Az egyszeri bejelentkezés (SSO) áttekintése és lehetőségei Apple-eszközökhöz a Microsoft Intune-ban
Az Apple-eszközök egyszeri bejelentkezéssel (SSO) érhetik el az eszközöket, alkalmazásokat és webhelyeket a Microsoft Entra-azonosítójukkal. Az egyszeri bejelentkezés lehetővé teszi, hogy a felhasználók minden alkalommal anélkül jelentkezzenek be és férhessenek hozzá, hogy megadták a hitelesítő adataikat.
Ez a cikk a következőkre vonatkozik:
- iOS/iPadOS
- macOS
Az eszközök és a legtöbb alkalmazás, beleértve az üzletági (LOB) alkalmazásokat is, bizonyos szintű felhasználói hitelesítést igényel. A hitelesítés sok esetben megköveteli, hogy a felhasználók ismételten ugyanazokat a hitelesítő adatokat adjanak meg.
A rendszergazdák a Microsoft Intune használatával SSO-szabályzatokat hozhatnak létre és helyezhetnek üzembe. A fejlesztők olyan alkalmazásokat hozhatnak létre, amelyek támogatják és használják az egyszeri bejelentkezést (SSO). Ha kombinálja az Intune SSO-szabályzatait az egyszeri bejelentkezést támogató alkalmazásokkal, az alkalmazások és webhelyek hitelesítő adataira vonatkozó kérések száma csökken.
Az Apple-eszközök egyszeri bejelentkezésének az Intune-ban való konfigurálásához az alábbi lehetőségek közül választhat:
Platform SSO – A Microsoft Enterprise SSO beépülő modul része a Microsoft Entra ID-ban, és tartalmazza az SSO alkalmazásbővítményt. A macOS-eszközökre vonatkozik.
SSO-alkalmazásbővítmény – A Microsoft Enterprise SSO beépülő modul része a Microsoft Entra ID-ban. Az iOS/iPadOS és a macOS rendszerű eszközökre vonatkozik.
Egyszeri bejelentkezési sablon – Sablon az Intune-ban. Az iOS-/iPadOS-eszközökre vonatkozik.
Ez a cikk áttekintést nyújt az Intune-beli Apple-eszközökhöz elérhető egyszeri bejelentkezési lehetőségekről és azok támogatott platformjairól.
Platform SSO
Ez a funkció az alábbiakra vonatkozik:
- macOS
A Microsoft Enterprise SSO beépülő modul két SSO-funkciót tartalmaz: a platform SSO-t és az SSO-alkalmazásbővítményt. Ez a szakasz a Platform SSO-val foglalkozik.
MacOS-eszközökön a felhasználók általában helyi fiókkal jelentkeznek be. Ezután a Microsoft Entra-azonosítójukkal jelentkeznek be alkalmazásokba és webhelyekre.
Platform SSO-val:
A szervezetek:
Válassza ki az üzleti igényeinek megfelelő hitelesítési módszert. A következő lehetőségek közül választhat: Biztonságos enklávé jelszó nélküli hozzáférési kulcs hitelesítése, Microsoft Entra felhasználói fiók & jelszó vagy intelligenskártya-hitelesítés.
Használja az SSO-alkalmazásbővítményt, mivel az SSO-alkalmazásbővítmény a Platform SSO része. Konkrétan a következőt:
- Az SSO alkalmazásbővítménnyel microsoft Entra-azonosítóval jelentkezhet be alkalmazásokba és webhelyekre.
- Az SSO-konfiguráció továbbfejlesztéséhez használja a Platform SSO-t. Különböző hitelesítési módszereket konfigurálhat, új szervezeti felhasználókat hozhat létre bejelentkezéskor, és engedélyezési módokat rendelhet a felhasználókhoz.
Végfelhasználók:
- Biztonságosabb bejelentkezési élményben lehet része, mivel a Microsoft Entra ID integrálható a Microsoft Enterprise SSO beépülő modullal.
- Egyszeri bejelentkezést kaphat az SSO-alkalmazásbővítménnyel kombinálva. Az SSO alkalmazásbővítmény lehetővé teszi a Touch ID és a hozzáférési kulcsok használatát a Microsoft Entra ID-val.
- Bejelentkezhet a Microsoft Entra felhasználói fiókjával, és minimalizálhatja, hogy hányszor kell megadnia a Microsoft Entra hitelesítő adatait a macOS-eszközein.
A platform egyszeri bejelentkezéséről és az első lépésekről további információt a Platform SSO konfigurálása macOS-eszközökhöz az Intune-ban című témakörben talál.
