Partager via

通过公司门户应用使用 Microsoft Entra ID 绑定 Mac 设备

在本教程中,您将学习如何使用公司门户和 Microsoft Entra Join 的 Intune MDM 注册,将 Mac 设备注册到 macOS 平台单一登录 (PSSO)。 可通过三种方法将 Mac 设备注册到 PSSO:安全 Enclave、智能卡或密码。 建议使用安全 Enclave 或智能卡获得最佳无密码体验,但请务必注意,此方法将由公司管理员使用 Microsoft Intune 预设。

先决条件

  • 建议最低使用 macOS 14 Sonoma 版本。 虽然也支持 macOS 13 Ventura,但我们强烈建议使用 macOS 14 Sonoma 获得最佳体验。
  • Microsoft Intune“公司门户”应用版本 5.2404.0 或更高版本
  • 在使用 Microsoft Intune 的移动设备管理 (MDM) 中注册的 Mac 设备。
  • 管理员在 Intune 中使用 PSSO 设置配置的 SSO 扩展 MDM 有效负载
  • Microsoft Authenticator(建议使用),用户必须注册某种形式的 Microsoft Entra ID 多重身份验证 (MFA),才能完成设备注册。
  • 对于智能卡设置,已配置并启用基于证书的身份验证。 使用证书加载的智能卡(用于通过 Microsoft Entra 进行身份验证),以及与本地帐户配对的智能卡。
  • 用户必须具有足够的权限来注册和将设备加入到Microsoft Entra ID
  • 如果环境中启用了网络代理筛选或 TLS 检查,请务必查看平台单一 Sign-On 故障排除指南中记录的建议设置

使用“公司门户”的 Intune MDM 和 Microsoft Entra Join

若要将 Mac 设备注册到 PSSO,必须先使用“公司门户”应用在 Microsoft Intune 中注册该设备。 注册后,可以使用安全 Enclave、智能卡或密码,将设备注册到 PSSO。

  1. 打开“公司门户”应用,然后选择“登录”。

  2. 输入 Microsoft Entra ID 凭据,然后选择“下一步”。

  3. 系统会提示你设置 {Company} 访问权限。 “公司”占位符可能因您的设置而有所不同。 选择“开始”,然后在下一个屏幕上,选择“继续”。

    “公司门户”访问设置窗口的屏幕截图。

  4. 您将会看到安装管理配置文件的具体步骤。 管理配置文件本应由管理员使用 Microsoft Intune 进行设置。 选择 下载配置文件

    请求用户下载管理配置文件的“公司门户”窗口的屏幕截图。

  5. 打开“设置”>“隐私和安全”>“配置文件”(如果未自动显示)。 选择管理配置文件

    “设置”应用中的配置文件屏幕截图,显示下载的管理配置文件。

  6. 选择“安装”,获取对公司资源的访问权限。

    在设置中安装管理配置文件的提示的屏幕截图。

  7. 在显示的“配置文件”窗口中输入本地设备密码,然后选择“注册”。

    要求密码以将您注册到 MDM 服务的个人资料窗口屏幕截图。

  8. 你将在“公司门户”中看到安装已完成的通知。 选择“完成”。

平台 SSO 注册

设备符合“公司门户”要求后,你需要将设备注册到 PSSO。 使用“公司门户”成功完成 Intune MDM 和 Microsoft Entra Join 后,屏幕右上角会显示“需要注册”弹出窗口。 通过选项卡使用安全 Enclave、智能卡或密码将设备注册到 PSSO。

小窍门

如果“注册要求”弹出窗口未出现或在您与其交互前消失:

  • 等待大约 10 分钟 — 弹出窗口在注册尝试失败或错过后自动重新出现。
  • 注销并重新登录您的 Mac,这会重新触发注册通知。
  • 修复注册 (macOS 14+) - 转到 “设置>用户和组>网络帐户服务器>编辑>修复 ”以重启注册流。
  • 如果在注册期间关闭了 SSO 身份验证提示,请注销并重新登录以恢复该通知。

有关更多故障排除步骤,请参阅 平台 SSO 已知问题和故障排除

  1. 导航到屏幕右上角的“需要注册”弹出窗口。 将鼠标悬停在弹出窗口上,然后选择“注册”。 macOS 14 Sonoma 用户将看到向 Microsoft Entra 注册设备的提示。 macOS 13 Ventura 不会显示此提示。

    选择注册所需的通知后,macOS 14 上显示的 Microsoft Entra 注册提示的屏幕截图。

  2. 使用 Touch ID 或密码解锁帐户后,选择要登录的帐户,输入登录凭据,然后选择“下一步”。

  3. MFA 是此登录流程必需的一部分。 打开 Authenticator 应用(建议)或使用已注册的其他 MFA 方法,并输入屏幕上显示的号码以完成注册。

  4. 当 MFA 流程完成并且加载屏幕消失时,你的设备便已注册到 PSSO。 现在可以使用 PSSO 访问 Microsoft 应用资源了。

在 macOS 上启用平台凭据以用作密码

在使用安全区块方法设置设备后,你可以将生成的凭据保存在 Mac 上,并在浏览器中用作通行密钥。 若要启用此功能,请执行以下操作:

  1. 打开 “设置” 应用,导航到 “常规”>“自动填充”&“密码”

  2. 在“自动填充和密码”下,找到“自动填充自”,并通过切换开关启用“公司门户”

    “密码选项”窗口的屏幕截图,指示公司门户的密码和通行密钥功能已通过开关启用。

检查设备注册状态

完成上述步骤后,最好检查设备注册状态。

  1. 若要检查注册是否已成功完成,请导航到“设置”并选择“用户和组”

  2. 选择编辑网络帐户服务器旁边,并检查平台 SSO是否列为已注册

  3. 若要验证用于身份验证的方法,请在“用户和组”窗口中导航到用户名,然后选择“信息”图标。 检查列出的方法,应为“安全 Enclave”、“智能卡”或“密码”

    注意

    还可使用“终端”应用检查注册状态。 运行以下命令以检查设备注册状态。 你应该会在输出底部看到已经检索到的 SSO 令牌。 对于 macOS 13 Ventura 用户,需要运行此命令才能检查注册状态。

    app-sso platform -s

更新 Mac 设备以启用 PSSO

对于已在“公司门户”中注册设备的 macOS 用户,管理员可以通过更新设备的 SSO 扩展配置文件来启用 PSSO。 在设备上部署并安装 PSSO 配置文件后,系统会提示通过屏幕右上角的“需要注册”通知将设备注册到 PSSO。 这将从设备中删除旧的 SSO 注册,由新的 PSSO 注册取代。

尽管我们建议立即执行此操作,但你可以选择此项,并在方便的时候启动设备注册。

另请参阅

  • Last updated on