Настройка единого Sign-On платформы (PSSO) во время автоматической регистрации устройств для устройств macOS

На устройствах macOS можно настроить единый Sign-On платформы (PSSO) во время автоматической регистрации устройств (ADE). С помощью единого входа платформы пользователи входят с помощью своей учетной записи Microsoft Entra и могут получить немедленный доступ к Microsoft Entra ID ресурсам. Единый вход платформы также сводит к минимуму количество попыток ввода учетных данных организации.

При добавлении политики единого входа в платформу и включении помощника по настройке ожидания окончательной конфигурации в профиле регистрации ADE политика единого входа платформы запускается во время регистрации устройства. Когда пользователи приходят на рабочий стол, они уже вошли в Microsoft Entra ресурсов и могут сразу же приступить к использованию приложений для повышения производительности, таких как Teams.

Эта функция:

• Включает регистрацию устройства Microsoft Entra во время помощника по настройке macOS.
• Устанавливает удостоверение устройства на ранних этапах процесса подготовки.
• Позволяет настроить учетные данные единого входа платформы во время начальной настройки устройства.
• Сводит к минимуму задержки при доступе к ресурсам, включая ресурсы, защищенные условным доступом.

В этой статье перечислены и описаны параметры, которые необходимо настроить для включения единого входа платформы во время ADE с помощью помощника по настройке. В ней также перечислены другие необходимые действия для использования этой функции, включая добавление Корпоративный портал в качестве бизнес-приложения и настройку профиля регистрации.

Дополнительные сведения о едином входе в платформу см. в руководстве по настройке единого входа платформы для устройств macOS, использующих Microsoft Intune.

Данная функция применяется к:

• macOS

Подготовка к работе

• Во время регистрации пользователям предлагается ввести учетные данные Microsoft Entra организации по крайней мере дважды. При первом входе запускается обычный процесс регистрации. Второй вход выполняет проверку подлинности удостоверения в Корпоративный портал, который получает расширение единого входа.

• Для этой функции требуются три разные политики: политика каталога параметров, политика бизнес-приложений и профиль регистрации. Все политики и параметры, перечисленные в этой статье, являются обязательными и работают вместе. Если какой-либо из шагов неправильно настроен или пропущен, регистрация завершается ошибкой. В этом случае очистите устройство, выполните действия и повторно зарегистрируйте устройство.

• Назначьте все политики тем же назначенным (статическим) группам пользователей, которые будут использовать эту функцию. Фильтры назначений можно использовать в статических группах пользователей.

  Вы можете создать новые группы для этой функции и добавить пользователей в эти группы. Если вы назначите эти политики разным группам, единый вход платформы во время регистрации завершается ошибкой.

  Помните, что группы должны быть следующими:

  • Группы пользователей, а не группы устройств. Эта функция не работает с группами устройств.
  • Назначенные (статические) группы, а не динамические группы. Эта функция не работает с динамическими группами.

• Единый вход платформы имеет собственный набор требований и конфигураций. Обязательно ознакомьтесь с требованиями, прежде чем приступать к настройке этой функции. Дополнительные сведения см. в руководстве по настройке единого входа платформы для устройств macOS, использующих Microsoft Intune.

Предварительные условия

Шаг 1. Создание или обновление политики каталога параметров единого входа платформы

Эта политика включает процесс регистрации единого входа платформы во время помощника по настройке в потоке регистрации ADE.

1. В центре администрирования Microsoft Intune создайте политику каталога параметров (Конфигурация > управления устройствами>).

   • Если вы уже используете единый вход платформы на существующих устройствах, обновите имеющуюся политику каталога параметров единого входа платформы. К устройству можно применить только одну политику единого входа платформы.

   • Если вы впервые настраиваете единый вход в платформу, выполните действия, описанные в руководстве по настройке единого входа платформы для устройств macOS, использующих Microsoft Intune.

     При создании политики корпорация Майкрософт рекомендует использовать метод проверки подлинности "Безопасный анклав ".

2. В политике каталога параметров добавьте и настройте следующий параметр:

   Имя	Значение конфигурации	Описание
   Проверка подлинности > Extensible single sign-on > Platform SSO > Enable Registration During Setup	Включено	Если этот параметр включен, система включает процесс регистрации единого входа платформы во время помощника по настройке.

   Если вы используете метод проверки подлинности по паролю, добавьте и настройте следующий параметр. Если вы не используете метод проверки подлинности по паролю , не добавляйте и не настраивайте следующий параметр.

   Имя	Значение конфигурации	Описание
   Проверка подлинности > Extensible single sign-on > Platform SSO > Enable Create First User During Setup	Включено	Если этот параметр включен, система включает синхронизацию паролей во время помощника по настройке. Настройте этот параметр, если используется метод проверки подлинности по паролю . Если вы не используете метод проверки подлинности по паролю , настройка этого параметра не требуется.

3. Назначьте политику созданным статическим группам.

При создании политики каталога параметров единого входа платформы вы добавляете и настраиваете больше параметров, чем указано в этой статье. В этой статье перечислены только параметры, необходимые для включения единого входа платформы во время ADE с помощью помощника по настройке. Таким образом, добавьте этот параметр в существующую политику единого входа платформы. Если вы создаете новую политику единого входа на платформе, добавьте этот параметр вместе с другими параметрами единого входа платформы, которые необходимы для настройки единого входа в платформу.

