Utiliser le plug-in Microsoft Enterprise SSO sur les appareils iOS/iPadOS

Le plug-in Microsoft Enterprise SSO est une fonctionnalité de Microsoft Entra ID qui fournit des fonctionnalités d’authentification unique (SSO) pour les appareils Apple. Ce plug-in utilise le cadre d'extension des applications d'authentification unique d'Apple.

• Pour les appareils iOS/iPadOS, le plug-in Enterprise SSO inclut l’extension d’application SSO.
• Pour les appareils macOS, le plug-in Enterprise SSO inclut l’authentification unique platform et l’extension d’application SSO.

L’extension d’application SSO fournit l’authentification unique aux applications et sites web qui utilisent Microsoft Entra ID pour l’authentification, y compris les applications Microsoft 365. Il réduit le nombre d’invites d’authentification que les utilisateurs obtiennent lors de l’utilisation d’appareils gérés par mobile Gestion des appareils (GPM), y compris tout GPM qui prend en charge la configuration des profils d’authentification unique.

Cet article s’applique à :

• iOS/iPadOS

  Pour macOS, accédez à Configurer l’authentification unique de plateforme pour les appareils macOS dans Microsoft Intune.

Cet article explique comment créer une stratégie de configuration d’extension d’application SSO pour les appareils iOS/iPadOS Apple avec Intune, Jamf Pro et d’autres solutions MDM.

Prise en charge des applications

Pour que vos applications utilisent le plug-in Microsoft Enterprise SSO, vous avez deux options :

• Option 1 - MSAL : les applications qui prennent en charge la bibliothèque d’authentification Microsoft (MSAL) tirent automatiquement parti du plug-in Microsoft Enterprise SSO. Par exemple, les applications Microsoft 365 prennent en charge MSAL. Ainsi, ils utilisent automatiquement le plug-in.

  Si votre organization crée ses propres applications, votre développeur d’applications peut ajouter une dépendance à MSAL. Cette dépendance permet à votre application d’utiliser le plug-in Microsoft Enterprise SSO.

  Pour obtenir un exemple de tutoriel, accédez à Tutoriel : Connecter des utilisateurs et appeler Microsoft Graph à partir d’une application iOS ou macOS.

• Option 2 - Liste d’autorisation : les applications qui ne prennent pas en charge ou qui n’ont pas été développées avec MSAL peuvent utiliser l’extension d’application SSO. Ces applications incluent des navigateurs tels que Safari et des applications qui utilisent des API d’affichage web Safari.

  Pour ces applications non-MSAL, ajoutez l’ID ou le préfixe du bundle d’applications à la configuration de l’extension dans votre stratégie d’extension d’application Intune SSO (dans cet article).

  Par exemple, pour autoriser une application Microsoft qui ne prend pas en charge MSAL, ajoutez com.microsoft. à la propriété AppPrefixAllowList dans votre stratégie de Intune. Soyez prudent avec les applications que vous autorisez, elles peuvent contourner les invites de connexion interactives pour l’utilisateur connecté.

  Pour plus d’informations, consultez Plug-in Microsoft Enterprise SSO pour appareils Apple - applications qui n’utilisent pas MSAL.

Configuration requise

Pour utiliser le plug-in Microsoft Enterprise SSO sur les appareils iOS/iPadOS :

Intune

• L’appareil est géré par Intune.

• L’appareil doit prendre en charge le plug-in :

  • iOS/iPadOS 13.0 et versions ultérieures

• L’application Microsoft Authenticator doit être installée sur l’appareil.

  Les utilisateurs peuvent installer l’application Microsoft Authenticator manuellement. Les administrateurs peuvent également déployer l’application à l’aide de Intune. Pour plus d’informations sur l’installation de l’application Microsoft Authenticator, accédez à Gérer les applications Apple achetées en volume.

• Les exigences du plug-in Enterprise SSO sont configurées, y compris les URL de configuration réseau Apple.

Jamf Pro

• L’appareil est géré par Jamf Pro.

• L’appareil doit prendre en charge le plug-in :

  • iOS/iPadOS 13.0 et versions ultérieures

• L’application Microsoft Authenticator doit être installée sur l’appareil.

  Les utilisateurs peuvent installer l’application Microsoft Authenticator manuellement. Les administrateurs peuvent également déployer l’application à l’aide de Jamf Pro. Pour obtenir la liste des options d’installation de l’application Microsoft Authenticator, accédez à Gestion des programmes d’installation macOS à l’aide de Jamf Pro (ouvre le site web de Jamf Pro).

• Les exigences du plug-in Enterprise SSO sont configurées, y compris les URL de configuration réseau Apple.

• L'intégration de Jamf Pro et Intune pour la conformité des appareils n'est pas nécessaire pour utiliser l'extension d'application SSO.

