Ingressar um dispositivo Mac com o Microsoft Entra ID usando o Portal da Empresa (versão prévia)

Neste tutorial, você aprenderá a registrar um dispositivo Mac com o logon único da plataforma macOS (PSSO) usando o Portal da Empresa e o registro de MDM do Intune com o ingresso do Microsoft Entra. Há três métodos pelos quais você pode registrar um dispositivo Mac com PSSO, enclave seguro, cartão inteligente ou senha. É recomendável usar o enclave seguro ou o cartão inteligente para obter a melhor experiência sem senha; no entanto, é importante observar que este método será predefinido pelo administrador da sua empresa usando o Microsoft Intune.

Pré-requisitos

• Versão mínima recomendada do macOS 14 Sonoma. Embora haja suporte para o macOS 13 Ventura, é altamente recomendável usar o macOS 14 Sonoma para obter a melhor experiência.
• Aplicativo Portal da Empresa do Microsoft Intune versão 5.2404.0 ou posterior
• Um dispositivo Mac registrado no MDM (gerenciamento de dispositivo móvel) com o Microsoft Intune.
• Um conteúdo de MDM de extensão de SSO definido com configurações de PSSO no Intune por um administrador
• Microsoft Authenticator (recomendado), o usuário deve estar registrado em alguma forma de autenticação multifator (MFA) do Microsoft Entra ID para concluir o registro do dispositivo.
• Para configuração de cartão inteligente, autenticação baseada em certificado configurada e habilitada. Um cartão inteligente carregado com um certificado para autenticação com o Microsoft Entra e o cartão inteligente emparelhado com a conta local.

MDM do Intune e ingresso do Microsoft Entra usando o Portal da Empresa

Para registrar um dispositivo Mac com PSSO, primeiro você deve registrar seu dispositivo no Microsoft Intune usando o aplicativo Portal da Empresa. Depois de registrado, você pode usar enclave seguro, cartão inteligente ou senha para registrar seu dispositivo com PSSO.

1. Abra o aplicativo Portal da Empresa e selecione Entrar.

2. Insira suas credenciais do Microsoft Entra ID e selecione Avançar.

3. Você será solicitado a configurar o acesso de {Company}. O espaço reservado "Empresa" é diferente dependendo da configuração. Selecione Iniciar e, na próxima tela, selecione Continuar.

   

4. Você é apresentado a etapas para instalar o perfil de gerenciamento, que deve ser configurado por um administrador usando o Microsoft Intune. Selecione Baixar perfil.

   

5. Abra Configurações>Privacidade e segurança>Perfis se não aparecer automaticamente. Selecione Perfil de gerenciamento.

   

6. Selecione Instalar para obter acesso aos recursos da empresa.

   

7. Insira a senha do dispositivo local na janela Perfis que aparece e selecione Registrar.

   

8. Você verá uma notificação no Portal da Empresa informando que a instalação foi concluída. Selecione Concluído.

Registro de SSO da plataforma

Agora que o dispositivo está em conformidade com o Portal da Empresa, você precisa registrá-lo com PSSO. Um pop-up de Registro obrigatório é exibido no canto superior direito da tela após a conclusão bem-sucedida do MDM do Intune MDM e ingresso do Microsoft Entra usando o Portal da Empresa. Use as guias para registrar seu dispositivo com PSSO usando enclave seguro, cartão inteligente ou senha.

Enclave seguro

1. Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se. Para usuários do macOS 14 Sonoma, você verá uma solicitação para registrar o seu dispositivo no Microsoft Entra. Esta solicitação não aparece no macOS 13 Ventura.

   

2. Depois que sua conta for desbloqueada com o Touch ID ou senha, selecione a conta para entrar, insira suas credenciais de entrada e selecione Avançar.

3. A MFA é necessária como parte deste fluxo de entrada. Abra o seu aplicativo Authenticator (recomendado) ou use seus outros métodos de MFA registrados e insira o número exibido na tela para concluir o registro.

4. Quando o fluxo de MFA for concluído e a tela de carregamento desaparecer, seu dispositivo deverá ser registrado com PSSO. Agora você pode usar o PSSO para acessar os recursos de aplicativo da Microsoft.

Habilitar a Credencial de Plataforma para macOS para uso como uma chave de acesso

Configurar o seu dispositivo usando o método Secure Enclave permite que você use a credencial resultante salva no Mac como uma chave de acesso no navegador. Para habilitar esta opção;

1. Abra o aplicativo Configurações e navegue até Senhas>Opções de senha.

2. Em Opções de senha, procure por Usar senhas e chaves de acesso de e habilite Portal da Empresa por meio do botão de alternância.

