Configurar o SSO da Plataforma para dispositivos macOS no Microsoft Intune

  • Aplica-se a: [object Object]

Pode configurar o SSO da Plataforma para ativar o início de sessão único (SSO) para os seus dispositivos macOS através da autenticação sem palavra-passe, Microsoft Entra ID contas de utilizador ou smart cards. O SSO da plataforma é uma funcionalidade Microsoft Entra que melhora o plug-in SSO do Microsoft Enterprise e a extensão da aplicação SSO.

Esse recurso aplica-se a:

  • macOS

O SSO da plataforma inicia sessão dos utilizadores nos respetivos dispositivos Mac geridos com as respetivas credenciais de Microsoft Entra ID e o Touch ID. Utilize Intune para configurar o SSO da Plataforma e implementar a configuração do SSO da Plataforma nos seus dispositivos macOS.

O plug-in SSO do Microsoft Enterprise Microsoft Entra ID inclui duas funcionalidades de SSO – O SSO da Plataforma e a extensão da aplicação SSO. Este artigo centra-se na configuração do SSO da Plataforma com Microsoft Entra ID.

Este artigo mostra-lhe como configurar o SSO da Plataforma para dispositivos macOS no Intune. Para alguns cenários comuns de SSO da Plataforma que também pode configurar, veja Common Platform SSO scenarios for macOS devices (Cenários comuns de SSO da Plataforma para dispositivos macOS).

Benefícios

Algumas vantagens do SSO da Plataforma incluem:

  • Inclui a extensão da aplicação SSO. Não configura a extensão da aplicação SSO separadamente.
  • Pode ficar sem palavra-passe com credenciais resistentes a phishing que estejam vinculadas ao hardware do dispositivo Mac.
  • A experiência de início de sessão é semelhante a iniciar sessão num dispositivo Windows com uma conta escolar ou profissional, como os utilizadores fazem com Windows Hello para Empresas.
  • Ajuda a minimizar o número de vezes que os utilizadores precisam de introduzir as respetivas credenciais de Microsoft Entra ID.
  • Ajuda a reduzir o número de palavras-passe que os utilizadores precisam de memorizar.
  • Obtém os benefícios da associação Microsoft Entra, o que permite que qualquer utilizador da organização inicie sessão no dispositivo.
  • Está incluído em todos os planos de licenciamento Microsoft Intune.

Como funciona o SSO da Plataforma

Quando os dispositivos Mac se associam a um inquilino Microsoft Entra ID, os dispositivos obtêm um certificado de associação à área de trabalho (WPJ). Este certificado WPJ está vinculado ao hardware e só é acessível pelo plug-in SSO do Microsoft Enterprise. Para aceder a recursos protegidos através do Acesso Condicional, as aplicações e os browsers precisam deste certificado WPJ.

Quando configura o SSO da Plataforma, a extensão da aplicação SSO atua como o mediador para Microsoft Entra ID autenticação e Acesso Condicional.

Pode configurar o SSO da Plataforma com o catálogo de definições de Intune. Quando a política de catálogo de definições estiver pronta, atribua a política. A Microsoft recomenda que atribua a política quando o utilizador inscrever o dispositivo no Intune. No entanto, pode ser atribuído a qualquer momento, incluindo em dispositivos existentes.

Pré-requisitos

  • Os dispositivos têm de ter o macOS 13.0 e mais recente.

  • Os dispositivos necessitam de Microsoft Intune Portal da Empresa versão 5.2404.0 ou mais recente da aplicação. Esta versão inclui o SSO da Plataforma.

  • Os seguintes browsers suportam o SSO da Plataforma:

    Utilize Intune para adicionar aplicações de browser, incluindo ficheiros de pacote (.pkg) e de imagem de disco (.dmg) e implemente a aplicação nos seus dispositivos macOS. Para começar, aceda a Adicionar aplicações a Microsoft Intune.

