Uso del complemento de inicio de sesión único de Microsoft Enterprise en dispositivos iOS/iPadOS
El complemento Microsoft Enterprise SSO es una característica de Microsoft Entra ID que proporciona características de inicio de sesión único (SSO) para dispositivos Apple. Este complemento usa el marco de extensión de aplicación de inicio de sesión único de Apple.
- Para dispositivos iOS/iPadOS, el complemento sso de Enterprise incluye la extensión de aplicación sso.
- En el caso de los dispositivos macOS, el complemento Enterprise SSO incluye Platform SSO y la extensión de aplicación sso.
La extensión de aplicación sso proporciona inicio de sesión único en aplicaciones y sitios web que usan Microsoft Entra ID para la autenticación, incluidas las aplicaciones de Microsoft 365. Reduce el número de mensajes de autenticación que reciben los usuarios al usar dispositivos administrados por Mobile Device Management (MDM), incluido cualquier MDM que admita la configuración de perfiles de SSO.
Esta característica se aplica a:
iOS/iPadOS
Para macOS, vaya a Configuración del inicio de sesión único de plataforma para dispositivos macOS en Microsoft Intune.
En este artículo se muestra cómo crear una directiva de configuración de extensión de aplicación sso para dispositivos Apple iOS/iPadOS con Intune, Jamf Pro y otras soluciones MDM.
Compatibilidad con aplicaciones
Para que las aplicaciones usen el complemento de inicio de sesión único de Microsoft Enterprise, tiene dos opciones:
Opción 1: MSAL: las aplicaciones que admiten la biblioteca de autenticación de Microsoft (MSAL) aprovechan automáticamente el complemento microsoft enterprise sso. Por ejemplo, las aplicaciones de Microsoft 365 admiten MSAL. Por lo tanto, usan automáticamente el complemento.
Si su organización crea sus propias aplicaciones, el desarrollador de aplicaciones puede agregar una dependencia a MSAL. Esta dependencia permite que la aplicación use el complemento de inicio de sesión único de Microsoft Enterprise.
Para obtener un tutorial de ejemplo, vaya a Tutorial: Iniciar sesión de usuarios y llamar a Microsoft Graph desde una aplicación de iOS o macOS.
Opción 2: AllowList: las aplicaciones que no admiten o no se desarrollaron con MSAL pueden usar la extensión de aplicación sso. Estas aplicaciones incluyen exploradores como Safari y aplicaciones que usan las API de vista web de Safari.
En el caso de estas aplicaciones que no son MSAL, agregue el identificador de agrupación de aplicaciones o el prefijo a la configuración de la extensión en la directiva de extensión de aplicación sso de Intune (en este artículo).
Por ejemplo, para permitir una aplicación de Microsoft que no admita MSAL, agregue
com.microsoft.
a la propiedad AppPrefixAllowList en la directiva de Intune. Tenga cuidado con las aplicaciones que permite, ya que pueden omitir las solicitudes de inicio de sesión interactivas para el usuario que ha iniciado sesión.Para obtener más información, vaya al complemento de inicio de sesión único de Microsoft Enterprise para dispositivos Apple: aplicaciones que no usan MSAL.
Requisitos previos
Para usar el complemento de inicio de sesión único de Microsoft Enterprise en dispositivos iOS/iPadOS:
Intune administra el dispositivo.
El dispositivo debe admitir el complemento:
- iOS/iPadOS 13.0 y versiones posteriores
La aplicación Microsoft Authenticator debe estar instalada en el dispositivo.
Los usuarios pueden instalar la aplicación Microsoft Authenticator manualmente. O bien, los administradores pueden implementar la aplicación mediante Intune. Para obtener información sobre cómo instalar la aplicación Microsoft Authenticator, vaya a Administrar aplicaciones compradas por volumen de Apple.
Se configuran los requisitos del complemento Enterprise SSO, incluidas las direcciones URL de configuración de red de Apple.
Nota:
En dispositivos iOS/iPadOS, Apple requiere que se instalen la extensión de aplicación sso y la aplicación Microsoft Authenticator. Los usuarios no necesitan usar ni configurar la aplicación Microsoft Authenticator, solo deben instalarse en el dispositivo.
Complemento Microsoft Enterprise SSO frente a la extensión de SSO de Kerberos
Cuando se usa la extensión de aplicación sso, se usa el tipo de carga de Sso o Kerberos para la autenticación. La extensión de aplicación de SSO está diseñada para mejorar la experiencia de inicio de sesión de las aplicaciones y sitios web que usan estos métodos de autenticación.
El complemento Microsoft Enterprise SSO utiliza el tipo de carga útil SSOcon autenticación de redireccionamiento. Los tipos de extensión SSO Redirect y Kerberos pueden ser utilizados en un dispositivo al mismo tiempo. Asegúrese de crear perfiles de dispositivo independientes para cada tipo de extensión que planee usar en los dispositivos.
Para determinar el tipo de extensión de SSO correcto para su escenario, use la tabla siguiente:
Complemento Microsoft Enterprise SSO para dispositivos Apple | Extensión de aplicación de inicio de sesión único con Kerberos |
---|---|
Usa el tipo de extensión de aplicación de INICIO de sesión único de Microsoft Entra ID | Usa el tipo de extensión de aplicación de SSO de Kerberos |
Admite las siguientes aplicaciones: - Microsoft 365 - Aplicaciones, sitios web o servicios integrados con Microsoft Entra ID |
Admite las siguientes aplicaciones: - Aplicaciones, sitios web o servicios integrados con AD |
Para obtener más información sobre la extensión de la aplicación de inicio de sesión único, vaya a Información general del inicio de sesión único y opciones para dispositivos Apple en Microsoft Intune.
