Uso del complemento de inicio de sesión único de Microsoft Enterprise en dispositivos iOS/iPadOS

El complemento Microsoft Enterprise SSO proporciona inicio de sesión único (SSO) a aplicaciones y sitios web que usan Microsoft Entra ID para la autenticación, incluido Microsoft 365. Este complemento usa el marco de extensión de aplicación de inicio de sesión único de Apple. Reduce el número de solicitudes de autenticación que reciben los usuarios al usar dispositivos administrados por Mobile Administración de dispositivos (MDM), incluido cualquier MDM que admita la configuración de perfiles de SSO.

Una vez configurado, las aplicaciones que admiten la Biblioteca de autenticación de Microsoft (MSAL) aprovechan automáticamente el complemento microsoft enterprise SSO. Las aplicaciones que no admiten MSAL pueden usar la extensión, incluidos exploradores como Safari y aplicaciones que usan las API de vista web de Safari. Solo tiene que agregar el prefijo o el identificador del conjunto de aplicaciones a la configuración de la extensión.

Por ejemplo, para permitir una aplicación de Microsoft que no admita MSAL, agregue a com.microsoft. la propiedad AppPrefixAllowList. Tenga cuidado con las aplicaciones que permite, ya que podrán omitir las solicitudes de inicio de sesión interactivas para el usuario que ha iniciado sesión.

Para obtener más información, consulte Complemento Microsoft Enterprise SSO para dispositivos Apple, Aplicaciones que no usan MSAL.

Nota:

Anunciado en marzo de 2024, Microsoft Entra ID se retirará de la cadena de claves de Apple para almacenar las claves de identidad del dispositivo. A partir del tercer trimestre de 2026, todos los registros de dispositivos nuevos usarán El enclave seguro de Apple de forma predeterminada. Para obtener más información, consulte Complemento de inicio de sesión único de Microsoft Enterprise para dispositivos Apple.

Este artículo se aplica a:

• iOS/iPadOS

En este artículo se muestra cómo implementar el complemento de inicio de sesión único de Microsoft Enterprise para dispositivos Apple iOS/iPadOS con Intune, Jamf Pro y otras soluciones MDM.

Requisitos previos

Para usar el complemento de inicio de sesión único de Microsoft Enterprise en dispositivos iOS/iPadOS:

Intune

• El dispositivo se administra mediante Intune.

• El dispositivo debe admitir el complemento:

  • iOS/iPadOS 13.0 y versiones posteriores

• La aplicación Microsoft Authenticator debe estar instalada en el dispositivo.

  Los usuarios pueden instalar la aplicación Microsoft Authenticator manualmente. O bien, los administradores pueden implementar la aplicación mediante Intune. Para obtener información sobre cómo instalar la aplicación Microsoft Authenticator, vaya a Administrar aplicaciones compradas por volumen de Apple.

Jamf Pro

• Jamf Pro administra el dispositivo.

• El dispositivo debe admitir el complemento:

  • iOS/iPadOS 13.0 y versiones posteriores

• La aplicación Microsoft Authenticator debe estar instalada en el dispositivo.

  Los usuarios pueden instalar la aplicación Microsoft Authenticator manualmente. O bien, los administradores pueden implementar la aplicación mediante Jamf Pro. Para obtener una lista de opciones sobre cómo instalar la aplicación Microsoft Authenticator, vaya a Administración de instaladores de macOS mediante Jamf Pro (abre el sitio web de Jamf Pro).

• La integración de Jamf Pro e Intune para el cumplimiento de los dispositivos no es necesaria para utilizar la extensión de la aplicación SSO.

Otros MDM

• El dispositivo se administra mediante una solución de proveedor de administración de dispositivos móviles (MDM).
• La solución MDM debe admitir la configuración de la carga de MDM de inicio de sesión único para dispositivos Apple con una directiva de dispositivo.
• El dispositivo debe admitir el complemento:
  • iOS/iPadOS 13.0 y versiones posteriores
• La aplicación Microsoft Authenticator debe estar instalada en el dispositivo. Los usuarios pueden instalar la aplicación Microsoft Authenticator manualmente. O bien, los administradores pueden implementar la aplicación mediante una directiva MDM.

