Übersicht über macOS PSSO (Vorschau)

macOS PSSO (Plattform-Single Sign-On) ist ein neues Feature auf Basis des Microsoft Enterprise SSO-Plug-Ins, mit dem sich Benutzerinnen und Benutzer mit ihren Plattformanmeldeinformationen für macOS und ihren Microsoft Entra ID-Anmeldeinformationen auf Mac-Geräten anmelden können. Dieses Feature bietet Administratorinnen und Administratoren Vorteile, da es den Anmeldevorgang für Benutzerinnen und Benutzer vereinfacht und die Anzahl der Kennwörter verringert, die sie sich merken müssen. Außerdem können Benutzerinnen und Benutzer sich mit einer Smartcard oder einem Hardwareschlüssel bei Microsoft Entra ID authentifizieren. Dieses Feature verbessert die Endbenutzererfahrung, da nicht zwei separate Kennwörter gespeichert werden müssen. Für das Administratorteam entfällt die Notwendigkeit, Kennwörter für lokale Konten zu verwalten.

Es gibt drei unterschiedliche Authentifizierungsmethoden, die Einfluss auf die Endbenutzererfahrung haben:

• Plattformanmeldeinformationen für macOS: stellt einen hardwaregebundenen kryptografischen Schlüssel aus Secure Enclave bereit, der für einmaliges Anmelden (SSO) für Apps verwendet wird, die Microsoft Entra ID für die Authentifizierung verwenden. Das Benutzerkennwort für das lokale Konto ist davon nicht betroffen, und es ist eine Anmeldung auf dem Mac-Gerät erforderlich.
• Smartcard: Die Benutzerinnen und Benutzer melden sich mit einer externen Smartcard oder einem smartcardkompatiblen Harttoken (z. B. Yubikey) auf dem Computer an. Nachdem das Gerät entsperrt wurde, wird die Smartcard mit Microsoft Entra ID verwendet, um einmaliges Anmelden (SSO) für Apps zu ermöglichen, die Microsoft Entra ID für die Authentifizierung verwenden.
• Kennwort als Authentifizierungsmethode: synchronisiert das Microsoft Entra ID-Benutzerkennwort mit dem lokalen Konto und ermöglicht einmaliges Anmelden (SSO) für Apps, die Microsoft Entra ID für die Authentifizierung verwenden.

Unter Verwendung des Microsoft Enterprise SSO-Plug-Ins für Apple-Geräte bietet PSSO folgende Vorteile:

• Ermöglicht Benutzerinnen und Benutzern das kennwortlose Arbeiten mithilfe der Touch-ID
• Verwendet phishingsichere Anmeldeinformationen, die auf der Windows Hello for Business-Technologie basieren
• Spart Kundenorganisationen Geld, da keine Sicherheitsschlüssel erforderlich sind
• Fördert Zero Trust-Ziele durch die Integration in Secure Enclave

Für die Aktivierung muss das Administratorteam PSSO über Microsoft Intune oder andere unterstützte MDM-Lösungen konfigurieren. Je nachdem, wie das Gerät konfiguriert ist, können Endbenutzerinnen und Endbenutzer ihre Geräte mit PSSO über Secure Enclave, eine Smartcard oder eine kennwortbasierte Authentifizierungsmethode einrichten.

Anforderungen

Um Plattform-SSO für macOS bereitzustellen, müssen die folgenden Mindestanforderungen erfüllt sein.

• Die empfohlene Mindestversion ist macOS 14 Sonoma. macOS 13 Ventura wird zwar unterstützt, für eine optimale Erfahrung wird jedoch dringend die Verwendung von macOS 14 Sonoma empfohlen.
• Microsoft Authenticator
• Mindestens Version 5.2404.0 der Microsoft Intune-Unternehmensportal-App. Diese Version ist erforderlich, damit Benutzerkonten für PSSO eingerichtet werden können.

Bereitstellung

Weitere Informationen und Anweisungen zum Bereitstellen von Plattform-SSO für macOS finden Sie in diesen Artikeln.

• Einbinden eines Mac-Geräts in Microsoft Entra ID während der Out-of-Box-Experience
• Einbinden eines Mac-Geräts in Microsoft Entra ID mithilfe des Unternehmensportals

Kennwortlose Authentifizierung

Kennwörter sind ein primärer Angriffsvektor für böswillige Akteure. Sie nutzen Social Engineering-, Phishing- und Spray-Angriffe, um Kennwörter zu kompromittieren. Durch eine Strategie für die kennwortlose Authentifizierung wird das Risiko dieser Angriffe verringert.

Erfahren Sie, wie Sie Plattform-SSO für macOS verwenden können, um die kennwortlose Authentifizierung in Ihrer Organisation zu aktivieren.

• Kennwortlose Authentifizierungsoptionen für Microsoft Entra ID
• Planen einer Bereitstellung mit kennwortloser Authentifizierung in Microsoft Entra ID

Plattformanmeldeinformationen für macOS können auch als Phishing-resistente Anmeldeinformationen in WebAuthn-Aufforderungen verwendet werden (auch in Szenarien zur erneuten Authentifizierung in Browsern). Admins müssen für diese Funktion die Authentifizierungsmethode FIDO2-Sicherheitsschlüssel aktivieren. Wenn Sie Schlüsseleinschränkungsrichtlinien in Ihrer FIDO-Richtlinie nutzen, müssen Sie die AAGUID für die macOS-Plattformanmeldeinformationen zu Ihrer Liste der zulässigen AAGUIDs hinzufügen: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

National Institute of Standards and Technology (NIST)

Das National Institute of Standards and Technology (NIST) ist eine nicht regulatorische Bundesbehörde des US-Handelsministeriums. NIST entwickelt und veröffentlicht Standards, Leitfäden und andere Publikationen, um Bundesbehörden bei der Verwaltung kostenwirksamer Programme zum Schutz ihrer Informationenund Informationssysteme zu unterstützen.

Weitere Informationen zur Verwendung von macOS PSSO (Plattform-SSO) zur Einhaltung von NIST-Anforderungen finden Sie in diesen Artikeln.

• Konfigurieren von Microsoft Entra ID, um die NIST-Authentifikator-Sicherheitsstufen zu erfüllen
• NIST-Authentifikatortypen und ausgerichtete Microsoft Entra-Methoden
• NIST Authenticator Assurance Level 3 mit Microsoft Entra ID

Problembehandlung

Wenn bei der Implementierung von macOS PSSO (Plattform-SSO) Probleme auftreten, lesen Sie die Dokumentation zu bekannten Problemen mit macOS PSSO (Plattform-SSO) und ihrer Behandlung.