Panoramica dell'accesso Single Sign-On (SSO) e opzioni per i dispositivi Apple in Microsoft Intune
I dispositivi Apple possono usare l'accesso Single Sign-On (SSO) per accedere a dispositivi, app e siti Web usando il proprio ID Microsoft Entra. L'accesso SSO consente agli utenti di accedere e ottenere l'accesso senza immettere le credenziali ogni volta.
Questa funzionalità si applica a:
- iOS/iPadOS
- macOS
I dispositivi e la maggior parte delle app, incluse le app line-of-business (LOB), richiedono un certo livello di autenticazione utente. In molti casi, l'autenticazione richiede agli utenti di immettere ripetutamente le stesse credenziali.
Gli amministratori possono usare Microsoft Intune per creare e distribuire criteri SSO. Gli sviluppatori possono creare app che supportano e usano l'accesso Single Sign-On (SSO). Quando si combinano i criteri SSO di Intune con le app che supportano l'accesso SSO, il numero di richieste di credenziali per app e siti Web viene ridotto.
Per configurare l'accesso Single Sign-On per i dispositivi Apple in Intune, sono disponibili le opzioni seguenti:
Piattaforma SSO : parte del plug-in Microsoft Enterprise SSO in Microsoft Entra ID e include l'estensione dell'app SSO. Si applica ai dispositivi macOS.
Estensione dell'app SSO : parte del plug-in Microsoft Enterprise SSO in Microsoft Entra ID. Si applica ai dispositivi iOS/iPadOS e macOS.
Modello single sign-on : modello in Intune. Si applica ai dispositivi iOS/iPadOS.
Questo articolo offre una panoramica delle opzioni SSO disponibili per i dispositivi Apple in Intune e le relative piattaforme supportate.
Accesso Single Sign-On della piattaforma
Questa funzionalità si applica a:
- macOS
Il plug-in SSO di Microsoft Enterprise include due funzionalità SSO: Platform SSO e l'estensione dell'app SSO. Questa sezione è incentrata sull'accesso Single Sign-On della piattaforma.
Nei dispositivi macOS, gli utenti accedono normalmente con un account locale. Quindi, accedono ad app e siti Web con l'ID Microsoft Entra.
Con l'accesso Single Sign-On della piattaforma:
Le organizzazioni possono:
Scegliere il metodo di autenticazione che soddisfa le esigenze aziendali. Le opzioni disponibili sono Autenticazione passkey senza password dell'enclave sicuro, account utente Microsoft Entra & password o autenticazione con smart card.
Usare l'estensione dell'app SSO, perché l'estensione dell'app SSO fa parte della piattaforma SSO. In particolare, si:
- Usare l'estensione dell'app SSO per accedere ad app e siti Web con l'ID Microsoft Entra.
- Usare l'accesso Single Sign-On della piattaforma per migliorare la configurazione dell'accesso SSO. È possibile configurare metodi di autenticazione diversi, creare nuovi utenti dell'organizzazione all'accesso e assegnare le modalità di autorizzazione per gli utenti.
Utenti finali:
- Ottieni un'esperienza di accesso più sicura man mano che Microsoft Entra ID si integra con il plug-in Microsoft Enterprise SSO.
- Ottenere un'esperienza di accesso Single Sign-On in combinazione con l'estensione dell'app SSO. L'estensione dell'app SSO consente l'uso di Touch ID e passkey con Microsoft Entra ID.
- Può accedere con l'account utente di Microsoft Entra e ridurre al minimo il numero di volte in cui devono immettere le credenziali di Microsoft Entra nei dispositivi macOS.
Per altre informazioni sull'accesso Single Sign-On della piattaforma e per iniziare, vedere Configurare l'accesso Single Sign-On della piattaforma per i dispositivi macOS in Intune.
Riepilogo delle funzionalità SSO della piattaforma
La tabella seguente riepiloga le funzionalità SSO della piattaforma in Intune. Usare queste informazioni per determinare se l'accesso Single Sign-On della piattaforma è adatto all'organizzazione.
