Vue d’ensemble de l’authentification unique (SSO) et options pour les appareils Apple dans Microsoft Intune
Les appareils Apple peuvent utiliser l’authentification unique (SSO) pour accéder aux appareils, applications et sites web à l’aide de leur ID Microsoft Entra. L’authentification unique permet aux utilisateurs de se connecter et d’obtenir l’accès sans entrer leurs informations d’identification à chaque fois.
Cette fonctionnalité s’applique à :
- iOS/iPadOS
- macOS
Les appareils et la plupart des applications, y compris les applications métier,nécessitent un certain niveau d’authentification utilisateur. Dans de nombreux cas, le processus d’authentification oblige les utilisateurs à entrer les mêmes informations d’identification à plusieurs reprises.
Les administrateurs peuvent utiliser Microsoft Intune pour créer et déployer des stratégies d’authentification unique. Les développeurs peuvent créer des applications qui prennent en charge et utilisent l’authentification unique (SSO). Lorsque vous combinez les stratégies d’authentification unique Intune avec des applications qui prennent en charge l’authentification unique, le nombre d’invites d’informations d’identification pour les applications et les sites web est réduit.
Pour configurer l’authentification unique pour les appareils Apple dans Intune, vous disposez des options suivantes :
Authentification unique de plateforme : fait partie du plug-in Microsoft Enterprise SSO dans l’ID Microsoft Entra et inclut l’extension d’application SSO. S’applique aux appareils macOS.
Extension d’application SSO : partie du plug-in Microsoft Enterprise SSO dans l’ID Microsoft Entra. S’applique aux appareils iOS/iPadOS et macOS.
Modèle d’authentification unique : modèle dans Intune. S’applique aux appareils iOS/iPadOS.
Cet article fournit une vue d’ensemble des options d’authentification unique disponibles pour les appareils Apple dans Intune et de leurs plateformes prises en charge.
Authentification unique de plateforme
Cette fonctionnalité s’applique à :
- macOS
Le plug-in Microsoft Enterprise SSO inclut deux fonctionnalités d’authentification unique : l’authentification unique de plateforme et l’extension d’application SSO. Cette section se concentre sur l’authentification unique de plateforme.
Sur les appareils macOS, les utilisateurs se connectent normalement avec un compte local. Ensuite, ils se connectent aux applications et aux sites web avec leur ID Microsoft Entra.
Avec l’authentification unique platform :
Les organisations peuvent :
Choisissez la méthode d’authentification qui répond aux besoins de votre entreprise. Vos options sont l’authentification sans clé de passe de l’enclave sécurisée, le compte d’utilisateur Microsoft Entra & mot de passe ou l’authentification par carte à puce.
Utilisez l’extension d’application SSO, car l’extension d’application SSO fait partie de Platform SSO. Plus précisément, vous :
- Utilisez l’extension d’application SSO pour vous connecter à des applications et des sites web avec l’ID Microsoft Entra.
- Utilisez l’authentification unique platform pour améliorer votre configuration de l’authentification unique. Vous pouvez configurer différentes méthodes d’authentification, créer de nouveaux utilisateurs organisationnels lors de la connexion et attribuer des modes d’autorisation aux utilisateurs.
Utilisateurs finaux :
- Bénéficiez d’une expérience de connexion plus sécurisée car l’ID Microsoft Entra s’intègre au plug-in Microsoft Enterprise SSO.
- Bénéficiez d’une expérience d’authentification unique en cas de combinaison avec l’extension d’application SSO. L’extension d’application SSO permet d’utiliser Touch ID et des clés d’accès avec l’ID Microsoft Entra.
- Peut se connecter avec son compte d’utilisateur Microsoft Entra et réduire le nombre de fois où il doit entrer ses informations d’identification Microsoft Entra sur ses appareils macOS.
Pour plus d’informations sur l’authentification unique de plateforme et pour commencer, consultez Configurer l’authentification unique de plateforme pour les appareils macOS dans Intune.