  • O SSO da plataforma utiliza o catálogo de definições de Intune para configurar as definições necessárias. Para criar a política de catálogo de definições, no mínimo, inicie sessão no centro de administração do Microsoft Intune com uma conta que tenha as seguintes permissões de Intune:

    • Configuração do Dispositivo Permissões de Leitura, Criação, Atualização e Atribuição

    Algumas funções incorporadas têm estas permissões, incluindo a função de Intune Gestor de Políticas e Perfis. Para obter mais informações sobre as funções RBAC no Intune, veja Controlo de acesso baseado em funções (RBAC) com Microsoft Intune.

  • No Passo 2 – Criar a política de SSO da Plataforma (este artigo), crie uma política de catálogo de definições que configure as definições necessárias para o SSO da Plataforma. Pode configurar outros cenários e definições comuns nesta política. Para obter mais informações, veja Common Platform SSO scenarios for macOS devices (Cenários de SSO da Plataforma Comum para dispositivos macOS).

    Reveja os cenáriosantes de criar a política de catálogo de definições. Desta forma, pode configurar as definições de que precisa quando criar inicialmente a política. Se não configurar as definições de cenário opcionais inicialmente, pode sempre editar a política mais tarde. Só pode atribuir uma política de SSO aos seus grupos. Por isso, adicione estas definições de cenário à política de catálogo de definições de SSO da Plataforma existente.

  • Os dispositivos com um registo de política SSO de Plataforma existente no Microsoft Entra quando alterar o Método de Autenticação SSO > da Plataforma ou o SSO > da Plataforma Utilize as definições de Chaves de Dispositivo Partilhadas na política. Para as outras definições que adicionar ou alterar, se anular a atribuição e reatribuir a política de SSO da Plataforma, o dispositivo volta a registar.

  • No Passo 5 – Registar o dispositivo (este artigo), os utilizadores registam os respetivos dispositivos. Estes utilizadores têm de ter permissão para associar dispositivos a Microsoft Entra ID. Para obter mais informações, veja Configurar as definições do dispositivo.

Passo 1 – Decidir o método de autenticação

Quando cria a política de SSO da plataforma no Intune, tem de decidir o método de autenticação que pretende utilizar.

A política de SSO da Plataforma e o método de autenticação que escolher alteram a forma como os utilizadores iniciam sessão nos dispositivos.

  • Quando configura o SSO da Plataforma, os utilizadores iniciam sessão nos respetivos dispositivos macOS com o método de autenticação que configurar.
  • Quando não utiliza o SSO da Plataforma, os utilizadores iniciam sessão nos respetivos dispositivos macOS com uma conta local. Em seguida, iniciam sessão em aplicações e sites com os respetivos Microsoft Entra ID.

Neste passo, utilize as informações para saber as diferenças com os métodos de autenticação e como afetam a experiência de início de sessão do utilizador.

Dica

A Microsoft recomenda a utilização do Enclave Seguro como método de autenticação ao configurar o SSO da Plataforma.

Recurso Enclave Seguro Smart Card Senha
Sem palavra-passe (resistente a phishing)
TouchID suportado para desbloqueio
Pode ser utilizado como chave de acesso
MFA obrigatório para configuração

A autenticação multifator (MFA) é sempre recomendada
Palavra-passe do Mac local sincronizada com Entra ID
Suportado no macOS 13.x +
Suportado no macOS 14.x +
Opcionalmente, permita que os novos utilizadores iniciem sessão com Entra credenciais de ID (macOS 14.x +)

Quando configura o SSO da Plataforma com o método de autenticação Enclave Seguro , o plug-in SSO utiliza chaves criptográficas vinculadas ao hardware. Não utiliza as credenciais Microsoft Entra para autenticar o utilizador em aplicações e sites.

Para obter mais informações sobre o Enclave Seguro, consulte o artigo Enclave Seguro (abre o site da Apple).

