Übersicht über einmaliges Anmelden (Single Sign-On, SSO) und Optionen für Apple-Geräte in Microsoft Intune
Apple-Geräte können das einmalige Anmelden (Single Sign-On, SSO) verwenden, um mit ihrer Microsoft Entra-ID auf Geräte, Apps und Websites zuzugreifen. SSO ermöglicht Es Benutzern, sich anzumelden und Zugriff zu erhalten, ohne jedes Mal ihre Anmeldeinformationen einzugeben.
Diese Funktion gilt für:
- iOS/iPadOS
- macOS
Geräte und die meisten Apps, einschließlich branchenspezifischer Apps, erfordern eine gewisse Benutzerauthentifizierung. Häufig müssen Benutzer bei dieser Art von Authentifizierung die gleichen Anmeldeinformationen mehrfach eingeben.
Administratoren können Microsoft Intune verwenden, um SSO-Richtlinien zu erstellen und bereitzustellen. Entwickler können Apps erstellen, die einmaliges Anmelden (Single Sign-On, SSO) unterstützen und verwenden. Wenn Sie die Intune-SSO-Richtlinien mit Apps kombinieren, die einmaliges Anmelden unterstützen, wird die Anzahl der Anmeldeinformationen für Apps und Websites reduziert.
Zum Konfigurieren des einmaligen Anmeldens für Apple-Geräte in Intune haben Sie die folgenden Optionen:
Plattform-SSO : Teil des Microsoft Enterprise SSO-Plug-Ins in Microsoft Entra ID und enthält die SSO-App-Erweiterung. Gilt für macOS-Geräte.
SSO-App-Erweiterung : Teil des Microsoft Enterprise SSO-Plug-Ins in Microsoft Entra ID. Gilt für iOS-/iPadOS- und macOS-Geräte.
Vorlage für einmaliges Anmelden : Eine Vorlage in Intune. Gilt für iOS-/iPadOS-Geräte.
Dieser Artikel bietet eine Übersicht über die SSO-Optionen, die für Apple-Geräte in Intune verfügbar sind, und deren unterstützte Plattformen.
Plattform-SSO
Diese Funktion gilt für:
- macOS
Das Microsoft Enterprise SSO-Plug-In enthält zwei SSO-Features : Plattform-SSO und SSO-App-Erweiterung. Dieser Abschnitt konzentriert sich auf Plattform-SSO.
Auf macOS-Geräten melden sich Benutzer normalerweise mit einem lokalen Konto an. Anschließend melden sie sich mit ihrer Microsoft Entra-ID bei Apps und Websites an.
Mit Platform SSO:
Organisationen können:
Wählen Sie die Authentifizierungsmethode aus, die Ihren geschäftlichen Anforderungen entspricht. Ihre Optionen sind die kennwortlose Kennwortauthentifizierung von Secure Enclave, das Microsoft Entra-Benutzerkonto & Kennwort oder die Smartcard-Authentifizierung.
Verwenden Sie die SSO-App-Erweiterung, da die SSO-App-Erweiterung Teil von Platform SSO ist. Insbesondere:
- Verwenden Sie die SSO-App-Erweiterung, um sich bei Apps und Websites mit Microsoft Entra ID anzumelden.
- Verwenden Sie Platform SSO, um Ihre SSO-Konfiguration zu verbessern. Sie können verschiedene Authentifizierungsmethoden konfigurieren, bei der Anmeldung neue Organisationsbenutzer erstellen und Autorisierungsmodi für Benutzer zuweisen.
Endbenutzer:
- Sorgen Sie für eine sicherere Anmeldung, da Microsoft Entra ID in das Microsoft Enterprise SSO-Plug-In integriert wird.
- Erhalten Sie in Kombination mit der SSO-App-Erweiterung eine SSO-Benutzeroberfläche für einmaliges Anmelden. Die SSO-App-Erweiterung ermöglicht die Verwendung von Touch ID und Passkeys mit Microsoft Entra ID.
- Kann sich mit ihrem Microsoft Entra-Benutzerkonto anmelden und die Anzahl der Eingaben ihrer Microsoft Entra-Anmeldeinformationen auf ihren macOS-Geräten minimieren.
Weitere Informationen zu Platform SSO und zu den ersten Schritten finden Sie unter Konfigurieren des einmaligen Anmeldens für Plattform für macOS-Geräte in Intune.