Шаг 2. Установка Корпоративный портал в качестве бизнес-приложения

Корпоративный портал для macOS развертывает и устанавливает подключаемый модуль единого входа Microsoft Enterprise. Этот подключаемый модуль включает единый вход в Platform. Убедитесь, что вы добавили последнюю версию Корпоративный портал. При установке более старой версии Корпоративный портал единый вход платформы завершается ошибкой.

1. Скачайте приложение PKG Корпоративный портал для macOS по ссылке https://go.microsoft.com/fwlink/?linkid=853070.

   Важно!

   требуется Корпоративный портал 5.2604.0 и более поздней версии.

2. В Центре администрирования Microsoft Intune добавьте Корпоративный портал как бизнес-приложение (бизнес-приложение) (Приложения > Все приложения > создаются). В списке Идентификатор пакета приложений добавьте только идентификатор пакета приложений com.microsoft.CompanyPortalMac . Удалите все идентификаторы пакетов приложений, которые не связаны с Корпоративный портал.

   • Добавление бизнес-приложений macOS в Microsoft Intune

3. Сделайте его обязательным приложением и назначьте его тем же группам, что и политика единого входа платформы, созданная или обновленная на шаге 1.

Когда Intune обнаруживает Корпоративный портал как развернутую политику, она отправляет Корпоративный портал с приоритетом в процессе регистрации.

Шаг 3. Настройка профиля регистрации и настройка окончательной конфигурации await

Эта политика настраивает профиль регистрации для запуска во время помощника по настройке с современной проверкой подлинности и настраивает окончательную конфигурацию await. Эти параметры необходимы для правильной работы единого входа платформы во время регистрации.

1. В Центре администрирования Microsoft Intune создайте профиль автоматической регистрации устройств (вкладкаAppleDevice onboarding>Enrollment> (Устройства>) для подключения устройств).

   • Настройка автоматической регистрации устройств (ADE)

2. В разделе Параметры управления настройте следующие параметры:

   Имя	Значение конфигурации
   Сопоставление пользователей	Регистрация с сопоставлением пользователей
   Проверка подлинности	Помощник по настройке с современной проверкой подлинности
   Ожидание окончательной конфигурации	Да
   Заблокированная регистрация	Да

3. Назначьте профиль тем же группам, что и политика единого входа платформы, созданная или обновленная на шаге 1.

При регистрации устройств с помощью этого профиля ADE политика единого входа платформы и политика бизнес-приложений будут автоматически применяться во время помощника по настройке. Когда регистрация завершится и пользователи придут на рабочий стол, они получают более интегрированный интерфейс входа на устройстве и могут получить доступ к Microsoft Entra ID ресурсам.

Возможные проблемы и их решения

Если при выполнении помощника по настройке с помощью единого входа платформы (PSSO) возникли проблемы, убедитесь, что все три политики и их параметры настроены и назначены правильно. Если после проверки политик по-прежнему требуется устранение неполадок, помогут приведенные ниже действия.

Сообщение "Не удается войти" во время помощника по настройке

Проблема. Во время помощника по настройке может появиться следующее сообщение об ошибке:

Unable to sign-in  
There was an issue with the extension while registering your account for single sign-on. Try again in a few moments or contact your administrator.

Корпоративный портал включает расширение единого входа, используемое платформой SSO. Если политика каталога параметров и (или) политика Корпоративный портал прибыли с опозданием, помощник по настройке может отобразить это сообщение.

Возможно, будет доставлена политика каталога параметров единого входа платформы, и Корпоративный портал по-прежнему загружается или устанавливается. Действия регистрации выполняются в виде отдельных шагов, а не в виде одной транзакции.

Решение. Нажмите кнопку Повторить попытку в сообщении об ошибке, пока Корпоративный портал не завершит скачивание и установку. После его завершения расширение единого входа становится доступным, и сообщение об ошибке больше не отображается.

Удаление единого входа платформы и повторная регистрация, если шаги настроены неправильно

Все действия, описанные в этой статье, необходимы: политика каталога параметров, Корпоративный портал в качестве бизнес-приложения, а также использование помощник установки с современной проверкой подлинности и ожиданием окончательной настройки, включенной в профиле ADE. Если какой-либо из этих шагов неправильно настроен или отсутствует, конфигурация завершается ошибкой.

В этом случае удалите существующую конфигурацию единого входа платформы (PSSO) и повторно зарегистрируйте устройства, выполнив следующие действия. Выполните все указанные ниже действия. Дополнительные сведения см. в разделе Шаги по отказу от единого входа платформы в macOS.

1. Отмена назначения политики единого входа платформы с включенным параметром Включить регистрацию во время установки . Синхронизируйте устройство, чтобы убедиться, что политика удалена.

2. Обновите политику единого входа платформы и установите для параметра Включить регистрацию во время установки значение Отключено. Синхронизируйте устройство, чтобы убедиться, что параметр удален.

   Если вы используете метод проверки подлинности по паролю в политике единого входа платформы, задайте для параметра Включить создание первого пользователя во время установки значение disabled. Синхронизация устройства.

3. Очистка устройства. Очистка требуется, так как она перезапускает процесс регистрации и применяет обновленные профили регистрации.

По завершении выполните действия, описанные в этой статье, и убедитесь, что все политики настроены правильно. Обязательно обновите политику единого входа платформы, чтобы задать для параметра Включить регистрацию во время установки значение включено.

Статьи по теме

• Руководство по настройке единого входа платформы для устройств macOS, использующих Microsoft Intune
• Добавление бизнес-приложений macOS в Microsoft Intune
• Настройка автоматической регистрации устройств (ADE)