Enclave Seguro:

  • É considerado sem palavra-passe e cumpre os requisitos de multifator (MFA) resistentes a phish. É conceptualmente semelhante a Windows Hello para Empresas. Também pode utilizar as mesmas funcionalidades que Windows Hello para Empresas, como o Acesso Condicional.
  • Deixa o nome de utilizador e a palavra-passe da conta local tal como estão. Estes valores não são alterados. Este comportamento deve-se, por predefinição, à encriptação do disco FileVault da Apple, que utiliza a palavra-passe local como chave de desbloqueio.
  • Após o reinício de um dispositivo, os utilizadores têm de introduzir a palavra-passe da conta local. Após este desbloqueio inicial do computador, o Touch ID pode ser utilizado para desbloquear o dispositivo.
  • Após o desbloqueio, o dispositivo obtém o Token de Atualização Primária (PRT) suportado por hardware para o SSO em todo o dispositivo.
  • Nos browsers, esta chave PRT pode ser utilizada como uma chave de acesso através de APIs WebAuthN.
  • A configuração pode ser iniciada com uma aplicação de autenticação para autenticação MFA ou o Microsoft Temporary Access Pass (TAP).
  • Permite a criação e utilização de Microsoft Entra ID chaves de acesso.

Passo 2 – Criar a política de SSO da Plataforma no Intune

Para configurar a política de SSO da Plataforma, utilize os passos nesta secção para criar uma política de catálogo de definições de Intune. O plug-in SSO do Microsoft Enterprise requer as definições listadas.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Dispositivos gerenciados>Configuração>Criar>Nova política.

  3. Insira as seguintes propriedades:

    • Plataforma: selecione macOS.
    • Tipo de perfil: selecione Catálogo de definições.

  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, atribua um nome à política macOS – SSO da Plataforma.
    • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.

  6. Selecione Avançar.

  7. Em Definições de configuração, selecione Adicionar configurações. No seletor de definições, expanda Autenticação e selecione Extensible Logon único (SSO):

    Captura de ecrã do seletor de catálogo de definições a mostrar a autenticação e a seleção da categoria de SSO extensível no Microsoft Intune.

    Na lista, selecione as seguintes definições:

    • Método de Autenticação (Preterido) (Selecionar apenas para macOS 13)
    • Identificador da Extensão
    • Expanda o SSO da Plataforma:
      • Selecione Método de Autenticação (Selecione para macOS 14+)
      • Selecione FileVault Policy (Selecione para macOS 15+)
      • Selecionar Token para Mapeamento de Utilizadores
      • Selecione Utilizar Chaves de Dispositivo Partilhadas
    • Token de Registo
    • Comportamento de Bloqueio de Ecrã
    • Identificador de Equipe
    • Tipo
    • URLs

    Feche o seletor de configurações.

    Dica

    Existem mais definições de SSO da Plataforma que pode adicionar à política que configura diferentes cenários, como ativar o SSO kerberos, utilizar a autenticação biométrica touch ID e ativar o SSO em aplicações que não sejam da Microsoft. Para saber mais sobre estes cenários e as definições necessárias, aceda a Cenários de SSO da Plataforma Comum para dispositivos macOS.

    Se não configurar as definições de cenário opcionais inicialmente, pode sempre editar a política mais tarde.

  8. Configure as seguintes definições necessárias:

    Nome Valor de configuração Descrição
    Método de Autenticação (Preterido)
    (apenas macOS 13)    		 Palavra-passe ou UserSecureEnclaveKey Selecione o método de autenticação SSO da Plataforma que escolheu no Passo 1 – Decidir o método de autenticação (neste artigo).

    Esta definição aplica-se apenas ao macOS 13. Para macOS 14.0 e posterior, utilize adefinição Método de AutenticaçãoSSO> da Plataforma.
    Identificador da Extensão com.microsoft.CompanyPortalMac.ssoextension Copie e cole este valor na definição.

    Este ID é a extensão da aplicação SSO de que o perfil precisa para que o SSO funcione.

    Os valores Identificador da Extensão e Identificador de Equipa funcionam em conjunto.
    SSO da> PlataformaMétodo
    de Autenticação(macOS 14+)    		 Palavra-passe, UserSecureEnclaveKey ou SmartCard Selecione o método de autenticação SSO da Plataforma que escolheu no Passo 1 – Decidir o método de autenticação (neste artigo).

