Partage via

Configurer l’authentification unique de plateforme pour les appareils macOS dans Microsoft Intune

  • Article
  • S’applique à:
    ✅ macOS

Sur vos appareils macOS, vous pouvez configurer l’authentification unique Platform pour activer l’authentification unique (SSO) à l’aide de l’authentification sans mot de passe, des comptes d’utilisateur Microsoft Entra ID ou des cartes à puce. L’authentification unique de plateforme est une amélioration du plug-in Microsoft Enterprise SSO et de l’extension d’application SSO. Platform SSO peut connecter les utilisateurs à leurs appareils Mac gérés à l’aide de leurs informations d’identification Microsoft Entra ID et Touch ID.

Cet article s’applique à :

  • macOS

Le plug-in Microsoft Enterprise SSO dans Microsoft Entra ID comprend deux fonctionnalités d’authentification unique : l’authentification unique de plateforme et l’extension d’application SSO. Cet article se concentre sur la configuration de l’authentification unique platform avec l’ID Entra pour les appareils macOS, qui est en préversion.

Voici quelques-uns des avantages de l’authentification unique de plateforme :

  • Inclut l’extension d’application SSO. Vous ne configurez pas l’extension d’application SSO séparément.
  • Passez sans mot de passe avec des informations d’identification résistantes au hameçonnage qui sont liées au matériel à l’appareil Mac.
  • L’expérience de connexion est similaire à la connexion à un appareil Windows avec un compte professionnel ou scolaire, comme le font les utilisateurs avec Windows Hello Entreprise.
  • Permet de réduire le nombre de fois où les utilisateurs doivent entrer leurs informations d’identification d’ID Microsoft Entra.
  • Permet de réduire le nombre de mots de passe que les utilisateurs doivent mémoriser.
  • Bénéficiez des avantages de la jonction Microsoft Entra, qui permet à n’importe quel utilisateur de l’organisation de se connecter à l’appareil.
  • Inclus avec tous les plans de licence Microsoft Intune.

Lorsque des appareils Mac rejoignent un locataire d’ID Microsoft Entra, les appareils obtiennent un certificat WPJ (Workplace Join) qui est lié au matériel et accessible uniquement par le plug-in Microsoft Enterprise SSO. Pour accéder aux ressources protégées à l’aide de l’accès conditionnel, les applications et les navigateurs web ont besoin de ce certificat WPJ. Une fois l’authentification unique de plateforme configurée, l’extension d’application SSO joue le rôle de répartiteur pour l’authentification d’ID Microsoft Entra et l’accès conditionnel.

L’authentification unique de plateforme peut être configurée à l’aide du catalogue de paramètres. Lorsque la stratégie est prête, vous affectez la stratégie à vos utilisateurs. Microsoft vous recommande d’attribuer la stratégie lorsque l’utilisateur inscrit l’appareil dans Intune. Toutefois, il peut être affecté à tout moment, y compris sur des appareils existants.

Cet article explique comment configurer l’authentification unique de plateforme pour les appareils macOS dans Intune.

Configuration requise

  • Les appareils doivent exécuter macOS 13.0 et versions ultérieures.

  • L’application Portail d’entreprise Microsoft Intune version 5.2404.0 et ultérieure est requise. Cette version inclut l’authentification unique de plateforme.

  • Les navigateurs web pris en charge sont les suivants :

  • Pour créer la stratégie Intune, connectez-vous au minimum avec un compte disposant des autorisations Intune suivantes :

    • Autorisations de lecture, de création, de mise à jour et d’attribution de la configuration de l’appareil

    Certains rôles intégrés disposent de ces autorisations, notamment les rôles RBAC Intune Policy et Profile Manager . Pour plus d’informations sur les rôles RBAC dans Intune, consultez Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.

Étape 1 : Déterminer la méthode d’authentification

Lorsque vous créez la stratégie d’authentification unique de plateforme dans Intune, vous devez décider de la méthode d’authentification que vous souhaitez utiliser.

La stratégie d’authentification unique de plateforme et la méthode d’authentification que vous utilisez modifient la façon dont les utilisateurs se connectent aux appareils.

