Použití modulu plug-in Microsoft Enterprise SSO na zařízeních s iOS/iPadOS

Modul plug-in Microsoft Enterprise SSO (SSO) poskytuje jednotné přihlašování aplikacím a webům, které k ověřování používají Microsoft Entra ID, včetně Microsoftu 365. Tento modul plug-in používá architekturu rozšíření aplikace pro jednotné přihlašování Apple. Snižuje počet výzev k ověření, které se uživatelům zobrazí při používání zařízení spravovaných přes Mobile Správa zařízení (MDM), včetně všech MDM, které podporují konfiguraci profilů jednotného přihlašování.

Po nastavení aplikace, které podporují knihovnu Microsoft Authentication Library (MSAL), automaticky využívají modul plug-in Microsoft Enterprise SSO. Aplikace, které nepodporují knihovnu MSAL, můžou toto rozšíření používat, včetně prohlížečů, jako je Safari, a aplikací, které používají rozhraní API webového zobrazení Safari. Stačí do konfigurace rozšíření přidat ID nebo předponu sady aplikací.

Pokud například chcete povolit aplikaci Microsoftu, která nepodporuje MSAL, přidejte com.microsoft. do vlastnosti AppPrefixAllowList . Buďte opatrní s aplikacemi, které povolíte, budou moct obejít interaktivní výzvy k přihlášení pro přihlášeného uživatele.

Další informace najdete v tématu Modul plug-in Microsoft Enterprise SSO pro zařízení Apple – aplikace, které nepoužívají MSAL.

Poznámka

V březnu 2024 bylo oznámeno, že Microsoft Entra ID se přesune z klíčenky apple kvůli ukládání klíčů identity zařízení. Od 3. čtvrtletí 2026 budou všechny nové registrace zařízení ve výchozím nastavení používat zabezpečenou enklávu společnosti Apple. Další informace najdete v článku Modul plug-in Microsoft Enterprise SSO pro zařízení Apple.

Tento článek se týká:

• iOS/iPadOS

V tomto článku se dozvíte, jak nasadit modul plug-in Microsoft Enterprise SSO pro zařízení Apple s iOS/iPadOS s Intune, Jamf Pro a dalšími řešeními MDM.

Požadavky

Použití modulu plug-in Microsoft Enterprise SSO na zařízeních s iOS/iPadOS:

Intune

• Zařízení spravuje Intune.

• Zařízení musí podporovat modul plug-in:

  • iOS/iPadOS 13.0 a novější

• Na zařízení musí být nainstalovaná aplikace Microsoft Authenticator.

  Uživatelé můžou aplikaci Microsoft Authenticator nainstalovat ručně. Nebo můžou správci nasadit aplikaci pomocí Intune. Informace o tom, jak nainstalovat aplikaci Microsoft Authenticator, najdete v tématu Správa hromadně zakoupených aplikací Apple.

Jamf Pro

• Zařízení spravuje Jamf Pro.

• Zařízení musí podporovat modul plug-in:

  • iOS/iPadOS 13.0 a novější

• Na zařízení musí být nainstalovaná aplikace Microsoft Authenticator.

  Uživatelé můžou aplikaci Microsoft Authenticator nainstalovat ručně. Nebo můžou správci nasadit aplikaci pomocí Jamf Pro. Seznam možností instalace aplikace Microsoft Authenticator najdete v tématu Správa instalačních programů pro macOS pomocí Jamf Pro (otevře web Jamf Pro).

• Jamf Pro a Intune integrace pro dodržování předpisů zařízením není nutná k použití rozšíření aplikace SSO.

Jiné mdmy

• Zařízení spravuje poskytovatel správy mobilních zařízení (MDM).
• Řešení MDM musí podporovat konfiguraci nastavení datové části MDM jednotného přihlašování pro zařízení Apple se zásadami zařízení.
• Zařízení musí podporovat modul plug-in:
  • iOS/iPadOS 13.0 a novější
• Na zařízení musí být nainstalovaná aplikace Microsoft Authenticator. Uživatelé můžou aplikaci Microsoft Authenticator nainstalovat ručně. Nebo můžou správci nasadit aplikaci pomocí zásad MDM.

Poznámka

Na zařízeních s iOS/iPadOS vyžaduje Společnost Apple instalaci rozšíření aplikace jednotného přihlašování a aplikace Microsoft Authenticator. Uživatelé nemusí aplikaci Microsoft Authenticator používat ani konfigurovat, stačí ji nainstalovat na zařízení.

