Mit der jüngsten Ankündigung von Microsoft (6. Mai) ist Platform SSO für macOS in der öffentlichen Vorschau und damit auch der Entra Join für macOS. Dies bringt eine Menge neuer Möglichkeiten bei der Verwaltung von macOS-Geräten mit Intune. Angefangen von der Synchronisierung des Benutzerpassworts mit dem lokalen Konto auf dem Gerät bis hin zu neuen Sicherheitsoptionen im bedingten Zugriff und SSO-Funktionen für Drittanbieteranwendungen wie Google Chrome.
Announcement von Microsoft: Platform SSO for macOS now in public preview - Microsoft Community Hub
Table of Contents
- Voraussetzungen
- Platform-SSO konfigurieren
- Benutzer Perspektive: Umstieg auf Platform-SSO
- Admin Perspektive: Umstieg auf Platform-SSO
Voraussetzungen
Bevor du Platform-SSO nutzen kannst, solltest du Folgendes sicherstellen:
- Unternehmensportal Version 5.2404.0 oder höher
- Konfiguriertes Enterprise SSO-Plug-in
- macOS 13 (Ventura) oder neuer
- macOS 14 (Sonoma) wird empfohlen
Unternehmensportal
Für die Installation von Company Portal auf verwalteten Geräten empfehle ich die Bereitstellung mithilfe des von Microsoft auf GitHub bereitgestellten Skripts. So musst du deine LOB-Anwendung in Intune nicht aktualisieren:
shell-intune-samples/macOS/Apps/Company Portal
Sobald Company Portal installiert ist, erfolgt die automatische Aktualisierung über Microsoft AutoUpdate (MAU).
Enterprise SSO Plug-in
Die richtige Konfiguration des Enterprise SSO-Plug-ins ist sehr wichtig. Wenn du noch die klassische Enterprise SSO-Plug-in-Konfiguration zugewiesen hast, erhältst du in Intune den Zuweisungsfehler 10002. Wie du PSSO richtig konfigurierst, erfährst du im nächsten Abschnitt.
Hier sind einige weitere Details zum potenziellen Fehler: Intune Fehler 10002: Platform SSO | scloud
Platform-SSO konfigurieren
Für die Konfiguration und insbesondere die Benutzerauthentifizierung hast du mehrere Optionen: Secure Enclave oder Smartcard.
Die Secure Enclave-Methode bietet eine gerätegebundene Authentifizierung, die ähnlich wie Windows Hello for Business unter Windows funktioniert – ganz ohne Passwort. Dies ist die empfohlene Methode für die Einrichtung von Platform-SSO, da sie dank ihrer Phishing-Resistenz sicherer ist.
Entscheidest du dich für die Passwortmethode, wird das Entra-ID-Passwort des Benutzers mit dem lokalen Konto auf dem macOS-Gerät synchronisiert.
Die Smartcard-Authentifizierung gilt ebenfalls als passwortlos und verwendet das Zertifikat der Karte sowie die zugehörige PIN für die Authentifizierung. Ähnlich wie bei Secure Enclave bleibt das lokale Passwort von Intune unberührt. (Eine Smartcard kann ein FIDO2-Token sein.)
Hinweis: Diese Option funktioniert nur mit macOS 14+.
Ich bevorzuge und konzentriere mich auf die Intune Platform-SSO-Konfiguration mit der Secure Enclave-Methode. Für die Einrichtung habe ich zunächst ein neues Einstellungen-Katalogprofil in Intune erstellt. Gehe dazu wie folgt vor:
- Navigiere zu Intune > Devices > macOS > Configuration profiles und klicke Create/New Policy
- Wähle den Profiltyp "Settings catalog" und klicke auf "Create".
- Lege in den "Basiseinstellungen" einen Namen und optional eine Beschreibung fest.
- Jetzt musst du Platform-SSO einrichten. Du kannst folgende Einstellungen verwenden:
Setting | Value |
---|---|
Extensible Single Sign On (SSO) | https://login.microsoftonline.com https://login.microsoft.com https://sts.windows.net https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn https://login.microsoftonline.us https://login-us.microsoftonline.com |
Team Identifier | UBF8T346G9 |
Screen Locked Behavior | Do Not Handle |
Registration token | {{DEVICEREGISTRATION}} |
Platform SSO/Authentication Method | UserSecureEnclaveKey |
Platform SSO/Use Shared Device Keys | Enabled |
Authentication Method (Deprecated) (only for macOS 13) | UserSecureEnclaveKey |
Extension Identifier | com.microsoft.CompanyPortalMac.ssoextension |
Type | Redirect |
Nachdem du diese Einstellungen konfiguriert hast, klicke auf "Weiter" und definiere bei Bedarf ein Bereichsmarkierung. Weise die Konfiguration auf der Registerkarte "Zuweisung" der gewünschten Benutzer- oder Gerätegruppe zu. Klicke zum Abschließen auf "Erstellen".
Wenn du diese Einstellungen genauso wenig magst wie ich, kannst du diese JSON-Datei für den Import in deine Umgebung verwenden:
Benutzer Perspektive: Umstieg auf Platform-SSO
Wenn der Benutzer sein Gerät vor der Platform-SSO-Konfiguration angemeldet hat, wird er aufgefordert, seine Konfiguration zu aktualisieren und den Entra Join-Prozess durchzuführen. Dies dauert nur eine Minute und ist sehr einfach. Bricht der Benutzer diesen Vorgang ab, wird er später erneut dazu aufgefordert.
Sobald die neue Konfiguration auf dem Gerät eintrifft, erhält der Benutzer folgende Benachrichtigung:
Klickt er darauf, muss er sein lokales Gerätepasswort eingeben.
Nach Eingabe des lokalen Passworts wird er aufgefordert, sich mit seinem Entra-ID-Konto anzumelden und die Multi-Faktor-Authentifizierung (MFA) durchzuführen.
Nach beiden Anmeldungen wird das Gerät mit Entra verbunden und Platform-SSO eingerichtet.
Verwendest du die empfohlene Secure Enclave-Methode, muss der Benutzer Company Portal möglicherweise erlauben, als Schlüsselanbieter zu fungieren.
Nach diesen Schritten sind alle Benutzer eingerichtet und werden in Zukunft Platform SSO verwenden.
Admin Perspektive: Umstieg auf Platform-SSO
Als Administrator wirst du in Intune nicht viel bemerken. Es gibt jedoch eine wichtige Änderung in Bezug auf den Beitrittstyp des Geräts. Bisher waren Intune-verwaltete macOS-Geräte nur "Microsoft Entra registered". Nach der Konfiguration für Platform-SSO lautet der Beitrittstyp "Microsoft Entra joined".