Argomento
Questo articolo spiega come configurare l'SSO della piattaforma per i dispositivi Apple macOS con Microsoft Entra ID utilizzando NinjaOne. Illustra inoltre la procedura di registrazione in modo che l'utente finale possa verificare quando il proprio dispositivo viene registrato in NinjaOne Mobile Device Management (MDM).
Ambiente
- NinjaOne MDM
- Apple macOS
- Microsoft Entra
Descrizione
Platform SSO è una tecnologia sviluppata da Apple per macOS che consente agli identity provider (IdP) di gestire l'SSO per le loro app aziendali in base all'accesso locale dell'utente al dispositivo stesso. Maggiori informazioni su questo prodotto sono disponibili sul sito per sviluppatori: Platform Single Sign-on per macOS - Supporto Apple (link esterno).
A seconda dell'implementazione specifica, Platform SSO può consentire diversi tipi di funzionalità. Attualmente, gli account utente locali esistenti su un dispositivo macOS riceveranno una notifica per autenticarsi e registrarsi a Platform SSO per il proprio account. I tecnici possono, facoltativamente, definire la politica per consentire la creazione di account utente locali successivi tramite l'autenticazione dell'IdP nella finestra di accesso del dispositivo locale.
Indice
- Prerequisiti
- Platform SSO con Microsoft Entra ID
- 1. Distribuire l'app Intune Company Portal sui dispositivi NinjaOne
- 2. Configurare il profilo MDM dell'estensione SSO della piattaforma in NinjaOne
- 3. Registrarsi con Platform SSO sul dispositivo utilizzando una chiave Secure Enclave
- 4. (Facoltativo) Ignora l'avviso sulla privacy richiesto per Microsoft AutoUpdater
- 5. (Facoltativo) Consentire ad altri utenti di accedere con le proprie credenziali Entra ID
- Risorse aggiuntive
Prerequisiti
Per configurare Platform SSO, è necessario soddisfare determinati requisiti indipendentemente dall'IdP e dall'MDM, sebbene i passaggi esatti possano variare a seconda dell'implementazione.
- L'IdP (come Microsoft o Okta) deve supportare il protocollo SSO della piattaforma.
- Il dispositivo macOS deve essere registrato nell'MDM.
- L'estensione Platform SSO pertinente (un'app nativa per macOS) deve essere distribuita sul dispositivo.
- Il profilo MDM dell'estensione Platform SSO deve essere distribuito sul dispositivo.
Platform SSO supporta tre metodi di autenticazione per gli utenti come protocollo. Anche l'IdP utilizzato per l'autenticazione deve supportare questi stessi metodi; in caso contrario, per un particolare IdP potrebbe essere disponibile solo un sottoinsieme di questi metodi.
- Chiave supportata da Secure Enclave: nella maggior parte dei casi, questo è il metodo di autenticazione preferito e più sicuro quando si utilizza Platform SSO con un IdP che lo supporta. Con questo metodo di autenticazione, l'utente crea una password locale per il dispositivo. Una volta registrato Platform SSO, il dispositivo genera una chiave crittografica legata all'hardware che viene utilizzata per l'SSO con qualsiasi sito web e app federati con l'IdP per l'autenticazione.
- Poiché la chiave di autenticazione è legata al dispositivo fisico e non è mai nota all'utente finale, ciò consente un metodo di autenticazione senza password e resistente al phishing per le app aziendali. Con questo approccio, la password locale del dispositivo funge effettivamente da numero di identificazione personale (PIN) del dispositivo utilizzato per accedere solo al dispositivo fisico.
- Smartcard: una smartcard o un token hardware viene utilizzata per accedere localmente a macOS. Una volta effettuato l'accesso, la stessa smartcard viene utilizzata per l'SSO in qualsiasi app federata con l'IdP per l'autenticazione.
- Codice di accesso: la password IdP dell'utente viene sincronizzata con la password del dispositivo locale. Questa password viene utilizzata per l'accesso SSO a qualsiasi app federata con l'IdP per l'autenticazione.
- Sebbene ciò offra una maggiore comodità all'utente finale, poiché la password del dispositivo locale diventa la stessa della password dell'IdP, crea un rischio aggiuntivo di phishing. Se una terza parte malintenzionata venisse a conoscenza del codice di accesso dell'IdP, potrebbe potenzialmente accedere sia al dispositivo fisico che a qualsiasi app aziendale federata con l'IdP. Per questo motivo, raccomandiamo di utilizzare una chiave supportata da Secure Enclave quando i dispositivi sono utilizzati principalmente da un singolo utente.
SSO della piattaforma con Microsoft Entra ID
Microsoft Entra ID supporta l'SSO di piattaforma e tutte e tre le opzioni di autenticazione dell'utente finale.
Gli utenti vedranno generalmente la notifica di sistema iniziale dopo che sia l'app NinjaOne Agent che l'app Microsoft Company Portal saranno state installate sul dispositivo, operazione che potrebbe richiedere alcuni minuti dopo la registrazione MDM iniziale. Se la notifica di registrazione non appare, disconnettersi dal dispositivo localmente e poi riconnettersi per avviarla.
1. Distribuire l'app Intune Company Portal sui dispositivi NinjaOne
Per l'SSO di piattaforma con Microsoft Entra ID, Microsoft utilizza l'app Company Portal per gestire la funzionalità SSO. L'app Company Portal può essere scaricata da Microsoft qui (file del pacchetto scaricabile).
Una volta scaricata, è possibile seguire i passaggi seguenti per distribuirla sui dispositivi macOS registrati in NinjaOne MDM:
- All'interno della console NinjaOne, passare a Amministrazione → Libreria → Automazione.
- Fare clic su Aggiungi e selezionare Installazione.

- Nella finestra modale Installa applicazione, configurare le seguenti impostazioni, quindi selezionare Invia.
- Nome: inserisci un nome come "Portale aziendale Intune".
- Sistema operativo: "Mac".
- Programma di installazione: lasciare il menu a discesa sull'opzione predefinita Carica file e fare clic su Scegli file di installazione. Caricare il programma di installazione PKG di Company Portal.

- Verifica che la configurazione superi la revisione e appaia nella Libreria di automazione. La convalida dell'installazione potrebbe richiedere alcuni minuti.
- Aggiungere l'automazione al proprio criterio Mac. Accedere a Amministrazione → Criteri → Criteri agente e creare un nuovo criterio o modificare quello esistente. Se sono necessarie istruzioni per la creazione di un nuovo criterio, consultare Criteri NinjaOne: Creazione e gestione di un criterio.
- Seleziona la scheda Automazioni pianificate e fai clic su Aggiungi un'automazione pianificata.

- Assegnare un nome all'automazione pianificata e scegliere di eseguire l'automazione caricata in precedenza nel passaggio 3. Scegliere una pianificazione appropriata, ad esempio Esegui una volta immediatamente.

- Fare clic su Aggiungi. Quindi, salvare la policy.
L'app Company Portal dovrebbe essere distribuita su tutti i dispositivi macOS gestiti in base alla pianificazione configurata.
2. Configurare il profilo MDM dell'estensione SSO della piattaforma in NinjaOne
Puoi copiare il file mobileconfig alla fine di questa sezione e incollarlo direttamente in un Payload personalizzato in una policy NinjaOne per macOS per configurare Platform SSO con Entra ID.
Prendi in considerazione i seguenti campi configurabili:
- AuthenticationMethod: righe 13–14. Impostare uno dei seguenti valori a seconda dell'esperienza desiderata:
- UserSecureEnclaveKey
- Password
- SmartCard
- AccountDisplayName: righe 15–16. Questo nome viene visualizzato agli utenti finali durante il processo di registrazione SSO della piattaforma.
- EnableCreateUserAtLogin: Righe 19–20. Se impostato su "true", i nuovi account utente locali verranno creati automaticamente dopo l'autenticazione con Entra ID nella schermata di accesso locale.
- NewUserAuthorizationMode: Righe 21–22. Se è consentita la creazione di nuovi utenti, impostare questo parametro su uno dei seguenti valori per determinare il livello di autorizzazione degli account utente:
- Standard
- Admin
- UserAuthorizationMode: righe 23–24. Supporta gli stessi valori di NewUserAuthorizationMode. L'autorizzazione si applica a un account ogni volta che l'utente esegue l'autenticazione.
- TokenToUserMapping: righe 25–31. Se si consente la creazione automatica di nuovi utenti locali, questo dizionario definisce i valori provenienti dall'IDP utilizzati per il nome dell'account locale e il nome completo.
- AccountName: righe 28–29. Il valore stringa elencato nel modello rappresenta il nome del proprietario assegnato al dispositivo (esempio:
preferred_username). - FullName: righe 30–31. I valori stringa elencati nel modello rappresentano il nome e il cognome del proprietario assegnato del dispositivo (esempio:
name).
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>ScreenLockedBehavior</key>
<string>DoNotHandle</string>
<key>RegistrationToken</key>
<string>${device.id}</string>
<key>PlatformSSO</key>
<dict>
<key>AuthenticationMethod</key>
<string>UserSecureEnclaveKey</string>
<key>AccountDisplayName</key>
<string>Entra ID</string>
<key>EnableAuthorization</key>
<true />
<key>EnableCreateUserAtLogin</key>
<false />
<key>NewUserAuthorizationMode</key>
<string>Standard</string>
<key>UserAuthorizationMode</key>
<string>Standard</string>
<key>TokenToUserMapping</key>
<dict>
<key>AccountName</key>
<string>preferred_username</string>
<key>FullName</key>
<string>name</string>
</dict>
<key>UseSharedDeviceKeys</key>
<true />
</dict>
<key>ExtensionData</key>
<dict>
<key>AppPrefixAllowList</key>
<string>com.microsoft.,com.apple.</string>
<key>browser_sso_interaction_needed</key>
<integer>1</integer>
<key>disable_explicit_app_prompt</key>
<integer>1</integer>
</dict>
<key>TeamIdentifier</key>
<string>UBF8T346G9</string>
<key>ExtensionIdentifier</key>
<string>com.microsoft.CompanyPortalMac.ssoextension</string>
<key>Type</key>
<string>Redirect</string>
<key>URLs</key>
<array>
<string>https://login.microsoftonline.com</string>
<string>https://login.microsoft.com</string>
<string>https://sts.windows.net</string>
<string>https://login.partner.microsoftonline.cn</string>
<string>https://login.chinacloudapi.cn</string>
<string>https://login.microsoftonline.us</string>
<string>https://login-us.microsoftonline.com</string>
</array>
<key>PayloadIdentifier</key>
<string>56DD5560-5BFF-41E5-8197-939FB3374BA3</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>56DD5560-5BFF-41E5-8197-939FB3374BA3</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Microsoft PSSO</string>
<key>PayloadIdentifier</key>
<string>Microsoft.PSSO-EAE14F52-5119-4CF3-AACE-EA485054A4FD</string>
<key>PayloadType</key>
<string>Configurazione</string>
<key>PayloadUUID</key>
<string>EAE14F52-5119-4CF3-AACE-EA485054A4FD</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>3. Registrazione con Platform SSO sul dispositivo utilizzando una chiave Secure Enclave
Per iniziare questa fase del processo, il dispositivo macOS deve essere registrato in NinjaOne MDM. Per le istruzioni su come farlo, consultare
I passaggi seguenti descrivono le istruzioni che l'utente deve seguire sul proprio dispositivo:
Questo completa la registrazione di Platform SSO. L'utente dovrebbe ora essere in grado di utilizzare SSO per autenticarsi automaticamente a qualsiasi richiesta di accesso Microsoft Entra ID. Questa autenticazione sarà collegata all'account locale sul dispositivo macOS. Quando si accede all'account locale, questo autorizzerà il successivo SSO in base alla chiave Secure Enclave.
4. (Facoltativo) Ignora l'informativa sulla privacy richiesta per Microsoft AutoUpdater
Normalmente, quando si installa Company Portal, viene installato automaticamente anche Microsoft AutoUpdater e viene visualizzata una nota sulla privacy obbligatoria che l'utente deve accettare.
Distribuirai il seguente payload personalizzato, potrai saltare la visualizzazione di questa nota. Se stai già distribuendo un payload personalizzato per configurare Microsoft AutoUpdate, puoi semplicemente includere la chiave AcknowledgedDataCollectionPolicy, con il valore impostato sulla stringa RequiredDataOnly alle righe 8–9:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>AcknowledgedDataCollectionPolicy</key>
<string>RequiredDataOnly</string>
<key>PayloadType</key>
<string>com.microsoft.autoupdate2</string>
<key>PayloadDisplayName</key>
<string>Impostazioni di Microsoft AutoUpdate</string>
<key>PayloadIdentifier</key>
<string>0F4CE0C7-22AD-454C-B9FE-FF025EED58EF</string>
<key>PayloadUUID</key>
<string>0F4CE0C7-22AD-454C-B9FE-FF025EED58EF</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Impostazioni di Microsoft AutoUpdate</string>
<key>PayloadIdentifier</key>
<string>CB4A399D-1CCF-458C-A192-AD1066F7E7B6</string>
<key>PayloadUUID</key>
<string>CB4A399D-1CCF-458C-A192-AD1066F7E7B6</string>
<key>PayloadType</key>
<string>Configurazione</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>5. (Facoltativo) Consentire ad altri utenti di accedere con le proprie credenziali Entra ID
Se il profilo MDM SSO della piattaforma è configurato con EnableCreateUserAtLogin impostato su "true", gli altri utenti potranno accedere al dispositivo utilizzando le proprie credenziali Entra ID.
Dalla pagina di accesso, scegli di accedere con un utente "Altro...", quindi inserisci il nome utente e la password Entra ID direttamente nei campi. L'account utente locale verrà creato automaticamente, con il nome dell'account e il nome visualizzato popolati dai valori di ricerca nel dizionario TokenToUserMapping del profilo MDM.
Risorse aggiuntive
Fare riferimento alle seguenti risorse per ulteriori informazioni sull'SSO e su altri servizi di gestione delle identità in NinjaOne: Autenticazione e gestione delle identità: Catalogo delle risorse.