Modul plug-in Microsoft Enterprise SSO vs. rozšíření Kerberos SSO

Když používáte rozšíření aplikace s jednotným přihlašováním, použijete k ověřování typ jednotné přihlašování nebo datové části Kerberos . Rozšíření aplikace s jednotným přihlašováním je navržené tak, aby zlepšilo přihlašování pro aplikace a weby, které používají tyto metody ověřování.

Modul plug-in Microsoft Enterprise SSO používá typ datové části jednotného přihlašování s ověřováním přesměrovávání . Typy rozšíření Přesměrování jednotného přihlašování a Kerberos je možné použít na zařízení současně. Nezapomeňte vytvořit samostatné profily zařízení pro každý typ rozšíření, který chcete na svých zařízeních používat.

Pokud chcete určit správný typ rozšíření jednotného přihlašování pro váš scénář, použijte následující tabulku:

---

Modul plug-in Microsoft Enterprise SSO pro zařízení Apple	Rozšíření aplikace pro jednotné přihlašování pomocí protokolu Kerberos
Používá typ rozšíření aplikace Microsoft Entra ID jednotného přihlašování.	Používá typ rozšíření aplikace s jednotným přihlašováním Kerberos .
Podporuje následující aplikace: – Microsoft 365 – Aplikace, weby nebo služby integrované s Microsoft Entra ID	Podporuje následující aplikace: – Aplikace, weby nebo služby integrované s AD

---

Další informace o rozšíření jednotného přihlašování najdete v tématu Rozšíření aplikace pro jednotné přihlašování.

Vytvoření konfiguračního profilu rozšíření aplikace pro jednotné přihlašování

Intune

V Centru pro správu Microsoft Intune vytvořte profil konfigurace zařízení. Tento profil obsahuje nastavení pro konfiguraci rozšíření aplikace jednotného přihlašování na zařízeních.

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Vytvořitkonfiguraci>zařízení>.

3. Zadejte tyto vlastnosti:

   • Platforma: Vyberte iOS/iPadOS.
   • Typ profilu: Vyberte Šablony>Funkce zařízení.

4. Vyberte Vytvořit:

   

5. V Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název zásady. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrým názvem zásady je například iOS: Modul plug-in Microsoft Enterprise SSO.
   • Popis: Zadejte popis zásady. Toto nastavení není povinné, ale doporučujeme ho zadat.

6. Vyberte Další.

7. V nastavení konfigurace vyberte Rozšíření aplikace jednotného přihlašování a nakonfigurujte následující vlastnosti:

   • Typ rozšíření aplikace s jednotným přihlašováním: Vyberte Microsoft Entra ID.

     

   • Povolit režim sdíleného zařízení:

     • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje.

       Pro většinu scénářů, včetně sdíleného iPadu, osobních zařízení a zařízení s přidružením uživatele nebo bez, vyberte tuto možnost.

     • Ano: Tuto možnost vyberte jenom v případě, že cílová zařízení používají Microsoft Entra režim sdíleného zařízení. Další informace najdete v článku Přehled režimu sdíleného zařízení.

   • ID sady aplikací: Zadejte seznam ID sad pro aplikace, které nepodporují MSAL a můžou používat jednotné přihlašování. Další informace najdete v tématu Aplikace, které nepoužívají knihovnu MSAL.

   • Další konfigurace: Pokud chcete přizpůsobit prostředí koncového uživatele, můžete přidat následující vlastnosti. Tyto vlastnosti jsou výchozí hodnoty používané rozšířením Microsoftu pro jednotné přihlašování, ale dají se přizpůsobit potřebám vaší organizace:

     Klíč	Typ	Popis
     AppPrefixAllowList	String	Doporučená hodnota: com.apple. Zadejte seznam předpon pro aplikace, které nepodporují knihovnu MSAL a můžou používat jednotné přihlašování. Zadáním například com.microsoft.,com.apple. povolíte všechny aplikace Microsoftu a Apple. Ujistěte se, že tyto aplikace splňují požadavky na seznam povolených.
     browser_sso_interaction_enabled	Celé číslo	Doporučená hodnota: 1 Pokud je tato možnost nastavená na 1, uživatelé se můžou přihlašovat z prohlížeče Safari a z aplikací, které msal nepodporují. Povolení tohoto nastavení umožní uživatelům spustit rozšíření ze Safari nebo jiných aplikací.
     disable_explicit_app_prompt	Celé číslo	Doporučená hodnota: 1 Některé aplikace můžou nesprávně vynucovat výzvy koncových uživatelů ve vrstvě protokolu. Pokud narazíte na tento problém, zobrazí se uživatelům výzva k přihlášení, i když modul plug-in Microsoft Enterprise SSO funguje pro jiné aplikace. Při nastavení na 1 hodnotu (jedna) se tyto výzvy zmenšují.