  • Lorsque vous configurez l’authentification unique Platform, les utilisateurs se connectent à leurs appareils macOS avec la méthode d’authentification que vous configurez.
  • Lorsque vous n’utilisez pas l’authentification unique platform, les utilisateurs se connectent à leurs appareils macOS avec un compte local. Ensuite, ils se connectent aux applications et aux sites web avec leur ID Microsoft Entra.

Dans cette étape, utilisez les informations pour découvrir les différences avec les méthodes d’authentification et comment elles affectent l’expérience de connexion utilisateur.

Conseil

Microsoft recommande d’utiliser l’enclave sécurisée comme méthode d’authentification lors de la configuration de l’authentification unique de plateforme.

Fonctionnalité Enclave sécurisée Carte à puce Mot de passe
Sans mot de passe (résistant au hameçonnage)
TouchID pris en charge pour le déverrouillage
Peut être utilisé comme clé d’accès
MFA obligatoire pour l’installation

L’authentification multifacteur (MFA) est toujours recommandée
Mot de passe Mac local synchronisé avec l’ID Entra
Pris en charge sur macOS 13.x +
Pris en charge sur macOS 14.x +
Si vous le souhaitez, autorisez les nouveaux utilisateurs à se connecter avec les informations d’identification entra (macOS 14.x +)

Enclave sécurisée

Lorsque vous configurez l’authentification unique platform avec la méthode d’authentification Secure Enclave , le plug-in SSO utilise des clés de chiffrement liées au matériel. Il n’utilise pas les informations d’identification Microsoft Entra pour authentifier l’utilisateur auprès des applications et des sites web.

Pour plus d’informations sur l’enclave sécurisée, accédez à Enclave sécurisée (ouvre le site web d’Apple).

Enclave sécurisée :

  • Est considéré comme sans mot de passe et répond aux exigences multifacteur (MFA) résistantes aux hameçonnages. Il est conceptuellement similaire à Windows Hello Entreprise. Il peut également utiliser les mêmes fonctionnalités que Windows Hello Entreprise, comme l’accès conditionnel.
  • Conserve le nom d’utilisateur et le mot de passe du compte local tels quelles. Ces valeurs ne sont pas modifiées.

    Remarque

    Ce comportement est dû au chiffrement de disque FileVault d’Apple, qui utilise le mot de passe local comme clé de déverrouillage.

  • Après le redémarrage d’un appareil, les utilisateurs doivent entrer le mot de passe du compte local. Après ce déverrouillage initial de la machine, Touch ID peut être utilisé pour déverrouiller l’appareil.
  • Après le déverrouillage, l’appareil obtient le jeton d’actualisation principal (PRT) matériel pour l’authentification unique à l’échelle de l’appareil.
  • Dans les navigateurs web, cette clé PRT peut être utilisée comme clé d’accès à l’aide des API WebAuthN.
  • Sa configuration peut être démarrée avec une application d’authentification pour l’authentification MFA ou le pass d’accès temporaire Microsoft (TAP).
  • Permet la création et l’utilisation des clés d’accès d’ID Microsoft Entra.

Mot de passe

Lorsque vous configurez l’authentification unique platform avec la méthode d’authentification par mot de passe , les utilisateurs se connectent à l’appareil avec leur compte d’utilisateur Microsoft Entra ID au lieu de leur mot de passe de compte local.

Cette option active l’authentification unique entre les applications qui utilisent l’ID Microsoft Entra pour l’authentification.

Avec la méthode d’authentification par mot de passe :

  • Le mot de passe de l’ID Microsoft Entra remplace le mot de passe du compte local, et les deux mots de passe sont synchronisés.

    Remarque

    Le mot de passe de l’ordinateur du compte local n’est pas complètement supprimé de l’appareil. Ce comportement est dû au chiffrement de disque FileVault d’Apple, qui utilise le mot de passe local comme clé de déverrouillage.

  • Le nom d’utilisateur du compte local n’est pas modifié et reste tel qu’il est.

  • Les utilisateurs finaux peuvent utiliser Touch ID pour se connecter à l’appareil.

