Joindre un appareil Mac à Microsoft Entra ID pendant l’expérience prête à l’emploi avec la PSSO macOS (préversion)
Les utilisateurs Mac peuvent joindre leur nouvel appareil à Microsoft Entra ID lors de la première expérience prête à l’emploi (OOBE). L’authentification unique de la plateforme (PSSO) macOS est une nouvelle fonctionnalité sur macOS activée à l’aide de l’extension Microsoft Enterprise Single Sign-On. La PSSO permet aux utilisateurs de se connecter à un appareil Mac à l’aide d’une clé matérielle, d’une carte à puce ou de leur mot de passe Microsoft Entra ID. Ce tutoriel vous montre comment configurer un appareil Mac pendant l’OOBE pour utiliser la PSSO à l’aide de l’inscription automatisée des appareils.
Prérequis
- Une version minimale recommandée de macOS 14 Sonoma. Bien que macOS 13 Ventura soit pris en charge, nous vous recommandons vivement d’utiliser macOS 14 Sonoma pour une expérience optimale.
- Un appareil inscrit à l’inscription automatisée des appareils (ADE). Vérifiez auprès de votre administrateur si vous ne savez pas si votre appareil est inscrit avec cette exigence.
- Le Portail d’entreprise Microsoft Intune version 5.2404.0 ou ultérieure
- Un appareil Mac inscrit dans la gestion des périphériques mobiles (GPM) via Microsoft Intune.
- Une charge utile GPM de l’extension SSO avec les paramètres PSSO configurés dans Intune par un administrateur
- Microsoft Authenticator (recommandé) : l’utilisateur doit être inscrit pour une forme d’authentification multifacteur (MFA) Microsoft Entra ID sur son appareil mobile pour terminer l’inscription de l’appareil.
- Pour la configuration des cartes à puce, l’authentification basée sur des certificats configurée et activée. Une carte à puce chargée avec un certificat pour l’authentification avec Microsoft Entra et la carte à puce appairée à un compte local.
Configurer votre appareil macOS
Lorsque vous voyez l’écran « Hello » lors de l’ouverture de votre Mac pour la première fois, suivez les étapes de sélection de votre pays ou région et configurez les paramètres réseau en fonction des besoins.
Vous êtes invité à télécharger un profil de Gestion à distance, ce qui permet d’appliquer l’installation de la configuration dans Microsoft Intune à votre appareil. Sélectionnez Continuer, puis entrez vos informations d’identification Microsoft Entra ID lorsque vous y êtes invité, afin d’approuver le téléchargement du profil de gestion.
Entrez le code envoyé à votre application Authenticator (recommandé) ou utilisez une autre méthode MFA.
Pour créer un compte d’utilisateur, renseignez votre nom complet, votre nom de compte et créez un mot de passe de compte local. Sélectionnez Continuer et votre écran d’accueil s’affiche.
Inscription avec l’inscription automatisée des appareils
Il existe trois méthodes d’authentification pour l’inscription à la PSSO :
- Secure Enclave : l’utilisateur se connecte à son appareil qui a une clé de chiffrement avec Secure Enclave utilisée pour l’authentification unique entre les applications qui s’authentifient à l’aide de Microsoft Entra ID. On l’appelle également Informations d’identification de la plateforme pour macOS.
- Carte à puce : l’utilisateur se connecte à la machine à l’aide d’une carte à puce externe ou d’un jeton matériel compatible avec une carte à puce
- Mot de passe : l’utilisateur se connecte à son appareil local avec un compte local, mis à jour pour utiliser son mot de passe Microsoft Entra ID
Il est recommandé à votre administrateur système d’inscrire le Mac à l’aide de Secure Enclave ou de la carte à puce. Ces nouvelles fonctionnalités sans mot de passe sont prises en charge uniquement par la PSSO. Vérifiez la méthode d’authentification configurée par votre administrateur avant de continuer.
Accédez à la fenêtre contextuelle Inscription requise en haut à droite de l’écran. Pointez sur la fenêtre contextuelle et sélectionnez S’inscrire. Pour les utilisateurs macOS 14 Sonoma, vous verrez un message vous invitant à inscrire votre appareil auprès de Microsoft Entra. Cette invite n’apparaît pas pour macOS 13 Ventura.
Une invite s’affiche pour entrer le mot de passe de votre compte local. Entrez votre mot de passe, puis cliquez sur OK.
Une fois votre compte déverrouillé, sélectionnez le compte auquel vous connecter, entrez vos informations d’identification de connexion et sélectionnez Suivant.
L’authentification multifacteur est requise dans le cadre de ce flux de connexion. Ouvrez votre application Authenticator (recommandé) ou utilisez les autres méthodes MFA que vous avez inscrites, puis entrez le numéro affiché à l’écran pour terminer l’inscription.
Une fois le flux MFA terminé et que l’écran de chargement disparaît, votre appareil doit être inscrit auprès de la PSSO. Vous pouvez maintenant utiliser la PSSO pour accéder aux ressources d’application Microsoft.
Activer les informations d’identification de la plateforme pour macOS en tant que clé d’accès
La configuration de votre appareil à l’aide de la méthode Secure Enclave vous permet d’utiliser les informations d’identification obtenues enregistrées sur le Mac en tant que clé d’accès dans le navigateur. Pour l’activer :
Ouvrez l’application Paramètres, puis accédez à Mots de passe>Options de mot de passe.
Sous Options de mot de passe, recherchez Utiliser des mots de passe et des clés d’accès à partir de et activez Portail d’entreprise via le commutateur bascule.
Vérifier l’état de l’inscription de votre appareil
Une fois que vous avez effectué les étapes ci-dessus, il est judicieux de vérifier l’état de l’inscription de votre appareil.
Pour vérifier que l’inscription s’est terminée correctement, accédez à Paramètres, puis sélectionnez Utilisateurs et groupes.
Sélectionnez Modifier en regard de Serveur de compte réseau et vérifiez que PSSO est répertoriée comme Inscrite.
Pour vérifier la méthode utilisée pour l’authentification, accédez à votre nom d’utilisateur dans la fenêtre Utilisateurs et groupes, puis sélectionnez l’icône Informations. Vérifiez la méthode répertoriée, qui doit être Secure Enclave, Carte à puce ou Mot de passe.
Remarque
Vous pouvez également utiliser l’application Terminal pour vérifier l’état de l’inscription. Exécutez la commande suivante pour vérifier l’état de l’inscription de votre appareil. Vous devez voir en bas de la sortie que les jetons SSO sont récupérés. Pour les utilisateurs macOS 13 Ventura, cette commande est requise pour vérifier l’état de l’inscription.
app-sso platform -s
Voir aussi
- Joindre un appareil Mac à Microsoft Entra ID à l’aide du Portail d’entreprise
- Options d’authentification sans mot de passe pour Microsoft Entra ID
- Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID
- Plug-in Microsoft Enterprise Single Sign-On pour les appareils Apple