificar se o registro foi concluído com sucesso, navegue até Configurações e selecione Usuários e grupos.

2. Selecione Editar ao lado de Servidor de Conta de Rede e verifique se o SSO da Plataforma está listado como Registrado.

3. Para verificar o método usado para autenticação, navegue até o seu nome de usuário na janela Usuários e grupos e selecione o ícone Informações. Verifique o método listado, que deve ser Secure Enclave, Cartão inteligente ou Senha.

   Observação

   Você também pode usar o aplicativo Terminal para verificar o status do registro. Execute o comando a seguir para verificar o status do registro do dispositivo. Você deve ver na parte inferior da saída que os tokens SSO são recuperados. Para usuários do macOS 13 Ventura, este comando é necessário para verificar o status do registro.

   app-sso platform -s
   

Atualizar o seu dispositivo Mac para habilitar o PSSO

Para usuários do macOS cujo dispositivo já esteja registrado no Portal da Empresa, o administrador poderá habilitar o PSSO atualizando o perfil de extensão de SSO do dispositivo. Depois que o perfil PSSO for implantado e instalado em seu dispositivo, será solicitado que você registre o seu dispositivo com PSSO por meio da notificação Registro necessário no canto superior direito da tela. Isso remove o registro de SSO antigo do seu dispositivo no lugar do novo registro PSSO.

Embora seja recomendável fazer isso imediatamente, você pode optar por selecionar isto e iniciar o registro do dispositivo em um momento mais conveniente.

Confira também

• Ingressar um dispositivo Mac com o Microsoft Entra ID durante a experiência pronta para uso
• Opções de autenticação sem senha para o Microsoft Entra ID
• Planejar uma implantação de autenticação sem senha no Microsoft Entra ID
• Plug-in do Microsoft Enterprise SSO para dispositivos Apple