Zusammenfassung der Plattform-SSO-Features
In der folgenden Tabelle sind die Platform SSO-Features in Intune zusammengefasst. Verwenden Sie diese Informationen, um zu ermitteln, ob Platform SSO für Ihre Organisation geeignet ist.
Feature | Details |
---|---|
Plattformunterstützung |
❌ iOS/iPadOS ✅ macOS 13.0 und höher |
Unterstützte Registrierungstypen |
✅ Geräteregistrierung ✅ Automatisierte Geräteregistrierung (überwacht) ❌ Benutzerregistrierung ✅ Direkte Registrierung (Apple Configurator) |
Unterstützte Authentifizierungstypen |
✅ Secure Enclave (UserSecureEnclaveKey) ✅ Kennwort (Microsoft Entra-ID) ✅ Smartcard |
Unterstützte App-Typen |
✅ Microsoft 365-Apps ✅ In Microsoft Entra ID integrierte Apps, Websites oder Dienste ✅ Apps, Websites oder Dienste, die Das einmalige Anmelden von Apple Enterprise unterstützen und in lokales Active Directory integriert sind |
Intune Admin Center-Richtlinientyp |
Einstellungskatalogrichtlinie unter: Geräte>Verwalten von Geräten>Konfiguration>Schaffen>Neue Richtlinie>macOS für plattformeinstellungskatalog> für profiltyp >Authentication>Extensible Single Sign On (SSO) |
Empfehlung |
✅ Empfohlen. Verwenden Sie Platform SSO, da es auch die SSO-App-Erweiterung enthält. Sie können die SSO-App-Erweiterung eigenständig verwenden, wird aber nicht bevorzugt. Um Platform SSO zu verwenden, müssen Sie nur Platform SSO verwenden. Erstellen Sie keine separate SSO-App-Erweiterungsrichtlinie. |
SSO-App-Erweiterung
Diese Funktion gilt für:
- iOS/iPadOS
- macOS
Das Microsoft Enterprise SSO-Plug-In enthält zwei SSO-Features : Plattform-SSO und SSO-App-Erweiterung. Dieser Abschnitt konzentriert sich auf die SSO-App-Erweiterung.
Die SSO-App-Erweiterung bietet SSO für Apps, Websites und Konten, die Microsoft Entra ID für die Authentifizierung verwenden, einschließlich:
- Microsoft 365-Apps
- Apps, die entwickelt wurden, um bei einmaligem Anmelden auf dem Gerät nach dem Benutzeranmeldeinformationsspeicher zu suchen
- Lokale Active Directory-Konten für alle Apps, die das Enterprise SSO-Feature von Apple unterstützen
✅ Für iOS-/iPadOS-Geräte ist die SSO-App-Erweiterung selbst verfügbar. Daher können Sie die SSO-App-Erweiterung für Ihre Apps & Websites konfigurieren und verwenden.
✅ Für macOS-Geräte ist die SSO-App-Erweiterung selbst verfügbar und auch in Platform SSO enthalten. Daher können Sie nur die SSO-App-Erweiterung konfigurieren und verwenden, wenn Sie Platform SSO nicht verwenden möchten. Wenn Sie Platform SSO verwenden, konfigurieren Sie nur Platform SSO, da es die SSO-App-Erweiterung enthält.
Die SSO-App-Erweiterung ist eine Umleitungs-SSO-App-Erweiterung. Es ist für Intune, Jamf Pro und andere MDM-Lösungen verfügbar. In Intune verwendet die SSO-App-Erweiterung eine Gerätekonfigurationsrichtlinie mit Microsoft Entra ID als SSO-App-Erweiterungstyp.
Diese Einstellungen konfigurieren SSO-App-Erweiterungen für Umleitungen und Anmeldeinformationen. Insbesondere gilt:
Der Umleitungstyp ist für moderne Authentifizierungsprotokolle wie OpenID Connect, OAuth und SAML2 konzipiert. Sie können zwischen der Microsoft Entra SSO-Erweiterung (Microsoft Enterprise SSO-Plug-In ) und einer generischen Umleitungserweiterung wählen.
Der Anmeldeinformationstyp ist für Challenge-and-Response-Authentifizierungsflows konzipiert. Sie können zwischen einer von Apple bereitgestellten Kerberos-spezifischen und einer generischen Erweiterung für Anmeldeinformationen auswählen.