     Tip

     Další informace o těchto vlastnostech a dalších vlastnostech, které můžete konfigurovat, najdete v tématu Modul plug-in Microsoft Enterprise SSO pro zařízení Apple.

     Až dokončíte konfiguraci nastavení a povolíte aplikace Microsoft & Apple, budou nastavení vypadat podobně jako následující hodnoty ve vašem Intune konfiguračním profilu:

     

8. Pokračujte ve vytváření profilu a přiřaďte ho uživatelům nebo skupinám, které obdrží tato nastavení. Konkrétní kroky najdete v tématu Vytvoření profilu.

   Pokyny k přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

Když se zařízení přihlásí ke službě Intune, obdrží tento profil. Další informace najdete v tématu Intervaly aktualizace zásad.

Pokud chcete zkontrolovat, jestli je profil správně nasazený, přejděte v Centru pro správu Intune dočásti Konfigurace>zařízení>, vyberte profil, který jste vytvořili, a vygenerujte sestavu:

Jamf Pro

Na portálu Jamf Pro vytvoříte konfigurační profil počítače nebo zařízení. Tento profil obsahuje nastavení pro konfiguraci rozšíření aplikace jednotného přihlašování na zařízeních.

1. Přihlaste se k portálu Jamf Pro.

2. Pokud chcete vytvořit profil iOS/iPadOS, vyberteKonfigurace>zařízení>Nové:

   

3. Do pole Název zadejte popisný název zásady. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrý název zásady je například: iOS/iPadOS: Modul plug-in Microsoft Enterprise SSO.

4. Ve sloupci Možnosti se posuňte dolů a vyberte Jedno rozšíření Sign-On>Přidat:

   

5. Zadejte tyto vlastnosti:

   • Typ datové části: Vyberte jednotné přihlašování.
   • Identifikátor rozšíření: Zadejte com.microsoft.azureauthenticator.ssoextension.
   • Identifikátor týmu: Není potřeba žádná hodnota, pole nechte prázdné.
   • Typ přihlášení: Vyberte Přesměrování.
   • Adresy URL: Jednu po druhé zadejte následující adresy URL:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. V části Vlastní konfigurace definujete další požadované vlastnosti. Jamf Pro vyžaduje, aby tyto vlastnosti byly nakonfigurované pomocí nahraného souboru PLIST. Úplný seznam konfigurovatelných vlastností najdete v dokumentaci k modulu plug-in Microsoft Enterprise SSO pro zařízení Apple.

   Následující příklad je doporučený soubor PLIST, který splňuje potřeby většiny organizací:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Tato nastavení PLIST konfigurují následující možnosti rozšíření jednotného přihlašování. Tyto vlastnosti jsou výchozí hodnoty používané rozšířením Microsoftu pro jednotné přihlašování, ale dají se přizpůsobit potřebám vaší organizace:

   Klíč	Typ	Popis
   AppPrefixAllowList	String	Doporučená hodnota: com.apple.,com.jamf.,com.jamfsoftware. Zadejte seznam předpon pro aplikace, které nepodporují knihovnu MSAL a můžou používat jednotné přihlašování. Zadáním například com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. povolíte všechny aplikace Microsoft, Apple a Jamf Pro. Ujistěte se, že tyto aplikace splňují požadavky na seznam povolených.
   disable_explicit_app_prompt	Celé číslo	Doporučená hodnota: 1 Některé aplikace můžou nesprávně vynucovat výzvy koncových uživatelů ve vrstvě protokolu. Pokud narazíte na tento problém, zobrazí se uživatelům výzva k přihlášení, i když modul plug-in Microsoft Enterprise SSO funguje pro jiné aplikace. Při nastavení na 1 hodnotu (jedna) se tyto výzvy zmenšují.

   Tip

   Další informace o těchto vlastnostech a dalších vlastnostech, které můžete konfigurovat, najdete v tématu Modul plug-in Microsoft Enterprise SSO pro zařízení Apple.