Autres MMM

• L’appareil est géré par une solution de fournisseur de gestion des appareils mobiles (GPM).
• La solution MDM doit prendre en charge la configuration des paramètres de charge utile MDM de l’authentification unique pour les appareils Apple avec une stratégie d’appareil.
• L’appareil doit prendre en charge le plug-in :
  • iOS/iPadOS 13.0 et versions ultérieures
• L’application Microsoft Authenticator doit être installée sur l’appareil. Les utilisateurs peuvent installer l’application Microsoft Authenticator manuellement. Les administrateurs peuvent également déployer l’application à l’aide d’une stratégie GPM.
• Les exigences du plug-in Enterprise SSO sont configurées, y compris les URL de configuration réseau Apple.

Remarque

Sur les appareils iOS/iPadOS, Apple requiert l’installation de l’extension d’application SSO et de l’application Microsoft Authenticator. Les utilisateurs n’ont pas besoin d’utiliser ou de configurer l’application Microsoft Authenticator, elle doit simplement être installée sur l’appareil.

Plug-in Microsoft Enterprise SSO vs. Extension Kerberos SSO

Lorsque vous utilisez l’extension d’application SSO, vous utilisez l’authentification unique ou le type de charge utile Kerberos pour l’authentification. L’extension d’application SSO est conçue pour améliorer l’expérience de connexion pour les applications et les sites web qui utilisent ces méthodes d’authentification.

Le plug-in Microsoft Enterprise SSO utilise le type de données utiles SSO avec authentification par redirection. Les types d'extension SSO redirection et Kerberos peuvent être utilisés en même temps sur un appareil. Veillez à créer des profils de l'appareil distincts pour chaque type d'extension que vous prévoyez d'utiliser sur vos appareils.

Pour déterminer le type d’extension SSO correct pour votre scénario, utilisez le tableau suivant :

---

Plug-in Microsoft Enterprise SSO pour les appareils Apple	Extension d’application d’authentification unique avec Kerberos
Utilise le type d’extension d’application Microsoft Entra ID SSO	Utilise le type d’extension d’application SSO Kerberos
Prend en charge les applications suivantes : - Microsoft 365 - Applications, sites web ou services intégrés à Microsoft Entra ID	Prend en charge les applications suivantes : - Applications, sites web ou services intégrés à AD

---

Pour plus d’informations sur l’extension d’application d’authentification unique, consultez Vue d’ensemble de l’authentification unique et options pour les appareils Apple dans Microsoft Intune.

Create une stratégie de configuration d’extension d’application d’authentification unique

Intune

Dans le centre d’administration Microsoft Intune, créez un profil de configuration d’appareil. Ce profil comprend les paramètres permettant de configurer l’extension d’application SSO sur les appareils.

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. SélectionnezConfiguration>des appareils>Create.

3. Entrez les propriétés suivantes :

   • Plateforme : sélectionnez iOS/iPadOS
   • Type de profil : sélectionnez Modèles Fonctionnalités>de l’appareil.

4. Sélectionnez Create :

   

5. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : attribuez un nom descriptif à la stratégie. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de stratégie est iOS : extension d’application SSO.
   • Description : entrez une description pour la stratégie. Ce paramètre est facultatif, mais recommandé.

6. Sélectionnez Suivant.

7. Dans Paramètres de configuration, sélectionnez Extension d’application d’authentification unique et configurez les propriétés suivantes :

   • Type d’extension d’application SSO : sélectionnez Microsoft Entra ID.

     

   • Activer le mode d’appareil partagé :

     • Non configuré : Intune ne change pas ni ne met à jour ce paramètre.

       Pour la plupart des scénarios, y compris les iPad partagés, les appareils personnels et les appareils avec ou sans affinité utilisateur, sélectionnez cette option.

     • Oui : sélectionnez cette option uniquement si les appareils ciblés utilisent Microsoft Entra mode d’appareil partagé. Pour plus d’informations, consultez Vue d’ensemble du mode appareil partagé.

   • ID de l’ensemble d’applications : entrez une liste d’ID d’ensemble pour les applications qui ne prennent pas en charge MSAL et qui sont autorisées à utiliser l’authentification unique. Pour plus d’informations, consultez Applications qui n’utilisent pas MSAL.

