A Microsoft Enterprise SSO beépülő modul használata iOS-/iPadOS-eszközökön

A Microsoft Enterprise SSO beépülő modul a Microsoft Entra ID egyik funkciója, amely egyszeri bejelentkezési (SSO) funkciókat biztosít az Apple-eszközökhöz. Ez a beépülő modul az Apple egyszeri bejelentkezéses alkalmazásbővítmény-keretrendszerét használja.

• iOS-/iPadOS-eszközök esetén a Vállalati egyszeri bejelentkezés beépülő modul tartalmazza az SSO-alkalmazásbővítményt.
• MacOS-eszközök esetén a vállalati SSO beépülő modul tartalmazza a Platform SSO-t és az SSO-alkalmazásbővítményt.

Az SSO alkalmazásbővítmény egyszeri bejelentkezést biztosít a hitelesítéshez Microsoft Entra ID használó alkalmazásokhoz és webhelyekhez, beleértve a Microsoft 365-alkalmazásokat is. Csökkenti a felhasználók által a Mobile Eszközkezelés (MDM) által kezelt eszközök használatakor megjelenő hitelesítési kérések számát, beleértve az SSO-profilok konfigurálását támogató MDM-eket is.

Ez a cikk a következőkre vonatkozik:

• iOS/iPadOS

  MacOS esetén lépjen a Platform SSO konfigurálása macOS-eszközökhöz a Microsoft Intune.

Ez a cikk bemutatja, hogyan hozhat létre SSO-alkalmazásbővítmény-konfigurációs szabályzatot iOS/iPadOS Apple-eszközökhöz Intune, Jamf Pro és más MDM-megoldásokkal.

Alkalmazástámogatás

Ahhoz, hogy alkalmazásai a Microsoft Enterprise SSO beépülő modult használják, két lehetősége van:

• 1. lehetőség – MSAL: A Microsoft Authentication Libraryt (MSAL) támogató alkalmazások automatikusan kihasználják a Microsoft Enterprise SSO beépülő modul előnyeit. A Microsoft 365-alkalmazások például támogatják az MSAL-t. Így automatikusan a beépülő modult használják.

  Ha a szervezete saját alkalmazásokat hoz létre, az alkalmazásfejlesztő függőséget adhat hozzá az MSAL-hez. Ez a függőség lehetővé teszi, hogy az alkalmazás a Microsoft Enterprise SSO beépülő modult használja.

  A minta oktatóanyagért tekintse meg az Oktatóanyag: Felhasználók bejelentkezése és a Microsoft Graph meghívása iOS- vagy macOS-alkalmazásból című témakört.

• 2. lehetőség – Engedélyezési lista: Azok az alkalmazások, amelyek nem támogatják vagy nem fejlesztették ki az MSAL-t, használhatják az SSO-alkalmazásbővítményt. Ezek közé az alkalmazások közé tartoznak a böngészők, például a Safari és a Safari webes nézet API-kat használó alkalmazások.

  Ezekhez a nem MSAL-alkalmazásokhoz adja hozzá az alkalmazáscsomag azonosítóját vagy előtagját a bővítménykonfigurációhoz a Intune SSO-alkalmazásbővítmény-szabályzatában (ebben a cikkben).

  Ha például egy olyan Microsoft-alkalmazást szeretne engedélyezni, amely nem támogatja az MSAL-t, adja hozzá com.microsoft. az appPrefixAllowList tulajdonsághoz a Intune szabályzatban. Legyen óvatos az engedélyezett alkalmazásokkal, és figyelmen kívül hagyhatja a bejelentkezett felhasználó interaktív bejelentkezési kéréseit.

  További információ: Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz – az MSAL-t nem használó alkalmazásokhoz.

Előfeltételek

A Microsoft Enterprise SSO beépülő modul használata iOS-/iPadOS-eszközökön:

Intune

• Az eszközt a Intune kezeli.

• Az eszköznek támogatnia kell a beépülő modult:

  • iOS/iPadOS 13.0 és újabb

• A Microsoft Authenticator alkalmazást telepíteni kell az eszközön.

  A felhasználók manuálisan telepíthetik a Microsoft Authenticator alkalmazást. Vagy a rendszergazdák üzembe helyezhetik az alkalmazást Intune használatával. A Microsoft Authenticator alkalmazás telepítéséről az Apple mennyiségi programban vásárolt alkalmazásainak kezelése című témakörben talál további információt.

