Přehled jednotného přihlašování (SSO) a možnosti pro zařízení Apple v Microsoft Intune

  • Článek

Zařízení Apple můžou používat jednotné přihlašování (SSO) pro přístup k zařízením, aplikacím a webům pomocí svých Microsoft Entra ID. Jednotné přihlašování umožňuje uživatelům přihlásit se a získat přístup, aniž by museli pokaždé zadávat svoje přihlašovací údaje.

Tento článek se týká:

  • iOS/iPadOS
  • macOS

Zařízení a většina aplikací, včetně obchodních aplikací, vyžadují určitou úroveň ověřování uživatelů. V mnoha případech ověřování vyžaduje, aby uživatelé opakovaně zadali stejné přihlašovací údaje.

Správci můžou pomocí Microsoft Intune vytvářet a nasazovat zásady jednotného přihlašování. Vývojáři můžou vytvářet aplikace, které podporují a používají jednotné přihlašování (SSO). Když zkombinujete zásady Intune jednotného přihlašování s aplikacemi, které podporují jednotné přihlašování, sníží se počet výzev k zadání přihlašovacích údajů pro aplikace a weby.

Pokud chcete nakonfigurovat jednotné přihlašování pro zařízení Apple v Intune, máte následující možnosti:

Tento článek obsahuje přehled možností jednotného přihlašování dostupných pro zařízení Apple v Intune a jejich podporovaných platforem.

Jednotné přihlašování k platformě

Tato funkce platí pro:

  • macOS

Modul plug-in Microsoft Enterprise SSO obsahuje dvě funkce jednotného přihlašování – jednotné přihlašování platformy a rozšíření aplikace pro jednotné přihlašování. Tato část se zaměřuje na jednotné přihlašování platformy.

Na zařízeních s macOS se uživatelé obvykle přihlašují pomocí místního účtu. Pak se pomocí svých Microsoft Entra ID přihlásí k aplikacím a webům.

S jednotným přihlašováním k platformě:

  • Organizace můžou:

    • Zvolte metodu ověřování, která vyhovuje vašim obchodním požadavkům. Mezi vaše možnosti patří zabezpečené ověřování hesla bez hesla v enklávě, Microsoft Entra uživatelský účet & heslo nebo ověřování pomocí čipové karty.

    • Použijte rozšíření aplikace pro jednotné přihlašování, protože rozšíření aplikace s jednotným přihlašováním je součástí jednotného přihlašování platformy. Konkrétně:

      • Pomocí rozšíření aplikace jednotného přihlašování se můžete přihlásit k aplikacím a webům pomocí Microsoft Entra ID.
      • Pomocí jednotného přihlašování na platformě můžete vylepšit konfiguraci jednotného přihlašování. Můžete nakonfigurovat různé metody ověřování, vytvářet nové uživatele organizace při přihlašování a přiřazovat uživatelům režimy autorizace.

  • Koncoví uživatelé:

    • Získejte bezpečnější prostředí pro přihlašování, protože Microsoft Entra ID se integruje s modulem plug-in Microsoft Enterprise SSO.
    • Získejte prostředí jednotného přihlašování v kombinaci s rozšířením aplikace pro jednotné přihlašování. Rozšíření aplikace SSO umožňuje používat Touch ID a klíče s Microsoft Entra ID.
    • Může se přihlásit pomocí svého Microsoft Entra uživatelského účtu a minimalizovat počet potřebných k zadání Microsoft Entra přihlašovacích údajů na svých zařízeních s macOS.

Další informace o jednotném přihlašování platformy a začínáme najdete v tématu Konfigurace jednotného přihlašování platformy pro zařízení s macOS v Intune.

Souhrn funkcí jednotného přihlašování k platformě

Následující tabulka shrnuje funkce jednotného přihlašování platformy v Intune. Tyto informace vám pomůžou určit, jestli je jednotné přihlašování platformy pro vaši organizaci vhodné.

