PSSO pour macOS : compatibilité des versions et fonctionnalités

Cette page couvre les capacités et fonctionnalités spécifiques ajoutées à Authentification unique sur la plateforme (SSO sur la plateforme) via les différentes versions de macOS.

Version	Fonctionnalités
macOS 26 TAHOE	La version la plus simple et la plus rationnelle du modèle de déploiement PSSO 2.0 avec authentification par identifiant. Le flux de déploiement sans manipulation via l'assistant de configuration Apple est l'expérience utilisateur principale et attendue pour les inscriptions de nouveaux appareils dans le cadre du processus Inscription automatisée d’appareils. Vos appareils doivent avoir Okta Verify pour la version 9.52 macOS ou ultérieure.
macOS 15 Sequioa	Les paramètres de la politique MDM incluent des clés de charge utile pour prendre en charge les politiques d'authentification et de période de grâce. Ces derniers contrôlent le comportement PSSO dans différents contextes d'authentification, tels que le déverrouillage d'écran, la connexion initiale de l'utilisateur et FileVault. Consultez Politiques d'authentification et Politiques de période de grâce. Pour l'enregistrement SSO sur la plateforme d'un utilisateur sous macOS 15.4 et versions ultérieures, l'utilisateur doit être géré par MDM. Pour appliquer ou tenter une synchronisation de mot de passe dans la fenêtre FileVault, connectez l'ordinateur à un réseau connu. Consultez Exigences relatives au réseau FileVault.
macOS 14 Sonoma	Changement d'architecture vers une implémentation moderne, basée sur l'identité PSSO 2.0. Prend en charge l'enregistrement PSSO directement dans l'assistant de configuration Apple. Prend en charge la création de comptes locaux juste-à-temps depuis la fenêtre de connexion macOS. Permet à un utilisateur d'utiliser son nouveau mot de passe Okta directement dans la fenêtre de connexion macOS. Présente la technologie pour une expérience de déverrouillage d'appareil sans mot de passe à l’aide de Apple Enclave sécurisée.
macOS 13 Ventura	Les utilisateurs peuvent lancer l'enrôlement uniquement après s'être connectés à un compte local préexistant. Les comptes locaux doivent être créés manuellement avant de pouvoir activer PSSO. Vous ne pouvez pas intégrer le flux PSSO dans le processus de configuration initiale de l'appareil.

Paramètres de politique pour les fenêtres Déverrouiller, Connexion et FileVault

Avec les nouvelles politiques d'authentification d'Apple, vous pouvez spécifier les exigences d'authentification sous macOS 15 Sequioa et versions ultérieures.

Vous pouvez définir chaque politique sur RequireAuthentication, AttemptAuthentication, ou la laisser vide. Sur macOS 14 Sonoma, la valeur par défaut est vide.

Remarque :

Les politiques décrites ici fonctionnent uniquement pour Synchronisation de mots de passe de bureau sur PSSO.

