Sujet
Cet article explique comment configurer l'authentification unique (SSO) de la plateforme pour vos appareils Apple macOS avec Microsoft Entra ID à l'aide de NinjaOne. Il décrit également le processus d'enregistrement afin que l'utilisateur final puisse voir quand son appareil est inscrit dans NinjaOne Mobile Device Management (MDM).
Environnement
- NinjaOne MDM
- Apple macOS
- Microsoft Entra
Description
Platform SSO est une technologie développée par Apple pour macOS qui permet aux fournisseurs d'identité (IdP) de gérer l'authentification unique (SSO) vers leurs applications d'entreprise en s'appuyant sur la connexion locale de l'utilisateur à l'appareil lui-même. Pour plus d'informations sur ce produit, consultez le site des développeurs : Platform Single Sign-on pour macOS - Assistance Apple (lien externe).
Selon la mise en œuvre spécifique, Platform SSO peut offrir différents types de fonctionnalités. Actuellement, les comptes d'utilisateurs locaux existants sur un appareil macOS recevront une notification les invitant à s'authentifier et à s'inscrire à Platform SSO pour leur compte. Les techniciens peuvent, s'ils le souhaitent, définir une politique permettant la création de comptes d'utilisateurs locaux ultérieurs via l'authentification de l'IdP dans la fenêtre de connexion locale de l'appareil.
Index
- Prérequis
- Platform SSO avec Microsoft Entra ID
- 1. Déployez l'application Intune Company Portal sur les appareils NinjaOne
- 2. Configurez le profil MDM de l'extension Platform SSO dans NinjaOne
- 3. Enregistrement auprès de l'authentification unique (SSO) de la plateforme sur l'appareil à l'aide d'une clé Secure Enclave
- 4. (Facultatif) Ignorer la notification de confidentialité obligatoire pour Microsoft AutoUpdater
- 5. (Facultatif) Autoriser d'autres utilisateurs à se connecter avec leurs identifiants Entra ID
- Ressources supplémentaires
Prérequis
Pour configurer Platform SSO, vous devez respecter certaines exigences, quels que soient l'IdP et le MDM, bien que les étapes exactes puissent varier en fonction de la mise en œuvre.
- L'IdP (tel que Microsoft ou Okta) doit prendre en charge le protocole SSO de la plateforme.
- L'appareil macOS doit être inscrit dans le MDM.
- L'extension Platform SSO correspondante (une application native macOS) doit être déployée sur l'appareil.
- Le profil MDM de l'extension Platform SSO doit être déployé sur l'appareil.
Platform SSO prend en charge trois méthodes d'authentification pour les utilisateurs en tant que protocole. L'IdP utilisé pour l'authentification doit également prendre en charge ces mêmes méthodes ; sinon, seul un sous-ensemble de ces méthodes peut être disponible pour un IdP particulier.
- Clé sécurisée par Secure Enclave: dans la plupart des cas, il s’agit de la méthode d’authentification privilégiée et la plus sûre lorsque Platform SSO est utilisé avec un IdP qui la prend en charge. Avec cette méthode d’authentification, l’utilisateur crée un mot de passe local pour l’appareil. Une fois Platform SSO enregistré, l’appareil génère une clé cryptographique liée au matériel qui est utilisée pour l’authentification unique (SSO) avec tous les sites web et applications fédérés avec l’IdP.
- La clé d'authentification étant liée à l'appareil physique et n'étant jamais connue de l'utilisateur final, cela permet une méthode d'authentification sans mot de passe et résistante au phishing pour les applications d'entreprise. Avec cette approche, le mot de passe local de l'appareil fait office de numéro d'identification personnel (PIN) utilisé pour accéder uniquement à l'appareil physique.
- Carte à puce: une carte à puce ou un jeton matériel est utilisé pour se connecter localement à macOS. Une fois connecté, cette même carte à puce est utilisée pour l'authentification unique (SSO) vers toutes les applications fédérées avec l'IdP à des fins d'authentification.
- Mot de passe: le mot de passe IdP de l'utilisateur est synchronisé avec le mot de passe de l'appareil local. Ce mot de passe est utilisé pour l'authentification unique (SSO) dans toutes les applications fédérées avec l'IdP à des fins d'authentification.
- Bien que cela offre un confort supplémentaire à l'utilisateur final, le mot de passe de l'appareil local devenant identique à son mot de passe IdP, cela crée un risque supplémentaire de phishing. Si un tiers malveillant venait à découvrir le code d'accès IdP, il pourrait potentiellement accéder à la fois à l'appareil physique et à toutes les applications d'entreprise fédérées avec l'IdP. C'est pourquoi nous recommandons d'utiliser une clé sécurisée par Secure Enclave lorsque les appareils sont principalement utilisés par un seul utilisateur.
Authentification unique (SSO) de la plateforme avec Microsoft Entra ID
Microsoft Entra ID prend en charge l'authentification unique (SSO) de la plateforme et les trois options d'authentification des utilisateurs finaux.
