Plug-in Microsoft Enterprise SSO per dispositivi Apple

Il plug-in Microsoft Enterprise SSO per i dispositivi Apple fornisce l'accesso Single Sign-On (SSO) per gli account Azure Active Directory (Azure AD) in macOS, iOS e iPadOS in tutte le applicazioni che supportano la funzionalità Single Sign-On aziendale di Apple. Il plug-in fornisce l'accesso Single Sign-On anche per le applicazioni precedenti che l'azienda potrebbe dipendere, ma che non supportano ancora le librerie o i protocolli di gestione delle identità più recenti. Microsoft ha collaborato con Apple per sviluppare questo plug-in per aumentare l'usabilità dell'applicazione offrendo al tempo stesso la migliore protezione disponibile.

Il plug-in Enterprise SSO è attualmente una funzionalità predefinita delle app seguenti:

• Microsoft Authenticator: iOS, iPadOS
• Microsoft Intune Portale aziendale: macOS

Funzionalità

Il plug-in Microsoft Enterprise SSO per i dispositivi Apple offre i vantaggi seguenti:

• Fornisce l'accesso SSO per gli account Azure AD in tutte le applicazioni che supportano la funzionalità Apple Enterprise SSO.
• Può essere abilitato da qualsiasi soluzione di gestione di dispositivi mobili (MDM) ed è supportato sia nella registrazione del dispositivo che dell'utente.
• Estende l'accesso Single Sign-On alle applicazioni che non usano ancora Microsoft Authentication Library (MSAL).
• Estende l'accesso Single Sign-On alle applicazioni che usano OAuth 2, OpenID Connect e SAML.
• È integrato in modo nativo con MSAL, che offre un'esperienza nativa uniforme per l'utente finale quando il plug-in Microsoft Enterprise SSO è abilitato.

Requisiti

Per usare il plug-in Microsoft Enterprise SSO per i dispositivi Apple:

• Il dispositivo deve supportare e avere un'app installata con il plug-in Microsoft Enterprise SSO per i dispositivi Apple:
  • iOS 13.0 e versioni successive: App Microsoft Authenticator
  • iPadOS 13.0 e versioni successive: App Microsoft Authenticator
  • macOS 10.15 e versioni successive: Portale aziendale Intune'app
• Il dispositivo deve essere registrato in MDM, ad esempio tramite Microsoft Intune.
• Per abilitare il plug-in Enterprise SSO, è necessario eseguire il push della configurazione nel dispositivo . Apple richiede questo vincolo di sicurezza.

Requisiti di iOS

• IOS 13.0 o versione successiva devono essere installati nel dispositivo.
• Un'applicazione Microsoft che fornisce il plug-in Microsoft Enterprise SSO per i dispositivi Apple deve essere installata nel dispositivo. Questa app è l'app Microsoft Authenticator.

Requisiti macOS

• MacOS 10.15 o versione successiva deve essere installato nel dispositivo.
• Un'applicazione Microsoft che fornisce il plug-in Microsoft Enterprise SSO per i dispositivi Apple deve essere installata nel dispositivo. Questa app è l'app Portale aziendale Intune.

Abilitare il plug-in SSO

Usare le informazioni seguenti per abilitare il plug-in SSO usando MDM.

configurazione di Microsoft Intune

Se si usa Microsoft Intune come servizio MDM, è possibile usare le impostazioni predefinite del profilo di configurazione per abilitare il plug-in Microsoft Enterprise SSO:

1. Configurare le impostazioni dell'estensione dell'app SSO di un profilo di configurazione.
2. Se il profilo non è già assegnato, assegnare il profilo a un utente o a un gruppo di dispositivi.

Le impostazioni del profilo che abilitano il plug-in SSO vengono applicate automaticamente ai dispositivi del gruppo alla successiva archiviazione di ogni dispositivo con Intune.

Configurazione manuale per altri servizi MDM

Se non usi Intune per MDM, puoi configurare un payload del profilo extensible Single Sign On per i dispositivi Apple. Usare i parametri seguenti per configurare il plug-in Microsoft Enterprise SSO e le relative opzioni di configurazione.

Impostazioni iOS:

• ID estensione: com.microsoft.azureauthenticator.ssoextension
• ID team: questo campo non è necessario per iOS.

