In un contesto digitale sempre più eterogeneo come quello delle aziende moderne, l’integrazione dei dispositivi Apple con i servizi aziendali è diventata cruciale per massimizzare l’efficienza operativa e garantire al tempo stesso la sicurezza dei dati aziendali. Uno dei passi significativi in questa direzione è l’integrazione con Microsoft Entra ID, il servizio di gestione delle identità basato su cloud di Microsoft. Questa sinergia non solo semplifica la gestione degli accessi su questi dispositivi, ma offre anche una serie di vantaggi chiave per le aziende.
La funzionalità Platform Single Sign-On consente di sincronizzare le credenziali dell’account locale con un Identity provider, come ad esempio Microsoft Entra ID; la password dell’account locale viene sincronizzata automaticamente, in modo che la password presente in Entra ID e quella locale coincidano.
Riportiamo di seguito alcuni vantaggi legati alla funzionalità:
- L’integrazione con Microsoft Entra ID consente di implementare politiche di accesso condizionale basate su criteri specifici come posizione geografica, stato del dispositivo e altri fattori. Ciò significa che gli utenti possono accedere alle risorse aziendali da dispositivi Apple solo se rispettano determinati requisiti di sicurezza, riducendo così il rischio di accessi non autorizzati.
- Grazie all’integrazione con i servizi Microsoft 365, gli amministratori possono applicare politiche di gestione dei dispositivi per i device Apple, come la configurazione remota, l’applicazione di aggiornamenti e la rimozione selettiva dei dati aziendali da dispositivi smarriti o rubati. Questo assicura un maggiore controllo e una maggiore sicurezza per l’ecosistema dei dispositivi Apple aziendali.
- L’integrazione tra dispositivi Apple e Microsoft Entra ID permette agli utenti di accedere facilmente ai dati e alle applicazioni di cui hanno bisogno per svolgere le proprie attività, indipendentemente dal dispositivo utilizzato, aumentando così la produttività. Attraverso il supporto per il Single Sign-On (SSO), gli utenti sono in grado di accedere alle informazioni aziendali, senza la necessità di inserire ripetutamente le proprie credenziali.
In questo articolo andremo a vedere come configurare questa funzionalità attraverso Microsoft Intune.
Panoramica
Platform Single Sign-On (PSSO) è una funzionalità avanzata annunciata da Apple durante il WWDC (Worldwide Developers Conference) del 2022 finalizzata a migliorare l’esperienza utente e la sicurezza nella gestione delle credenziali di accesso. Come riportato in precedenza, PSSO permette agli utenti di accedere a più servizi e applicazioni utilizzando un’unica autenticazione, semplificando il processo di login e riducendo al tempo stesso il numero di volte che è necessario inserire le credenziali.
Per poter effettuare questo tipo di operazioni, la funzionalità PSSO si basa sull’integrazione tra l’estensione SSO di Apple ed il plug-in Enterprise SSO di Microsoft presente nativamente nelle applicazioni Microsoft Authenticator e Company Portal.
L’estensione Single Sign-On (SSOe) è un profilo di configurazione per macOS, iOS e iPadOS introdotto da Apple nel 2019 e permette di reindirizzare le richieste di autenticazione a un sito Web, un’app o un identity provider cloud; il profilo di configurazione istruisce il dispositivo Apple a reindirizzare la richiesta all’app SSOe installata localmente sul dispositivo quando un utente accede a un servizio con metodi di autenticazione SAML, OAuth 2.0 o OpenID Connect 2.0.
All’avvio, l’app richiederà l’autenticazione dell’utente all’identity provider, per verificare la veridicità della richiesta; a questo punto, l’IdP provvederà a rilasciare due token: un token di accesso e un token di aggiornamento. Quest’ultimo verrà utilizzato per mantenere l’accesso alle risorse fino al successivo cambio password.
Al momento sono disponibili tre diversi metodi di autenticazione che determinano l’esperienza dell’utente finale:
- Platform Credential: fornisce una chiave di crittografia associata all’ hardware (Secure Enclave) e gestita in modo isolato dai processi di sistema. La password dell’account locale dell’utente non viene modificata ed è necessaria per accedere al Mac.
- Smart card: l’utente accede utilizzando una smart card esterna o un token hardware compatibile con smart card (Yubikey). Una volta sbloccato il device, la smart card verrà utilizzata per concedere l’accesso in SSO alle app che usano Microsoft Entra ID per l’autenticazione.
- Password: sincronizza la password dell’utente Microsoft Entra ID con l’account locale in modo tale che l’accesso alle app che utilizzano Microsoft Entra ID avvenga in Single Sign-On.
Requisiti
I requisiti per poter attivare la funzionalità Platform Single Sign-On (PSSO) sono:
- macOS 13 o versione successiva (sebbene macOS 13 risulti supportato, è consigliabile usare macOS 14 Sonoma per un’esperienza ottimale)
- Microsoft Authenticator
- Microsoft Company Portal versione 5.2404.0 o successiva
- Una soluzione MDM (Microsoft Intune) che supporta il payload Extensible Single Sign-On
- Supporto da parte dell’Identity Provider per il protocollo di autenticazione Platform Single Sign-On.
Creazione profilo di enrollment
Il primo passo per poter attivare la funzionalità PSSO è la creazione di un profilo di enrollment che permetta di creare e configurare il local account presente sui device macOS basandosi sull’account aziendale su Entra ID.
Procediamo ora con la predisposizione del profilo di registrazione sulla piattaforma Microsoft Intune:
- Accedere alla console Microsoft Intune admin center con credenziali amministrative;
- Selezionare Devices – iOS/iPadOS – macOS enrollment – Enrollment program tokens;
- Selezionare l’Enrollment program token interessato;
- Accedere alla sezione Profiles;
- Premere sul pulsante Create profile e selezionare l’opzione macOS;
- Assegnare un nome ed una eventuale descrizione al profilo di registrazione
- Premere sul pulsante Next
- Dal menù a tendina User Affinity, selezionare l’opzione Enroll with User Affinity e come metodo di autenticazione selezionare Setup Assistant with modern authentication
- Mantenere lo slider su Yes per l’opzione Await final configuration
- Dal menù a tendina Locked Enrollment, selezionare l’opzione Yes e proseguire con il wizard attraverso il pulsante Next
- Compilare i campi Department e Department Phone in base alle proprie specifiche
- Impostare su Hide lo schermate che non si vogliono visualizzare durante il processo di enrollment del device su Intune
- Proseguire attraverso il pulsante Next
- Procedere con la creazione di un local primary account, selezionando l’opzione Yes dal menu a tendina Create a local prirmary account
- Spostare lo slider su Yes per l’opzione Prefill account info
- Mantenere invariati i successivi settings
- Premere nuovamente sul pulsante Next
- Verificare i settings configurati e procedere con la creazione del profilo attraverso il pulsante Create
NB: nel caso in cui si voglia applicare di default questo profilo di registrazione per tutti I nuovi device, premere sul pulsante Set default profile e dal menu a tendina macOS Enrollment Profile selezionare il profilo creato.