7. Vyberte kartu Obor . Zadejte počítače nebo zařízení, na které by se měl zaměřit profil MDM rozšíření jednotného přihlašování.

8. Vyberte Uložit.

Když se zařízení přihlásí ke službě Jamf Pro, obdrží profil.

Jiné mdmy

Na portálu MDM vytvořte profil konfigurace zařízení. Tento profil obsahuje nastavení pro konfiguraci rozšíření aplikace jednotného přihlašování na zařízeních.

1. Přihlaste se k portálu MDM.

2. Vytvořte nový profil konfigurace zařízení.

3. Vyberte jedno rozšíření Sign-On nebo rozšíření jednotného přihlašování . Název se liší v závislosti na řešení MDM, které používáte.

4. Zadejte tyto vlastnosti:

   Klíč	Hodnota
   Typ datové části	SSO
   Identifikátor rozšíření	com.microsoft.azureauthenticator.ssoextension
   typ Sign-On	Přesměrování
   Adresy url	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Volitelně můžete nakonfigurovat další vlastnosti. Tyto vlastnosti jsou výchozí hodnoty používané rozšířením Microsoftu pro jednotné přihlašování, ale dají se přizpůsobit potřebám vaší organizace:

   Klíč	Typ	Popis
   AppPrefixAllowList	String	Doporučená hodnota: com.apple. Zadejte seznam předpon pro aplikace, které nepodporují knihovnu MSAL a můžou používat jednotné přihlašování. Zadáním například com.microsoft.,com.apple. povolíte všechny aplikace Microsoftu a Apple. Ujistěte se, že tyto aplikace splňují požadavky na seznam povolených.
   browser_sso_interaction_enabled	Celé číslo	Doporučená hodnota: 1 Pokud je tato možnost nastavená na 1, uživatelé se můžou přihlašovat z prohlížeče Safari a z aplikací, které msal nepodporují. Povolení tohoto nastavení umožní uživatelům spustit rozšíření ze Safari nebo jiných aplikací.
   disable_explicit_app_prompt	Celé číslo	Doporučená hodnota: 1 Některé aplikace můžou nesprávně vynucovat výzvy koncových uživatelů ve vrstvě protokolu. Pokud narazíte na tento problém, zobrazí se uživatelům výzva k přihlášení, i když modul plug-in Microsoft Enterprise SSO funguje pro jiné aplikace. Při nastavení na 1 hodnotu (jedna) se tyto výzvy zmenšují.

   Tip

   Další informace o těchto vlastnostech a dalších vlastnostech, které můžete konfigurovat, najdete v tématu Modul plug-in Microsoft Enterprise SSO pro zařízení Apple.

6. Přiřaďte novou zásadu zařízením, která by měla být určena pro příjem profilu MDM rozšíření jednotného přihlašování.

Když se zařízení přihlásí ke službě MDM, obdrží tento profil.

Prostředí koncového uživatele

• Pokud aplikaci Microsoft Authenticator nenasazujete pomocí zásad aplikace, musí ji uživatelé nainstalovat ručně. Uživatelé nemusí používat aplikaci Authenticator, stačí ji nainstalovat na zařízení.

• Uživatelé se přihlásí k jakékoli podporované aplikaci nebo webu, aby mohli rozšíření spustit. Bootstrap je proces prvního přihlášení, který nastavuje rozšíření.

• Po úspěšném přihlášení uživatelů se rozšíření automaticky použije k přihlášení k jakékoli jiné podporované aplikaci nebo webu.

Jednotné přihlašování můžete otestovat tak, že otevřete Safari v privátním režimu (otevře web společnosti Apple) a otevřete https://portal.office.com web. Nebude vyžadováno uživatelské jméno a heslo.

Tip

Další informace o tom, jak modul plug-in pro jednotné přihlašování funguje a jak řešit potíže s rozšířením Microsoft Enterprise SSO, najdete v průvodci odstraňováním potíží s jednotným přihlašováním pro zařízení Apple.

Další kroky

• Informace o modulu plug-in Microsoft Enterprise SSO najdete v článku Modul plug-in Microsoft Enterprise SSO pro zařízení Apple.

• Informace o datové části rozšíření jednotného přihlašování od společnosti Apple najdete v nastavení datové části rozšíření jednotného přihlašování (otevře web společnosti Apple).

• Informace o řešení potíží s rozšířením Microsoft Enterprise SSO najdete v tématu Řešení potíží s modulem plug-in Microsoft Enterprise SSO Extension na zařízeních Apple.