Funzionalità | Dettagli |
---|---|
Supporto della piattaforma |
❌ iOS/iPadOS ✅ macOS 13.0 e versioni successive |
Tipi di registrazione supportati |
✅ Registrazione del dispositivo ✅ Registrazione automatica dei dispositivi (con supervisione) ❌ Registrazione utente ✅ Registrazione diretta (Apple Configurator) |
Tipi di autenticazione supportati |
✅ Enclave sicuro (UserSecureEnclaveKey) ✅ Password (ID Microsoft Entra) ✅ Smart card |
Tipi di app supportati |
✅ App di Microsoft 365 ✅ App, siti Web o servizi integrati con l'ID Microsoft Entra ✅ App, siti Web o servizi che supportano l'accesso Single Sign-On di Apple Enterprise e sono integrati con Active Directory locale |
Tipo di criteri dell'interfaccia di amministrazione di Intune |
Criteri del catalogo delle impostazioni all'indirizzo: Dispositivi>Gestire i dispositivi>Configurazione>Creare>Nuovi criteri>catalogo delle impostazionidi macOS per piattaforma > per il tipo di > profilo Authentication>Extensible Single Sign On (SSO) |
Consiglio |
✅ Raccomandato. Usare l'accesso Single Sign-On della piattaforma, in quanto include anche l'estensione dell'app SSO. È possibile usare l'estensione dell'app SSO autonomamente, ma non è preferibile. Per usare l'accesso Single Sign-On della piattaforma, è necessario usare solo l'accesso SSO della piattaforma. Non creare criteri di estensione dell'app SSO separati. |
Estensione dell'app SSO
Questa funzionalità si applica a:
- iOS/iPadOS
- macOS
Il plug-in SSO di Microsoft Enterprise include due funzionalità SSO: Platform SSO e l'estensione dell'app SSO. Questa sezione è incentrata sull'estensione dell'app SSO.
L'estensione dell'app SSO fornisce l'accesso SSO ad app, siti Web e account che usano Microsoft Entra ID per l'autenticazione, tra cui:
- App di Microsoft 365
- App sviluppate per cercare l'archivio credenziali utente nell'accesso Single Sign-On nel dispositivo
- Account Active Directory locali in tutte le app che supportano la funzionalità Enterprise SSO di Apple
✅ Per i dispositivi iOS/iPadOS, l'estensione dell'app SSO è disponibile da sola. È quindi possibile configurare e usare l'estensione dell'app SSO per le app & siti Web.
✅ Per i dispositivi macOS, l'estensione dell'app SSO è disponibile da sola ed è inclusa anche nella piattaforma SSO. È quindi possibile configurare e usare solo l'estensione dell'app SSO se non si vuole usare l'accesso Single Sign-On della piattaforma. Se si usa l'accesso Single Sign-On della piattaforma, si configura solo l'accesso Single Sign-On della piattaforma, in quanto include l'estensione dell'app SSO.
L'estensione dell'app SSO è un'estensione dell'app SSO di tipo reindirizzamento. È disponibile per Intune, Jamf Pro e altre soluzioni MDM. In Intune l'estensione dell'app SSO usa un criterio di configurazione del dispositivo con l'ID Microsoft Entra come tipo di estensione dell'app SSO.
Queste impostazioni configurano le estensioni dell'app SSO redirect-type e credential-type. In particolare:
Il tipo di reindirizzamento è progettato per i protocolli di autenticazione moderni, ad esempio OpenID Connect, OAuth e SAML2. È possibile scegliere tra l'estensione Microsoft Entra SSO (plug-in Microsoft Enterprise SSO ) e un'estensione di reindirizzamento generica.
Il tipo di credenziale è progettato per i flussi di autenticazione challenge-and-response. È possibile scegliere tra un'estensione delle credenziali specifica di Kerberos fornita da Apple e un'estensione di credenziali generica.