Politiques d'authentification

Nom de la politique Description

Nom de la politique	Description
`RequireAuthentication`	Cette politique requiert une authentification Okta réussie avant d'accorder l'accès à l'utilisateur. L'accès est refusé à l'utilisateur si l'authentification Okta n'aboutit pas, pour quelque raison que ce soit. Si le serveur Okta est inaccessible en raison de problèmes de connectivité Internet, l'utilisateur n'a pas accès. Définissez l'indicateur `AllowOfflineGracePeriod` pour éviter ce problème. Remarque : Cette politique désactive Touch ID sur l'écran Déverrouiller. Si vous souhaitez autoriser l'accès Touch ID pour un ordinateur verrouillé, vous devez activer `AllowTouchIDOrWatchForUnlock`. Cette politique s'applique aux comptes macOS locaux non enregistrés. À moins que ces comptes ne soient inclus dans le groupe `NonPlatformSSOAccounts` ou que la politique `AuthenticationGracePeriod` soit active, les utilisateurs se voient refuser l'accès. La politique prend effet lorsque l'enregistrement commence. Si l'enregistrement échoue et que les utilisateurs se déconnectent ou verrouillent leur appareil, ils sont exclus, sauf si vous configurez une période de grâce.
`AttemptAuthentication`	Cette politique tente d'appliquer l'authentification par Okta avant d'accorder l'accès à l'utilisateur. Si l'authentification Okta échoue en raison d'un mot de passe incorrect, l'accès est refusé. Si l'authentification Okta échoue pour une autre raison, le mot de passe est vérifié localement. Voici quelques exemples d'échecs d'authentification : Le serveur n'est pas joignable. Le mot de passe a expiré. Le statut de l'utilisateur ou de l'appareil n'est pas valide. L'utilisateur n'a pas été affecté à l'application.
Aucun	Si vous n'avez pas défini la politique `RequireAuthentication` ou `AttemptAuthentication`, le framework revient au comportement par défaut et le mot de passe est vérifié localement. Si la fonction correspond, l'utilisateur se voit accorder l'accès. Si le mot de passe local ne correspond pas, il est comparé à Okta.

RequireAuthentication

Cette politique requiert une authentification Okta réussie avant d'accorder l'accès à l'utilisateur. L'accès est refusé à l'utilisateur si l'authentification Okta n'aboutit pas, pour quelque raison que ce soit.

Si le serveur Okta est inaccessible en raison de problèmes de connectivité Internet, l'utilisateur n'a pas accès. Définissez l'indicateur AllowOfflineGracePeriod pour éviter ce problème.

Remarque :

Cette politique désactive Touch ID sur l'écran Déverrouiller.

Si vous souhaitez autoriser l'accès Touch ID pour un ordinateur verrouillé, vous devez activer AllowTouchIDOrWatchForUnlock.

Cette politique s'applique aux comptes macOS locaux non enregistrés. À moins que ces comptes ne soient inclus dans le groupe NonPlatformSSOAccounts ou que la politique AuthenticationGracePeriod soit active, les utilisateurs se voient refuser l'accès. La politique prend effet lorsque l'enregistrement commence.

Si l'enregistrement échoue et que les utilisateurs se déconnectent ou verrouillent leur appareil, ils sont exclus, sauf si vous configurez une période de grâce.

AttemptAuthentication

Cette politique tente d'appliquer l'authentification par Okta avant d'accorder l'accès à l'utilisateur. Si l'authentification Okta échoue en raison d'un mot de passe incorrect, l'accès est refusé.

Si l'authentification Okta échoue pour une autre raison, le mot de passe est vérifié localement.

Voici quelques exemples d'échecs d'authentification :

Le serveur n'est pas joignable.
Le mot de passe a expiré.
Le statut de l'utilisateur ou de l'appareil n'est pas valide.
L'utilisateur n'a pas été affecté à l'application.

Aucun

Si vous n'avez pas défini la politique RequireAuthentication ou AttemptAuthentication, le framework revient au comportement par défaut et le mot de passe est vérifié localement.

Si la fonction correspond, l'utilisateur se voit accorder l'accès.

Si le mot de passe local ne correspond pas, il est comparé à Okta.

Remarque :

Si le mot de passe local de l'utilisateur est synchronisé au niveau de FileVault ou de l'écran de connexion, le système d'exploitation invite l'utilisateur à saisir son ancien mot de passe macOS pour déverrouiller le trousseau de clés. Son mot de passe peut toujours être synchronisé si l'utilisateur l'a oublié. Cependant, toutes les données protégées, le trousseau précédent et toutes les inscriptions précédentes Okta FastPass deviendront inaccessibles.

Vous ne pouvez pas revenir sur cette action : conseillez à vos utilisateurs de lire attentivement les avertissements et de contacter un administrateur pour obtenir de l'aide.