• A vállalati SSO beépülő modul követelményei konfigurálva vannak, beleértve az Apple hálózati konfigurációs URL-címeit is.

Jamf Pro

• Az eszközt a Jamf Pro felügyeli.

• Az eszköznek támogatnia kell a beépülő modult:

  • iOS/iPadOS 13.0 és újabb

• A Microsoft Authenticator alkalmazást telepíteni kell az eszközön.

  A felhasználók manuálisan telepíthetik a Microsoft Authenticator alkalmazást. A rendszergazdák a Jamf Pro használatával is üzembe helyezhetik az alkalmazást. A Microsoft Authenticator alkalmazás telepítésének lehetőségeiről a MacOS-telepítők kezelése a Jamf Pro használatával (a Jamf Pro webhelyének megnyitása) című cikkben talál további tájékoztatást.

• A vállalati SSO beépülő modul követelményei konfigurálva vannak, beleértve az Apple hálózati konfigurációs URL-címeit is.

• Az SSO-alkalmazásbővítmény használatához nem szükséges a Jamf Pro és Intune integrációja az eszközmegfeleléshez.

Egyéb mobileszköz-kezelők

• Az eszközt mobileszköz-kezelési (MDM) szolgáltatói megoldás kezeli.
• Az MDM-megoldásnak támogatnia kell az egyszeri bejelentkezéses MDM hasznosadat-beállításainak konfigurálását az Apple-eszközökhöz eszközszabályzattal.
• Az eszköznek támogatnia kell a beépülő modult:
  • iOS/iPadOS 13.0 és újabb
• A Microsoft Authenticator alkalmazást telepíteni kell az eszközön. A felhasználók manuálisan telepíthetik a Microsoft Authenticator alkalmazást. A rendszergazdák MDM-szabályzattal is üzembe helyezhetik az alkalmazást.
• A vállalati SSO beépülő modul követelményei konfigurálva vannak, beleértve az Apple hálózati konfigurációs URL-címeit is.

Megjegyzés:

iOS-/iPadOS-eszközökön az Apple megköveteli az SSO-alkalmazásbővítmény és a Microsoft Authenticator alkalmazás telepítését. A felhasználóknak nem kell használniuk vagy konfigurálnia a Microsoft Authenticator alkalmazást, csak telepíteni kell az eszközön.

Microsoft Enterprise SSO beépülő modul és Kerberos SSO-bővítmény

Az SSO alkalmazásbővítmény használatakor az SSO vagy a Kerberos Payload Type típust használja a hitelesítéshez. Az SSO alkalmazásbővítmény úgy lett kialakítva, hogy javítsa az ilyen hitelesítési módszereket használó alkalmazások és webhelyek bejelentkezési élményét.

A Microsoft Enterprise SSO beépülő modul az SSO hasznos adattípust használja átirányításos hitelesítéssel. Az SSO-átirányítás és a Kerberos-bővítménytípus egyszerre használható egy eszközön. Mindenképpen hozzon létre külön eszközprofilokat az eszközökön használni kívánt bővítménytípusokhoz.

A forgatókönyvnek megfelelő SSO-bővítménytípus meghatározásához használja az alábbi táblázatot:

---

Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz	Egyszeri bejelentkezési alkalmazásbővítmény Kerberosszal
A Microsoft Entra ID SSO-alkalmazásbővítmény-típust használja	A Kerberos SSO alkalmazásbővítmény-típust használja
A következő alkalmazásokat támogatja: - Microsoft 365 - A Microsoft Entra ID integrált alkalmazások, webhelyek vagy szolgáltatások	A következő alkalmazásokat támogatja: – Az AD-vel integrált alkalmazások, webhelyek vagy szolgáltatások

---

Az egyszeri bejelentkezési alkalmazásbővítménnyel kapcsolatos további információkért tekintse meg az Egyszeri bejelentkezés áttekintése és az Apple-eszközök beállításai Microsoft Intune.

Egyszeri bejelentkezéses alkalmazásbővítmény konfigurációs szabályzatának Létrehozás

Intune

A Microsoft Intune Felügyeleti központban hozzon létre egy eszközkonfigurációs profilt. Ez a profil tartalmazza az SSO-alkalmazásbővítmény eszközökre való konfigurálásának beállításait.

