Присоедините устройство Mac с идентификатором Microsoft Entra ID во время начальной настройки с macOS PSSO.

Пользователи Mac могут присоединить новое устройство к Идентификатору Microsoft Entra во время первого запуска интерфейса (OOBE). Единая аутентификация на платформе macOS (PSSO) — это функция в macOS, включаемая с помощью расширения единого входа Microsoft Enterprise. PSSO позволяет пользователям входить на устройство Mac с помощью аппаратного ключа, смарт-карты или пароля идентификатора Microsoft Entra ID. В этом руководстве показано, как настроить устройство Mac во время OOBE для использования PSSO с помощью автоматической регистрации устройств.

Prerequisites

Рекомендуемая минимальная версия macOS 14 Sonoma. Хотя macOS 13 Ventura поддерживается, настоятельно рекомендуется использовать macOS 14 Sonoma для лучшего опыта.
Устройство с автоматической регистрацией устройств (ADE). Обратитесь к администратору, если вы не уверены, зарегистрировано ли устройство с этим требованием.
Корпоративный портал Microsoft Intune версии 5.2404.0 или более поздней.
Устройство Mac, зарегистрированное в службе управления мобильными устройствами (MDM) с помощью Microsoft Intune.
Настроенная администратором полезная нагрузка MDM с расширением для единого входа (SSO) и настройками PSSO в Intune
Microsoft Authenticator (рекомендуется): Чтобы завершить регистрацию устройства, пользователь должен быть зарегистрирован для какой-либо формы многофакторной аутентификации (MFA) Microsoft Entra ID на своем мобильном устройстве.
Для настройки смарт-карты настроена и включена проверка подлинности на основе сертификатов. Смарт-карта, загруженная сертификатом для проверки подлинности в Microsoft Entra, сопряженная с локальной учетной записью.
У пользователей должно быть достаточно разрешений на регистрацию и присоединение устройств к идентификатору Microsoft Entra.
Если в среде включена фильтрация сетевых прокси-серверов или проверка TLS, ознакомьтесь с предлагаемыми параметрами, описанными в руководстве по устранению неполадок с одним Sign-On платформы.

Настройка устройства macOS

При первом открытии Mac на экране "Hello" выполните действия, чтобы выбрать страну или регион, а также настроить параметры сети по мере необходимости.
Вам будет предложено скачать профиль удаленного управления , который позволяет применить настройку конфигурации в Microsoft Intune к вашему устройству. Нажмите кнопку "Продолжить" и введите учетные данные идентификатора Microsoft Entra при появлении запроса на утверждение скачивания профиля управления.
Введите код, отправленный в приложение Authenticator (рекомендуется), или используйте другой метод многофакторной аутентификации (MFA).
Чтобы создать учетную запись пользователя, введите полное имя, имя учетной записи и создайте пароль локальной учетной записи. Нажмите кнопку "Продолжить" и откроется начальный экран.

Регистрация с помощью автоматической регистрации устройств

Для регистрации PSSO существует три метода проверки подлинности:

Безопасный анклав: пользователи входят на устройство с защищённым анклавом криптографическим ключом, который используется для единой аутентификации в приложениях, работающих с идентификатором Microsoft Entra для проверки подлинности. Он также может называться платформенными учетными данными для macOS.
** Смарт-карта: пользователь входит в машину с помощью внешней смарт-карты или совместимого с ней смарт-картриджа.
Пароль: пользователь входит на локальное устройство с помощью локальной учетной записи, которая обновлена для использования пароля Microsoft Entra ID. Этот метод также поддерживает учетные данные для федеративной идентификации.

Убедитесь, что ваш системный администратор зарегистрировал компьютер Mac с использованием безопасного анклава или смарт-карты. Эти новые функции без пароля поддерживаются только PSSO. Перед продолжением проверьте, какой метод проверки подлинности настроен администратором.

Перейдите в всплывающее окно "Требуется регистрация" в правом верхнем углу экрана. Наведите указатель мыши на всплывающее окно и выберите "Зарегистрировать". Для пользователей macOS 14 Sonoma появится запрос на регистрацию устройства в Microsoft Entra. Этот запрос не отображается для macOS 13 Ventura.
Появится запрос на ввод пароля локальной учетной записи. Введите пароль и нажмите кнопку "ОК".
После разблокировки учетной записи выберите учетную запись для входа, введите учетные данные входа и нажмите кнопку "Далее".
Многофакторная аутентификация требуется в рамках этого процесса входа. Откройте приложение Authenticator (рекомендуется) или используйте другие зарегистрированные методы MFA и введите номер, отображаемый на экране, чтобы завершить регистрацию.
Когда поток MFA завершится, а экран загрузки исчезнет, устройство должно быть зарегистрировано в PSSO. Теперь вы можете использовать PSSO для доступа к ресурсам приложения Майкрософт.

Включение учетных данных платформы для macOS для использования в качестве ключа доступа

Настройка устройства с помощью безопасного метода анклава позволяет использовать полученные учетные данные, сохраненные в Mac в качестве секретного ключа в браузере. Чтобы активировать его;

Откройте приложение "Параметры" и перейдите в раздел Пароли>Параметры паролей.
В разделе Параметры пароля найдите Использовать пароли и ключи доступа из и включите Корпоративный портал с помощью переключателя.

Связывание смарт-карты с локальной учетной записью

Прежде чем зарегистрировать устройство с помощью смарт-карты, необходимо связать смарт-карту с локальной учетной записью.sudo Откройте приложение терминала и выполните следующие sudo команды, чтобы найти хэш открытого ключа сертификата смарт-карты и связать его с локальной учетной записью, а затем проверить успешность.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Регистрация устройства с помощью смарт-карты

Перейдите в всплывающее окно "Требуется регистрация" в правом верхнем углу экрана. Наведите указатель мыши на всплывающее окно и выберите "Зарегистрировать". Если смарт-карта связана с локальной учетной записью, появится запрос на ввод пин-кода смарт-карты.
Проверьте, настроен ли администратор MFA для потока регистрации устройств. В этом случае откройте приложение Authenticator на мобильном устройстве и завершите поток MFA.
Если сертификат еще не связан с локальной учетной записью, пользователь увидит запрос на использование смарт-карты. Выберите смарт-карту.
Вам будет предложено ввести пин-код для смарт-карты. Введите пин-код и выберите Введите пин-код для смарт-карты. После ввода правильного пин-кода регистрация PSSO с проверкой подлинности смарт-карты завершена.
Теперь вы можете использовать PSSO для доступа к ресурсам приложения Майкрософт и разблокировать устройство с помощью пин-карты. Чтобы разблокировать доступ к цепочке ключей, необходимо использовать локальный пароль для входа после перезагрузки.

Проверка состояния регистрации устройства

После выполнения описанных выше действий рекомендуется проверить состояние регистрации устройства.

Чтобы проверить успешность регистрации, перейдите в раздел "Параметры" и выберите "Пользователи и группы".
Выберите Изменить рядом с Сервер учетной записи сети и убедитесь, что Platform SSO указан как зарегистрированный.
Чтобы проверить метод, используемый для проверки подлинности, перейдите к имени пользователя в окне "Пользователи и группы" и выберите значок сведений. Проверьте указанный метод, который должен быть безопасным анклавом, смарт-картой или паролем.
Note

Вы также можете использовать приложение терминала для проверки состояния регистрации. Выполните следующую команду, чтобы проверить состояние регистрации устройства. В нижней части выходных данных должно быть видно, что извлечены токены единого входа. Для пользователей macOS 13 Ventura эта команда требуется для проверки состояния регистрации.
```
app-sso platform -s
```

См. также

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-03-27