Ingressar um dispositivo Mac ao Microsoft Entra ID durante a experiência pronta para uso com o PSSO do macOS (pré-visualização)

Artigo
05/09/2024

Os usuários do Mac podem ingressar seus novos dispositivo no Microsoft Entra ID durante a primeira execução da experiência pronta para uso (OOBE). O Logon Único da Plataforma (PSSO) do macOS é uma funcionalidade no macOS habilitada usando a Extensão de Logon Único do Microsoft Enterprise. O PSSO permite que os usuários entrem em um dispositivo Mac usando uma chave vinculada a hardware, um cartão inteligente ou a senha do Microsoft Entra ID da pessoa. Este tutorial mostra como configurar um dispositivo Mac durante a OOBE para usar o PSSO com o Registro Automatizado de Dispositivos.

Pré-requisitos

Versão mínima recomendada do macOS 14 Sonoma. Embora haja suporte para o macOS 13 Ventura, é altamente recomendável usar o macOS 14 Sonoma para obter a melhor experiência.
Dispositivo registrado do Registro Automatizado de Dispositivos (ADE). Verifique com o administrador se você não tem certeza se seu dispositivo está registrado com esse requisito.
Versão 5.2404.0 ou mais recente do Portal da Empresa do Microsoft Intune
Um dispositivo Mac registrado no gerenciamento de dispositivo móvel (MDM) com o Microsoft Intune.
Um conteúdo de MDM de extensão de SSO configurado com configurações de PSSO no Intune por um administrador
Microsoft Authenticator (recomendado): os usuários devem estar registrados em algum tipo de autenticação multifator (MFA) do Microsoft Entra ID no próprio dispositivo móvel para concluir o registro do dispositivo.
Para configurar um cartão inteligente, a autenticação baseada em certificado deve estar configurada e habilitada. Um cartão inteligente carregado com um certificado para autenticação com o Microsoft Entra e o cartão inteligente emparelhado com a conta local.

Configurar seu dispositivo macOS

Ao ver a tela "Olá" ao ligar seu Mac pela primeira vez, siga as etapas para selecionar seu país ou região e defina as configurações de rede conforme necessário.
Você será solicitado a baixar um perfil de Gerenciamento Remoto, que permite que a configuração no Microsoft Intune seja aplicada ao seu dispositivo. Selecione Continuare insira suas credenciais do Microsoft Entra ID quando for solicitado para aprovar o download do perfil de gerenciamento.
Insira o código enviado para seu aplicativo Authenticator (recomendado) ou use outro método MFA.
Para criar uma conta de usuário, preencha o nome completo, o nome da conta e crie uma senha para a conta local. Selecione Continuar para voltar à tela inicial.

Registro automatizado de dispositivo

Existem três métodos de autenticação para o registro no PSSO:

Secure Enclave:a pessoa faz logon em seu dispositivo que possui uma chave criptográfica compatível com o Secure Enclave usada para SSO em aplicativos que usam o Microsoft Entra ID para autenticação. Também pode ser chamado como Credencial de Plataforma para macOS.
Cartão inteligente: a pessoa faz logon no computador usando um cartão inteligente externo ou um token de hardware compatível com cartão inteligente
Senha: a pessoa faz logon em seu dispositivo local com uma conta local, atualizada para usar a senha do Microsoft Entra ID

É recomendável que o administrador do sistema registre o Mac usando o Secure Enclave ou cartão inteligente. Essas novas funcionalidades sem senha são suportadas apenas pelo PSSO. Verifique qual método de autenticação foi configurado pela administração antes de continuar.

Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se. Para usuários do macOS 14 Sonoma, você verá uma solicitação para registrar o seu dispositivo no Microsoft Entra. Esta solicitação não aparece no macOS 13 Ventura.
Você verá uma solicitação para inserir sua senha de conta local. Insira a senha e selecione Ok.
Depois que sua conta for desbloqueada, selecione a conta para entrar, insira suas credenciais de entrada e selecione Avançar.
A MFA é necessária como parte deste fluxo de entrada. Abra o seu aplicativo Authenticator (recomendado) ou use seus outros métodos de MFA registrados e insira o número exibido na tela para concluir o registro.
Quando o fluxo de MFA for concluído e a tela de carregamento desaparecer, seu dispositivo deverá ser registrado com PSSO. Agora você pode usar o PSSO para acessar os recursos de aplicativo da Microsoft.

Habilitar a Credencial de Plataforma para macOS para uso como uma chave de acesso

Configurar o seu dispositivo usando o método Secure Enclave permite que você use a credencial resultante salva no Mac como uma chave de acesso no navegador. Para habilitar esta opção;

Abra o aplicativo Configurações e navegue até Senhas>Opções de senha.
Em Opções de senha, procure por Usar senhas e chaves de acesso de e habilite Portal da Empresa por meio do botão de alternância.

Emparelhar o cartão inteligente com sua conta local

Antes de registrar o seu dispositivo com um cartão inteligente, você precisa emparelhar o cartão inteligente com a sua conta local. Abra o aplicativo Terminal e execute os comandos a seguir para localizar o hash de chave pública do certificado de cartão inteligente e emparelhá-lo com sua conta local e verificar se ele foi bem-sucedido. Isso precisa ser executado usando sudo.

sc_auth identities
sudo sc_auth pair -h <HASH> -u <USERNAME>
sc_auth list

Registrar o seu dispositivo com o cartão inteligente

Navegue até o pop-up Registro Necessário no canto superior direito da tela. Passe o mouse sobre o pop-up e selecione Registrar-se. Se o cartão inteligente estiver emparelhado com a sua conta local, você verá uma solicitação para inserir o PIN do cartão inteligente
O administrador pode ter configurado a MFA para o fluxo de registro do dispositivo. Nesse caso, abra o aplicativo Authenticator em seu dispositivo móvel e conclua o fluxo de MFA.
Se o certificado ainda não estiver emparelhado com a conta local, o usuário verá uma solicitação para usar o cartão inteligente. Selecione Cartão inteligente.
Você precisará inserir o PIN do cartão inteligente. Insira seu pin e selecione Inserir pin para o cartão inteligente. Quando você insere o PIN correto, o registro PSSO com autenticação de cartão inteligente é concluído.
Agora você pode usar o PSSO para acessar os recursos do aplicativo Microsoft e desbloquear o dispositivo com o PIN de cartão inteligente. Você precisará usar a senha local para fazer logon após uma reinicialização para desbloquear o acesso ao conjunto de chaves.

Verificar o status de registro do dispositivo

Depois de concluir as etapas acima, lembre-se de verificar o status de registro do dispositivo.

Para verificar se o registro foi concluído com sucesso, navegue até Configurações e selecione Usuários e grupos.
Selecione Editar ao lado de Servidor de Conta de Rede e verifique se o SSO da Plataforma está listado como Registrado.
Para verificar o método usado para autenticação, navegue até o seu nome de usuário na janela Usuários e grupos e selecione o ícone Informações. Verifique o método listado, que deve ser Secure Enclave, Cartão inteligente ou Senha.
Observação

Você também pode usar o aplicativo Terminal para verificar o status do registro. Execute o comando a seguir para verificar o status do registro do dispositivo. Você deve ver na parte inferior da saída que os tokens SSO são recuperados. Para usuários do macOS 13 Ventura, este comando é necessário para verificar o status do registro.
```
app-sso platform -s
```

Compartilhar via