Usare il plug-in SSO di Microsoft Enterprise nei dispositivi macOS

Il plug-in SSO di Microsoft Enterprise è una funzionalità di Microsoft Entra ID che offre funzionalità di Single Sign-On (SSO) per i dispositivi Apple. Questo plug-in usa il framework di estensione dell'app Single Sign-On di Apple.

• Per i dispositivi iOS/iPadOS, il plug-in Enterprise SSO include l'estensione dell'app SSO.
• Per i dispositivi macOS, il plug-in Enterprise SSO include l'accesso Single Sign-On della piattaforma e l'estensione dell'app SSO.

L'estensione dell'app SSO fornisce l'accesso Single Sign-On ad app e siti Web che usano Microsoft Entra ID per l'autenticazione, incluse le app di Microsoft 365. Riduce il numero di richieste di autenticazione che gli utenti ricevono quando usano dispositivi gestiti da Mobile Gestione dispositivi (MDM), inclusi tutti i dispositivi MDM che supportano la configurazione dei profili SSO.

Questo articolo si applica a:

• macOS

  Per iOS/iPadOS, vedere Usare il plug-in Microsoft Enterprise SSO nei dispositivi iOS/iPadOS.

Nei dispositivi macOS è possibile configurare le impostazioni dell'estensione dell'app SSO in due posizioni in Intune:

• Modello di funzionalità del dispositivo (questo articolo): questa opzione configura solo l'estensione dell'app SSO e usa il provider MDM, ad esempio Intune, per distribuire le impostazioni nei dispositivi.

  Usare questo articolo se si desidera configurare solo le impostazioni dell'estensione dell'app SSO e non si vuole configurare anche l'accesso SSO della piattaforma.

• Catalogo impostazioni : questa opzione configura insieme l'accesso SSO della piattaforma e l'estensione dell'app SSO. È possibile usare Intune per distribuire le impostazioni nei dispositivi.

  Usare le impostazioni del catalogo delle impostazioni se si vogliono configurare sia le impostazioni dell'estensione dell'app Platform SSO che dell'app SSO. Per altre informazioni, vedere Configurare l'accesso SSO della piattaforma per i dispositivi macOS in Microsoft Intune.

Per una panoramica delle opzioni SSO nei dispositivi Apple, vedere Panoramica dell'accesso SSO e opzioni per i dispositivi Apple in Microsoft Intune.

Questo articolo illustra come creare criteri di configurazione dell'estensione dell'app SSO per i dispositivi Apple macOS con Intune, Jamf Pro e altre soluzioni MDM.

Se si vogliono configurare insieme le impostazioni dell'estensione dell'app Platform SSO e SSO, passare a Configurare l'accesso SSO della piattaforma per i dispositivi macOS in Microsoft Intune.

Supporto delle app

Per consentire alle app di usare il plug-in Microsoft Enterprise SSO, sono disponibili due opzioni:

• Opzione 1 - MSAL: le app che supportano Microsoft Authentication Library (MSAL) sfruttano automaticamente il plug-in Microsoft Enterprise SSO. Ad esempio, le app di Microsoft 365 supportano MSAL. Quindi, usano automaticamente il plug-in.

  Se l'organizzazione crea le proprie app, lo sviluppatore dell'app può aggiungere una dipendenza a MSAL. Questa dipendenza consente all'app di usare il plug-in Microsoft Enterprise SSO.

  Per un'esercitazione di esempio, vedere Esercitazione: Accedere agli utenti e chiamare Microsoft Graph da un'app iOS o macOS.

• Opzione 2 - AllowList: le app che non supportano o non sono state sviluppate con MSAL possono usare l'estensione dell'app SSO. Queste app includono browser come Safari e app che usano le API di visualizzazione Web safari.

  Per queste app non MSAL, aggiungere l'ID bundle dell'applicazione o il prefisso alla configurazione dell'estensione nei criteri di estensione dell'app SSO Intune (in questo articolo).