Funkce Podrobnosti
Podpora platformy ❌ iOS/iPadOS
✅ macOS 13.0 a novější
Podporované typy registrací ✅ Registrace zařízení
✅ Automatizovaná registrace zařízení (pod dohledem)
❌ Registrace uživatelů
✅ Přímá registrace (Apple Configurator)
Podporované typy ověřování ✅ Secure Enclave (UserSecureEnclaveKey)
✅Heslo (Microsoft Entra ID)
✅ Čipová karta
Podporované typy aplikací ✅ Aplikace Microsoft 365
✅Aplikace, weby nebo služby integrované s Microsoft Entra ID
✅Aplikace, weby nebo služby, které podporují jednotné přihlašování Apple Enterprise a jsou integrované s místní Active Directory
typ zásad Centra pro správu Intune Zásady katalogu nastavení :

Zařízení>Konfigurace>>katalog CreatemacOS pro nastavení platformy > pro typ > profilu Authentication>Extensible Jednotné přihlašování (SSO)
Doporučení ✅ Doporučené.

Použijte jednotné přihlašování platformy, protože zahrnuje také rozšíření aplikace pro jednotné přihlašování. Rozšíření aplikace s jednotným přihlašováním můžete použít samostatně, ale není to upřednostňováno.

Pokud chcete používat jednotné přihlašování platformy, musíte použít jenom jednotné přihlašování platformy. Nevytvořte samostatné zásady rozšíření aplikace s jednotným přihlašováním.

Rozšíření aplikace s jednotným přihlašováním

Tato funkce platí pro:

  • iOS/iPadOS
  • macOS

Modul plug-in Microsoft Enterprise SSO obsahuje dvě funkce jednotného přihlašování – jednotné přihlašování platformy a rozšíření aplikace pro jednotné přihlašování. Tato část se zaměřuje na rozšíření aplikace s jednotným přihlašováním.

Rozšíření aplikace jednotného přihlašování poskytuje jednotné přihlašování k aplikacím, webům a účtům, které k ověřování používají Microsoft Entra ID, včetně:

  • Aplikace Microsoft 365
  • Aplikace vyvinuté tak, aby hledaly přihlašovací údaje uživatele v rámci jednotného přihlašování na zařízení
  • Místní účty Active Directory ve všech aplikacích, které podporují funkci podnikového jednotného přihlašování společnosti Apple

Pro zařízení s iOS/iPadOS je rozšíření aplikace pro jednotné přihlašování k dispozici samo o sobě. Proto můžete nakonfigurovat a používat rozšíření aplikace jednotného přihlašování pro aplikace & weby.

Pro zařízení s macOS je rozšíření aplikace s jednotným přihlašováním dostupné samo o sobě a je také součástí jednotného přihlašování platformy. Pokud tedy nechcete používat jednotné přihlašování platformy, můžete nakonfigurovat a používat jenom rozšíření aplikace s jednotným přihlašováním. Pokud používáte jednotné přihlašování platformy, nakonfigurujete jenom jednotné přihlašování platformy, protože zahrnuje rozšíření aplikace pro jednotné přihlašování.

Rozšíření aplikace jednotného přihlašování je rozšíření aplikace s jednotným přihlašováním typu přesměrování. Je k dispozici pro Intune, Jamf Pro a další řešení MDM. V Intune používá rozšíření aplikace jednotného přihlašování zásady konfigurace zařízení s Microsoft Entra ID jako typem rozšíření aplikace jednotného přihlašování.

Tato nastavení konfigurují rozšíření aplikace jednotného přihlašování typu přesměrování a přihlašovacích údajů. Konkrétně:

  • Typ přesměrování je určený pro moderní ověřovací protokoly, jako je OpenID Connect, OAuth a SAML2. Můžete si vybrat mezi Microsoft Entra rozšířením jednotného přihlašování (modul plug-in Microsoft Enterprise SSO) a obecným rozšířením přesměrování.