Die SSO-App-Erweiterung sollte mit allen MDM-Funktionen funktionieren, die nicht von Microsoft oder Partnern sind. Die Erweiterung muss als Kerberos-SSO-Erweiterung oder als benutzerdefiniertes Konfigurationsprofil mit allen erforderlichen Eigenschaften konfiguriert bereitgestellt werden.
Weitere Informationen zur SSO-App-Erweiterung findest du unter:
iOS/iPadOS:
macOS:
Zusammenfassung der Features der SSO-App-Erweiterung
In der folgenden Tabelle sind die Features der SSO-App-Erweiterung in Intune zusammengefasst. Verwenden Sie diese Informationen, um zu ermitteln, ob diese SSO-Option für Ihre Organisation geeignet ist.
Feature | Details |
---|---|
Plattformunterstützung |
✅ iOS/iPadOS 13.0 und höher ✅ macOS 10.15 und höher |
Unterstützte Registrierungstypen | iOS/iPadOS: ✅ Geräteregistrierung ✅ Automatisierte Geräteregistrierung (überwacht) ✅ Benutzerregistrierung ✅ Direkte Registrierung (Apple Configurator) macOS: ✅ Vom Benutzer genehmigte Geräteregistrierung ✅ Automatisierte Geräteregistrierung (überwacht) ✅ Direkte Registrierung (Apple Configurator) |
Unterstützte Authentifizierungstypen |
✅ Umleitungstyp-SSO-App-Erweiterung, einschließlich Microsoft Entra ID ✅ App-Erweiterung für Anmeldeinformationen ✅ Integrierte Kerberos-Erweiterung von Apple |
Unterstützte App-Typen |
✅ Microsoft 365-Apps ✅ In Microsoft Entra ID integrierte Apps, Websites oder Dienste ✅ Apps, Websites oder Dienste, die Das einmalige Anmelden von Apple Enterprise unterstützen und in lokales Active Directory integriert sind |
Intune Admin Center-Richtlinientyp |
Vorlage "Gerätefeatures" unter: Geräte>Verwalten von Geräten>Konfiguration>Schaffen>Neue Richtlinie>iOS/iPadOS oder macOS für Plattformvorlagen>>Gerätefeatures für Profiltyp >App-Erweiterung für einmaliges Anmelden |
Empfehlung |
✅ Empfohlen unter iOS/iPadOS. ❌ Auf macOS-Geräten nicht bevorzugt. Auf macOS-Geräten können Sie die SSO-App-Erweiterung selbst verwenden. Es wird jedoch empfohlen, stattdessen Platform SSO zu verwenden. Wenn Sie auch Platform SSO for macOS verwenden, erstellen Sie keine separate SSO-App-Erweiterungsrichtlinie. Die SSO-App-Erweiterung ist in der Plattform-SSO-Konfiguration enthalten. |
Vorlage für einmaliges Anmelden
Hinweis
Anstelle dieser SSO-Einstellungen empfiehlt Apple die Verwendung der SSO-App-Erweiterung (in diesem Artikel).
Gilt für:
- iOS 7.0 und höher
- iOS 13.0 und höher
Diese Richtlinie für einmaliges Anmelden basiert auf Kerberos. Kerberos ist ein Netzwerkauthentifizierungsprotokoll, das Kryptografieverfahren mit geheimen Schlüsseln verwendet, um Client-Server-Anwendungen zu authentifizieren. Die Intune-Richtlinieneinstellungen definieren Kerberos-Kontoinformationen beim Zugriff auf Server oder bestimmte Apps und behandeln Kerberos-Herausforderungen für Webseiten und native Apps.
Eine Liste der Einstellungen, die Sie in Intune konfigurieren können, finden Sie unter Einmaliges Anmelden unter iOS/iPadOS.
Um einmaliges Anmelden zu verwenden, achten Sie darauf, dass Sie folgende Anforderungen erfüllen:
- Eine App, die entwickelt wurde, um im einmaligen Anmelden auf dem Gerät nach dem Speicher für Benutzeranmeldeinformationen zu suchen.
- Intune muss für einmaliges Anmelden von iOS/iPadOS-Geräten konfiguriert sein.
Zusammenfassung des Features für einmaliges Anmelden
In der folgenden Tabelle sind die Features für einmaliges Anmelden in Intune zusammengefasst. Verwenden Sie diese Informationen, um zu ermitteln, ob diese SSO-Option für Ihre Organisation geeignet ist.