Nota:

En dispositivos iOS/iPadOS, Apple requiere que se instalen la extensión de aplicación sso y la aplicación Microsoft Authenticator. Los usuarios no necesitan usar ni configurar la aplicación Microsoft Authenticator, solo deben instalarse en el dispositivo.

Complemento Microsoft Enterprise SSO frente a la extensión de SSO de Kerberos

Cuando se usa la extensión de aplicación sso, se usa el tipo de carga de Sso o Kerberos para la autenticación. La extensión de aplicación de SSO está diseñada para mejorar la experiencia de inicio de sesión de las aplicaciones y sitios web que usan estos métodos de autenticación.

El complemento Microsoft Enterprise SSO utiliza el tipo de carga útil SSOcon autenticación de redireccionamiento. Los tipos de extensión SSO Redirect y Kerberos pueden ser utilizados en un dispositivo al mismo tiempo. Asegúrese de crear perfiles de dispositivo independientes para cada tipo de extensión que planee usar en los dispositivos.

Para determinar el tipo de extensión de SSO correcto para su escenario, use la tabla siguiente:

---

Complemento Microsoft Enterprise SSO para dispositivos Apple	Extensión de aplicación de inicio de sesión único con Kerberos
Usa el Microsoft Entra ID tipo de extensión de aplicación sso	Usa el tipo de extensión de aplicación de SSO de Kerberos
Admite las siguientes aplicaciones: - Microsoft 365 - Aplicaciones, sitios web o servicios integrados con Microsoft Entra ID	Admite las siguientes aplicaciones: - Aplicaciones, sitios web o servicios integrados con AD

---

Para obtener más información sobre la extensión de inicio de sesión único, vaya a Extensión de aplicación de inicio de sesión único.

Creación de un perfil de configuración de extensión de aplicación de inicio de sesión único

Intune

En el centro de administración de Microsoft Intune, cree un perfil de configuración de dispositivo. Este perfil incluye la configuración para definir la extensión de aplicación de SSO en dispositivos.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Creaciónde configuración de>dispositivos>.

3. Escriba las propiedades siguientes:

   • Plataforma: seleccione iOS/iPadOS.
   • Tipo de perfil: seleccione Plantillas>Características del dispositivo.

4. Seleccione Crear:

   

5. En Básico, escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un buen nombre de directiva es iOS: complemento de inicio de sesión único de Microsoft Enterprise.
   • Descripción: escriba una descripción para la directiva. Esta configuración es opcional pero recomendada.

6. Seleccione Siguiente.

7. En Opciones de configuración, seleccione Extensión de aplicación de inicio de sesión único y configure las siguientes propiedades:

   • Tipo de extensión de aplicación sso: seleccione Microsoft Entra ID.

     

   • Enable shared device mode (Habilitar el modo de dispositivo compartido):

     • Sin configurar: Intune no cambia ni actualiza esta configuración.

       En la mayoría de los escenarios, incluidos los iPad compartidos, los dispositivos personales y los dispositivos con o sin afinidad de usuario, seleccione esta opción.

     • Sí: seleccione esta opción solo si los dispositivos de destino usan Microsoft Entra modo de dispositivo compartido. Para obtener más información, vaya a Introducción al modo de dispositivo compartido.

   • Identificador de lote de aplicaciones: escriba una lista de identificadores de lote para las aplicaciones que no admiten MSAL y que pueden usar SSO. Para obtener más información, vaya a Aplicaciones que no usan MSAL.

   • Configuración adicional: para personalizar la experiencia del usuario final, puede agregar las siguientes propiedades. Estas propiedades son los valores predeterminados que usa la extensión de inicio de sesión único de Microsoft, pero se pueden personalizar para las necesidades de su organización:

     Key	Tipo	Descripción
     AppPrefixAllowList	Cadena	Valor recomendado: com.apple. Escriba una lista de prefijos para las aplicaciones que no admiten MSAL y que pueden usar SSO. Por ejemplo, escriba com.microsoft.,com.apple. para permitir todas las aplicaciones de Microsoft y Apple. Asegúrese de que estas aplicaciones cumplen los requisitos de la lista de permitidos.
     browser_sso_interaction_enabled	Entero	Valor recomendado: 1 Cuando se establece en 1, los usuarios pueden iniciar sesión desde el explorador Safari y desde aplicaciones que no admiten MSAL. La habilitación de esta opción permite a los usuarios arrancar la extensión desde Safari u otras aplicaciones.
     disable_explicit_app_prompt	Entero	Valor recomendado: 1 Algunas aplicaciones pueden exigir incorrectamente los mensajes del usuario final en la capa del protocolo. Si ve este problema, se pedirá a los usuarios que inicien sesión, aunque el complemento Microsoft Enterprise SSO funcione para otras aplicaciones. Cuando se establece 1 (uno), se reducen estos mensajes.

     Sugerencia

     Para obtener más información sobre estas propiedades y otras propiedades que puede configurar, consulte Complemento de INICIO de sesión único de Microsoft Enterprise para dispositivos Apple.

     Cuando haya terminado de configurar los valores y permita las aplicaciones de Microsoft & Apple, la configuración será similar a los valores siguientes en el perfil de configuración de Intune:

     

8. Siga creando el perfil y asígnelo a los usuarios o grupos que recibirán esta configuración. Para conocer los pasos específicos, vaya a Crear el perfil.

   Para obtener instrucciones sobre cómo asignar perfiles, vaya a Asignar perfiles de usuario y dispositivo.

Cuando el dispositivo se haya sincronizado con el servicio de Intune, recibirá este perfil. Para obtener más información, vaya a Intervalos de actualización de directivas.

Para comprobar que el perfil se implementó correctamente, en el centro de administración de Intune, vaya aConfiguración> de dispositivos> seleccione el perfil que creó y genere un informe:

Jamf Pro

En el portal de Jamf Pro, se crea un perfil de configuración de equipo o dispositivo. Este perfil incluye la configuración para definir la extensión de aplicación de SSO en dispositivos.

1. Inicie sesión en el portal de Jamf Pro.

2. Para crear un perfil de iOS/iPadOS, seleccioneConfiguración>de dispositivos>Nuevo:

   

3. En Nombre, escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un buen nombre de directiva es: iOS/iPadOS: complemento de inicio de sesión único de Microsoft Enterprise.

4. En la columna Opciones, desplácese hacia abajo y seleccione Agregar extensiones de Sign-On únicas>:

   

5. Escriba las propiedades siguientes:

   • Tipo de carga: seleccione SSO.
   • Identificador de extensión: escriba com.microsoft.azureauthenticator.ssoextension.
   • Identificador de equipo: no se necesita ningún valor, deje el campo en blanco.
   • Tipo de inicio de sesión: seleccione Redirigir.
   • Direcciones URL: escriba las siguientes direcciones URL, de una en una:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. En Configuración personalizada, se definen otras propiedades necesarias. Jamf Pro requiere que estas propiedades se configuren mediante un archivo PLIST cargado. Para ver la lista completa de propiedades configurables, vaya a la documentación del complemento de inicio de sesión único de Microsoft Enterprise para dispositivos Apple.

   El ejemplo siguiente es un archivo PLIST recomendado que satisface las necesidades de la mayoría de las organizaciones:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Esta configuración de PLIST configura las siguientes opciones de extensión de SSO. Estas propiedades son los valores predeterminados que usa la extensión de inicio de sesión único de Microsoft, pero se pueden personalizar para las necesidades de su organización:

   Key	Tipo	Descripción
   AppPrefixAllowList	Cadena	Valor recomendado: com.apple.,com.jamf.,com.jamfsoftware. Escriba una lista de prefijos para las aplicaciones que no admiten MSAL y que pueden usar SSO. Por ejemplo, escriba com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. para permitir todas las aplicaciones de Microsoft, Apple y Jamf Pro. Asegúrese de que estas aplicaciones cumplen los requisitos de la lista de permitidos.
   disable_explicit_app_prompt	Entero	Valor recomendado: 1 Algunas aplicaciones pueden exigir incorrectamente los mensajes del usuario final en la capa del protocolo. Si ve este problema, se pedirá a los usuarios que inicien sesión, aunque el complemento Microsoft Enterprise SSO funcione para otras aplicaciones. Cuando se establece 1 (uno), se reducen estos mensajes.

   Sugerencia

   Para obtener más información sobre estas propiedades y otras propiedades que puede configurar, consulte Complemento de INICIO de sesión único de Microsoft Enterprise para dispositivos Apple.

7. Seleccione la pestaña Ámbito. Escriba los equipos o dispositivos que deben ser direccionados para recibir el perfil MDM de extensión de SSO.

8. Seleccione Guardar.

Cuando el dispositivo se registra con el servicio Jamf Pro, recibe el perfil.

Otros MDM

En el portal de MDM, cree un perfil de configuración de dispositivo. Este perfil incluye la configuración para definir la extensión de aplicación de SSO en dispositivos.

1. Inicie sesión en el portal de MDM.

2. Cree un nuevo perfil de configuración de dispositivo.

3. Seleccione una opción Single Sign-On Extensions or SSO extension (Extensiones de Sign-On únicas o extensión sso). El nombre varía en función de la solución MDM que use.

4. Escriba las propiedades siguientes:

   Clave	Valor
   Tipo de carga útil	SSO
   Identificador de extensión	com.microsoft.azureauthenticator.ssoextension
   tipo Sign-On	Redirigir
   Direcciones URL	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Opcionalmente, puede configurar otras propiedades. Estas propiedades son los valores predeterminados que usa la extensión de inicio de sesión único de Microsoft, pero se pueden personalizar para las necesidades de su organización:

   Key	Tipo	Descripción
   AppPrefixAllowList	Cadena	Valor recomendado: com.apple. Escriba una lista de prefijos para las aplicaciones que no admiten MSAL y que pueden usar SSO. Por ejemplo, escriba com.microsoft.,com.apple. para permitir todas las aplicaciones de Microsoft y Apple. Asegúrese de que estas aplicaciones cumplen los requisitos de la lista de permitidos.
   browser_sso_interaction_enabled	Entero	Valor recomendado: 1 Cuando se establece en 1, los usuarios pueden iniciar sesión desde el explorador Safari y desde aplicaciones que no admiten MSAL. La habilitación de esta opción permite a los usuarios arrancar la extensión desde Safari u otras aplicaciones.
   disable_explicit_app_prompt	Entero	Valor recomendado: 1 Algunas aplicaciones pueden exigir incorrectamente los mensajes del usuario final en la capa del protocolo. Si ve este problema, se pedirá a los usuarios que inicien sesión, aunque el complemento Microsoft Enterprise SSO funcione para otras aplicaciones. Cuando se establece 1 (uno), se reducen estos mensajes.

   Sugerencia

   Para obtener más información sobre estas propiedades y otras propiedades que puede configurar, consulte Complemento de INICIO de sesión único de Microsoft Enterprise para dispositivos Apple.

6. Asigne la nueva directiva a los dispositivos que deben tener como destino para recibir el perfil MDM de extensión de SSO.

Cuando el dispositivo se registra con el servicio MDM, recibe este perfil.

Experiencia del usuario final

• Si no va a implementar la aplicación Microsoft Authenticator mediante una directiva de aplicación, los usuarios deben instalarla manualmente. Los usuarios no necesitan usar la aplicación Authenticator, solo debe instalarse en el dispositivo.

• Los usuarios inician sesión en cualquier aplicación o sitio web compatible para arrancar la extensión. El arranque es el proceso de inicio de sesión por primera vez, que configura la extensión.

• Una vez que los usuarios inician sesión correctamente, la extensión se usa automáticamente para iniciar sesión en cualquier otra aplicación o sitio web compatible.

Para probar el inicio de sesión único, abra Safari en modo privado (abre el sitio web de Apple) y abra el https://portal.office.com sitio. No se necesitará ningún nombre de usuario ni contraseña.

Sugerencia

Obtenga más información sobre cómo funciona el complemento sso y cómo solucionar problemas de la extensión de INICIO de sesión único de Microsoft Enterprise con la guía de solución de problemas de SSO para dispositivos Apple.

Pasos siguientes

• Para obtener información sobre el complemento Microsoft Enterprise SSO, vaya al complemento de Inicio de sesión único de Microsoft Enterprise para dispositivos Apple.

• Para obtener información de Apple sobre la carga útil de la extensión de inicio de sesión único, vaya a la configuración de carga de extensiones de inicio de sesión único (abre el sitio web de Apple).

• Para obtener información sobre cómo solucionar problemas de la extensión de inicio de sesión único de Microsoft Enterprise, vaya a Solución de problemas del complemento Microsoft Enterprise SSO Extension en dispositivos Apple.