  • Les utilisateurs et les administrateurs ont moins de mots de passe à mémoriser et à gérer.

  • Les utilisateurs doivent entrer leur mot de passe d’ID Microsoft Entra après le redémarrage d’un appareil. Après ce déverrouillage initial de la machine, Touch ID peut déverrouiller l’appareil.

  • Après le déverrouillage, l’appareil obtient les informations d’identification du jeton d’actualisation principal (PRT) lié au matériel pour l’authentification unique Microsoft Entra ID.

Remarque

Toute stratégie de mot de passe Intune que vous configurez affecte également ce paramètre. Par exemple, si vous avez une stratégie de mot de passe qui bloque les mots de passe simples, les mots de passe simples sont également bloqués pour ce paramètre.

Assurez-vous que votre stratégie de mot de passe Intune et/ou votre stratégie de conformité correspondent à votre stratégie de mot de passe Microsoft Entra. Si les stratégies ne correspondent pas, le mot de passe risque de ne pas se synchroniser et les utilisateurs finaux se voient refuser l’accès.

Carte à puce

Lorsque vous configurez l’authentification unique platform avec la méthode d’authentification par carte à puce , les utilisateurs peuvent utiliser le certificat de carte à puce et le code pin associé pour se connecter à l’appareil et s’authentifier auprès des applications et des sites web.

Cette option :

  • Est considéré comme sans mot de passe.
  • Conserve le nom d’utilisateur et le mot de passe du compte local tels quelles. Ces valeurs ne sont pas modifiées.

Pour plus d’informations, consultez Authentification par certificat Microsoft Entra sur iOS et macOS.

Étape 2 : Créer la stratégie d’authentification unique de plateforme dans Intune

Pour configurer la stratégie d’authentification unique de plateforme, procédez comme suit pour créer une stratégie de catalogue de paramètres Intune . Ces paramètres sont requis par le plug-in Microsoft Enterprise SSO. Pour plus d’informations, consultez Plug-in Microsoft Enterprise SSO pour appareils Apple.

Pour plus d’informations sur les paramètres de charge utile de l’extension Extensible Single Sign-on, consultez Paramètres de charge utile MDM de l’authentification unique extensible pour les appareils Apple (ouvre le site web d’Apple).

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. SélectionnezConfiguration des>appareils>Créer une>stratégie.

  3. Entrez les propriétés suivantes :

    • Plateforme : sélectionnez macOS.
    • Type de profil : sélectionnez Catalogue de paramètres.

  4. Sélectionnez Créer.

  5. Dans Informations de base, entrez les propriétés suivantes :

    • Nom : attribuez un nom descriptif à la stratégie. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, nommez la stratégie macOS - Platform SSO.
    • Description : entrez une description pour la stratégie. Ce paramètre est facultatif, mais recommandé.

  6. Sélectionnez Suivant.

  7. Dans Paramètres de configuration, sélectionnez Ajouter des paramètres. Dans le sélecteur de paramètres, développez Authentification, puis sélectionnez Authentification unique extensible (SSO) :

    Capture d’écran montrant le sélecteur paramètres du catalogue paramètres et la sélection de la catégorie d’authentification et d’authentification unique extensible dans Microsoft Intune.

    Dans la liste, sélectionnez les paramètres suivants :

    • Méthode d’authentification (déconseillée) (macOS 13 uniquement)
    • Identificateur d’extension
    • Développez Platform SSO :
      • Sélectionner la méthode d’authentification (macOS 14+)
      • Sélectionnez Utiliser des clés d’appareil partagées
    • Jeton d’inscription
    • Comportement de verrouillage de l’écran
    • Identificateur d’équipe
    • Type
    • Url

    Fermez la fenêtre Paramètres.

    Conseil

    Vous pouvez configurer d’autres paramètres d’authentification unique de plateforme facultatifs dans la stratégie. Pour obtenir une liste, accédez à Autres paramètres d’authentification unique de plateforme que vous pouvez configurer (dans cet article).