Résumé des fonctionnalités d’authentification unique de plateforme
Le tableau suivant récapitule les fonctionnalités d’authentification unique de plateforme dans Intune. Utilisez ces informations pour déterminer si l’authentification unique platform est adaptée à votre organisation.
Fonctionnalité | Détails |
---|---|
Prise en charge de la plateforme |
❌ iOS/iPadOS ✅ macOS 13.0 et versions ultérieures |
Types d’inscription pris en charge |
✅ Inscription de l’appareil ✅ Inscription automatisée des appareils (supervisée) ❌ Inscription de l’utilisateur ✅ Inscription directe (Apple Configurator) |
Types d’authentification pris en charge |
✅ Enclave sécurisée (UserSecureEnclaveKey) ✅ Mot de passe (ID Microsoft Entra) ✅ Carte à puce |
Types d’applications pris en charge |
✅ Applications Microsoft 365 ✅ Applications, sites web ou services intégrés à l’ID Microsoft Entra ✅ Applications, sites web ou services qui prennent en charge l’authentification unique Apple Enterprise et qui sont intégrés à Active Directory local |
Type de stratégie du centre d’administration Intune |
Stratégie de catalogue des paramètres à l’adresse : Dispositifs>Gérer les appareils>Configuration>Créer>Nouvelle stratégie>catalogue de paramètres macOS pour la plateforme > pour le type de > profil Authentification>unique extensible (SSO) |
Action d'amélioration |
✅ Recommandé. Utilisez l’authentification unique platform, car elle inclut également l’extension d’application SSO. Vous pouvez utiliser l’extension d’application SSO seule, mais ce n’est pas préférable. Pour utiliser l’authentification unique de plateforme, vous devez utiliser uniquement l’authentification unique de plateforme. Ne créez pas de stratégie d’extension d’application SSO distincte. |
Extension d’application SSO
Cette fonctionnalité s’applique à :
- iOS/iPadOS
- macOS
Le plug-in Microsoft Enterprise SSO inclut deux fonctionnalités d’authentification unique : l’authentification unique de plateforme et l’extension d’application SSO. Cette section se concentre sur l’extension d’application SSO.
L’extension d’application SSO fournit l’authentification unique aux applications, sites web et comptes qui utilisent l’ID Microsoft Entra pour l’authentification, notamment :
- Microsoft 365 Apps
- Applications développées pour rechercher le magasin d’informations d’identification utilisateur dans l’authentification unique sur l’appareil
- Comptes Active Directory locaux sur toutes les applications qui prennent en charge la fonctionnalité d’authentification unique Entreprise d’Apple
✅ Pour les appareils iOS/iPadOS, l’extension d’application SSO est disponible seule. Vous pouvez donc configurer et utiliser l’extension d’application SSO pour vos applications & sites web.
✅ Pour les appareils macOS, l’extension d’application SSO est disponible par elle-même et est également incluse dans Platform SSO. Par conséquent, vous pouvez configurer et utiliser uniquement l’extension d’application SSO si vous ne souhaitez pas utiliser l’authentification unique platform. Si vous utilisez l’authentification unique de plateforme, vous configurez uniquement l’authentification unique de plateforme, car elle inclut l’extension d’application SSO.
L’extension d’application SSO est une extension d’application SSO de type redirection. Il est disponible pour Intune, Jamf Pro et d’autres solutions MDM. Dans Intune, l’extension d’application SSO utilise une stratégie de configuration d’appareil avec l’ID Microsoft Entra comme type d’extension d’application SSO.
Ces paramètres configurent les extensions d’application SSO de type de redirection et de type d’informations d’identification. Notamment :
Le type de redirection est conçu pour les protocoles d’authentification modernes, tels que OpenID Connect, OAuth et SAML2. Vous pouvez choisir entre l’extension Microsoft Entra SSO (plug-in Microsoft Enterprise SSO ) et une extension de redirection générique.
Le type d’informations d’identification est conçu pour les flux d’authentification challenge-and-response. Vous pouvez choisir entre une extension d’informations d’identification spécifique de Kerberos fournie par Apple et une extension d’informations d’identification générique.