  Ad esempio, per consentire a un'app Microsoft che non supporta MSAL, aggiungere com.microsoft. alla proprietà AppPrefixAllowList nei criteri di Intune. Prestare attenzione alle app consentite, possono ignorare le richieste di accesso interattive per l'utente connesso.

  Per altre informazioni, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple, app che non usano MSAL.

Prerequisiti

Per usare il plug-in SSO di Microsoft Enterprise nei dispositivi macOS:

Intune

• Il dispositivo è MDM gestito da Intune.
• Il dispositivo deve supportare il plug-in:
  • macOS 10.15 e versioni successive
• L'app Microsoft Portale aziendale deve essere installata e configurata nel dispositivo.
• Sono configurati i requisiti del plug-in Enterprise SSO, inclusi gli URL di configurazione della rete Apple.

Jamf Pro

• Il dispositivo è gestito da Jamf Pro.

• Il dispositivo deve supportare il plug-in:

  • macOS 10.15 e versioni successive

• L'app Microsoft Portale aziendale deve essere installata nel dispositivo.

  Gli utenti possono installare manualmente l'app Portale aziendale. In alternativa, gli amministratori possono distribuire l'app usando Jamf Pro. Per un elenco delle opzioni su come installare l'app Portale aziendale, passare a Gestione pacchetti - Aggiunta di un pacchetto a Jamf Amministrazione (apre il sito Web di Jamf Pro).

  Nota

  Nei dispositivi macOS, Apple richiede l'installazione dell'app Portale aziendale. Gli utenti non devono usare o configurare l'app Portale aziendale, ma deve essere installata nel dispositivo.

• Sono configurati i requisiti del plug-in Enterprise SSO, inclusi gli URL di configurazione della rete Apple.

Altri MDM

• Il dispositivo è gestito da una soluzione del provider di gestione dei dispositivi mobili (MDM).

• La soluzione MDM deve supportare la configurazione delle impostazioni del payload MDM single sign-on per i dispositivi Apple (apre il sito Web di Apple) con criteri per i dispositivi.

• Il dispositivo deve supportare il plug-in:

  • macOS 10.15 e versioni successive

• L'app Microsoft Portale aziendale deve essere installata nel dispositivo.

  Gli utenti possono installare manualmente l'app Portale aziendale. In alternativa, gli amministratori possono distribuire l'app usando un criterio MDM. È possibile scaricare il pacchetto del programma di installazione dell'app Portale aziendale.

  Nota

  Nei dispositivi macOS, Apple richiede l'installazione dell'app Portale aziendale. Gli utenti non devono usare o configurare l'app Portale aziendale, ma deve essere installata nel dispositivo.

• Sono configurati i requisiti del plug-in Enterprise SSO, inclusi gli URL di configurazione della rete Apple.

Plug-in Microsoft Enterprise SSO e estensione Kerberos SSO

Quando si usa l'estensione dell'app SSO, si usa il tipo di payload SSO o Kerberos per l'autenticazione. L'estensione dell'app SSO è progettata per migliorare l'esperienza di accesso per le app e i siti Web che usano questi metodi di autenticazione.

Il plug-in SSO di Microsoft Enterprise usa il tipo di payload SSO con l'autenticazione di reindirizzamento . I tipi di estensione Reindirizzamento SSO e Kerberos possono essere usati contemporaneamente in un dispositivo. Assicurarsi di creare profili di dispositivo separati per ogni tipo di estensione che si prevede di usare nei dispositivi.

Per determinare il tipo di estensione SSO corretto per lo scenario, usare la tabella seguente:

---

Plug-in Microsoft Enterprise SSO per dispositivi Apple	Estensione dell'app Single Sign-On con Kerberos
Usa il tipo di estensione dell'app SSO Microsoft Entra ID	Usa il tipo di estensione dell'app Kerberos SSO
Supporta le app seguenti: - Microsoft 365 - App, siti Web o servizi integrati con Microsoft Entra ID	Supporta le app seguenti: - App, siti Web o servizi integrati con AD

Per altre informazioni sull'estensione dell'app SSO, vedere Panoramica dell'accesso SSO e opzioni per i dispositivi Apple in Microsoft Intune.

