Visão geral do Logon Único da Plataforma macOS

O macOS Platform Single Sign-on (PSSO) é um novo recurso alimentado pelo plug-in Enterprise SSO da Microsoft, Platform Credentials for macOS que permite que os usuários entrem em dispositivos Mac usando suas credenciais Microsoft Entra ID. Esse recurso oferece benefícios para os administradores, simplificando o processo de entrada para os usuários e reduzindo o número de senhas que eles precisam lembrar. Ele também permite que os usuários se autentiquem com o Microsoft Entra ID com um cartão inteligente ou chave ligada ao hardware. Esse recurso melhora a experiência do usuário final ao não ter que se lembrar de duas senhas separadas e diminui a necessidade de os administradores gerenciarem a senha da conta local.

Existem três métodos de autenticação diferentes que determinam a experiência do utilizador final;

  • Credencial da plataforma para macOS: provisiona uma chave criptográfica vinculada ao hardware com suporte de enclave seguro que é usada para SSO em aplicativos que usam o Microsoft Entra ID para autenticação. A palavra-passe da conta local do utilizador não é afetada e é necessária para iniciar sessão no Mac.
  • Cartão inteligente: o usuário entra na máquina usando um cartão inteligente externo ou um token rígido compatível com cartão inteligente (por exemplo, Yubikey). Depois que o dispositivo é desbloqueado, o cartão inteligente é usado com o Microsoft Entra ID para conceder SSO em aplicativos que usam o Microsoft Entra ID para autenticação.
  • Senha como método de autenticação: sincroniza a senha do Microsoft Entra ID do usuário com a conta local e habilita o SSO entre aplicativos que usam o Microsoft Entra ID para autenticação.

Alimentado pelo plug-in Microsoft Enterprise SSO nos dispositivos Apple, PSSO;

  • Permite que os usuários fiquem sem senha usando o Touch ID.
  • Usa credenciais resistentes a phishing, com base na tecnologia Windows Hello para Empresas.
  • Poupa dinheiro às organizações de clientes, eliminando a necessidade de chaves de segurança.
  • Avança os objetivos do Confiança Zero usando a integração com o Enclave Seguro.

Para habilitá-lo, um administrador precisa configurar o PSSO por meio do Microsoft Intune ou outro MDM com suporte. Dependendo de como o dispositivo está configurado, o usuário final pode configurar seu dispositivo com PSSO por meio de enclave seguro, cartão inteligente ou método de autenticação baseado em senha.

Requisitos

Para implantar o SSO da plataforma para macOS, você precisa atender aos seguintes requisitos mínimos.

Configuração

Você pode encontrar mais informações e instruções sobre como configurar nestes artigos:

Observação

Se estiver a configurar o SSO da Plataforma para dispositivos macOS usando um MDM de terceiros, consulte a documentação fornecida pelo fornecedor do seu MDM para instruções específicas sobre como configurar o SSO da Plataforma.

Se é um programador de uma solução MDM de terceiros, consulte o guia Integrar o Início de Sessão Único da Plataforma macOS (PSSO) na sua solução MDM para mais informações sobre como integrar o PSSO na sua solução MDM.

Implementação

Você pode encontrar mais informações e instruções sobre como implantar o SSO da plataforma para macOS nestes artigos.

Autenticação sem palavra-passe

As senhas são um vetor de ataque primário para agentes mal-intencionados. Eles usam engenharia social, phishing e ataques de spray para comprometer senhas. Uma estratégia de autenticação sem palavra-passe mitiga o risco destes ataques.

Saiba como pode utilizar o SSO da plataforma para macOS para ativar a autenticação sem palavra-passe para a sua organização.

O Platform Credential para macOS também pode ser usado como credencial resistente a phishing para utilização em desafios WebAuthn (incluindo cenários de reautenticação do navegador). Se utilizar restrições de chave na sua política FIDO, terá de adicionar o AAGUID da Credencial de Plataforma do macOS à sua lista de AAGUIDs permitidos: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

SSO da plataforma Microsoft: UserSecureEnclaveKeyBiometricPolicy

O Microsoft Platform SSO suporta a opção UserSecureEnclaveKeyBiometricPolicy ao usar o SSO da plataforma com o método de autenticação UserSecureEnclaveKey. Essa política aumenta a segurança, exigindo que os usuários se autentiquem com o Touch ID sempre que a Chave de Enclave Segura do Usuário precisar ser acessada.

  • Quando essa política é habilitada, os usuários são solicitados para autenticação Touch ID sempre que a Chave de Enclave Segura do Usuário é acessada. Será solicitada autenticação durante o registo no PSSO, em cenários de reautenticação no navegador utilizando a chave do utilizador como chave de acesso, e durante a autenticação no processo de início de sessão para obter o token PSSO.
  • A ativação desta política requer que o dispositivo suporte a autenticação biométrica Touch ID. Os usuários precisam configurar o Touch ID para prosseguir com o registro PSSO. Os administradores devem certificar-se de que os utilizadores têm um dispositivo suportado por biometria ou um teclado externo que suporte o Touch ID antes de ativarem esta política.