L'estensione dell'app SSO deve funzionare con qualsiasi MDM non Microsoft o partner. L'estensione deve essere distribuita come estensione Kerberos SSO o distribuita come profilo di configurazione personalizzato con tutte le proprietà necessarie configurate.
Per altre informazioni sull'estensione dell'app SSO, vedere:
iOS/iPadOS:
macOS:
Riepilogo delle funzionalità dell'estensione dell'app SSO
La tabella seguente riepiloga le funzionalità di estensione dell'app SSO in Intune. Usare queste informazioni per determinare se questa opzione SSO è adatta all'organizzazione.
Funzionalità | Dettagli |
---|---|
Supporto della piattaforma |
✅ iOS/iPadOS 13.0 e versioni successive ✅ macOS 10.15 e versioni successive |
Tipi di registrazione supportati | iOS/iPadOS: ✅ Registrazione del dispositivo ✅ Registrazione automatica dei dispositivi (con supervisione) ✅ Registrazione utente ✅ Registrazione diretta (Apple Configurator) macOS: ✅ Registrazione del dispositivo approvata dall'utente ✅ Registrazione automatica dei dispositivi (con supervisione) ✅ Registrazione diretta (Apple Configurator) |
Tipi di autenticazione supportati |
✅ Estensione dell'app SSO di tipo reindirizzamento, incluso l'ID Microsoft Entra ✅ Estensione dell'app credenziali ✅ Estensione Kerberos predefinita di Apple |
Tipi di app supportati |
✅ App di Microsoft 365 ✅ App, siti Web o servizi integrati con l'ID Microsoft Entra ✅ App, siti Web o servizi che supportano l'accesso SSO aziendale di Apple e sono integrati con Active Directory locale |
Tipo di criteri dell'interfaccia di amministrazione di Intune |
Modello Funzionalità dispositivo all'indirizzo: Dispositivi>Gestire i dispositivi>Configurazione>Creare>Nuovi criteri>iOS/iPadOS o macOS per modelli> di piattaforma >Funzionalità del dispositivo per il tipo di > profilo Estensione dell'app Single Sign-On |
Consiglio |
✅ Consigliato in iOS/iPadOS. ❌ Non preferito nei dispositivi macOS. Nei dispositivi macOS è possibile usare l'estensione dell'app SSO da sola. È tuttavia consigliabile usare l'accesso SSO della piattaforma. Se si usa anche l'accesso SSO della piattaforma per macOS, non creare un criterio di estensione dell'app SSO separato. L'estensione dell'app SSO è inclusa nella configurazione di Platform SSO. |
Modello di Single Sign-On
Nota
Invece di queste impostazioni SSO, Apple consiglia di usare l'estensione dell'app SSO (in questo articolo).
Si applica a:
- iOS 7.0 e versioni successive
- iPadOS 13.0 e versioni successive
Questo criterio di accesso Single Sign-On è basato su Kerberos. Kerberos è un protocollo di autenticazione di rete che usa la crittografia della chiave privata per autenticare le applicazioni client-server. Le impostazioni dei criteri di Intune definiscono le informazioni sull'account Kerberos durante l'accesso a server o app specifiche e gestiscono le sfide Kerberos per le pagine Web e le app native.
Per un elenco delle impostazioni che è possibile configurare in Intune, passare a Single Sign-On su iOS/iPadOS.
Per usare l'accesso Single Sign-On, assicurarsi di avere:
- App sviluppata per cercare l'archivio credenziali utente nell'accesso Single Sign-On nel dispositivo.
- Intune configurato per l'accesso Single Sign-On del dispositivo iOS/iPadOS.
Riepilogo delle funzionalità di Single Sign-On
La tabella seguente riepiloga le funzionalità di Single Sign-On in Intune. Usare queste informazioni per determinare se questa opzione SSO è adatta all'organizzazione.
