Configurer les profils de configuration des appareil pour PSSO à l'aide de Microsoft Intune

Synchronisation de mots de passe de bureau pour macOS utilise la fonctionnalité Applede Authentification unique sur la plateforme (SSO sur la plateforme) pour synchroniser le mot de passe du compte macOS local d'un utilisateur avec son mot de passe Okta.

Ce guide explique comment configurer et déployer Synchronisation de mots de passe de bureau pour macOS les appareils gérés par Microsoft Intune.

Avant de commencer

Commencer cette tâche

Pour configurer les profils de configuration des appareils pour Authentification unique sur la plateforme (SSO sur la plateforme) à l'aide de Microsoft Intune, effectuez les tâches suivantes dans l'ordre :

  1. Configurer le profil d'authentification unique (SSO)

  2. Configurer les domaines associés

  3. Configurer des fichiers de préférences personnalisés

  4. Créer les profils de préférences personnalisées

  5. Vérifier le déploiement du profil

  6. Déployer Okta Verify

Configurer le profil d'authentification unique (SSO)

  1. Dans le centre administrateur Microsoft Intune, sélectionnez Appareils dans la barre de navigation principale.

  2. Accédez àGérer les appareils > Configuration.

  3. Cliquez sur Créer, puis sélectionnez Nouvelle politique.

  4. Dans le volet Créer un profil, sélectionnez les options suivantes :

    • Plateforme : macOS

    • Type de profil : Settings catalog

  5. Cliquez sur Créer.

  6. Donnez au profil un nom approprié, par exemple, Okta SSO Extension and Domains. Cliquez sur Suivant.

  7. Cliquez sur Ajouter des paramètres.

  8. Saisissez SSO dans le champ Paramètres et cliquez sur Rechercher.

  9. Sélectionnez Authentification > Authentification unique (SSO) extensible.

  10. Configurez les options suivantes :

    Paramètre

    Valeur

    Méthode d'authentification

    Mot de passe

    Extension Identifier (Identificateur d'extension)

    com.okta.mobile.auth-service-extension

    Nom d'affichage du compte

    Un nom d'affichage pour votre instance Okta.

    Cette valeur est utilisée dans les notifications et les requêtes d’authentification pour le compte.

    Il est défini au niveau du système et non à un niveau spécifique à l'utilisateur.

    Activer Créer un utilisateur lors de la connexion

    Définissez cette option sur Activé.

    Cette option est uniquement nécessaire pour la création de compte local juste-à-temps.

    Nouveau mode d'autorisation des utilisateurs

    Sélectionnez Standard ou Administrateur.

    Cette option est uniquement nécessaire pour la création d'un compte local juste-à-temps.

    Mappage du jeton vers l'utilisateur : nom du compte

    macOSAccountUsername

    Cette option est uniquement nécessaire pour la création d'un compte local juste-à-temps.

    Mappage du jeton vers l'utilisateur : nom complet

    macOSAccountFullName

    Cette option est uniquement nécessaire pour la création d'un compte local juste-à-temps.

    Utiliser des clés d'appareil partagées

    Activé

    Enregistrement de jeton

    Ce paramètre doit être présent, mais vous pouvez saisir n'importe quelle valeur dans le champ, car le profil SCEP créé remplace cette valeur.

    Identificateur d'équipe

    B7F62B65BN

    Type

    Redirection

    URL

    Ajoutez les URL de votre organisation Okta, y compris les chemins :

    • /device-access/api/v1/nonce

    • /oauth2/v1/token

    • /v1/auth/device-sign

    Par exemple :

    • https://customerorg.okta.com/device-access/api/v1/nonce

    • https://customerorg.okta.com/oauth2/v1/token

    • https://customerorg.okta.com/v1/auth/device-sign

Configurer les domaines associés

  1. Cliquez sur Ajouter des paramètres pour ajouter un autre élément au profil que vous avez créé à l'étape précédente.

  2. Saisissez Associated Domains dans le champ Paramètres et cliquez sur Rechercher.

  3. Sélectionnez Gestion des applications > Domaines associés.

  4. Dans Domaines associés > Configuration, cliquez sur Modifier l'instance.

  5. Saisissez les informations suivantes pour l' instance:

    • Identificateur de l'application : B7F62B65BN.com.okta.mobile.auth-service-extension

    • Domaine associé : saisissez authsrv: suivi de l' URL de votre org Okta. Par exemple, authsrv:customerorg.okta.com

    • Cliquez sur Enregistrer.

