A Microsoft Enterprise SSO beépülő modul használata iOS-/iPadOS-eszközökön
A Microsoft Enterprise SSO beépülő modul a Microsoft Entra ID egyik funkciója, amely egyszeri bejelentkezési (SSO) funkciókat biztosít az Apple-eszközökhöz. Ez a beépülő modul az Apple egyszeri bejelentkezéses alkalmazásbővítmény-keretrendszerét használja.
- iOS-/iPadOS-eszközök esetén a Vállalati egyszeri bejelentkezés beépülő modul tartalmazza az SSO-alkalmazásbővítményt.
- MacOS-eszközök esetén a vállalati SSO beépülő modul tartalmazza a Platform SSO-t és az SSO-alkalmazásbővítményt.
Az SSO alkalmazásbővítmény egyszeri bejelentkezést biztosít a hitelesítéshez Microsoft Entra ID használó alkalmazásokhoz és webhelyekhez, beleértve a Microsoft 365-alkalmazásokat is. Csökkenti a felhasználók által a Mobile Eszközkezelés (MDM) által kezelt eszközök használatakor megjelenő hitelesítési kérések számát, beleértve az SSO-profilok konfigurálását támogató MDM-eket is.
Ez a cikk a következőkre vonatkozik:
iOS/iPadOS
MacOS esetén lépjen a Platform SSO konfigurálása macOS-eszközökhöz a Microsoft Intune.
Ez a cikk bemutatja, hogyan hozhat létre SSO-alkalmazásbővítmény-konfigurációs szabályzatot iOS/iPadOS Apple-eszközökhöz Intune, Jamf Pro és más MDM-megoldásokkal.
Alkalmazástámogatás
Ahhoz, hogy alkalmazásai a Microsoft Enterprise SSO beépülő modult használják, két lehetősége van:
1. lehetőség – MSAL: A Microsoft Authentication Libraryt (MSAL) támogató alkalmazások automatikusan kihasználják a Microsoft Enterprise SSO beépülő modul előnyeit. A Microsoft 365-alkalmazások például támogatják az MSAL-t. Így automatikusan a beépülő modult használják.
Ha a szervezete saját alkalmazásokat hoz létre, az alkalmazásfejlesztő függőséget adhat hozzá az MSAL-hez. Ez a függőség lehetővé teszi, hogy az alkalmazás a Microsoft Enterprise SSO beépülő modult használja.
A minta oktatóanyagért tekintse meg az Oktatóanyag: Felhasználók bejelentkezése és a Microsoft Graph meghívása iOS- vagy macOS-alkalmazásból című témakört.
2. lehetőség – Engedélyezési lista: Azok az alkalmazások, amelyek nem támogatják vagy nem fejlesztették ki az MSAL-t, használhatják az SSO-alkalmazásbővítményt. Ezek közé az alkalmazások közé tartoznak a böngészők, például a Safari és a Safari webes nézet API-kat használó alkalmazások.
Ezekhez a nem MSAL-alkalmazásokhoz adja hozzá az alkalmazáscsomag azonosítóját vagy előtagját a bővítménykonfigurációhoz a Intune SSO-alkalmazásbővítmény-szabályzatában (ebben a cikkben).
Ha például egy olyan Microsoft-alkalmazást szeretne engedélyezni, amely nem támogatja az MSAL-t, adja hozzá
com.microsoft.
az appPrefixAllowList tulajdonsághoz a Intune szabályzatban. Legyen óvatos az engedélyezett alkalmazásokkal, és figyelmen kívül hagyhatja a bejelentkezett felhasználó interaktív bejelentkezési kéréseit.További információ: Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz – az MSAL-t nem használó alkalmazásokhoz.
Előfeltételek
A Microsoft Enterprise SSO beépülő modul használata iOS-/iPadOS-eszközökön:
Az eszközt a Intune kezeli.
Az eszköznek támogatnia kell a beépülő modult:
- iOS/iPadOS 13.0 és újabb
A Microsoft Authenticator alkalmazást telepíteni kell az eszközön.
A felhasználók manuálisan telepíthetik a Microsoft Authenticator alkalmazást. Vagy a rendszergazdák üzembe helyezhetik az alkalmazást Intune használatával. A Microsoft Authenticator alkalmazás telepítéséről az Apple mennyiségi programban vásárolt alkalmazásainak kezelése című témakörben talál további információt.
