使用“公司门户”通过 Microsoft Entra ID 联接 Mac 设备（预览版）

项目
10/19/2024

本教程介绍如何通过“公司门户”和带 Microsoft Entra Join 的 Intune MDM 注册，将 Mac 设备注册到 macOS 平台单一登录 (PSSO)。可通过三种方法将 Mac 设备注册到 PSSO：安全 Enclave、智能卡或密码。建议使用安全 Enclave 或智能卡获得最佳无密码体验，但请务必注意，此方法将由公司管理员使用 Microsoft Intune 预设。

先决条件

建议最低使用 macOS 14 Sonoma 版本。虽然也支持 macOS 13 Ventura，但我们强烈建议使用 macOS 14 Sonoma 获得最佳体验。
Microsoft Intune“公司门户”应用版本 5.2404.0 或更高版本
使用 Microsoft Intune 在移动设备管理 (MDM) 中注册的 Mac 设备。
管理员在 Intune 中使用 PSSO 设置配置的 SSO 扩展 MDM 有效负载
Microsoft Authenticator（建议使用），用户必须注册某种形式的 Microsoft Entra ID 多重身份验证 (MFA)，才能完成设备注册。
对于智能卡设置，已配置并启用基于证书的身份验证。使用证书加载的智能卡（用于通过 Microsoft Entra 进行身份验证），以及与本地帐户配对的智能卡。

使用“公司门户”的 Intune MDM 和 Microsoft Entra Join

若要将 Mac 设备注册到 PSSO，必须先使用“公司门户”应用在 Microsoft Intune 中注册该设备。注册后，可以使用安全 Enclave、智能卡或密码，将设备注册到 PSSO。

打开“公司门户”应用，然后选择“登录”。
输入 Microsoft Entra ID 凭据，然后选择“下一步”。
系统会提示你设置 {Company} 访问权限。占位符“Company”因设置而异。选择“开始”，然后在下一个屏幕上，选择“继续”。
你会看到安装管理配置文件的步骤，该配置文件应由管理员使用 Microsoft Intune 进行设置。选择“下载配置文件”。
打开“设置”>“隐私和安全”>“配置文件”（如果未自动显示）。选择“管理配置文件”。
选择“安装”，获取对公司资源的访问权限。
在显示的“配置文件”窗口中输入本地设备密码，然后选择“注册”。
你将在“公司门户”中看到安装已完成的通知。选择“完成” 。

平台 SSO 注册

设备符合“公司门户”要求后，你需要将设备注册到 PSSO。使用“公司门户”成功完成 Intune MDM 和 Microsoft Entra Join 后，屏幕右上角会显示“需要注册”弹出窗口。通过选项卡使用安全 Enclave、智能卡或密码将设备注册到 PSSO。

导航到屏幕右上角的“需要注册”弹出窗口。将鼠标悬停在弹出窗口上，然后选择“注册”。 macOS 14 Sonoma 用户将看到向 Microsoft Entra 注册设备的提示。 macOS 13 Ventura 不会显示此提示。
使用 Touch ID 或密码解锁帐户后，选择要登录的帐户，输入登录凭据，然后选择“下一步”。
MFA 是此登录流程必需的一部分。打开 Authenticator 应用（建议）或使用已注册的其他 MFA 方法，并输入屏幕上显示的号码以完成注册。
当 MFA 流程完成并且加载屏幕消失时，你的设备便已注册到 PSSO。现在可以使用 PSSO 访问 Microsoft 应用资源了。

为 macOS 启用平台凭据以用作通行密钥

使用安全 Enclave 方法设置设备后，你可以使用浏览器中作为通行密钥保存到 Mac 的结果凭据。若要启用此功能，请执行以下操作：

打开“设置”应用，然后导航到“密码”>“密码选项”。
在“密码选项”下，找到“使用密码和通行密钥的来源”，并通过切换开关启用“公司门户”。

将智能卡与本地帐户配对

在使用智能卡注册设备之前，需要将智能卡与本地帐户配对。打开“终端”应用并运行以下命令，查找智能卡证书的公钥哈希，并将其与本地帐户配对，然后检查配对是否成功。这一步需要使用 sudo 运行。

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

向智能卡注册设备

导航到屏幕右上角的“需要注册”弹出窗口。将鼠标悬停在弹出窗口上，然后选择“注册”。如果智能卡与本地帐户配对，你将看到输入智能卡 PIN 的提示
管理员可能已为设备注册流程配置 MFA。如果是这样，请在移动设备上打开 Authenticator 应用并完成 MFA 流程。
如果证书尚未与本地帐户配对，用户会看到使用智能卡的提示。选择“智能卡”。
系统会提示输入智能卡的 PIN。输入你的 PIN，然后选择“输入智能卡的 PIN”。输入正确的 PIN 后，便已完成使用智能卡身份验证的 PSSO 注册。
现在可以使用 PSSO 访问 Microsoft 应用资源，并使用智能卡 PIN 解锁设备。重新启动后，需要使用本地密码登录才能解锁密钥链访问。

检查设备注册状态

完成上述步骤后，最好检查设备注册状态。

若要检查注册是否已成功完成，请导航到“设置”并选择“用户和组”。
选择“网络帐户服务器”旁边的“编辑”，并检查“平台 SSO”是否列为“已注册”。
若要验证用于身份验证的方法，请在“用户和组”窗口中导航到用户名，然后选择“信息”图标。检查列出的方法，应为“安全 Enclave”、“智能卡”或“密码”。
注意

还可使用“终端”应用检查注册状态。运行以下命令以检查设备注册状态。应会在输出底部看到已检索 SSO 令牌。对于 macOS 13 Ventura 用户，需要运行此命令才能检查注册状态。
```
app-sso platform -s
```

更新 Mac 设备以启用 PSSO

对于已在“公司门户”中注册设备的 macOS 用户，管理员可以通过更新设备的 SSO 扩展配置文件来启用 PSSO。在设备上部署并安装 PSSO 配置文件后，系统会提示通过屏幕右上角的“需要注册”通知将设备注册到 PSSO。这将从设备中删除旧的 SSO 注册，由新的 PSSO 注册取代。

尽管我们建议立即执行此操作，但你可以选择此项，并在方便的时候启动设备注册。

通过