  8. Configurez les paramètres requis suivants :

    Nom Valeur de configuration Description
    Méthode d’authentification (déconseillée)
    (macOS 13 uniquement)    		 Password ou UserSecureEnclave Sélectionnez la méthode d’authentification unique de plateforme que vous avez choisie à l’étape 1 - Décider de la méthode d’authentification (dans cet article).

    Ce paramètre s’applique uniquement à macOS 13. Pour macOS 14.0 et versions ultérieures, utilisez le paramètreMéthode d’authentificationSSO> de plateforme.
    Identificateur d’extension com.microsoft.CompanyPortalMac.ssoextension Cet ID est l’extension d’application SSO dont le profil a besoin pour que l’authentification unique fonctionne.

    Les valeurs Identificateur d’extension et Identificateur d’équipe fonctionnent ensemble.
    Authentification unique> de plateformeMéthode
    d’authentification(macOS 14+)    		 Mot de passe, UserSecureEnclave ou Carte à puce Sélectionnez la méthode d’authentification unique de plateforme que vous avez choisie à l’étape 1 - Décider de la méthode d’authentification (dans cet article).

    Ce paramètre s’applique à macOS 14 et versions ultérieures. Pour macOS 13, utilisez le paramètre Méthode d’authentification (déconseillé).
    Authentification unique> de plateformeUtiliser des clés
    d’appareil partagées(macOS 14+)    		 Enabled Lorsqu’elle est activée, l’authentification unique de plateforme utilise les mêmes clés de signature et de chiffrement pour tous les utilisateurs sur le même appareil.

    Les utilisateurs effectuant une mise à niveau de macOS 13.x vers 14.x sont invités à s’inscrire à nouveau.
    Jeton d’inscription {{DEVICEREGISTRATION}} Vous devez inclure les accolades. Pour plus d’informations sur ce jeton d’inscription, consultez Configurer l’inscription des appareils Microsoft Entra.

    Ce paramètre nécessite également que vous configuriez le AuthenticationMethod paramètre.

    - Si vous utilisez uniquement des appareils macOS 13, configurez le paramètre Méthode d’authentification (déconseillée).
    - Si vous utilisez uniquement des appareils macOS 14+, configurez le paramètreMéthode d’authentificationunique> de plateforme.
    - Si vous avez une combinaison d’appareils macOS 13 et macOS 14+, configurez les deux paramètres d’authentification dans le même profil.
    Comportement de verrouillage de l’écran Ne pas gérer Lorsqu’elle est définie sur Ne pas gérer, la requête continue sans authentification unique.
    Identificateur d’équipe UBF8T346G9 Cet identificateur est l’identificateur d’équipe de l’extension d’application du plug-in Enterprise SSO.
    Type Rediriger
    Url Entrez toutes les URL suivantes :

    https://login.microsoftonline.com
    https://login.microsoft.com
    https://sts.windows.net

    Si votre environnement doit autoriser les domaines de cloud souverain, ajoutez également les URL suivantes :

    https://login.partner.microsoftonline.cn
    https://login.chinacloudapi.cn
    https://login.microsoftonline.us
    https://login-us.microsoftonline.com    		 Ces préfixes d’URL sont les fournisseurs d’identité qui effectuent des extensions d’application SSO. Les URL sont requises pour les charges utiles de redirection et sont ignorées pour les charges utiles d’informations d’identification .

    Pour plus d’informations sur ces URL, consultez Plug-in Microsoft Enterprise SSO pour appareils Apple.

    Importante

    Si vous avez une combinaison d’appareils macOS 13 et macOS 14+ dans votre environnement, configurez les paramètresd’authentificationsSO> de plateforme et d’authentification méthode d’authentification (déconseillée) dans le même profil.

  9. Sélectionnez Suivant.

  10. Dans Balises d’étendue (facultatif), affectez une balise pour filtrer le profil sur des groupes informatiques spécifiques, par exemple US-NC IT Team ou JohnGlenn_ITDepartment. Pour plus d’informations sur les balises d’étendue, consultez Utiliser des rôles RBAC et des balises d’étendue pour l’informatique distribuée.

    Sélectionnez Suivant.