Platform SSO-funkciók összegzése
Az alábbi táblázat az Intune platform SSO-funkcióit foglalja össze. Ezekkel az információkkal megállapíthatja, hogy a platform egyszeri bejelentkezése megfelelő-e a szervezet számára.
Kiemelés | Részletek |
---|---|
Platformtámogatás | ❌ iOS/iPadOS ✅ macOS 13.0 és újabb |
Támogatott regisztrációs típusok | ✅ Eszközregisztráció ✅ Automatizált eszközregisztráció (felügyelt) ❌ Felhasználói regisztráció ✅ Közvetlen regisztráció (Apple Configurator) |
Támogatott hitelesítési típusok | ✅ Biztonságos enklávé (UserSecureEnclaveKey) ✅ Jelszó (Microsoft Entra-azonosító) ✅ Intelligens kártya |
Támogatott alkalmazástípusok | ✅ Microsoft 365-alkalmazások ✅ A Microsoft Entra ID-val integrált alkalmazások, webhelyek vagy szolgáltatások ✅ Az Apple Enterprise egyszeri bejelentkezést támogató és a helyszíni Active Directoryval integrált alkalmazások, webhelyek és szolgáltatások |
Az Intune Felügyeleti központ házirendtípusa | Beállításkatalógus-szabályzat a következő helyen: Eszközök>Eszközök> kezeléseKonfiguráció>Alkot>Új szabályzat>macOS for platform >Settings catalog for profile type >Authentication>Extensible Single Sign On (SSO) |
Javaslat | ✅ Ajánlott. Használja a Platform SSO-t, mivel az SSO-alkalmazásbővítményt is tartalmazza. Az SSO-alkalmazásbővítményt önállóan is használhatja, de nem ajánlott. A platform egyszeri bejelentkezésének használatához csak platform SSO-t kell használnia. Ne hozzon létre külön SSO-alkalmazásbővítmény-szabályzatot. |
SSO-alkalmazásbővítmény
Ez a funkció az alábbiakra vonatkozik:
- iOS/iPadOS
- macOS
A Microsoft Enterprise SSO beépülő modul két SSO-funkciót tartalmaz: a platform SSO-t és az SSO-alkalmazásbővítményt. Ez a szakasz az SSO-alkalmazásbővítménnyel foglalkozik.
Az SSO alkalmazásbővítmény egyszeri bejelentkezést biztosít azoknak az alkalmazásoknak, webhelyeknek és fiókoknak, amelyek a Microsoft Entra-azonosítót használják a hitelesítéshez, beleértve a következőket:
- Microsoft 365-alkalmazások
- A felhasználói hitelesítőadat-tároló keresésére fejlesztett alkalmazások egyszeri bejelentkezéskor az eszközön
- Helyszíni Active Directory-fiókok minden olyan alkalmazásban, amely támogatja az Apple vállalati egyszeri bejelentkezés funkcióját
✅iOS/iPadOS-eszközök esetén az SSO-alkalmazásbővítmény önmagában is elérhető. Így konfigurálhatja és használhatja az SSO-alkalmazásbővítményt az alkalmazásokhoz & webhelyekhez.
✅MacOS-eszközök esetén az SSO-alkalmazásbővítmény önmagában is elérhető, és a platform SSO-jában is megtalálható. Így csak akkor konfigurálhatja és használhatja az SSO-alkalmazásbővítményt, ha nem szeretné használni a Platform SSO-t. Ha Platform SSO-t használ, akkor csak a platform SSO-t konfigurálja, mivel az tartalmazza az SSO-alkalmazásbővítményt.
Az SSO-alkalmazásbővítmény egy átirányítás típusú SSO-alkalmazásbővítmény. Az Intune, a Jamf Pro és más MDM-megoldásokhoz érhető el. Az Intune-ban az SSO-alkalmazásbővítmény egy eszközkonfigurációs szabályzatot használ, amelynek az SSO-alkalmazásbővítmény típusa a Microsoft Entra ID.
Ezek a beállítások az átirányítási és hitelesítő adatok típusú SSO-alkalmazásbővítményeket konfigurálják. Kifejezetten:
Az átirányítási típus olyan modern hitelesítési protokollokhoz lett kialakítva, mint az OpenID Connect, az OAuth és az SAML2. Választhat a Microsoft Entra SSO bővítmény (Microsoft Enterprise SSO beépülő modul és egy általános átirányítási bővítmény) közül.
A hitelesítőadat-típust a kihívás-válasz hitelesítési folyamatokhoz tervezték. Választhat az Apple által biztosított Kerberos-specifikus hitelesítőadat-bővítmény és az általános hitelesítőadat-bővítmény közül.