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza az Eszközök>konfigurációja>Létrehozás lehetőséget.

3. Adja meg a következő tulajdonságokat:

   • Platform: Válassza az iOS/iPadOS lehetőséget.
   • Profil típusa: Válassza a SablonokEszközfunkciók> lehetőséget.

4. Válassza Létrehozás:

   

5. Az Alapadatok között adja meg a következő tulajdonságokat:

   • Név: Adja meg a házirend leíró nevét. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Egy jó szabályzatnév például az iOS: SSO-alkalmazásbővítmény.
   • Leírás: Adja meg a szabályzat leírását. A beállítás használata nem kötelező, de ajánlott.

6. Válassza a Tovább gombot.

7. A Konfigurációs beállítások területen válassza az Egyszeri bejelentkezés alkalmazásbővítmény lehetőséget, és konfigurálja a következő tulajdonságokat:

   • SSO-alkalmazásbővítmény típusa: Válassza a Microsoft Entra ID lehetőséget.

     

   • Megosztott eszköz mód engedélyezése:

     • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást.

       A legtöbb esetben, beleértve a megosztott iPadet, a személyes eszközöket és a felhasználói affinitással rendelkező vagy anélkül rendelkező eszközöket, válassza ezt a lehetőséget.

     • Igen: Ezt a beállítást csak akkor válassza, ha a megcélzott eszközök Microsoft Entra megosztott eszköz módot használják. További információt a Megosztott eszköz mód áttekintése című témakörben talál.

   • Alkalmazáscsomag azonosítója: Adja meg azoknak az alkalmazásoknak a csomagazonosítóit, amelyek nem támogatják az MSAL-t , és amelyek használhatják az SSO-t. További információt az MSAL-t nem használó alkalmazások című témakörben talál.

   • További konfiguráció: A végfelhasználói élmény testreszabásához adja hozzá a következő tulajdonságokat. Ezek a tulajdonságok a Microsoft SSO-bővítmény által használt alapértelmezett értékek, de testre szabhatók a szervezet igényei szerint:

     Kulcs	Típus	Leírás
     AppPrefixAllowList	Karakterlánc	Ajánlott érték: com.apple. Adja meg azoknak az alkalmazásoknak az előtagjait, amelyek nem támogatják az MSAL-t , és amelyek használhatják az SSO-t. Írja be például az parancsot com.microsoft.,com.apple. az összes Microsoft- és Apple-alkalmazás engedélyezéséhez. Győződjön meg arról, hogy ezek az alkalmazások megfelelnek az engedélyezési listára vonatkozó követelményeknek.
     browser_sso_interaction_enabled	Egész	Ajánlott érték: 1 Ha a értékre van állítva, a 1felhasználók a Safari böngészőből és az MSAL-t nem támogató alkalmazásokból jelentkezhetnek be. A beállítás engedélyezésével a felhasználók elindíthatják a bővítményt a Safariból vagy más alkalmazásokból.
     disable_explicit_app_prompt	Egész	Ajánlott érték: 1 Egyes alkalmazások helytelenül kényszeríthetik ki a végfelhasználói kéréseket a protokollrétegben. Ha ezt a problémát tapasztalja, a rendszer arra kéri a felhasználókat, hogy jelentkezzenek be, annak ellenére, hogy a Microsoft Enterprise SSO beépülő modul más alkalmazásokhoz is használható. Ha az (egy) értékre 1 van állítva, csökkentheti ezeket a kéréseket.

     Tipp

     Ezekről a tulajdonságokról és egyéb konfigurálható tulajdonságokról további információt a Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz című témakörben talál.

     Ha végzett a beállítások konfigurálásával, és engedélyezi a Microsoft & Apple-alkalmazásokat, a beállítások a Intune konfigurációs profiljában szereplő alábbi értékekhez hasonlóak lesznek:

     

8. Folytassa a profil létrehozását, és rendelje hozzá a profilt azokhoz a felhasználókhoz vagy csoportokhoz, amelyek megkapják ezeket a beállításokat. A konkrét lépésekért lépjen a profil Létrehozás.

   A profilok hozzárendelésével kapcsolatos útmutatásért lásd: Felhasználói és eszközprofilok hozzárendelése.