L’extension d’application SSO doit fonctionner avec n’importe quel GPM non-Microsoft ou partenaire. L’extension doit être déployée en tant qu’extension SSO Kerberos ou bien en tant que profil de configuration personnalisé avec toutes les propriétés requises configurées.
Pour plus d’informations sur l’extension d’application SSO, accédez à :
iOS/iPadOS
macOS :
Résumé de la fonctionnalité d’extension d’application SSO
Le tableau suivant récapitule les fonctionnalités d’extension d’application SSO dans Intune. Utilisez ces informations pour déterminer si cette option d’authentification unique est adaptée à votre organisation.
Fonctionnalité | Détails |
---|---|
Prise en charge de la plateforme |
✅ iOS/iPadOS 13.0 et versions ultérieures ✅ macOS 10.15 et versions ultérieures |
Types d’inscription pris en charge | iOS/iPadOS ✅ Inscription de l’appareil ✅ Inscription automatisée des appareils (supervisée) ✅ Inscription de l’utilisateur ✅ Inscription directe (Apple Configurator) macOS : ✅ Inscription d’appareil approuvée par l’utilisateur ✅ Inscription automatisée des appareils (supervisée) ✅ Inscription directe (Apple Configurator) |
Types d’authentification pris en charge |
✅ Extension d’application SSO de type redirection, y compris l’ID Microsoft Entra ✅ Extension d’application d’informations d’identification ✅ Extension Kerberos intégrée d’Apple |
Types d’applications pris en charge |
✅ Applications Microsoft 365 ✅ Applications, sites web ou services intégrés à l’ID Microsoft Entra ✅ Applications, sites web ou services qui prennent en charge l’authentification unique Entreprise d’Apple et qui sont intégrés à Active Directory local |
Type de stratégie du centre d’administration Intune |
Modèle Fonctionnalités de l’appareil à l’adresse : Dispositifs>Gérer les appareils>Configuration>Créer>Nouvelle stratégie>iOS/iPadOS ou macOS pour les modèlesde plateforme > Fonctionnalités >d’appareil pour le type de > profil Extension d’application d’authentification unique |
Action d'amélioration |
✅ Recommandé sur iOS/iPadOS. ❌ Non préféré sur les appareils macOS. Sur les appareils macOS, vous pouvez utiliser l’extension d’application SSO seule. Toutefois, nous vous recommandons d’utiliser l’authentification unique platform à la place. Si vous utilisez également Platform SSO pour macOS, ne créez pas de stratégie d’extension d’application SSO distincte. L’extension d’application SSO est incluse dans la configuration platform SSO. |
Modèle d’authentification unique
Remarque
Au lieu de ces paramètres d’authentification unique, Apple vous recommande d’utiliser l’extension d’application SSO (dans cet article).
S’applique à :
- iOS 7.0 et versions ultérieures
- iPadOS 13.0 et ultérieur
Cette stratégie d’authentification unique est basée sur Kerberos. Kerberos est un protocole d’authentification réseau qui utilise un chiffrement à clé secrète pour authentifier des applications client-serveur. Les paramètres de stratégie Intune définissent les informations de compte Kerberos lors de l’accès à des serveurs ou à des applications spécifiques, et gèrent les défis Kerberos pour les pages web et les applications natives.
Pour obtenir la liste des paramètres que vous pouvez configurer dans Intune, accédez à Authentification unique sur iOS/iPadOS.
L’authentification unique est possible si les conditions suivantes sont réunies :
- Application développée pour rechercher le magasin d’informations d’identification de l’utilisateur dans l’authentification unique sur l’appareil.
- Intune doit être configuré pour l’authentification unique des appareils iOS/iPadOS.
Résumé de la fonctionnalité d’authentification unique
Le tableau suivant récapitule les fonctionnalités d’authentification unique dans Intune. Utilisez ces informations pour déterminer si cette option d’authentification unique est adaptée à votre organisation.
