macOS 平台单一登录 (PSSO) 是由 Microsoft 企业 SSO 插件、macOS 平台凭据提供支持的一项新功能,使用户能够使用其 Microsoft Entra ID 凭据登录到 Mac 设备。 此功能为管理员带来了一些好处,它简化了用户的登录过程,并减少了用户需要记住的密码数量。 借助此功能,用户还可以使用智能卡或硬件绑定密钥通过 Microsoft Entra ID 进行身份验证。 此功能让用户不必记住两个单独的密码,这样管理员便无需管理本地帐户密码,从而改善了最终用户体验。
有三种不同的身份验证方法可以确定最终用户体验:
- macOS 平台凭据:预配一个安全 Enclave 支持的硬件绑定加密密钥,可以在使用 Microsoft Entra ID 进行身份验证的应用中进行 SSO。 用户的本地帐户密码不受影响,但登录 Mac 时仍需要该密码。
- 智能卡:用户使用外部智能卡或智能卡兼容的硬令牌(例如 Yubikey)登录到计算机。 设备解锁后,智能卡与 Microsoft Entra ID 一起使用,在使用 Microsoft Entra ID 进行身份验证的应用中授权 SSO。
- 密码作为身份验证方法:将用户的 Microsoft Entra ID 密码与本地帐户同步,并在使用 Microsoft Entra ID 进行身份验证的应用中启用 SSO。
PSSO 由 Apple 设备中的 Microsoft 企业 SSO 插件提供支持,它具有以下功能:
- 允许用户使用 Touch ID 进行无密码访问。
- 基于 Windows Hello 企业版技术使用防网络钓鱼凭据。
- 无需使用安全密钥,节省客户组织的成本。
- 利用与安全 Enclave 的集成推进实现零信任目标。
若要启用该功能,管理员需要通过 Microsoft Intune 或其他受支持的 MDM 配置 PSSO。 根据设备的配置方式,最终用户可以借助安全隔区、智能卡或基于密码的身份验证方法,通过 PSSO 设置其设备。
要求
若要部署 macOS 平台 SSO,需要满足以下最低要求。
- 建议的 macOS 14 Sonoma 最低版本。 虽然支持 macOS 13 Ventura,但我们强烈建议使用 macOS 14 Sonoma,以获得最佳体验。
- Microsoft验证器
- 已安装 Microsoft Intune 公司门户应用 版本 5.2404.0 或更高版本。 在将用户定向到 PSSO 之前,需要安装此版本。
- 用户必须具有足够的权限来注册和将设备加入到Microsoft Entra ID。
配置
有关如何配置的详细信息和说明,请参阅以下文章:
注释
如果要使用第三方 MDM 为 macOS 设备配置平台 SSO,请参阅 MDM 供应商提供的文档,获取有关如何配置平台 SSO 的具体说明。
如果你是第三方 MDM 解决方案的开发人员,请参阅 将 macOS 平台单一登录(PSSO)集成到 MDM 解决方案 指南中,了解有关如何将 PSSO 集成到 MDM 解决方案的详细信息。
部署
有关如何部署 macOS 平台 SSO 的详细信息和说明,请参阅以下文章。
无密码身份验证
密码是不良行为者的主要攻击途径。 他们会使用社交工程、网络钓鱼和喷射攻击来破解密码。 而无密码身份验证策略降低了此类攻击的风险。
了解如何使用 macOS 平台 SSO 为组织启用无密码身份验证。
macOS 平台凭据还可以作为防钓鱼凭据,用于 WebAuthn 质询(包括浏览器重新身份验证场景)。 如果在 FIDO 策略中使用密钥限制,则需要将 macOS 平台凭据的 AAGUID 添加到允许的 AAGUID 列表: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC
Microsoft平台SSO:UserSecureEnclaveKeyBiometricPolicy
Microsoft Platform SSO 支持将 Platform SSO 与 UserSecureEnclaveKey 身份验证方法配合使用时使用 UserSecureEnclaveKeyBiometricPolicy 选项。 每当需要访问用户安全 Enclave 密钥时,此策略都会要求用户使用 Touch ID 进行身份验证,从而增强安全性。
- 启用此策略后,每当访问用户安全 Enclave 密钥时,系统会提示用户进行触摸 ID 身份验证。 将在 PSSO 注册期间发出提示,在浏览器使用用户密钥作为通行密钥进行重新身份验证,并在登录期间进行身份验证以获取 PSSO 令牌。
- 启用此策略要求设备支持触摸 ID 生物识别身份验证。 用户需要配置 Touch ID 才能继续执行 PSSO 注册。 管理员应在启用此策略之前确保用户具有生物识别支持的设备或支持 Touch ID 的外部键盘。
注释
启用 UserSecureEnclaveKeyBiometricPolicy 时,当使用用户安全专属密钥进行身份验证时,没有密码回退选项。 因此,如果用户没有可用的触摸 ID 生物识别,则无法对 Microsoft Entra ID 进行身份验证。
UserSecureEnclaveKeyBiometricPolicy 的要求
作系统:macOS 14.6 及更高版本
公司门户版本:2504 及更高版本
重要
如果在 PSSO 注册完成后启用此功能,则所有用户都需要进行完整的 PSSO 重新注册过程才能使策略生效。 此重新注册过程必须由管理员驱动,因为用户不会看到重新注册提示。 管理员应仔细考虑是否启用此策略并相应地规划 PSSO 的部署。
如何启用 UserSecureEnclaveKeyBiometricPolicy
高安全性客户可以通过在 SSO 扩展的数据字典中设置标志来选择启用此功能。
- 密钥名称:enable_se_key_biometric_policy
- 值:true
UserSecureEnclaveKeyBiometricPolicy 的优点
- 增强安全性:用户安全 Enclave 密钥访问受硬件保护,只能在成功进行 Touch ID 身份验证后访问,从而提供额外的安全层。
UserSecureEnclaveKeyBiometricPolicy 的缺点
- 更多提示:用户在 PSSO 注册期间会遇到额外的提示,因为在此过程中多次访问密钥。
- Biometric-Only 访问:只能通过生物识别身份验证访问 PSSO 密码。 没有备用密码方案。 如果设备使用密码解锁,用户仍会提示用户进行生物识别身份验证以获取 PSSO 令牌。
Kerberos SSO 到本地 Active Directory 和 Microsoft Entra ID 的 Kerberos 资源
macOS 允许用户配置平台 SSO 以支持基于 Kerberos 的 SSO 到本地和云资源,以及 SSO 到 Microsoft Entra ID。 Kerberos SSO 是平台 SSO 中的可选功能,但如果用户仍需要访问使用 Kerberos 进行身份验证的本地 Active Directory 资源,则建议这样做。
若要了解详细信息,请参阅 Kerberos SSO 到本地 Active Directory 并Microsoft Entra ID Kerberos 资源。
图形 API 支持
可以使用 Microsoft 图形 API 来管理 PlatformCredential 身份验证方法。
以下 API 可用:
- platformCredentialAuthenticationMethod 资源类型。
- 列出 platformCredentialAuthenticationMethods。
- 删除 platformCredentialAuthenticationMethod。
美国国家标准与技术研究院 (NIST)
美国国家标准与技术研究院 (NIST) 是美国商务部内部的一个非监管联邦机构。 NIST 制定并发布标准、指南和其他出版物,以帮助联邦机构管理经济高效的计划,保护其信息和信息系统。
故障排除
如果在实现 macOS 平台 SSO 的过程中遇到问题,请参阅文档 macOS Platform 单一登录已知问题和疑难解答