使用 Microsoft Entra ID 加入 Mac 设备并针对共享设备应用场景配置它(预览版)
本教程介绍如何通过移动设备管理 (MDM) 配置 Microsoft Entra 联接 Mac 以支持多个用户。 可通过三种方法将 Mac 设备注册到平台 SSO (PSSO):安全 Enclave、智能卡或密码。 建议使用安全 enclave 或智能卡获得最佳无密码体验,但共享或多用户 Mac 可能更适合使用密码方法。 使用密码的共享 Mac 的常见应用场景是学校或大学的计算机实验室。 在这些应用场景中,学生使用多台设备,多名学生使用同一台设备,并且他们只有密码,而没有 MFA 或无密码凭据。
先决条件
- macOS 14 Sonoma 或更高版本的必需最低版本。 虽然 macOS 13 Ventura 总体上支持平台 SSO,但只有 Sonoma 支持本指南中所述的平台 SSO 共享 Mac 应用场景所需的工具。
- Microsoft Intune 公司门户应用版本 5.2404.0 或更高版本。
- 管理员在 MDM 中配置的平台 SSO MDM 有效负载。
MDM 配置
在共享设备上配置平台 SSO 有三个主要步骤:
- 部署公司门户。 有关详细信息,请参阅为 macOS 应用添加公司门户。
- 部署平台 SSO 配置。 使用所需的平台 SSO 配置创建和部署设置目录配置文件。
- 部署 macOS 登录屏幕配置。 可以更改 macOS 登录屏幕配置,以允许新用户登录。
平台 SSO 配置文件配置
平台 SSO MDM 配置文件应应用以下配置来支持多用户设备:
| 配置参数 | 值 | 注意 |
|---|---|---|
| 屏幕锁定行为 | 请勿处理 | 必须 |
| 注册令牌 | {{DEVICEREGISTRATION}} | 推荐以获得最佳注册用户体验 |
| 身份验证方法 | 密码 | 对于本文推荐,建议对单用户设备使用安全 enclave 密钥 |
| 启用授权 | 已启用 | 必须 |
| 启用登录时创建用户 | 已启用 | 必须 |
| 新的用户授权模式 | Standard | 建议 |
| 令牌到用户映射 -> 帐户名称 | preferred_username | 必须 |
| 令牌到用户映射 -> 全名 | name | 必须 |
| 使用共享设备密钥 | 已启用 | 必须 |
| 用户授权模式 | Standard | 建议 |
| 团队标识符 | UBF8T346G9 | 必须 |
| 扩展标识符 | com.microsoft.CompanyPortalMac.ssoextension | 必须 |
| 类型 | 重定向 | 必须 |
| URL | https://login.microsoftonline.com, https://login.microsoft.com, https://sts.windows.net, https://login.partner.microsoftonline.cn, https://login.chinacloudapi.cn, https://login.microsoftonline.us, https://login-us.microsoftonline.com | 必须 |
如果使用 Intune 作为所选的 MDM,则配置文件设置将如下所示:
macOS 登录屏幕配置
若要允许新用户登录并从 macOS 登录屏幕创建,可以使用两种配置:
显示其他用户托管。 使用此配置,macOS 登录屏幕会显示已创建的配置文件列表,以及可用于使用用户名和密码登录的“其他用户”按钮。 用户可以选择其现有配置文件登录,也可以使用其 Microsoft Entra ID 用户主体名称 (UPN) 登录。
显示全名。 使用此配置,macOS 登录屏幕会显示用户名和密码字段,但没有用户列表。 用户可以使用其 Microsoft Entra ID UPN 登录。
可以在 Intune“设置目录”中的“登录”>”登录窗口行为”下找到这些配置。
注册和登记设备
若要使用平台 SSO 登记 Mac 设备,必须为设备注册 MDM。 对于共享设备,设置设备的用户通常是管理员或技术人员,除非创建了备用本地管理员帐户,否则此用户将拥有本地管理权限。
注意
如果使用自动设备注册进行注册,则可以选择鼓励用户设置设备以创建本地帐户,如下所示:
- 帐户名称:Microsoft Entra ID 用户名(例如 user@domain.com)。
- 全名:姓氏和名字。 这是因为在设置助理期间创建的本地帐户将在登记期间与 Microsoft Entra ID 帐户相关联。
在共享设备上设置平台 SSO 有三个高级步骤:
- IT 管理员或委派人员使用 Intune 注册设备。
- IT 管理员或委派人员使用其凭据通过 Microsoft Entra ID 登记设备。
- 现在,设备已准备好让新用户从 Microsoft Entra ID 登录屏幕登录。
组织可以使用不同的方法将共享设备注册到 Intune,具体取决于设备所有权。
| 注册方法 | 设备所有权 | 要求 |
|---|---|---|
| 自动设备注册,没有用户关联 | 公司或学校拥有 | ✔️在 Apple 商务管理中登记 ✔️ Intune 中配置的自动设备注册 |
| 公司门户 | 个人 | 无 |
平台 SSO 注册
在设备注册 MDM 并安装公司门户后,你需要向平台 SSO 登记设备。 屏幕右上角会出现“需要注册”弹出窗口。 使用弹出窗口通过 Microsoft Entra ID 凭据向平台 SSO 登记设备:
导航到屏幕右上角的“需要注册”弹出窗口。 将鼠标悬停在弹出窗口上,然后选择“注册”。
系统会提示使用 Microsoft Entra ID 注册设备。 输入登录凭据,然后选择“下一步”。
- 管理员可能已为设备注册流程配置 MFA。 如果是这样,请在移动设备上打开 Authenticator 应用并完成 MFA 流程。
出现“单一登录”窗口时,输入本地帐户密码并选择“确定”。
如果本地密码与 Microsoft Entra ID 密码不同,则屏幕右上角会显示“需要身份验证”弹出窗口。 将鼠标悬停在横幅上并选择“登录”。
出现 Microsoft Entra 窗口时,输入 Microsoft Entra ID 密码,然后选择“登录”。
解锁 Mac 后,现在可以使用平台 SSO 访问 Microsoft 应用资源。 从此时起,旧密码不再起作用,因为设备已启用平台 SSO。
检查设备注册状态
完成上述步骤后,建议检查设备注册状态。
若要检查注册是否已成功完成,请导航到“设置”并选择“用户和组”。
选择“网络帐户服务器”旁边的“编辑”,并检查“平台 SSO”是否列为“已注册”。
若要验证用于身份验证的方法,请在“用户和组”窗口中导航到用户名,然后选择“信息”图标。 检查列出的方法,应为“安全 Enclave”、“智能卡”或“密码”。
注意
还可使用“终端”应用检查注册状态。 运行以下命令以检查设备注册状态。 应会在输出底部看到已检索 SSO 令牌。 对于 macOS 13 Ventura 用户,需要运行此命令才能检查注册状态。
app-sso platform -s
测试“启用登录时创建用户”功能
接下来,应验证设备是否已准备好供租户中的其他用户登录。
- 使用用于执行初始设置的帐户退出登录 Mac。
- 在登录屏幕上,选择“其他...”选项以使用新用户帐户登录
- 输入用户的 Microsoft Entra ID 用户主体名称和密码。
- 如果用户主体名称和密码正确,则用户将登录。 默认情况下,用户将转到多个设置助理对话框屏幕,然后登录到 macOS 桌面。
故障排除
如果用户无法成功登录,请使用以下资源进行故障排除:
- 请参阅 macOS 平台单一登录已知问题和故障排除指南
- 验证用户是否可以在另一台设备上的浏览器中使用其用户主体名称和密码成功登录到 Microsoft Entra ID。 可以通过让用户转到 Web 应用(如 https://myapplications.windowsazure.cn)进行测试