Introducción al inicio de sesión único (SSO) y opciones para dispositivos Apple en Microsoft Intune
Los dispositivos Apple pueden usar el inicio de sesión único (SSO) para acceder a dispositivos, aplicaciones y sitios web mediante su id. de Microsoft Entra. Sso permite a los usuarios iniciar sesión y obtener acceso sin escribir sus credenciales cada vez.
Esta característica se aplica a:
- iOS/iPadOS
- macOS
Los dispositivos y la mayoría de las aplicaciones, incluidas las aplicaciones de línea de negocio (LOB), requieren algún nivel de autenticación de usuario. En muchos casos, la autenticación requiere que los usuarios escriban las mismas credenciales varias veces.
Los administradores pueden usar Microsoft Intune para crear e implementar directivas de SSO. Los desarrolladores pueden crear aplicaciones que admitan y usen el inicio de sesión único (SSO). Al combinar las directivas de SSO de Intune con las aplicaciones que admiten el inicio de sesión único, se reduce el número de solicitudes de credenciales para aplicaciones y sitios web.
Para configurar el inicio de sesión único para dispositivos Apple en Intune, tiene las siguientes opciones:
Sso de plataforma : parte del complemento Microsoft Enterprise SSO en Microsoft Entra ID e incluye la extensión de la aplicación SSO. Se aplica a dispositivos macOS.
Extensión de aplicación sso: parte del complemento microsoft enterprise sso en Microsoft Entra ID. Se aplica a dispositivos iOS/iPadOS y macOS.
Plantilla de inicio de sesión único : una plantilla en Intune. Se aplica a dispositivos iOS/iPadOS.
En este artículo se proporciona información general sobre las opciones de SSO disponibles para dispositivos Apple en Intune y sus plataformas compatibles.
Inicio de sesión único de plataforma
Esta característica se aplica a:
- macOS
El complemento Microsoft Enterprise SSO incluye dos características de SSO: Sso de plataforma y extensión de aplicación sso. Esta sección se centra en el inicio de sesión único de Platform.
En los dispositivos macOS, los usuarios normalmente inician sesión con una cuenta local. A continuación, inician sesión en aplicaciones y sitios web con su id. de Microsoft Entra.
Con el inicio de sesión único de platform:
Las organizaciones pueden:
Elija el método de autenticación que satisfaga sus necesidades empresariales. Las opciones son autenticación de contraseña sin contraseña de Enclave seguro, cuenta de usuario de Microsoft Entra & contraseña o autenticación de tarjeta inteligente.
Use la extensión de aplicación sso, ya que la extensión de aplicación sso forma parte del inicio de sesión único de Platform. En concreto, usted:
- Use la extensión de aplicación sso para iniciar sesión en aplicaciones y sitios web con Microsoft Entra ID.
- Use el inicio de sesión único de Platform para mejorar la configuración del inicio de sesión único. Puede configurar diferentes métodos de autenticación, crear nuevos usuarios de la organización al iniciar sesión y asignar modos de autorización a los usuarios.
Usuarios finales:
- Obtenga una experiencia de inicio de sesión más segura a medida que Microsoft Entra ID se integra con el complemento de inicio de sesión único de Microsoft Enterprise.
- Obtenga una experiencia de inicio de sesión único cuando se combine con la extensión de aplicación sso. La extensión de aplicación sso permite usar Touch ID y passkeys con Microsoft Entra ID.
- Puede iniciar sesión con su cuenta de usuario de Microsoft Entra y minimizar el número de veces que necesita para escribir sus credenciales de Microsoft Entra en sus dispositivos macOS.
Para obtener más información sobre platform sso y para empezar, vaya a Configuración del inicio de sesión único de plataforma para dispositivos macOS en Intune.
Resumen de características de SSO de plataforma
En la tabla siguiente se resumen las características del inicio de sesión único de platform en Intune. Use esta información para determinar si el inicio de sesión único de Platform es adecuado para su organización.
Característica | Detalles |
---|---|
Compatibilidad con plataformas |
❌ iOS/iPadOS ✅ macOS 13.0 y versiones posteriores |
Tipos de inscripción admitidos |
✅ Inscripción de dispositivos ✅ Inscripción de dispositivos automatizada (supervisada) ❌ Inscripción de usuarios ✅ Inscripción directa (Apple Configurator) |
Tipos de autenticación admitidos |
✅ Enclave seguro (UserSecureEnclaveKey) ✅ Contraseña (Id. de entrada de Microsoft) ✅ Tarjeta inteligente |
Tipos de aplicación admitidos |
✅ Aplicaciones de Microsoft 365 ✅ Aplicaciones, sitios web o servicios integrados con Microsoft Entra ID ✅ Aplicaciones, sitios web o servicios que admiten el inicio de sesión único de Apple Enterprise y se integran con Active Directory local |
Tipo de directiva del Centro de administración de Intune |
Directiva de catálogo de configuración en: Dispositivos>Administración de dispositivos>Configuración>Crear>Nueva directiva>Catálogode configuración de macOS para plataforma > para el tipo > de perfil Authentication>Extensible Single Sign On (SSO) |
Recomendación |
✅ Recomendado. Use Platform SSO, ya que también incluye la extensión de aplicación sso. Puede usar la extensión de aplicación sso por sí sola, pero no es preferible. Para usar Platform SSO, solo debe usar Platform SSO. No cree una directiva de extensión de aplicación sso independiente. |
Extensión de aplicación sso
Esta característica se aplica a:
- iOS/iPadOS
- macOS
El complemento Microsoft Enterprise SSO incluye dos características de SSO: Sso de plataforma y extensión de aplicación sso. Esta sección se centra en la extensión de aplicación sso.