   • Configuration supplémentaire : pour personnaliser l’expérience de l’utilisateur final, vous pouvez ajouter les propriétés suivantes. Ces propriétés sont les valeurs par défaut utilisées par l’extension Microsoft SSO, mais elles peuvent être personnalisées en fonction de vos besoins organization :

     Clé	Type	Description
     AppPrefixAllowList	String	Valeur recommandée : com.apple. Entrez une liste de préfixes pour les applications qui ne prennent pas en charge MSAL et qui sont autorisées à utiliser l’authentification unique. Par exemple, entrez com.microsoft.,com.apple. pour autoriser toutes les applications Microsoft et Apple. Veillez à ce que ces applications répondent aux exigences de liste d’autorisation.
     browser_sso_interaction_enabled	Entier	Valeur recommandée : 1 Lorsque la valeur est 1, les utilisateurs peuvent se connecter à partir du navigateur Safari et à partir d’applications qui ne prennent pas en charge MSAL. L’activation de ce paramètre permet aux utilisateurs de démarrer l’extension à partir de Safari ou d’autres applications.
     disable_explicit_app_prompt	Entier	Valeur recommandée : 1 Certaines applications peuvent appliquer à tort les invites de l’utilisateur final au niveau de la couche protocole. Si vous rencontrez ce problème, les utilisateurs sont invités à se connecter, même si le plug-in Microsoft Enterprise SSO fonctionne pour d’autres applications. Si vous spécifiez la valeur 1 (un), vous réduisez ces invites.

     Conseil

     Pour plus d’informations sur ces propriétés et d’autres propriétés que vous pouvez configurer, consultez Plug-in Microsoft Enterprise SSO pour appareils Apple.

     Lorsque vous avez terminé de configurer les paramètres et que vous autorisez les applications Microsoft & Apple, les paramètres ressemblent aux valeurs suivantes dans votre profil de configuration Intune :

     

8. Poursuivez la création du profil et affectez le profil aux utilisateurs ou aux groupes qui recevront ces paramètres. Pour connaître les étapes spécifiques, accédez à Create le profil.

   Pour obtenir des conseils sur l’attribution de profils, accédez à Attribuer des profils d’utilisateur et d’appareil.

Lorsque l’appareil s’enregistre auprès du service Intune, il reçoit ce profil. Pour plus d’informations, consultez Intervalles d’actualisation des stratégies.

Pour case activée que le profil a été correctement déployé, dans le centre d’administration Intune, accédez àConfiguration>des appareils>, sélectionnez le profil que vous avez créé et générez un rapport :

Jamf Pro

Dans le portail Jamf Pro, vous créez un profil de configuration ordinateur ou appareil. Ce profil comprend les paramètres permettant de configurer l’extension d’application SSO sur les appareils.

1. Connectez-vous au portail Jamf Pro.

2. Pour créer un profil iOS/iPadOS, sélectionnezConfiguration des>appareils>Nouveau :

   

3. Dans Nom, entrez un nom descriptif pour la stratégie. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de stratégie est : iOS/iPadOS : plug-in Microsoft Enterprise SSO.

4. Dans la colonne Options, faites défiler vers le bas et sélectionnez Extensions> Sign-Onuniques Ajouter :

   

5. Entrez les propriétés suivantes :

   • Type de charge utile : sélectionnez Authentification unique.
   • Identificateur d’extension : entrez com.microsoft.azureauthenticator.ssoextension.
   • Identificateur de l’équipe : aucune valeur n’est nécessaire. Laissez le champ vide.
   • Type d’authentification : sélectionnez Rediriger.
   • URL : entrez les URL suivantes, une à la fois :
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. Dans Configuration personnalisée, vous définissez d’autres propriétés requises. Jamf Pro exige que ces propriétés soient configurées à l'aide d'un fichier PLIST téléchargé. Pour afficher la liste complète des propriétés configurables, accédez à la documentation du plug-in Microsoft Enterprise SSO pour les appareils Apple.

   L'exemple suivant est un fichier PLIST recommandé qui répond aux besoins de la plupart des organisations :

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Ces paramètres PLIST configurent les options d’extension d’authentification unique suivantes. Ces propriétés sont les valeurs par défaut utilisées par l’extension Microsoft SSO, mais elles peuvent être personnalisées en fonction de vos besoins organization :

   Clé	Type	Description
   AppPrefixAllowList	String	Valeur recommandée : com.apple.,com.jamf.,com.jamfsoftware. Entrez une liste de préfixes pour les applications qui ne prennent pas en charge MSAL et qui sont autorisées à utiliser l’authentification unique. Par exemple, entrez com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. pour autoriser toutes les applications Microsoft, Apple et Jamf Pro. Veillez à ce que ces applications répondent aux exigences de liste d’autorisation.
   disable_explicit_app_prompt	Entier	Valeur recommandée : 1 Certaines applications peuvent appliquer à tort les invites de l’utilisateur final au niveau de la couche protocole. Si vous rencontrez ce problème, les utilisateurs sont invités à se connecter, même si le plug-in Microsoft Enterprise SSO fonctionne pour d’autres applications. Si vous spécifiez la valeur 1 (un), vous réduisez ces invites.