Feature | Details |
---|---|
Plattformunterstützung |
✅ iOS 7.0 und höher ✅ iPadOS 13.0 und höher ❌ macOS |
Unterstützte Registrierungstypen |
✅ Geräteregistrierung ✅ Automatisierte Geräteregistrierung (überwacht) ❌ Benutzerregistrierung ❌ Direkte Registrierung (Apple Configurator) |
Unterstützte Authentifizierungstypen | Die Kerberos-SSO-Authentifizierung kann nur verwendet werden. – Geben Sie Kerberos-Kontoinformationen für den Zugriff von Benutzern auf Server oder Apps ein. – Ist keine Apple-Implementierung von Kerberos. – Behandelt Kerberos-Herausforderungen für Webseiten und Apps |
Unterstützte App-Typen | Website und native Apps, die die Kerberos-Authentifizierung unterstützen. Die App muss codiert sein, um bei einmaligem Anmelden auf dem Gerät nach dem Speicher für Benutzeranmeldeinformationen zu suchen. |
Intune Admin Center-Richtlinientyp |
Vorlage "Gerätefeatures" unter: Geräte>Verwalten von Geräten>Konfiguration>Schaffen>Neue Richtlinie>iOS/iPadOS für Plattformvorlagen>>Gerätefeatures für Profiltyp >Einmaliges Anmelden |
Empfehlung | ❌ Nicht empfohlen. Stattdessen empfiehlt Microsoft die Verwendung der SSO-App-Erweiterung (in diesem Artikel). |
SSO-App-Erweiterung und SSO-Vorlage
Die App-Erweiterungsfunktion für einmaliges Anmelden unterscheidet sich von der Funktion für einmaliges Anmelden . Verwenden Sie zum Vergleichen die folgende Tabelle.
App-Erweiterung für einmaliges Anmelden | Single Sign-On | |
---|---|---|
Unterstützte Plattformen |
✅ iOS/iPadOS 13.0 und höher ✅ macOS 10.15 und höher |
✅ iOS 7.0 und höher ✅ iPadOS 13.0 und höher ❌ macOS |
Beschreibung | Definieren Sie Erweiterungen für die Verwendung durch Identitätsanbieter oder Organisationen, um eine nahtlose Anmeldung für Unternehmen bereitzustellen. Zur Authentifizierung wird das Apple-Betriebssystem verwendet. | Definieren Sie Kerberos-Kontoinformationen für den Zugriff von Benutzern auf Server oder Apps. |
Authentifizierung | Aus Sicht der App-Entwicklung kann jede Art von Umleitungs-SSO oder SSO-Authentifizierung mit Anmeldeinformationen verwendet werden. | Aus Sicht der App-Entwicklung kann nur die Kerberos-SSO-Authentifizierung verwenden. |
Apple-Implementierung | Entwickelt von Apple und integriert in die iOS/iPadOS 13.0+ und macOS 10.15+ Plattformen. Die integrierte Kerberos-Erweiterung kann verwendet werden, um Benutzer bei nativen Apps und Websites anzumelden, die die Kerberos-Authentifizierung unterstützen. | Keine Apple-Implementierung von Kerberos. |
Empfehlung | Empfohlen. Bietet eine verbesserte Endbenutzererfahrung. Es verarbeitet Kerberos-Herausforderungen für Webseiten, unterstützt Kennwortänderungen und verhält sich in Unternehmensnetzwerken besser. Bei der Entscheidung, Kerberos in der SSO-App-Erweiterung oder der Vorlage für einmaliges Anmelden zu verwenden, empfehlen wir die Verwendung der SSO-App-Erweiterung aufgrund verbesserter Leistung und Funktionen. |
Nicht empfohlen. Es verarbeitet Kerberos-Herausforderungen für Webseiten. |
Verwandte Artikel
Informationen zum Microsoft Enterprise SSO-Plug-In und zur Microsoft Entra-ID erhalten Sie unter Microsoft Enterprise SSO-Plug-In für Apple-Geräte.
Informationen von Apple zur Nutzdaten der Single Sign-On-Erweiterung finden Sie unter Nutzlasteinstellungen für Erweiterungen für einmaliges Anmelden (öffnet die Website von Apple).
Informationen zur Problembehandlung der Microsoft Enterprise SSO-Erweiterung finden Sie unter Problembehandlung für das Microsoft Enterprise SSO-Erweiterungs-Plug-In auf Apple-Geräten.