Fonctionnalité | Détails |
---|---|
Prise en charge de la plateforme |
✅ iOS 7.0 et versions ultérieures ✅ iPadOS 13.0 et versions ultérieures ❌ macOS |
Types d’inscription pris en charge |
✅ Inscription de l’appareil ✅ Inscription automatisée des appareils (supervisée) ❌ Inscription de l’utilisateur ❌ Inscription directe (Apple Configurator) |
Types d’authentification pris en charge | Peut uniquement utiliser l’authentification SSO Kerberos. - Entrez les informations de compte Kerberos pour savoir quand les utilisateurs accèdent aux serveurs ou aux applications. - N’est pas une implémentation Apple de Kerberos. - Gère les défis Kerberos pour les pages web et les applications |
Types d’applications pris en charge | Site web et applications natives qui prennent en charge l’authentification Kerberos. L’application doit être codée pour rechercher le magasin d’informations d’identification de l’utilisateur dans l’authentification unique sur l’appareil. |
Type de stratégie du centre d’administration Intune |
Modèle Fonctionnalités de l’appareil à l’adresse : Dispositifs>Gérer les appareils>Configuration>Créer>Nouvelle stratégie>iOS/iPadOS pour les modèlesde plateforme > Fonctionnalités >de l’appareil pour le type de > profil Authentification unique |
Action d'amélioration | ❌ Non recommandé. Au lieu de cela, Microsoft recommande d’utiliser l’extension d’application SSO (dans cet article). |
Extension d’application SSO et modèle d’authentification unique
La fonctionnalité d’extension d’application d’authentification unique est différente de la fonctionnalité d’authentification unique . Utilisez le tableau suivant pour comparer.
Extension d’application d’authentification unique | Authentification unique | |
---|---|---|
Plateformes prises en charge |
✅ iOS/iPadOS 13.0 et versions ultérieures ✅ macOS 10.15 et versions ultérieures |
✅ iOS 7.0 et versions ultérieures ✅ iPadOS 13.0 et versions ultérieures ❌ macOS |
Description | Définissez des extensions à utiliser par les fournisseurs d’identité ou les organisations pour offrir une expérience d’authentification transparente en entreprise. Il utilise le système d’exploitation Apple pour s’authentifier. | Définissez les informations de compte Kerberos pour les utilisateurs qui accèdent aux serveurs ou aux applications. |
Authentification | Du point de vue du développement d’applications, peut utiliser n’importe quel type d’authentification unique de redirection ou d’authentification unique d’informations d’identification. | Du point de vue du développement d’applications, peut uniquement utiliser l’authentification SSO Kerberos. |
Implémentation d’Apple | Développé par Apple et intégré aux plateformes iOS/iPadOS 13.0+ et macOS 10.15+. L’extension Kerberos intégrée peut être utilisée pour connecter des utilisateurs à des applications et des sites web natifs qui prennent en charge l’authentification Kerberos. | Pas une implémentation Apple de Kerberos. |
Action d'amélioration | Recommandé. Fournit une expérience utilisateur final améliorée. Il gère les défis Kerberos pour les pages web, prend en charge les modifications de mot de passe et se comporte mieux dans les réseaux d’entreprise. Lorsque vous décidez d’utiliser Kerberos dans l’extension d’application SSO ou le modèle d’authentification unique , nous vous recommandons d’utiliser l’extension d’application SSO en raison de l’amélioration des performances et des fonctionnalités. |
Non recommandé. Il gère les défis Kerberos pour les pages web. |
Articles connexes
Pour plus d’informations sur le plug-in Microsoft Enterprise SSO et l’ID Microsoft Entra, consultez Plug-in Microsoft Enterprise SSO pour appareils Apple.
Pour plus d’informations d’Apple sur la charge utile de l’extension d’authentification unique, accédez à Paramètres de charge utile des extensions d’authentification unique (ouvre le site web d’Apple).
Pour plus d’informations sur la résolution des problèmes liés à l’extension Microsoft Enterprise SSO, consultez Résolution des problèmes liés au plug-in Microsoft Enterprise SSO Extension sur les appareils Apple.