   Conseil

   Pour plus d’informations sur ces propriétés et d’autres propriétés que vous pouvez configurer, consultez Plug-in Microsoft Enterprise SSO pour appareils Apple.

7. Sélectionnez l'onglet Scope. Entrez les ordinateurs ou les appareils qui doivent être ciblés pour recevoir le profil MDM SSO Extension.

8. Sélectionnez Enregistrer.

Lorsque l’appareil s’enregistre auprès du service Jamf Pro, il reçoit le profil.

Autres MMM

Dans le portail MDM, créez un profil de configuration d’appareil. Ce profil comprend les paramètres permettant de configurer l’extension d’application SSO sur les appareils.

1. Connectez-vous au portail MDM.

2. Create un nouveau profil de configuration d’appareil.

3. Sélectionnez une option Extensions Sign-On uniques ou Extension SSO . Le nom varie en fonction de la solution MDM que vous utilisez.

4. Entrez les propriétés suivantes :

   Clé	Valeur
   Type de charge utile	Authentification unique
   Identificateur d’extension	com.microsoft.azureauthenticator.ssoextension
   type Sign-On	Redirect
   URL	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Si vous le souhaitez, vous pouvez configurer d’autres propriétés. Ces propriétés sont les valeurs par défaut utilisées par l’extension Microsoft SSO, mais elles peuvent être personnalisées en fonction de vos besoins organization :

   Clé	Type	Description
   AppPrefixAllowList	String	Valeur recommandée : com.apple. Entrez une liste de préfixes pour les applications qui ne prennent pas en charge MSAL et qui sont autorisées à utiliser l’authentification unique. Par exemple, entrez com.microsoft.,com.apple. pour autoriser toutes les applications Microsoft et Apple. Veillez à ce que ces applications répondent aux exigences de liste d’autorisation.
   browser_sso_interaction_enabled	Entier	Valeur recommandée : 1 Lorsque la valeur est 1, les utilisateurs peuvent se connecter à partir du navigateur Safari et à partir d’applications qui ne prennent pas en charge MSAL. L’activation de ce paramètre permet aux utilisateurs de démarrer l’extension à partir de Safari ou d’autres applications.
   disable_explicit_app_prompt	Entier	Valeur recommandée : 1 Certaines applications peuvent appliquer à tort les invites de l’utilisateur final au niveau de la couche protocole. Si vous rencontrez ce problème, les utilisateurs sont invités à se connecter, même si le plug-in Microsoft Enterprise SSO fonctionne pour d’autres applications. Si vous spécifiez la valeur 1 (un), vous réduisez ces invites.

   Conseil

   Pour plus d’informations sur ces propriétés et d’autres propriétés que vous pouvez configurer, consultez Plug-in Microsoft Enterprise SSO pour appareils Apple.

6. Affectez la nouvelle stratégie aux appareils qui doivent être ciblés pour recevoir le profil MDM de l’extension SSO.

Lorsque l’appareil s’enregistre auprès du service GPM, il reçoit ce profil.

Expérience de l’utilisateur final

• Si vous ne déployez pas l’application Microsoft Authenticator à l’aide d’une stratégie d’application, les utilisateurs doivent l’installer manuellement. Les utilisateurs n’ont pas besoin d’utiliser l’application Authenticator, elle doit simplement être installée sur l’appareil.

• Les utilisateurs se connectent à n’importe quelle application ou tout site web pris en charge pour démarrer l’extension. L’amorçage est le processus de première connexion, qui configure l’extension.

• Une fois que les utilisateurs se connectent avec succès, l’extension est automatiquement utilisée pour se connecter à toute autre application ou tout site web pris en charge.

Vous pouvez tester l’authentification unique en ouvrant Safari en mode privé (ouvre le site web d’Apple) et en ouvrant le https://portal.office.com site. Aucun nom d’utilisateur et mot de passe ne sera requis.

Conseil

En savoir plus sur le fonctionnement du plug-in SSO et sur la résolution des problèmes liés à l’extension d’authentification unique Microsoft Enterprise avec le guide de résolution des problèmes d’authentification unique pour les appareils Apple.

Articles connexes

• Pour plus d’informations sur le plug-in Microsoft Enterprise SSO, accédez à Plug-in Microsoft Enterprise SSO pour appareils Apple.

• Pour plus d’informations d’Apple sur la charge utile de l’extension d’authentification unique, accédez à Paramètres de charge utile des extensions d’authentification unique (ouvre le site web d’Apple).

• Pour plus d’informations sur la résolution des problèmes liés à l’extension Microsoft Enterprise SSO, consultez Résolution des problèmes liés au plug-in Microsoft Enterprise SSO Extension sur les appareils Apple.