Create un criterio di configurazione dell'estensione dell'app Single Sign-On

Questa sezione illustra come creare un criterio di estensione dell'app SSO. Per informazioni sull'accesso Single Sign-On della piattaforma, vedere Configurare l'accesso SSO della piattaforma per i dispositivi macOS in Microsoft Intune.

Intune

Nell'interfaccia di amministrazione Microsoft Intune creare un profilo di configurazione del dispositivo. Questo profilo include le impostazioni per configurare l'estensione dell'app SSO nei dispositivi.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. SelezionareConfigurazione>dispositivi>Create>Nuovo criterio.

3. Immettere le seguenti proprietà:

   • Piattaforma: selezionare macOS.
   • Tipo di profilo: selezionare Modelli>Funzionalità del dispositivo.

4. Selezionare Create:

   

5. In Informazioni di base immettere le seguenti proprietà:

   • Nome: immettere un nome descrittivo per il criterio. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido è l'estensione dell'app macOS-SSO.
   • Descrizione: immettere una descrizione per il criterio. Questa impostazione è facoltativa ma consigliata.

6. Selezionare Avanti.

7. In Impostazioni di configurazione selezionare Estensione dell'app Single Sign-On e configurare le proprietà seguenti:

   • Tipo di estensione dell'app SSO: selezionare Microsoft Entra ID:

     

   • ID bundle dell'app: immettere un elenco di ID bundle per le app che non supportano MSAL e che possono usare l'accesso SSO. Per altre informazioni, vedere Applicazioni che non usano MSAL.

   • Configurazione aggiuntiva: per personalizzare l'esperienza utente finale, è possibile aggiungere le proprietà seguenti. Queste proprietà sono i valori predefiniti usati dall'estensione dell'app SSO, ma possono essere personalizzate in base alle esigenze dell'organizzazione:

     Chiave	Tipo	Descrizione
     AppPrefixAllowList	Stringa	Valore consigliato: com.microsoft.,com.apple. Immettere un elenco di prefissi per le app che non supportano MSAL e che possono usare l'accesso SSO. Ad esempio, immettere com.microsoft.,com.apple. per consentire tutte le app Microsoft e Apple. Assicurarsi che queste app soddisfino i requisiti consentiti.
     browser_sso_interaction_enabled	Numero intero	Valore consigliato: 1 Se impostato su 1, gli utenti possono accedere dal browser Safari e dalle app che non supportano MSAL. L'abilitazione di questa impostazione consente agli utenti di eseguire il bootstrap dell'estensione da Safari o da altre app.
     disable_explicit_app_prompt	Numero intero	Valore consigliato: 1 Alcune app potrebbero applicare erroneamente le richieste dell'utente finale a livello di protocollo. Se si verifica questo problema, agli utenti viene richiesto di accedere, anche se il plug-in SSO di Microsoft Enterprise funziona per altre app. Se impostato su 1 (uno), si riducono queste richieste.

     Consiglio

     Per altre informazioni su queste proprietà e altre proprietà che è possibile configurare, passare al plug-in SSO di Microsoft Enterprise per dispositivi Apple.

     Al termine della configurazione delle impostazioni consigliate, le impostazioni sono simili ai valori seguenti nel profilo di configurazione Intune:

     

8. Continuare a creare il profilo e assegnare il profilo agli utenti o ai gruppi che ricevono queste impostazioni. Per i passaggi specifici, passare a Create il profilo.

   Per indicazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.

Quando il criterio è pronto, si assegnano i criteri agli utenti. Microsoft consiglia di assegnare i criteri quando il dispositivo si registra in Intune. Tuttavia, può essere assegnato in qualsiasi momento, anche nei dispositivi esistenti. Quando il dispositivo esegue il check-in con il servizio Intune, riceve questo profilo. Per altre informazioni, vedere Intervalli di aggiornamento dei criteri.

