Konfigurieren von Plattform-SSO mit Microsoft Entra ID

  • nP
  • EF
  • CW

Was ist Plattform-SSO?

Plattform-SSO ist eine Funktion, mit der sich Benutzer mit einem hardwaregebundenen Schlüssel, einer Smartcard oder ihrem IdP-Passwort bei ihren Mac-Geräten anmelden können. Diese Funktion verbessert das Microsoft Enterprise SSO-Plug-In für Apple-Geräte und ermöglicht Single Sign-On für Microsoft Entra ID-Konten auf macOS 14 und höher.

Plattform-SSO mit Microsoft Entra ID befindet sich derzeit in der Vorschauphase. Weitere Informationen finden Sie in der Übersicht über einmaliges Anmelden auf der macOS -Plattform von Microsoft.

Hinzufügen und Konfigurieren des Unternehmensportal- Auto App

  1. Navigieren Sie in der linken Navigationsleiste zu Library.

  2. Klicken Sie oben rechts auf Neu hinzufügen, und wählen Sie Microsoft-Unternehmensportal aus.

  3. Klicken Sie auf Hinzufügen und konfigurieren.

  4. Weisen Sie es Ihrem gewünschten Assignment Maps oder Classic Blueprints zu.

  5. Konfigurieren Sie optional Zuweisungsregeln für Classic Blueprints.

  6. Legen Sie die Installationsmethode auf Kontinuierlich erzwungen.

  7. Geben Sie Ihre Einstellungen für die Versionserzwingung an.

  8. Speichern Sie Ihre Library Item.

Hinzufügen und Konfigurieren eines Anmeldefensters Library Item

  1. Navigieren Sie in der linken Navigationsleiste zu Library .

  2. Klicken Sie oben rechts auf Neu hinzufügen und wählen Sie Anmeldefenster aus.

  3. Klicken Sie auf Hinzufügen und konfigurieren.

  4. Geben Sie Ihrem Anmeldefenster Library Item einen Namen.

  5. Weisen Sie es Ihrem gewünschten Assignment Maps oder Classic Blueprintszu.

  6. Konfigurieren Sie optional Zuweisungsregeln für Classic Blueprints.

  7. Legen Sie unter Benutzersichtbarkeit das Optionsfeld für die Felder Benutzername und Kennwort anzeigen fest.

  8. Speichern Sie Ihre Library Item.

Hinzufügen und Konfigurieren einer Single Sign-On-Erweiterung Library Item

  1. Navigieren Sie in der linken Navigationsleiste zu Library .

  2. Klicken Sie oben rechts auf Neu hinzufügen und wählen Sie Single Sign-On-Erweiterung aus.

  3. Klicken Sie auf Hinzufügen und konfigurieren.

  4. Geben Sie dem neuen Library Item einen Namen.

  5. Wählen Sie Mac als Auf Plattform installieren aus.

  6. Weisen Sie es Ihrem gewünschten Assignment Maps oder Classic Blueprints zu.

  7. Konfigurieren Sie optional Zuweisungsregeln für Classic Blueprints.

  8. Wählen Sie unter Erweiterungstyp die Option Umleiten aus.

  9. Geben Sie als Erweiterungsbezeichner com.microsoft.CompanyPortalMac.ssoextension ein

  10. Fügen Sie UBF8T346G9 in das Textfeld Team-ID ein.

  11. Fügen Sie die folgenden URLs in die URL-Felder ein.

    • https://login.microsoftonline.com

    • https://login.microsoft.com

    • https://sts.windows.net

  12. Wenn Sie Sovereign Cloud-Domänen verwenden, müssen Sie optional zusätzliche URLs angeben.

    • https://login.partner.microsoftonline.cn

    • https://login.chinacloudapi.cn

    • https://login.microsoftonline.us

    • https://login-us.microsoftonline.com

  13. Schalten Sie den Schalter für Plattform-SSO um.

  14. Wählen Sie Ihre Authentifizierungsmethode aus. Informationen dazu, welche Methode für Ihre Organisation verwendet werden sollte, finden Sie im Supportartikel von Microsoft.

  15. Legen Sie Standardberechtigungen für vorhandene Benutzer fest.

  16. Legen Sie Standardberechtigungen für neue Benutzer fest.

  17. Aktivieren Sie das Kontrollkästchen für Schlüssel für gemeinsam genutzte Geräte.

  18. Aktivieren Sie Autorisierung zulassen (mit Identitätsanbieterkonto). Auf diese Weise können Benutzer mit ihren Microsoft Entra ID-Anmeldeinformationen mit Systemautorisierungsaufforderungen interagieren.

  19. Wenn Sie automatisch lokale Konten für Benutzer erstellen möchten, aktivieren Sie die Option Erstellen neuer Benutzer bei der Anmeldung zulassen. Um ein lokales Konto zu erstellen, muss das Gerät auf dem Anmeldebildschirm mit dem Internet verbunden sein, FileVault entsperrt sein, und Kandji muss über ein gültiges Bootstrap-Token für dieses Gerät verfügen.

  20. Geben Sie einen Anzeigenamen für das Konto ein.

  21. Geben Sie die Anzahl der Sekunden an, nach der vollständige Anmeldung erforderlich sein soll.

  22. Geben Sie in den Feldern für die Tokenzuordnung preferred_username für AccountName und name für FullName ein.

  23. Konfigurieren Sie bei Bedarf Administratorgruppen, zusätzliche Gruppen und Benutzergruppen.

    Microsoft unterstützt derzeit nur die Verwendung statischer Standard- und Admin-Werte für neue und vorhandene Benutzer.

    • Administratorgruppen sind Gruppen von Microsoft Entra ID, die über Administratorzugriff auf dem Gerät verfügen sollten. Diese Gruppen werden verwendet, um bestimmten Benutzern erhöhte Berechtigungen zu erteilen

    • Zusätzliche Gruppen sind benutzerdefinierte Gruppen, die Sie im lokalen Verzeichnis des Geräts erstellen möchten. Diese Gruppen können verwendet werden, um Benutzer zu organisieren und bestimmte Einstellungen oder Berechtigungen anzuwenden

    • Besonders nützlich sind Benutzergruppen, mit denen Sie benutzerdefinierten Gruppen, die im lokalen Verzeichnis erstellt wurden, bestimmte macOS Systemrechte zuordnen können. Sie können z. B. Benutzergruppen verwenden, um "sudo"-Zugriff zu gewähren oder Druckerberechtigungen zu verwalten

  24. Speichern Sie Ihre Konfiguration