  6. Répétez l'opération pour l'autre domaine associé :

    • Identificateur de l'application : B7F62B65BN.com.okta.mobile

    • Domaine associé : saisissez authsrv: suivi de l'URL de votre organisation Okta. Par exemple, authsrv:customerorg.okta.com

    • Cliquez sur Enregistrer.

  7. Cliquez sur Suivant.

  8. Affectez des balises Permission si nécessaire et cliquez sur Suivant.

  9. Affectez les utilisateurs ou les groupes appropriés et cliquez sur Suivant.

  10. Confirmez l'ensemble de vos paramètres dans l'onglet Examiner + Créer, puis cliquez sur Créer.

Configurer des fichiers de préférences personnalisées

Pour que SSO sur la plateforme fonctionne, vous devez créer et déployer un fichier de préférences pour chacun des domaines de préférences suivants :

  • com.okta.mobile

  • com.okta.mobile.auth-service-extension

  • com.okta.deviceaccess.servicedaemon : Facultatif. Requis uniquement pour Device-Bound SSO.

  • com.apple.preference.security : Facultatif. Obligatoire uniquement pour bloquer la réinitialisation du mot de passe.

com.okta.mobile

Créez et enregistrez un fichier texte appelé com.okta.mobile avec le contenu suivant.

<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>{{mail}}</string>

Remplacez les éléments suivants en fonction de la configuration spécifique à votre org :

  • https://customerorg.okta.com est l'URL de votre org Okta.

  • {{mail}} est une valeur facultative qui est remplie avec le nom d'utilisateur Okta lorsque l'utilisateur s'enregistre avec PSSO. Si vous n'indiquez pas de valeur, les utilisateurs doivent saisir leur nom d'utilisateur lorsqu'ils se connectent.

com.okta.mobile.auth-service-extension

Créez et enregistrez un fichier texte appelé com.okta.mobile.auth-service-extension avec le contenu suivant.

<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>{{mail}}</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>add-your-client-ID-here</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>

Remplacez les éléments suivants en fonction de la configuration spécifique à votre org :

  • https://customerorg.okta.com est l'URL de votre org Okta.

  • {{mail}} est une valeur facultative qui est remplie avec le nom d'utilisateur Okta lorsque l'utilisateur s'enregistre avec PSSO. Si vous n'indiquez pas de valeur, les utilisateurs doivent saisir leur nom d'utilisateur lorsqu'ils se connectent.

  • add-your-client-ID-here est l'ID client que vous avez copié lors de la création de l'application SSO sur la plateforme.

    Vous pouvez récupérer cette valeur dans l'onglet Authentification de l'application d'authentification unique de plateforme configurée pour macOS .

com.okta.deviceaccess.servicedaemon

Créez et enregistrez un fichier texte appelé com.okta.deviceaccess.servicedaemon avec le contenu suivant.

<key>OktaJoinEnabled</key>
<true/>

Ce fichier de profil est facultatif et est utilisé pour Device-Bound SSO. Consultez Déployer Device-Bound SSO sur les appareils de l'utilisateur.

com.apple.preference.security

Créez et enregistrez un fichier texte appelé com.apple.preference.security avec le contenu suivant.

<key>dontAllowPasswordResetUI</key>
<true/>

Ce profil désactive la possibilité de modifier le mot de passe du compte local.