Creación de una directiva de configuración de extensión de aplicación de inicio de sesión único
En el Centro de administración de Microsoft Intune, cree un perfil de configuración de dispositivo. Este perfil incluye la configuración para definir la extensión de aplicación de SSO en dispositivos.
Inicie sesión en el Centro de administración de Microsoft Intune.
Seleccione Dispositivos>Administrar dispositivos>Configuración>Crear>Nueva directiva.
Escriba las propiedades siguientes:
- Plataforma: seleccione iOS/iPadOS.
- Tipo de perfil: seleccione Plantillas>Características del dispositivo.
Seleccione Crear:
En Básico, escriba las propiedades siguientes:
- Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un buen nombre de directiva es iOS: extensión de aplicación sso.
- Descripción: escriba una descripción para la directiva. Esta configuración es opcional pero recomendada.
Seleccione Siguiente.
En Opciones de configuración, seleccione Extensión de aplicación de inicio de sesión único y configure las siguientes propiedades:
Tipo de extensión de aplicación sso: seleccione Microsoft Entra ID.
Enable shared device mode (Habilitar el modo de dispositivo compartido):
Sin configurar: Intune no cambia ni actualiza esta configuración.
En la mayoría de los escenarios, incluidos los iPad compartidos, los dispositivos personales y los dispositivos con o sin afinidad de usuario, seleccione esta opción.
Sí: seleccione esta opción solo si los dispositivos de destino usan el modo de dispositivo compartido Microsoft Entra. Para obtener más información, vaya a Introducción al modo de dispositivo compartido.
Identificador de lote de aplicaciones: escriba una lista de identificadores de lote para las aplicaciones que no admiten MSAL y que pueden usar SSO. Para obtener más información, vaya a Aplicaciones que no usan MSAL.
Configuración adicional: para personalizar la experiencia del usuario final, puede agregar las siguientes propiedades. Estas propiedades son los valores predeterminados que usa la extensión de inicio de sesión único de Microsoft, pero se pueden personalizar para las necesidades de su organización:
Key Tipo Descripción AppPrefixAllowList Cadena Valor recomendado: com.apple.
Escriba una lista de prefijos para las aplicaciones que no admiten MSAL y que pueden usar SSO. Por ejemplo, escribacom.microsoft.,com.apple.
para permitir todas las aplicaciones de Microsoft y Apple.
Asegúrese de que estas aplicaciones cumplen los requisitos de la lista de permitidos.browser_sso_interaction_enabled Entero Valor recomendado: 1
Cuando se establece en1
, los usuarios pueden iniciar sesión desde el explorador Safari y desde aplicaciones que no admiten MSAL. La habilitación de esta opción permite a los usuarios arrancar la extensión desde Safari u otras aplicaciones.disable_explicit_app_prompt Entero Valor recomendado: 1
Algunas aplicaciones pueden exigir incorrectamente los mensajes del usuario final en la capa del protocolo. Si ve este problema, se pedirá a los usuarios que inicien sesión, aunque el complemento Microsoft Enterprise SSO funcione para otras aplicaciones.
Cuando se establece1
(uno), se reducen estos mensajes.Sugerencia
Para obtener más información sobre estas propiedades y otras propiedades que puede configurar, consulte Complemento de INICIO de sesión único de Microsoft Enterprise para dispositivos Apple.
Cuando haya terminado de configurar los valores y permita microsoft & aplicaciones de Apple, la configuración será similar a los valores siguientes en el perfil de configuración de Intune:
Siga creando el perfil y asígnelo a los usuarios o grupos que recibirán esta configuración. Para conocer los pasos específicos, vaya a Crear el perfil.
Para obtener instrucciones sobre cómo asignar perfiles, vaya a Asignar perfiles de usuario y dispositivo.
Cuando el dispositivo se registra con el servicio intune, recibe este perfil. Para obtener más información, vaya a Intervalos de actualización de directivas.
Para comprobar que el perfil se implementó correctamente, en el Centro de administración de Intune, vaya a Dispositivos>Administrar dispositivos>Configuración> seleccione el perfil que creó y genere un informe:
Experiencia del usuario final
Si no va a implementar la aplicación Microsoft Authenticator mediante una directiva de aplicación, los usuarios deben instalarla manualmente. Los usuarios no necesitan usar la aplicación Authenticator, solo debe instalarse en el dispositivo.
Los usuarios inician sesión en cualquier aplicación o sitio web compatible para arrancar la extensión. El arranque es el proceso de inicio de sesión por primera vez, que configura la extensión.
Una vez que los usuarios inician sesión correctamente, la extensión se usa automáticamente para iniciar sesión en cualquier otra aplicación o sitio web compatible.
Para probar el inicio de sesión único, abra Safari en modo privado (abre el sitio web de Apple) y abra el https://portal.office.com
sitio. No se necesitará ningún nombre de usuario ni contraseña.
Sugerencia
Obtenga más información sobre cómo funciona el complemento sso y cómo solucionar problemas de la extensión de INICIO de sesión único de Microsoft Enterprise con la guía de solución de problemas de SSO para dispositivos Apple.
Artículos relacionados
Para obtener información sobre el complemento Microsoft Enterprise SSO, vaya al complemento de Inicio de sesión único de Microsoft Enterprise para dispositivos Apple.
Para obtener información de Apple sobre la carga útil de la extensión de inicio de sesión único, vaya a la configuración de carga de extensiones de inicio de sesión único (abre el sitio web de Apple).
Para obtener información sobre cómo solucionar problemas de la extensión de inicio de sesión único de Microsoft Enterprise, vaya a Solución de problemas del complemento Microsoft Enterprise SSO Extension en dispositivos Apple.