macOS Platform Single Sign-on: integrazione tra dispositivi Apple e Microsoft Entra ID

Davide SalsiEnterprise Mobility, Microsoft Intune

In un contesto digitale sempre più eterogeneo come quello delle aziende moderne, l’integrazione dei dispositivi Apple con i servizi aziendali è diventata cruciale per massimizzare l’efficienza operativa e garantire al tempo stesso la sicurezza dei dati aziendali. Uno dei passi significativi in questa direzione è l’integrazione con Microsoft Entra ID, il servizio di gestione delle identità basato su cloud di Microsoft. Questa sinergia non solo semplifica la gestione degli accessi su questi dispositivi, ma offre anche una serie di vantaggi chiave per le aziende.

La funzionalità Platform Single Sign-On consente di sincronizzare le credenziali dell’account locale con un Identity provider, come ad esempio Microsoft Entra ID; la password dell’account locale viene sincronizzata automaticamente, in modo che la password presente in Entra ID e quella locale coincidano.

Riportiamo di seguito alcuni vantaggi legati alla funzionalità:

  • L’integrazione con Microsoft Entra ID consente di implementare politiche di accesso condizionale basate su criteri specifici come posizione geografica, stato del dispositivo e altri fattori. Ciò significa che gli utenti possono accedere alle risorse aziendali da dispositivi Apple solo se rispettano determinati requisiti di sicurezza, riducendo così il rischio di accessi non autorizzati.
  • Grazie all’integrazione con i servizi Microsoft 365, gli amministratori possono applicare politiche di gestione dei dispositivi per i device Apple, come la configurazione remota, l’applicazione di aggiornamenti e la rimozione selettiva dei dati aziendali da dispositivi smarriti o rubati. Questo assicura un maggiore controllo e una maggiore sicurezza per l’ecosistema dei dispositivi Apple aziendali.
  • L’integrazione tra dispositivi Apple e Microsoft Entra ID permette agli utenti di accedere facilmente ai dati e alle applicazioni di cui hanno bisogno per svolgere le proprie attività, indipendentemente dal dispositivo utilizzato, aumentando così la produttività. Attraverso il supporto per il Single Sign-On (SSO), gli utenti sono in grado di accedere alle informazioni aziendali, senza la necessità di inserire ripetutamente le proprie credenziali.

 

In questo articolo andremo a vedere come configurare questa funzionalità attraverso Microsoft Intune.

 

Panoramica

Platform Single Sign-On (PSSO) è una funzionalità avanzata annunciata da Apple durante il WWDC (Worldwide Developers Conference) del 2022 finalizzata a migliorare l’esperienza utente e la sicurezza nella gestione delle credenziali di accesso. Come riportato in precedenza, PSSO permette agli utenti di accedere a più servizi e applicazioni utilizzando un’unica autenticazione, semplificando il processo di login e riducendo al tempo stesso il numero di volte che è necessario inserire le credenziali.

Per poter effettuare questo tipo di operazioni, la funzionalità PSSO si basa sull’integrazione tra l’estensione SSO di Apple ed il plug-in Enterprise SSO di Microsoft presente nativamente nelle applicazioni Microsoft Authenticator e Company Portal.

L’estensione Single Sign-On (SSOe) è un profilo di configurazione per macOS, iOS e iPadOS introdotto da Apple nel 2019 e permette di reindirizzare le richieste di autenticazione a un sito Web, un’app o un identity provider cloud; il profilo di configurazione istruisce il dispositivo Apple a reindirizzare la richiesta all’app SSOe installata localmente sul dispositivo quando un utente accede a un servizio con metodi di autenticazione SAML, OAuth 2.0 o OpenID Connect 2.0.

All’avvio, l’app richiederà l’autenticazione dell’utente all’identity provider, per verificare la veridicità della richiesta; a questo punto, l’IdP provvederà a rilasciare due token: un token di accesso e un token di aggiornamento. Quest’ultimo verrà utilizzato per mantenere l’accesso alle risorse fino al successivo cambio password.

Al momento sono disponibili tre diversi metodi di autenticazione che determinano l’esperienza dell’utente finale:

  • Platform Credential: fornisce una chiave di crittografia associata all’ hardware (Secure Enclave) e gestita in modo isolato dai processi di sistema. La password dell’account locale dell’utente non viene modificata ed è necessaria per accedere al Mac.
  • Smart card: l’utente accede utilizzando una smart card esterna o un token hardware compatibile con smart card (Yubikey). Una volta sbloccato il device, la smart card verrà utilizzata per concedere l’accesso in SSO alle app che usano Microsoft Entra ID per l’autenticazione.
  • Password: sincronizza la password dell’utente Microsoft Entra ID con l’account locale in modo tale che l’accesso alle app che utilizzano Microsoft Entra ID avvenga in Single Sign-On.

 

Requisiti

I requisiti per poter attivare la funzionalità Platform Single Sign-On (PSSO) sono:

  • macOS 13 o versione successiva (sebbene macOS 13 risulti supportato, è consigliabile usare macOS 14 Sonoma per un’esperienza ottimale)
  • Microsoft Authenticator
  • Microsoft Company Portal versione 5.2404.0 o successiva
  • Una soluzione MDM (Microsoft Intune) che supporta il payload Extensible Single Sign-On
  • Supporto da parte dell’Identity Provider per il protocollo di autenticazione Platform Single Sign-On.

 

Creazione profilo di enrollment

Il primo passo per poter attivare la funzionalità PSSO è la creazione di un profilo di enrollment che permetta di creare e configurare il local account presente sui device macOS basandosi sull’account aziendale su Entra ID.

Procediamo ora con la predisposizione del profilo di registrazione sulla piattaforma Microsoft Intune:

  • Accedere alla console Microsoft Intune admin center con credenziali amministrative;
  • Selezionare Devices – iOS/iPadOS – macOS enrollment – Enrollment program tokens;
  • Selezionare l’Enrollment program token interessato;
  • Accedere alla sezione Profiles;
  • Premere sul pulsante Create profile e selezionare l’opzione macOS;

 

Figura 1 – Creazione profilo di enrollment per macOS

 

  • Assegnare un nome ed una eventuale descrizione al profilo di registrazione
  • Premere sul pulsante Next
  • Dal menù a tendina User Affinity, selezionare l’opzione Enroll with User Affinity e come metodo di autenticazione selezionare Setup Assistant with modern authentication
  • Mantenere lo slider su Yes per l’opzione Await final configuration
  • Dal menù a tendina Locked Enrollment, selezionare l’opzione Yes e proseguire con il wizard attraverso il pulsante Next
  • Compilare i campi Department e Department Phone in base alle proprie specifiche
  • Impostare su Hide lo schermate che non si vogliono visualizzare durante il processo di enrollment del device su Intune

 

Figura 2 – Personalizzazione Setup Assistant

 

  • Proseguire attraverso il pulsante Next
  • Procedere con la creazione di un local primary account, selezionando l’opzione Yes dal menu a tendina Create a local prirmary account
  • Spostare lo slider su Yes per l’opzione Prefill account info
  • Mantenere invariati i successivi settings

 

Figura 3 – Creazione local primary user account

 

  • Premere nuovamente sul pulsante Next
  • Verificare i settings configurati e procedere con la creazione del profilo attraverso il pulsante Create

 

NB: nel caso in cui si voglia applicare di default questo profilo di registrazione per tutti I nuovi device, premere sul pulsante Set default profile e dal menu a tendina macOS Enrollment Profile selezionare il profilo creato.

 

Figura 4 – Definizione enrollment profile di default

 

Creazione Configuration Profile

Ultimata la creazione del profilo di registrazione, a questo punto, è possibile andare a definire un nuovo profilo di configurazione per abilitare e configurare la funzionalità Platform Single Sign-On (PSSO):

  • Accedere alla console Microsoft Intune admin center con credenziali amministrative;
  • Selezionare Devices > macOS > Configuration profiles;
  • Premere sul pulsante Create e selezionare l’opzione New Policy;
  • Dal menu a tendina Profile type, selezionare l’opzione Settings Catalog;
  • Premere sul pulsante Create;
  • Assegnare un nome ed una eventuale descrizione al profilo di registrazione;
  • Premere sul pulsante Next;
  • Procedere con l’aggiunta dei settings necessari attraverso il pulsante Add settings;
  • All’interno della sezione Settings picker, espandere la voce Authentication e, una volta selezionata l’opzione Enterprise Single Sign On (SSO), aggiungere i seguenti settings:
    • Extension Identifier
    • Platform SSO:
      • Authentication Method
      • Use Shared Device Keys
    • Registration Token
    • Screen Locked Behavior
    • Team Identifier
    • Type
    • URLs
  • Impostare I seguenti valori per i rispettivi settings:
Setting Value
Extension Identifier com.microsoft.CompanyPortalMac.ssoextension
Authentication Method UseSecureEnclaveKey o Password
Use Shared Devices Keys Enabled (non impostare nel caso in cui l’Authentication Method è impostato a Password)
Registration Token {{DEVICEREGISTRATION}}
Screen Locked Behavior Do Not Handle
Team Identifier UBF8T346G9
Type Redirect
URLs https://login.microsoftonline.com

https://login.microsoft.com

https://sts.windows.net

https://login.partner.microsoftonline.cn

https://login.chinacloudapi.cn

https://login.microsoftonline.us

https://login-us.microsoftonline.com
Figura 5 – Configurazione Extensible Single Sign On (SSO)

 

  • Procedere con il wizard attraverso il pulsante Next;
  • Definire eventuali scope tag e premere nuovamente sul pulsante Next;
  • Assegnare il profilo di configurazione a tutti i device oppure ad uno specifico gruppo Entra ID;
  • Premere sul pulsante Next;
  • Completare il processo di creazione attraverso il pulsante Create;

 

Distribuzione app Company Portal

Come riportato in precedenza, uno dei requisiti per il corretto funzionamento del PSSO risulta essere la presenza sul device dell’app Company Portal versione 5.2404.0 o successiva.

Riportiamo qui sotto gli step necessari per effettuare la distribuzione dell’app per sistemi macOS:

  • Eseguire il download dell’ultima versione dell’app in formato PKG attraverso il seguente link;
  • Accedere alla console Microsoft Intune admin center con credenziali amministrative;
  • Selezionare Apps > macOS;
  • Premere sul pulsante Add;
  • Dal menu a tendina App type, selezionare l’opzione macOS app (PKG);
  • Premere sul pulsante Select;
  • Premere sul link Select app package file e, attraverso l’apposito pulsante di Browse, selezionare il file scaricato in precedenza;
  • Confermare la selezione attraverso il pulsante OK;
  • Assegnare nome, descrizione e Publishere alla nuova app;
  • Premere sul pulsante Next;
  • Non impostare Pre-install o Post-install script e premere nuovamente sul pulsante Next;
  • Dal menu a tendina Minimum operating system, selezionare la versione minima dell’OS e procedere con il pulsante Next;
  • Mantenere invariate le opzioni impostate nel tab Detection rules e proseguire con il wizard attraverso il pulsante Next;
  • Assegnare il profilo di configurazione a tutti i device oppure ad uno specifico gruppo Entra ID;
  • Premere sul pulsante Next;
  • Completare il processo di creazione attraverso il pulsante Create;

 

User Experience (Password)

Riportiamo qui sotto alcuni screenshot relativi alla user experience fornita durante il processo di registrazione e configurazione utilizzando la password come metodo di autenticazione:

Figura 6 – Registrazione macOS (Remote Management)
Figura 7 – Registrazione macOS (Local Account)
Figura 8 – Registrazione macOS (Richiesta inserimento password account Entra ID)
Figura 9 – Registrazione macOS (Inserimento credenziali account locale)
Figura 10 – Registrazione macOS (Inserimento credenziali account Entra ID)
Figura 11 – Registrazione macOS (Sincronizzazione password)

 

User Experience (Secure Enclave)

Riportiamo qui sotto alcuni screenshot relativi alla user experience fornita durante il processo di registrazione e configurazione utilizzando Secure Enclave come metodo di autenticazione:

Figura 12 – Registrazione macOS (Remote Management)
Figura 13 – Registrazione macOS (Local Account)
Figura 14 – Registrazione macOS (Richiesta registrazione Identity Provider)
Figura 15 – Registrazione macOS (Inserimento credenziali account locale)
Figura 16 – Registrazione macOS (Inserimento credenziali account Entra ID)
Figura 17 – Registrazione macOS (Join device su Entra ID)
Figura 18 – Registrazione macOS (Attivazione Company Portal come Passkey Provider)
Figura 19 – Registrazione macOS (Verifica corretta attivazione)

 

Riferimenti

Si riportano alcuni utili riferimenti alle documentazioni ufficiali:

 

Conclusioni

La funzionalità Platform Single Sign-On su device macOS rappresenta un significativo passo avanti nella gestione delle credenziali di accesso; implementando PSSO, le aziende possono migliorare l’esperienza utente, aumentare la sicurezza e semplificare la gestione delle autenticazioni. Investire in questa integrazione non solo ottimizza le operazioni aziendali, ma contribuisce anche a proteggere i dati sensibili e a migliorare l’esperienza complessiva degli utenti.