A Microsoft Enterprise SSO beépülő modul használata macOS-eszközökön
A Microsoft Enterprise SSO beépülő modul a Microsoft Entra ID szolgáltatása, amely egyszeri bejelentkezési (SSO) funkciókat biztosít az Apple-eszközökhöz. Ez a beépülő modul az Apple egyszeri bejelentkezéses alkalmazásbővítmény-keretrendszerét használja.
- iOS-/iPadOS-eszközök esetén a Vállalati egyszeri bejelentkezés beépülő modul tartalmazza az SSO-alkalmazásbővítményt.
- MacOS-eszközök esetén a vállalati SSO beépülő modul tartalmazza a Platform SSO-t és az SSO-alkalmazásbővítményt.
Az SSO-alkalmazásbővítmény egyszeri bejelentkezést biztosít a Hitelesítéshez Microsoft Entra-azonosítót használó alkalmazásokhoz és webhelyekhez, beleértve a Microsoft 365-alkalmazásokat is. Csökkenti a felhasználók által a mobileszköz-kezelés (MDM) által kezelt eszközök használatakor megjelenő hitelesítési kérések számát, beleértve az SSO-profilok konfigurálását támogató MDM-eket is.
Ez a funkció az alábbiakra vonatkozik:
macOS
iOS/iPadOS esetén nyissa meg a Microsoft Enterprise SSO beépülő modul használata iOS/iPadOS-eszközökön című témakört.
MacOS-eszközökön az Intune-ban két helyen konfigurálhatja az SSO-alkalmazásbővítmény beállításait:
Eszközfunkció-sablon (ez a cikk) – Ez a beállítás csak az SSO-alkalmazásbővítményt konfigurálja, és az MDM-szolgáltatót, például az Intune-t használja a beállítások eszközökre történő üzembe helyezéséhez.
Akkor használja ezt a cikket, ha csak az SSO-alkalmazásbővítmény beállításait szeretné konfigurálni, és nem szeretné a platform egyszeri bejelentkezését is konfigurálni.
Beállításkatalógus – Ez a beállítás együttesen konfigurálja a platform egyszeri bejelentkezését és az SSO-alkalmazásbővítményt. Az Intune-ból telepítheti a beállításokat az eszközeire.
Használja a beállításkatalógus beállításait, ha a Platform SSO és az SSO alkalmazásbővítmény beállításait is konfigurálni szeretné. További információt a Platform SSO konfigurálása macOS-eszközökhöz a Microsoft Intune-ban című témakörben talál.
Az Apple-eszközökön elérhető egyszeri bejelentkezési lehetőségek áttekintését az SSO áttekintése és az Apple-eszközök beállításai a Microsoft Intune-ban című cikkben tekintheti meg.
Ez a cikk bemutatja, hogyan hozhat létre SSO-alkalmazásbővítmény-konfigurációs szabályzatot macOS Apple-eszközökhöz az Intune, a Jamf Pro és más MDM-megoldásokkal.
Ha együtt szeretné konfigurálni a platform egyszeri bejelentkezés és az egyszeri bejelentkezés alkalmazásbővítményének beállításait, lépjen a Platform SSO konfigurálása macOS-eszközökhöz a Microsoft Intune-ban című témakörben.
Alkalmazástámogatás
Ahhoz, hogy alkalmazásai a Microsoft Enterprise SSO beépülő modult használják, két lehetősége van:
1. lehetőség – MSAL: A Microsoft Authentication Libraryt (MSAL) támogató alkalmazások automatikusan kihasználják a Microsoft Enterprise SSO beépülő modul előnyeit. A Microsoft 365-alkalmazások például támogatják az MSAL-t. Így automatikusan a beépülő modult használják.
Ha a szervezete saját alkalmazásokat hoz létre, az alkalmazásfejlesztő függőséget adhat hozzá az MSAL-hez. Ez a függőség lehetővé teszi, hogy az alkalmazás a Microsoft Enterprise SSO beépülő modult használja.
A minta oktatóanyagért tekintse meg az Oktatóanyag: Felhasználók bejelentkezése és a Microsoft Graph meghívása iOS- vagy macOS-alkalmazásból című témakört.
2. lehetőség – Engedélyezési lista: Azok az alkalmazások, amelyek nem támogatják vagy nem fejlesztették ki az MSAL-t, használhatják az SSO-alkalmazásbővítményt. Ezek közé az alkalmazások közé tartoznak a böngészők, például a Safari és a Safari webes nézet API-kat használó alkalmazások.
Ezekhez a nem MSAL-alkalmazásokhoz adja hozzá az alkalmazáscsomag azonosítóját vagy előtagját a bővítménykonfigurációhoz az Intune SSO alkalmazásbővítmény-szabályzatában (ebben a cikkben).
Ha például egy olyan Microsoft-alkalmazást szeretne engedélyezni, amely nem támogatja az MSAL-t, adja hozzá
com.microsoft.
az AppPrefixAllowList tulajdonsághoz az Intune-szabályzatban. Legyen óvatos az engedélyezett alkalmazásokkal, és figyelmen kívül hagyhatja a bejelentkezett felhasználó interaktív bejelentkezési kéréseit.További információ: Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz – az MSAL-t nem használó alkalmazásokhoz.
Előfeltételek
A Microsoft Enterprise SSO beépülő modul használata macOS-eszközökön:
- Az eszköz MDM-et az Intune felügyeli.
- Az eszköznek támogatnia kell a beépülő modult:
- macOS 10.15 és újabb
- A Microsoft Céges portál alkalmazást telepíteni és konfigurálni kell az eszközön.
- A vállalati SSO beépülő modul követelményei konfigurálva vannak, beleértve az Apple hálózati konfigurációs URL-címeit is.
Microsoft Enterprise SSO beépülő modul és Kerberos SSO-bővítmény
Az SSO alkalmazásbővítmény használatakor az SSO vagy a Kerberos Payload Type típust használja a hitelesítéshez. Az SSO alkalmazásbővítmény úgy lett kialakítva, hogy javítsa az ilyen hitelesítési módszereket használó alkalmazások és webhelyek bejelentkezési élményét.
A Microsoft Enterprise SSO beépülő modul az SSO hasznos adattípust használja átirányításos hitelesítéssel. Az SSO-átirányítás és a Kerberos-bővítménytípus egyszerre használható egy eszközön. Mindenképpen hozzon létre külön eszközprofilokat az eszközökön használni kívánt bővítménytípusokhoz.
A forgatókönyvnek megfelelő SSO-bővítménytípus meghatározásához használja az alábbi táblázatot:
Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz | Egyszeri bejelentkezési alkalmazásbővítmény Kerberosszal |
---|---|
A Microsoft Entra ID SSO alkalmazásbővítmény-típust használja | A Kerberos SSO alkalmazásbővítmény-típust használja |
A következő alkalmazásokat támogatja: - Microsoft 365 – A Microsoft Entra ID-val integrált alkalmazások, webhelyek vagy szolgáltatások |
A következő alkalmazásokat támogatja: – Az AD-vel integrált alkalmazások, webhelyek vagy szolgáltatások |
Az SSO-alkalmazásbővítménnyel kapcsolatos további információkért tekintse meg az Apple-eszközök egyszeri bejelentkezésének áttekintését és beállításait a Microsoft Intune-ban.
Egyszeri bejelentkezési alkalmazásbővítmény konfigurációs szabályzatának létrehozása
Ez a szakasz bemutatja, hogyan hozhat létre SSO-alkalmazásbővítmény-szabályzatot. A platform egyszeri bejelentkezéséről további információt a Platform SSO konfigurálása macOS-eszközökhöz a Microsoft Intune-ban című témakörben talál.
A Microsoft Intune Felügyeleti központban hozzon létre egy eszközkonfigurációs profilt. Ez a profil tartalmazza az SSO-alkalmazásbővítmény eszközökre való konfigurálásának beállításait.
Jelentkezzen be a Microsoft Intune felügyeleti központba.
Válassza az Eszközök>Eszközök kezelése>Konfiguráció>Létrehozás>Új házirend lehetőséget.
Adja meg a következő tulajdonságokat:
- Platform: Válassza a macOS lehetőséget.
- Profil típusa: Válassza a SablonokEszközfunkciók> lehetőséget.
Válassza a Létrehozás lehetőséget:
Az Alapadatok között adja meg a következő tulajdonságokat:
- Név: Adja meg a házirend leíró nevét. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Egy jó szabályzatnév például a macOS-SSO alkalmazásbővítmény.
- Leírás: Adja meg a szabályzat leírását. A beállítás használata nem kötelező, de ajánlott.
Válassza a Tovább gombot.
A Konfigurációs beállítások területen válassza az Egyszeri bejelentkezés alkalmazásbővítmény lehetőséget, és konfigurálja a következő tulajdonságokat:
SSO-alkalmazásbővítmény típusa: Válassza a Microsoft Entra-azonosítót:
Alkalmazáscsomag azonosítója: Adja meg azoknak az alkalmazásoknak a csomagazonosítóit, amelyek nem támogatják az MSAL-t , és amelyek használhatják az SSO-t. További információt az MSAL-t nem használó alkalmazások című témakörben talál.
További konfiguráció: A végfelhasználói élmény testreszabásához adja hozzá a következő tulajdonságokat. Ezek a tulajdonságok az SSO-alkalmazásbővítmény által használt alapértelmezett értékek, de testre szabhatók a szervezet igényei szerint:
Kulcs Típus Leírás AppPrefixAllowList Karakterlánc Ajánlott érték: com.microsoft.,com.apple.
Adja meg azoknak az alkalmazásoknak az előtagjait, amelyek nem támogatják az MSAL-t , és amelyek használhatják az SSO-t. Írja be például az parancsotcom.microsoft.,com.apple.
az összes Microsoft- és Apple-alkalmazás engedélyezéséhez.