Observação

Não existe opção de recurso para a palavra-passe enquanto se autentica com a Chave do Enclave Seguro do Utilizador quando o UserSecureEnclaveKeyBiometricPolicy está ativado. Portanto, os usuários não poderão se autenticar no Microsoft Entra ID se não tiverem a biometria do Touch ID disponível.

Requisitos para UserSecureEnclaveKeyBiometricPolicy

  • Sistema operacional: macOS 14.6 e posterior

  • Versão do Portal da Empresa: 2504 e posterior

    Importante

    Se esse recurso for habilitado após a conclusão do registro do PSSO, todos os usuários precisarão passar por um processo completo de reregistro do PSSO para que a política entre em vigor. Esse processo de novo registro deve ser orientado pelo administrador, pois os usuários não verão um prompt de novo registro. Os administradores devem considerar cuidadosamente se devem habilitar essa política e planejar a implantação do PSSO de acordo.

Como habilitar UserSecureEnclaveKeyBiometricPolicy

Os clientes de alta segurança podem optar por ativar esse recurso definindo um sinalizador no dicionário de dados da extensão SSO.

  • Nome da chave: enable_se_key_biometric_policy
  • Valor: verdadeiro

Captura de ecrã da configuração UserSecureEnclaveKeyBiometricPolicy no Microsoft Intune.

Benefícios de UserSecureEnclaveKeyBiometricPolicy

  • Segurança Reforçada: O acesso à Chave de Enclave Segura do Usuário é protegido por hardware e só pode ser acessado após a autenticação bem-sucedida do Touch ID, fornecendo uma camada extra de segurança.

Desvantagens de UserSecureEnclaveKeyBiometricPolicy

  • Mais pedidos: Os utilizadores deparam-se com pedidos adicionais durante o registo no PSSO, pois a chave é acedida várias vezes durante o processo.
  • Acesso Biometric-Only: A chave de acesso PSSO só pode ser acessada com autenticação biométrica. Não há alternativa de senha. Se o dispositivo for desbloqueado com uma senha, os usuários ainda serão solicitados para autenticação biométrica para obter o token PSSO.

SSO Kerberos para recursos Kerberos locais do Ative Directory e Microsoft Entra ID Kerberos

O macOS permite que os usuários configurem o SSO da plataforma para suportar o SSO baseado em Kerberos para recursos locais e na nuvem, além do SSO para o ID do Microsoft Entra. O SSO do Kerberos é um recurso opcional no SSO da plataforma, mas é recomendado se os usuários ainda precisarem acessar recursos do Ative Directory local que usam o Kerberos para autenticação.

Para saber mais, consulte SSO Kerberos para Active Directory local e os recursos Kerberos do Microsoft Entra ID.

Suporte à API do Graph

Você pode usar a API do Microsoft Graph para gerenciar o método de autenticação PlatformCredential.

As seguintes APIs estão disponíveis:

Instituto Nacional de Normas e Tecnologia (NIST)

O Instituto Nacional de Normas e Tecnologia (NIST) é uma agência federal não regulatória dentro do Departamento de Comércio dos EUA. O NIST desenvolve e emite normas, diretrizes e outras publicações para ajudar as agências federais na gestão de programas rentáveis para proteger as suas informações e sistemas de informação.

Você pode saber mais sobre como usar o macOS Platform SSO para atender aos requisitos do NIST nestes artigos.

Plataforma Single Sign-On (PSSO) com EnableRegistrationDuringSetup

O Platform Single Sign-On (PSSO) com EnableRegistrationDuringSetup permite que os dispositivos macOS completem automaticamente o registo PSSO durante o Registo Automatizado de Dispositivos (ADE).

Para permitir esta capacidade, o administrador precisa de configurar o PSSO através do Microsoft Intune ou outro MDM suportado. Dependendo de como o dispositivo está configurado, o usuário final pode configurar seu dispositivo com PSSO por meio de enclave seguro, cartão inteligente ou método de autenticação baseado em senha.

Quando combinado com o Assistente de Configuração com autenticação moderna e a extensão SSO do Portal da Empresa, o Intune pode concluir o arranque de identidade e o registo do dispositivo cedo no processo de inscrição – reduzindo os prompts e garantindo que o dispositivo está pronto para uso assim que chegar ao ambiente de trabalho.

Para instruções passo a passo para configurar o PSSO com o EnableRegistrationDuringSetup no Intune, consulte este documento: Configurar o Platform Single Sign-On (PSSO) durante o Registo Automatizado de Dispositivos para dispositivos macOS

Observação

Autenticação com Smart Card no Assistente de Configuração não é suportada. Se quiser usar o Smart Card como método de autenticação, deve concluir o registo PSSO depois de concluído o Setup Assistant.

Resolução de Problemas

Se você tiver problemas ao implementar o SSO da plataforma macOS, consulte nossa documentação sobre problemas conhecidos e solução de problemas de logon único da plataforma macOS

  • Last updated on