a macOS Platform egyszeri bejelentkezésének áttekintése (előzetes verzió)

A macOS Platform Single Sign-on (PSSO) egy új funkció, amely a Microsoft Nagyvállalati egyszeri bejelentkezés beépülő modulja, a macOS platform hitelesítő adataival működik, amely lehetővé teszi, hogy a felhasználók a Microsoft Entra-azonosítójuk hitelesítő adataival jelentkezzenek be a Mac-eszközökre. Ez a funkció a rendszergazdák számára előnyöket nyújt azáltal, hogy leegyszerűsíti a bejelentkezési folyamatot a felhasználók számára, és csökkenti az megjegyezendő jelszavak számát. Lehetővé teszi továbbá, hogy a felhasználók intelligens kártyával vagy hardverhez kötött kulccsal hitelesítsék a Microsoft Entra-azonosítót. Ez a funkció javítja a végfelhasználói élményt azáltal, hogy nem kell megjegyeznie két külön jelszót, és csökkenti a rendszergazdák számára a helyi fiók jelszavának kezelését.

A végfelhasználói élményt három különböző hitelesítési módszer határozza meg;

• Platform hitelesítő adatai macOS-hez: Biztonságos, enklávéval védett, hardverhez kötött titkosítási kulcsot biztosít, amelyet az egyszeri bejelentkezéshez használnak az olyan alkalmazásokban, amelyek a Hitelesítéshez Microsoft Entra-azonosítót használnak. A felhasználó helyi fiókjelszóját nem érinti a rendszer, ezért be kell jelentkeznie a Mac gépre.
• Intelligens kártya: A felhasználó külső intelligens kártya vagy intelligenskártya-kompatibilis hard token (például Yubikey) használatával jelentkezik be a gépre. Az eszköz zárolásának feloldása után az intelligens kártyát a Microsoft Entra-azonosítóval használja a rendszer az egyszeri bejelentkezés engedélyezéséhez az olyan alkalmazások esetében, amelyek a Hitelesítéshez Microsoft Entra-azonosítót használnak.
• Jelszó hitelesítési módszerként: Szinkronizálja a felhasználó Microsoft Entra-azonosító jelszavát a helyi fiókkal, és engedélyezi az egyszeri bejelentkezést az olyan alkalmazásokban, amelyek a Hitelesítéshez Microsoft Entra-azonosítót használnak.

A Microsoft Enterprise SSO plug in Apple devices, PSSO;

• Lehetővé teszi a felhasználók számára, hogy a Touch ID használatával jelszó nélküliek lehessenek.
• Adathalászat-ellenálló hitelesítő adatokat használ Vállalati Windows Hello technológián alapuló.
• Pénzt takarít meg az ügyfélszervezetek számára a biztonsági kulcsok szükségességének eltávolításával.
• A Biztonságos Enklávéval való integrációval Teljes felügyelet célkitűzéseket fejleszt.

Az engedélyezéshez a rendszergazdának konfigurálnia kell a PSSO-t a Microsoft Intune-on vagy más támogatott MDM-eken keresztül. Az eszköz konfigurálásának módjától függően a végfelhasználó biztonságos enklávéval, intelligens kártyával vagy jelszóalapú hitelesítési módszerrel állíthatja be az eszközét PSSO-val.

Követelmények

A platformszintű egyszeri bejelentkezés macOS rendszeren való telepítéséhez meg kell felelnie a következő minimális követelményeknek.

• A macOS 14 Sonoma ajánlott minimális verziója. Bár a macOS 13 Ventura támogatott, határozottan javasoljuk a macOS 14 Sonoma használatát a legjobb élmény érdekében.

• Microsoft Authenticator

• A Microsoft Intune Céges portál alkalmazás 5.2404.0-s vagy újabb verziója telepítve van. Ez a verzió szükséges ahhoz, hogy a felhasználók a PSSO-t célként használják.

Konfiguráció

A konfigurálás módjáról az alábbi cikkekben talál további információt és útmutatást:

• Platformszintű egyszeri bejelentkezés konfigurálása macOS-eszközökhöz a Microsoft Intune-ban

Telepítés

A macOS platform egyszeri bejelentkezésének telepítésével kapcsolatos további információkat és utasításokat ezekben a cikkekben talál.

• Mac-eszköz csatlakoztatása Microsoft Entra-azonosítóval a házon kívül használat során
• Mac-eszköz csatlakoztatása Microsoft Entra-azonosítóval a Céges portál

Jelszó nélküli hitelesítés

A jelszavak a rossz szereplők elsődleges támadási vektorai. A jelszavak feltöréséhez társadalommérnöki, adathalászati és permetezési támadásokat használnak. A jelszó nélküli hitelesítési stratégia csökkenti az ilyen támadások kockázatát.

Megtudhatja, hogyan használhatja a macOS platform egyszeri bejelentkezését a jelszó nélküli hitelesítés engedélyezéséhez a szervezet számára.

• Jelszó nélküli hitelesítési lehetőségek a Microsoft Entra ID-hoz
• Jelszó nélküli hitelesítés üzembe helyezésének megtervezése a Microsoft Entra-azonosítóban

A macOS platform hitelesítő adatai adathalászatnak ellenálló hitelesítő adatokként is használhatók a WebAuthn kihívásaiban való használatra (beleértve a böngésző újrahitelesítési forgatókönyveit). A rendszergazdáknak engedélyeznie kell a FIDO2 biztonságikulcs-hitelesítési módszert ehhez a képességhez. Ha a FIDO-házirendben a kulcskorlátozási szabályzatokat használja, akkor hozzá kell adnia a macOS platform hitelesítő adataihoz tartozó AAGUID-t az engedélyezett AAGUID-k listájához: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

Nemzeti Szabványügyi és Technológiai Intézet (NIST)

A National Institute of Standards and Technology (NIST) egy nem szabályozási szövetségi ügynökség az Amerikai Kereskedelmi Minisztériumban. A NIST szabványokat, irányelveket és egyéb kiadványokat fejleszt és bocsát ki, hogy segítse a szövetségi ügynökségeket a költséghatékony programok kezelésében az információs és információs rendszerek védelme érdekében.

A macOS Platform SSO-val kapcsolatos további információkért tekintse meg az alábbi cikkekben található NIST-követelményeknek való megfelelést.

• A Microsoft Entra ID konfigurálása az NIST hitelesítői garanciális szintjeinek való megfeleléshez
• A NIST hitelesítő típusai és az igazított Microsoft Entra-metódusok.
• NIST authenticator assurance level 3 by using Microsoft Entra ID

Hibaelhárítás

Ha problémákat tapasztal a macOS Platform egyszeri bejelentkezésének implementálása során, tekintse meg a macOS Platform egyszeri bejelentkezésével kapcsolatos ismert problémákat és hibaelhárítási dokumentációt