   

Cartão inteligente

Emparelhar o cartão inteligente com sua conta local

Antes de registrar o seu dispositivo com um cartão inteligente, você precisa emparelhar o cartão inteligente com a sua conta local. Abra o aplicativo Terminal e execute os comandos a seguir para localizar o hash de chave pública do certificado de cartão inteligente e emparelhá-lo com sua conta local e verificar se ele foi bem-sucedido. Isso precisa ser executado usando sudo.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Registrar o seu dispositivo com o cartão inteligente

1. Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se. Se o cartão inteligente estiver emparelhado com a sua conta local, você verá uma solicitação para inserir o PIN do cartão inteligente

   

2. O administrador pode ter configurado a MFA para o fluxo de registro do dispositivo. Nesse caso, abra o aplicativo Authenticator em seu dispositivo móvel e conclua o fluxo de MFA.

   

3. Se o certificado ainda não estiver emparelhado com a conta local, o usuário verá uma solicitação para usar o cartão inteligente. Selecione Cartão inteligente.

4. Você precisará inserir o PIN do cartão inteligente. Insira seu pin e selecione Inserir pin para o cartão inteligente. Quando você insere o PIN correto, o registro PSSO com autenticação de cartão inteligente é concluído.

5. Agora você pode usar o PSSO para acessar os recursos do aplicativo Microsoft e desbloquear o dispositivo com o PIN de cartão inteligente. Você precisará usar a senha local para fazer logon após uma reinicialização para desbloquear o acesso ao conjunto de chaves.

Senha

1. Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se.

   • Para usuários do macOS 13 Ventura, você verá um prompt para registrar o seu dispositivo com o Microsoft Entra ID. Insira suas credenciais de entrada e selecione Avançar.

   

2. Você será solicitado a registrar o seu dispositivo com o Microsoft Entra ID. Insira suas credenciais de entrada e selecione Avançar.

   1. O administrador pode ter configurado a MFA para o fluxo de registro do dispositivo. Nesse caso, abra o aplicativo Authenticator em seu dispositivo móvel e conclua o fluxo de MFA.

   

3. Quando uma janela de Logon único for exibida, insira sua senha de conta local e selecione OK. Se você estiver no macOS 14,

   

4. Se a senha local for diferente da senha do Microsoft Entra ID, um pop-up Autenticação necessária será exibido no canto superior direito da tela. Passe o mouse sobre a faixa e selecione Entrar.

5. Quando uma janela do Microsoft Entra for exibida, insira a sua senha do Microsoft Entra ID e selecione Entrar.

   

6. Depois de desbloquear o Mac, você poderá usar o PSSO para acessar os recursos de aplicativo da Microsoft. A partir deste ponto, a sua senha antiga não funciona porque o PSSO está habilitado para o seu dispositivo.

Verificar o status de registro do dispositivo

Depois de concluir as etapas acima, lembre-se de verificar o status de registro do dispositivo.

1. Para verificar se o registro foi concluído com sucesso, navegue até Configurações e selecione Usuários e grupos.

2. Selecione Editar ao lado de Servidor de Conta de Rede e verifique se o SSO da Plataforma está listado como Registrado.

3. Para verificar o método usado para autenticação, navegue até o seu nome de usuário na janela Usuários e grupos e selecione o ícone Informações. Verifique o método listado, que deve ser Secure Enclave, Cartão inteligente ou Senha.

   Observação

   Você também pode usar o aplicativo Terminal para verificar o status do registro. Execute o comando a seguir para verificar o status do registro do dispositivo. Você deve ver na parte inferior da saída que os tokens SSO são recuperados. Para usuários do macOS 13 Ventura, este comando é necessário para verificar o status do registro.

   app-sso platform -s
   

Atualizar o seu dispositivo Mac para habilitar o PSSO

Para usuários do macOS cujo dispositivo já esteja registrado no Portal da Empresa, o administrador poderá habilitar o PSSO atualizando o perfil de extensão de SSO do dispositivo. Depois que o perfil PSSO for implantado e instalado em seu dispositivo, será solicitado que você registre o seu dispositivo com PSSO por meio da notificação Registro necessário no canto superior direito da tela. Isso removerá o registro de SSO antigo do seu dispositivo no lugar do novo registro de PSSO.

Embora seja recomendável fazer isso imediatamente, você pode optar por selecionar isto e iniciar o registro do dispositivo em um momento mais conveniente.

Confira também

• Ingressar um dispositivo Mac com o Microsoft Entra ID durante a experiência pronta para uso
• Opções de autenticação sem senha para o Microsoft Entra ID
• Planejar uma implantação de autenticação sem senha no Microsoft Entra ID
• Plug-in do Microsoft Enterprise SSO para dispositivos Apple