Az SSO-alkalmazásbővítménynek működnie kell bármely nem Microsoft- vagy partner MDM-sel. A bővítményt Kerberos SSO-bővítményként kell üzembe helyezni, vagy egyéni konfigurációs profilként kell üzembe helyezni az összes szükséges tulajdonsággal.
Az SSO-alkalmazásbővítménnyel kapcsolatos további információkért látogasson el a következőre:
iOS/iPadOS:
macOS:
SSO-alkalmazásbővítmény funkcióinak összegzése
Az alábbi táblázat összefoglalja az SSO-alkalmazásbővítmények funkcióit az Intune-ban. Ezekkel az információkkal megállapíthatja, hogy ez az SSO-beállítás megfelelő-e a szervezet számára.
Kiemelés | Részletek |
---|---|
Platformtámogatás | ✅ iOS/iPadOS 13.0 és újabb ✅ macOS 10.15 és újabb |
Támogatott regisztrációs típusok | iOS/iPadOS: ✅ Eszközregisztráció ✅ Automatizált eszközregisztráció (felügyelt) ✅ Felhasználói regisztráció ✅ Közvetlen regisztráció (Apple Configurator) macOS: ✅ Felhasználó által jóváhagyott eszközregisztráció ✅ Automatizált eszközregisztráció (felügyelt) ✅ Közvetlen regisztráció (Apple Configurator) |
Támogatott hitelesítési típusok | ✅ Átirányítás típusú SSO-alkalmazásbővítmény, beleértve a Microsoft Entra-azonosítót ✅ Hitelesítőadat-alkalmazásbővítmény ✅ Az Apple beépített Kerberos-bővítménye |
Támogatott alkalmazástípusok | ✅ Microsoft 365-alkalmazások ✅ A Microsoft Entra ID-val integrált alkalmazások, webhelyek vagy szolgáltatások ✅ Alkalmazások, webhelyek vagy szolgáltatások, amelyek támogatják az Apple vállalati egyszeri bejelentkezését, és integrálva vannak a helyszíni Active Directoryval |
Az Intune Felügyeleti központ házirendtípusa | Eszközfunkciók sablon a következő helyen: Eszközök>Eszközök> kezeléseKonfiguráció>Alkot>Új szabályzat>iOS/iPadOS vagy macOSplatformsablonokhoz>>Eszközfunkciók profiltípushoz >Egyszeri bejelentkezés alkalmazásbővítmény |
Javaslat | ✅ Ajánlott iOS/iPadOS rendszeren. ❌ MacOS-eszközökön nem ajánlott. MacOS-eszközökön önállóan is használhatja az SSO-alkalmazásbővítményt. Javasoljuk azonban, hogy inkább a Platform SSO-t használja. Ha a macOS platform SSO-t is használja, ne hozzon létre külön SSO-alkalmazásbővítmény-szabályzatot. Az SSO-alkalmazásbővítmény a platform SSO-konfigurációjában található. |
Egyszeri bejelentkezési sablon
Megjegyzés:
Az SSO-beállítások helyett az Apple az SSO-alkalmazásbővítmény használatát javasolja (ebben a cikkben).
Érintett szolgáltatás:
- iOS 7.0 és újabb
- iPadOS 13.0 és újabb
Ez az egyszeri bejelentkezési szabályzat a Kerberoson alapul. A Kerberos egy hálózati hitelesítési protokoll, amely titkos kulcsú titkosítást használ az ügyfél-kiszolgáló alkalmazások hitelesítéséhez. Az Intune szabályzatbeállításai meghatározzák a Kerberos-fiók adatait a kiszolgálók vagy adott alkalmazások elérésekor, és kezelik a Kerberos-problémákat a weboldalak és a natív alkalmazások esetében.
Az Intune-ban konfigurálható beállítások listáját az Egyszeri bejelentkezés iOS/iPadOS rendszeren című témakörben találja.
Az egyszeri bejelentkezés használatához győződjön meg arról, hogy rendelkezik az alábbiakval:
- Egy alkalmazás, amelyet arra fejlesztettek ki, hogy az eszközön egyszeri bejelentkezéssel keresse meg a felhasználói hitelesítőadat-tárolót.
- Az iOS/iPadOS rendszerű eszközök egyszeri bejelentkezésére konfigurált Intune.
Az egyszeri bejelentkezés funkció összefoglalása
Az alábbi táblázat az Intune egyszeri bejelentkezési funkcióit foglalja össze. Ezekkel az információkkal megállapíthatja, hogy ez az SSO-beállítás megfelelő-e a szervezet számára.
