在 Microsoft Intune 中为 macOS 设备配置平台 SSO

在 macOS 设备上,可以将平台 SSO 配置为使用无密码身份验证、Microsoft Entra ID用户帐户或智能卡) 启用单一登录 (SSO。 平台 SSO 是 Microsoft企业 SSO 插件SSO 应用扩展的增强。 平台 SSO 可以使用其Microsoft Entra ID凭据和触控 ID 将用户登录到其托管 Mac 设备。

此功能适用于:

  • macOS

Microsoft企业 SSO 插件Microsoft Entra ID包括两个 SSO 功能 - 平台 SSOSSO 应用扩展。 本文重点介绍如何使用Microsoft Entra ID为 macOS 设备配置平台 SSO, (公共预览版) 。

平台 SSO 的一些优势包括:

  • 包括 SSO 应用扩展。 不单独配置 SSO 应用扩展。
  • 使用硬件绑定到 Mac 设备的防钓鱼凭据实现无密码。
  • 登录体验类似于使用工作或学校帐户登录到 Windows 设备,就像用户使用Windows Hello 企业版一样。
  • 帮助最大程度地减少用户需要输入其Microsoft Entra ID凭据的次数。
  • 帮助减少用户需要记住的密码数。
  • 获取Microsoft Entra加入的好处,它允许任何组织用户登录到设备。
  • 包含在所有Microsoft Intune许可计划中

当 Mac 设备加入Microsoft Entra ID租户时,设备会获得工作区加入 (WPJ) 证书,该证书是硬件绑定的,只能由 Microsoft Enterprise SSO 插件访问。 若要访问使用条件访问保护的资源,应用和 Web 浏览器需要此 WPJ 证书。 配置了平台 SSO 后,SSO 应用扩展充当Microsoft Entra ID身份验证和条件访问的代理。

可以使用 设置目录配置平台 SSO。 策略准备就绪后,将策略分配给用户。 Microsoft建议用户在 Intune 中注册设备时分配策略。 但是,可以随时分配它,包括在现有设备上。

本文介绍如何在 Intune 中为 macOS 设备配置平台 SSO。

先决条件

步骤 1 - 确定身份验证方法

在 Intune 中创建平台 SSO 策略时,需要确定要使用的身份验证方法。

使用的平台 SSO 策略和身份验证方法会更改用户登录到设备的方式。

  • 配置平台 SSO 时,用户使用配置的身份验证方法登录到其 macOS 设备。
  • 不使用平台 SSO 时,用户使用本地帐户登录到其 macOS 设备。 然后,他们使用Microsoft Entra ID登录到应用和网站。

在此步骤中,使用信息了解身份验证方法的差异以及它们如何影响用户登录体验。

提示

Microsoft建议在配置平台 SSO 时使用 安全 Enclave 作为身份验证方法。

功能 安全 Enclave 智能卡 Password
无密码 (防钓鱼)
支持解锁的 TouchID
可用作密钥
安装

时必须执行 MFA始终建议使用多重身份验证 (MFA)
与 Entra ID 同步的本地 Mac 密码
macOS 13.x 支持 +
在 macOS 14.x 上受支持 +
(可选)允许新用户使用 entra ID 凭据 (macOS 14.x +)

安全 Enclave

使用 安全 Enclave 身份验证方法配置平台 SSO 时,SSO 插件使用硬件绑定加密密钥。 它不使用Microsoft Entra凭据对应用和网站的用户进行身份验证。

有关安全 Enclave 的详细信息,请转到 安全 Enclave (打开 Apple 网站) 。

安全 Enclave:

  • 被视为无密码,满足防钓鱼多重 (MFA) 要求。 它在概念上类似于 Windows Hello 企业版。 它还可以使用与Windows Hello 企业版相同的功能,例如条件访问。
  • 保留本地帐户用户名和密码的原样。 这些值不会更改。

    注意

    由于 Apple 的 FileVault 磁盘加密使用本地密码作为解锁密钥,因此此行为是设计造成的。

  • 设备重新启动后,用户必须输入本地帐户密码。 在此初始计算机解锁后,触控 ID 可用于解锁设备。
  • 解锁后,设备获取硬件支持的主刷新令牌 (PRT) 设备范围的 SSO。
  • 在 Web 浏览器中,可以使用 WebAuthN API 将此 PRT 密钥用作密钥。
  • 其设置可以使用用于 MFA 身份验证的身份验证应用启动,也可以Microsoft 临时访问传递 (TAP)
  • 启用Microsoft Entra ID密钥的创建和使用。

Password

使用密码身份验证方法配置平台 SSO 时,用户使用其Microsoft Entra ID用户帐户而不是本地帐户密码登录到设备。

此选项可在使用 Microsoft Entra ID 进行身份验证的应用之间启用 SSO。

使用 密码 身份验证方法:

  • Microsoft Entra ID密码将替换本地帐户密码,并且两个密码保持同步。

    注意

    不会从设备中完全删除本地帐户计算机密码。 由于 Apple 的 FileVault 磁盘加密使用本地密码作为解锁密钥,因此此行为是设计造成的。

  • 本地帐户用户名不会更改,并按原样保留。

  • 最终用户可以使用 Touch ID 登录到设备。

  • 用户和管理员需要记住和管理的密码更少。

  • 设备重新启动后,用户必须输入其Microsoft Entra ID密码。 在此初始计算机解锁后,触控 ID 可以解锁设备。

  • 解锁后,设备获取硬件绑定的主刷新令牌 (PRT) 凭据,用于Microsoft Entra ID SSO。

注意

配置的任何Intune密码策略也会影响此设置。 例如,如果你有阻止简单密码的密码策略,则此设置也会阻止简单密码。

确保Intune密码策略和/或合规性策略与Microsoft Entra密码策略匹配。 如果策略不匹配,则密码可能无法同步,并且最终用户将被拒绝访问。

智能卡

使用 Smart 卡 身份验证方法配置平台 SSO 时,用户可以使用智能卡证书和关联的 PIN 登录到设备,并向应用和网站进行身份验证。

此选项:

  • 被视为无密码。
  • 保留本地帐户用户名和密码的原样。 这些值不会更改。

有关详细信息,请转到在 iOS 和 macOS 上Microsoft Entra基于证书的身份验证

配置 keyvault 恢复 (可选)

使用密码同步身份验证时,可以启用 keyvault 恢复,以确保在用户忘记密码时可以恢复数据。 IT 管理员应查看 Apple 的文档,并评估使用机构 FileVault 恢复密钥是否适合他们。

步骤 2 - 在 Intune 中创建平台 SSO 策略

若要配置平台 SSO 策略,请使用以下步骤创建Intune设置目录策略。 Microsoft Enterprise SSO 插件需要列出的设置。

创建策略

  1. 登录到Microsoft Intune 管理中心

  2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

  3. 输入以下属性:

    • 平台:选择 macOS
    • 配置文件类型:选择 “设置目录”。
  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入策略的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,将策略命名为 macOS - 平台 SSO
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
  6. 选择 下一步

  7. 在“配置设置”中,选择“添加设置”。 在设置选取器中,展开“身份验证”,然后选择“可扩展单一登录 (SSO)

    显示“设置目录设置”选取器,并在Microsoft Intune中选择“身份验证和可扩展 SSO”类别的屏幕截图。

    在列表中,选择以下设置:

    • 身份验证方法 (仅) 弃用 ( macOS 13)
    • 扩展标识符
    • 展开 “平台 SSO”:
      • (macOS 14+) 选择身份验证方法
      • 选择 “令牌到用户映射”
      • 选择 “使用共享设备密钥”
    • 注册令牌
    • 屏幕锁定行为
    • 团队标识符
    • 类型
    • URL

    关闭设置选取器。

    提示

    可以在策略中配置更多平台 SSO 设置:

  8. 配置以下必需设置:

    名称 配置值 说明
    身份验证方法 (已弃用)
    仅 (macOS 13)
    PasswordUserSecureEnclave 选择在 步骤 1 - 确定 本文) (身份验证方法中选择的平台 SSO 身份验证方法。

    此设置仅适用于 macOS 13。 对于 macOS 14.0 及更高版本,请使用 平台 SSO>身份验证方法 设置。
    扩展标识符 com.microsoft.CompanyPortalMac.ssoextension 复制此值并将其粘贴到 设置中。

    此 ID 是配置文件运行 SSO 所需的 SSO 应用扩展。

    扩展标识符团队标识符值协同工作。
    平台 SSO>身份验证方法
    (macOS 14+)
    PasswordUserSecureEnclaveSmartCard 选择在 步骤 1 - 确定 本文) (身份验证方法中选择的平台 SSO 身份验证方法。

    此设置适用于 macOS 14 及更高版本。 对于 macOS 13,请使用 “身份验证方法 (已弃用) 设置。
    平台 SSO>使用共享设备密钥
    (macOS 14+)
    Enabled 启用后,平台 SSO 对同一设备上的所有用户使用相同的签名和加密密钥。

    系统会提示从 macOS 13.x 升级到 14.x 的用户再次注册。
    注册令牌 {{DEVICEREGISTRATION}} 复制此值并将其粘贴到 设置中。 必须包括大括号。

    若要了解有关此注册令牌的详细信息,请转到配置Microsoft Entra设备注册

    此设置还要求配置设置 AuthenticationMethod

    - 如果仅使用 macOS 13 设备,请配置 “身份验证方法 (已弃用) 设置。
    - 如果仅使用 macOS 14+ 设备,请配置 平台 SSO>身份验证方法 设置。
    - 如果混合使用 macOS 13 和 macOS 14+ 设备,请在同一配置文件中配置这两个身份验证设置。
    屏幕锁定行为 不处理 设置为 “不处理”时,请求将继续不执行 SSO。
    令牌到用户的映射>帐户名称 preferred_username 复制此值并将其粘贴到 设置中。

    此令牌指定 Entra preferred_username 属性值用于 macOS 帐户的“帐户名称”值。
    令牌到用户的映射>全名 name 复制此值并将其粘贴到 设置中。

    此令牌指定 Entra name 声明用于 macOS 帐户的“全名”值。
    团队标识符 UBF8T346G9 复制此值并将其粘贴到 设置中。

    此标识符是 Enterprise SSO 插件应用扩展的团队标识符。
    类型 Redirect
    URL 复制并粘贴以下所有 URL:

    https://login.microsoftonline.com
    https://login.microsoft.com
    https://sts.windows.net

    如果环境需要允许主权云域(如 Azure 政府 或 Azure 中国世纪互联),请添加以下 URL:

    https://login.partner.microsoftonline.cn
    https://login.chinacloudapi.cn
    https://login.microsoftonline.us
    https://login-us.microsoftonline.com
    这些 URL 前缀是执行 SSO 应用扩展的标识提供者。 重定向有效负载需要 URL,凭据有效负载将被忽略。

    有关这些 URL 的详细信息,请转到 适用于 Apple 设备的 Microsoft Enterprise SSO 插件

    重要

    如果你的环境中混合使用 macOS 13 和 macOS 14+ 设备,请在同一配置文件中配置平台 SSO>身份验证方法和身份验证方法 (弃用) 身份验证设置。

    配置文件准备就绪后,它类似于以下示例:

    显示Intune MDM 配置文件中建议的平台 SSO 设置的屏幕截图。

  9. 选择 下一步

  10. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请转到 为分布式 IT 使用 RBAC 角色和范围标记

    选择 下一步

  11. “分配”中,选择接收配置文件的用户或设备组。 对于具有用户相关性的设备,请分配给用户或用户组。 对于注册了多个用户且没有用户相关性的设备,请分配给设备或设备组。

    有关分配配置文件的详细信息,请转到 分配用户和设备配置文件

    选择 下一步

  12. “查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

下次设备检查配置更新时,将应用你配置的设置。

步骤 3 - 部署适用于 macOS 的 公司门户 应用

适用于 macOS 的 公司门户 应用部署并安装 Microsoft Enterprise SSO 插件。 此插件启用平台 SSO。

使用 Intune,可以添加 公司门户 应用,并将其作为所需应用部署到 macOS 设备:

没有为平台 SSO 配置应用的任何特定步骤。 只需确保最新的公司门户应用已添加到Intune并部署到 macOS 设备。

如果已安装较旧版本的 公司门户 应用,则平台 SSO 将失败。

步骤 4 - 注册设备并应用策略

若要使用平台 SSO,设备必须是使用下列方法之一在 Intune中注册的 MDM:

  • 对于 组织拥有的设备,可以:

  • 对于 个人拥有的设备,请创建 设备注册 策略。 使用此注册方法,最终用户打开公司门户应用并使用其Microsoft Entra ID登录。 成功登录后,会应用注册策略。

对于 新设备,建议预先创建并配置所有必要的策略,包括注册策略。 然后,当设备Intune注册时,策略会自动应用。

对于已在 Intune 中注册的现有设备,请将平台 SSO 策略分配给用户或用户组。 设备下次与 Intune 服务同步或检查时,它们会收到你创建的平台 SSO 策略设置。

步骤 5 - 注册设备

设备收到策略时,通知中心会显示“ 需要注册 ”通知。

屏幕截图显示了在 Microsoft Intune 中配置平台 SSO 时最终用户设备上需要注册的提示。

  • 最终用户选择此通知,使用其组织帐户登录到Microsoft Entra ID插件,并根据需要 (MFA) 完成多重身份验证。

    注意

    MFA 是Microsoft Entra的一项功能。 确保已在租户中启用 MFA。 有关详细信息,包括任何其他应用要求,请转到Microsoft Entra多重身份验证

  • 成功进行身份验证后,设备Microsoft Entra加入组织,工作区加入 (WPJ) 证书绑定到设备。

以下文章介绍了用户体验,具体取决于注册方法:

步骤 6 - 确认设备上的设置

平台 SSO 注册完成后,可以确认已配置平台 SSO。 有关步骤,请转到Microsoft Entra ID - 检查设备注册状态

在已注册Intune设备上,还可以转到“设置>隐私和安全>配置文件”。 平台 SSO 配置文件显示在 下 com.apple.extensiblesso Profile。 选择配置文件以查看配置的设置,包括 URL。

若要排查平台 SSO 问题,请转到 macOS 平台单一登录已知问题和故障排除

步骤 7 - 取消分配任何现有的 SSO 应用扩展配置文件

确认设置目录策略正常工作后,取消分配使用Intune设备功能模板创建的任何现有 SSO 应用扩展配置文件。

如果保留这两个策略,则可能发生冲突。

非Microsoft应用和Microsoft企业 SSO 扩展设置

如果以前使用了 Microsoft Enterprise SSO 扩展,并且/或想要在非Microsoft应用上启用 SSO,请将 扩展数据 设置添加到现有平台 SSO 设置目录策略。

扩展数据设置与打开的文本字段的概念类似;可以配置所需的任何值。

在本部分中,我们使用 扩展数据 设置来:

  • 配置在以前的 Microsoft Enterprise SSO 扩展Intune策略中使用的设置。
  • 配置允许非Microsoft应用使用 SSO 的设置。

本部分列出了应添加的最低建议设置。 在以前的 Microsoft 企业 SSO 扩展策略中,可能配置了更多设置。 建议添加在以前的 Microsoft Enterprise SSO 扩展策略中配置的任何其他密钥 & 值对设置。

请记住,应该只向组分配一个 SSO 策略。 因此,如果使用平台 SSO,则必须在本文) Intune创建平台 SSO 设置目录策略中创建的平台 SSO 设置目录策略中配置平台 SSO 设置 (Microsoft企业 SSO 扩展设置。

通常建议使用以下设置来配置 SSO 设置,包括为非Microsoft应用程序配置 SSO 支持。

  1. 在现有平台 SSO 设置目录策略中,添加 扩展数据

    1. Intune管理中心 (设备>管理设备>配置) ,选择现有的平台 SSO 设置目录策略。

    2. “属性>配置设置”中,选择“ 编辑>添加设置”。

    3. 在设置选取器中,展开“身份验证”,然后选择“可扩展单一登录 (SSO)