Creazione Configuration Profile
Ultimata la creazione del profilo di registrazione, a questo punto, è possibile andare a definire un nuovo profilo di configurazione per abilitare e configurare la funzionalità Platform Single Sign-On (PSSO):
- Accedere alla console Microsoft Intune admin center con credenziali amministrative;
- Selezionare Devices > macOS > Configuration profiles;
- Premere sul pulsante Create e selezionare l’opzione New Policy;
- Dal menu a tendina Profile type, selezionare l’opzione Settings Catalog;
- Premere sul pulsante Create;
- Assegnare un nome ed una eventuale descrizione al profilo di registrazione;
- Premere sul pulsante Next;
- Procedere con l’aggiunta dei settings necessari attraverso il pulsante Add settings;
- All’interno della sezione Settings picker, espandere la voce Authentication e, una volta selezionata l’opzione Enterprise Single Sign On (SSO), aggiungere i seguenti settings:
- Extension Identifier
- Platform SSO:
- Authentication Method
- Use Shared Device Keys
- Registration Token
- Screen Locked Behavior
- Team Identifier
- Type
- URLs
- Impostare I seguenti valori per i rispettivi settings:
Setting | Value |
Extension Identifier | com.microsoft.CompanyPortalMac.ssoextension |
Authentication Method | UseSecureEnclaveKey o Password |
Use Shared Devices Keys | Enabled (non impostare nel caso in cui l’Authentication Method è impostato a Password) |
Registration Token | {{DEVICEREGISTRATION}} |
Screen Locked Behavior | Do Not Handle |
Team Identifier | UBF8T346G9 |
Type | Redirect |
URLs | https://login.microsoftonline.com
https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn |
- Procedere con il wizard attraverso il pulsante Next;
- Definire eventuali scope tag e premere nuovamente sul pulsante Next;
- Assegnare il profilo di configurazione a tutti i device oppure ad uno specifico gruppo Entra ID;
- Premere sul pulsante Next;
- Completare il processo di creazione attraverso il pulsante Create;
Distribuzione app Company Portal
Come riportato in precedenza, uno dei requisiti per il corretto funzionamento del PSSO risulta essere la presenza sul device dell’app Company Portal versione 5.2404.0 o successiva.
Riportiamo qui sotto gli step necessari per effettuare la distribuzione dell’app per sistemi macOS:
- Eseguire il download dell’ultima versione dell’app in formato PKG attraverso il seguente link;
- Accedere alla console Microsoft Intune admin center con credenziali amministrative;
- Selezionare Apps > macOS;
- Premere sul pulsante Add;
- Dal menu a tendina App type, selezionare l’opzione macOS app (PKG);
- Premere sul pulsante Select;
- Premere sul link Select app package file e, attraverso l’apposito pulsante di Browse, selezionare il file scaricato in precedenza;
- Confermare la selezione attraverso il pulsante OK;
- Assegnare nome, descrizione e Publishere alla nuova app;
- Premere sul pulsante Next;
- Non impostare Pre-install o Post-install script e premere nuovamente sul pulsante Next;
- Dal menu a tendina Minimum operating system, selezionare la versione minima dell’OS e procedere con il pulsante Next;
- Mantenere invariate le opzioni impostate nel tab Detection rules e proseguire con il wizard attraverso il pulsante Next;
- Assegnare il profilo di configurazione a tutti i device oppure ad uno specifico gruppo Entra ID;
- Premere sul pulsante Next;
- Completare il processo di creazione attraverso il pulsante Create;
User Experience (Password)
Riportiamo qui sotto alcuni screenshot relativi alla user experience fornita durante il processo di registrazione e configurazione utilizzando la password come metodo di autenticazione:
User Experience (Secure Enclave)
Riportiamo qui sotto alcuni screenshot relativi alla user experience fornita durante il processo di registrazione e configurazione utilizzando Secure Enclave come metodo di autenticazione:
Riferimenti
Si riportano alcuni utili riferimenti alle documentazioni ufficiali:
- Intro to single sign-on with Apple devices
- Platform Single Sign-on for macOS
- Microsoft Enterprise SSO plug-in for Apple devices
Conclusioni
La funzionalità Platform Single Sign-On su device macOS rappresenta un significativo passo avanti nella gestione delle credenziali di accesso; implementando PSSO, le aziende possono migliorare l’esperienza utente, aumentare la sicurezza e semplificare la gestione delle autenticazioni. Investire in questa integrazione non solo ottimizza le operazioni aziendali, ma contribuisce anche a proteggere i dati sensibili e a migliorare l’esperienza complessiva degli utenti.