Kiemelés | Részletek |
---|---|
Platformtámogatás | ✅ iOS 7.0 és újabb ✅ iPadOS 13.0 és újabb ❌ macOS |
Támogatott regisztrációs típusok | ✅ Eszközregisztráció ✅ Automatizált eszközregisztráció (felügyelt) ❌ Felhasználói regisztráció ❌ Közvetlen regisztráció (Apple Configurator) |
Támogatott hitelesítési típusok | Csak Kerberos SSO-hitelesítést használhat. – Adja meg a Kerberos-fiók adatait arra az esetre, ha a felhasználók kiszolgálókhoz vagy alkalmazásokhoz férnek hozzá. - Nem a Kerberos Apple-implementációja. - Kezeli a Kerberos kihívásait a weboldalak és alkalmazások számára |
Támogatott alkalmazástípusok | A Kerberos-hitelesítést támogató webhely- és natív alkalmazások. Az alkalmazásnak kódoltnak kell lennie ahhoz, hogy megkeresse a felhasználói hitelesítőadat-tárolót az eszközön való egyszeri bejelentkezéskor. |
Az Intune Felügyeleti központ házirendtípusa | Eszközfunkciók sablon a következő helyen: Eszközök>Eszközök> kezeléseKonfiguráció>Alkot>Új szabályzat>iOS/iPadOSplatformsablonokhoz>>Eszközfunkciókegyszeri bejelentkezés profiltípushoz > |
Javaslat | ❌ Nem ajánlott. Ehelyett a Microsoft az SSO-alkalmazásbővítmény használatát javasolja (ebben a cikkben). |
SSO-alkalmazásbővítmény és SSO-sablon
Az Egyszeri bejelentkezés alkalmazásbővítmény funkciója eltér az egyszeri bejelentkezés funkciótól. Az összehasonlításhoz használja az alábbi táblázatot.
Egyszeri bejelentkezési alkalmazásbővítmény | Egyszeri bejelentkezés | |
---|---|---|
Támogatott platformok | ✅ iOS/iPadOS 13.0 és újabb ✅ macOS 10.15 és újabb |
✅ iOS 7.0 és újabb ✅ iPadOS 13.0 és újabb ❌ macOS |
Leírás | Definiálhat bővítményeket az identitásszolgáltatók vagy szervezetek számára a zökkenőmentes vállalati bejelentkezési élmény biztosításához. Az Apple operációs rendszert használja a hitelesítéshez. | Kerberos-fiókadatok definiálása arra az esetre, ha a felhasználók kiszolgálókhoz vagy alkalmazásokhoz férnek hozzá. |
Hitelesítés | Az alkalmazásfejlesztés szempontjából bármilyen átirányítási SSO-t vagy hitelesítő SSO-hitelesítést használhat. | Alkalmazásfejlesztési szempontból csak Kerberos SSO-hitelesítést használhat. |
Az Apple implementációja | Az Apple által fejlesztett és az iOS/iPadOS 13.0+ és macOS 10.15+ platformokba épített. A beépített Kerberos-bővítmény használatával bejelentkeztetheti a felhasználókat a Kerberos-hitelesítést támogató natív alkalmazásokba és webhelyekre. | Nem a Kerberos Apple-implementációja. |
Javaslat | Ajánlott. Továbbfejlesztett végfelhasználói élményt nyújt. Kezeli a weblapok Kerberos-kihívásait, támogatja a jelszómódosításokat, és jobban viselkedik a vállalati hálózatokban. Amikor úgy dönt, hogy a Kerberost használja az SSO-alkalmazásbővítményben vagy az egyszeri bejelentkezési sablonban , javasoljuk, hogy a továbbfejlesztett teljesítmény és képességek miatt használja az SSO-alkalmazásbővítményt. |
Nem ajánlott. Kezeli a kerberosi kihívásokat a weblapok esetében. |
Kapcsolódó cikkek
A Microsoft Enterprise SSO beépülő modulról és a Microsoft Entra ID-ról további információt az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modulban talál.
Az Apple-től az egyszeri bejelentkezési bővítmény hasznos adataival kapcsolatos információkért lépjen az egyszeri bejelentkezési bővítmények hasznosadat-beállításaihoz (nyissa meg az Apple webhelyét).
A Microsoft Enterprise SSO-bővítmény hibaelhárításával kapcsolatos információkért tekintse meg a Microsoft Enterprise SSO-bővítmény beépülő modul hibaelhárítása Apple-eszközökön című témakört.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: