Присоединение устройства Mac с идентификатором Microsoft Entra с помощью Корпоративный портал (предварительная версия)

В этом руководстве описано, как зарегистрировать устройство Mac с помощью единого входа на платформе macOS (PSSO) с помощью корпоративного портала и регистрации MDM Intune в Microsoft Entra Join. Существует три метода, в которых можно зарегистрировать устройство Mac с помощью PSSO, безопасного анклава, смарт-карты или пароля. Мы рекомендуем использовать безопасный анклава или смарт-карту для оптимального использования без пароля, однако важно отметить, что этот метод будет предустановлен администратором компании с помощью Microsoft Intune.

Необходимые компоненты

• Рекомендуемая минимальная версия macOS 14 Sonoma. Хотя macOS 13 Ventura поддерживается, настоятельно рекомендуется использовать macOS 14 Sonoma для лучшего опыта.
• Приложение Microsoft Intune Корпоративный портал версии 5.2404.0 или более поздней версии
• Устройство Mac, зарегистрированное в службе управления мобильными устройствами (MDM) с помощью Microsoft Intune.
• Настроенная полезные данные расширения SSO MDM с параметрами PSSO в Intune администратором
• Microsoft Authenticator (рекомендуется), чтобы завершить регистрацию устройства, необходимо зарегистрировать пользователя для определенной формы многофакторной проверки подлинности (MFA) идентификатора Microsoft Entra.
• Для настройки смарт-карты настроена и включена проверка подлинности на основе сертификатов. Смарт-карта, загруженная с сертификатом для проверки подлинности с помощью Microsoft Entra и смарт-карты, в паре с локальной учетной записью.

Присоединение к Intune MDM и Microsoft Entra с помощью Корпоративный портал

Чтобы зарегистрировать устройство Mac в PSSO, необходимо сначала зарегистрировать устройство в Microsoft Intune с помощью приложения Корпоративный портал. После регистрации вы можете использовать безопасный анклав, смарт-карту или пароль для регистрации устройства в PSSO.

1. Откройте приложение Корпоративный портал и выберите "Войти".

2. Введите учетные данные идентификатора Microsoft Entra и нажмите кнопку "Далее".

3. Вам будет предложено настроить доступ {Company}. Заполнитель "Компания" отличается в зависимости от настройки. Нажмите кнопку " Начать", а затем на следующем экране нажмите кнопку "Продолжить".

   

4. Вы узнаете, как установить профиль управления. Профиль управления должен быть настроен администратором с помощью Microsoft Intune. Выберите "Скачать профиль".

   

5. Откройте профили конфиденциальности и безопасности>параметров>, если они не отображаются автоматически. Выберите профиль управления.

   

6. Выберите " Установить", чтобы получить доступ к ресурсам компании.

   

7. Введите пароль локального устройства в появившемся окне профилей и выберите " Регистрация".

   

8. Вы видите уведомление в корпоративном портале о том, что установка завершена. Нажмите кнопку Готово.

Регистрация единого входа платформы

Теперь, когда устройство соответствует Корпоративный портал, необходимо зарегистрировать устройство в PSSO. Всплывающее окно "Требуется регистрация" отображается в правом верхнем углу экрана после успешного завершения intune MDM и Microsoft Entra Join с помощью Корпоративный портал. Используйте вкладки для регистрации устройства в PSSO с помощью безопасного анклава, смарт-карты или пароля.

Безопасный анклава

1. Перейдите в всплывающее окно "Требуется регистрация" в правом верхнем углу экрана. Наведите указатель мыши на всплывающее окно и выберите "Зарегистрировать". Для пользователей macOS 14 Sonoma появится запрос на регистрацию устройства в Microsoft Entra. Этот запрос не отображается для macOS 13 Ventura.

   

2. После разблокировки учетной записи с помощью Touch ID или пароля выберите учетную запись для входа, введите учетные данные входа и нажмите кнопку "Далее".

3. MFA требуется в рамках этого потока входа. Откройте приложение Authenticator (рекомендуется) или используйте другие зарегистрированные методы MFA и введите номер, отображаемый на экране, чтобы завершить регистрацию.

4. Когда поток MFA завершится, а экран загрузки исчезнет, устройство должно быть зарегистрировано в PSSO. Теперь вы можете использовать PSSO для доступа к ресурсам приложения Майкрософт.

Включение учетных данных платформы для macOS для использования в качестве секретного ключа

Настройка устройства с помощью безопасного метода анклава позволяет использовать полученные учетные данные, сохраненные в Mac в качестве секретного ключа в браузере. Чтобы включить его;

1. Откройте приложение Настройки и перейдите к Основные>Автозаполнение & Пароли.

2. В разделе Автозаполнение & паролейнайдите Автозаполнение из и включите Company Portal через переключатель.