Comme le mot de passe est synchronisé avec Okta, les utilisateurs ne doivent pas le modifier localement. Pour modifier un mot de passe, les utilisateurs doivent modifier leur mot de passe Okta, puis le synchroniser sur l'écran de verrouillage de l'ordinateur.

Consultez la documentation Apple sur les préférences de sécurité.

Créer les profils de préférences personnalisées

  1. Dans le centre administrateur Microsoft Intune, sélectionnez Appareils dans la barre de navigation principale.

  2. Accédez àGérer les appareils > Configuration.

  3. Cliquez sur Créer, puis sélectionnez Nouvelle politique.

  4. Dans le volet Créer un profil, sélectionnez les options suivantes :

    • Plateforme : macOS

    • Type de profil : Templates

  5. Dans le volet inférieur, sélectionnez Fichier de préférences et cliquez sur Créer.

  6. Donnez au profil un nom approprié, par exemple, com.okta.mobile. Cliquez sur Suivant.

  7. Pour chaque domaine de préférences que vous souhaitez configurer, saisissez le nom du domaine de préférences, par exemple com.okta.mobile.

  8. Cliquez sur l'icône Parcourir le dossier et sélectionnez le fichier texte qui correspond à ce domaine de préférences. Cliquez sur Suivant.

  9. Affectez les utilisateurs ou les groupes appropriés et cliquez sur Suivant.

  10. Confirmez l'ensemble de vos paramètres dans l'onglet Examiner + Créer, puis cliquez sur Créer.

Répétez le processus de création de la politique pour chacun de vos domaines de préférences.

Vérifier le déploiement du profil

  1. Sur l'appareil macOS, ouvrez l'application Paramètres système.

  2. Allez à Gestion des appareils > Profils.

  3. Vérifiez que vous voyez les profils de gestion des appareils pour chacun de vos domaines de préférences.

Déployer Okta Verify

Enfin, déployez l'app Okta Verify sur vos appareils macOS enrôlés.

  1. Dans l‘Admin Console, allez à Paramètres > Téléchargements.

  2. Faites défiler jusqu'à Okta Verify pour macOS et cliquez sur Télécharger la dernière version.

  3. Connectez-vous au centre administrateur Microsoft Intune et sélectionnez Applications dans la barre de navigation principale.

  4. Dans l'onglet Aperçu, sélectionnez macOSApplications dans la section Gérer les applications par plateforme.

  5. Cliquez sur Créer.

  6. Dans le volet Sélectionner le type d'app, sous Autres types d'app, sélectionnez macOSApplication (PKG).

  7. Cliquez sur Sélectionner.

  8. Dans le volet Ajouter une app, cliquez sur Sélectionner un fichier de package d'app.

  9. Dans le volet Fichier de package d'app  :

    1. Cliquez sur le bouton Parcourir et localisez le PKG macOS que vous avez téléchargé depuis Okta Admin Console. Cliquez sur OK.

    2. Sur la page Informations sur l'application, ajoutez les détails de votre app. Selon l'app que vous avez choisie, certaines des valeurs de ce volet peuvent être remplies automatiquement.

    3. Mettez à jour les détails de ce tableau pour votre déploiement et cliquez sur Suivant pour continuer.

    4. Si vous le souhaitez, vous pouvez configurer un script de pré-installation et un script de post-installation pour personnaliser l'installation de l'app. Cliquez sur Suivant pour continuer.

    5. Choisissez le système d'exploitation minimal requis pour installer cette app, par exemple, macOS 15 Sequioa.

    6. Vous pouvez utiliser des règles de détection pour choisir le mode de détection d'une installation d'app sur un appareil macOS géré. Cliquez sur Suivant pour continuer.

    7. Sélectionnez vos utilisateurs et vos groupes pour l'installation de cette app. Cliquez sur Suivant pour continuer.

    8. Confirmez l'ensemble de vos paramètres dans l'onglet Examiner + Créer, puis cliquez sur Créer.

Étape suivante

Soutenir vos utilisateurs macOS