Microsoft Enterprise egyszeri bejelentkezéses beépülő modul Apple-eszközökhöz
Az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul egyszeri bejelentkezést (SSO) biztosít a MacOS, iOS és iPadOS rendszerű Microsoft Entra-fiókokhoz minden olyan alkalmazáshoz, amely támogatja az Apple nagyvállalati egyszeri bejelentkezési funkcióját. A beépülő modul SSO-t biztosít még olyan régi alkalmazásokhoz is, amelyektől a vállalat függhet, de amelyek még nem támogatják a legújabb identitástárakat vagy protokollokat. A Microsoft szorosan együttműködve dolgozott az Apple-lel ennek a beépülő modulnak a fejlesztésén, hogy növelje az alkalmazás használhatóságát, miközben a lehető legjobb védelmet nyújtja.
A Vállalati egyszeri bejelentkezés beépülő modul jelenleg az alábbi alkalmazások beépített funkciója:
- Microsoft Authenticator: iOS, iPadOS
- Microsoft Intune Céges portál: macOS
Funkciók
Az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul a következő előnyöket kínálja:
- SSO-t biztosít a Microsoft Entra-fiókokhoz minden olyan alkalmazáshoz, amely támogatja az Apple Enterprise SSO funkciót.
- Bármilyen mobileszköz-kezelési (MDM-) megoldással engedélyezhető, és az eszköz- és a felhasználóregisztráció is támogatja.
- Kiterjeszti az egyszeri bejelentkezést azokra az alkalmazásokra, amelyek még nem használják a Microsoft Authentication Libraryt (MSAL).
- Kiterjeszti az egyszeri bejelentkezést az OAuth 2, az OpenID Csatlakozás és az SAML-t használó alkalmazásokra.
- Natív módon integrálva van az MSAL-jal, amely zökkenőmentes natív élményt nyújt a végfelhasználónak, ha engedélyezve van a Microsoft Enterprise SSO beépülő modul.
Feljegyzés
2024 májusában a Microsoft bejelentette, hogy a macOS-eszközök platformszintű egyszeri bejelentkezése nyilvános előzetes verzióban érhető el a Microsoft Entra ID.-hoz.
További információt a macOS platform egyszeri bejelentkezésének áttekintésében (előzetes verzió) talál.
Követelmények
A Microsoft Enterprise SSO beépülő modul használata Apple-eszközökhöz:
Az eszköznek támogatnia kell és rendelkeznie kell egy telepített alkalmazással, amely rendelkezik a Microsoft Enterprise SSO beépülő modullal apple-eszközökhöz:
- iOS 13.0-s és újabb verziók: Microsoft Authenticator alkalmazás
- iPadOS 13.0 és újabb verziók: Microsoft Authenticator alkalmazás
- macOS 10.15 és újabb verziók: Intune Céges portál alkalmazás
Az eszközt regisztrálni kell az MDM-ben, például a Microsoft Intune-on keresztül.
A konfigurációt le kell küldeni az eszközre a vállalati egyszeri bejelentkezés beépülő modul engedélyezéséhez. Az Apple megköveteli ezt a biztonsági korlátozást.
Az Apple-eszközöknek lehetővé kell tenni, hogy további elfogás nélkül elérjék az identitásszolgáltatói URL-címeket és a saját URL-címeiket is. Ez azt jelenti, hogy ezeket az URL-címeket ki kell zárni a hálózati proxykból, az elfogásból és más vállalati rendszerekből.
Íme az SSO beépülő modul működéséhez engedélyezni kívánt URL-címek minimális készlete:
app-site-association.cdn-apple.com
app-site-association.networking.apple
login.microsoftonline.com
(*)login.microsoft.com
(*)sts.windows.net
(*)login.partner.microsoftonline.cn
(*) (**)login.chinacloudapi.cn
(*) (**)login.microsoftonline.us
(*) (**)login-us.microsoftonline.com
(*) (**)config.edge.skype.com
(***)
(*) A Microsoft-tartományok engedélyezése csak a 2022 előtt kiadott operációsrendszer-verziók esetén szükséges. A legújabb operációsrendszer-verziókban az Apple teljes mértékben a CDN-re támaszkodik.
(**) Csak akkor kell engedélyeznie a független felhőtartományokat, ha a környezetében lévőkre támaszkodik.
(***) A Kísérletezési konfigurációs szolgáltatással (ECS) folytatott kommunikáció fenntartása biztosítja, hogy a Microsoft időben reagáljon egy súlyos hibára.
A Microsoft Enterprise SSO beépülő modul az Apple nagyvállalati SSO-keretrendszerére támaszkodik. Az Apple nagyvállalati SSO-keretrendszere biztosítja, hogy csak egy jóváhagyott SSO-beépülő modul működjön az egyes identitásszolgáltatóknál egy társított tartományoknak nevezett technológia használatával. Az SSO beépülő modul identitásának ellenőrzéséhez minden Apple-eszköz hálózati kérést küld az identitásszolgáltató tulajdonában lévő végpontnak, és felolvassa a jóváhagyott egyszeri bejelentkezés beépülő modulokkal kapcsolatos információkat. Amellett, hogy közvetlenül az identitásszolgáltatóhoz fordul, az Apple egy másik gyorsítótárazást is implementált ehhez az információhoz.
Figyelmeztetés
Ha a szervezet olyan proxykiszolgálókat használ, amelyek ssl-forgalmat észlelnek olyan helyzetekben, mint az adatveszteség-megelőzés vagy a bérlői korlátozások, győződjön meg arról, hogy az ezen URL-címek felé irányuló forgalom ki van zárva a TLS törés- és vizsgálatából. Ezeknek az URL-címeknek a kizárása interferenciát okoz az ügyféltanúsítvány-hitelesítésben, problémákat okoz az eszközregisztrációval és az eszközalapú feltételes hozzáféréssel kapcsolatban. Az egyszeri bejelentkezés beépülő modul nem működik megbízhatóan anélkül, hogy teljesen kizárja az Apple CDN-tartományokat a lehallgatásból, és időszakos problémákat fog tapasztalni, amíg ezt meg nem teszi.
Ha a szervezet letiltja ezeket az URL-címeket, a felhasználók olyan hibákat láthatnak, mint az
1012 NSURLErrorDomain error
,1000 com.apple.AuthenticationServices.AuthorizationError
vagy1001 Unexpected
.Az egyéb, esetleg engedélyezni kívánt Apple URL-címeket a támogatási cikkben, az Apple-termékek nagyvállalati hálózatokon való használata című cikkben dokumentáljuk.
iOS-követelmények
- Az iOS 13.0-s vagy újabb verzióját telepíteni kell az eszközön.
- Az eszközön telepíteni kell egy Microsoft-alkalmazást, amely a Microsoft Enterprise SSO beépülő modult biztosítja az Apple-eszközökhöz. Ez az alkalmazás a Microsoft Authenticator alkalmazás.
macOS-követelmények
- a macOS 10.15-ös vagy újabb verzióját telepíteni kell az eszközön.
- Az eszközön telepíteni kell egy Microsoft-alkalmazást, amely a Microsoft Enterprise SSO beépülő modult biztosítja az Apple-eszközökhöz. Ez az alkalmazás az Intune Céges portál alkalmazás.
Az SSO beépülő modul engedélyezése
Az SSO beépülő modul MDM használatával történő engedélyezéséhez használja az alábbi információkat.
Microsoft Intune-konfiguráció
Ha MDM-szolgáltatásként a Microsoft Intune-t használja, a beépített konfigurációs profilbeállítások segítségével engedélyezheti a Microsoft Enterprise SSO beépülő modult:
- Konfigurálja egy konfigurációs profil SSO-alkalmazás beépülő modulbeállításait.
- Ha a profil még nincs hozzárendelve, rendelje hozzá a profilt egy felhasználóhoz vagy eszközcsoporthoz.
Az SSO beépülő modult engedélyező profilbeállításokat a rendszer automatikusan alkalmazza a csoport eszközeire, amikor minden eszköz legközelebb bejelentkezik az Intune-ban.
Manuális konfiguráció más MDM-szolgáltatásokhoz
Ha nem használja az Intune-t az MDM-hez, konfigurálhat egy bővíthető Egyszeri bejelentkezés profil hasznos adatait az Apple-eszközökhöz. Az alábbi paraméterekkel konfigurálhatja a Microsoft Enterprise SSO beépülő modult és annak konfigurációs beállításait.
iOS-beállítások:
- Bővítmény azonosítója:
com.microsoft.azureauthenticator.ssoextension
- Csapatazonosító: Ez a mező nem szükséges az iOS-hez.
macOS-beállítások:
- Bővítmény azonosítója:
com.microsoft.CompanyPortalMac.ssoextension
- Csapatazonosító:
UBF8T346G9
Gyakori beállítások:
- Típus: Átirányítás
https://login.microsoftonline.com
https://login.microsoft.com
https://sts.windows.net
https://login.partner.microsoftonline.cn
https://login.chinacloudapi.cn
https://login.microsoftonline.us
https://login-us.microsoftonline.com
Üzembe helyezési útmutatók
Az alábbi telepítési útmutatók segítségével engedélyezheti a Microsoft Enterprise SSO beépülő modult a választott MDM-megoldással:
Intune:
Jamf Pro:
Egyéb MDM:
További konfigurációs beállítások
További konfigurációs beállításokat is hozzáadhat az egyszeri bejelentkezés funkcióinak más alkalmazásokra való kiterjesztéséhez.
Egyszeri bejelentkezés engedélyezése olyan alkalmazásokhoz, amelyek nem használnak MSAL-t
Az SSO beépülő modul lehetővé teszi, hogy bármely alkalmazás részt vegyen az egyszeri bejelentkezésben, még akkor is, ha nem a Microsoft SDK-val, például a Microsoft Authentication Library (MSAL) használatával fejlesztették ki.
Az SSO beépülő modult az alábbi eszközök automatikusan telepítik:
- Letöltötte az Authenticator alkalmazást iOS-en vagy iPadOS-en, vagy letöltötte a Intune Céges portál alkalmazást macOS rendszeren.
- Az MDM regisztrálta az eszközét a szervezeténél.
A szervezet valószínűleg az Authenticator alkalmazást használja olyan helyzetekben, mint a többtényezős hitelesítés, a jelszó nélküli hitelesítés és a feltételes hozzáférés. MDM-szolgáltató használatával bekapcsolhatja az SSO beépülő modult az alkalmazásokhoz. A Microsoft megkönnyíti a beépülő modul konfigurálását a Microsoft Intune használatával. Egy engedélyezési lista használatával konfigurálhatja ezeket az alkalmazásokat az SSO beépülő modul használatára.
Fontos
A Microsoft Enterprise SSO beépülő modul csak a natív Apple hálózati technológiákat vagy webnézeteket használó alkalmazásokat támogatja. Nem támogatja a saját hálózati réteg implementációját szállító alkalmazásokat.
Az alábbi paraméterekkel konfigurálhatja a Microsoft Enterprise SSO beépülő modult az MSAL-t nem használó alkalmazásokhoz.
Fontos
Ehhez az engedélyezési listához nem kell microsoftos hitelesítési kódtárat használó alkalmazásokat hozzáadnia. Ezek az alkalmazások alapértelmezés szerint részt vesznek az egyszeri bejelentkezésben. A Microsoft által készített alkalmazások többsége microsoftos hitelesítési kódtárat használ.
Egyszeri bejelentkezés engedélyezése az összes felügyelt alkalmazáshoz
- Kulcs:
Enable_SSO_On_All_ManagedApps
- Típus:
Integer
- Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.
Ha ez a jelző be van kapcsolva (az értéke a következőre 1
van állítva), az összes MDM által felügyelt alkalmazás részt vehet az AppBlockList
egyszeri bejelentkezésben.
Egyszeri bejelentkezés engedélyezése adott alkalmazásokhoz
- Kulcs:
AppAllowList
- Típus:
String
- Érték: Az egyszeri bejelentkezésben részt vevő alkalmazások alkalmazáscsomag-azonosítóinak vesszőkkel tagolt listája.
- Példa:
com.contoso.workapp, com.contoso.travelapp
Feljegyzés
A Safari és a Safari View Service alapértelmezés szerint részt vehet az egyszeri bejelentkezésben. Úgy konfigurálható , hogy ne vegyen részt az egyszeri bejelentkezésben, ha hozzáadja a Safari és a Safari View Service csomagazonosítóit az AppBlockListben. iOS-csomagazonosítók : [com.apple.mobilesafari, com.apple.SafariViewService] macOS BundleID: [com.apple.Safari]
Egyszeri bejelentkezés engedélyezése minden adott csomagazonosító-előtaggal rendelkező alkalmazáshoz
- Kulcs:
AppPrefixAllowList
- Típus:
String
- Érték: Az egyszeri bejelentkezésben részt vevő alkalmazások alkalmazáscsomag-azonosító előtagjainak vessző által tagolt listája. Ez a paraméter lehetővé teszi, hogy az adott előtaggal kezdődő alkalmazások részt vehessenek az egyszeri bejelentkezésben. iOS esetén az alapértelmezett érték lesz beállítva
com.apple.
, és ez minden Apple-alkalmazás esetében engedélyezi az egyszeri bejelentkezést. MacOS esetén az alapértelmezett érték lesz beállítvacom.apple.
, és ez az összes Apple- éscom.microsoft.
Microsoft-alkalmazás esetében engedélyezi az egyszeri bejelentkezést. Rendszergazda felülbírálhatják az alapértelmezett értéket, vagy alkalmazásokat adhatnak hozzá, hogyAppBlockList
megakadályozzák az egyszeri bejelentkezésben való részvételt. - Példa:
com.contoso., com.fabrikam.
Egyszeri bejelentkezés letiltása adott alkalmazásokhoz
- Kulcs:
AppBlockList
- Típus:
String
- Érték: Az egyszeri bejelentkezésben nem részt vevő alkalmazások alkalmazáscsomag-azonosítóinak vesszőkkel tagolt listája.
- Példa:
com.contoso.studyapp, com.contoso.travelapp
Ha le szeretné tiltani az egyszeri bejelentkezést a Safari vagy a Safari View Service szolgáltatáshoz, kifejezetten meg kell tennie, ha hozzáadja a csomagazonosítókat a AppBlockList
következőhöz:
- iOS:
com.apple.mobilesafari
,com.apple.SafariViewService
- Macos:
com.apple.Safari
Egyszeri bejelentkezés engedélyezése cookie-kon keresztül egy adott alkalmazáshoz
Egyes speciális hálózati beállításokkal rendelkező iOS-alkalmazások váratlan problémákat tapasztalhatnak, ha engedélyezve vannak az egyszeri bejelentkezéshez. Előfordulhat például, hogy hibaüzenet jelenik meg, amely azt jelzi, hogy egy hálózati kérés megszakadt vagy megszakadt.
Ha a felhasználók akkor is problémát tapasztalnak az alkalmazásba való bejelentkezéskor, ha ön engedélyezte azt a többi beállítással, próbálja meg hozzáadni az alkalmazáshoz a AppCookieSSOAllowList
problémák megoldásához.
- Kulcs:
AppCookieSSOAllowList
- Típus:
String
- Érték: Az egyszeri bejelentkezésben részt vevő alkalmazások alkalmazáscsomag-azonosító előtagjainak vessző által tagolt listája. A felsorolt előtagokkal kezdődő összes alkalmazás részt vehet az egyszeri bejelentkezésben.
- Példa:
com.contoso.myapp1, com.fabrikam.myapp2
Egyéb követelmények: Az egyszeri bejelentkezés alkalmazásokhoz való engedélyezéséhez AppCookieSSOAllowList
a csomagazonosító előtagokat AppPrefixAllowList
is hozzá kell adni.
Ezt a konfigurációt csak olyan alkalmazások esetében próbálja ki, amelyek nem várt bejelentkezési hibákat észleltek. Ez a kulcs csak iOS-alkalmazásokhoz használható, macOS-alkalmazásokhoz nem.
Kulcsok összegzése
Kulcs | Típus | Érték |
---|---|---|
Enable_SSO_On_All_ManagedApps |
Egész | 1 az összes felügyelt alkalmazás egyszeri bejelentkezésének engedélyezéséhez, 0 az összes felügyelt alkalmazás egyszeri bejelentkezésének letiltásához. |
AppAllowList |
Sztring (vesszőből tagolt lista) |
Az egyszeri bejelentkezésben való részvételre jogosult alkalmazások kötegazonosítói. |
AppBlockList |
Sztring (vesszőből tagolt lista) |
Olyan alkalmazások kötegazonosítói, amelyek nem vehetnek részt az egyszeri bejelentkezésben. |
AppPrefixAllowList |
Sztring (vesszőből tagolt lista) |
Az egyszeri bejelentkezésben való részvételre jogosult alkalmazások csomagazonosító-előtagja. iOS esetén az alapértelmezett érték lesz beállítva com.apple. , és ez minden Apple-alkalmazás esetében engedélyezi az egyszeri bejelentkezést. MacOS esetén az alapértelmezett érték lesz beállítva com.apple. , és ez az összes Apple- és com.microsoft. Microsoft-alkalmazás esetében engedélyezi az egyszeri bejelentkezést. A fejlesztők, ügyfelek vagy Rendszergazda felülbírálhatják az alapértelmezett értéket, vagy alkalmazásokat adhatnak hozzá, hogy AppBlockList megakadályozzák az egyszeri bejelentkezésben való részvételt. |
AppCookieSSOAllowList |
Sztring (vesszőből tagolt lista) |
Az egyszeri bejelentkezésben részt vevő alkalmazások csomagazonosító-előtagja, de speciális hálózati beállításokat használnak, és az egyszeri bejelentkezéssel kapcsolatos problémákat tapasztalnak a többi beállítás használatával. A hozzáadott AppCookieSSOAllowList alkalmazásokat is hozzá kell adni a fájlhoz AppPrefixAllowList . Vegye figyelembe, hogy ez a kulcs csak iOS-alkalmazásokhoz használható, macOS-alkalmazásokhoz nem. |
gyakori forgatókönyvek Gépház
Forgatókönyv: Szeretném engedélyezni az egyszeri bejelentkezést a legtöbb felügyelt alkalmazáshoz, de nem mindegyikhez.
Kulcs Érték Enable_SSO_On_All_ManagedApps
1
AppBlockList
Azon alkalmazások kötegazonosítói (vesszőkkel tagolt listája), amelyeket meg szeretne akadályozni az egyszeri bejelentkezésben való részvételben. A Safari SSO-t szeretnék letiltani, amely alapértelmezés szerint engedélyezve van, de minden felügyelt alkalmazás esetében engedélyezni szeretném az egyszeri bejelentkezést.
Kulcs Érték Enable_SSO_On_All_ManagedApps
1
AppBlockList
Azon Safari-alkalmazások csomagazonosítói (vesszőkkel tagolt listája), amelyeket meg szeretne akadályozni az egyszeri bejelentkezésben való részvételben. - iOS esetén:
com.apple.mobilesafari
,com.apple.SafariViewService
- MacOS esetén:
com.apple.Safari
- iOS esetén:
Forgatókönyv: Szeretném engedélyezni az egyszeri bejelentkezést az összes felügyelt és néhány nem felügyelt alkalmazásban, de letiltom az egyszeri bejelentkezést néhány más alkalmazás esetében.
Kulcs Érték Enable_SSO_On_All_ManagedApps
1
AppAllowList
Az egyszeri bejelentkezésben való részvételhez engedélyezni kívánt alkalmazások kötegazonosítói (vesszőkkel tagolt listája). AppBlockList
Azon alkalmazások kötegazonosítói (vesszőkkel tagolt listája), amelyeket meg szeretne akadályozni az egyszeri bejelentkezésben való részvételben.
Alkalmazáscsomag-azonosítók keresése iOS-eszközökön
Az Apple nem biztosít egyszerű módot a csomagazonosítók beszerzésére az App Store-ból. Az egyszeri bejelentkezéshez használni kívánt alkalmazások csomagazonosítóinak beszerzésének legegyszerűbb módja, ha megkérdezi a szállítót vagy az alkalmazás fejlesztőjét. Ha ez a lehetőség nem érhető el, az MDM-konfigurációval megkeresheti a csomagazonosítókat:
Ideiglenesen engedélyezze a következő jelzőt az MDM-konfigurációban:
- Kulcs:
admin_debug_mode_enabled
- Típus:
Integer
- Érték: 1 vagy 0
- Kulcs:
Ha ez a jelző be van kapcsolva, jelentkezzen be az iOS-alkalmazásokba azon az eszközön, amelyhez tudni szeretné a csomagazonosítót.
Az Authenticator alkalmazásban válassza a Naplók küldése – Naplók> megtekintése lehetőséget.>
A naplófájlban keresse meg a következő sort:
[ADMIN MODE] SSO extension has captured following app bundle identifiers
. Ennek a sornak rögzítenie kell az SSO-bővítmény számára látható összes alkalmazáscsomag-azonosítót.
A csomagazonosítókkal konfigurálhatja az SSO-t az alkalmazásokhoz. Ha végzett, tiltsa le a rendszergazdai módot.
Az MSAL-t és a Safari böngészőt nem használó alkalmazásokból való bejelentkezés engedélyezése a felhasználóknak
Alapértelmezés szerint a Microsoft Enterprise SSO beépülő modul egy megosztott hitelesítő adatot szerez be, amikor egy másik alkalmazás hívja meg, amely MSAL-t használ egy új jogkivonat-beszerzés során. A konfigurációtól függően a Microsoft Enterprise SSO beépülő modul megosztott hitelesítő adatokat is beszerezhet, ha az MSAL-t nem használó alkalmazások hívják meg.
A jelző engedélyezésekor az browser_sso_interaction_enabled
MSAL-t nem használó alkalmazások elvégezhetik a kezdeti rendszerindítást, és megkaphatják a megosztott hitelesítő adatokat. A Safari böngésző a kezdeti rendszerindítást is elvégezheti, és lekérheti a megosztott hitelesítő adatokat.
Ha a Microsoft Enterprise SSO beépülő modul még nem rendelkezik megosztott hitelesítő adatok használatával, akkor minden alkalommal megpróbál bekérni egyet, amikor bejelentkezést kér egy Microsoft Entra URL-címről a Safari böngészőben, az ASWebAuthenticationSession, a SafariViewController vagy egy másik engedélyezett natív alkalmazásból.
A jelző engedélyezéséhez használja az alábbi paramétereket:
- Kulcs:
browser_sso_interaction_enabled
- Típus:
Integer
- Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 1.
Az iOS és a macOS egyaránt megköveteli ezt a beállítást, hogy a Microsoft Enterprise SSO beépülő modul konzisztens élményt biztosítson az összes alkalmazás számára. Ez a beállítás alapértelmezés szerint engedélyezve van, és csak akkor tiltható le, ha a végfelhasználó nem tud bejelentkezni a hitelesítő adataival.
OAuth 2 alkalmazáskérések letiltása
Ha egy alkalmazás arra kéri a felhasználókat, hogy jelentkezzenek be, annak ellenére, hogy a Microsoft Enterprise SSO beépülő modul más alkalmazásokhoz is működik az eszközön, előfordulhat, hogy az alkalmazás megkerüli az egyszeri bejelentkezést a protokollrétegen. A megosztott hitelesítő adatokat az ilyen alkalmazások is figyelmen kívül hagyják, mert a beépülő modul egyszeri bejelentkezést biztosít a hitelesítő adatoknak az engedélyezett alkalmazások által küldött hálózati kérelmekhez való hozzáfűzésével.
Ezek a paraméterek határozzák meg, hogy az SSO-bővítmény megakadályozza-e, hogy a natív és webes alkalmazások megkerüljék az egyszeri bejelentkezést a protokollrétegen, és kényszerítsék a bejelentkezési kérés megjelenítését a felhasználóra.
Az eszközön található összes alkalmazás egységes egyszeri bejelentkezéshez javasoljuk, hogy engedélyezze az egyik beállítást az MSAL-t nem használó alkalmazásokhoz. Ezt csak akkor engedélyezze az MSAL-t használó alkalmazások esetében, ha a felhasználók váratlan kéréseket tapasztalnak.
Olyan alkalmazások, amelyek nem használnak Microsoft Hitelesítési kódtárat:
Tiltsa le az alkalmazáskérést, és jelenítse meg a fiókválasztót:
- Kulcs:
disable_explicit_app_prompt
- Típus:
Integer
- Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 1 értékre van állítva, és ez az alapértelmezett beállítás csökkenti a kéréseket.
Tiltsa le az alkalmazáskérést, és válasszon ki egy fiókot az egyező SSO-fiókok listájából:
- Kulcs:
disable_explicit_app_prompt_and_autologin
- Típus:
Integer
- Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.
Microsoft Authentication Library-t használó alkalmazások:
A következő beállítások nem ajánlottak, ha Alkalmazásvédelem szabályzatok vannak használatban.
Tiltsa le az alkalmazáskérést, és jelenítse meg a fiókválasztót:
- Kulcs:
disable_explicit_native_app_prompt
- Típus:
Integer
- Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.
Tiltsa le az alkalmazáskérést, és válasszon ki egy fiókot az egyező SSO-fiókok listájából:
- Kulcs:
disable_explicit_native_app_prompt_and_autologin
- Típus:
Integer
- Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.
Váratlan SAML-alkalmazáskérések
Ha egy alkalmazás arra kéri a felhasználókat, hogy jelentkezzenek be, annak ellenére, hogy a Microsoft Enterprise SSO beépülő modul más alkalmazásokhoz is működik az eszközön, előfordulhat, hogy az alkalmazás megkerüli az egyszeri bejelentkezést a protokollrétegen. Ha az alkalmazás az SAML protokollt használja, a Microsoft Enterprise SSO beépülő modul nem tudja biztosítani az egyszeri bejelentkezést az alkalmazásnak. Az alkalmazás gyártójának értesítést kell kapnia erről a viselkedésről, és módosítania kell az alkalmazását, hogy ne kerülhesse meg az egyszeri bejelentkezést.
IOS-élmény módosítása MSAL-kompatibilis alkalmazásokhoz
Az MSAL-t használó alkalmazások mindig natív módon fogják meghívni az SSO-bővítményt az interaktív kérelmekhez. Egyes iOS-eszközökön ez nem feltétlenül kívánatos. Pontosabban, ha a felhasználónak a Microsoft Authenticator alkalmazásban is el kell végeznie a többtényezős hitelesítést, az alkalmazásra való interaktív átirányítás jobb felhasználói élményt biztosíthat.
Ez a viselkedés a jelölő használatával disable_inapp_sso_signin
konfigurálható. Ha ez a jelző engedélyezve van, az MSAL-t használó alkalmazások az összes interaktív kéréshez átirányítják a Microsoft Authenticator alkalmazást. Ez a jelző nem befolyásolja az alkalmazások csendes jogkivonat-kéréseit, az MSAL-t vagy macOS-alkalmazásokat nem használó alkalmazások viselkedését. Ez a jelző alapértelmezés szerint le van tiltva.
- Kulcs:
disable_inapp_sso_signin
- Típus:
Integer
- Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.
A Microsoft Entra eszközregisztráció konfigurálása
Az Intune által felügyelt eszközök esetében a Microsoft Enterprise SSO beépülő modul a Microsoft Entra eszközregisztrációját hajthatja végre, amikor egy felhasználó megpróbál hozzáférni az erőforrásokhoz. Ez egyszerűbb végfelhasználói élményt tesz lehetővé.
Az alábbi konfigurációval engedélyezheti a Just in Time regisztrációt iOS/iPadOS rendszeren a Microsoft Intune-nal:
- Kulcs:
device_registration
- Típus:
String
- Érték: {{DEVICEREGISTRATION}}
A Just in Time regisztrációról itt olvashat bővebben.
Feltételes hozzáférési szabályzatok és jelszómódosítások
Az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul kompatibilis a Microsoft Entra feltételes hozzáférési szabályzataival és jelszóváltoztatási eseményeivel. browser_sso_interaction_enabled
a kompatibilitás eléréséhez engedélyezni kell.
A kompatibilis eseményeket és szabályzatokat a következő szakaszokban dokumentáljuk:
Jelszó módosítása és jogkivonat visszavonása
Amikor egy felhasználó visszaállítja a jelszavát, a rendszer visszavonja az előtte kiadott összes jogkivonatot. Ha egy felhasználó jelszó-visszaállítási esemény után próbál hozzáférni egy erőforráshoz, a felhasználónak általában újra be kell jelentkeznie az egyes alkalmazásokba. Ha engedélyezve van a Microsoft Enterprise SSO beépülő modul, a rendszer felkéri a felhasználót, hogy jelentkezzen be az SSO-ban részt vevő első alkalmazásba. A Microsoft Enterprise SSO beépülő modul a saját felhasználói felületét jeleníti meg az aktuálisan aktív alkalmazáson felül.
Microsoft Entra többtényezős hitelesítés
A többtényezős hitelesítés olyan folyamat, amelyben a felhasználók a bejelentkezési folyamat során további azonosítási formát kérnek, például egy kódot a mobiltelefonjukon, vagy ujjlenyomat-vizsgálatot. A többtényezős hitelesítés adott erőforrásokhoz engedélyezhető. Ha a Microsoft Enterprise SSO beépülő modul engedélyezve van, a rendszer arra kéri a felhasználót, hogy végezzen többtényezős hitelesítést az első olyan alkalmazásban, amely megköveteli. A Microsoft Enterprise SSO beépülő modul a saját felhasználói felületét jeleníti meg az aktuálisan aktív alkalmazáson felül.
Felhasználói bejelentkezés gyakorisága
A bejelentkezési gyakoriság azt az időtartamot határozza meg, amíg a rendszer egy felhasználónak újra be kell jelentkeznie egy erőforrás elérésekor. Ha egy felhasználó az idő leteltét követően próbál hozzáférni egy erőforráshoz különböző alkalmazásokban, a felhasználónak általában újra be kell jelentkeznie az egyes alkalmazásokba. Ha engedélyezve van a Microsoft Enterprise SSO beépülő modul, a rendszer felkéri a felhasználót, hogy jelentkezzen be az SSO-ban részt vevő első alkalmazásba. A Microsoft Enterprise SSO beépülő modul a saját felhasználói felületét jeleníti meg az aktuálisan aktív alkalmazáson felül.
Az Intune használata az egyszerűsített konfigurációhoz
Az Intune-t MDM-szolgáltatásként használhatja a Microsoft Enterprise SSO beépülő modul konfigurálásának megkönnyítéséhez. Az Intune használatával például engedélyezheti a beépülő modult, és hozzáadhat régi alkalmazásokat egy engedélyezési listához, hogy SSO-t kaphassanak.
További információ: A Microsoft Enterprise SSO beépülő modul üzembe helyezése Apple-eszközökhöz az Intune használatával.
Az SSO beépülő modul használata az alkalmazásban
Az Apple-eszközökhöz készült MSAL 1.1.0-s és újabb verziói támogatják a Microsoft Enterprise SSO beépülő modult Apple-eszközökhöz. Ez az ajánlott módja annak, hogy támogatást adjon a Microsoft Enterprise SSO beépülő modulhoz. Ez biztosítja a Microsoft Identitásplatform teljes képességeit.
Ha az előtérbeli feldolgozói forgatókönyvekhez készít alkalmazást, a beállítási információkért tekintse meg az iOS-eszközök megosztott eszközmódját.
Az egyszeri bejelentkezés beépülő modul működésének ismertetése
A Microsoft Enterprise SSO beépülő modul az Apple Enterprise SSO-keretrendszerre támaszkodik. A keretrendszerhez csatlakozó identitásszolgáltatók elfoghatják a tartományaik hálózati forgalmát, és javíthatják vagy módosíthatják a kérések kezelését. Az egyszeri bejelentkezés beépülő modul például több felhasználói felületet jeleníthet meg a végfelhasználói hitelesítő adatok biztonságos gyűjtéséhez, az MFA megköveteléséhez vagy az alkalmazás jogkivonatainak csendes biztosításához.
A natív alkalmazások egyéni műveleteket is implementálhatnak, és közvetlenül kommunikálhatnak az SSO beépülő modullal. További információkért tekintse meg az Apple 2019-ben készült World Developer Conference videóját.
Tipp.
További információ az egyszeri bejelentkezés beépülő modul működéséről és a Microsoft Enterprise SSO-bővítmény hibaelhárításáról az Apple-eszközök egyszeri bejelentkezéssel kapcsolatos hibaelhárítási útmutatójával.
MSAL-t használó alkalmazások
Az Apple-eszközökhöz készült MSAL 1.1.0-s és újabb verziói támogatják a Microsoft Enterprise SSO beépülő modult az Apple-eszközökhöz natív módon munkahelyi és iskolai fiókokhoz.
Nincs szükség speciális konfigurációra, ha követte az összes javasolt lépést , és az alapértelmezett átirányítási URI-formátumot használta. Az SSO beépülő modult használó eszközökön az MSAL automatikusan meghívja az összes interaktív és csendes jogkivonat-kéréshez. Emellett meghívja a fiókbeszámítási és a fiókeltávolítási műveletekhez is. Mivel az MSAL egy egyéni műveletekre támaszkodó natív SSO beépülő protokollt implementál, ez a beállítás biztosítja a leggördülékenyebb natív élményt a végfelhasználó számára.
iOS- és iPadOS-eszközökön, ha az SSO beépülő modult nem engedélyezi az MDM, de a Microsoft Authenticator alkalmazás megtalálható az eszközön, az MSAL ehelyett az Authenticator alkalmazást használja az interaktív jogkivonat-kérelmekhez. A Microsoft Enterprise SSO beépülő modul megosztja az egyszeri bejelentkezést az Authenticator alkalmazással.
Nem MSAL-t használó alkalmazások
Az MSAL-t nem használó alkalmazások továbbra is megkaphatják az egyszeri bejelentkezést, ha egy rendszergazda hozzáadja ezeket az alkalmazásokat az engedélyezési listához.
Nem kell módosítania a kódot ezekben az alkalmazásokban, amíg az alábbi feltételek teljesülnek:
- Az alkalmazás Apple-keretrendszereket használ a hálózati kérések futtatásához. Ilyen keretrendszer például a WKWebView és az NSURLSession.
- Az alkalmazás szabványos protokollokat használ a Microsoft Entra-azonosítóval való kommunikációhoz. Ilyen protokoll például az OAuth 2, az SAML és a WS-Federation.
- Az alkalmazás nem gyűjt egyszerű szöveges felhasználóneveket és jelszavakat a natív felhasználói felületen.
Ebben az esetben az egyszeri bejelentkezés akkor érhető el, ha az alkalmazás létrehoz egy hálózati kérést, és megnyit egy webböngészőt a felhasználó bejelentkezéséhez. Amikor a rendszer átirányít egy felhasználót egy Microsoft Entra bejelentkezési URL-címre, az egyszeri bejelentkezés beépülő modul ellenőrzi az URL-címet, és ellenőrzi az adott URL-címhez tartozó SSO-hitelesítő adatokat. Ha megtalálta a hitelesítő adatokat, az SSO beépülő modul átadja azt a Microsoft Entra-azonosítónak, amely engedélyezi az alkalmazásnak a hálózati kérés teljesítését anélkül, hogy a felhasználótól hitelesítő adatokat kérne. Ezenkívül ha az eszköz ismert a Microsoft Entra-azonosítóban, az egyszeri bejelentkezés beépülő modul átadja az eszköztanúsítványt az eszközalapú feltételes hozzáférés ellenőrzésének teljesítéséhez.
A nem MSAL-alkalmazások egyszeri bejelentkezésének támogatása érdekében az egyszeri bejelentkezés beépülő modul a Windows böngésző beépülő modulhoz hasonló protokollt implementál, amely a Mi az elsődleges frissítési jogkivonat? című cikkben leírtakhoz hasonló.
Az MSAL-alapú alkalmazásokhoz képest az SSO beépülő modul transzparensebben működik a nem MSAL-alkalmazások esetében. Integrálható az alkalmazások által biztosított meglévő böngészőbeli bejelentkezési felülettel.
A végfelhasználó látja a megszokott felületet, és nem kell újra bejelentkeznie az egyes alkalmazásokba. A natív fiókválasztó helyett például az SSO beépülő modul SSO-munkameneteket ad hozzá a webes fiókválasztó felülethez.
Az eszközidentitáskulcs-tároló közelgő változásai
2024 márciusában bejelentették, hogy a Microsoft Entra ID távolodik az Apple kulcskarikától az eszköz identitáskulcsainak tárolásához. 2026 harmadik negyedévétől kezdve minden új eszközregisztráció alapértelmezés szerint az Apple Secure Enklávéját használja.
Azoknak az alkalmazásoknak és MDM-integrációknak, amelyek függenek a munkahelyi csatlakozás kulcsainak kulcsláncon keresztüli eléréséről, el kell kezdeniük az MSAL és a Vállalati egyszeri bejelentkezés beépülő modul használatát a Microsoft Identitásplatform való kompatibilitás biztosításához.
Eszközidentitási kulcsok biztonságos enklávéalapú tárolásának engedélyezése
Ha engedélyezni szeretné az eszközidentitás-kulcsok biztonságos enklávéalapú tárolását, mielőtt az alapértelmezetté válik, az alábbi Bővítményadatok attribútumot hozzáadhatja az Apple-eszközök MDM-konfigurációs profiljához.
Feljegyzés
Ahhoz, hogy ez a jelző érvénybe lépjen, új regisztrációra kell alkalmazni. Ez csak akkor lesz hatással a már regisztrált eszközökre, ha újra regisztrálják őket.
- Kulcs:
use_most_secure_storage
- Típus:
Boolean
- Érték: Igaz
Az alábbi képernyőképen látható a Microsoft Intune-ban a Biztonságos enklávé engedélyezésének konfigurációs oldala és beállításai.
Érintett forgatókönyvek
Az alábbi lista néhány olyan gyakori forgatókönyvet tartalmaz, amelyeket érintenek ezek a változások. Ökölszabályként minden olyan alkalmazásra hatással lesz, amely függ az eszközidentitás-összetevők apple-kulcskarikán keresztüli eléréséhez.
Ez nem teljes lista, és azt tanácsoljuk a felhasználóknak és az alkalmazások gyártóinak is, hogy teszteljék szoftvereiket az új adattárral való kompatibilitás érdekében.
Regisztrált/regisztrált eszköz feltételes hozzáférési szabályzatának támogatása a Chrome-ban
Ha engedélyezni szeretné az eszköz feltételes hozzáférési szabályzatát a Google Chrome-ban a Secure Enclave-alapú tárolás engedélyezésével, telepítenie kell és engedélyeznie kell a Microsoft Egyszeri bejelentkezés bővítményt.
Lásd még
Tudnivalók az iOS-eszközök megosztott eszközmódjáról.
További információ a Microsoft Enterprise SSO-bővítmény hibaelhárításáról.