Per verificare che il profilo sia stato distribuito correttamente, nell'interfaccia di amministrazione Intune passare aConfigurazione>dispositivi> selezionare il profilo creato e generare un report:

Jamf Pro

Nel portale di Jamf Pro si crea un profilo di configurazione computer. Questo profilo include le impostazioni per configurare l'estensione dell'app SSO nei dispositivi.

1. Accedere al portale di Jamf Pro.

2. Per creare un profilo macOS, selezionare Profilidi configurazione>computer>Nuovo:

   

3. In Nome immettere un nome descrittivo per i criteri. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido è: plug-in SSO macOS-Microsoft Enterprise.

4. Nella colonna Opzioni scorrere verso il basso e selezionare Aggiungi singole estensioni> Sign-On:

   

5. Immettere le seguenti proprietà:

   • Tipo di payload: selezionare SSO.
   • Identificatore estensione: immettere com.microsoft.CompanyPortalMac.ssoextension.
   • Identificatore del team: immettere UBF8T346G9.
   • Tipo di accesso: selezionare Reindirizzamento.
   • URL: immettere gli URL seguenti, uno alla volta:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. In Configurazione personalizzata si definiscono altre proprietà obbligatorie. Jamf Pro richiede che queste proprietà siano configurate usando un file PLIST caricato. Per visualizzare l'elenco completo delle proprietà configurabili, passare alla documentazione del plug-in SSO di Microsoft Enterprise per dispositivi Apple.

   L'esempio seguente è un file PLIST consigliato che soddisfa le esigenze della maggior parte delle organizzazioni:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Queste impostazioni PLIST configurano le seguenti opzioni di estensione SSO. Queste proprietà sono i valori predefiniti usati dall'estensione dell'app SSO, ma possono essere personalizzate in base alle esigenze dell'organizzazione:

   Chiave	Tipo	Descrizione
   AppPrefixAllowList	Stringa	Valore consigliato: com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. Immettere un elenco di prefissi per le app che non supportano MSAL e che possono usare l'accesso SSO. Ad esempio, immettere com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. per consentire tutte le app Microsoft, Apple e Jamf Pro. Assicurarsi che queste app soddisfino i requisiti consentiti.
   disable_explicit_app_prompt	Numero intero	Valore consigliato: 1 Alcune app potrebbero applicare erroneamente le richieste dell'utente finale a livello di protocollo. Se si verifica questo problema, agli utenti viene richiesto di accedere, anche se il plug-in SSO di Microsoft Enterprise funziona per altre app. Se impostato su 1 (uno), si riducono queste richieste.

   Consiglio

   Per altre informazioni su queste proprietà e altre proprietà che è possibile configurare, passare al plug-in SSO di Microsoft Enterprise per dispositivi Apple.

7. Selezionare la scheda Ambito . Immettere i computer o i dispositivi di destinazione per ricevere il profilo MDM dell'estensione SSO.

8. Seleziona Salva.

Quando il dispositivo esegue l'accesso con il servizio Jamf Pro, riceve questo profilo.

Consiglio

Se si usa Jamf Connect, è consigliabile seguire le indicazioni più recenti di Jamf sull'integrazione di Jamf Connect con Microsoft Entra ID (apre il sito Web di Jamf Pro). Il modello di integrazione consigliato garantisce che Jamf Connect funzioni correttamente con i criteri di accesso condizionale e Microsoft Entra ID Protection.

Altri MDM

Nel portale MDM creare un profilo di configurazione del dispositivo. Questo profilo include le impostazioni per configurare l'estensione dell'app SSO nei dispositivi.

1. Accedere al portale MDM.

2. Create un nuovo profilo di configurazione del dispositivo.

3. Selezionare un'opzione denominata estensioni single Sign-On o estensione SSO. Il nome può variare a seconda del servizio MDM.

