Sujet
Cet article explique comment configurer Platform SSO pour vos appareils macOS avec Entra ID à l'aide de NinjaOne. Il décrit également le processus d'enregistrement afin que l'utilisateur final puisse voir quand son appareil est inscrit dans la gestion des appareils mobiles (MDM) NinjaOne.
Environnement
- NinjaOne MDM
- macOS
- Plateforme Apple
- Microsoft Entra
Description
Platform SSO est une technologie développée par Apple pour macOS qui permet aux fournisseurs d'identité (IDP) de gérer l'authentification unique (SSO) vers leurs applications d'entreprise en fonction de la connexion locale de l'utilisateur à l'appareil lui-même. Pour plus d'informations sur ce produit, consultez le site des développeurs : Authentification unique Platform pour macOS - Assistance Apple (externe).
Selon la mise en œuvre spécifique, Platform SSO peut permettre différents types de fonctionnalités. Actuellement, les comptes d'utilisateurs locaux existants sur un appareil macOS recevront une notification leur demandant de s'authentifier et de s'inscrire à Platform SSO pour leur compte. Les techniciens peuvent éventuellement définir la stratégie permettant la création ultérieure de comptes d'utilisateurs locaux via l'authentification de l'IDP dans la fenêtre de connexion de l'appareil local.
Index
- Prérequis
- Platform SSO avec Microsoft Entra ID
- 1. Déployer l'application Intune Company Portal sur les appareils NinjaOne
- 2. Configurer le profil MDM Extension SSO de la plateforme dans NinjaOne
- 3. Enregistrement auprès de Platform SSO sur l'appareil à l'aide d'une clé Secure Enclave
- 4. (Facultatif) Ignorer l'avis de confidentialité obligatoire pour Microsoft AutoUpdater
- 5. (Facultatif) Autoriser d'autres utilisateurs à se connecter avec leurs informations d'identification Entra ID
- Ressources
Conditions préalables
Pour configurer Platform SSO, vous devez respecter certaines exigences, quels que soient l'IDP et le système de gestion des appareils mobiles (MDM), bien que les étapes exactes puissent varier en fonction de la mise en œuvre.
- L'IDP (tel que Microsoft ou Okta) doit prendre en charge le protocole Platform SSO.
- L'appareil macOS doit être inscrit dans le MDM.
- L'extension Platform SSO appropriée (une application native macOS) doit être déployée sur l'appareil.
- Le profil MDM de l'extension Platform SSO doit être déployé sur l'appareil.
Platform SSO prend en charge trois méthodes d'authentification pour les utilisateurs en tant que protocole. L'IDP utilisé pour l'authentification doit également prendre en charge ces mêmes méthodes, sinon seul un sous-ensemble de ces méthodes peut être disponible pour un IDP particulier.
- Clé sécurisée par Secure Enclave: dans la plupart des cas, il s'agit de la méthode d'authentification préférée et la plus sécurisée lorsque vous utilisez Platform SSO avec un IDP qui la prend en charge. Avec cette méthode d'authentification, l'utilisateur crée un mot de passe local pour l'appareil. Une fois Platform SSO enregistré, l'appareil génère une clé cryptographique liée au matériel qui est utilisée pour l'authentification unique avec tous les sites web et applications fédérés avec l'IDP.
- Comme la clé d'authentification est liée à l'appareil physique et n'est jamais connue de l'utilisateur final, cela permet une méthode d'authentification sans mot de passe et résistante au phishing pour les applications d'entreprise. Avec cette approche, le mot de passe local de l'appareil fait office de numéro d'identification personnel (PIN) utilisé pour accéder uniquement à l'appareil physique.
- Carte à puce : une carte à puce ou un jeton physique est utilisé pour se connecter localement à macOS. Une fois connecté, la même carte à puce est utilisée pour la connexion SSO à toutes les applications fédérées avec l'IDP à des fins d'authentification.
- Code d'accès : le mot de passe IDP de l'utilisateur est synchronisé avec le mot de passe de l'appareil local. Ce mot de passe est utilisé pour la connexion unique à toutes les applications fédérées avec l'IdP à des fins d'authentification.
- Bien que cela offre une commodité supplémentaire à l'utilisateur final, puisque le mot de passe de l'appareil local devient le même que son mot de passe IDP, cela crée un risque supplémentaire de phishing. Si un tiers malveillant venait à connaître le code d'accès IDP, il pourrait potentiellement accéder à la fois à l'appareil physique et à toutes les applications d'entreprise fédérées avec l'IDP. Pour cette raison, NinjaOne recommande d'utiliser une clé sécurisée par Secure Enclave lorsque les appareils sont principalement utilisés par un seul utilisateur.
SSO de plateforme avec Microsoft Entra ID
Microsoft Entra ID prend en charge le SSO de plateforme et les trois options d'authentification des utilisateurs finaux.
Les utilisateurs voient généralement la notification système initiale après l'installation des applications NinjaOne Agent et Microsoft Company Portal sur l'appareil, ce qui peut prendre plusieurs minutes après l'inscription initiale au MDM. Si la notification d'enregistrement n'apparaît pas, déconnectez-vous localement de l'appareil, puis reconnectez-vous pour la lancer.
1. Déployez l'application Intune Company Portal sur les appareils NinjaOne
Pour la plateforme SSO avec Microsoft Entra ID, Microsoft utilise l'application Company Portal pour gérer la fonctionnalité SSO. L'application Company Portal peut être téléchargée depuis Microsoft ici (fichier de package téléchargeable).
Une fois téléchargée, vous pouvez suivre les étapes suivantes pour la déployer sur vos appareils macOS inscrits dans NinjaOne MDM :
- Dans la console NinjaOne, accédez à Administration → Bibliothèque → Automatisation.
- Cliquez sur Ajouter et sélectionnez Installation.
- Dans la fenêtre modale Installer l'application, configurez les paramètres suivants, puis sélectionnez Soumettre.
- Nom : entrez un nom tel que « Portail d'entreprise Intune »
- Système d'exploitation : « Mac »
- Programme d'installation : laissez le menu déroulant sur l'option par défaut « Télécharger le fichier », puis cliquez sur Choisir le fichier d'installation. Téléchargez le programme d'installation « Company Portal PKG ».
- Vérifiez que la configuration est validée et apparaît dans la bibliothèque d'automatisation. La validation de l'installation peut prendre quelques minutes.
- Ajoutez l'automatisation à votre stratégie Mac. Accédez à Administration → Stratégies → Stratégies d'agent, puis créez une nouvelle stratégie ou modifiez votre stratégie existante. Si vous avez besoin d'instructions pour créer une nouvelle stratégie, consultez Stratégies : créer une nouvelle stratégie.
- Sélectionnez l'onglet Automatisations planifiées et cliquez sur Ajouter une automatisation planifiée.
- Donnez un nom à l'automatisation planifiée et choisissez d'exécuter l'automatisation que vous avez téléchargée précédemment à l'étape 3. Choisissez un calendrier approprié, tel que Exécuter une fois immédiatement.
- Cliquez sur Ajouter. Ensuite, enregistrez la politique.
L'application Company Portal devrait être déployée sur tous les appareils macOS gérés selon le calendrier que vous avez configuré.
2. Configurer le profil MDM Extension SSO de la plateforme dans NinjaOne
Vous pouvez copier le fichier mobileconfig à la fin de cette section et le coller directement dans une charge utile personnalisée dans une stratégie NinjaOne macOS pour configurer Platform SSO avec Entra ID.
Tenez compte des champs configurables suivants :
- AuthenticationMethod : lignes 13-14. Définissez l'une des options suivantes en fonction de l'expérience souhaitée :
- UserSecureEnclaveKey
- Mot de passe
- SmartCard
- AccountDisplayName: lignes 15 à 16. Ce nom s'affiche pour les utilisateurs finaux lors du processus d'enregistrement SSO de la plateforme.
- EnableCreateUserAtLogin: lignes 19-20. Si cette option est définie sur « true », de nouveaux comptes d'utilisateurs locaux seront créés automatiquement après authentification avec Entra ID sur l'écran de connexion local.
- NewUserAuthorizationMode: lignes 21 à 22. Si la création de nouveaux utilisateurs est autorisée, définissez cette option sur l'une des valeurs suivantes pour déterminer le niveau d'autorisation des comptes utilisateur :
- Standard
- Admin
- UserAuthorizationMode: lignes 23 à 24. Cette option prend en charge les mêmes valeurs que NewUserAuthorizationMode. L'autorisation s'applique à un compte à chaque fois que l'utilisateur s'authentifie.
- TokenToUserMapping: lignes 25 à 31. Si vous autorisez la création automatique de nouveaux utilisateurs locaux, ce dictionnaire définit les valeurs de l'IDP utilisées pour le nom de compte local et le nom complet.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>ScreenLockedBehavior</key>
<string>DoNotHandle</string>
<key>RegistrationToken</key>
<string>${device.id}</string>
<key>PlatformSSO</key>
<dict>
<key>AuthenticationMethod</key>
<string>UserSecureEnclaveKey</string>
<key>AccountDisplayName</key>
<string>Entra ID</string>
<key>EnableAuthorization</key>
<true />
<key>EnableCreateUserAtLogin</key>
<false />
<key>NewUserAuthorizationMode</key>
<string>Standard</string>
<key>UserAuthorizationMode</key>
<string>Standard</string>
<key>TokenToUserMapping</key>
<dict>
<key>AccountName</key>
<string>${device.owner.firstName}</string>
<key>FullName</key>
<string>${device.owner.firstName} ${device.owner.lastName}</string>
</dict>
<key>UseSharedDeviceKeys</key>
<true />
</dict>
<key>ExtensionData</key>
<dict>
<key>AppPrefixAllowList</key>
<string>com.microsoft.,com.apple.</string>
<key>browser_sso_interaction_needed</key>
<integer>1</integer>
<key>disable_explicit_app_prompt</key>
<integer>1</integer>
</dict>
<key>TeamIdentifier</key>
<string>UBF8T346G9</string>
<key>ExtensionIdentifier</key>
<string>com.microsoft.CompanyPortalMac.ssoextension</string>
<key>Type</key>
<string>Redirect</string>
<key>URLs</key>
<array>
<string>https://login.microsoftonline.com</string>
<string>https://login.microsoft.com</string>
<string>https://sts.windows.net</string>
<string>https://login.partner.microsoftonline.cn</string>
<string>https://login.chinacloudapi.cn</string>
<string>https://login.microsoftonline.us</string>
<string>https://login-us.microsoftonline.com</string>
</array>
<key>PayloadIdentifier</key>
<string>56DD5560-5BFF-41E5-8197-939FB3374BA3</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>56DD5560-5BFF-41E5-8197-939FB3374BA3</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Microsoft PSSO</string>
<key>PayloadIdentifier</key>
<string>Microsoft.PSSO-EAE14F52-5119-4CF3-AACE-EA485054A4FD</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>EAE14F52-5119-4CF3-AACE-EA485054A4FD</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>3. Enregistrement auprès de Platform SSO sur l'appareil à l'aide d'une clé Secure Enclave
Pour commencer cette étape du processus, l'appareil macOS doit être inscrit dans NinjaOne MDM. Pour obtenir des instructions à ce sujet, consultez NinjaOne MDM : Inscription d'appareils macOS.
Si vous utilisez ADE pour inscrire l'appareil macOS dans NinjaOne MDM, vous devez configurer un compte utilisateur local et vous connecter à l'appareil. Après l'inscription, l'agent NinjaOne RMM se déploiera automatiquement, puis l'application Company Portal s'installera en fonction de l'automatisation programmée que vous avez configurée (étape 1.6 de cet article). Cette opération peut prendre quelques minutes.
Une fois l'installation du profil MDM et de l'application Company Portal terminée, l'utilisateur de l'appareil recevra une notification l'invitant à s'inscrire à Platform SSO. S'il ignore cette notification, celle-ci s'affichera régulièrement.
Les étapes suivantes décrivent les instructions que l'utilisateur doit suivre sur son appareil :
- Cliquez sur S'inscrire. Dans la fenêtre modale d'inscription, cliquez sur Continuer et suivez les instructions pour entrer les informations d'identification de l'administrateur local de l'appareil afin de continuer.
- Authentifiez-vous à l'aide des informations d'identification Entra ID. Si nécessaire, un deuxième facteur d'authentification peut vous être demandé.
- Si Platform SSO est configuré pour utiliser une clé Secure Enclave, vous serez invité à autoriser le portail d'entreprise à utiliser une clé d'accès. Cliquez sur Ouvrir les paramètres système, puis activez la clé d'accès comme indiqué dans l'image.
L'enregistrement Platform SSO est maintenant terminé. L'utilisateur devrait maintenant pouvoir utiliser SSO pour s'authentifier automatiquement à toute invite de connexion Microsoft Entra ID. Cette authentification sera liée au compte local sur l'appareil macOS. Lorsqu'il se connectera au compte local, cela autorisera le SSO ultérieur sur la base de la clé Secure Enclave .
4. (Facultatif) Ignorer l'avis de confidentialité obligatoire pour Microsoft AutoUpdater
Normalement, lorsque le portail d'entreprise est installé, Microsoft AutoUpdater est également installé automatiquement et affiche un avis de confidentialité que l'utilisateur doit accepter.
En déployant la charge utile personnalisée suivante, vous pouvez ignorer l'affichage de cet avis. Si vous déployez déjà une charge utile personnalisée pour configurer Microsoft AutoUpdate, vous pouvez simplement inclure la clé AcknowledgedDataCollectionPolicy , avec la valeur définie sur la chaîne RequiredDataOnly aux lignes 8 et 9 :
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>AcknowledgedDataCollectionPolicy</key>
<string>RequiredDataOnly</string>
<key>PayloadType</key>
<string>com.microsoft.autoupdate2</string>
<key>PayloadDisplayName</key>
<string>Paramètres de mise à jour automatique Microsoft</string>
<key>PayloadIdentifier</key>
<string>0F4CE0C7-22AD-454C-B9FE-FF025EED58EF</string>
<key>PayloadUUID</key>
<string>0F4CE0C7-22AD-454C-B9FE-FF025EED58EF</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Microsoft AutoUpdate Settings</string>
<key>PayloadIdentifier</key>
<string>CB4A399D-1CCF-458C-A192-AD1066F7E7B6</string>
<key>PayloadUUID</key>
<string>CB4A399D-1CCF-458C-A192-AD1066F7E7B6</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>5. (Facultatif) Autoriser d'autres utilisateurs à se connecter avec leurs informations d'identification Entra ID
Si le profil MDM Platform SSO est configuré avec EnableCreateUserAtLogin défini sur « true », les autres utilisateurs pourront se connecter à l'appareil à l'aide de leurs identifiants Entra ID.
Sur la page de connexion, choisissez de vous connecter avec un utilisateur « Autre... », puis saisissez le nom d'utilisateur et le mot de passe Entra ID directement dans les champs. Le compte utilisateur local sera automatiquement créé, avec le nom du compte et le nom d'affichage renseignés à partir des valeurs de recherche dans le dictionnaire TokenToUserMapping du profil MDM.
Ressources supplémentaires
Consultez les ressources suivantes pour en savoir plus sur le SSO et les autres services de gestion des identités dans NinjaOne : Authentification et gestion des identités : Catalogue de ressources.