Győződjön meg arról, hogy ezek az alkalmazások megfelelnek az engedélyezési listára vonatkozó követelményeknek.browser_sso_interaction_enabled Egész szám Ajánlott érték: 1
Ha a értékre van állítva, a1
felhasználók a Safari böngészőből és az MSAL-t nem támogató alkalmazásokból jelentkezhetnek be. A beállítás engedélyezésével a felhasználók elindíthatják a bővítményt a Safariból vagy más alkalmazásokból.disable_explicit_app_prompt Egész szám Ajánlott érték: 1
Egyes alkalmazások helytelenül kényszeríthetik ki a végfelhasználói kéréseket a protokollrétegben. Ha ezt a problémát tapasztalja, a rendszer arra kéri a felhasználókat, hogy jelentkezzenek be, annak ellenére, hogy a Microsoft Enterprise SSO beépülő modul más alkalmazásokhoz is használható.
Ha az (egy) értékre1
van állítva, csökkentheti ezeket a kéréseket.Tipp
Ezekről a tulajdonságokról és egyéb konfigurálható tulajdonságokról az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modulban talál további információt.
Ha végzett az ajánlott beállítások konfigurálásával, a beállítások az Intune-konfigurációs profil alábbi értékeihez hasonlóak lesznek:
Folytassa a profil létrehozását, és rendelje hozzá a profilt azokhoz a felhasználókhoz vagy csoportokhoz, amelyek megkapják ezeket a beállításokat. A konkrét lépéseket a Profil létrehozása című témakörben találja.
A profilok hozzárendelésével kapcsolatos útmutatásért lásd: Felhasználói és eszközprofilok hozzárendelése.
Ha a szabályzat elkészült, hozzárendelheti a szabályzatot a felhasználókhoz. A Microsoft azt javasolja, hogy rendelje hozzá a szabályzatot, amikor az eszköz regisztrál az Intune-ban. De bármikor hozzárendelhető, beleértve a meglévő eszközöket is. Amikor az eszköz bejelentkezik az Intune szolgáltatással, megkapja ezt a profilt. További információt a Szabályzatfrissítési időközök című témakörben talál.
Annak ellenőrzéséhez, hogy a profil megfelelően lett-e üzembe helyezve, az Intune Felügyeleti központban lépjen az Eszközök>kezelése Eszközök>konfigurálása> területre, válassza ki a létrehozott profilt, és hozzon létre egy jelentést:
Végfelhasználói élmény
Ha nem alkalmazásszabályzattal telepíti a Céges portál alkalmazást, a felhasználóknak manuálisan kell telepíteniük. A felhasználóknak nem kell használniuk a Céges portál alkalmazást, csak telepíteni kell az eszközön.
A felhasználók bármely támogatott alkalmazásba vagy webhelyre bejelentkezve elindítják a bővítményt. A Bootstrap az első bejelentkezés folyamata, amely beállítja a bővítményt.
Miután a felhasználók sikeresen bejelentkeztek, a bővítmény automatikusan használható bármely más támogatott alkalmazásba vagy webhelyre való bejelentkezéshez.
Az egyszeri bejelentkezés teszteléséhez nyissa meg a Safarit privát módban (nyissa meg az Apple webhelyét), és nyissa meg a webhelyet https://portal.office.com
. Nincs szükség felhasználónévre és jelszóra.
MacOS rendszeren, amikor a felhasználók bejelentkeznek egy munkahelyi vagy iskolai alkalmazásba, a rendszer kérni fogja, hogy jelentkezzenek be vagy lépjenek ki az SSO-ból. Választhatják a Ne kérjem újra lehetőséget, hogy kikapcsoljam az egyszeri bejelentkezést, és blokkolják a jövőbeli kéréseket.
A felhasználók az SSO-beállításokat a macOS-hez készült Céges portál alkalmazásban is kezelhetik. A beállítások szerkesztéséhez nyissa meg a Vállalati portál alkalmazás menüsávJának Céges portál>beállításai parancsát>. Kiválaszthatják vagy megszüntethetik a Ne kérjem meg, hogy jelentkezzenek be egyszeri bejelentkezéssel ehhez az eszközhöz jelölőnégyzetet.
Tipp
További információ az SSO beépülő modul működéséről és a Microsoft Enterprise SSO-bővítmény hibaelhárításáról az Apple-eszközök egyszeri bejelentkezéssel kapcsolatos hibaelhárítási útmutatójával.
Kapcsolódó cikkek
A Microsoft Enterprise SSO beépülő modulról további információt az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modulban talál.
Az Apple-től az egyszeri bejelentkezési bővítmény hasznos adataival kapcsolatos információkért lépjen az egyszeri bejelentkezési bővítmények hasznosadat-beállításaihoz (nyissa meg az Apple webhelyét).
A Microsoft Enterprise SSO-bővítmény hibaelhárításával kapcsolatos információkért tekintse meg a Microsoft Enterprise SSO-bővítmény beépülő modul hibaelhárítása Apple-eszközökön című témakört.