Compartilhar via

Configurar o SSO da Plataforma para dispositivos macOS no Microsoft Intune

  • Artigo
  • Aplica-se a:
    ✅ macOS

Nos seus dispositivos macOS, pode configurar o SSO da Plataforma para ativar o início de sessão único (SSO) através da autenticação sem palavra-passe, contas de utilizador do Microsoft Entra ID ou smart cards. O SSO da plataforma é uma melhoria para o plug-in SSO do Microsoft Enterprise e a extensão da aplicação SSO. O SSO da plataforma pode iniciar sessão dos utilizadores nos respetivos dispositivos Mac geridos com as credenciais do Microsoft Entra ID e o Touch ID.

Este artigo se aplica ao:

  • macOS

O plug-in SSO do Microsoft Enterprise no Microsoft Entra ID inclui duas funcionalidades de SSO – O SSO da Plataforma e a extensão da aplicação SSO. Este artigo centra-se na configuração do SSO da Plataforma com o Entra ID para dispositivos macOS que está em pré-visualização.

Algumas vantagens do SSO da Plataforma incluem:

  • Inclui a extensão da aplicação SSO. Não configura a extensão da aplicação SSO separadamente.
  • Utilize credenciais resistentes a phishing sem palavra-passe vinculadas ao dispositivo Mac.
  • A experiência de início de sessão é semelhante a iniciar sessão num dispositivo Windows com uma conta escolar ou profissional, como os utilizadores fazem com o Windows Hello para Empresas.
  • Ajuda a minimizar o número de vezes que os utilizadores precisam de introduzir as respetivas credenciais de ID do Microsoft Entra.
  • Ajuda a reduzir o número de palavras-passe que os utilizadores precisam de memorizar.
  • Obtenha as vantagens da associação ao Microsoft Entra, que permite que qualquer utilizador da organização inicie sessão no dispositivo.
  • Incluído em todos os planos de licenciamento do Microsoft Intune.

Quando os dispositivos Mac se associam a um inquilino do Microsoft Entra ID, os dispositivos obtêm um certificado de associação à área de trabalho (WPJ) que está vinculado ao hardware e apenas acessível pelo plug-in SSO do Microsoft Enterprise. Para aceder a recursos protegidos através do Acesso Condicional, as aplicações e os browsers precisam deste certificado WPJ. Com o SSO da Plataforma configurado, a extensão da aplicação SSO atua como o mediador da autenticação do Microsoft Entra ID e do Acesso Condicional.

O SSO da plataforma pode ser configurado através do catálogo de definições. Quando a política estiver pronta, atribua a política aos seus utilizadores. A Microsoft recomenda que atribua a política quando o utilizador inscrever o dispositivo no Intune. No entanto, pode ser atribuído a qualquer momento, incluindo em dispositivos existentes.

Este artigo mostra-lhe como configurar o SSO da Plataforma para dispositivos macOS no Intune.

Pré-requisitos

Passo 1 – Decidir o método de autenticação

Quando cria a política de SSO da plataforma no Intune, tem de decidir o método de autenticação que pretende utilizar.

A política de SSO da Plataforma e o método de autenticação que utiliza alteram a forma como os utilizadores iniciam sessão nos dispositivos.

  • Quando configura o SSO da Plataforma, os utilizadores iniciam sessão nos respetivos dispositivos macOS com o método de autenticação que configurar.
  • Quando não utiliza o SSO da Plataforma, os utilizadores iniciam sessão nos respetivos dispositivos macOS com uma conta local. Em seguida, iniciam sessão em aplicações e sites com o respetivo ID do Microsoft Entra.

Neste passo, utilize as informações para saber as diferenças com os métodos de autenticação e como afetam a experiência de início de sessão do utilizador.

Dica

A Microsoft recomenda a utilização do Enclave Seguro como método de autenticação ao configurar o SSO da Plataforma.

Recurso Enclave Seguro Smart Card Senha
Sem palavra-passe (resistente a phishing)
TouchID suportado para desbloqueio
Pode ser utilizado como chave de acesso
MFA obrigatório para configuração

A autenticação multifator (MFA) é sempre recomendada
Palavra-passe do Mac local sincronizada com o ID de Entra
Suportado no macOS 13.x +
Suportado no macOS 14.x +
Opcionalmente, permita que os novos utilizadores iniciem sessão com credenciais do Entra ID (macOS 14.x +)

Enclave Seguro

Quando configura o SSO da Plataforma com o método de autenticação Enclave Seguro , o plug-in SSO utiliza chaves criptográficas vinculadas ao hardware. Não utiliza as credenciais do Microsoft Entra para autenticar o utilizador em aplicações e sites.

Para obter mais informações sobre o Enclave Seguro, aceda a Enclave Seguro (abre o site da Apple).

Enclave Seguro:

  • É considerado sem palavra-passe e cumpre os requisitos de multifator (MFA) resistentes a phish. É conceptualmente semelhante ao Windows Hello para Empresas. Também pode utilizar as mesmas funcionalidades do Windows Hello para Empresas, como o Acesso Condicional.
  • Deixa o nome de utilizador e a palavra-passe da conta local tal como estão. Estes valores não são alterados.

    Observação

    Este comportamento deve-se, por predefinição, à encriptação do disco FileVault da Apple, que utiliza a palavra-passe local como chave de desbloqueio.

  • Após o reinício de um dispositivo, os utilizadores têm de introduzir a palavra-passe da conta local. Após este desbloqueio inicial do computador, o Touch ID pode ser utilizado para desbloquear o dispositivo.
  • Após o desbloqueio, o dispositivo obtém o Token de Atualização Primária (PRT) suportado por hardware para o SSO em todo o dispositivo.
  • Nos browsers, esta chave PRT pode ser utilizada como uma chave de acesso através de APIs WebAuthN.
  • A configuração pode ser iniciada com uma aplicação de autenticação para autenticação MFA ou o Microsoft Temporary Access Pass (TAP).
  • Permite a criação e utilização de chaves de acesso do Microsoft Entra ID.

Senha

Quando configura o SSO da Plataforma com o método de autenticação palavra-passe , os utilizadores iniciam sessão no dispositivo com a respetiva conta de utilizador do Microsoft Entra ID em vez da palavra-passe da conta local.

Esta opção ativa o SSO em todas as aplicações que utilizam o Microsoft Entra ID para autenticação.

Com o método de autenticação Palavra-passe :

  • A palavra-passe do ID do Microsoft Entra substitui a palavra-passe da conta local e as duas palavras-passe são mantidas sincronizadas.

    Observação

    A palavra-passe do computador da conta local não é completamente removida do dispositivo. Este comportamento deve-se, por predefinição, à encriptação do disco FileVault da Apple, que utiliza a palavra-passe local como chave de desbloqueio.

  • O nome de utilizador da conta local não é alterado e permanece como está.

  • Os utilizadores finais podem utilizar o Touch ID para iniciar sessão no dispositivo.

  • Existem menos palavras-passe para os utilizadores e administradores memorizarem e gerirem.

  • Os utilizadores têm de introduzir a palavra-passe do Microsoft Entra ID após o reinício de um dispositivo. Após este desbloqueio inicial do computador, o Touch ID pode desbloquear o dispositivo.

  • Após o desbloqueio, o dispositivo obtém a credencial do Token de Atualização Primária (PRT) vinculado ao hardware para o SSO do Microsoft Entra ID.

Observação

Qualquer política de palavras-passe do Intune configurada também afeta esta definição. Por exemplo, se tiver uma política de palavras-passe que bloqueia palavras-passe simples, as palavras-passe simples também serão bloqueadas para esta definição.

Certifique-se de que a política de palavras-passe e/ou a política de conformidade do Intune correspondem à sua política de palavras-passe do Microsoft Entra. Se as políticas não corresponderem, a palavra-passe poderá não ser sincronizada e é negado o acesso aos utilizadores finais.

Smart Card

Quando configura o SSO da Plataforma com o método de autenticação smart card , os utilizadores podem utilizar o certificado de smart card e o PIN associado para iniciar sessão no dispositivo e autenticar em aplicações e sites.

Esta opção:

  • É considerado sem palavra-passe.
  • Deixa o nome de utilizador e a palavra-passe da conta local tal como estão. Estes valores não são alterados.

Para obter mais informações, aceda a Autenticação baseada em certificados do Microsoft Entra no iOS e macOS.

Passo 2 – Criar a política de SSO da Plataforma no Intune

Para configurar a política de SSO da Plataforma, utilize os seguintes passos para criar uma política de catálogo de definições do Intune . Estas definições são necessárias para o plug-in SSO do Microsoft Enterprise. Para obter mais informações, aceda ao plug-in SSO do Microsoft Enterprise para dispositivos Apple.

Para obter detalhes sobre as definições de payload da extensão de Início de Sessão Único Extensível, aceda a Definições de payload de MDM de Início de Sessão Único Extensível para dispositivos Apple (abre o site da Apple).

  1. Entre no Centro de administração do Microsoft Intune.

  2. SelecioneConfiguração>de Dispositivos>Criar>Nova política.

  3. Insira as seguintes propriedades:

    • Plataforma: selecione macOS.
    • Tipo de perfil: selecione Catálogo de definições.

  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, atribua um nome à política macOS – SSO da Plataforma.
    • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.

  6. Selecione Avançar.

  7. Em Definições de configuração, selecione Adicionar configurações. No seletor de definições, expanda Autenticação e selecione Início de Sessão Único Extensível (SSO):

    Captura de ecrã que mostra o seletor de definições do Catálogo de Definições e a seleção da autenticação e da categoria de SSO extensível no Microsoft Intune.

    Na lista, selecione as seguintes definições:

    • Método de Autenticação (Preterido) (apenas macOS 13)
    • Identificador da Extensão
    • Expanda o SSO da Plataforma:
      • Selecione Método de Autenticação (macOS 14+)
      • Selecione Utilizar Chaves de Dispositivo Partilhadas
    • Token de Registo
    • Comportamento de Bloqueio de Ecrã
    • Identificador de Equipe
    • Tipo
    • URLs

    Feche o seletor de configurações.

    Dica

    Existem definições de SSO de Plataforma mais opcionais que pode configurar na política. Para obter uma lista, aceda a Mais definições de SSO da Plataforma que pode configurar (neste artigo).

  8. Configure as seguintes definições necessárias:

    Nome Valor de configuração Descrição
    Método de Autenticação (Preterido)
    (apenas macOS 13)    		 Palavra-passe ou UserSecureEnclave Selecione o método de autenticação SSO da Plataforma que escolheu no Passo 1 – Decidir o método de autenticação (neste artigo).

    Esta definição aplica-se apenas ao macOS 13. Para macOS 14.0 e posterior, utilize adefinição Método de AutenticaçãoSSO> da Plataforma.
    Identificador da Extensão com.microsoft.CompanyPortalMac.ssoextension Este ID é a extensão da aplicação SSO de que o perfil precisa para que o SSO funcione.

    Os valores Identificador da Extensão e Identificador de Equipa funcionam em conjunto.
    SSO da> PlataformaMétodo
    de Autenticação(macOS 14+)    		 Palavra-passe, UserSecureEnclave ou SmartCard Selecione o método de autenticação SSO da Plataforma que escolheu no Passo 1 – Decidir o método de autenticação (neste artigo).

    Esta definição aplica-se ao macOS 14 e posterior. Para macOS 13, utilize a definição Método de Autenticação (Preterido ).
    SSO da> PlataformaUtilizar Chaves
    de Dispositivo Partilhadas(macOS 14+)    		 Enabled Quando ativado, o SSO da Plataforma utiliza as mesmas chaves de assinatura e encriptação para todos os utilizadores no mesmo dispositivo.

    É pedido aos utilizadores que atualizem do macOS 13.x para o 14.x que se registem novamente.
    Token de registo {{DEVICEREGISTRATION}} Tem de incluir as chavetas. Para obter mais informações sobre este token de registo, aceda a Configurar o registo de dispositivos do Microsoft Entra.

    Esta definição requer que também configure a AuthenticationMethod definição.

    - Se utilizar apenas dispositivos macOS 13, configure a definição Método de Autenticação (Preterido ).
    - Se utilizar apenas dispositivos macOS 14+ , configure adefinição Método de AutenticaçãoSSO> da Plataforma.
    - Se tiver uma combinação de dispositivos macOS 13 e macOS 14+, configure ambas as definições de autenticação no mesmo perfil.
    Comportamento de Bloqueio de Ecrã Não Processar Quando definido como Não Processar, o pedido continua sem SSO.
    Identificador de Equipe UBF8T346G9 Este identificador é o identificador de equipa da extensão da aplicação plug-in SSO enterprise.
    Tipo Redirecionar
    URLs Introduza todos os seguintes URLs:

    https://login.microsoftonline.com
    https://login.microsoft.com
    https://sts.windows.net
    https://login.partner.microsoftonline.cn
    https://login.chinacloudapi.cn
    https://login.microsoftonline.us
    https://login-us.microsoftonline.com    		 Estes prefixos de URL são os fornecedores de identidade que fazem extensões de aplicações SSO. Os URLs são necessários para payloads de redirecionamento e são ignorados para payloads de credenciais .

    Para obter mais informações sobre estes URLs, aceda ao plug-in SSO do Microsoft Enterprise para dispositivos Apple.

    Importante

    Se tiver uma mistura de dispositivos macOS 13 e macOS 14+ no seu ambiente, configure oMétodo de AutenticaçãoSSO> da Plataforma e as definições de autenticação do Método de Autenticação (Preterido) no mesmo perfil.

  9. Selecione Avançar.

  10. Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre etiquetas de âmbito, aceda a Utilizar funções RBAC e etiquetas de âmbito para TI distribuídas.

    Selecione Avançar.

  11. Em Atribuições, selecione os grupos de utilizadores ou dispositivos que recebem o seu perfil. Para dispositivos com afinidade de utilizador, atribua a utilizadores ou grupos de utilizadores. Para dispositivos com vários utilizadores inscritos sem afinidade de utilizador, atribua a dispositivos ou grupos de dispositivos.

    Para obter mais informações sobre a atribuição de perfis, aceda a Atribuir perfis de utilizador e de dispositivo.

    Selecione Avançar.

  12. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Na próxima vez que o dispositivo verificar se há atualizações de configuração, as configurações que você definiu serão aplicadas.

Passo 3 – Implementar a aplicação Portal da Empresa para macOS

A aplicação Portal da Empresa para macOS implementa e instala o plug-in SSO do Microsoft Enterprise. Este plug-in ativa o SSO da Plataforma.

Com o Intune, pode adicionar a aplicação Portal da Empresa e implementá-la como uma aplicação necessária para os seus dispositivos macOS:

Não existem passos específicos para configurar a aplicação para o SSO da Plataforma. Certifique-se apenas de que a aplicação Portal da Empresa mais recente é adicionada ao Intune e implementada nos seus dispositivos macOS.

Se tiver uma versão mais antiga da aplicação Portal da Empresa instalada, o SSO da Plataforma não funcionará.

Passo 4 – Inscrever os dispositivos e aplicar as políticas

Para utilizar o SSO da Plataforma, os dispositivos têm de estar inscritos na MDM no Intune através de um dos seguintes métodos:

  • Para dispositivos pertencentes à organização, pode:

  • Para dispositivos pessoais, crie uma Política de inscrição de dispositivos . Com este método de inscrição, os utilizadores finais abrem a aplicação Portal da Empresa e iniciam sessão com o respetivo ID do Microsoft Entra. Quando iniciam sessão com êxito, aplica-se a política de inscrição.

Para novos dispositivos, recomendamos que crie e configure todas as políticas necessárias, incluindo a política de inscrição. Em seguida, quando os dispositivos se inscrevem no Intune, as políticas são aplicadas automaticamente.

Para dispositivos existentes já inscritos no Intune, atribua a política de SSO da Plataforma aos seus utilizadores ou grupos de utilizadores. Da próxima vez que os dispositivos sincronizarem ou iniciarem sessão com o serviço intune, receberão as definições de política de SSO da Plataforma que criar.

Passo 5 – Registar o dispositivo

Quando o dispositivo recebe a política, é apresentada uma notificação de Registo necessária no Centro de Notificações.

Captura de ecrã que mostra o pedido de registo necessário em dispositivos de utilizador final quando configura o SSO da Plataforma no Microsoft Intune.

  • Os utilizadores finais selecionam esta notificação, iniciam sessão no plug-in do Microsoft Entra ID com a conta da organização e completam a autenticação multifator (MFA), se necessário.

    Observação

    A MFA é uma funcionalidade do Microsoft Entra. Certifique-se de que a MFA está ativada no seu inquilino. Para obter mais informações, incluindo quaisquer outros requisitos de aplicações, aceda a Autenticação multifator do Microsoft Entra.

  • Quando efetuam a autenticação com êxito, o dispositivo está associado à organização e o certificado de associação à área de trabalho (WPJ) está vinculado ao dispositivo.

Os seguintes artigos mostram a experiência do utilizador, consoante o método de inscrição:

Passo 6 – Confirmar as definições no dispositivo

Quando o registo do SSO da Plataforma estiver concluído, pode confirmar que o SSO da Plataforma está configurado. Para obter os passos, aceda a Microsoft Entra ID – Verificar o estado de registo do dispositivo.

Em dispositivos inscritos no Intune, também pode aceder a Definições>Perfis deprivacidade e segurança>. O perfil SSO da Plataforma é apresentado com.apple.extensiblesso Profileem . Selecione o perfil para ver as definições que configurou, incluindo os URLs.

Para resolver problemas do SSO da Plataforma, aceda a Problemas conhecidos e resolução de problemas relacionados com o início de sessão único da Plataforma macOS.

Passo 7 – Anular a atribuição de quaisquer perfis de extensão de aplicação SSO existentes

Depois de confirmar que a política de catálogo de definições está a funcionar, anula a atribuição de quaisquer perfis de extensão de aplicação SSO existentes criados com o modelo Funcionalidades de Dispositivo do Intune.

Se mantiver ambas as políticas, podem ocorrer conflitos.

Mais definições de SSO da Plataforma que pode configurar

Quando cria o perfil de catálogo de definições no Passo 2 – Criar a política de SSO da Plataforma no Intune, existem mais definições opcionais que pode configurar.

As seguintes definições permitem-lhe personalizar a experiência do utilizador final e dar um controlo mais granular sobre os privilégios de utilizador. As definições de SSO da Plataforma não documentadas não são suportadas.

Definições de SSO da plataforma Valores possíveis Uso
Nome a Apresentar da Conta Qualquer valor de cadeia. Personalize o nome da organização que os utilizadores finais veem nas notificações de SSO da Plataforma.
Ativar Criar Utilizador ao Iniciar Sessão Ativar ou Desativar. Permitir que qualquer utilizador organizacional inicie sessão no dispositivo com as respetivas credenciais do Microsoft Entra.
Novo Modo de Autorização de Utilizador Standard, Administrador ou Grupos Permissões únicas que o utilizador tem no início de sessão quando a conta é criada com o SSO da Plataforma. Atualmente, os valores Standard e Admin são suportados. É necessário, pelo menos, um utilizador administrador no dispositivo antes de o modo Standard poder ser utilizado.
Modo de Autorização do Utilizador Standard, Administrador ou Grupos Permissões persistentes que o utilizador tem no início de sessão sempre que o utilizador efetua a autenticação através do SSO da Plataforma. Atualmente, os valores Standard e Admin são suportados. É necessário, pelo menos, um utilizador administrador no dispositivo antes de o modo Standard poder ser utilizado.

Erros comuns

Ao configurar o SSO da Plataforma, poderá ver os seguintes erros:

  • 10001: misconfiguration in the SSOe payload.

    Este erro pode ocorrer se:

    • Existe uma definição necessária que não está configurada no perfil do catálogo de definições.
    • Existe uma definição no perfil de catálogo de definições que configurou que não é aplicável para o payload do tipo de redirecionamento.

    As definições de autenticação que configurar no perfil de catálogo de definições são diferentes para dispositivos macOS 13.x e 14.x.

    Se tiver dispositivos macOS 13 e macOS 14 no seu ambiente, tem de criar uma política de catálogo de definições e configurar as respetivas definições de autenticação na mesma política. Estas informações estão documentadas no Passo 2 – Criar a política de SSO da Plataforma no Intune (neste artigo).

  • 10002: multiple SSOe payloads configured.

    Estão a ser aplicados vários payloads da extensão SSO ao dispositivo e estão em conflito. Deve existir apenas um perfil de extensão no dispositivo e esse perfil deve ser o perfil do catálogo de definições.

    Se criou anteriormente um perfil de extensão de aplicação SSO com o modelo Funcionalidades do Dispositivo, anula a atribuição desse perfil. O perfil do catálogo de definições é o único perfil que deve ser atribuído ao dispositivo.