Vue d’ensemble de l’authentification unique sur la plateforme pour macOS (préversion)

L’authentification unique sur la plateforme (PSSO) pour macOS est une nouvelle fonctionnalité basée sur le plug-in Enterprise SSO de Microsoft, Platform Credentials for macOS qui permet aux utilisateurs de se connecter aux appareils Mac à l’aide de leurs informations d’identification Microsoft Entra ID. Cette fonctionnalité offre des avantages aux administrateurs en simplifiant le processus de connexion pour les utilisateurs et en réduisant le nombre de mots de passe à mémoriser. Il permet également aux utilisateurs de s’authentifier avec Microsoft Entra ID à l’aide d’une carte à puce ou d’une clé matérielle. Cette fonctionnalité améliore l’expérience de l’utilisateur final, qui n’est pas contraint de mémoriser deux mots de passe distincts, et les administrateurs ont moins besoin de gérer le mot de passe du compte local.

Il existe trois méthodes différentes d’authentification qui déterminent l’expérience de l’utilisateur final :

  • Platform Credential for macOS : approvisionne une clé de chiffrement liée au matériel avec Secure Enclave qui est utilisée pour l’authentification unique SSO entre les applications qui s’authentifient à l’aide de Microsoft Entra ID. Le mot de passe du compte local de l’utilisateur n’est pas affecté et est nécessaire pour se connecter au Mac.
  • Carte à puce : l’utilisateur se connecte à la machine à l’aide d’une carte à puce externe ou d’un jeton matériel compatible avec une carte à puce (par exemple, Yubikey). Une fois l’appareil déverrouillé, la carte à puce est utilisée avec Microsoft Entra ID pour permettre l’authentification unique SSO entre les applications qui s’authentifient à l’aide de Microsoft Entra ID.
  • Mot de passe comme méthode d’authentification : synchronise le mot de passe Microsoft Entra ID de l’utilisateur avec le compte local et permet l’authentification unique SSO entre les applications qui s’authentifient à l’aide de Microsoft Entra ID.

Basée sur le plug-in Microsoft Enterprise Single Sign-On pour les appareils Apple, l’authentification unique PSSO :

  • Permet aux utilisateurs de se passer de mots de passe en utilisant Touch ID.
  • Utilise des informations d’identification résistantes au hameçonnage, basées sur la technologie Windows Hello Entreprise.
  • Permet aux organisations clientes de réaliser des économies en leur évitant d’utiliser des clés de sécurité.
  • Rapproche des objectifs de Confiance Zéro grâce à l’intégration à Secure Enclave.

Pour l’activer, un administrateur doit configurer l’authentification unique PSSO via Microsoft Intune ou une autre GPM prise en charge. Selon la façon dont l’appareil est configuré, l’utilisateur final peut configurer son appareil avec l’authentification unique PSSO via Secure Enclave, une carte à puce ou une méthode d’authentification basée sur un mot de passe.

Spécifications

Pour déployer l’authentification unique SSO sur la plateforme pour macOS, vous devez disposer de la configuration minimale suivante.

  • Une version minimale recommandée de macOS 14 Sonoma. Bien que macOS 13 Ventura soit pris en charge, nous vous recommandons vivement d’utiliser macOS 14 Sonoma pour une expérience optimale.

  • Microsoft Authenticator

  • L’application Portail d’entreprise Microsoft Intune version 5.2404.0 ou ultérieure installée. Cette version est nécessaire pour permettre aux utilisateurs d’être ciblés pour l’authentification unique PSSO.

Configuration

Vous trouverez des informations complémentaires et des instructions relatives à la configuration de ces articles :

Déploiement

Vous trouverez des informations complémentaires et des instructions sur la manière de déployer l’authentification unique SSO sur la plateforme pour macOS dans ces articles.

Authentification sans mot de passe

Les mots de passe constituent un vecteur d’attaque primordial pour les acteurs malveillants. Ils utilisent l’ingénierie sociale, le hameçonnage et les attaques par pulvérisation de mots de passe pour compromettre les mots de passe. Une stratégie d’authentification sans mot de passe atténue ces risques d’attaques.

Découvrez comment utiliser l’authentification unique SSO sur la plateforme pour macOS pour activer l’authentification sans mot de passe pour votre organisation.

Les informations d’identification de la plateforme pour macOS peuvent également servir d’informations d’identification résistantes à l’hameçonnage pour être utilisées dans des défis WebAuthn (notamment des scénarios de réauthentification du navigateur). Les administrateurs devront activer la méthode d’authentification par clé de sécurité FIDO2 pour cette fonctionnalité. Si vous tirez profit des stratégies de restriction de clé dans votre stratégie FIDO, vous devez ajouter l’AAGUID pour les informations d’identification de la plateforme macOS à votre liste d’AAGUID autorisés : 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

National Institute of Standards and Technology (NIST)

Le National Institute of Standards and Technology (NIST) est une agence fédérale non régulatrice qui dépend du Département du Commerce des États-Unis. Le NIST élabore et émet des normes, des recommandations et autres publications dans l’optique d’aider les agences fédérales à gérer des programmes efficaces destinés à protéger leurs informations et systèmes informatiques.

Vous trouverez dans les articles suivants des informations supplémentaires sur l’utilisation de l’authentification unique SSO sur la plateforme pour macOS afin de répondre aux exigences de NIST.

Dépannage

Si vous rencontrez des problèmes lors de l’implémentation de l’authentification unique SSO sur la plateforme pour macOS, reportez-vous à notre documentation relatives aux problèmes connus de l’authentification unique sur la plateforme pour macOS et à leur résolution