Mit der jüngsten Ankündigung von Microsoft (6. Mai) ist Platform SSO für macOS in der öffentlichen Vorschau und damit auch der Entra Join für macOS. Dies bringt eine Menge neuer Möglichkeiten bei der Verwaltung von macOS-Geräten mit Intune. Angefangen von der Synchronisierung des Benutzerpassworts mit dem lokalen Konto auf dem Gerät bis hin zu neuen Sicherheitsoptionen im bedingten Zugriff und SSO-Funktionen für Drittanbieteranwendungen wie Google Chrome.

Announcement von Microsoft: Platform SSO for macOS now in public preview - Microsoft Community Hub

Table of Contents

Voraussetzungen

Bevor du Platform-SSO nutzen kannst, solltest du Folgendes sicherstellen:

  • Unternehmensportal Version 5.2404.0 oder höher
  • Konfiguriertes Enterprise SSO-Plug-in
  • macOS 13 (Ventura) oder neuer
  • macOS 14 (Sonoma) wird empfohlen

Unternehmensportal

Für die Installation von Company Portal auf verwalteten Geräten empfehle ich die Bereitstellung mithilfe des von Microsoft auf GitHub bereitgestellten Skripts. So musst du deine LOB-Anwendung in Intune nicht aktualisieren:
shell-intune-samples/macOS/Apps/Company Portal
Sobald Company Portal installiert ist, erfolgt die automatische Aktualisierung über Microsoft AutoUpdate (MAU).

Enterprise SSO Plug-in

Die richtige Konfiguration des Enterprise SSO-Plug-ins ist sehr wichtig. Wenn du noch die klassische Enterprise SSO-Plug-in-Konfiguration zugewiesen hast, erhältst du in Intune den Zuweisungsfehler 10002. Wie du PSSO richtig konfigurierst, erfährst du im nächsten Abschnitt.

Platform-SSO konfigurieren

Für die Konfiguration und insbesondere die Benutzerauthentifizierung hast du mehrere Optionen: Secure Enclave oder Smartcard.

Die Secure Enclave-Methode bietet eine gerätegebundene Authentifizierung, die ähnlich wie Windows Hello for Business unter Windows funktioniert – ganz ohne Passwort. Dies ist die empfohlene Methode für die Einrichtung von Platform-SSO, da sie dank ihrer Phishing-Resistenz sicherer ist.

Entscheidest du dich für die Passwortmethode, wird das Entra-ID-Passwort des Benutzers mit dem lokalen Konto auf dem macOS-Gerät synchronisiert.

Die Smartcard-Authentifizierung gilt ebenfalls als passwortlos und verwendet das Zertifikat der Karte sowie die zugehörige PIN für die Authentifizierung. Ähnlich wie bei Secure Enclave bleibt das lokale Passwort von Intune unberührt. (Eine Smartcard kann ein FIDO2-Token sein.)

Hinweis: Diese Option funktioniert nur mit macOS 14+.

Ich bevorzuge und konzentriere mich auf die Intune Platform-SSO-Konfiguration mit der Secure Enclave-Methode. Für die Einrichtung habe ich zunächst ein neues Einstellungen-Katalogprofil in Intune erstellt. Gehe dazu wie folgt vor:

  • Navigiere zu Intune > Devices > macOS > Configuration profiles und klicke Create/New Policy
Intune ass new macOS policy
  • Wähle den Profiltyp "Settings catalog" und klicke auf "Create".
  • Lege in den "Basiseinstellungen" einen Namen und optional eine Beschreibung fest.
Intune setup PSSO profile
  • Jetzt musst du Platform-SSO einrichten. Du kannst folgende Einstellungen verwenden:
SettingValue
Extensible Single Sign On (SSO)https://login.microsoftonline.com
https://login.microsoft.com
https://sts.windows.net
https://login.partner.microsoftonline.cn
https://login.chinacloudapi.cn
https://login.microsoftonline.us
https://login-us.microsoftonline.com
Team IdentifierUBF8T346G9
Screen Locked BehaviorDo Not Handle
Registration token{{DEVICEREGISTRATION}}
Platform SSO/Authentication MethodUserSecureEnclaveKey
Platform SSO/Use Shared Device KeysEnabled
Authentication Method (Deprecated)
(only for macOS 13)
UserSecureEnclaveKey
Extension Identifiercom.microsoft.CompanyPortalMac.ssoextension
TypeRedirect
Intune Platform SSO settings catalog profile

Nachdem du diese Einstellungen konfiguriert hast, klicke auf "Weiter" und definiere bei Bedarf ein Bereichsmarkierung. Weise die Konfiguration auf der Registerkarte "Zuweisung" der gewünschten Benutzer- oder Gerätegruppe zu. Klicke zum Abschließen auf "Erstellen".

Wenn du diese Einstellungen genauso wenig magst wie ich, kannst du diese JSON-Datei für den Import in deine Umgebung verwenden:

Import Platform SSO configuration in Intune

Benutzer Perspektive: Umstieg auf Platform-SSO

Wenn der Benutzer sein Gerät vor der Platform-SSO-Konfiguration angemeldet hat, wird er aufgefordert, seine Konfiguration zu aktualisieren und den Entra Join-Prozess durchzuführen. Dies dauert nur eine Minute und ist sehr einfach. Bricht der Benutzer diesen Vorgang ab, wird er später erneut dazu aufgefordert.

Sobald die neue Konfiguration auf dem Gerät eintrifft, erhält der Benutzer folgende Benachrichtigung:

macOS Platform SSO Registration prompt

Klickt er darauf, muss er sein lokales Gerätepasswort eingeben.

Nach Eingabe des lokalen Passworts wird er aufgefordert, sich mit seinem Entra-ID-Konto anzumelden und die Multi-Faktor-Authentifizierung (MFA) durchzuführen.

Nach beiden Anmeldungen wird das Gerät mit Entra verbunden und Platform-SSO eingerichtet.

macOS performing Entra Join

Verwendest du die empfohlene Secure Enclave-Methode, muss der Benutzer Company Portal möglicherweise erlauben, als Schlüsselanbieter zu fungieren.

Nach diesen Schritten sind alle Benutzer eingerichtet und werden in Zukunft Platform SSO verwenden.

Admin Perspektive: Umstieg auf Platform-SSO

Als Administrator wirst du in Intune nicht viel bemerken. Es gibt jedoch eine wichtige Änderung in Bezug auf den Beitrittstyp des Geräts. Bisher waren Intune-verwaltete macOS-Geräte nur "Microsoft Entra registered". Nach der Konfiguration für Platform-SSO lautet der Beitrittstyp "Microsoft Entra joined".

macOS device with the classic Enterprise SSO Plug-in and Intune managed
macOS Gerät mit dem klassichen Enterprise SSO Plug-in und Intune verwaltet
macOS device with Platform SSO active and Intune managed
macOS Gerät mit Platform SSO aktiviert and Intune verwaltet