macOS 平台单一登录概述（预览版）

macOS 平台单一登录 (PSSO) 是由 Microsoft 企业 SSO 插件、macOS 平台凭据提供支持的一项新功能，使用户能够使用其 Microsoft Entra ID 凭据登录到 Mac 设备。 此功能为管理员带来了一些好处，它简化了用户的登录过程，并减少了用户需要记住的密码数量。 借助此功能，用户还可以使用智能卡或硬件绑定密钥通过 Microsoft Entra ID 进行身份验证。 此功能让用户不必记住两个单独的密码，这样管理员便无需管理本地帐户密码，从而改善了最终用户体验。

有三种不同的身份验证方法可以确定最终用户体验：

• macOS 平台凭据：预配一个安全 Enclave 支持的硬件绑定加密密钥，可以在使用 Microsoft Entra ID 进行身份验证的应用中进行 SSO。 用户的本地帐户密码不受影响，需要登录到 Mac。
• 智能卡：用户使用外部智能卡或智能卡兼容的硬令牌（例如 Yubikey）登录到计算机。 设备解锁后，智能卡与 Microsoft Entra ID 一起使用，在使用 Microsoft Entra ID 进行身份验证的应用中授权 SSO。
• 密码作为身份验证方法：将用户的 Microsoft Entra ID 密码与本地帐户同步，并在使用 Microsoft Entra ID 进行身份验证的应用中启用 SSO。

PSSO 由 Apple 设备中的 Microsoft 企业 SSO 插件提供支持，它具有以下功能：

• 允许用户使用 Touch ID 进行无密码访问。
• 基于 Windows Hello 企业版技术使用防网络钓鱼凭据。
• 无需使用安全密钥，节省客户组织的成本。
• 利用与安全 Enclave 的集成推进实现零信任目标。

若要启用该功能，管理员需要通过 Microsoft Intune 或其他受支持的 MDM 配置 PSSO。 根据设备的配置方式，最终用户可以通过安全 Enclave、智能卡或基于密码的身份验证方法为其设备设置 PSSO。

要求

若要部署 macOS 平台 SSO，需要满足以下最低要求。

• 建议的 macOS 14 Sonoma 最低版本。 虽然支持 macOS 13 Ventura，但我们强烈建议使用 macOS 14 Sonoma，以获得最佳体验。
• Microsoft Authenticator
• 已安装 Microsoft Intune 公司门户应用 版本 5.2404.0 或更高版本。 在将用户定向到 PSSO 之前，需要安装此版本。

部署

有关如何部署 macOS 平台 SSO 的详细信息和说明，请参阅以下文章。

• 在全新体验中使用 Microsoft Entra 联接 Mac 设备
• 使用公司门户通过 Microsoft Entra ID 联接 Mac 设备

无密码身份验证

密码是不良行为者的主要攻击途径。 他们会使用社交工程、网络钓鱼和喷射攻击来破解密码。 而无密码身份验证策略降低了此类攻击的风险。

了解如何使用 macOS 平台 SSO 为组织启用无密码身份验证。

• Microsoft Entra ID 的无密码身份验证选项
• 规划 Microsoft Entra ID 中的无密码身份验证部署

macOS 平台凭据还可用作防网络钓鱼凭据，以供在 WebAuthn 质询中使用（包括浏览器重新身份验证方案）。 管理员需要为此功能启用 FIDO2 安全密钥身份验证方法。 如果你在 FIDO 策略中使用密钥限制策略，则需要将用于 macOS 平台凭据的 AAGUID 添加到允许的 AAGUID 列表：7FD635B3-2EF9-4542-8D9D-164F2C771EFC

美国国家标准与技术研究院 (NIST)

美国国家标准与技术研究院 (NIST) 是美国商务部内部的一个非监管联邦机构。 NIST 制定并发布标准、指南和其他出版物，以帮助联邦机构管理经济高效的计划，保护其信息和信息系统。

请参阅以下文章，详细了解如何使用 macOS 平台 SSO 来满足 NIST 的要求。

• 配置 Microsoft Entra ID 以符合 NIST 验证器保证级别
• NIST 验证器类型和保持一致的 Microsoft Entra 方法。
• 使用 Microsoft Entra ID 实现 NIST 验证器保证级别 3

故障排除

如果在实现 macOS 平台 SSO 的过程中遇到问题，请参阅文档 macOS Platform 单一登录已知问题和疑难解答