在平台 SSO 中启用 Kerberos SSO 以访问本地 Active Directory 和 Microsoft Entra ID Kerberos 资源
Mac 用户可以在首次运行的全新体验 (OOBE) 期间将其新设备加入 Microsoft Entra ID。 macOS 平台单一登录 (PSSO) 是在 macOS 上使用 Microsoft Enterprise 单一登录扩展启用的功能。 通过 PSSO,用户可以使用硬件绑定密钥、智能卡或其 Microsoft Entra ID 密码登录到 Mac 设备。
本教程介绍如何配置平台 SSO 以支持基于 Kerberos 的 SSO 到本地和云资源,以及 SSO 到 Microsoft Entra ID。 Kerberos SSO 是平台 SSO 中的可选功能,但如果用户仍需要访问使用 Kerberos 进行身份验证的本地 Active Directory 资源,则建议启用此功能。
先决条件
- 最低版本为 macOS 14 Sonoma。
- Microsoft Intune 公司门户版本 5.2408.0 或更高版本
- 在移动设备管理 (MDM) 中注册的 Mac 设备。
- 管理员配置的具有平台 SSO 设置的 SSO 扩展 MDM 有效负载已部署到设备。 如果 Intune 是你的 MDM,请参阅平台 SSO 文档或 Intune 部署指南。
- 部署 Microsoft Entra Kerberos,这是本地 Active Directory 中某些 Kerberos 功能所必需的。 有关更多详细信息,请参阅 Windows Hello for Business 云 Kerberos 信任部署指南。 如果已经部署了具有云 Kerberos 信任或 Windows 无密码安全密钥登录的 Windows Hello 企业版,则此步骤已完成。
设置 macOS 设备
若要了解如何配置和部署平台 SSO,请参阅 Microsoft Entra ID macOS 平台 SSO 文档。 无论是否选择使用本指南部署 Kerberos SSO,都应在企业管理的 Mac 上部署平台 SSO。
Kerberos SSO MDM 配置文件配置
必须配置 Kerberos SSO MDM 配置文件。 使用以下设置,确保将所有对 contoso.com 和 Contoso 的引用替换为适合环境的值:
| 配置密钥 | 建议的值 | 注意 |
|---|---|---|
preferredKDCs |
<string>kkdcp://login.partner.microsoftonline.cn/contoso.com/kerberos</string> |
将 contoso.com 值替换为租户域之一或租户的 GUID 的值 |
Hosts |
<string>contoso.com</string> |
将 contoso.com 替换为本地域/林名称 |
Hosts |
<string>*.contoso.com</string> |
将 contoso.com 替换为本地域/林名称。 在域/林名称之前保留上述 *. 字符 |
PayloadOrganization |
<string>Contoso</string> |
将 Contoso 替换为组织的名称 |
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>ExtensionData</key>
<dict>
<key>allowPasswordChange</key>
<true/>
<key>allowPlatformSSOAuthFallback</key>
<true/>
<key>performKerberosOnly</key>
<true/>
<key>pwReqComplexity</key>
<true/>
<key>syncLocalPassword</key>
<false/>
<key>usePlatformSSOTGT</key>
<true/>
<key>preferredKDCs</key>
<array>
<string>kkdcp://login.partner.microsoftonline.cn/contoso.com/kerberos</string>
</array>
</dict>
<key>ExtensionIdentifier</key>
<string>com.apple.AppSSOKerberos.KerberosExtension</string>
<key>Hosts</key>
<array>
<string>contoso.com</string>
<string>*.contoso.com</string>
<string>chinacloudapi.cn</string>
<string>*.chinacloudapi.cn</string>
<string>KERBEROS.MICROSOFTONLINE.COM</string>
<string>MICROSOFTONLINE.COM</string>
<string>*.MICROSOFTONLINE.COM</string>
</array>
<key>PayloadDisplayName</key>
<string>Single Sign-On Extensions Payload</string>
<key>PayloadIdentifier</key>
<string>1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5C</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>Realm</key>
<string>KERBEROS.MICROSOFTONLINE.COM</string>
<key>TeamIdentifier</key>
<string>apple</string>
<key>Type</key>
<string>Credential</string>
<key>URLs</key>
<array/>
</dict>
</array>
<key>PayloadDescription</key>
<string></string>
<key>PayloadDisplayName</key>