4. Immettere le seguenti proprietà:

   Chiave	Valore
   Tipo di payload	SSO
   Identificatore di estensione	com.microsoft.CompanyPortalMac.ssoextension
   Identificatore del team	UBF8T346G9
   Tipo Sign-On	Reindirizzare
   URL	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Facoltativamente, è possibile configurare altre proprietà. Queste proprietà sono i valori predefiniti usati dall'estensione dell'app SSO, ma possono essere personalizzate in base alle esigenze dell'organizzazione:

   Chiave	Tipo	Descrizione
   AppPrefixAllowList	Stringa	Valore consigliato: com.microsoft.,com.apple. Immettere un elenco di prefissi per le app che non supportano MSAL e che possono usare l'accesso SSO. Ad esempio, immettere com.microsoft.,com.apple. per consentire tutte le app Microsoft e Apple. Assicurarsi che queste app soddisfino i requisiti consentiti.
   browser_sso_interaction_enabled	Numero intero	Valore consigliato: 1 Se impostato su 1, gli utenti possono accedere dal browser Safari e dalle app che non supportano MSAL. L'abilitazione di questa impostazione consente agli utenti di eseguire il bootstrap dell'estensione da Safari o da altre app.
   disable_explicit_app_prompt	Numero intero	Valore consigliato: 1 Alcune app potrebbero applicare erroneamente le richieste dell'utente finale a livello di protocollo. Se si verifica questo problema, agli utenti viene richiesto di accedere, anche se il plug-in SSO di Microsoft Enterprise funziona per altre app. Se impostato su 1 (uno), si riducono queste richieste.

   Consiglio

   Per altre informazioni su queste proprietà e altre proprietà che è possibile configurare, passare al plug-in SSO di Microsoft Enterprise per dispositivi Apple.

6. Assegnare i nuovi criteri ai dispositivi che devono essere destinati a ricevere il profilo MDM dell'estensione SSO.

Quando il dispositivo esegue l'accesso con il servizio MDM, riceve questo profilo.

Esperienza utente finale

• Se non si distribuisce l'app Portale aziendale usando un criterio dell'app, gli utenti devono installarla manualmente. Gli utenti non devono usare l'app Portale aziendale, ma deve essere installata nel dispositivo.

• Gli utenti accedono a qualsiasi app o sito Web supportato per eseguire il bootstrap dell'estensione. Bootstrap è il processo di accesso per la prima volta, che configura l'estensione.

• Dopo l'accesso degli utenti, l'estensione viene usata automaticamente per accedere a qualsiasi altra app o sito Web supportato.

È possibile testare l'accesso Single Sign-On aprendo Safari in modalità privata (apre il sito Web di Apple) e aprendo il https://portal.office.com sito. Non saranno necessari nome utente e password.

In macOS, quando gli utenti accedono a un'app aziendale o dell'istituto di istruzione, viene richiesto di acconsentire esplicitamente all'accesso SSO. Possono selezionare Non chiedermi di rifiutare esplicitamente l'accesso SSO e bloccare le richieste future.

Gli utenti possono anche gestire le preferenze SSO nell'app Portale aziendale per macOS. Per modificare le preferenze, passare alla barra > dei menu dell'app Portale aziendale Portale aziendale>Impostazioni. Possono selezionare o deselezionare Non chiedermi di accedere con l'accesso Single Sign-On per questo dispositivo.

Consiglio

Altre informazioni sul funzionamento del plug-in SSO e su come risolvere i problemi relativi all'estensione Microsoft Enterprise SSO con la guida alla risoluzione dei problemi SSO per i dispositivi Apple.

Articoli correlati

• Per informazioni sul plug-in SSO di Microsoft Enterprise, passare al plug-in Microsoft Enterprise SSO per dispositivi Apple.

• Per informazioni da Apple sul payload dell'estensione Single Sign-On, passare alle impostazioni del payload delle estensioni Single Sign-On (apre il sito Web di Apple).

• Per informazioni sulla risoluzione dei problemi relativi all'estensione Microsoft Enterprise SSO, vedere Risoluzione dei problemi del plug-in Microsoft Enterprise SSO Extension nei dispositivi Apple.