   

Смарт-карта

Связывание смарт-карты с локальной учетной записью

Прежде чем зарегистрировать устройство с помощью смарт-карты, необходимо связать смарт-карту с локальной учетной записью. Откройте приложение терминала и выполните следующие команды, чтобы найти хэш открытого ключа сертификата смарт-карты и связать его с локальной учетной записью, а затем проверить успешность. Это необходимо выполнить с помощью sudo.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Регистрация устройства с помощью смарт-карты

1. Перейдите в всплывающее окно "Требуется регистрация" в правом верхнем углу экрана. Наведите указатель мыши на всплывающее окно и выберите "Зарегистрировать". Если смарт-карта связана с локальной учетной записью, появится запрос на ввод пин-кода смарт-карты.

   

2. Проверьте, настроен ли администратор MFA для потока регистрации устройств. В этом случае откройте приложение Authenticator на мобильном устройстве и завершите поток MFA.

   

3. Если сертификат еще не связан с локальной учетной записью, пользователь увидит запрос на использование смарт-карты. Выберите смарт-карту.

4. Вам будет предложено ввести пин-код для смарт-карты. Введите пин-код и нажмите клавишу ВВОД для смарт-карты. После ввода правильного пин-кода регистрация PSSO с проверкой подлинности смарт-карты завершена.

5. Теперь вы можете использовать PSSO для доступа к ресурсам приложения Майкрософт и разблокировать устройство с помощью пин-карты. После перезагрузки необходимо использовать локальный пароль, чтобы разблокировать доступ к цепочке ключей.

Пароль

1. Перейдите в всплывающее окно "Требуется регистрация" в правом верхнем углу экрана. Наведите указатель мыши на всплывающее окно и выберите "Зарегистрировать".

   • Для пользователей macOS 13 Ventura появится запрос на регистрацию устройства с помощью идентификатора Microsoft Entra. Введите учетные данные входа и нажмите кнопку "Далее".

   

2. Вам будет предложено зарегистрировать устройство с помощью идентификатора Microsoft Entra. Введите учетные данные входа и нажмите кнопку "Далее".

   1. Проверьте, настроен ли администратор MFA для потока регистрации устройств. В этом случае откройте приложение Authenticator на мобильном устройстве и завершите поток MFA.

   

3. Когда появится окно единого входа, введите пароль локальной учетной записи и нажмите кнопку "ОК". Если вы используете macOS 14, вам будет предложено разблокировать локальную учетную запись заранее.

   

4. Если ваш локальный пароль отличается от пароля идентификатора Microsoft Entra, всплывающее окно "Требуется проверка подлинности" отображается в правом верхнем углу экрана. Наведите указатель мыши на баннер и выберите "Войти".

5. Когда появится окно Microsoft Entra, введите пароль идентификатора Microsoft Entra и нажмите кнопку "Войти".

   

6. После разблокировки Mac теперь можно использовать PSSO для доступа к ресурсам приложения Майкрософт. В этом случае старый пароль не работает, так как для устройства включен единый вход.

Проверка состояния регистрации устройства

После выполнения описанных выше действий рекомендуется проверить состояние регистрации устройства.

1. Чтобы проверить успешность регистрации, перейдите в раздел "Параметры" и выберите "Пользователи и группы".

2. Выберите "Изменить " рядом с сервером учетной записи сети и убедитесь, что единый вход платформы указан как зарегистрированный.

3. Чтобы проверить метод, используемый для проверки подлинности, перейдите к имени пользователя в окне "Пользователи и группы" и выберите значок сведений. Проверьте указанный метод, который должен быть безопасным анклавами, смарт-картой или паролем.

   Примечание.

   Вы также можете использовать приложение терминала для проверки состояния регистрации. Выполните следующую команду, чтобы проверить состояние регистрации устройства. В нижней части выходных данных, которые извлекаются маркеры единого входа. Для пользователей macOS 13 Ventura эта команда требуется для проверки состояния регистрации.

   app-sso platform -s
   

Обновление устройства Mac для включения PSSO

Для пользователей macOS, устройство которых уже зарегистрировано в Корпоративный портал, администратор может включить PSSO, обновив профиль расширения единого входа устройства. После развертывания и установки профиля PSSO на устройстве появится запрос на регистрацию устройства в PSSO с помощью уведомления о регистрации в правом верхнем углу экрана. Это удаляет старую регистрацию единого входа с устройства и заменяет на новую регистрацию PSSO.

Хотя это рекомендуется сделать немедленно, вы можете выбрать это и начать регистрацию устройства в удобное время.

См. также

• Присоединение устройства Mac к идентификатору Microsoft Entra ID во время выхода из коробки
• Варианты проверки подлинности без пароля для Microsoft Entra ID
• Планирование развертывания проверки подлинности без пароля в идентификаторе Microsoft Entra
• Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple