Microsoft Entra ID | macOS Platform SSO

Microsoft Entra ID Platform Single Sign On, macOS’ta Enterprise Single Sign-on Extension (SSOe) kullanılarak etkinleştirilen yeni bir özelliktir. Platform SSO’nun avantajı, kullanıcıların Microsoft Entra ID parolalarını kullanarak Mac’te oturum açmalarına veya donanıma bağlı bir key kullanarak da SSO’dan yararlanmalarına olanak sağlamasıdır. Bu hem iki ayrı parolayı hatırlamak zorunda kalmayarak son kullanıcı deneyimini iyileştiriyor hem de yöneticilerin local admin parolasını yönetme ihtiyacını azaltıyor. Kurumlardaki Mac müşterileri uzun zamandır Mac’lerde oturum açmak için Microsoft Entra ID parolalarını kullanabilecekleri bir çözüme ihtiyaç duymaktaydılar.

Platform SSO, MDM configuration profilinde end user authentication metodunu yapılandırmasına olanak tanımaktadır.

Password as authentication method : Kullanıcının Microsoft Entra ID parolasını yerel hesapla eşitler ve kimlik doğrulama için Microsoft Entra ID kullanan uygulamalar arasında SSO’yu etkinleştirir.

Secure Enclave key as authentication method: Kimlik doğrulama için Microsoft Entra ID kullanan uygulamalarda SSO için kullanılan secure enclave destekli kriptografik key sağlar. Kullanıcının yerel hesap parolası etkilenmez ve Mac’te oturum açmak için gerekli bir özelliktir.

Prerequisites

• Company Portal uygulamasının mevcut olması gerekmektedir.
• Platform SSO konfigurasyonları Intune’da yapılmış olması gerekmektedir.
• Mac cihazların enroll olmuş olması gerekmektedir.

Supported Software Versions

• Supported OS version: macOS 13, macOS 14.
• Supported Mac Company Portal version: 5.2309.101 only

Browser SSO compatibility

• Microsoft Edge
• Safari

Network Konfigurasyonu Gereksinimleri

Platform SSO’nun düzgün çalışması için Enterprise SSO eklentisinin kimlik sağlayıcı URL’lerine ve kendi URL’lerine ek müdahale olmadan ulaşabilmesi gerekir. Daha fazla ayrıntı için Enterprise SSO eklenti belgesini inceleyebilirsiniz.

Önemli: Şu anda Platform SSO yalnızca Microsoft Intune ile desteklenmektedir. Diğer üçüncü taraf MDM sağlayıcıları için destek gelecek sürümlerde eklenmesi beklenmektedir.

Microsoft Intune ile SSO Extension Konfigurasyonu

Intune’de platform SSO politikasını oluşturduğunuzda, kullanmak istediğiniz kimlik doğrulama yöntemine karar vermeniz gerekir.

Platform SSO ilkesi ve kullandığınız kimlik doğrulama yöntemi, kullanıcıların cihazlarda oturum açma şeklini değiştirir.

• Platform SSO’sunu yapılandırdığınızda, kullanıcılar yapılandırdığınız kimlik doğrulama yöntemiyle macOS cihazlarında oturum açar.
• Platform SSO’sunu kullanmadığınızda, kullanıcılar macOS cihazlarında yerel bir hesapla oturum açar. Ardından, Microsoft Entra ID ile uygulamalarda ve web sitelerinde oturum açarlar.

Microsoft Intune Admin Center > Devices > macOS > Configuration profiles > Create profile > Profile type = Settings Catalog

sonrasında ;

Configuration settings > Authentication > Extensible Single Sign On (SSO) seçeği sonrası aşağıdaki menüyü görüntülüyor olacağız.

aşağıda belirtilen ayarları işaretliyoruz

• Authentication Method (Deprecated)
• Extension Identifier
• Platform SSO
  • Authentication Method
  • Use Shared Device Keys
• Registration Token
• Screen Locked Behavior
• Team Identifier
• Type
• URLs

Seçilen ayarlar sonrası ilgili politikayı aşağıdaki şekilde görüntülüyor olacağız

ilgili bölümlere girişleri yapıyoruz;

Kuruluşunuzdaki macOS sürümlerine bağlı olarak, SSO uzantısı yükünde bulunan bir veya daha fazla kimlik doğrulama yöntemi ayarını yapılandırmanız gerekebilir.

• Yalnızca macOS 13.x için – Kimlik Doğrulama Yöntemi (kullanımdan kaldırılmıştır):
  • Password: Bu seçenek belirlendiğinde SSO kurulur ve kullanıcının Microsoft Entra ID parolası yerel hesapla eşitlenmiş olur.
  • Secure Enclave: Bu seçeneğin seçilmesi SSO’yu kurar ancak yerel hesap parolasını hiçbir şekilde etkilemez.
    