Amikor az eszköz bejelentkezik a Intune szolgáltatásba, megkapja ezt a profilt. További információt a Szabályzatfrissítési időközök című témakörben talál.

Annak ellenőrzéséhez, hogy a profil megfelelően lett-e üzembe helyezve, lépjen a Intune Felügyeleti központban az Eszközök>konfigurációja> területre, válassza ki a létrehozott profilt, és hozzon létre egy jelentést:

Jamf Pro

A Jamf Pro portálon létrehoz egy számítógép- vagy eszközkonfigurációs profilt. Ez a profil tartalmazza az SSO-alkalmazásbővítmény eszközökre való konfigurálásának beállításait.

1. Jelentkezzen be a Jamf Pro portálra.

2. iOS/iPadOS-profil létrehozásához válassza az Eszközök>konfigurációja>Új lehetőséget:

   

3. A Név mezőben adjon meg egy leíró nevet a szabályzatnak. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Egy jó szabályzatnév például: iOS/iPadOS: Microsoft Enterprise SSO beépülő modul.

4. A Beállítások oszlopban görgessen le, és válassza a Single Sign-On Extensions Add (Önálló Sign-On bővítmények>hozzáadása) lehetőséget:

   

5. Adja meg a következő tulajdonságokat:

   • Hasznos adat típusa: Válassza az SSO lehetőséget.
   • Bővítményazonosító: Írja be a következőt com.microsoft.azureauthenticator.ssoextension: .
   • Csapatazonosító: Nincs szükség értékre. Hagyja üresen a mezőt.
   • Bejelentkezés típusa: Válassza az Átirányítás lehetőséget.
   • URL-címek: Adja meg egyenként a következő URL-címeket:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. Az Egyéni konfiguráció területen más szükséges tulajdonságokat is definiálhat. A Jamf Pro megköveteli, hogy ezek a tulajdonságok egy feltöltött PLIST-fájl használatával legyenek konfigurálva. A konfigurálható tulajdonságok teljes listáját az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul dokumentációjában tekintheti meg.

   Az alábbi példa egy ajánlott PLIST-fájl, amely megfelel a legtöbb szervezet igényeinek:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Ezek a PLIST-beállítások az alábbi SSO-bővítménybeállításokat konfigurálják. Ezek a tulajdonságok a Microsoft SSO-bővítmény által használt alapértelmezett értékek, de testre szabhatók a szervezet igényei szerint:

   Kulcs	Típus	Leírás
   AppPrefixAllowList	Karakterlánc	Ajánlott érték: com.apple.,com.jamf.,com.jamfsoftware. Adja meg azoknak az alkalmazásoknak az előtagjait, amelyek nem támogatják az MSAL-t , és amelyek használhatják az SSO-t. Írja be például az parancsot com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. az összes Microsoft-, Apple- és Jamf Pro-alkalmazás engedélyezéséhez. Győződjön meg arról, hogy ezek az alkalmazások megfelelnek az engedélyezési listára vonatkozó követelményeknek.
   disable_explicit_app_prompt	Egész	Ajánlott érték: 1 Egyes alkalmazások helytelenül kényszeríthetik ki a végfelhasználói kéréseket a protokollrétegben. Ha ezt a problémát tapasztalja, a rendszer arra kéri a felhasználókat, hogy jelentkezzenek be, annak ellenére, hogy a Microsoft Enterprise SSO beépülő modul más alkalmazásokhoz is használható. Ha az (egy) értékre 1 van állítva, csökkentheti ezeket a kéréseket.

   Tipp

   Ezekről a tulajdonságokról és egyéb konfigurálható tulajdonságokról további információt a Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz című témakörben talál.

7. Válassza a Hatókör lapot. Adja meg azokat a számítógépeket vagy eszközöket, amelyeket meg kell céloznia az SSO-bővítmény MDM-profiljának fogadásához.

8. Válassza a Mentés elemet.

Amikor az eszköz bejelentkezik a Jamf Pro szolgáltatással, megkapja a profilt.

Egyéb mobileszköz-kezelők

Az MDM-portálon hozzon létre egy eszközkonfigurációs profilt. Ez a profil tartalmazza az SSO-alkalmazásbővítmény eszközökre való konfigurálásának beállításait.

