Bagikan melalui

Apa itu akses menyeluruh Microsoft untuk Linux?

Akses menyeluruh (SSO) Microsoft untuk Linux didukung oleh Microsoft Identity Broker, komponen perangkat lunak yang mengintegrasikan perangkat Linux dengan ID Microsoft Entra. Solusi ini memungkinkan pengguna untuk mengautentikasi sekali dengan kredensial ID Microsoft Entra mereka dan mengakses beberapa aplikasi dan sumber daya tanpa permintaan autentikasi berulang. Fitur ini menyederhanakan proses masuk untuk pengguna dan mengurangi overhead manajemen kata sandi untuk administrator.

Features

Fitur ini memberdayakan pengguna di klien desktop Linux untuk mendaftarkan perangkat mereka dengan ID Microsoft Entra, mendaftar ke manajemen Intune, dan memenuhi kebijakan Akses Bersyarah berbasis perangkat saat mengakses sumber daya perusahaan mereka.

  • Menyediakan registrasi ID Microsoft Entra dan pendaftaran desktop Linux
  • Menyediakan kemampuan SSO untuk aplikasi asli dan web (misalnya, Azure CLI, Microsoft Edge, Teams PWA) untuk mengakses sumber daya yang dilindungi Microsoft 365 dan Azure
  • Menyediakan SSO untuk akun Microsoft Entra di seluruh aplikasi yang menggunakan MSAL untuk .NET atau MSAL untuk Python, memungkinkan pelanggan menggunakan Microsoft Authentication Library (MSAL) untuk mengintegrasikan SSO ke dalam aplikasi kustom
  • Mengaktifkan kebijakan "Akses Bersyarat" yang melindungi aplikasi web dengan menggunakan Microsoft Edge
  • Mengaktifkan kebijakan kepatuhan Intune standar
  • Mengaktifkan dukungan untuk skrip Bash untuk kebijakan kepatuhan kustom

Aplikasi web Teams dan Progressive Web App (PWA) yang digunakan di Linux memakai konfigurasi Akses Bersyarat yang diterapkan melalui Microsoft Intune untuk memungkinkan pengguna Linux mengakses Teams dengan Microsoft Edge.

Prasyarat

Sistem Operasi yang Didukung

Akses menyeluruh Microsoft untuk Linux didukung pada sistem operasi berikut (komputer fisik atau Hyper-V dengan CPU x86/64):

  • Ubuntu Desktop 24.04 LTS (Dukungan Jangka Panjang)
  • Ubuntu Desktop 22.04 LTS (Dukungan Jangka Panjang)
  • Red Hat Enterprise Linux 8 (Dukungan Jangka Panjang)
  • Red Hat Enterprise Linux 9 (Dukungan Jangka Panjang)

Persyaratan Sistem

  • Konektivitas internet untuk penginstalan paket dan komunikasi ID Microsoft Entra
  • Hak istimewa administratif untuk penginstalan
  • Lingkungan desktop (GNOME, KDE, atau sejenisnya)

Persyaratan ID Microsoft Entra

  • Penyewa MICROSOFT Entra ID
  • Akun pengguna yang disinkronkan dengan atau dibuat di ID Microsoft Entra
  • Lisensi yang sesuai untuk kebijakan akses bersyarkat (jika berlaku)

Pengalaman SSO

Animasi berikut menunjukkan pengalaman pengguna untuk alur yang diprokerasi di Linux.

Demo pengalaman masuk Linux

Nota

microsoft-identity-broker versi 2.0.1 dan versi yang lebih lama saat ini tidak mendukung kepatuhan FIPS.

Installation

Jalankan perintah berikut di baris perintah untuk menginstal secara manual fungsi satu kali masuk Microsoft (microsoft-identity-broker) dan dependensi yang diperlukan di perangkat Anda.

  1. Pasang Curl.

    sudo apt install curl gpg

  2. Instal kunci penandatanganan paket Microsoft.

    curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
sudo install -o root -g root -m 644 microsoft.gpg /usr/share/keyrings
rm microsoft.gpg

  3. Tambahkan dan perbarui Repositori Linux Microsoft ke daftar repositori sistem.

    sudo sh -c 'echo "deb [arch=amd64 signed-by=/usr/share/keyrings/microsoft.gpg] https://packages.microsoft.com/ubuntu/$(lsb_release -rs)/prod $(lsb_release -cs) main" >> /etc/apt/sources.list.d/microsoft-ubuntu-$(lsb_release -cs)-prod.list'
sudo apt update

  4. Instal aplikasi single sign-on Microsoft (microsoft-identity-broker).

    sudo apt install microsoft-identity-broker

  5. Reboot perangkat Anda.

Memperbarui Microsoft Identity Broker

Jalankan perintah berikut untuk memperbarui Microsoft Identity Broker secara manual.