A vállalati SSO beépülő modul követelményei konfigurálva vannak, beleértve az Apple hálózati konfigurációs URL-címeit is.
Megjegyzés:
iOS-/iPadOS-eszközökön az Apple megköveteli az SSO-alkalmazásbővítmény és a Microsoft Authenticator alkalmazás telepítését. A felhasználóknak nem kell használniuk vagy konfigurálnia a Microsoft Authenticator alkalmazást, csak telepíteni kell az eszközön.
Microsoft Enterprise SSO beépülő modul és Kerberos SSO-bővítmény
Az SSO alkalmazásbővítmény használatakor az SSO vagy a Kerberos Payload Type típust használja a hitelesítéshez. Az SSO alkalmazásbővítmény úgy lett kialakítva, hogy javítsa az ilyen hitelesítési módszereket használó alkalmazások és webhelyek bejelentkezési élményét.
A Microsoft Enterprise SSO beépülő modul az SSO hasznos adattípust használja átirányításos hitelesítéssel. Az SSO-átirányítás és a Kerberos-bővítménytípus egyszerre használható egy eszközön. Mindenképpen hozzon létre külön eszközprofilokat az eszközökön használni kívánt bővítménytípusokhoz.
A forgatókönyvnek megfelelő SSO-bővítménytípus meghatározásához használja az alábbi táblázatot:
Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz | Egyszeri bejelentkezési alkalmazásbővítmény Kerberosszal |
---|---|
A Microsoft Entra ID SSO-alkalmazásbővítmény-típust használja | A Kerberos SSO alkalmazásbővítmény-típust használja |
A következő alkalmazásokat támogatja: - Microsoft 365 - A Microsoft Entra ID integrált alkalmazások, webhelyek vagy szolgáltatások |
A következő alkalmazásokat támogatja: – Az AD-vel integrált alkalmazások, webhelyek vagy szolgáltatások |
Az egyszeri bejelentkezési alkalmazásbővítménnyel kapcsolatos további információkért tekintse meg az Egyszeri bejelentkezés áttekintése és az Apple-eszközök beállításai Microsoft Intune.
Egyszeri bejelentkezéses alkalmazásbővítmény konfigurációs szabályzatának Létrehozás
A Microsoft Intune Felügyeleti központban hozzon létre egy eszközkonfigurációs profilt. Ez a profil tartalmazza az SSO-alkalmazásbővítmény eszközökre való konfigurálásának beállításait.
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza az Eszközök>konfigurációja>Létrehozás lehetőséget.
Adja meg a következő tulajdonságokat:
- Platform: Válassza az iOS/iPadOS lehetőséget.
- Profil típusa: Válassza a SablonokEszközfunkciók> lehetőséget.
Válassza Létrehozás:
Az Alapadatok között adja meg a következő tulajdonságokat:
- Név: Adja meg a házirend leíró nevét. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Egy jó szabályzatnév például az iOS: SSO-alkalmazásbővítmény.
- Leírás: Adja meg a szabályzat leírását. A beállítás használata nem kötelező, de ajánlott.
Válassza a Tovább gombot.
A Konfigurációs beállítások területen válassza az Egyszeri bejelentkezés alkalmazásbővítmény lehetőséget, és konfigurálja a következő tulajdonságokat:
SSO-alkalmazásbővítmény típusa: Válassza a Microsoft Entra ID lehetőséget.
Megosztott eszköz mód engedélyezése:
Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást.
A legtöbb esetben, beleértve a megosztott iPadet, a személyes eszközöket és a felhasználói affinitással rendelkező vagy anélkül rendelkező eszközöket, válassza ezt a lehetőséget.
Igen: Ezt a beállítást csak akkor válassza, ha a megcélzott eszközök Microsoft Entra megosztott eszköz módot használják. További információt a Megosztott eszköz mód áttekintése című témakörben talál.
Alkalmazáscsomag azonosítója: Adja meg azoknak az alkalmazásoknak a csomagazonosítóit, amelyek nem támogatják az MSAL-t , és amelyek használhatják az SSO-t. További információt az MSAL-t nem használó alkalmazások című témakörben talál.
További konfiguráció: A végfelhasználói élmény testreszabásához adja hozzá a következő tulajdonságokat. Ezek a tulajdonságok a Microsoft SSO-bővítmény által használt alapértelmezett értékek, de testre szabhatók a szervezet igényei szerint:
Kulcs Típus Leírás AppPrefixAllowList Karakterlánc Ajánlott érték: com.apple.
