Share via

Microsoft Enterprise egyszeri bejelentkezéses beépülő modul Apple-eszközökhöz

  • Cikk

Az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul egyszeri bejelentkezést (SSO) biztosít a MacOS, iOS és iPadOS rendszerű Microsoft Entra-fiókokhoz minden olyan alkalmazáshoz, amely támogatja az Apple nagyvállalati egyszeri bejelentkezési funkcióját. A beépülő modul SSO-t biztosít még olyan régi alkalmazásokhoz is, amelyektől a vállalat függhet, de amelyek még nem támogatják a legújabb identitástárakat vagy protokollokat. A Microsoft szorosan együttműködve dolgozott az Apple-lel ennek a beépülő modulnak a fejlesztésén, hogy növelje az alkalmazás használhatóságát, miközben a lehető legjobb védelmet nyújtja.

A Vállalati egyszeri bejelentkezés beépülő modul jelenleg az alábbi alkalmazások beépített funkciója:

Funkciók

Az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul a következő előnyöket kínálja:

  • SSO-t biztosít a Microsoft Entra-fiókokhoz minden olyan alkalmazáshoz, amely támogatja az Apple Enterprise SSO funkciót.
  • Bármilyen mobileszköz-kezelési (MDM-) megoldással engedélyezhető, és az eszköz- és a felhasználóregisztráció is támogatja.
  • Kiterjeszti az egyszeri bejelentkezést azokra az alkalmazásokra, amelyek még nem használják a Microsoft Authentication Libraryt (MSAL).
  • Kiterjeszti az egyszeri bejelentkezést az OAuth 2, az OpenID Csatlakozás és az SAML-t használó alkalmazásokra.
  • Natív módon integrálva van az MSAL-jal, amely zökkenőmentes natív élményt nyújt a végfelhasználónak, ha engedélyezve van a Microsoft Enterprise SSO beépülő modul.

Feljegyzés

2024 májusában a Microsoft bejelentette, hogy a macOS-eszközök platformszintű egyszeri bejelentkezése nyilvános előzetes verzióban érhető el a Microsoft Entra ID.-hoz.

További információt a macOS platform egyszeri bejelentkezésének áttekintésében (előzetes verzió) talál.

Követelmények

A Microsoft Enterprise SSO beépülő modul használata Apple-eszközökhöz:

  • Az eszköznek támogatnia kell és rendelkeznie kell egy telepített alkalmazással, amely rendelkezik a Microsoft Enterprise SSO beépülő modullal apple-eszközökhöz:

  • Az eszközt regisztrálni kell az MDM-ben, például a Microsoft Intune-on keresztül.

  • A konfigurációt le kell küldeni az eszközre a vállalati egyszeri bejelentkezés beépülő modul engedélyezéséhez. Az Apple megköveteli ezt a biztonsági korlátozást.

  • Az Apple-eszközöknek lehetővé kell tenni, hogy további elfogás nélkül elérjék az identitásszolgáltatói URL-címeket és a saját URL-címeiket is. Ez azt jelenti, hogy ezeket az URL-címeket ki kell zárni a hálózati proxykból, az elfogásból és más vállalati rendszerekből.

    Íme az SSO beépülő modul működéséhez engedélyezni kívánt URL-címek minimális készlete:

    • app-site-association.cdn-apple.com
    • app-site-association.networking.apple
    • login.microsoftonline.com(*)
    • login.microsoft.com(*)
    • sts.windows.net(*)
    • login.partner.microsoftonline.cn(*) (**)
    • login.chinacloudapi.cn(*) (**)
    • login.microsoftonline.us(*) (**)
    • login-us.microsoftonline.com(*) (**)
    • config.edge.skype.com(***)

    (*) A Microsoft-tartományok engedélyezése csak a 2022 előtt kiadott operációsrendszer-verziók esetén szükséges. A legújabb operációsrendszer-verziókban az Apple teljes mértékben a CDN-re támaszkodik.

    (**) Csak akkor kell engedélyeznie a független felhőtartományokat, ha a környezetében lévőkre támaszkodik.

    (***) A Kísérletezési konfigurációs szolgáltatással (ECS) folytatott kommunikáció fenntartása biztosítja, hogy a Microsoft időben reagáljon egy súlyos hibára.

    A Microsoft Enterprise SSO beépülő modul az Apple nagyvállalati SSO-keretrendszerére támaszkodik. Az Apple nagyvállalati SSO-keretrendszere biztosítja, hogy csak egy jóváhagyott SSO-beépülő modul működjön az egyes identitásszolgáltatóknál egy társított tartományoknak nevezett technológia használatával. Az SSO beépülő modul identitásának ellenőrzéséhez minden Apple-eszköz hálózati kérést küld az identitásszolgáltató tulajdonában lévő végpontnak, és felolvassa a jóváhagyott egyszeri bejelentkezés beépülő modulokkal kapcsolatos információkat. Amellett, hogy közvetlenül az identitásszolgáltatóhoz fordul, az Apple egy másik gyorsítótárazást is implementált ehhez az információhoz.

    Figyelmeztetés

    Ha a szervezet olyan proxykiszolgálókat használ, amelyek ssl-forgalmat észlelnek olyan helyzetekben, mint az adatveszteség-megelőzés vagy a bérlői korlátozások, győződjön meg arról, hogy az ezen URL-címek felé irányuló forgalom ki van zárva a TLS törés- és vizsgálatából. Ezeknek az URL-címeknek a kizárása interferenciát okoz az ügyféltanúsítvány-hitelesítésben, problémákat okoz az eszközregisztrációval és az eszközalapú feltételes hozzáféréssel kapcsolatban. Az egyszeri bejelentkezés beépülő modul nem működik megbízhatóan anélkül, hogy teljesen kizárja az Apple CDN-tartományokat a lehallgatásból, és időszakos problémákat fog tapasztalni, amíg ezt meg nem teszi.

    Ha a szervezet letiltja ezeket az URL-címeket, a felhasználók olyan hibákat láthatnak, mint az 1012 NSURLErrorDomain error, 1000 com.apple.AuthenticationServices.AuthorizationError vagy 1001 Unexpected.

    Az egyéb, esetleg engedélyezni kívánt Apple URL-címeket a támogatási cikkben, az Apple-termékek nagyvállalati hálózatokon való használata című cikkben dokumentáljuk.

iOS-követelmények

  • Az iOS 13.0-s vagy újabb verzióját telepíteni kell az eszközön.
  • Az eszközön telepíteni kell egy Microsoft-alkalmazást, amely a Microsoft Enterprise SSO beépülő modult biztosítja az Apple-eszközökhöz. Ez az alkalmazás a Microsoft Authenticator alkalmazás.

macOS-követelmények

  • a macOS 10.15-ös vagy újabb verzióját telepíteni kell az eszközön.
  • Az eszközön telepíteni kell egy Microsoft-alkalmazást, amely a Microsoft Enterprise SSO beépülő modult biztosítja az Apple-eszközökhöz. Ez az alkalmazás az Intune Céges portál alkalmazás.

Az SSO beépülő modul engedélyezése

Az SSO beépülő modul MDM használatával történő engedélyezéséhez használja az alábbi információkat.

Microsoft Intune-konfiguráció

Ha MDM-szolgáltatásként a Microsoft Intune-t használja, a beépített konfigurációs profilbeállítások segítségével engedélyezheti a Microsoft Enterprise SSO beépülő modult:

  1. Konfigurálja egy konfigurációs profil SSO-alkalmazás beépülő modulbeállításait.
  2. Ha a profil még nincs hozzárendelve, rendelje hozzá a profilt egy felhasználóhoz vagy eszközcsoporthoz.

Az SSO beépülő modult engedélyező profilbeállításokat a rendszer automatikusan alkalmazza a csoport eszközeire, amikor minden eszköz legközelebb bejelentkezik az Intune-ban.

Manuális konfiguráció más MDM-szolgáltatásokhoz

Ha nem használja az Intune-t az MDM-hez, konfigurálhat egy bővíthető Egyszeri bejelentkezés profil hasznos adatait az Apple-eszközökhöz. Az alábbi paraméterekkel konfigurálhatja a Microsoft Enterprise SSO beépülő modult és annak konfigurációs beállításait.

iOS-beállítások:

  • Bővítmény azonosítója: com.microsoft.azureauthenticator.ssoextension
  • Csapatazonosító: Ez a mező nem szükséges az iOS-hez.

macOS-beállítások:

  • Bővítmény azonosítója: com.microsoft.CompanyPortalMac.ssoextension
  • Csapatazonosító: UBF8T346G9

Gyakori beállítások:

  • Típus: Átirányítás
    • https://login.microsoftonline.com
    • https://login.microsoft.com
    • https://sts.windows.net
    • https://login.partner.microsoftonline.cn
    • https://login.chinacloudapi.cn
    • https://login.microsoftonline.us
    • https://login-us.microsoftonline.com

Üzembe helyezési útmutatók

Az alábbi telepítési útmutatók segítségével engedélyezheti a Microsoft Enterprise SSO beépülő modult a választott MDM-megoldással:

Intune:

Jamf Pro:

Egyéb MDM:

További konfigurációs beállítások

További konfigurációs beállításokat is hozzáadhat az egyszeri bejelentkezés funkcióinak más alkalmazásokra való kiterjesztéséhez.

Egyszeri bejelentkezés engedélyezése olyan alkalmazásokhoz, amelyek nem használnak MSAL-t

Az SSO beépülő modul lehetővé teszi, hogy bármely alkalmazás részt vegyen az egyszeri bejelentkezésben, még akkor is, ha nem a Microsoft SDK-val, például a Microsoft Authentication Library (MSAL) használatával fejlesztették ki.

Az SSO beépülő modult az alábbi eszközök automatikusan telepítik:

  • Letöltötte az Authenticator alkalmazást iOS-en vagy iPadOS-en, vagy letöltötte a Intune Céges portál alkalmazást macOS rendszeren.
  • Az MDM regisztrálta az eszközét a szervezeténél.

A szervezet valószínűleg az Authenticator alkalmazást használja olyan helyzetekben, mint a többtényezős hitelesítés, a jelszó nélküli hitelesítés és a feltételes hozzáférés. MDM-szolgáltató használatával bekapcsolhatja az SSO beépülő modult az alkalmazásokhoz. A Microsoft megkönnyíti a beépülő modul konfigurálását a Microsoft Intune használatával. Egy engedélyezési lista használatával konfigurálhatja ezeket az alkalmazásokat az SSO beépülő modul használatára.

Fontos

A Microsoft Enterprise SSO beépülő modul csak a natív Apple hálózati technológiákat vagy webnézeteket használó alkalmazásokat támogatja. Nem támogatja a saját hálózati réteg implementációját szállító alkalmazásokat.

Az alábbi paraméterekkel konfigurálhatja a Microsoft Enterprise SSO beépülő modult az MSAL-t nem használó alkalmazásokhoz.

Fontos

Ehhez az engedélyezési listához nem kell microsoftos hitelesítési kódtárat használó alkalmazásokat hozzáadnia. Ezek az alkalmazások alapértelmezés szerint részt vesznek az egyszeri bejelentkezésben. A Microsoft által készített alkalmazások többsége microsoftos hitelesítési kódtárat használ.

Egyszeri bejelentkezés engedélyezése az összes felügyelt alkalmazáshoz

  • Kulcs: Enable_SSO_On_All_ManagedApps
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.

Ha ez a jelző be van kapcsolva (az értéke a következőre 1van állítva), az összes MDM által felügyelt alkalmazás részt vehet az AppBlockList egyszeri bejelentkezésben.

Egyszeri bejelentkezés engedélyezése adott alkalmazásokhoz

  • Kulcs: AppAllowList
  • Típus: String
  • Érték: Az egyszeri bejelentkezésben részt vevő alkalmazások alkalmazáscsomag-azonosítóinak vesszőkkel tagolt listája.
  • Példa: com.contoso.workapp, com.contoso.travelapp

Feljegyzés

A Safari és a Safari View Service alapértelmezés szerint részt vehet az egyszeri bejelentkezésben. Úgy konfigurálható , hogy ne vegyen részt az egyszeri bejelentkezésben, ha hozzáadja a Safari és a Safari View Service csomagazonosítóit az AppBlockListben. iOS-csomagazonosítók : [com.apple.mobilesafari, com.apple.SafariViewService] macOS BundleID: [com.apple.Safari]

Egyszeri bejelentkezés engedélyezése minden adott csomagazonosító-előtaggal rendelkező alkalmazáshoz

  • Kulcs: AppPrefixAllowList
  • Típus: String
  • Érték: Az egyszeri bejelentkezésben részt vevő alkalmazások alkalmazáscsomag-azonosító előtagjainak vessző által tagolt listája. Ez a paraméter lehetővé teszi, hogy az adott előtaggal kezdődő alkalmazások részt vehessenek az egyszeri bejelentkezésben. iOS esetén az alapértelmezett érték lesz beállítva com.apple. , és ez minden Apple-alkalmazás esetében engedélyezi az egyszeri bejelentkezést. MacOS esetén az alapértelmezett érték lesz beállítva com.apple. , és ez az összes Apple- és com.microsoft. Microsoft-alkalmazás esetében engedélyezi az egyszeri bejelentkezést. Rendszergazda felülbírálhatják az alapértelmezett értéket, vagy alkalmazásokat adhatnak hozzá, hogy AppBlockList megakadályozzák az egyszeri bejelentkezésben való részvételt.
  • Példa: com.contoso., com.fabrikam.

Egyszeri bejelentkezés letiltása adott alkalmazásokhoz

  • Kulcs: AppBlockList
  • Típus: String
  • Érték: Az egyszeri bejelentkezésben nem részt vevő alkalmazások alkalmazáscsomag-azonosítóinak vesszőkkel tagolt listája.
  • Példa: com.contoso.studyapp, com.contoso.travelapp

Ha le szeretné tiltani az egyszeri bejelentkezést a Safari vagy a Safari View Service szolgáltatáshoz, kifejezetten meg kell tennie, ha hozzáadja a csomagazonosítókat a AppBlockListkövetkezőhöz:

  • iOS: com.apple.mobilesafari, com.apple.SafariViewService
  • Macos: com.apple.Safari

Egyszeri bejelentkezés engedélyezése cookie-kon keresztül egy adott alkalmazáshoz

Egyes speciális hálózati beállításokkal rendelkező iOS-alkalmazások váratlan problémákat tapasztalhatnak, ha engedélyezve vannak az egyszeri bejelentkezéshez. Előfordulhat például, hogy hibaüzenet jelenik meg, amely azt jelzi, hogy egy hálózati kérés megszakadt vagy megszakadt.

Ha a felhasználók akkor is problémát tapasztalnak az alkalmazásba való bejelentkezéskor, ha ön engedélyezte azt a többi beállítással, próbálja meg hozzáadni az alkalmazáshoz a AppCookieSSOAllowList problémák megoldásához.

  • Kulcs: AppCookieSSOAllowList
  • Típus: String
  • Érték: Az egyszeri bejelentkezésben részt vevő alkalmazások alkalmazáscsomag-azonosító előtagjainak vessző által tagolt listája. A felsorolt előtagokkal kezdődő összes alkalmazás részt vehet az egyszeri bejelentkezésben.
  • Példa: com.contoso.myapp1, com.fabrikam.myapp2

Egyéb követelmények: Az egyszeri bejelentkezés alkalmazásokhoz való engedélyezéséhez AppCookieSSOAllowLista csomagazonosító előtagokat AppPrefixAllowListis hozzá kell adni.

Ezt a konfigurációt csak olyan alkalmazások esetében próbálja ki, amelyek nem várt bejelentkezési hibákat észleltek. Ez a kulcs csak iOS-alkalmazásokhoz használható, macOS-alkalmazásokhoz nem.

Kulcsok összegzése

Kulcs Típus Érték
Enable_SSO_On_All_ManagedApps Egész 1 az összes felügyelt alkalmazás egyszeri bejelentkezésének engedélyezéséhez, 0 az összes felügyelt alkalmazás egyszeri bejelentkezésének letiltásához.
AppAllowList Sztring
(vesszőből tagolt lista)		 Az egyszeri bejelentkezésben való részvételre jogosult alkalmazások kötegazonosítói.
AppBlockList Sztring
(vesszőből tagolt lista)		 Olyan alkalmazások kötegazonosítói, amelyek nem vehetnek részt az egyszeri bejelentkezésben.
AppPrefixAllowList Sztring
(vesszőből tagolt lista)		 Az egyszeri bejelentkezésben való részvételre jogosult alkalmazások csomagazonosító-előtagja. iOS esetén az alapértelmezett érték lesz beállítva com.apple. , és ez minden Apple-alkalmazás esetében engedélyezi az egyszeri bejelentkezést. MacOS esetén az alapértelmezett érték lesz beállítva com.apple. , és ez az összes Apple- és com.microsoft. Microsoft-alkalmazás esetében engedélyezi az egyszeri bejelentkezést. A fejlesztők, ügyfelek vagy Rendszergazda felülbírálhatják az alapértelmezett értéket, vagy alkalmazásokat adhatnak hozzá, hogy AppBlockList megakadályozzák az egyszeri bejelentkezésben való részvételt.
AppCookieSSOAllowList Sztring
(vesszőből tagolt lista)		 Az egyszeri bejelentkezésben részt vevő alkalmazások csomagazonosító-előtagja, de speciális hálózati beállításokat használnak, és az egyszeri bejelentkezéssel kapcsolatos problémákat tapasztalnak a többi beállítás használatával. A hozzáadott AppCookieSSOAllowList alkalmazásokat is hozzá kell adni a fájlhoz AppPrefixAllowList. Vegye figyelembe, hogy ez a kulcs csak iOS-alkalmazásokhoz használható, macOS-alkalmazásokhoz nem.

gyakori forgatókönyvek Gépház

  • Forgatókönyv: Szeretném engedélyezni az egyszeri bejelentkezést a legtöbb felügyelt alkalmazáshoz, de nem mindegyikhez.

    Kulcs Érték
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList Azon alkalmazások kötegazonosítói (vesszőkkel tagolt listája), amelyeket meg szeretne akadályozni az egyszeri bejelentkezésben való részvételben.

  • A Safari SSO-t szeretnék letiltani, amely alapértelmezés szerint engedélyezve van, de minden felügyelt alkalmazás esetében engedélyezni szeretném az egyszeri bejelentkezést.

    Kulcs Érték
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList Azon Safari-alkalmazások csomagazonosítói (vesszőkkel tagolt listája), amelyeket meg szeretne akadályozni az egyszeri bejelentkezésben való részvételben.
    • iOS esetén: com.apple.mobilesafari, com.apple.SafariViewService
    • MacOS esetén: com.apple.Safari

  • Forgatókönyv: Szeretném engedélyezni az egyszeri bejelentkezést az összes felügyelt és néhány nem felügyelt alkalmazásban, de letiltom az egyszeri bejelentkezést néhány más alkalmazás esetében.