    Esta definição aplica-se ao macOS 14 e posterior. Para macOS 13, utilize a definição Método de Autenticação (Preterido ).
    SSO da> PlataformaPolítica
    FileVault(macOS 15+)    		 AttemptAuthentication Aplica-se quando seleciona Palavra-passe para a definição Método de Autenticação . Copie e cole este valor na definição.

    Esta definição permite que o dispositivo verifique a palavra-passe Microsoft Entra ID com Microsoft Entra no ecrã de desbloqueio fileVault quando um dispositivo Mac está ativado.

    Esta definição aplica-se ao macOS 15 e posterior.
    SSO da> PlataformaUtilizar Chaves
    de Dispositivo Partilhadas(macOS 14+)    		 Enabled Quando ativado, o SSO da Plataforma utiliza as mesmas chaves de assinatura e encriptação para todos os utilizadores no mesmo dispositivo.

    É pedido aos utilizadores que atualizem do macOS 13.x para o 14.x que se registem novamente.
    Token de registo {{DEVICEREGISTRATION}} Copie e cole este valor na definição. Tem de incluir as chavetas.

    Para saber mais sobre este token de registo, aceda a Configurar Microsoft Entra registo de dispositivos.

    Esta definição requer que também configure a AuthenticationMethod definição.

    - Se utilizar apenas dispositivos macOS 13, configure a definição Método de Autenticação (Preterido ).
    - Se utilizar apenas dispositivos macOS 14+ , configure adefinição Método de AutenticaçãoSSO> da Plataforma.
    - Se tiver uma combinação de dispositivos macOS 13 e macOS 14+, configure ambas as definições de autenticação no mesmo perfil.
    Comportamento de Bloqueio de Ecrã Não Processar Quando definido como Não Processar, o pedido continua sem SSO.
    Token para Mapeamento> de UtilizadoresNome da Conta com.apple.PlatformSSO.AccountShortName ou preferred_username Copie e cole o seu valor na definição:

    com.apple.PlatformSSO.AccountShortName: recomendado. Utiliza o prefixo nome principal de utilizador (UPN) do Fornecedor de Identidade (IDP) como o nome da conta local (nome abreviado do utilizador) para o valor nome da conta macOS, como user@contoso.com. Para o SSO da Plataforma durante a Inscrição Automatizada de Dispositivos, defina o valor da chave para com.apple.PlatformSSO.AccountShortName utilizar o prefixo UPN. Para saber mais, veja SSO da Plataforma: Criação de contas a pedido (Documentos da Apple).

    preferred_username: este token especifica que o valor do atributo Microsoft Entra preferred_username é utilizado para o valor Nome da Conta da conta macOS.
    Token para Mapeamento> de UtilizadoresNome Completo name Copie e cole este valor na definição.

    Este token especifica que a afirmação de Microsoft Entra name é utilizada para o valor Nome Completo da conta macOS.
    Identificador de Equipe UBF8T346G9 Copie e cole este valor na definição.

    Este identificador é o identificador de equipa da extensão da aplicação plug-in SSO enterprise.
    Tipo Redirecionar
    URLs Copie e cole todos os seguintes URLs:

    https://login.microsoftonline.com
    https://login.microsoft.com
    https://sts.windows.net

    Se o seu ambiente precisar de permitir domínios de cloud soberana, como Azure Governamental ou Azure China 21Vianet, adicione também os seguintes URLs:

    https://login.partner.microsoftonline.cn
    https://login.chinacloudapi.cn
    https://login.microsoftonline.us
    https://login-us.microsoftonline.com    		 Estes prefixos de URL são os fornecedores de identidade que fazem extensões de aplicações SSO. Os URLs são necessários para payloads de redirecionamento e são ignorados para payloads de credenciais .

    Para obter mais informações sobre estes URLs, aceda ao plug-in SSO do Microsoft Enterprise para dispositivos Apple.