Adja meg azoknak az alkalmazásoknak az előtagjait, amelyek nem támogatják az MSAL-t , és amelyek használhatják az SSO-t. Írja be például az parancsotcom.microsoft.,com.apple.
az összes Microsoft- és Apple-alkalmazás engedélyezéséhez.
Győződjön meg arról, hogy ezek az alkalmazások megfelelnek az engedélyezési listára vonatkozó követelményeknek.browser_sso_interaction_enabled Egész Ajánlott érték: 1
Ha a értékre van állítva, a1
felhasználók a Safari böngészőből és az MSAL-t nem támogató alkalmazásokból jelentkezhetnek be. A beállítás engedélyezésével a felhasználók elindíthatják a bővítményt a Safariból vagy más alkalmazásokból.disable_explicit_app_prompt Egész Ajánlott érték: 1
Egyes alkalmazások helytelenül kényszeríthetik ki a végfelhasználói kéréseket a protokollrétegben. Ha ezt a problémát tapasztalja, a rendszer arra kéri a felhasználókat, hogy jelentkezzenek be, annak ellenére, hogy a Microsoft Enterprise SSO beépülő modul más alkalmazásokhoz is használható.
Ha az (egy) értékre1
van állítva, csökkentheti ezeket a kéréseket.Tipp
Ezekről a tulajdonságokról és egyéb konfigurálható tulajdonságokról további információt a Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz című témakörben talál.
Ha végzett a beállítások konfigurálásával, és engedélyezi a Microsoft & Apple-alkalmazásokat, a beállítások a Intune konfigurációs profiljában szereplő alábbi értékekhez hasonlóak lesznek:
Folytassa a profil létrehozását, és rendelje hozzá a profilt azokhoz a felhasználókhoz vagy csoportokhoz, amelyek megkapják ezeket a beállításokat. A konkrét lépésekért lépjen a profil Létrehozás.
A profilok hozzárendelésével kapcsolatos útmutatásért lásd: Felhasználói és eszközprofilok hozzárendelése.
Amikor az eszköz bejelentkezik a Intune szolgáltatásba, megkapja ezt a profilt. További információt a Szabályzatfrissítési időközök című témakörben talál.
Annak ellenőrzéséhez, hogy a profil megfelelően lett-e üzembe helyezve, lépjen a Intune Felügyeleti központban az Eszközök>konfigurációja> területre, válassza ki a létrehozott profilt, és hozzon létre egy jelentést:
Végfelhasználói élmény
Ha nem alkalmazásszabályzattal telepíti a Microsoft Authenticator alkalmazást, a felhasználóknak manuálisan kell telepíteniük. A felhasználóknak nem kell használniuk az Authenticator alkalmazást, csak telepíteni kell az eszközön.
A felhasználók bármely támogatott alkalmazásba vagy webhelyre bejelentkezve elindítják a bővítményt. A Bootstrap az első bejelentkezés folyamata, amely beállítja a bővítményt.
Miután a felhasználók sikeresen bejelentkeztek, a bővítmény automatikusan használható bármely más támogatott alkalmazásba vagy webhelyre való bejelentkezéshez.
Az egyszeri bejelentkezés teszteléséhez nyissa meg a Safarit privát módban (nyissa meg az Apple webhelyét), és nyissa meg a webhelyet https://portal.office.com
. Nincs szükség felhasználónévre és jelszóra.
Tipp
További információ az SSO beépülő modul működéséről és a Microsoft Enterprise SSO-bővítmény hibaelhárításáról az Apple-eszközök egyszeri bejelentkezéssel kapcsolatos hibaelhárítási útmutatójával.
Kapcsolódó cikkek
A Microsoft Enterprise SSO beépülő modulról további információt az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modulban talál.
Az Apple-től az egyszeri bejelentkezési bővítmény hasznos adataival kapcsolatos információkért lépjen az egyszeri bejelentkezési bővítmények hasznosadat-beállításaihoz (nyissa meg az Apple webhelyét).
A Microsoft Enterprise SSO-bővítmény hibaelhárításával kapcsolatos információkért tekintse meg a Microsoft Enterprise SSO-bővítmény beépülő modul hibaelhárítása Apple-eszközökön című témakört.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: