适用于 macOS 设备的平台单一 Sign-On(PSSO)是一项功能,允许用户使用其Microsoft Entra 凭据登录到 macOS 设备。 此功能为用户提供无缝登录体验,并帮助组织管理对 macOS 设备上的资源的访问权限。
本指南介绍如何将 macOS 平台单一 Sign-On(PSSO)集成到 MDM 解决方案中。 本指南适用于想要为 macOS 设备支持 PSSO 的第三方 MDM 解决方案的开发人员。
先决条件
在开始之前,建议熟悉以下文章:
- Intune 为合作伙伴托管设备符合性集成 API 提供的任何文档
- 适用于 Apple 设备的Microsoft企业单一 Sign-On(SSO)插件。
- macOS 平台单一登录概述。
所需的最低有效负载属性
对于 Apple 设备的 Microsoft Enterprise Single Sign-On(SSO)插件,需要以下设置和有效负载属性。 确保这些设置配置了以下值,并根据需要添加其他设置,以确保应用的 SSO 正确。
| 设置 | Value(s) |
|---|---|
| 扩展标识符 | com.microsoft.CompanyPortalMac.ssoextension |
| 团队标识符 | UBF8T346G9 |
| 身份验证方法 (已弃用) [OS13 设备必需] | 其中一个...密码 UserSecureEnclaveKey |
| 身份验证方法(OS14+ 设备) | 其中一个...密码 UserSecureEnclaveKey 智能卡 (macOS 14+) |
| 屏幕锁定行为 | 请勿处理 |
| 类型 | 重定向 |
| 网址 | 提供以下 URL https://login.microsoftonline.com https://login.microsoft.com https://sts.windows.net https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn https://login.microsoftonline.us https://login-us.microsoftonline.com |
| 使用共享设备密钥 | 为最佳 PSSO 体验启用“使用共享设备密钥”,并在以后启用时避免不必要的重新注册体验。 |
事件通知
根据事件的状态,可能需要在完成各种 PSSO 事件后执行其他作。 以下列表包含 Entra ID SSO 扩展针对各种 PSSO 事件发布的通知。 MDM 可以选择侦听这些通知并执行相应的作。
事件
请考虑使用这些事件记录遥测或监视错误或成功案例。 设备注册和用户注册完成后,应通过符合性 API 服务标记设备符合性。
| 通知名称 | Trigger |
|---|---|
| Microsoft.PlatformSSO.DeviceRegistration.Started | 设备注册已启动 |
| Microsoft.PlatformSSO.DeviceRegistration.Succeeded | 设备注册已完成 |
| Microsoft.PlatformSSO.DeviceRegistration.Failed | 设备注册失败 |
| Microsoft.PlatformSSO.UserRegistration.Started | 用户注册已启动 |
| Microsoft.PlatformSSO.UserRegistration.Succeeded | 用户注册已完成 |
| Microsoft.PlatformSSO.UserRegistration.Failed | 用户注册失败 |
| Microsoft.PlatformSSO.Registration.Succeeded | 设备和用户注册都已完成 |
| Microsoft.PlatformSSO.Registration.Failed | 设备或用户注册失败 |
| Microsoft.PlatformSSO.Registration.Removed | 已删除平台 SSO 注册 |