Les utilisateurs verront généralement la notification système initiale une fois que les applications NinjaOne Agent et Microsoft Company Portal auront été installées sur l'appareil, ce qui peut prendre plusieurs minutes après l'inscription MDM initiale. Si la notification d'enregistrement n'apparaît pas, déconnectez-vous localement de l'appareil, puis reconnectez-vous pour la déclencher.
1. Déployez l'application Intune Company Portal sur les appareils NinjaOne
Pour l'authentification unique (SSO) de la plateforme avec Microsoft Entra ID, Microsoft utilise l'application Company Portal pour gérer la fonctionnalité SSO. L'application Company Portal peut être téléchargée depuis le site de Microsoft ici (fichier de package téléchargeable).
Une fois téléchargée, vous pouvez suivre les étapes suivantes pour la déployer sur vos appareils macOS inscrits à NinjaOne MDM :
- Dans la console NinjaOne, accédez à Administration → Bibliothèque → Automatisation.
- Cliquez sur Ajouter et sélectionnez Installation.

- Dans la fenêtre modale Installer l'application, configurez les paramètres suivants, puis sélectionnez Soumettre.
- Nom: entrez un nom tel que « Portail d'entreprise Intune ».
- Système d'exploitation: « Mac ».
- Programme d'installation: laissez le menu déroulant sur l'option par défaut Télécharger un fichier, puis cliquez sur Choisir le fichier d'installation. Téléchargez le programme d'installation PKG du portail d'entreprise.

- Vérifiez que la configuration passe l’examen et apparaît dans la bibliothèque d’automatisation. La validation de l’installation peut prendre quelques minutes.
- Ajoutez l'automatisation à votre stratégie Mac. Accédez à Administration → Stratégies → Stratégies d'agent, puis créez une nouvelle stratégie ou modifiez votre stratégie existante. Si vous avez besoin d'instructions pour créer une nouvelle stratégie, consultez NinjaOne Policies : Créer et gérer une stratégie.
- Sélectionnez l'onglet Automatisations planifiées et cliquez sur Ajouter une automatisation planifiée.

- Donnez un nom à l'automatisation planifiée, puis choisissez d'exécuter l'automatisation que vous avez téléchargée précédemment à l'étape 3. Choisissez un calendrier approprié, tel que « Exécuter une fois immédiatement ».

- Cliquez sur Ajouter. Ensuite, enregistrez la politique.
L'application Company Portal devrait se déployer sur tous les appareils macOS gérés selon le calendrier que vous avez configuré.
2. Configurer le profil MDM de l'extension SSO de la plateforme dans NinjaOne
Vous pouvez copier le fichier mobileconfig à la fin de cette section et le coller directement dans une charge utile personnalisée (Custom Payload) d'une politique NinjaOne pour macOS afin de configurer l'authentification unique (SSO) de la plateforme avec Entra ID.
Tenez compte des champs configurables suivants :
- AuthenticationMethod: lignes 13-14. Définissez l'une des options suivantes en fonction de l'expérience souhaitée :
- UserSecureEnclaveKey
- Mot de passe
- SmartCard
- AccountDisplayName: lignes 15-16. Ce nom s'affiche pour les utilisateurs finaux lors du processus d'enregistrement SSO de la plateforme.
- EnableCreateUserAtLogin: Lignes 19-20. Si la valeur est définie sur « true », de nouveaux comptes d'utilisateurs locaux seront créés automatiquement après l'authentification avec Entra ID sur l'écran de connexion local.
- NewUserAuthorizationMode: Lignes 21–22. Si la création de nouveaux utilisateurs est autorisée, définissez cette option sur l'une des valeurs suivantes pour déterminer le niveau d'autorisation des comptes utilisateur :
- Standard
- Admin
- UserAuthorizationMode: lignes 23-24. Cette option prend en charge les mêmes valeurs que NewUserAuthorizationMode. L'autorisation s'applique à un compte à chaque fois que l'utilisateur s'authentifie.
- TokenToUserMapping: lignes 25 à 31. Si la création automatique de nouveaux utilisateurs locaux est autorisée, ce dictionnaire définit les valeurs provenant de l'IDP utilisées pour le nom de compte local et le nom complet.
- AccountName: lignes 28 à 29. La valeur de chaîne indiquée dans le modèle représente le prénom du propriétaire attribué à l'appareil (exemple :
preferred_username). - FullName: lignes 30 à 31. Les valeurs de chaîne répertoriées dans le modèle représentent le prénom et le nom du propriétaire attribué de l'appareil (exemple :
name).
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>ScreenLockedBehavior</key>
<string>DoNotHandle</string>
<key>RegistrationToken</key>
<string>${device.id}</string>
<key>PlatformSSO</key>
<dict>
<key>AuthenticationMethod</key>
<string>UserSecureEnclaveKey</string>
<key>AccountDisplayName</key>
<string>Entra ID</string>
<key>EnableAuthorization</key>
<true />
<key>EnableCreateUserAtLogin</key>
<false />
<key>NewUserAuthorizationMode</key>
<string>Standard</string>
<key>UserAuthorizationMode</key>
<string>Standard</string>
<key>TokenToUserMapping</key>
<dict>
<key>AccountName</key>
<string>preferred_username</string>
<key>FullName</key>
<string>name</string>
</dict>
<key>UseSharedDeviceKeys</key>
<true />
</dict>
<key>ExtensionData</key>
<dict>
<key>AppPrefixAllowList</key>
<string>com.microsoft.,com.apple.</string>
<key>browser_sso_interaction_needed</key>
<integer>1</integer>
<key>disable_explicit_app_prompt</key>
<integer>1</integer>
</dict>
<key>TeamIdentifier</key>
<string>UBF8T346G9</string>
<key>ExtensionIdentifier</key>
<string>com.microsoft.CompanyPortalMac.ssoextension</string>
<key>Type</key>
<string>Redirect</string>
<key>URLs</key>
<array>
<string>https://login.microsoftonline.com</string>
<string>https://login.microsoft.com</string>
<string>https://sts.windows.net</string>
<string>https://login.partner.microsoftonline.cn</string>
<string>https://login.chinacloudapi.cn</string>
<string>https://login.microsoftonline.us</string>
<string>https://login-us.microsoftonline.com</string>
</array>
<key>PayloadIdentifier</key>
<string>56DD5560-5BFF-41E5-8197-939FB3374BA3</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>56DD5560-5BFF-41E5-8197-939FB3374BA3</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Microsoft PSSO</string>
<key>PayloadIdentifier</key>
<string>Microsoft.PSSO-EAE14F52-5119-4CF3-AACE-EA485054A4FD</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>EAE14F52-5119-4CF3-AACE-EA485054A4FD</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>3. Enregistrement auprès de Platform SSO sur l'appareil à l'aide d'une clé Secure Enclave
Pour commencer cette étape du processus, l'appareil macOS doit être inscrit dans NinjaOne MDM. Pour obtenir des instructions à ce sujet, consultez
Les étapes suivantes décrivent les instructions que l'utilisateur doit suivre sur son appareil :
L'enregistrement du SSO de la plateforme est terminé. L'utilisateur devrait désormais pouvoir utiliser le SSO pour s'authentifier automatiquement à toute invite de connexion Microsoft Entra ID. Cette authentification sera liée au compte local sur l'appareil macOS. Lorsqu'il se connectera au compte local, cela autorisera le SSO suivant en fonction de la clé Secure Enclave.
4. (Facultatif) Ignorer l'avis de confidentialité obligatoire pour Microsoft AutoUpdater
Normalement, lors de l'installation du Portail d'entreprise, Microsoft AutoUpdater s'installe également automatiquement et affiche une notification de confidentialité obligatoire que l'utilisateur doit accepter.
En déployant la charge utile personnalisée suivante, vous pouvez ignorer l'affichage de cette notification. Si vous déployez déjà une charge utile personnalisée pour configurer Microsoft AutoUpdate, il vous suffit d'inclure la clé AcknowledgedDataCollectionPolicy, avec la valeur définie sur la chaîne RequiredDataOnly aux lignes 8–9 :
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>AcknowledgedDataCollectionPolicy</key>
<string>RequiredDataOnly</string>
<key>PayloadType</key>
<string>com.microsoft.autoupdate2</string>
<key>PayloadDisplayName</key>
<string>Paramètres de Microsoft AutoUpdate</string>
<key>PayloadIdentifier</key>
<string>0F4CE0C7-22AD-454C-B9FE-FF025EED58EF</string>
<key>PayloadUUID</key>
<string>0F4CE0C7-22AD-454C-B9FE-FF025EED58EF</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Paramètres de mise à jour automatique Microsoft</string>
<key>PayloadIdentifier</key>
<string>CB4A399D-1CCF-458C-A192-AD1066F7E7B6</string>
<key>PayloadUUID</key>
<string>CB4A399D-1CCF-458C-A192-AD1066F7E7B6</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>5. (Facultatif) Autoriser d'autres utilisateurs à se connecter avec leurs identifiants Entra ID
Si le profil MDM SSO de la plateforme est configuré avec EnableCreateUserAtLogin défini sur « true », les autres utilisateurs pourront alors se connecter à l'appareil à l'aide de leurs identifiants Entra ID.
Sur la page de connexion, choisissez de vous connecter avec un utilisateur « Autre… », puis saisissez directement le nom d’utilisateur et le mot de passe Entra ID dans les champs. Le compte utilisateur local sera automatiquement créé, avec le nom du compte et le nom d’affichage renseignés à partir des valeurs de recherche dans le dictionnaire TokenToUserMapping du profil MDM.
Ressources supplémentaires
Consultez les ressources suivantes pour en savoir plus sur l'authentification unique (SSO) et les autres services de gestion des identités dans NinjaOne : Authentification et gestion des identités : catalogue de ressources.