      显示“设置目录设置”选取器,并在Microsoft Intune中选择“身份验证和可扩展 SSO”类别的屏幕截图。

    4. 在列表中,选择“ 扩展数据” 并关闭设置选取器:

      显示“设置目录”设置选取器,并在Microsoft Intune中选择“身份验证”和“扩展数据”的屏幕截图。

  2. “扩展数据”中,添加以下键和值:

    类型 说明
    AppPrefixAllowList String com.microsoft.,com.apple. 复制此值并将其粘贴到 设置中。

    AppPrefixAllowList 允许创建应用供应商列表,其中包含可以使用 SSO 的应用。 可以根据需要向此列表添加更多应用供应商。
    browser_sso_interaction_enabled 整数 1 配置建议的代理设置。
    disable_explicit_app_prompt 整数 1 配置建议的代理设置。

    以下示例显示了建议的配置:

    显示如何配置扩展数据设置(如 AppPrefixAllowList)的屏幕截图。

  3. 选择“ 下一步 ”保存更改,并完成策略。 如果策略已分配给用户或组,则这些组在下次与 Intune 服务同步时会收到策略更改。

最终用户体验设置

步骤 2 - 在 Intune 中创建平台 SSO 策略中创建设置目录配置文件时,可以配置更多可选设置。

通过以下设置,可以自定义最终用户体验,并更精细地控制用户权限。 不支持任何未记录的平台 SSO 设置。

平台 SSO 设置 可能的值 用法
帐户显示名称 任何字符串值。 自定义最终用户在平台 SSO 通知中看到的组织名称。
启用登录时创建用户 启用或禁用 允许任何组织用户使用其Microsoft Entra凭据登录到设备。 创建新的本地帐户时,提供的用户名和密码必须与用户的Microsoft Entra ID UPN (user@contoso.com) 和密码相同。
新建用户授权模式 标准管理员 使用平台 SSO 创建帐户时,用户在登录时拥有的一次性权限。 目前,支持标准和管理员值。 设备上至少需要一个管理员用户才能使用标准模式。
用户授权模式 标准管理员 每次用户使用平台 SSO 进行身份验证时,用户在登录时拥有的持久权限。 目前,支持标准和管理员值。 设备上至少需要一个管理员用户才能使用标准模式。

其他 MDM

如果 MDM 支持平台 SSO,则可以将平台 SSO 与其他移动设备管理服务 (MM) 配置。 使用其他 MDM 服务时,请使用以下指南:

  • 本文中列出的设置是应配置Microsoft建议的设置。 可以在 MDM 服务策略中复制/粘贴本文中的设置值。

    MDM 服务中的配置步骤可能有所不同。 建议与 MDM 服务提供商合作,正确配置和部署这些平台 SSO 设置。

  • 使用平台 SSO 进行设备注册更安全,并使用硬件绑定设备证书。 这些更改可能会影响某些 MDM 流,例如与 设备合规性合作伙伴的集成。

    应与 MDM 服务提供商联系,了解是否已通过 MDM 测试的平台 SSO,证明其软件与平台 SSO 正常工作,并且已准备好支持使用平台 SSO 的客户。

常见错误

配置平台 SSO 时,可能会看到以下错误:

  • 10001: misconfiguration in the SSOe payload.

    在以下情况中,可能会出现此错误:

    • 设置目录配置文件中未配置所需的设置。
    • 配置的设置目录配置文件中有一个不适用于 重定向类型有效负载的设置。

    在设置目录配置文件中配置的身份验证设置对于 macOS 13.x 和 14.x 设备是不同的。

    如果环境中有 macOS 13 和 macOS 14 设备,则必须创建一个设置目录策略,并在同一策略中配置其各自的身份验证设置。 本文) 的步骤 2 - 在 Intune (中创建平台 SSO 策略中介绍了此信息。

  • 10002: multiple SSOe payloads configured.

    多个 SSO 扩展有效负载正在应用于设备,并且存在冲突。 设备上应只有一个扩展配置文件,该配置文件应是设置目录配置文件。

    如果以前使用设备功能模板创建了 SSO 应用扩展配置文件,请取消分配该配置文件。 设置目录配置文件是应分配给设备的唯一配置文件。