  • Typ přihlašovacích údajů je určený pro toky ověřování pomocí výzvy a odpovědi. Můžete si vybrat mezi rozšířením přihlašovacích údajů specifickým pro Kerberos, které poskytuje Apple, a obecným rozšířením přihlašovacích údajů.

    Rozšíření aplikace s jednotným přihlašováním by mělo fungovat se všemi MDM, které nejsou od Microsoftu nebo partnera. Rozšíření musí být nasazené jako rozšíření jednotného přihlašování Kerberos nebo jako vlastní konfigurační profil se všemi nakonfigurovanými požadovanými vlastnostmi.

Další informace o rozšíření aplikace s jednotným přihlašováním najdete tady:

Souhrn funkcí rozšíření aplikace s jednotným přihlašováním

Následující tabulka shrnuje funkce rozšíření aplikace s jednotným přihlašováním v Intune. Pomocí těchto informací můžete určit, jestli je tato možnost jednotného přihlašování pro vaši organizaci správná.

Funkce Podrobnosti
Podpora platformy ✅ iOS/iPadOS 13.0 a novější
✅ macOS 10.15 a novější
Podporované typy registrací iOS/iPadOS:
✅ Registrace zařízení
✅ Automatizovaná registrace zařízení (pod dohledem)
✅ Registrace uživatelů
✅ Přímá registrace (Apple Configurator)

Macos:
✅ Registrace zařízení schválená uživatelem
✅ Automatizovaná registrace zařízení (pod dohledem)
✅ Přímá registrace (Apple Configurator)
Podporované typy ověřování ✅Rozšíření aplikace SSO typu přesměrování, včetně Microsoft Entra ID
✅ Rozšíření aplikace přihlašovacích údajů
✅ Integrované rozšíření Kerberos od společnosti Apple
Podporované typy aplikací ✅ Aplikace Microsoft 365
✅Aplikace, weby nebo služby integrované s Microsoft Entra ID
✅Aplikace, weby nebo služby, které podporují podnikové jednotné přihlašování společnosti Apple a jsou integrované s místní Active Directory
typ zásad Centra pro správu Intune Šablona funkce zařízení na adrese:

Zařízení>Konfigurace>> Create iOS/iPadOS nebo macOS pro platformu >Funkce zařízení pro typ profilu >Rozšíření aplikace jednotného přihlašování
Doporučení ✅ Doporučeno pro iOS/iPadOS.

❌ Není upřednostňováno na zařízeních s macOS.

Na zařízeních s macOS můžete použít rozšíření aplikace SSO samostatně. Doporučujeme ale místo toho použít jednotné přihlašování k platformě. Pokud používáte také jednotné přihlašování k platformě pro macOS, nevytvávejte samostatné zásady rozšíření aplikace s jednotným přihlašováním. Rozšíření aplikace jednotného přihlašování je součástí konfigurace jednotného přihlašování platformy.

Šablona jednotného přihlašování

Poznámka

Místo těchto nastavení jednotného přihlašování apple doporučuje použít rozšíření aplikace pro jednotné přihlašování (v tomto článku).

Platí pro:

  • iOS 7.0 a novější
  • iPadOS 13.0 a novější

Tato zásada jednotného přihlašování je založená na protokolu Kerberos. Kerberos je protokol pro síťové ověřování, který k ověřování aplikací typu klient-server používá kryptografii s tajným klíčem. Nastavení zásad Intune definují informace o účtu Kerberos při přístupu k serverům nebo konkrétním aplikacím a řeší problémy protokolu Kerberos pro webové stránky a nativní aplikace.

Seznam nastavení, která můžete nakonfigurovat v Intune, najdete v tématu Jednotné přihlašování v iOS/iPadOS.