    Kulcs Érték
    Enable_SSO_On_All_ManagedApps 1
    AppAllowList Az egyszeri bejelentkezésben való részvételhez engedélyezni kívánt alkalmazások kötegazonosítói (vesszőkkel tagolt listája).
    AppBlockList Azon alkalmazások kötegazonosítói (vesszőkkel tagolt listája), amelyeket meg szeretne akadályozni az egyszeri bejelentkezésben való részvételben.
Alkalmazáscsomag-azonosítók keresése iOS-eszközökön

Az Apple nem biztosít egyszerű módot a csomagazonosítók beszerzésére az App Store-ból. Az egyszeri bejelentkezéshez használni kívánt alkalmazások csomagazonosítóinak beszerzésének legegyszerűbb módja, ha megkérdezi a szállítót vagy az alkalmazás fejlesztőjét. Ha ez a lehetőség nem érhető el, az MDM-konfigurációval megkeresheti a csomagazonosítókat:

  1. Ideiglenesen engedélyezze a következő jelzőt az MDM-konfigurációban:

    • Kulcs: admin_debug_mode_enabled
    • Típus: Integer
    • Érték: 1 vagy 0

  2. Ha ez a jelző be van kapcsolva, jelentkezzen be az iOS-alkalmazásokba azon az eszközön, amelyhez tudni szeretné a csomagazonosítót.

  3. Az Authenticator alkalmazásban válassza a Naplók küldése – Naplók> megtekintése lehetőséget.>

  4. A naplófájlban keresse meg a következő sort: [ADMIN MODE] SSO extension has captured following app bundle identifiers. Ennek a sornak rögzítenie kell az SSO-bővítmény számára látható összes alkalmazáscsomag-azonosítót.

A csomagazonosítókkal konfigurálhatja az SSO-t az alkalmazásokhoz. Ha végzett, tiltsa le a rendszergazdai módot.

Az MSAL-t és a Safari böngészőt nem használó alkalmazásokból való bejelentkezés engedélyezése a felhasználóknak

Alapértelmezés szerint a Microsoft Enterprise SSO beépülő modul egy megosztott hitelesítő adatot szerez be, amikor egy másik alkalmazás hívja meg, amely MSAL-t használ egy új jogkivonat-beszerzés során. A konfigurációtól függően a Microsoft Enterprise SSO beépülő modul megosztott hitelesítő adatokat is beszerezhet, ha az MSAL-t nem használó alkalmazások hívják meg.

A jelző engedélyezésekor az browser_sso_interaction_enabled MSAL-t nem használó alkalmazások elvégezhetik a kezdeti rendszerindítást, és megkaphatják a megosztott hitelesítő adatokat. A Safari böngésző a kezdeti rendszerindítást is elvégezheti, és lekérheti a megosztott hitelesítő adatokat.

Ha a Microsoft Enterprise SSO beépülő modul még nem rendelkezik megosztott hitelesítő adatok használatával, akkor minden alkalommal megpróbál bekérni egyet, amikor bejelentkezést kér egy Microsoft Entra URL-címről a Safari böngészőben, az ASWebAuthenticationSession, a SafariViewController vagy egy másik engedélyezett natív alkalmazásból.

A jelző engedélyezéséhez használja az alábbi paramétereket:

  • Kulcs: browser_sso_interaction_enabled
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 1.

Az iOS és a macOS egyaránt megköveteli ezt a beállítást, hogy a Microsoft Enterprise SSO beépülő modul konzisztens élményt biztosítson az összes alkalmazás számára. Ez a beállítás alapértelmezés szerint engedélyezve van, és csak akkor tiltható le, ha a végfelhasználó nem tud bejelentkezni a hitelesítő adataival.

OAuth 2 alkalmazáskérések letiltása

Ha egy alkalmazás arra kéri a felhasználókat, hogy jelentkezzenek be, annak ellenére, hogy a Microsoft Enterprise SSO beépülő modul más alkalmazásokhoz is működik az eszközön, előfordulhat, hogy az alkalmazás megkerüli az egyszeri bejelentkezést a protokollrétegen. A megosztott hitelesítő adatokat az ilyen alkalmazások is figyelmen kívül hagyják, mert a beépülő modul egyszeri bejelentkezést biztosít a hitelesítő adatoknak az engedélyezett alkalmazások által küldött hálózati kérelmekhez való hozzáfűzésével.

Ezek a paraméterek határozzák meg, hogy az SSO-bővítmény megakadályozza-e, hogy a natív és webes alkalmazások megkerüljék az egyszeri bejelentkezést a protokollrétegen, és kényszerítsék a bejelentkezési kérés megjelenítését a felhasználóra.

Az eszközön található összes alkalmazás egységes egyszeri bejelentkezéshez javasoljuk, hogy engedélyezze az egyik beállítást az MSAL-t nem használó alkalmazásokhoz. Ezt csak akkor engedélyezze az MSAL-t használó alkalmazások esetében, ha a felhasználók váratlan kéréseket tapasztalnak.

Olyan alkalmazások, amelyek nem használnak Microsoft Hitelesítési kódtárat:

Tiltsa le az alkalmazáskérést, és jelenítse meg a fiókválasztót:

  • Kulcs: disable_explicit_app_prompt
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 1 értékre van állítva, és ez az alapértelmezett beállítás csökkenti a kéréseket.

Tiltsa le az alkalmazáskérést, és válasszon ki egy fiókot az egyező SSO-fiókok listájából:

  • Kulcs: disable_explicit_app_prompt_and_autologin
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.
Microsoft Authentication Library-t használó alkalmazások:

A következő beállítások nem ajánlottak, ha Alkalmazásvédelem szabályzatok vannak használatban.

Tiltsa le az alkalmazáskérést, és jelenítse meg a fiókválasztót:

  • Kulcs: disable_explicit_native_app_prompt
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.

Tiltsa le az alkalmazáskérést, és válasszon ki egy fiókot az egyező SSO-fiókok listájából:

  • Kulcs: disable_explicit_native_app_prompt_and_autologin
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.

Váratlan SAML-alkalmazáskérések

Ha egy alkalmazás arra kéri a felhasználókat, hogy jelentkezzenek be, annak ellenére, hogy a Microsoft Enterprise SSO beépülő modul más alkalmazásokhoz is működik az eszközön, előfordulhat, hogy az alkalmazás megkerüli az egyszeri bejelentkezést a protokollrétegen. Ha az alkalmazás az SAML protokollt használja, a Microsoft Enterprise SSO beépülő modul nem tudja biztosítani az egyszeri bejelentkezést az alkalmazásnak. Az alkalmazás gyártójának értesítést kell kapnia erről a viselkedésről, és módosítania kell az alkalmazását, hogy ne kerülhesse meg az egyszeri bejelentkezést.

IOS-élmény módosítása MSAL-kompatibilis alkalmazásokhoz

Az MSAL-t használó alkalmazások mindig natív módon fogják meghívni az SSO-bővítményt az interaktív kérelmekhez. Egyes iOS-eszközökön ez nem feltétlenül kívánatos. Pontosabban, ha a felhasználónak a Microsoft Authenticator alkalmazásban is el kell végeznie a többtényezős hitelesítést, az alkalmazásra való interaktív átirányítás jobb felhasználói élményt biztosíthat.

Ez a viselkedés a jelölő használatával disable_inapp_sso_signin konfigurálható. Ha ez a jelző engedélyezve van, az MSAL-t használó alkalmazások az összes interaktív kéréshez átirányítják a Microsoft Authenticator alkalmazást. Ez a jelző nem befolyásolja az alkalmazások csendes jogkivonat-kéréseit, az MSAL-t vagy macOS-alkalmazásokat nem használó alkalmazások viselkedését. Ez a jelző alapértelmezés szerint le van tiltva.

  • Kulcs: disable_inapp_sso_signin
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.

A Microsoft Entra eszközregisztráció konfigurálása

Az Intune által felügyelt eszközök esetében a Microsoft Enterprise SSO beépülő modul a Microsoft Entra eszközregisztrációját hajthatja végre, amikor egy felhasználó megpróbál hozzáférni az erőforrásokhoz. Ez egyszerűbb végfelhasználói élményt tesz lehetővé.

Az alábbi konfigurációval engedélyezheti a Just in Time regisztrációt iOS/iPadOS rendszeren a Microsoft Intune-nal:

  • Kulcs: device_registration
  • Típus: String
  • Érték: {{DEVICEREGISTRATION}}

A Just in Time regisztrációról itt olvashat bővebben.

Feltételes hozzáférési szabályzatok és jelszómódosítások

Az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul kompatibilis a Microsoft Entra feltételes hozzáférési szabályzataival és jelszóváltoztatási eseményeivel. browser_sso_interaction_enabled a kompatibilitás eléréséhez engedélyezni kell.

A kompatibilis eseményeket és szabályzatokat a következő szakaszokban dokumentáljuk:

Jelszó módosítása és jogkivonat visszavonása

Amikor egy felhasználó visszaállítja a jelszavát, a rendszer visszavonja az előtte kiadott összes jogkivonatot. Ha egy felhasználó jelszó-visszaállítási esemény után próbál hozzáférni egy erőforráshoz, a felhasználónak általában újra be kell jelentkeznie az egyes alkalmazásokba. Ha engedélyezve van a Microsoft Enterprise SSO beépülő modul, a rendszer felkéri a felhasználót, hogy jelentkezzen be az SSO-ban részt vevő első alkalmazásba. A Microsoft Enterprise SSO beépülő modul a saját felhasználói felületét jeleníti meg az aktuálisan aktív alkalmazáson felül.

Microsoft Entra többtényezős hitelesítés

A többtényezős hitelesítés olyan folyamat, amelyben a felhasználók a bejelentkezési folyamat során további azonosítási formát kérnek, például egy kódot a mobiltelefonjukon, vagy ujjlenyomat-vizsgálatot. A többtényezős hitelesítés adott erőforrásokhoz engedélyezhető. Ha a Microsoft Enterprise SSO beépülő modul engedélyezve van, a rendszer arra kéri a felhasználót, hogy végezzen többtényezős hitelesítést az első olyan alkalmazásban, amely megköveteli. A Microsoft Enterprise SSO beépülő modul a saját felhasználói felületét jeleníti meg az aktuálisan aktív alkalmazáson felül.

Felhasználói bejelentkezés gyakorisága

A bejelentkezési gyakoriság azt az időtartamot határozza meg, amíg a rendszer egy felhasználónak újra be kell jelentkeznie egy erőforrás elérésekor. Ha egy felhasználó az idő leteltét követően próbál hozzáférni egy erőforráshoz különböző alkalmazásokban, a felhasználónak általában újra be kell jelentkeznie az egyes alkalmazásokba. Ha engedélyezve van a Microsoft Enterprise SSO beépülő modul, a rendszer felkéri a felhasználót, hogy jelentkezzen be az SSO-ban részt vevő első alkalmazásba. A Microsoft Enterprise SSO beépülő modul a saját felhasználói felületét jeleníti meg az aktuálisan aktív alkalmazáson felül.

Az Intune használata az egyszerűsített konfigurációhoz

Az Intune-t MDM-szolgáltatásként használhatja a Microsoft Enterprise SSO beépülő modul konfigurálásának megkönnyítéséhez. Az Intune használatával például engedélyezheti a beépülő modult, és hozzáadhat régi alkalmazásokat egy engedélyezési listához, hogy SSO-t kaphassanak.

További információ: A Microsoft Enterprise SSO beépülő modul üzembe helyezése Apple-eszközökhöz az Intune használatával.

Az SSO beépülő modul használata az alkalmazásban

Az Apple-eszközökhöz készült MSAL 1.1.0-s és újabb verziói támogatják a Microsoft Enterprise SSO beépülő modult Apple-eszközökhöz. Ez az ajánlott módja annak, hogy támogatást adjon a Microsoft Enterprise SSO beépülő modulhoz. Ez biztosítja a Microsoft Identitásplatform teljes képességeit.

Ha az előtérbeli feldolgozói forgatókönyvekhez készít alkalmazást, a beállítási információkért tekintse meg az iOS-eszközök megosztott eszközmódját.

Az egyszeri bejelentkezés beépülő modul működésének ismertetése

A Microsoft Enterprise SSO beépülő modul az Apple Enterprise SSO-keretrendszerre támaszkodik. A keretrendszerhez csatlakozó identitásszolgáltatók elfoghatják a tartományaik hálózati forgalmát, és javíthatják vagy módosíthatják a kérések kezelését. Az egyszeri bejelentkezés beépülő modul például több felhasználói felületet jeleníthet meg a végfelhasználói hitelesítő adatok biztonságos gyűjtéséhez, az MFA megköveteléséhez vagy az alkalmazás jogkivonatainak csendes biztosításához.

A natív alkalmazások egyéni műveleteket is implementálhatnak, és közvetlenül kommunikálhatnak az SSO beépülő modullal. További információkért tekintse meg az Apple 2019-ben készült World Developer Conference videóját.

Tipp.

További információ az egyszeri bejelentkezés beépülő modul működéséről és a Microsoft Enterprise SSO-bővítmény hibaelhárításáról az Apple-eszközök egyszeri bejelentkezéssel kapcsolatos hibaelhárítási útmutatójával.

MSAL-t használó alkalmazások

Az Apple-eszközökhöz készült MSAL 1.1.0-s és újabb verziói támogatják a Microsoft Enterprise SSO beépülő modult az Apple-eszközökhöz natív módon munkahelyi és iskolai fiókokhoz.

Nincs szükség speciális konfigurációra, ha követte az összes javasolt lépést , és az alapértelmezett átirányítási URI-formátumot használta. Az SSO beépülő modult használó eszközökön az MSAL automatikusan meghívja az összes interaktív és csendes jogkivonat-kéréshez. Emellett meghívja a fiókbeszámítási és a fiókeltávolítási műveletekhez is. Mivel az MSAL egy egyéni műveletekre támaszkodó natív SSO beépülő protokollt implementál, ez a beállítás biztosítja a leggördülékenyebb natív élményt a végfelhasználó számára.

iOS- és iPadOS-eszközökön, ha az SSO beépülő modult nem engedélyezi az MDM, de a Microsoft Authenticator alkalmazás megtalálható az eszközön, az MSAL ehelyett az Authenticator alkalmazást használja az interaktív jogkivonat-kérelmekhez. A Microsoft Enterprise SSO beépülő modul megosztja az egyszeri bejelentkezést az Authenticator alkalmazással.

Nem MSAL-t használó alkalmazások

Az MSAL-t nem használó alkalmazások továbbra is megkaphatják az egyszeri bejelentkezést, ha egy rendszergazda hozzáadja ezeket az alkalmazásokat az engedélyezési listához.

Nem kell módosítania a kódot ezekben az alkalmazásokban, amíg az alábbi feltételek teljesülnek:

  • Az alkalmazás Apple-keretrendszereket használ a hálózati kérések futtatásához. Ilyen keretrendszer például a WKWebView és az NSURLSession.
  • Az alkalmazás szabványos protokollokat használ a Microsoft Entra-azonosítóval való kommunikációhoz. Ilyen protokoll például az OAuth 2, az SAML és a WS-Federation.
  • Az alkalmazás nem gyűjt egyszerű szöveges felhasználóneveket és jelszavakat a natív felhasználói felületen.

Ebben az esetben az egyszeri bejelentkezés akkor érhető el, ha az alkalmazás létrehoz egy hálózati kérést, és megnyit egy webböngészőt a felhasználó bejelentkezéséhez. Amikor a rendszer átirányít egy felhasználót egy Microsoft Entra bejelentkezési URL-címre, az egyszeri bejelentkezés beépülő modul ellenőrzi az URL-címet, és ellenőrzi az adott URL-címhez tartozó SSO-hitelesítő adatokat. Ha megtalálta a hitelesítő adatokat, az SSO beépülő modul átadja azt a Microsoft Entra-azonosítónak, amely engedélyezi az alkalmazásnak a hálózati kérés teljesítését anélkül, hogy a felhasználótól hitelesítő adatokat kérne. Ezenkívül ha az eszköz ismert a Microsoft Entra-azonosítóban, az egyszeri bejelentkezés beépülő modul átadja az eszköztanúsítványt az eszközalapú feltételes hozzáférés ellenőrzésének teljesítéséhez.

A nem MSAL-alkalmazások egyszeri bejelentkezésének támogatása érdekében az egyszeri bejelentkezés beépülő modul a Windows böngésző beépülő modulhoz hasonló protokollt implementál, amely a Mi az elsődleges frissítési jogkivonat? című cikkben leírtakhoz hasonló.

Az MSAL-alapú alkalmazásokhoz képest az SSO beépülő modul transzparensebben működik a nem MSAL-alkalmazások esetében. Integrálható az alkalmazások által biztosított meglévő böngészőbeli bejelentkezési felülettel.

A végfelhasználó látja a megszokott felületet, és nem kell újra bejelentkeznie az egyes alkalmazásokba. A natív fiókválasztó helyett például az SSO beépülő modul SSO-munkameneteket ad hozzá a webes fiókválasztó felülethez.

Az eszközidentitáskulcs-tároló közelgő változásai

2024 márciusában bejelentették, hogy a Microsoft Entra ID távolodik az Apple kulcskarikától az eszköz identitáskulcsainak tárolásához. 2026 harmadik negyedévétől kezdve minden új eszközregisztráció alapértelmezés szerint az Apple Secure Enklávéját használja.

Azoknak az alkalmazásoknak és MDM-integrációknak, amelyek függenek a munkahelyi csatlakozás kulcsainak kulcsláncon keresztüli eléréséről, el kell kezdeniük az MSAL és a Vállalati egyszeri bejelentkezés beépülő modul használatát a Microsoft Identitásplatform való kompatibilitás biztosításához.

Eszközidentitási kulcsok biztonságos enklávéalapú tárolásának engedélyezése

Ha engedélyezni szeretné az eszközidentitás-kulcsok biztonságos enklávéalapú tárolását, mielőtt az alapértelmezetté válik, az alábbi Bővítményadatok attribútumot hozzáadhatja az Apple-eszközök MDM-konfigurációs profiljához.

Feljegyzés

Ahhoz, hogy ez a jelző érvénybe lépjen, új regisztrációra kell alkalmazni. Ez csak akkor lesz hatással a már regisztrált eszközökre, ha újra regisztrálják őket.

  • Kulcs: use_most_secure_storage
  • Típus: Boolean
  • Érték: Igaz

Az alábbi képernyőképen látható a Microsoft Intune-ban a Biztonságos enklávé engedélyezésének konfigurációs oldala és beállításai.

Képernyőkép a Microsoft Entra felügyeleti központról, amelyen az Intune-ban található konfigurációs profillap látható, amelyen a Biztonságos enklávé engedélyezésének beállításai kiemelve láthatók.

Érintett forgatókönyvek

Az alábbi lista néhány olyan gyakori forgatókönyvet tartalmaz, amelyeket érintenek ezek a változások. Ökölszabályként minden olyan alkalmazásra hatással lesz, amely függ az eszközidentitás-összetevők apple-kulcskarikán keresztüli eléréséhez.

Ez nem teljes lista, és azt tanácsoljuk a felhasználóknak és az alkalmazások gyártóinak is, hogy teszteljék szoftvereiket az új adattárral való kompatibilitás érdekében.

Regisztrált/regisztrált eszköz feltételes hozzáférési szabályzatának támogatása a Chrome-ban

Ha engedélyezni szeretné az eszköz feltételes hozzáférési szabályzatát a Google Chrome-ban a Secure Enclave-alapú tárolás engedélyezésével, telepítenie kell és engedélyeznie kell a Microsoft Egyszeri bejelentkezés bővítményt.

Lásd még

Tudnivalók az iOS-eszközök megosztott eszközmódjáról.

További információ a Microsoft Enterprise SSO-bővítmény hibaelhárításáról.