La extensión de aplicación SSO proporciona sso a las aplicaciones, sitios web y cuentas que usan microsoft entra id. para la autenticación, entre las que se incluyen:
- Aplicaciones de Microsoft 365
- Aplicaciones desarrolladas para buscar el almacén de credenciales de usuario en el inicio de sesión único en el dispositivo
- Cuentas locales de Active Directory en todas las aplicaciones que admiten la característica enterprise sso de Apple
✅ Para dispositivos iOS/iPadOS, la extensión de aplicación sso está disponible por sí misma. Por lo tanto, puede configurar y usar la extensión de aplicación sso para las aplicaciones & sitios web.
✅ En el caso de los dispositivos macOS, la extensión de aplicación sso está disponible por sí misma y también se incluye en platform sso. Por lo tanto, puede configurar y usar solo la extensión de aplicación sso si no desea usar el inicio de sesión único de Platform. Si usa Platform SSO, solo configurará Platform SSO, ya que incluye la extensión de aplicación SSO.
La extensión de aplicación sso es una extensión de aplicación sso de tipo redirect. Está disponible para Intune, Jamf Pro y otras soluciones MDM. En Intune, la extensión de aplicación sso usa una directiva de configuración de dispositivo con Microsoft Entra ID como tipo de extensión de aplicación sso.
Estas opciones configuran las extensiones de aplicación de inicio de sesión único de tipo credencial y redirección. En concreto:
El tipo de redireccionamiento está diseñado para protocolos de autenticación modernos, como OpenID Connect, OAuth y SAML2. Puede elegir entre la extensión Microsoft Entra SSO (complemento de Inicio de sesión único de Microsoft Enterprise ) y una extensión de redireccionamiento genérica.
El tipo de credencial está diseñado para flujos de autenticación de desafío y respuesta. Puede elegir entre una extensión de credenciales específica de Kerberos proporcionada por Apple y una extensión de credenciales genérica.
La extensión de aplicación sso debe funcionar con cualquier MDM que no sea de Microsoft o asociado. La extensión se debe implementar como una extensión de SSO de Kerberos, o bien como un perfil de configuración personalizado con todas las propiedades necesarias configuradas.
Para obtener más información sobre la extensión de aplicación sso, vaya a:
iOS/iPadOS:
macOS:
Resumen de la característica de extensión de aplicación sso
En la tabla siguiente se resumen las características de extensión de la aplicación sso en Intune. Use esta información para determinar si esta opción de SSO es adecuada para su organización.
Característica | Detalles |
---|---|
Compatibilidad con plataformas |
✅ iOS/iPadOS 13.0 y versiones posteriores ✅ macOS 10.15 y versiones posteriores |
Tipos de inscripción admitidos | iOS/iPadOS: ✅ Inscripción de dispositivos ✅ Inscripción de dispositivos automatizada (supervisada) ✅ Inscripción de usuarios ✅ Inscripción directa (Apple Configurator) macOS: ✅ Inscripción de dispositivos aprobada por el usuario ✅ Inscripción de dispositivos automatizada (supervisada) ✅ Inscripción directa (Apple Configurator) |
Tipos de autenticación admitidos |
✅ Extensión de aplicación sso de tipo de redireccionamiento, incluido el identificador de Microsoft Entra ✅ Extensión de aplicación de credenciales ✅ Extensión kerberos integrada de Apple |
Tipos de aplicación admitidos |
✅ Aplicaciones de Microsoft 365 ✅ Aplicaciones, sitios web o servicios integrados con Microsoft Entra ID ✅ Aplicaciones, sitios web o servicios que admiten el inicio de sesión único de Apple Enterprise y se integran con Active Directory local |
Tipo de directiva del Centro de administración de Intune |
Plantilla Características del dispositivo en: Dispositivos>Administración de dispositivos>Configuración>Crear>Nueva directiva>iOS/iPadOS o macOSpara plantillas deplataforma >>Características del dispositivo para el tipo >de perfil Extensión de aplicación de inicio de sesión único |
Recomendación |
✅ Recomendado en iOS/iPadOS. ❌ No se prefiere en dispositivos macOS. En dispositivos macOS, puede usar la extensión de aplicación sso por sí sola. Sin embargo, se recomienda usar el inicio de sesión único de Platform en su lugar. Si también usa Platform SSO para macOS, no cree una directiva de extensión de aplicación de SSO independiente. La extensión de aplicación sso se incluye en la configuración de Platform SSO. |
Plantilla de inicio de sesión único
Nota:
En lugar de esta configuración de SSO, Apple recomienda usar la extensión de aplicación sso (en este artículo).
Se aplica a:
- iOS 7.0 y versiones más recientes
- IPadOS 13.0 y versiones más recientes
Esta directiva de inicio de sesión único se basa en Kerberos. Kerberos es un protocolo de autenticación de red que utiliza criptografía de clave secreta para autenticar aplicaciones cliente-servidor. La configuración de la directiva de Intune define la información de la cuenta kerberos al acceder a servidores o aplicaciones específicas, y controla los desafíos de Kerberos para las páginas web y las aplicaciones nativas.
Para obtener una lista de la configuración que puede configurar en Intune, vaya a Inicio de sesión único en iOS/iPadOS.
Para usar el inicio de sesión único, asegúrese de tener:
- Aplicación desarrollada para buscar el almacén de credenciales de usuario en el inicio de sesión único en el dispositivo.
- Intune configurado para el inicio de sesión único para dispositivos iOS/iPadOS.
Resumen de la característica de inicio de sesión único
En la tabla siguiente se resumen las características de inicio de sesión único en Intune. Use esta información para determinar si esta opción de SSO es adecuada para su organización.
Característica | Detalles |
---|---|
Compatibilidad con plataformas |
✅ iOS 7.0 y versiones posteriores ✅ iPadOS 13.0 y versiones posteriores ❌ macOS |
Tipos de inscripción admitidos |
✅ Inscripción de dispositivos ✅ Inscripción de dispositivos automatizada (supervisada) ❌ Inscripción de usuarios ❌ Inscripción directa (Apple Configurator) |
Tipos de autenticación admitidos | Solo se puede usar la autenticación sso de Kerberos. - Escriba la información de la cuenta kerberos para cuando los usuarios accedan a servidores o aplicaciones. - No es una implementación de Kerberos de Apple. : controla los desafíos de Kerberos para las páginas web y las aplicaciones |
Tipos de aplicación admitidos | Sitio web y aplicaciones nativas que admiten la autenticación Kerberos. La aplicación debe codificarse para buscar el almacén de credenciales de usuario en el inicio de sesión único en el dispositivo. |
Tipo de directiva del Centro de administración de Intune |
Plantilla Características del dispositivo en: Dispositivos>Administración de dispositivos>Configuración>Crear>Nueva directiva>iOS/iPadOS para plantillas de plataforma>>Características del dispositivo para el tipo >de perfil Inicio de sesión único |
Recomendación | ❌ No se recomienda. En su lugar, Microsoft recomienda usar la extensión de aplicación sso (en este artículo). |
Extensión de aplicación de SSO frente a plantilla de SSO
La característica Extensión de aplicación de inicio de sesión único es diferente de la característica Inicio de sesión único . Use la tabla siguiente para comparar.
Extensión de aplicación de inicio de sesión único | Inicio de sesión único | |
---|---|---|
Plataformas compatibles |
✅ iOS/iPadOS 13.0 y versiones posteriores ✅ macOS 10.15 y versiones posteriores |
✅ iOS 7.0 y versiones posteriores ✅ iPadOS 13.0 y versiones posteriores ❌ macOS |
Descripción | Defina extensiones para que las usen proveedores de identidades u organizaciones para ofrecer una experiencia de inicio de sesión empresarial sin problemas. Usa el sistema operativo Apple para autenticarse. | Defina la información de la cuenta kerberos para cuándo los usuarios acceden a servidores o aplicaciones. |
Autenticación | Desde una perspectiva de desarrollo de aplicaciones, puede usar cualquier tipo de autenticación sso de redirección o de inicio de sesión único de credencial. | Desde una perspectiva de desarrollo de aplicaciones, solo puede usar la autenticación sso de Kerberos. |
Implementación de Apple | Desarrollado por Apple y integrado en las plataformas iOS/iPadOS 13.0+ y macOS 10.15+. La extensión kerberos integrada se puede usar para iniciar sesión a los usuarios en aplicaciones nativas y sitios web que admiten la autenticación Kerberos. | No es una implementación de Kerberos de Apple. |
Recomendación | Recomendado. Proporciona una experiencia mejorada para el usuario final. Controla los desafíos de Kerberos para las páginas web, admite cambios de contraseña y se comporta mejor en las redes empresariales. Al decidir usar Kerberos en la extensión de aplicación sso o en la plantilla de inicio de sesión único , se recomienda usar la extensión de aplicación sso debido a un rendimiento y funcionalidades mejorados. |
No se recomienda. Controla los desafíos de Kerberos para las páginas web. |
Artículos relacionados
Para obtener información sobre el complemento microsoft Enterprise SSO y el identificador de Microsoft Entra, vaya al complemento de inicio de sesión único de Microsoft Enterprise para dispositivos Apple.
Para obtener información de Apple sobre la carga útil de la extensión de inicio de sesión único, vaya a la configuración de carga de extensiones de inicio de sesión único (abre el sitio web de Apple).
Para obtener información sobre cómo solucionar problemas de la extensión de inicio de sesión único de Microsoft Enterprise, vaya a Solución de problemas del complemento Microsoft Enterprise SSO Extension en dispositivos Apple.