Platform SSO pour macOS avec Microsoft Intune : tour d’horizon  

Microsoft a annoncé le 6 mai 2024 la sortie en public preview de la fonctionnalité « Platform SSO for macOS » intégré à Microsoft Entra ID et configurable avec Microsoft Intune.  

Nous allons voir dans cet article quels peuvent être les usages autour de cette fonctionnalité et comment la mettre en place rapidement pour vos utilisateurs. 

Pour aller plus loin : Gérer la sécurité des accès dans Microsoft Intune

Qu’est-ce que la Platform SSO ?

Platform SSO est une extension du plugin « Microsoft Entreprise SSO for Apple Devices ». Pour rappel ce plugin permet de mettre en place une authentification SSO (Single Sign On) pour des comptes utilisateurs Microsoft Entra ID sur des périphériques iOS, ipadOS et macOS et sur toutes les applications qui prennent en charge cette fonctionnalité. 

Ce plugin peut fournir également du SSO pour les anciennes applications que votre entreprise pourrait avoir mais qui ne prennent pas encore en charge les derniers protocoles d’identité (Kerberos). 

Microsoft a travaillé en étroite collaboration avec les équipes d’Apple pour développer ces fonctionnalités dans le but d’augmenter la convivialité et d’améliorer l’expérience utilisateur autour de cet environnement tout en gardant une approche « sécurité ». 

Généralités, avantages et prérequis de Platform SSO pour macOS

Vous l’aurez compris « Entreprise SSO » se concentre plus sur l’aspect « Applications », la où « Platform SSO » se situe plus sur l’aspect « Identification ».  

Aujourd’hui, sur les périphériques macOS, les utilisateurs se connectent avec un compte local. Ensuite, ils se connectent aux applications et aux sites web avec leur compte Microsoft Entra ID. 

Platform SSO va permettre d’aller plus loin dans l’intégration d’Entra ID au sein de l’environnement Apple macOS qui commence à prendre un peu d’ampleur au sein des parcs informatiques. 

Cela permettra aux utilisateurs de se connecter directement à leur périphérique macOS grâce à leurs informations d’identifications Microsoft Entra ID et bénéficier ainsi du SSO sur toutes les applications supportant cette méthode d’authentification.

Cette fonctionnalité offre de nombreux avantages  

Aux administrateurs : 

• Simplification et sécurisation du processus de connexion pour les utilisateurs et en réduisant le nombre de mots de passe à mémoriser.  
• Permettre aux utilisateurs de s’authentifier avec à l’aide d’une carte à puce ou d’une clé de sécurité (Identique Windows Hello for Business).
• Utilisation des méthodes d’identification résistantes à l’hameçonnage basées sur la technologie Windows Hello Entreprise. 

Aux utilisateurs : 

• Le mot de passe du compte local sera synchronisé avec Entra ID pour faire en sorte que le mot de passe Entra ID et local soit toujours identique et donc avoir un seul mot de passe à retenir.  
• Possibilité d’utiliser une authentification « password less ». 
• Expérience de connexion plus sécurisée 

Avant cela, il faudra choisir la méthode d’authentification qui réponds à vos besoins parmi ces 3 choix : 

• SecureEnclave : Utilisation d’une clé de chiffrement liée au matériel avec Secure Enclave (Se rapproche de Windows Hello For Business). Exemple : Utilisation de TouchID. 

Secure Enclave est un sous système sécurisé disponible sur les puces Apple T1 et T2 et processeurs Apple.  

• Carte à puce : Utilisation d’une carte à puce externe ou d’un jeton matériel compatible (par exemple, Yubikey). Une fois l’appareil déverrouillé, la carte à puce est utilisée avec Microsoft Entra ID pour permettre l’authentification unique SSO entre les applications qui s’authentifient à l’aide de Microsoft Entra ID 
• Mot de passe : Utilisation du mot de passe Entra ID. L’utilisateur n’a plus besoin de se souvenir de différents mots de passe, et toute modification du mot de passe Entra ID sera synchronisée avec la machine locale. 

La méthode « Secure Enclave » est recommandée par Microsoft

Voici un schéma fourni par Microsoft sur les différences entre les méthodes d’authentification.

Des prérequis sont nécessaires pour la configuration et l’utilisation : 

• Disposer de Microsoft Intune et d’un MacBook enrôlé (via Apple Business Manager / Automated Device Enrollement par exemple) 
• Mettre à jour l’application « Portail d’entreprise » à une version 5.2404 ou supérieur (Cette version est nécessaire pour permettre aux utilisateurs d’être ciblés pour l’authentification unique Platform SSO) 
• S’assurer que les utilisateurs sont enregistrés sur une solution d’authentification multi facteur (Microsoft Authenticator est recommandé 😊) 
• Pour les utilisateurs de Google Chrome, installer l’extension « Microsoft Single Sign On » 
• Mettre à jour les MacBook vers macOS Sonoma (macOS 14). Cette version est recommandée pour une meilleure expérience. 

Mise en place de Platform SSO avec Microsoft Intune

La mise en place se fait simplement à partir d’un profil de configuration de type « Settings Catalog » sur Microsoft Intune. 

Dans Configuration settings, choisir « Add settings » puis Authentication, et sélectionner Extensible Single Sign On (SSO) : 

Voici un exemple de configuration minimal à appliquer pour que cela fonctionne sous macOS 14:  

Pour en savoir plus sur la configuration, vous pouvez suivre ce lien Microsoft : https://learn.microsoft.com/en-us/mem/intune/configuration/platform-sso-macos 

A savoir : le profil de configuration Platform SSO s’assigne uniquement à un groupe d’utilisateurs et non un groupe de périphériques. 

Une expérience utilisateur simple avec Platform SSO

L’enregistrement à EntraID avec Platform SSO est assez simple, l’utilisateur reçoit une notification de ce type et il suit le parcours d’authentification qui lui est proposé par le portail d’entreprise. 

Si vous voulez en savoir plus, vous pouvez suivre ces vidéos : 

• Mise en place Platform SSO avec SecureEnclave : https://www.youtube.com/watch?v=CRZmH1p89MU&t=1s 
• Mise en place Platform SSO avec password EntraID : https://www.youtube.com/watch?v=yVU6sfSl0dk 

Vous pouvez également voir dans les paramètres utilisateurs du MacBook ce type d’informations qui vous indique que l’enregistrement s’est déroulé avec succès. A savoir que durant le process d’enregistrement, le MacBook se joint à Entra ID, il devient donc Microsoft Entra ID Join. 

Conclusion

Nous avons pu voir dans cet article, quels sont les avantages à mettre en place Platform SSO avec Microsoft Intune pour vos utilisateurs. Cela leur offrira une expérience de connexion simplifiée tout en renforçant la sécurité de votre entreprise.  

N’hésitez pas à nous consulter si vous voulez en savoir plus 😊