Politiques de période de grâce

Le profil de gestion de l'appareil Apple et les propriétés FileVaultPolicy, LoginPolicy et UnlockPolicy vous permettent de spécifier une période de grâce pour les scénarios où les utilisateurs sont hors ligne ou non inscrits. Pour plus d'informations sur la configuration, consultez Propriétés de gestion des appareils Apple pour SSO sur la plateforme .

NonPlatformSSOAccounts fournit une liste des comptes locaux qui ne sont pas soumis aux propriétés FileVaultPolicy, LoginPolicy ou UnlockPolicy. Ces comptes ne sont pas invités à s'inscrire pour la SSO sur la plateforme.

Nom de la politique	Description
`AllowOfflineGracePeriod`	Autorise l'authentification hors ligne après validation du mot de passe en local et requiert d'activer `OfflineGracePeriod`. Si l'appareil est en ligne, alors `AllowOfflineGracePeriod` est ignorée et le comportement est déterminé par les politiques d'authentification configurées dans la section précédente. Voir Politiques d'authentification. Cette politique est similaire à la politique `LoginPeriodWithOfflineFactor` Desktop MFA.
`OfflineGracePeriod`	Durée pendant laquelle l'utilisateur peut utiliser le mot de passe du compte local hors ligne après une authentification Okta réussie. Cette valeur s'exprime en secondes.
`AllowAuthenticationGracePeriod`	Permet aux utilisateurs de déverrouiller leur compte macOS local non inscrit en validant le mot de passe localement. Cette politique requiert d'activer `AuthenticationGracePeriod`. Cette politique est similaire à la politique `LoginPeriodWithoutEnrolledFactor` Desktop MFA.
`AuthenticationGracePeriod`	Durée pendant laquelle les comptes locaux non enregistrés peuvent déverrouiller ou se connecter à l'ordinateur après le déclenchement de `FileVaultPolicy`, `LoginPolicy`, ou `UnlockPolicy`. Le compte à rebours commence lorsque l'utilisateur commence le processus d'enregistrement, qu'il ait ou non réussi. Cette valeur s'exprime en secondes.

Exigences relatives au réseau FileVault

Connectez l'ordinateur à un réseau connu pour appliquer ou tenter une synchronisation de mot de passe dans la fenêtre FileVault.

Pour FileVault, le réseau auquel l'ordinateur se connecte doit déjà être présent. Une nouvelle connexion réseau n'est pas autorisée.

Connexions Wi-Fi

Les seuls types de réseau qui fonctionnent pour FileVault sont Open ou WPA2 Personal.
L'ordinateur doit s'être précédemment connecté au réseau avec succès.
Vous ne pouvez pas utiliser les types de réseau suivants. Les clés secrètes pour ces réseaux sont stockées dans le trousseau du système ou de l'appareil et sont inaccessibles jusqu'à ce que le lecteur soit déchiffré :
- Réseaux à portails captifs de toute forme (tout réseau présentant une page Web avec laquelle il faut interagir avant de fournir la connectivité)
- WEP ou WPA3 Personal
- Toute forme de réseau WPA Enterprise (RADIUS 802.1x)

Connexions Ethernet

Un accès ouvert au réseau est requis. L'authentification RADIUS 802.1x n'est pas prise en charge.
Si l'ordinateur utilise un adaptateur Ethernet USB, l'utilisateur doit configurer l'adaptateur et l'ordinateur de sorte à fonctionner sur un port USB spécifique. Consultez Utiliser les ports de votre Mac.
Si un profil MDM qui autorise un accès USB sans restriction est envoyé sur l'ordinateur avant toute tentative de connexion à la fenêtre FileVault, n'importe quel adaptateur Ethernet USB peut se connecter à un réseau accepté.

Requête de mise à jour d'enregistrement

Vous pouvez suivre les utilisateurs qui ont effectué la mise à jour de l‘enregistrement en exécutant la requête suivante dans le Journal système.

eventType eq "device.password_sync.enrollment.create" and target.detailEntry.PlatformSsoProtocol eq "2.0"