Platform SSO למכשירי macOS ב-Microsoft Intune
במכשירי macOS שלכם, ניתן להגדיר Platform SSO לאפשור Single Sign-On (SSO) באמצעות אימות ללא סיסמה, חשבונות משתמש של Microsoft Entra ID או כרטיסים חכמים. Platform SSO הוא שיפור ל-Microsoft Enterprise SSO plug-in ול-SSO app extension. Platform SSO יכול לחבר משתמשים למכשירי Mac המנוהלים שלהם באמצעות אישורי Microsoft Entra ID ו-Touch ID.
יתרונות Platform SSO
Section titled “יתרונות Platform SSO”- כולל את SSO app extension. אין צורך להגדיר את SSO app extension בנפרד.
- מעבר ללא סיסמה עם אישורים עמידים בפני פישינג הקשורים לחומרת מכשיר ה-Mac.
- חוויית הכניסה דומה לכניסה למכשיר Windows עם חשבון עבודה או לימודים, כמו שמשתמשים עושים עם Windows Hello for Business.
- מסייע למזער את מספר הפעמים שמשתמשים צריכים להזין את אישורי Microsoft Entra ID שלהם.
- מסייע להפחית את מספר הסיסמאות שמשתמשים צריכים לזכור.
- מקבלים את היתרונות של Microsoft Entra join, המאפשר לכל משתמש בארגון להיכנס למכשיר.
- כלול בכל תוכניות הרישוי של Microsoft Intune.
כאשר מכשירי Mac מצטרפים לדייר Microsoft Entra ID, המכשירים מקבלים אישור Workplace Join (WPJ) הקשור לחומרה ונגיש רק ל-Microsoft Enterprise SSO plug-in. לגישה למשאבים המוגנים באמצעות Conditional Access, אפליקציות ודפדפנים זקוקים לאישור WPJ זה.
ניתן להגדיר Platform SSO באמצעות Settings Catalog. כאשר המדיניות מוכנה, מקצים אותה למשתמשים. Microsoft ממליצה להקצות את המדיניות כאשר המשתמש רושם את המכשיר ב-Intune, אך ניתן להקצות אותה בכל עת, כולל על מכשירים קיימים.
Secure Enclave
Section titled “Secure Enclave”כאשר מגדירים Platform SSO עם שיטת אימות Secure Enclave, תוסף ה-SSO משתמש במפתחות קריפטוגרפיים הקשורים לחומרה. הוא אינו משתמש באישורי Microsoft Entra לאימות המשתמש לאפליקציות ואתרים.
זה נחשב ללא סיסמה ועומד בדרישות אימות רב-גורמי (MFA) עמיד בפני פישינג. מבחינה רעיונית זה דומה ל-Windows Hello for Business ויכול להשתמש באותן תכונות, כמו Conditional Access.
התנהגויות עיקריות עם Secure Enclave:
- סיסמת Microsoft Entra ID מחליפה את סיסמת החשבון המקומי, ושתי הסיסמאות נשמרות מסונכרנות.
- שם המשתמש של החשבון המקומי אינו משתנה ונשאר כפי שהוא.
- משתמשי קצה יכולים להשתמש ב-Touch ID לכניסה למכשיר.
- יש פחות סיסמאות למשתמשים ולמנהלים לזכור ולנהל.
- משתמשים חייבים להזין את סיסמת Microsoft Entra ID שלהם לאחר אתחול מכשיר. לאחר פתיחה ראשונית זו, Touch ID יכול לפתוח את המכשיר.
- לאחר הפתיחה, המכשיר מקבל אישור Primary Refresh Token (PRT) הקשור לחומרה עבור Microsoft Entra ID SSO.
הערה: סיסמת המכונה המקומית אינה מוסרת לחלוטין מהמכשיר. התנהגות זו היא בכוונה בשל הצפנת הדיסק FileVault של Apple, המשתמשת בסיסמה המקומית כמפתח פתיחה.
Password
Section titled “Password”כאשר מגדירים Platform SSO עם שיטת אימות Password, משתמשים נכנסים למכשיר עם חשבון המשתמש של Microsoft Entra ID שלהם במקום סיסמת החשבון המקומי. אפשרות זו מאפשרת SSO בין אפליקציות המשתמשות ב-Microsoft Entra ID לאימות.
התנהגויות עיקריות עם שיטת Password:
- סיסמת Microsoft Entra ID מחליפה את סיסמת החשבון המקומי, ושתי הסיסמאות נשמרות מסונכרנות.
- שם המשתמש של החשבון המקומי אינו משתנה ונשאר כפי שהוא.
- משתמשי קצה יכולים להשתמש ב-Touch ID לכניסה למכשיר.
- יש פחות סיסמאות למשתמשים ולמנהלים לזכור ולנהל.
- משתמשים חייבים להזין את סיסמת Microsoft Entra ID שלהם לאחר אתחול מכשיר. לאחר פתיחה ראשונית זו, Touch ID יכול לפתוח את המכשיר.
- לאחר הפתיחה, המכשיר מקבל אישור Primary Refresh Token (PRT) הקשור לחומרה עבור Microsoft Entra ID SSO.
הערה: סיסמת המכונה המקומית אינה מוסרת לחלוטין מהמכשיר. התנהגות זו היא בכוונה בשל הצפנת הדיסק FileVault של Apple, המשתמשת בסיסמה המקומית כמפתח פתיחה.