• MacOS 14.x ve üstü için – Platform SSO > Kimlik Doğrulama Yöntemi:
  • Password: Bu seçenek belirlendiğinde SSO kurulur ve kullanıcının Microsoft Entra ID parolası yerel hesapla eşitlenmiş olur.
  • Secure Enclave: bu seçeneğin seçilmesi SSO’yu kurar ancak yerel hesap parolasını hiçbir şekilde etkilemez.
  • Smart Card: Bu seçeneğin belirlenmesi, kullanıcıların yönetilen bir Mac’te akıllı kart kullanarak kimlik doğrulaması yapmasına olanak tanır.

Registration Token: {{DEVICEREGISTRATION}}

Not: yukarıda görüldüğü gibi iki köşeli parantez halinde yazılacaktır.

Account Display Name: Bu, yöneticilerin macOS 14 ve üzeri sürümlerde cihaz kayıt bildiriminde hangi kuruluş adının gösterileceğini belirtmelerini sağlayan isteğe bağlı bir alandır. Belirtmeyebilirsiniz.

Screen Locked Behavior:Do Not Handle

Team Identifier: UBF8T346G9

Extension Identifier: com.microsoft.CompanyPortalMac.ssoextension

Type: Redirect

URL: Asağıdaki URL listesi, SSO uygulama uzantıları kullanan kimlik sağlayıcılarıdır. URL’ler redirect yükleri için gereklidir ve identity info yükleri için ignore edilebilir.

• https://login.microsoftonline.com
• https://login.microsoft.com
• https://sts.windows.net
• https://login.partner.microsoftonline.cn
• https://login.chinacloudapi.cn
• https://login.microsoftonline.us
• https://login-us.microsoftonline.com,

Tüm girişler tamamlandıktan sonra kuralı assign edebiliriz.

Not: Kural user’a assign edilmelidir.

macOS için Şirket Portalı Uygulamasını Dağıtma

MacOS için Şirket Portalı uygulaması Microsoft Enterprise SSO eklentisini dağıtmamız gerekmektedir. Bu eklenti ile birlikte Platform SSO’ya cihazlarda kullanabilir durumda olacağız.

• Manually install Company Portal locally.
  Şirket Portalı yükleyicisini Market üzerinden indirebilir ve manuel olarak yükleyebilirsiniz. Yüklendikten sonra, uygulamayı /Applications/ adresinden başlatabilirsiniz

• Deploy Company Portal as an unmanaged app.
  Bu, uygulamayı macOS için Intune aracısını kullanarak dağıtmaktadır. Uygulama Intune’a eklendikten sonra, onu “required” uygulama olarak atayarak dağıtmanız gerekmektedir. Nasıl mı? –> Add an unmanaged macOS PKG app to Microsoft Intune | Microsoft Learn
• Deploy Company Portal using a script
  Shell aracılığıyla dağıtımı yapabilirsiniz. Nasıl mı? –> https://learn.microsoft.com/en-us/mem/intune/apps/macos-shell-scripts
• Deploy Company Portal as a line-of-business app
  Intune’daki MDM kanalını kullanarak uygulamayı dağıtmaktadır. Uygulama Intune’a eklendikten sonra, onu “required” bir uygulama olarak atamanız gerekmektedir. Bu dağıtım yönteminin yalnızca Otomatik Cihaz Kaydı kullanılarak kaydedilen Mac’ler için geçerli olduğunu unutmayın. Nasıl mı ? –>https://learn.microsoft.com/en-us/mem/intune/apps/lob-apps-macos

MacOS Cihazları Kaydetme İşlemleri

Platform SSO, hem Automated Device Enrollment hem de Device Enrollment kullanılarak kaydedilen Mac’lerde desteklenmektedir. Bu önemli bir ayrım çünkü diğer Mac cihazlarda kullanılamayacaktır. Enroll modellerini aşağıdaki şekilde inceleyebilirsiniz;

• Enrolling a Mac using Automated Device Enrollment;
  How to enroll macOS devices – Apple Business Manager or Apple School Manager | Microsoft Learn.

• Enrolling a Mac using Device Enrollment
  MacOS Cihazınızda Şirket Portalını başlatın, Intune lisanslı bir Microsoft Entra ID kullanıcısı olarak oturum açın ve cihaz kaydını tamamlamak için kurulum akışını takip edebilirsiniz.

MacOS cihazımız kaydedildikten, atanan Configuration Profile sonrası ve Şirket Portalı uygulaması yüklendikten sonra Platform SSO test edilmeye hazır olacaktır.

Kayıt ediltikten sonra MacOS cihazlarda kaydı doğrulamak için ; Ayarlar > Gizlilik ve güvenlik > Profiller giderek, SSO extension varlığını kontrol edebiliriz. Gördüğümüz Profil, politikanın başarıyla alındığını bize göstermektedir.

