本文档为美国政府机构部署 macOS 平台单一登录 (PSSO) 提供全面指导,以满足美国国家标准和技术研究院特殊发布 (SP) 800-63 修订版 4 和行政命令 (EO) 14028 的要求。 通过遵循本文档中列出的说明和最佳做法,组织可以确保其 macOS 用户获得无缝且安全的 SSO 体验。
先决条件
- 最低版本 macOS 13 Ventura(建议使用 macOS 14 Sonoma 或更高版本)
- 用户在注册期间必须能够使用 Entra ID 中支持的 MFA 方法之一来执行多重身份验证。
- 已安装 Microsoft Intune 公司门户应用版本 5.2408.0 或更高版本。 在将用户定向到 PSSO 之前,需要安装此版本。
身份验证方法选择
美国政府机构必须在部署到其设备的平台 SSO 配置中使用防网络钓鱼身份验证方法。
macOS 14 Sonoma 及更高版本在 Apple 平台 SSO 框架中提供了两种防网络钓鱼方法:
- 安全 Enclave(推荐)。
- 智能卡。
有关详细信息和使用平台 SSO 的可用身份验证方法的比较,请参阅“确定身份验证方法”。
Microsoft Intune 配置
请参阅在 Microsoft Intune 中为 macOS 设备配置平台 SSO。
其他 MDM 的配置
有关 macOS 支持和预配平台 SSO 的信息,请参阅 MDM 提供程序的文档。
为不使用 Microsoft 身份验证库 (MSAL) 的应用程序启用 SSO
配置 Kerberos SSO 集成
请参阅在平台 SSO 中启用 Kerberos SSO 以访问本地 Active Directory 和 Microsoft Entra ID Kerberos 资源。
帐户管理
创建和预配帐户
若要使用平台 SSO,设备必须已注册 MDM。 如果使用 Intune,请使用下列方法之一:
对于组织拥有的设备,你可以:
对于个人拥有的设备,请创建设备注册策略。 使用此注册方法,最终用户可以打开公司门户应用,并使用其 Microsoft Entra ID 用户帐户登录。 成功登录后,将应用注册策略。
对于新设备,建议预先创建并配置所有必要的策略,包括注册策略。 然后,当设备在 Intune 中注册时,策略会自动应用。
对于已经在 Intune 中注册的现有设备,将平台 SSO 策略分配给用户或用户组。 下次设备与 Intune 同步或签入 Intune 时,它们会收到你创建的平台 SSO 策略设置。
创建设备符合性策略
Microsoft Intune 中的设备符合性策略使管理员能够确保已注册的设备符合组织安全标准并正确配置。 这些策略通过强制实施要求(如加密、操作系统版本和密码强度等安全措施)来帮助保护公司数据。 有关配置设备符合性策略的详细信息,请参阅 Intune 中的 macOS 设置的设备符合性设置。
取消预配或登出帐户
从租户中删除用户
请参阅如何创建、邀请和删除用户。
撤消用户的访问权限
请参阅在 Microsoft Entra ID 中撤销用户访问权限。
使用 Intune 远程锁定设备
请参阅使用 Intune 远程锁定设备。
MDM 取消注册
步骤 1 - 从配置文件分配中移除 PSSO 目标用户
- 在 Microsoft Intune 管理中心,单击“主文件夹”。
- 转至“设备”,然后转至“配置文件”。
- 从列表中选择想要编辑的配置文件。
- 在“分配”旁,选择“编辑”。
- 若要删除分配,请选择“删除”。
- 选择“审阅 + 保存”以完成更改。
步骤 2 - 执行批量设备操作以同步策略移除
- 在 Microsoft Endpoint Management 中心中,选择“设备”。
- 选择“所有设备”,然后选择“批量设备操作”。
- 在“批量设备操作”页上,选择 macOS 作为 OS,然后选择“同步”作为设备操作。
- 选择“下一步”,然后选择操作支持的最大设备数,再选择“下一步”。
- 在“审阅 + 创建”页面上,选择“创建”并运行操作。
提示
若要同步特定设备,请参阅同步设备,以便使用 Intune 获取最新的策略和操作。
检测并移除 Microsoft Entra ID 和 Intune 中的陈旧设备
请参阅“如何管理 Microsoft Entra ID 中的陈旧设备以及从 Intune 管理中心删除设备。
将应用程序与 SSO 代理集成
对于工作和学校帐户,适用于 Apple 设备的 MSAL 1.1.0 及更高版本在本机支持适用于 Apple 设备的 Microsoft 企业 SSO 插件。
如果按照快速入门:从 iOS 或 macOS 应用登录用户并调用 Microsoft Graph 操作并使用 默认重定向 URI 格式,则不需要任何特殊配置。
在具有 SSO 插件的设备上,MSAL 会自动为所有交互式和无提示令牌请求调用它。 还会为帐户枚举和帐户删除操作调用它。 由于 MSAL 实现了依赖于客户操作的本机 SSO 插件协议,此设置可为最终用户提供最流畅的本机体验。
最佳方案
任务智能卡证书固定
使用基于任务智能卡的身份验证时,强烈建议你指定哪些证书颁发机构用于智能卡证书的信任评估。 此信任与证书信任设置结合使用,被称为证书固定。 有关详细信息,请参阅 Mac 上的高级智能卡选项。
配置示例
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" http://www.apple.com/DTDs/PropertyList-1.0.dtd>
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>PlatformSSO:$1</string>
</dict>
<key>TrustedAuthorities</key>
<array>
<string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string>
</array>
</dict>
</plist>
故障排除
如果在部署 macOS 平台 SSO 的过程中遇到问题,请参阅文档 macOS 平台单一登录已知问题和疑难解答。