Funzionalità | Dettagli |
---|---|
Supporto della piattaforma |
✅ iOS 7.0 e versioni successive ✅ iPadOS 13.0 e versioni successive ❌ macOS |
Tipi di registrazione supportati |
✅ Registrazione del dispositivo ✅ Registrazione automatica dei dispositivi (con supervisione) ❌ Registrazione utente ❌ Registrazione diretta (Apple Configurator) |
Tipi di autenticazione supportati | Può usare solo l'autenticazione SSO Kerberos. - Immettere le informazioni sull'account Kerberos per quando gli utenti accedono a server o app. - Non è un'implementazione Apple di Kerberos. - Gestisce le sfide Kerberos per le pagine Web e le app |
Tipi di app supportati | Sito Web e app native che supportano l'autenticazione Kerberos. L'app deve essere codificata per cercare l'archivio credenziali utente nell'accesso Single Sign-On nel dispositivo. |
Tipo di criteri dell'interfaccia di amministrazione di Intune |
Modello Funzionalità dispositivo all'indirizzo: Dispositivi>Gestire i dispositivi>Configurazione>Creare>Nuovi criteri>iOS/iPadOS per modelli> di piattaforma >Funzionalità del dispositivo per il tipo di > profilo Single Sign-On |
Consiglio | ❌ Non consigliato. Microsoft consiglia invece di usare l'estensione dell'app SSO (in questo articolo). |
Estensione dell'app SSO e modello SSO
La funzionalità di estensione dell'app Single Sign-On è diversa dalla funzionalità Single Sign-On . Usare la tabella seguente per eseguire il confronto.
Estensione dell'app Single Sign-On | Single Sign-On | |
---|---|---|
Piattaforme supportate |
✅ iOS/iPadOS 13.0 e versioni successive ✅ macOS 10.15 e versioni successive |
✅ iOS 7.0 e versioni successive ✅ iPadOS 13.0 e versioni successive ❌ macOS |
Descrizione | Definire le estensioni per l'uso da parte di provider di identità o organizzazioni per offrire un'esperienza di accesso aziendale senza problemi. Usa il sistema operativo Apple per l'autenticazione. | Definire le informazioni sull'account Kerberos per quando gli utenti accedono a server o app. |
Autenticazione | Dal punto di vista dello sviluppo di app, può usare qualsiasi tipo di autenticazione SSO di reindirizzamento o SSO delle credenziali. | Dal punto di vista dello sviluppo di app, può usare solo l'autenticazione SSO Kerberos. |
Implementazione di Apple | Sviluppato da Apple e integrato nelle piattaforme iOS/iPadOS 13.0+ e macOS 10.15+. L'estensione Kerberos predefinita può essere usata per accedere agli utenti in app e siti Web nativi che supportano l'autenticazione Kerberos. | Non è un'implementazione Apple di Kerberos. |
Consiglio | Raccomandato. Offre un'esperienza utente finale migliorata. Gestisce le sfide Kerberos per le pagine Web, supporta le modifiche delle password e si comporta meglio nelle reti aziendali. Quando si decide di usare Kerberos nell'estensione dell'app SSO o nel modello Single Sign-On , è consigliabile usare l'estensione dell'app SSO a causa di prestazioni e funzionalità migliorate. |
Consigliamo di non farlo. Gestisce le sfide Kerberos per le pagine Web. |
Articoli correlati
Per informazioni sul plug-in SSO di Microsoft Enterprise e sull'ID Microsoft Entra, passare al plug-in Microsoft Enterprise SSO per dispositivi Apple.
Per informazioni da Apple sul payload dell'estensione Single Sign-On, passare alle impostazioni del payload delle estensioni Single Sign-On (apre il sito Web di Apple).
Per informazioni sulla risoluzione dei problemi relativi all'estensione Microsoft Enterprise SSO, vedere Risoluzione dei problemi del plug-in Microsoft Enterprise SSO Extension nei dispositivi Apple.