在 macOS 设备上,可以将平台 SSO 配置为使用 Microsoft Entra 帐户启用单一登录 (SSO) 。 平台 SSO 允许用户访问其 macOS 设备上的资源,而无需重复输入其凭据。
配置平台 SSO 后,可以使用本文中所述的方案对本地资源使用 Kerberos SSO 身份验证,通过生物识别增强安全性,在非Microsoft应用上启用 SSO,并改善用户体验。
此功能适用于:
- macOS
开始之前
在配置本文中的方案之前,必须在 Microsoft Intune 中为 macOS 设备配置平台 SSO 。 配置后,你有一个现有的平台 SSO 设置目录策略,用于添加本文中所述的方案。
只能将一个 SSO 策略分配给组。 因此,如果已配置平台 SSO,请将这些方案设置添加到现有平台 SSO 设置目录策略。
若要更新现有设置目录策略,请至少使用以下 Intune 权限的帐户登录到 Microsoft Intune 管理中心 :
- 设备配置 读取、 创建、 更新和 分配 权限
有一些内置角色具有这些权限,包括内置 策略和配置文件管理器 Intune 角色。 有关 Intune 中 RBAC 角色的详细信息,请转到 基于角色的访问控制 (使用 Microsoft Intune 的 RBAC) 。
启用 Kerberos SSO 以本地 Active Directory和Microsoft Entra ID
应用于:
- 公司门户版本 2508 及更新版本
Microsoft Entra本地和基于云的 Kerberos 票证授予票证 (TGT) 的问题。 使用平台 SSO,可以将这些 TGT 配置为使用 Apple 的 Kerberos SSO 扩展访问本地 Active Directory和Microsoft Entra ID, (打开 Apple 网站) 。
如果希望用户具有对使用 Kerberos 身份验证的本地和云资源的 SSO 访问权限,则此方案适合你。 若要详细了解 Microsoft Entra 中的 Kerberos SSO,请参阅在 Platform SSO 中启用 Kerberos SSO 以本地 Active Directory和Microsoft Entra ID Kerberos 资源。
在现有平台 SSO 设置目录策略中,添加 扩展数据 设置。 扩展数据设置与打开的文本字段的概念类似;可以配置所需的任何值。
在现有平台 SSO 设置目录策略中,添加 扩展数据:
在 Intune 管理中心 (设备>管理设备>配置) ,选择现有的平台 SSO 设置目录策略。
在 “属性>配置设置”中,选择“ 编辑>添加设置”。
在设置选取器中,展开“身份验证”,然后选择“可扩展单一登录 (SSO) :
在列表中,选择“ 扩展数据” 并关闭设置选取器:
在“扩展数据”中,添加以下键和首选值。 仅为密钥输入一个值。
键 类型 值 说明 custom_tgt_setting 整数 0本地 TGT 和云 TGT (默认) - 映射本地 TGT 和云 TGT。 1仅限本地 TGT – 仅映射本地 TGT。 2仅限云 TGT - 仅映射基于云的 TGT。 3无 TGT – 完全禁用 TGT 映射。 选择“ 下一步 ”保存更改,并完成策略。 如果策略已分配给用户或组,则这些组在下次 与 Intune 服务同步时会收到策略更改。
使用安全 Enclave 身份验证的触控 ID 生物识别策略
在支持触控 ID 生物识别身份验证的设备上,可以使用安全 Enclave 身份验证选项,如 在 Microsoft Intune 中为 macOS 设备配置平台 SSO 中所述。
每当需要访问用户安全 Enclave 密钥时,此策略要求用户使用触控 ID 进行身份验证。 若要详细了解 UserSecureEnclaveKeyBiometricPolicy,请参阅 UserSecureEnclaveKeyBiometricPolicy。
将 扩展数据 设置添加到现有平台 SSO 设置目录策略。
在现有平台 SSO 设置目录策略中,添加 扩展数据:
在 Intune 管理中心 (设备>管理设备>配置) ,选择现有的平台 SSO 设置目录策略。
在 “属性>配置设置”中,选择“ 编辑>添加设置”。
在设置选取器中,展开“身份验证”,然后选择“可扩展单一登录 (SSO) :
在列表中,选择“ 扩展数据” 并关闭设置选取器:
在“扩展数据”中,添加以下键和值:
键 类型 值 说明 enable_se_key_biometric_policy 布尔值 True 复制并粘贴此值。 选择“ 下一步 ”保存更改,并完成策略。 如果策略已分配给用户或组,则这些组在下次 与 Intune 服务同步时会收到策略更改。
非Microsoft应用和Microsoft企业 SSO 扩展设置
如果以前使用了 Microsoft Enterprise SSO 扩展,并且/或想要在非Microsoft应用上启用 SSO,请将 扩展数据 设置添加到现有平台 SSO 设置目录策略。
在此方案中,我们使用 扩展数据 设置来:
- 配置在以前的 Microsoft Enterprise SSO 扩展 Intune 策略中使用的设置。
- 配置允许非Microsoft应用使用 SSO 的设置。
此方案列出了应添加的最小建议设置。 如果以前有Microsoft企业 SSO 扩展策略,则可能配置了更多设置。 建议添加在以前的 Microsoft Enterprise SSO 扩展策略中配置的任何其他密钥 & 值对设置。
通常建议使用以下设置来配置 SSO 设置,包括为非Microsoft应用程序配置 SSO 支持。
在现有平台 SSO 设置目录策略中,添加 扩展数据:
在 Intune 管理中心 (设备>管理设备>配置) ,选择现有的平台 SSO 设置目录策略。
在 “属性>配置设置”中,选择“ 编辑>添加设置”。
在设置选取器中,展开“身份验证”,然后选择“可扩展单一登录 (SSO) :
在列表中,选择“ 扩展数据” 并关闭设置选取器:
在“扩展数据”中,添加以下键和值:
键 类型 值 说明 AppPrefixAllowList String com.microsoft.,com.apple.复制此值并将其粘贴到 设置中。
AppPrefixAllowList 允许创建应用供应商列表,其中包含可以使用 SSO 的应用。 可以根据需要向此列表添加更多应用供应商。browser_sso_interaction_enabled 整数 1配置建议的代理设置。 disable_explicit_app_prompt 整数 1配置建议的代理设置。 以下示例显示了建议的配置:
选择“ 下一步 ”保存更改,并完成策略。 如果策略已分配给用户或组,则这些组在下次 与 Intune 服务同步时会收到策略更改。
最终用户体验设置
有一些设置可以自定义最终用户体验,并更精细地控制用户权限。 不支持任何未记录的平台 SSO 设置。
在现有平台 SSO 设置目录策略中,使用以下可选设置:
| 平台 SSO 设置 | 可能的值 | 用法 |
|---|---|---|
| 帐户显示名称 | 任何字符串值 | 自定义最终用户在平台 SSO 通知中看到的组织名称。 |
| 启用登录时创建用户 | 启用或禁用 | 允许任何组织用户使用其Microsoft Entra凭据登录到设备。 创建新的本地帐户时,提供的用户名和密码必须与用户的Microsoft Entra ID UPN (user@contoso.com) 和密码相同。 |
| 新建用户授权模式 | Standard、管理员或组 | 使用平台 SSO 创建帐户时,用户在登录时拥有的一次性权限。 目前,支持Standard和管理员值。 设备上至少需要一个管理员用户才能使用Standard模式。 |
| 用户授权模式 | Standard、管理员或组 | 每次用户使用平台 SSO 进行身份验证时,用户在登录时拥有的持久权限。 目前,支持Standard和管理员值。 设备上至少需要一个管理员用户才能使用Standard模式。 |
| 非平台 SSO 帐户 | 输入要从平台 SSO 中排除的本地帐户名称。 | 系统不会提示此本地帐户列表注册平台 SSO。 此设置适用于不应使用Microsoft Entra帐户注册的帐户,例如本地管理员帐户。 此策略中列出的帐户不受 、 LoginPolicy或 UnlockPolicy的约束FileVaultPolicy。 |
| FileVault 策略 | AttemptAuthentication、 RequireAuthentication、 AllowOfflineGracePeriod 或 AllowAuthenticationGracePeriod | 使用 AttemptAuthentication 强制设备在 Mac 设备打开时使用Microsoft Entra验证Microsoft Entra ID 密码。 此设置适用于 macOS 15 及更高版本。 |