<string>Kerberos SSO Extension for macOS</string>
<key>PayloadEnabled</key>
<true/>
<key>PayloadIdentifier</key>
<string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
<key>PayloadOrganization</key>
<string>Contoso</string>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
在使用适合环境的值更新配置后,请使用文本编辑器保存配置,文件扩展名为 mobileconfig(例如,文件可以命名为 kerberos.mobileconfig)。
Intune 配置步骤
如果使用 Intune 作为 MDM,可以执行以下步骤来部署配置文件。 请确保按照前面的说明,将 contoso.com 值替换为适合组织的值。
- 登录 Microsoft Intune 管理中心。
- 选择“设备”>“配置”>“创建”>“新策略”。
- 输入以下属性:
- 平台:选择 macOS。
- 配置文件类型:选择“模板”。
- 选择“自定义”模板,并选择“创建”。
- 在“基础”中,输入以下属性:
- 名称:输入策略的描述性名称。 命名策略,以便以后可以轻松识别它们。 例如,将策略命名为 macOS - 平台 SSO Kerberos。
- 描述:输入策略的描述。 此设置是可选的,但建议使用。
- 选择下一步。
- 在“自定义配置文件名称”框中输入名称。
- 选择“部署通道”。 建议使用设备通道。
- 单击文件夹图标以上传配置文件。 自定义模板后,选择之前保存的 kerberos.mobileconfig 文件。
- 选择下一步。
- 在范围标记(可选)中,分配标记以将配置文件筛选到特定的 IT 组,例如
US-NC IT Team或JohnGlenn_ITDepartment。 选择下一步。
- 有关范围标记的详细信息,请参阅对分布式 IT使用 RBAC 角色和范围标记。
- 在“分配”中,选择将接收配置文件的用户或用户组。 平台 SSO 策略是基于用户的策略。 不要将平台 SSO 策略分配给设备。
- 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。
- 选择下一步。
- 在“查看 + 创建”中查看设置。 选择“创建”时,将保存所做的更改,并分配配置文件。 配置文件列表中也显示了该策略。
下次设备检查配置更新时,将应用配置的设置。
测试 Kerberos SSO
将配置文件分配到设备后,可以通过在终端应用中运行以下命令来检查设备是否具有 Kerberos 票证:
app-sso platform -s
应该有两个 Kerberos 票证,一个用于本地 AD,其 ticketKeyPath 值为 tgt_ad,另一个用于 Microsoft Entra ID 租户,其 ticketKeyPath 值为 tgt_cloud。 输出应如下所示:
使用支持 Kerberos 的相应资源进行测试,以验证配置是否正常工作:
- 通过使用 Finder 访问本地 AD 集成的文件服务器或使用 Safari 访问 Web 应用程序,测试本地 Active Directory 功能。 用户应能够访问文件共享,而无需对交互式凭据提出质询。
- 通过访问为 Microsoft Entra ID 云 kerberos 启用的Azure 文件存储共享来测试 Microsoft Entra ID Kerberos 功能。 用户应能够访问文件共享,而无需对交互式凭据提出质询。 如需在 Azure 文件存储中配置云文件共享,请参阅本指南。
已知问题
Kerberos SSO 扩展菜单附加项
在使用平台 SSO 部署对 Kerberos SSO 的支持时,仍可利用 macOS 的标准 Kerberos SSO 扩展功能。 与在没有平台 SSO 的情况下部署本机 Kerberos SSO 扩展一样,Kerberos SSO 扩展菜单附加项会显示在 macOS 菜单栏中:
在使用平台 SSO 部署 Kerberos 支持时,用户无需与 Kerberos SSO 扩展菜单附加项交互即可使用 Kerberos 功能。 即使用户未登录菜单栏附加项且菜单栏附加项报告“未登录”,Kerberos SSO 功能也仍会运行。 根据本文所述,你可以指示用户在使用平台 SSO 进行部署时忽略菜单栏附加项。 请改为确保验证 Kerberos 功能可在用户不与菜单栏附加项交互的情况下按预期运行,如本文的测试 Kerberos SSO 部分所述。
对 Kerberos SSO 的浏览器支持
某些浏览器需要其他配置才能启用 Kerberos SSO 支持,包括如果使用平台 SSO 在 macOS 设备上启用 Kerberos。 在 macOS 上部署 Kerberos 支持时,请为使用的每个浏览器部署适当的设置,以确保它们可以与 macOS Kerberos SSO 功能进行交互:
- Safari:默认支持 Kerberos SSO
- Microsoft Edge:
- 配置 AuthNegotiateDelegateAllowlist 设置以包含本地 Active Directory 林信息:AuthNegotiateDelegateAllowlist
- 配置 AuthServerAllowlist 设置以包含本地 Active Directory 林信息:AuthServerAllowlist
- Google Chrome
- 配置 AuthNegotiateDelegateAllowlist 设置以包含本地 Active Directory 林信息:AuthNegotiateDelegateAllowlist
- 配置 AuthServerAllowlist 设置以包含本地 Active Directory 林信息:AuthServerAllowlist
- Mozilla Firefox
- 配置 Mozilla Firefox network.negotiate-auth.trusted-uris 和 network.automatic-ntlm-auth.trusted-uris 设置以启用 Kerberos SSO 支持