  11. Dans Affectations, sélectionnez les groupes d’utilisateurs ou d’appareils qui reçoivent votre profil. Pour les appareils ayant une affinité utilisateur, affectez à des utilisateurs ou des groupes d’utilisateurs. Pour les appareils avec plusieurs utilisateurs inscrits sans affinité utilisateur, affectez des appareils ou des groupes d’appareils.

    Pour plus d’informations sur l’attribution de profils, accédez à Attribuer des profils d’utilisateur et d’appareil.

    Sélectionnez Suivant.

  12. Dans Vérifier + créer, passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie apparaît également dans la liste des profils.

La prochaine fois que l’appareil recherche des mises à jour de configuration, les paramètres que vous avez configurés sont appliqués.

Étape 3 : Déployer l’application Portail d’entreprise pour macOS

L’application Portail d’entreprise pour macOS déploie et installe le plug-in Microsoft Enterprise SSO. Ce plug-in active l’authentification unique platform.

À l’aide d’Intune, vous pouvez ajouter l’application Portail d’entreprise et la déployer en tant qu’application requise sur vos appareils macOS :

Il n’existe aucune procédure spécifique pour configurer l’application pour l’authentification unique de la plateforme. Assurez-vous simplement que la dernière application Portail d’entreprise est ajoutée à Intune et déployée sur vos appareils macOS.

Si vous disposez d’une version antérieure de l’application Portail d’entreprise installée, l’authentification unique platform ne fonctionnera pas.

Étape 4 : Inscrire les appareils et appliquer les stratégies

Pour utiliser l’authentification unique de plateforme, les appareils doivent être inscrits mdm dans Intune à l’aide de l’une des méthodes suivantes :

  • Pour les appareils appartenant à l’organisation, vous pouvez :

  • Pour les appareils personnels, créez une stratégie d’inscription d’appareil . Avec cette méthode d’inscription, les utilisateurs finaux ouvrent l’application Portail d’entreprise et se connectent avec leur ID Microsoft Entra. Lorsqu’ils se connectent correctement, la stratégie d’inscription s’applique.

Pour les nouveaux appareils, nous vous recommandons de précréer et de configurer toutes les stratégies nécessaires, y compris la stratégie d’inscription. Ensuite, lorsque les appareils s’inscrivent dans Intune, les stratégies s’appliquent automatiquement.

Pour les appareils existants déjà inscrits dans Intune, attribuez la stratégie d’authentification unique de plateforme à vos utilisateurs ou groupes d’utilisateurs. La prochaine fois que les appareils se synchronisent ou s’enregistrent avec le service Intune, ils reçoivent les paramètres de stratégie d’authentification unique de plateforme que vous créez.

Étape 5 : Inscrire l’appareil

Lorsque l’appareil reçoit la stratégie, une notification d’inscription obligatoire s’affiche dans le Centre de notifications.

Capture d’écran montrant l’invite d’inscription requise sur les appareils des utilisateurs finaux lorsque vous configurez l’authentification unique de plateforme dans Microsoft Intune.

  • Les utilisateurs finaux sélectionnent cette notification, se connectent au plug-in d’ID Microsoft Entra avec leur compte d’organisation et effectuent l’authentification multifacteur (MFA) si nécessaire.

    Remarque

    L’authentification multifacteur est une fonctionnalité de Microsoft Entra. Vérifiez que l’authentification multifacteur est activée dans votre locataire. Pour plus d’informations, y compris les autres exigences de l’application, consultez Authentification multifacteur Microsoft Entra.

  • Lorsqu’ils s’authentifient correctement, l’appareil est joint à Microsoft Entra à l’organisation et le certificat wpj (workplace join) est lié à l’appareil.

Les articles suivants montrent l’expérience utilisateur, en fonction de la méthode d’inscription :

Étape 6 : Confirmer les paramètres sur l’appareil

Une fois l’inscription de l’authentification unique de plateforme terminée, vous pouvez vérifier que l’authentification unique platform est configurée. Pour connaître les étapes, accédez à Microsoft Entra ID - Vérifier l’état d’inscription de votre appareil.

