¿Ya eres cliente de NinjaOne? Inicia sesión para ver más guías y las últimas actualizaciones.

Usar NinjaOne para configurar el inicio de sesión único (SSO) de la plataforma en macOS

  • Última actualización diciembre 16, 2025

Tema

Este artículo explica cómo configurar Platform SSO para sus dispositivos macOS con Entra ID utilizando NinjaOne. También describe el proceso de registro para que el usuario final pueda ver cuándo se ha inscrito su dispositivo en la gestión de dispositivos móviles (MDM) de NinjaOne.

Entorno

  • NinjaOne MDM
  • macOS
  • Plataforma Apple
  • Microsoft Entra

Descripción

Platform SSO es una tecnología desarrollada por Apple para macOS que permite a los proveedores de identidad (IDP) gestionar el inicio de sesión único (SSO) en las aplicaciones empresariales basándose en el inicio de sesión local del usuario en el propio dispositivo. Encontrará más información sobre este producto en el sitio web para desarrolladores: Inicio de sesión único en Platform para macOS - Soporte técnico de Apple (externo).

Dependiendo de la implementación específica, Platform SSO puede permitir diferentes tipos de funcionalidad. Actualmente, las cuentas de usuario locales existentes en un dispositivo macOS recibirán una notificación para autenticarse y registrarse en Platform SSO para su cuenta. Los técnicos pueden definir opcionalmente la política para permitir que se creen cuentas de usuario locales posteriores mediante la autenticación del IDP en la ventana de inicio de sesión del dispositivo local.

Este artículo proporciona un ejemplo del proceso de implementación. Puede utilizar otros métodos de implementación compatibles para instalar el software.

Índice

Requisitos

Para configurar Platform SSO, debe cumplir ciertos requisitos independientemente del IDP y la gestión de dispositivos móviles (MDM), aunque los pasos exactos pueden variar en función de la implementación.

  1. El IDP (como Microsoft u Okta) debe ser compatible con el protocolo Platform SSO.
  2. El dispositivo macOS debe estar registrado en MDM.
  3. La extensión Platform SSO correspondiente (una aplicación nativa de macOS) debe estar implementada en el dispositivo.
  4. El perfil MDM de la extensión Platform SSO debe estar implementado en el dispositivo.

Platform SSO admite tres métodos de autenticación para los usuarios como protocolo. El IDP utilizado para la autenticación también debe admitir estos mismos métodos; de lo contrario, es posible que solo esté disponible un subconjunto de estos métodos para un IDP concreto.

  • Clave respaldada por Secure Enclave: en la mayoría de los casos, este es el método de autenticación preferido y más seguro cuando se utiliza Platform SSO con un IDP que lo admite. Con este método de autenticación, el usuario crea una contraseña local para el dispositivo. Una vez registrado Platform SSO, el dispositivo genera una clave criptográfica vinculada al hardware que se utiliza para el SSO con cualquier sitio web y aplicación federados con el IDP para la autenticación.
    • Dado que la clave de autenticación está vinculada al dispositivo físico y el usuario final nunca la conoce, esto permite un método de autenticación sin contraseña y resistente al phishing para las aplicaciones empresariales. Con este enfoque, la contraseña del dispositivo local actúa efectivamente como un número de identificación personal (PIN) del dispositivo que se utiliza para acceder únicamente al dispositivo físico.
  • Tarjeta inteligente: se utiliza una tarjeta inteligente o un token físico para iniciar sesión en macOS localmente. Una vez iniciada la sesión, se utiliza la misma tarjeta inteligente para el SSO en cualquier aplicación federada con el IDP para la autenticación.
  • Código de acceso: la contraseña del IDP del usuario se sincroniza con la contraseña del dispositivo local. Esta contraseña se utiliza para el SSO en cualquier aplicación federada con el IdP para la autenticación.
    • Aunque esto proporciona una mayor comodidad al usuario final, ya que la contraseña del dispositivo local pasa a ser la misma que la contraseña del IDP, también crea un riesgo adicional de phishing. Si un tercero malintencionado llegara a conocer el código de acceso del IDP, podría acceder tanto al dispositivo físico como a cualquier aplicación empresarial federada con el IDP. Por este motivo, NinjaOne recomienda utilizar una clave respaldada por Secure Enclave cuando los dispositivos sean utilizados principalmente por un solo usuario.

SSO de plataforma con Microsoft Entra ID

Microsoft Entra ID es compatible con el SSO de plataforma y con las tres opciones de autenticación de usuarios finales.

Por lo general, los usuarios verán la notificación inicial del sistema después de instalar las aplicaciones NinjaOne Agent y Microsoft Company Portal en el dispositivo, lo que puede tardar varios minutos tras el registro inicial en MDM. Si no aparece la notificación de registro, cierre la sesión en el dispositivo localmente y vuelva a iniciarla para iniciarla.

1. Implemente la aplicación Intune Company Portal en los dispositivos NinjaOne

Para el SSO de plataforma con Microsoft Entra ID, Microsoft utiliza la aplicación Company Portal para gestionar la funcionalidad SSO. La aplicación Company Portal se puede descargar desde Microsoft aquí (archivo de paquete descargable).

Una vez descargada, puede seguir estos pasos para implementarla en sus dispositivos macOS inscritos en NinjaOne MDM:

  1. En la consola de NinjaOne, vaya a AdministraciónBibliotecaAutomatización.
  2. Haga clic en Añadir y seleccione Instalación.
automation library_add installation.png
Figura 1: Biblioteca de automatización de NinjaOne → Añadir automatización de la instalación
  1. En el modal Instalar aplicación, configure los siguientes ajustes y, a continuación, seleccione Enviar.
    • Nombre: introduzca un nombre como «Portal de la empresa Intune»
    • Sistema operativo: «Mac»
    • Instalador: Deje el menú desplegable en la opción predeterminada «Cargar archivo» y haga clic en Elegir archivo de instalación. Cargue el instalador «Company Portal PKG».
automation library_add installation_intune company portal.png
Figura 2: Ejemplo de automatización de la instalación para Intune Company Portal
  1. Compruebe que la configuración supera la revisión y aparece en la biblioteca de automatización. La instalación puede tardar unos minutos en validarse.
  2. Añada la automatización a la directiva de Mac. Vaya a Administración → DirectivasDirectivas del agente y cree una nueva directiva o edite la existente. Si necesita instrucciones para crear una nueva directiva, consulte Directivas: Crear una nueva directiva.
  3. Seleccione la pestaña Automatizaciones programadas y haga clic en Añadir una automatización programada.
scheduled automation_add.png
Figura 3: Añadir una automatización programada a una política de NinjaOne
  1. Asigne un nombre a la automatización programada y seleccione la automatización que ha cargado anteriormente en el paso 3. Elija una programación adecuada, como Ejecutar una vez inmediatamente.
policies_scheduled automation_add_schedule.png
Figura 4: Añadir una automatización programada a una política de NinjaOne → Cargar la automatización y establecer una programación
  1. Haga clic en Añadir. A continuación, guarde la política.

La aplicación Company Portal debería implementarse en todos los dispositivos macOS gestionados según la programación configurada.

2. Configurar el perfil MDM de la extensión SSO de la plataforma en NinjaOne

Puede copiar el archivo mobileconfig al final de esta sección y pegarlo directamente en una carga útil personalizada en una política de NinjaOne para macOS para configurar Platform SSO con Entra ID.

Tenga en cuenta los siguientes campos configurables:

  • Método de autenticación: Líneas 13-14. Establezca uno de los siguientes valores según la experiencia deseada:
    • UserSecureEnclaveKey
    • Contraseña
    • SmartCard
  • AccountDisplayName: Líneas 15-16. Este nombre se muestra a los usuarios finales durante el proceso de registro en Platform SSO.
  • EnableCreateUserAtLogin: Líneas 19-20. Si se establece en «true», se crearán automáticamente nuevas cuentas de usuario locales después de autenticarse con Entra ID en la pantalla de inicio de sesión local.
  • NewUserAuthorizationMode: Líneas 21-22. Si se permite la creación de nuevos usuarios, establezca este valor en uno de los siguientes para determinar el nivel de permiso de las cuentas de usuario:
    • Estándar
    • Admin
  • UserAuthorizationMode: Líneas 23-24. Admite los mismos valores que NewUserAuthorizationMode. El permiso se aplica a una cuenta cada vez que el usuario se autentica.
  • TokenToUserMapping: Líneas 25-31. Si se permite la creación automática de nuevos usuarios locales, este diccionario define los valores del IDP utilizados para el nombre de cuenta local y el nombre completo.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" 
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>ScreenLockedBehavior</key>
            <string>DoNotHandle</string>
            <key>RegistrationToken</key>
            <string>${device.id}</string>
            <key>PlatformSSO</key>
            <dict>
                <key>AuthenticationMethod</key>
                <string>UserSecureEnclaveKey</string>
                <key>AccountDisplayName</key>
                <string>Entra ID</string>
                <key>EnableAuthorization</key>
                <true />
                <key>EnableCreateUserAtLogin</key>
                <false />
                <key>NewUserAuthorizationMode</key>
                <string>Estándar</string>
                <key>Modo de autorización del usuario</key>
                <string>Estándar</string>
                <key>Asignación de token al usuario</key>
                <dict>
                    <key>AccountName</key>
                    <string>${device.owner.firstName}</string>
                    <key>FullName</key>
                    <string>${device.owner.firstName} ${device.owner.lastName}</string>
                </dict>
                <key>UseSharedDeviceKeys</key>
                <true />
            </dict>
            <key>ExtensionData</key>
            <dict>
                <key>AppPrefixAllowList</key>
                <string>com.microsoft.,com.apple.</string>
                <key>browser_sso_interaction_needed</key>
                <integer>1</integer>
                <key>disable_explicit_app_prompt</key>
                <integer>1</integer>
            </dict>
            <key>TeamIdentifier</key>
            <string>UBF8T346G9</string>
            <key>ExtensionIdentifier</key>
            <string>com.microsoft.CompanyPortalMac.ssoextension</string>
            <key>Type</key>
            <string>Redireccionamiento</string>
            <key>URLs</key>
            <array>
                <string>https://login.microsoftonline.com</string>
                <string>https://login.microsoft.com</string>
                <string>https://sts.windows.net</string>
                <string>https://login.partner.microsoftonline.cn</string>
                <string>https://login.chinacloudapi.cn</string>
                <string>https://login.microsoftonline.us</string>
                <string>https://login-us.microsoftonline.com</string>
            </array>
            <key>PayloadIdentifier</key>
            <string>56DD5560-5BFF-41E5-8197-939FB3374BA3</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>56DD5560-5BFF-41E5-8197-939FB3374BA3</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
        </dict>
    </array>
    <key>PayloadDisplayName</key>
    <string>Microsoft PSSO</string>
    <key>PayloadIdentifier</key>
    <string>Microsoft.PSSO-EAE14F52-5119-4CF3-AACE-EA485054A4FD</string>
    <key>PayloadType</key>
    <string>Configuración</string>
    <key>UUID de carga útil</key>
    <string>EAE14F52-5119-4CF3-AACE-EA485054A4FD</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

3. Registro en Platform SSO en el dispositivo mediante una clave Secure Enclave

Para comenzar este paso del proceso, el dispositivo macOS debe estar registrado en NinjaOne MDM. Para obtener instrucciones sobre cómo hacerlo, consulte NinjaOne MDM: Registrar dispositivos macOS.

Si utiliza ADE para inscribir el dispositivo macOS en NinjaOne MDM, debe configurar una cuenta de usuario local e iniciar sesión en el dispositivo. Después de la inscripción, el agente NinjaOne RMM se implementará automáticamente y, a su vez, se instalará la aplicación Company Portal según la automatización programada que haya configurado (paso 1.6 de este artículo). Esto puede tardar unos minutos.

Una vez que se hayan completado la instalación del perfil MDM y la aplicación Company Portal, el usuario del dispositivo recibirá una notificación para registrarse en Platform SSO. Si se ignora, esta notificación aparecerá periódicamente.

registration required.png
Figura 5: Ejemplo de una notificación de registro

Los siguientes pasos describen las instrucciones que el usuario debe seguir en su dispositivo:

  1. Haga clic en Registrarse. En el modal de registro, haga clic en Continuar y siga las instrucciones para introducir las credenciales de administrador del dispositivo local y continuar.
  2. Autentíquese con las credenciales de Entra ID. Si es necesario, es posible que se le solicite un segundo factor de autenticación.
  3. Si Platform SSO está configurado para usar una clave Secure Enclave, se le pedirá que permita que el Portal de la empresa use una clave de acceso. Haga clic en Abrir configuración del sistema y, a continuación, habilite la clave de acceso como se muestra en la imagen.
enable entra id passkey.png
Figura 6: Ejemplo de una notificación de registro (haga clic para ampliar)

Esto completa el registro de Platform SSO. El usuario ya debería poder utilizar SSO para autenticarse automáticamente en cualquier solicitud de inicio de sesión de Microsoft Entra ID. Esta autenticación se vinculará a la cuenta local del dispositivo macOS. Cuando inicien sesión en la cuenta local, se autorizará el SSO posterior basándose en la clave Secure Enclave .

Para validar el registro de SSO de la plataforma, puede ver la cuenta de usuario local en Configuración → Usuarios y grupos y seleccionar el nombre de usuario. En la sección SSO de la plataforma, puede ver el usuario de Microsoft Entra ID para el que está activo el SSO. Si es necesario, puede reparar el registro o volver a autenticarse para actualizar los tokens de SSO.
microsoft entra_users and groups_enclave key.png
Figura 7: Validar el método de registro de un usuario en Entra (haga clic para ampliar)

4. (Opcional) Omitir el aviso de privacidad obligatorio para Microsoft AutoUpdater

Normalmente, cuando se instala el Portal de la empresa, también se instala automáticamente Microsoft AutoUpdater y se muestra un aviso de privacidad obligatorio que el usuario debe aceptar.

Al implementar la siguiente carga útil personalizada, puede omitir la visualización de este aviso. Si ya está implementando una carga útil personalizada para configurar Microsoft AutoUpdate, simplemente puede incluir la clave AcknowledgedDataCollectionPolicy , con el valor establecido en la cadena RequiredDataOnly en las líneas 8-9:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>AcknowledgedDataCollectionPolicy</key>
				<string>RequiredDataOnly</string>
                <key>PayloadType</key>
                <string>com.microsoft.autoupdate2</string>
                <key>PayloadDisplayName</key>
				<string>Configuración de Microsoft AutoUpdate</string>
                <key>PayloadIdentifier</key>
                <string>0F4CE0C7-22AD-454C-B9FE-FF025EED58EF</string>
				<key>PayloadUUID</key>
                <string>0F4CE0C7-22AD-454C-B9FE-FF025EED58EF</string>
                <key>PayloadVersion</key>
				<entero>1</entero>
            </diccionario>
        </matriz>
        <clave>PayloadDisplayName</clave>
        <cadena>Configuración de Microsoft AutoUpdate</cadena>
		<key>PayloadIdentifier</key>
        <string>CB4A399D-1CCF-458C-A192-AD1066F7E7B6</string>
        <key>PayloadUUID</key>
		<string>CB4A399D-1CCF-458C-A192-AD1066F7E7B6</string>
        <key>PayloadType</key>
        <string>Configuration</string>
		<key>PayloadVersion</key>
        <integer>1</integer>    
    </dict>
</plist>

5. (Opcional) Permitir que otros usuarios inicien sesión con sus credenciales de Entra ID

Si el perfil MDM de SSO de la plataforma está configurado con EnableCreateUserAtLogin establecido en «true», otros usuarios podrán iniciar sesión en el dispositivo con sus credenciales de Entra ID.

En la página de inicio de sesión, elija iniciar sesión con un usuario «Otro...» y, a continuación, introduzca el nombre de usuario y la contraseña de Entra ID directamente en los campos. La cuenta de usuario local se creará automáticamente, con el nombre de la cuenta y el nombre para mostrar rellenados con los valores de búsqueda del diccionario TokenToUserMapping del perfil MDM.

El usuario podrá utilizar el SSO para las solicitudes de autenticación de Entra ID inmediatamente, pero se le seguirá solicitando que complete el proceso de registro en el SSO de la plataforma. Debe completarlo una vez para eliminar las notificaciones. Dependiendo del valor de NewUserAuthorizationMode, la cuenta se creará como una cuenta estándar o como administrador.

Recursos adicionales

Consulte los siguientes recursos para obtener más información sobre el SSO y otros servicios de gestión de identidades en NinjaOne: Autenticación y gestión de identidades: Catálogo de recursos.

FAQ

Próximos pasos