    Importante

    Se o seu ambiente incluir uma combinação de dispositivos macOS 13 e macOS 14+, configure oMétodo de AutenticaçãoSSO> da Plataforma e as definições de autenticação do Método de Autenticação (Preterido) no mesmo perfil.

    Quando o perfil estiver pronto, terá um aspeto semelhante ao seguinte exemplo:

    Captura de ecrã a mostrar as definições recomendadas do SSO da Plataforma num perfil mdm Intune.

  9. Selecione Avançar.

  10. Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre etiquetas de âmbito, aceda a Utilizar funções RBAC e etiquetas de âmbito para TI distribuídas.

    Selecione Avançar.

  11. Em Atribuições, selecione os grupos de utilizadores ou dispositivos que recebem o seu perfil. Para dispositivos com afinidade de utilizador, atribua a utilizadores ou grupos de utilizadores. Para dispositivos com vários utilizadores inscritos sem afinidade de utilizador, atribua a dispositivos ou grupos de dispositivos.

    Importante

    Para as definições de SSO da Plataforma em dispositivos com afinidade de utilizador, não é suportado atribuir a grupos ou filtros de dispositivos. Quando utiliza a atribuição de grupos de dispositivos ou a atribuição de grupos de utilizadores com filtros em dispositivos com afinidade de utilizador, o utilizador poderá não conseguir aceder aos recursos protegidos pelo Acesso Condicional. Este problema pode ocorrer:

    • Se as definições do SSO da Plataforma forem aplicadas incorretamente ou,
    • Se a aplicação Portal da Empresa ignorar Microsoft Entra registo de dispositivos quando o SSO da Plataforma não estiver ativado

    Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  12. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Na próxima vez que o dispositivo verificar se há atualizações de configuração, as configurações que você definiu serão aplicadas.

Saiba mais sobre o plug-in SSO

Passo 3 – Implementar a aplicação Portal da Empresa para macOS

A aplicação Portal da Empresa para macOS implementa e instala o plug-in SSO do Microsoft Enterprise. Este plug-in ativa o SSO da Plataforma.

Com Intune, pode adicionar a aplicação Portal da Empresa e implementá-la como uma aplicação necessária para os seus dispositivos macOS:

Não existem passos específicos para configurar a aplicação para o SSO da Plataforma. Certifique-se de que a aplicação Portal da Empresa mais recente é adicionada à Intune e implementada nos seus dispositivos macOS.

Se tiver uma versão mais antiga da aplicação Portal da Empresa instalada, o SSO da Plataforma falhará.

Passo 4 – Inscrever os dispositivos e aplicar as políticas

Para utilizar o SSO da Plataforma, os dispositivos têm de estar inscritos na MDM no Intune através de um dos seguintes métodos:

  • Para dispositivos pertencentes à organização, pode:

  • Para dispositivos pessoais, crie uma Política de inscrição de dispositivos . Com este método de inscrição, os utilizadores finais abrem a aplicação Portal da Empresa e iniciam sessão com os respetivos Microsoft Entra ID. Quando iniciam sessão com êxito, aplica-se a política de inscrição.

Para novos dispositivos, crie e configure todas as políticas necessárias, incluindo a política de inscrição. Em seguida, quando os dispositivos se inscrevem no Intune, as políticas são aplicadas automaticamente.

Para dispositivos existentes já inscritos no Intune, atribua a política de SSO da Plataforma aos seus utilizadores ou grupos de utilizadores. Da próxima vez que os dispositivos sincronizarem ou marcar com o serviço Intune, receberão as definições de política de SSO da Plataforma que criar.

Passo 5 – Registar o dispositivo

Quando o dispositivo recebe a política, é apresentada uma notificação de Registo obrigatório no Centro de Notificações.

Captura de ecrã do pedido de registo necessário em dispositivos de utilizador final quando configura o SSO da Plataforma no Microsoft Intune.

  • Os utilizadores finais selecionam esta notificação, iniciam sessão no plug-in Microsoft Entra ID com a conta da organização e completam a autenticação multifator (MFA), se necessário.

    Observação

    A MFA é uma funcionalidade do Microsoft Entra. Certifique-se de que a MFA está ativada no seu inquilino. Para obter mais informações, incluindo quaisquer outros requisitos de aplicações, aceda a Microsoft Entra autenticação multifator.

  • Quando efetuam a autenticação com êxito, o dispositivo é Microsoft Entra associado à organização e o certificado de associação à área de trabalho (WPJ) está vinculado ao dispositivo.

Os seguintes artigos mostram a experiência do utilizador, consoante o método de inscrição:

Passo 6 – Confirmar as definições no dispositivo

Quando o registo do SSO da Plataforma estiver concluído, pode confirmar que o SSO da Plataforma está configurado. Para obter os passos, aceda a Microsoft Entra ID - Verifique o status de registo do dispositivo.

No Intune dispositivos inscritos, também pode aceder a Definições>Perfis dePrivacidade e segurança>. O perfil SSO da Plataforma é apresentado em com.apple.extensiblesso Profile. Selecione o perfil para ver as definições que configurou, incluindo os URLs.

Para resolver problemas do SSO da Plataforma, aceda a Problemas conhecidos e resolução de problemas relacionados com o início de sessão único da Plataforma macOS.

Passo 7 – Anular a atribuição de quaisquer perfis de extensão de aplicação SSO existentes

Depois de confirmar que a política de catálogo de definições está a funcionar, anula a atribuição de quaisquer perfis de extensão de aplicação SSO existentes criados com o modelo Intune Funcionalidades do Dispositivo.

Se mantiver ambas as políticas, podem ocorrer conflitos.

Configurar o SSO da Plataforma com outros MDMs

Pode configurar o SSO da Plataforma com outros serviços de gestão de dispositivos móveis (MDMs), se esse MDM suportar o SSO da Plataforma. Ao utilizar outro serviço MDM, utilize a seguinte documentação de orientação:

  • As definições listadas neste artigo são as definições recomendadas pela Microsoft que deve configurar. Pode copiar e colar os valores de definição deste artigo na sua política de serviço MDM.

    Os passos de configuração no serviço MDM podem ser diferentes. Trabalhe com o fornecedor do serviço MDM para configurar e implementar corretamente estas definições de SSO da Plataforma.

  • O registo de dispositivos com o SSO da Plataforma é mais seguro e utiliza certificados de dispositivos vinculados ao hardware. Estas alterações podem afetar alguns fluxos de MDM, como a integração com parceiros de conformidade de dispositivos.

    Fale com o fornecedor do serviço MDM para saber se o SSO da Plataforma testado pela MDM certificou que o software funciona corretamente com o SSO da Plataforma e está pronto para suportar clientes que utilizam o SSO da Plataforma.

Erros comuns do SSO da Plataforma

Ao configurar o SSO da Plataforma, poderá ver os seguintes erros:

  • 10001: misconfiguration in the SSOe payload.

    Este erro pode ocorrer se:

    • Não configurou uma definição necessária no perfil de catálogo de definições.
    • Configurou uma definição no perfil de catálogo de definições que não é aplicável ao payload do tipo de redirecionamento.

    As definições de autenticação que configurar no perfil de catálogo de definições são diferentes para dispositivos macOS 13.x e 14.x.

    Se tiver dispositivos macOS 13 e macOS 14 no seu ambiente, tem de criar uma política de catálogo de definições e configurar as respetivas definições de autenticação na mesma política. Estas informações estão documentadas no Passo 2 – Criar a política de SSO da Plataforma no Intune (neste artigo).

  • 10002: multiple SSOe payloads configured.

    Estão a ser aplicados vários payloads da extensão SSO ao dispositivo e estão em conflito. Deve existir apenas um perfil de extensão no dispositivo e esse perfil deve ser o perfil do catálogo de definições.

    Se criou anteriormente um perfil de extensão de aplicação SSO com o modelo Funcionalidades do Dispositivo, anula a atribuição desse perfil. O perfil do catálogo de definições é o único perfil que deve ser atribuído ao dispositivo.

  • Last updated on