Pokud chcete použít jednotné přihlašování, ujistěte se, že máte:

  • Aplikace vyvinutá tak, aby v rámci jednotného přihlašování na zařízení hledala úložiště přihlašovacích údajů uživatele.
  • Intune nakonfigurované pro jednotné přihlašování zařízení s iOS/iPadOS.

Souhrn funkcí jednotného přihlašování

Následující tabulka shrnuje funkce jednotného přihlašování v Intune. Pomocí těchto informací můžete určit, jestli je tato možnost jednotného přihlašování pro vaši organizaci správná.

Funkce Podrobnosti
Podpora platformy ✅ iOS 7.0 a novější
✅ iPadOS 13.0 a novější
❌ Macos
Podporované typy registrací ✅ Registrace zařízení
✅ Automatizovaná registrace zařízení (pod dohledem)
❌ Registrace uživatelů
❌ Přímá registrace (Apple Configurator)
Podporované typy ověřování Může používat pouze ověřování pomocí jednotného přihlašování kerberos.
– Zadejte informace o účtu Kerberos, kdy uživatelé přistupí k serverům nebo aplikacím.
- Nejedná se o implementaci Protokolu Kerberos společností Apple.
- Zvládá výzvy protokolu Kerberos pro webové stránky a aplikace.
Podporované typy aplikací Web a nativní aplikace, které podporují ověřování protokolem Kerberos. Aplikace musí být naprogramovaná, aby hledala úložiště přihlašovacích údajů uživatele v rámci jednotného přihlašování na zařízení.
typ zásad Centra pro správu Intune Šablona funkce zařízení na adrese:

Zařízení>Konfigurace>> Create iOS/iPadOS pro platformu >Funkce zařízení pro typ > profilu Jednotné přihlašování
Doporučení ❌ Nedoporučuje se. Místo toho Microsoft doporučuje používat rozšíření aplikace pro jednotné přihlašování (v tomto článku).

Rozšíření aplikace jednotného přihlašování vs. šablona jednotného přihlašování

Funkce rozšíření aplikace jednotného přihlašování se liší od funkce jednotného přihlašování . K porovnání použijte následující tabulku.

Rozšíření aplikace pro jednotné přihlašování Jednotné přihlašování
Podporované platformy ✅ iOS/iPadOS 13.0 a novější
✅ macOS 10.15 a novější		 ✅ iOS 7.0 a novější
✅ iPadOS 13.0 a novější
❌ Macos
Popis Definujte rozšíření, která budou používat zprostředkovatelé identit nebo organizace, aby bylo možné zajistit bezproblémové podnikové přihlašování. K ověření používá operační systém Apple. Definujte informace o účtu Kerberos pro přístup uživatelů k serverům nebo aplikacím.
Ověřování Z hlediska vývoje aplikací může používat jakýkoli typ jednotného přihlašování přesměrovávání nebo ověřování jednotného přihlašování přihlašovacích údajů. Z hlediska vývoje aplikací může používat pouze ověřování pomocí jednotného přihlašování kerberos.
Implementace Apple Vyvinutý společností Apple a integrovaný do platforem iOS/iPadOS 13.0+ a macOS 10.15+. Integrované rozšíření Kerberos je možné použít k přihlašování uživatelů k nativním aplikacím a webům, které podporují ověřování protokolem Kerberos. Nejedná se o implementaci Protokolu Kerberos společností Apple.
Doporučení Doporučené.

Poskytuje vylepšené prostředí pro koncové uživatele. Zvládá problémy s protokolem Kerberos pro webové stránky, podporuje změny hesel a lépe se chová v podnikových sítích.

Pokud se rozhodnete použít Kerberos v rozšíření aplikace jednotného přihlašování nebo šabloně jednotného přihlašování , doporučujeme kvůli lepšímu výkonu a možnostem použít rozšíření aplikace pro jednotné přihlašování.		 Nedoporučuje se.

Řeší problémy protokolu Kerberos pro webové stránky.