Sur les appareils inscrits à Intune, vous pouvez également accéder à Paramètres>Profils de confidentialité et de sécurité>. Votre profil Platform SSO s’affiche sous com.apple.extensiblesso Profile. Sélectionnez le profil pour afficher les paramètres que vous avez configurés, y compris les URL.

Pour résoudre les problèmes liés à l’authentification unique de plateforme, accédez à Problèmes connus et de résolution des problèmes d’authentification unique de la plateforme macOS.

Étape 7 : Annuler l’affectation des profils d’extension d’application SSO existants

Une fois que vous avez vérifié que votre stratégie de catalogue de paramètres fonctionne, annulez l’affectation des profils d’extension d’application SSO existants créés à l’aide du modèle Fonctionnalités d’appareil Intune.

Si vous conservez les deux stratégies, des conflits peuvent se produire.

Autres paramètres d’authentification unique de plateforme que vous pouvez configurer

Lorsque vous créez le profil de catalogue de paramètres à l’étape 2 - Créer la stratégie d’authentification unique de la plateforme dans Intune, vous pouvez configurer d’autres paramètres facultatifs.

Les paramètres suivants vous permettent de personnaliser l’expérience de l’utilisateur final et de donner un contrôle plus précis sur les privilèges utilisateur. Les paramètres d’authentification unique de plateforme non documentés ne sont pas pris en charge.

Paramètres de l’authentification unique de plateforme Valeurs possibles Utilisation
Nom complet du compte Toute valeur de chaîne. Personnalisez le nom de l’organisation que les utilisateurs finaux voient dans les notifications d’authentification unique de la plateforme.
Activer Créer un utilisateur lors de la connexion Activer ou désactiver. Autoriser n’importe quel utilisateur de l’organisation à se connecter à l’appareil à l’aide de ses informations d’identification Microsoft Entra.
Nouveau mode d’autorisation utilisateur Standard, Administrateur ou Groupes Autorisations à usage unique dont dispose l’utilisateur lors de la connexion lorsque le compte est créé à l’aide de l’authentification unique platform. Actuellement, les valeurs Standard et Admin sont prises en charge. Au moins un utilisateur Administrateur est requis sur l’appareil avant que le mode Standard puisse être utilisé.
Mode d’autorisation utilisateur Standard, Administrateur ou Groupes Autorisations persistantes dont dispose l’utilisateur lors de la connexion chaque fois que l’utilisateur s’authentifie à l’aide de l’authentification unique de la plateforme. Actuellement, les valeurs Standard et Admin sont prises en charge. Au moins un utilisateur Administrateur est requis sur l’appareil avant que le mode Standard puisse être utilisé.

Erreurs courantes

Lorsque vous configurez l’authentification unique de plateforme, les erreurs suivantes peuvent s’afficher :

  • 10001: misconfiguration in the SSOe payload.

    Cette erreur peut se produire si :

    • Il existe un paramètre obligatoire qui n’est pas configuré dans le profil de catalogue de paramètres.
    • Il existe un paramètre dans le profil de catalogue de paramètres que vous avez configuré qui ne s’applique pas à la charge utile du type de redirection.

    Les paramètres d’authentification que vous configurez dans le profil de catalogue de paramètres sont différents pour les appareils macOS 13.x et 14.x.

    Si vous avez des appareils macOS 13 et macOS 14 dans votre environnement, vous devez créer une stratégie de catalogue de paramètres et configurer leurs paramètres d’authentification respectifs dans la même stratégie. Ces informations sont documentées dans Étape 2 : Créer la stratégie d’authentification unique de la plateforme dans Intune (dans cet article).

  • 10002: multiple SSOe payloads configured.

    Plusieurs charges utiles d’extension SSO s’appliquent à l’appareil et sont en conflit. Il ne doit y avoir qu’un seul profil d’extension sur l’appareil, et ce profil doit être le profil de catalogue de paramètres.

    Si vous avez précédemment créé un profil d’extension d’application SSO à l’aide du modèle Fonctionnalités de l’appareil, annulez l’affectation de ce profil. Le profil de catalogue de paramètres est le seul profil qui doit être affecté à l’appareil.