Platform SSO ile Cihaz Kurulumu (Authentication Method – Password)

Yaptığımız ayarlarda, Authentication Method olarak “Password” seçeneğini belirlemiştik.

Doğru şekilde yapılandırıldığında, kayıtlı MacOS Cihazda sağ üst köşede Platform SSO Register Device bildirimi ile kullanıcıyı uyarır ve bu uyarıyı takiben kayıt işlemini yapabiliriz.

Üzerine geldiğimizde, “Register” seçeneğini görüyoruz.

Oturum açarak tamamlayabiliriz.

Cihaz kaydı tamamlandığında, SSO Extension Prompt kendiliğinden kapanacaktır.
Not: Biraz uzun sürebilir.

Süreç tamamlandığında MacOS cihazımız bizden local password’u girmemizi bekleyecektir.

Eğer ki Local Passwordünüz kullanıcının Microsoft Entra parolasından farklıysa, Microsoft Entra hesabında oturum açmak için Kimlik Doğrulama Gerekli uyarısını göreceksiniz.

Üzerine geldiğinizde “Sign In” seçeneği ile girişi yapabilirsiniz.

Bu adımda Microsoft Entra ID Password’unuzu girmeniz gerekmektedir.

Microsoft Entra ID Password’unuzu girdikten sonra, Artık Local Şifreniz Entra ID şifrenizle değişmiş olacaktır.

Bu işlemden itibaren MacOS cihazınızda oturum açmak ve kurumsal uygulamalarda SSO yetenekleri için Microsoft Entra hesap parolanızı kullanabilir durumdasınız. Artık Local Passwordunuz kullanılamayacaktır.

Platform SSO ile Cihaz Kurulumu 2 (Authentication Method – Secure Enclave)

Password Methodunda olduğu gibi yine ilgili uyarıdan itibaren Register adımıyla devam ediyoruz.

Bir SSO Extension prompt görünecektir. Burada kimlik bilgilerinizi girdiğinizde normalden biraz uzun sürebilir.

Bu oturum açma sürecinin bir parçası olarak MFA kurulumunu sizden isteyecektir.

Şu anda Platform SSO kaydının başarıyla tamamlandığına dair bir UI sinyali bulunmamaktadır. Cihazın doğru şekilde kaydedildiğini kontrol etmek için Terminal’ e giriş yaparak aşağıdaki komut ile kontrol edebiliriz.

app-sso platform –s

eğer aşağıdaki gibi bir çıktı alırsak sorun yok diyebiliriz.

Önemli Not : Kimlik doğrulama yöntemi olarak Secure Enclave kullanıldığında Local Account parolası değişmemektedir. Local Account Parolası kullanılabilir.

Platform SSO ‘u Kaldırma İşlemi

Cihazı ve Account Kaldırma işlemi oldukça basittir.

Önceden kaydedilmiş bir cihazın kaydı, MacOS Company Portal > Settings > “Remove device registration” seçeneğine tıklanarak SSO erişimi iptal edilerek kaldırılabilir. Local Account parolası artık Entra ID hesap parolası ile senkronize edilmeyecektir. Son kullanılan parola Local Account Password olarak kullanılabilir.

Kayıtlı bir cihaz, MacOS Company Portal > Settings > “Remove account from this device” seçeneğine tıklayarak SSO erişimini kaldırabilir. Bu, kullanıcı için tüm SSO araçlarını kaldıracak ve cihaz registered formda kalmaya devam edecektir. Local Account parolası, Entra ID hesap parolası ile senkronize olmaya devam edecektir.

Yaşanan Yaygın Hatalar ( Troubleshooting )

Platform SSO’sunu yapılandırırken aşağıdaki hatalarla karşılaşmanız mümkün;

• 10001: misconfiguration in the SSOe payload
  Device Catalog ekranında gerekli ayarların kontrol edilmesi gerekmektedir.
  SSO Extension ayarlarında hata yapılması muhtemeldir kontrol edilmesi gerekiyor. (Bakınız)
  Ortamınızda aynı ana hem macOS 13 hem macOS 14 cihazları varsa, bir “Content Creater Politikasını oluşturmalısınız. (Bakınız)

• 10002: multiple SSOe payloads configured
  Cihaza birden çok SSO uzantısı yükü uygulanıyor ve çakışıyor. Cihazda yalnızca bir extension profili olmalıdır ve bu profil settings katalog profili olmalıdır.
  Daha önce Cihaz Özellikleri şablonunu kullanarak bir SSO uygulama uzantısı profili oluşturduysanız bu profilin atamasını kaldırarak tekrar deneyebilirsiniz.

Thanks to;

• CCP
• Learn Microsoft
• Microsoft Enterprise SSO Extension