1. Jelentkezzen be az MDM-portálra.

2. Létrehozás egy új eszközkonfigurációs profilt.

3. Válassza a Single Sign-On Extensions (Egyszeri Sign-On Bővítmények vagy SSO-bővítmény ) lehetőséget. A név a használt MDM-megoldástól függően változik.

4. Adja meg a következő tulajdonságokat:

   Kulcs	Érték
   Hasznos adat típusa	SSO
   Bővítmény azonosítója	com.microsoft.azureauthenticator.ssoextension
   Sign-On típus	Átirányítás
   Urls	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Másik lehetőségként más tulajdonságokat is konfigurálhat. Ezek a tulajdonságok a Microsoft SSO-bővítmény által használt alapértelmezett értékek, de testre szabhatók a szervezet igényei szerint:

   Kulcs	Típus	Leírás
   AppPrefixAllowList	Karakterlánc	Ajánlott érték: com.apple. Adja meg azoknak az alkalmazásoknak az előtagjait, amelyek nem támogatják az MSAL-t , és amelyek használhatják az SSO-t. Írja be például az parancsot com.microsoft.,com.apple. az összes Microsoft- és Apple-alkalmazás engedélyezéséhez. Győződjön meg arról, hogy ezek az alkalmazások megfelelnek az engedélyezési listára vonatkozó követelményeknek.
   browser_sso_interaction_enabled	Egész	Ajánlott érték: 1 Ha a értékre van állítva, a 1felhasználók a Safari böngészőből és az MSAL-t nem támogató alkalmazásokból jelentkezhetnek be. A beállítás engedélyezésével a felhasználók elindíthatják a bővítményt a Safariból vagy más alkalmazásokból.
   disable_explicit_app_prompt	Egész	Ajánlott érték: 1 Egyes alkalmazások helytelenül kényszeríthetik ki a végfelhasználói kéréseket a protokollrétegben. Ha ezt a problémát tapasztalja, a rendszer arra kéri a felhasználókat, hogy jelentkezzenek be, annak ellenére, hogy a Microsoft Enterprise SSO beépülő modul más alkalmazásokhoz is használható. Ha az (egy) értékre 1 van állítva, csökkentheti ezeket a kéréseket.

   Tipp

   Ezekről a tulajdonságokról és egyéb konfigurálható tulajdonságokról további információt a Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz című témakörben talál.

6. Rendelje hozzá az új szabályzatot azokhoz az eszközökhöz, amelyeket meg kell céloznia az SSO-bővítmény MDM-profiljának fogadásához.

Amikor az eszköz bejelentkezik az MDM szolgáltatással, megkapja ezt a profilt.

Végfelhasználói élmény

• Ha nem alkalmazásszabályzattal telepíti a Microsoft Authenticator alkalmazást, a felhasználóknak manuálisan kell telepíteniük. A felhasználóknak nem kell használniuk az Authenticator alkalmazást, csak telepíteni kell az eszközön.

• A felhasználók bármely támogatott alkalmazásba vagy webhelyre bejelentkezve elindítják a bővítményt. A Bootstrap az első bejelentkezés folyamata, amely beállítja a bővítményt.

• Miután a felhasználók sikeresen bejelentkeztek, a bővítmény automatikusan használható bármely más támogatott alkalmazásba vagy webhelyre való bejelentkezéshez.

Az egyszeri bejelentkezés teszteléséhez nyissa meg a Safarit privát módban (nyissa meg az Apple webhelyét), és nyissa meg a webhelyet https://portal.office.com . Nincs szükség felhasználónévre és jelszóra.

Tipp

További információ az SSO beépülő modul működéséről és a Microsoft Enterprise SSO-bővítmény hibaelhárításáról az Apple-eszközök egyszeri bejelentkezéssel kapcsolatos hibaelhárítási útmutatójával.

Kapcsolódó cikkek

• A Microsoft Enterprise SSO beépülő modulról további információt az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modulban talál.

• Az Apple-től az egyszeri bejelentkezési bővítmény hasznos adataival kapcsolatos információkért lépjen az egyszeri bejelentkezési bővítmények hasznosadat-beállításaihoz (nyissa meg az Apple webhelyét).

• A Microsoft Enterprise SSO-bővítmény hibaelhárításával kapcsolatos információkért tekintse meg a Microsoft Enterprise SSO-bővítmény beépülő modul hibaelhárítása Apple-eszközökön című témakört.