macOS 平台单一登录 (PSSO) 是由 Microsoft 企业 SSO 插件、macOS 平台凭据提供支持的一项新功能,使用户能够使用其 Microsoft Entra ID 凭据登录到 Mac 设备。 此功能为管理员带来了一些好处,它简化了用户的登录过程,并减少了用户需要记住的密码数量。 借助此功能,用户还可以使用智能卡或硬件绑定密钥通过 Microsoft Entra ID 进行身份验证。 此功能让用户不必记住两个单独的密码,这样管理员便无需管理本地帐户密码,从而改善了最终用户体验。
有三种不同的身份验证方法可以确定最终用户体验:
- macOS 平台凭据:预配一个安全 Enclave 支持的硬件绑定加密密钥,可以在使用 Microsoft Entra ID 进行身份验证的应用中进行 SSO。 用户的本地帐户密码不受影响,但登录 Mac 时仍需要该密码。
- 智能卡:用户使用外部智能卡或智能卡兼容的硬令牌(例如 Yubikey)登录到计算机。 设备解锁后,智能卡与 Microsoft Entra ID 一起使用,在使用 Microsoft Entra ID 进行身份验证的应用中授权 SSO。
- 密码作为身份验证方法:将用户的 Microsoft Entra ID 密码与本地帐户同步,并在使用 Microsoft Entra ID 进行身份验证的应用中启用 SSO。
PSSO 由 Apple 设备中的 Microsoft 企业 SSO 插件提供支持,它具有以下功能:
- 允许用户使用 Touch ID 进行无密码访问。
- 基于 Windows Hello 企业版技术使用防网络钓鱼凭据。
- 无需使用安全密钥,节省客户组织的成本。
- 利用与安全 Enclave 的集成推进实现零信任目标。
若要启用该功能,管理员需要通过 Microsoft Intune 或其他受支持的 MDM 配置 PSSO。 根据设备的配置方式,最终用户可以借助安全隔区、智能卡或基于密码的身份验证方法,通过 PSSO 设置其设备。
要求
若要部署 macOS 平台 SSO,需要满足以下最低要求。
- 建议的 macOS 14 Sonoma 最低版本。 虽然支持 macOS 13 Ventura,但我们强烈建议使用 macOS 14 Sonoma,以获得最佳体验。
- Microsoft验证器
- 已安装 Microsoft Intune 公司门户应用 版本 5.2404.0 或更高版本。 在将用户定向到 PSSO 之前,需要安装此版本。
- 用户必须具有足够的权限来注册和将设备加入到Microsoft Entra ID。
配置
有关如何配置的详细信息和说明,请参阅以下文章:
部署
有关如何部署 macOS 平台 SSO 的详细信息和说明,请参阅以下文章。
美国国家标准与技术研究院 (NIST)
美国国家标准与技术研究院 (NIST) 是美国商务部内部的一个非监管联邦机构。 NIST 制定并发布标准、指南和其他出版物,以帮助联邦机构管理经济高效的计划,保护其信息和信息系统。
故障排除
如果在实现 macOS 平台 SSO 的过程中遇到问题,请参阅文档 macOS Platform 单一登录已知问题和疑难解答