  1. Perbarui repositori paket dan metadata.

    sudo apt update

  2. Tingkatkan paket Microsoft Identity Broker.

    sudo apt upgrade microsoft-identity-broker

Copot pemasangan Microsoft Identity Broker

Jalankan perintah berikut untuk menghapus instalan Microsoft Identity Broker dan menghapus data pendaftaran lokal.

  1. Hapus Microsoft Identity Broker dari sistem Anda.

    sudo apt remove microsoft-identity-broker

  2. Hapus data pendaftaran lokal. Perintah ini menghapus data konfigurasi lokal yang berisi pendaftaran perangkat Anda.

    sudo apt purge intune-portal
sudo apt purge microsoft-identity-broker

Mengaktifkan Phish-Resistant MFA (PRMFA) di perangkat Linux (Pratinjau)

Dimulai dengan versi 2.0.2 dari aplikasi microsoft-identity-broker, Phish-Resistant MFA (PRMFA) kini didukung pada perangkat Linux menggunakan:

  • Smartcard
  • Autentikasi Berbasis Sertifikat (CBA)
  • Token USB yang berisi applet PIV/Smartcard

Fitur ini dalam pratinjau dan memerlukan langkah-langkah konfigurasi tambahan untuk mengaktifkan dukungan untuk SmartCard/CBA di perangkat Linux.

Nota

Saluran insider-fast hanya tersedia untuk microsoft-identity-broker versi 2.0.2 dan versi lebih tinggi.

Untuk menginstal saluran insiders-fast dari microsoft-identity-broker:

# Enable the insiders-fast repo
sudo sh -c 'echo "deb [arch=amd64 signed-by=/usr/share/keyrings/microsoft.gpg] https://packages.microsoft.com/ubuntu/$(lsb_release -rs)/prod insiders-fast main" >> /etc/apt/sources.list.d/microsoft-ubuntu-$(lsb_release -cs)-insiders-fast.list'

sudo apt update

# Install or upgrade microsoft-identity-broker from the enabled repo
sudo apt install microsoft-identity-broker

Autentikasi Kartu Pintar

Autentikasi kartu pintar memperluas metode berbasis sertifikat dengan memperkenalkan token fisik yang menyimpan sertifikat pengguna. Ketika kartu dimasukkan ke dalam pembaca, sistem mengambil sertifikat dan melakukan validasi.

Mengonfigurasi dukungan SmartCard melibatkan pengaturan pustaka dan modul yang diperlukan untuk mengaktifkan autentikasi berbasis sertifikat menggunakan token fisik. Ada berbagai solusi SmartCard yang tersedia, seperti YubiKey, yang dapat diintegrasikan dengan berbagai distribusi Linux. Untuk petunjuk tentang dua platform yang didukung, lihat dokumentasi distribusi:

Contoh konfigurasi Kartu Pintar

Langkah-langkah berikut mengonfigurasi contoh referensi penggunaan integrasi jembatan YubiKey/Edge, tetapi penyedia kartu pintar lainnya dapat dikonfigurasi dengan cara yang sama.

  1. Instal driver Smart Card dan dukungan YubiKey:

    sudo apt install pcscd yubikey-manager

  2. Instal komponen YubiKey/Edge Bridge:

    sudo apt install opensc libnss3-tools openssl

  3. Mengonfigurasi database Network Security Service (NSS) untuk pengguna saat ini:

    mkdir -p $HOME/.pki/nssdb
chmod 700 $HOME/.pki
chmod 700 $HOME/.pki/nssdb
modutil -force -create -dbdir sql:$HOME/.pki/nssdb
modutil -force -dbdir sql:$HOME/.pki/nssdb -add 'SC Module' -libfile /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so

Autentikasi Berbasis Sertifikat

Autentikasi klien berbasis sertifikat diimplementasikan melalui protokol Secure Sockets Layer (TLS/SSL). Dalam proses ini, klien menandatangani blok data yang dihasilkan secara acak dengan kunci privatnya, lalu mengirimkan sertifikat dan data yang ditandatangani ke server. Server memeriksa tanda tangan dan memvalidasi sertifikat sebelum memberikan akses.

Cara term mudah untuk mengonfigurasi Autentikasi Certificate-Based (CBA) adalah dengan menggunakan solusi Private Key Infrastructure (PKI) yang mengeluarkan sertifikat pengguna ke perangkat Linux. Sertifikat ini kemudian dapat digunakan untuk autentikasi terhadap ID Microsoft Entra. Untuk mengonfigurasi Linux agar menerima sertifikat ini untuk autentikasi, Anda biasanya perlu menyiapkan penyimpanan sertifikat yang sesuai dan memastikan bahwa mekanisme autentikasi sistem dikonfigurasi untuk menggunakan sertifikat ini.

Isi Terkait

Untuk informasi selengkapnya, lihat dokumentasi Intune berikut ini:

  • Last updated on