Общие сведения об едином входе в macOS Platform

Единый вход для платформы macOS (PSSO) — это новая функция, использующая подключаемый модуль Enterprise SSO от Корпорации Майкрософт для macOS, которая позволяет пользователям входить на устройства Mac с помощью учетных данных Microsoft Entra ID. Эта функция обеспечивает преимущества для администраторов, упрощая процесс входа для пользователей и уменьшая количество паролей, которые необходимо помнить. Он также позволяет пользователям проходить проверку подлинности с помощью идентификатора Microsoft Entra с помощью смарт-карты или аппаратного ключа. Эта функция улучшает взаимодействие с конечным пользователем, не забывая два отдельных пароля и уменьшая потребность администраторов в управлении паролем локальной учетной записи.

Существует три различных метода проверки подлинности, определяющих взаимодействие с конечным пользователем;

  • Учетные данные платформы для macOS: подготавливает защищенный аппаратный криптографический ключ, привязанный к оборудованию, который используется для единого входа в приложениях, использующих идентификатор Microsoft Entra для проверки подлинности. Пароль локальной учетной записи пользователя не затрагивается и требуется для входа в Mac.
  • Смарт-карта: пользователь входит на компьютер с помощью внешней смарт-карты или жесткого маркера, совместимого с смарт-картами (например, Yubikey). После разблокировки устройства смарт-карта используется с идентификатором Microsoft Entra для предоставления единого входа в приложениях, использующих идентификатор Microsoft Entra для проверки подлинности.
  • Пароль в качестве метода проверки подлинности: синхронизирует пароль идентификатора Microsoft Entra пользователя с локальной учетной записью и включает единый вход в приложениях, использующих идентификатор Microsoft Entra для проверки подлинности.

Подключаемый модуль Microsoft Enterprise для единого входа на устройствах Apple, PSSO;

  • Позволяет пользователям идти без пароля с помощью Touch ID.
  • Использует учетные данные, устойчивые к фишинг-атакам, основанные на технологии Windows Hello для предприятий.
  • Экономит деньги организации клиентов, удаляя необходимость ключей безопасности.
  • Продвигает цели нулевого доверия с помощью интеграции с Безопасным анклавом.

Чтобы включить его, администратору необходимо настроить PSSO с помощью Microsoft Intune или другого поддерживаемого MDM (управления мобильными устройствами). В зависимости от того, как настроено устройство, конечный пользователь может настроить свое устройство с помощью PSSO с помощью безопасного анклава, смарт-карты или метода проверки подлинности на основе паролей.

Требования

Чтобы развернуть Platform SSO для macOS, необходимо соблюсти следующие минимальные требования.

Настройка

Дополнительные сведения и инструкции по настройке см. в следующих статьях:

Замечание

Если вы настраиваете единый вход платформы для устройств macOS с помощью стороннего MDM, обратитесь к документации, предоставленной поставщиком MDM, для получения конкретных инструкций по настройке единого входа платформы.

Если вы являетесь разработчиком стороннего решения MDM, обратитесь к руководству по интеграции единого входа платформы macOS (PSSO) в руководство по решению MDM для получения дополнительных сведений о том, как интегрировать PSSO в решение MDM.

Развертывание

Дополнительные сведения и инструкции по развертыванию единого входа платформы для macOS см. в следующих статьях.

Проверка подлинности без пароля

Пароли — это основной вектор атаки для плохих субъектов. Они используют социальные инженерии, фишинг и атаки распыления для компрометации паролей. Стратегия проверки подлинности без пароля снижает риск этих атак.

Узнайте, как использовать единый вход платформы для macOS, чтобы включить проверку подлинности без пароля для вашей организации.

Учетные данные платформы для macOS также можно использовать в качестве учетных данных, устойчивых к фишингу, для использования в задачах WebAuthn (включая сценарии повторной проверки подлинности в браузере). Если в политике FIDO используются ключевые ограничения, необходимо добавить AAGUID для учетных данных платформы macOS в список разрешенных AAGUID: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

Единый вход в Microsoft Platform: Политика биометрии ключа безопасной области пользователя

Единый вход Microsoft Platform поддерживает параметр UserSecureEnclaveKeyBiometricPolicy при использовании метода проверки подлинности UserSecureEnclaveKey с единым входом Microsoft Platform. Эта политика повышает безопасность, требуя от пользователей проверки подлинности с помощью Touch ID всякий раз, когда необходимо получить доступ к ключу безопасного анклава пользователя.

  • Если эта политика включена, пользователи будут получать запрос на проверку подлинности Touch ID всякий раз, когда происходит доступ к защищенному ключу анклава пользователя. Запрос будет выполняться во время регистрации PSSO, в сценариях повторной аутентификации в браузере с использованием пользовательского ключа в качестве ключа доступа, а также при аутентификации во время входа для получения маркера PSSO.
  • Для включения этой политики требуется, чтобы устройство поддерживало биометрическую проверку подлинности Touch ID. Пользователям необходимо настроить Touch ID, чтобы продолжить регистрацию PSSO. Администраторы должны убедиться, что у пользователей есть биометрическое устройство или внешняя клавиатура, поддерживающая Touch ID, прежде чем включить эту политику.

Замечание

При аутентификации с помощью ключа User Secure Enclave не предусмотрена возможность использовать пароль в качестве резервного способа, если включена политика UserSecureEnclaveKeyBiometricPolicy. Таким образом, пользователи не смогут пройти проверку подлинности в идентификаторе Microsoft Entra ID, если у них нет биометрических данных Touch ID.

Требования к UserSecureEnclaveKeyBiometricPolicy

  • Операционная система: macOS 14.6 и более поздних версий

  • Версия корпоративного портала: 2504 и более поздние версии

    Это важно

    Если эта функция включена после завершения регистрации PSSO, все пользователи должны пройти процесс повторной полной регистрации PSSO, чтобы политика вошла в силу. Этот процесс повторной регистрации должен быть управляемым администратором, так как пользователи не увидят запрос повторной регистрации. Администраторы должны тщательно учитывать, следует ли включить эту политику и запланировать развертывание PSSO соответствующим образом.

Включение UserSecureEnclaveKeyBiometricPolicy

Клиенты с высоким уровнем безопасности могут включить эту функцию, задав флаг в словаре данных расширения единого входа.

  • Имя ключа: enable_se_key_biometric_policy
  • Значение: да

Снимок экрана: конфигурация UserSecureEnclaveKeyBiometricPolicy в Microsoft Intune.

Преимущества политики UserSecureEnclaveKeyBiometricPolicy

  • Улучшенная безопасность. Доступ к ключу защищенного анклава пользователя защищен оборудованием и может быть доступен только после успешной проверки подлинности Touch ID, обеспечивая дополнительный уровень безопасности.

Недостатки UserSecureEnclaveKeyBiometricPolicy

  • Дополнительные запросы: Пользователи сталкиваются с дополнительными запросами на подтверждение при регистрации PSSO, поскольку к ключу обращаются несколько раз в ходе этого процесса.
  • Biometric-Only Access: доступ к ключу доступа PSSO можно получить только с биометрической проверкой подлинности. Резервный вариант пароля отсутствует. Если устройство разблокировано паролем, пользователи по-прежнему получат биометрическую проверку подлинности, чтобы получить маркер PSSO.

Единый вход Kerberos в локальные ресурсы Active Directory и Microsoft Entra ID Kerberos

macOS позволяет пользователям настраивать единый вход платформы для поддержки единого входа на основе Kerberos в локальные и облачные ресурсы, а также единый вход в идентификатор Microsoft Entra. Единый вход Kerberos — это необязательная возможность в Platform SSO, но рекомендуется использовать, если пользователям по-прежнему требуется доступ к локальным ресурсам Active Directory, использующим Kerberos для проверки подлинности.

Дополнительные сведения см. в статье о едином входе Kerberos в локальные ресурсы Active Directory и Microsoft Entra ID Kerberos.

Поддержка API Graph

Api Microsoft Graph можно использовать для управления методом проверки подлинности PlatformCredential.

Доступны следующие API:

Национальный институт стандартов и технологий (NIST)

Национальный институт стандартов и технологий (NIST) является нерегуляторным федеральным агентством в Министерстве торговли США. NIST разрабатывает и выдает стандарты, рекомендации и другие публикации, помогающие федеральным агентствам управлять экономически эффективными программами для защиты информации и информационных систем.

Дополнительные сведения об использовании единого входа платформы macOS для соответствия требованиям NIST см. в этих статьях.

Единый вход на платформе (PSSO) с EnableRegistrationDuringSetup

Единый вход на платформе (PSSO) с EnableRegistrationDuringSetup позволяет устройствам macOS автоматически завершать регистрацию PSSO в ходе автоматического зачисления устройств (ADE).

Чтобы включить эту возможность, администратору необходимо настроить PSSO с помощью Microsoft Intune или других поддерживаемых MDM. В зависимости от того, как настроено устройство, конечный пользователь может настроить свое устройство с помощью PSSO с помощью безопасного анклава, смарт-карты или метода проверки подлинности на основе паролей.

В сочетании с помощником по настройке с современной проверкой подлинности и расширением единого входа Корпоративный портал Intune может завершить начальную загрузку удостоверения и регистрацию устройства в начале процесса регистрации— сокращение запросов и обеспечение готовности устройства к использованию, как только оно достигнет рабочего стола.

Чтобы получить пошаговые инструкции по настройке PSSO с параметром EnableRegistrationDuringSetup в Intune, ознакомьтесь с этим документом: Настройка единого входа на платформе (PSSO) при автоматической регистрации устройств macOS

Замечание

Проверка подлинности с помощью смарт-карты в помощнике по настройке не поддерживается. Если вы хотите использовать смарт-карту в качестве метода проверки подлинности, необходимо завершить регистрацию PSSO после завершения настройки помощника по настройке.

Устранение неполадок

Если возникают проблемы при реализации единого входа на платформе macOS, ознакомьтесь с нашей документацией по известным проблемам единого входа в macOS Platform и устранению неполадок.