Impostazioni macOS:

• ID estensione: com.microsoft.CompanyPortalMac.ssoextension
• ID team: UBF8T346G9

Impostazioni comuni:

• Tipo: Reindirizzamento
  • https://login.microsoftonline.com
  • https://login.microsoft.com
  • https://sts.windows.net
  • https://login.partner.microsoftonline.cn
  • https://login.chinacloudapi.cn
  • https://login.microsoftonline.us
  • https://login-us.microsoftonline.com

Guide alla distribuzione

Usare le guide alla distribuzione seguenti per abilitare il plug-in Microsoft Enterprise SSO usando la soluzione MDM scelta:

Intune:

• Guida a iOS
• Guida a macOS

Jamf Pro:

• Guida a iOS
• Guida a macOS

Altro MDM:

• Guida a iOS
• Guida a macOS

Altre opzioni di configurazione

È possibile aggiungere altre opzioni di configurazione per estendere la funzionalità SSO ad altre app.

Abilitare l'accesso SSO per le app che non usano MSAL

Il plug-in SSO consente a qualsiasi applicazione di partecipare all'accesso SSO anche se non è stato sviluppato usando Microsoft SDK come Microsoft Authentication Library (MSAL).

Il plug-in SSO viene installato automaticamente dai dispositivi con:

• Scarica l'app Authenticator in iOS o iPadOS o scarica l'app Portale aziendale Intune in macOS.
• MDM-registrato il dispositivo con l'organizzazione.

L'organizzazione usa probabilmente l'app Authenticator per scenari come l'autenticazione a più fattori (MFA), l'autenticazione senza password e l'accesso condizionale. Usando un provider MDM, è possibile attivare il plug-in SSO per le applicazioni. Microsoft ha reso più semplice configurare il plug-in usando Microsoft Intune. Un elenco di elementi consentiti viene usato per configurare queste applicazioni per l'uso del plug-in SSO.

Importante

Il plug-in Microsoft Enterprise SSO supporta solo le app che usano tecnologie di rete Apple native o visualizzazioni Web. Non supporta le applicazioni che spediscono la propria implementazione del livello di rete.

Usare i parametri seguenti per configurare il plug-in Microsoft Enterprise SSO per le app che non usano MSAL.

Importante

Non è necessario aggiungere app che usano microsoft Authentication Library a questo elenco di elementi consentiti. Per impostazione predefinita, queste app partecipano all'accesso SSO. La maggior parte delle app compilate da Microsoft usa Microsoft Authentication Library.

Abilitare l'accesso Single Sign-On per tutte le app gestite

• Chiave: Enable_SSO_On_All_ManagedApps
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 0 per impostazione predefinita.

Quando questo flag è attivato (il relativo valore è impostato su 1), tutte le app gestite da MDM non incluse in possono partecipare all'accesso AppBlockList SSO.

Abilitare l'accesso Single Sign-On per app specifiche

• Chiave: AppAllowList
• Tipo: String
• Valore: elenco delimitato da virgole di ID bundle dell'applicazione per le applicazioni a cui è consentito partecipare all'accesso SSO.
• Esempio: com.contoso.workapp, com.contoso.travelapp

Nota

Safari e Safari View Service sono autorizzati a partecipare all'accesso SSO per impostazione predefinita. Può essere configurato per non partecipare all'accesso Single Sign-On aggiungendo gli ID bundle di Safari e Safari View Service in AppBlockList. ID bundle iOS: [com.apple.mobilesafari, com.apple.SafariViewService] macOS BundleID : [com.apple.Safari]

Abilitare l'accesso Single Sign-On per tutte le app con un prefisso ID bundle specifico

• Chiave: AppPrefixAllowList
• Tipo: String
• Valore: elenco delimitato da virgole di prefissi ID bundle dell'applicazione per le applicazioni a cui è consentito partecipare all'accesso SSO. Questo parametro consente a tutte le app che iniziano con un prefisso specifico di partecipare all'accesso SSO. Per iOS, il valore predefinito sarà impostato su com.apple. e che abilita l'accesso SSO per tutte le app Apple. Per macOS, il valore predefinito verrà impostato su com.apple. e com.microsoft. che abilita l'accesso SSO per tutte le app Apple e Microsoft. Gli amministratori possono eseguire l'override del valore predefinito o aggiungere app per AppBlockList impedire loro di partecipare all'accesso SSO.
• Esempio: com.contoso., com.fabrikam.

Disabilitare l'accesso Single Sign-On per app specifiche

• Chiave: AppBlockList
• Tipo: String
• Valore: elenco delimitato da virgole di ID bundle dell'applicazione per le applicazioni che non possono partecipare all'accesso SSO.
• Esempio: com.contoso.studyapp, com.contoso.travelapp

Per disabilitare l'accesso SSO per Safari o Safari View Service, è necessario farlo in modo esplicito aggiungendo gli ID bundle a AppBlockList:

• iOS: com.apple.mobilesafari, com.apple.SafariViewService
• macOS: com.apple.Safari

Abilitare l'accesso SSO tramite cookie per un'applicazione specifica

Alcune app iOS con impostazioni di rete avanzate potrebbero riscontrare problemi imprevisti quando sono abilitati per l'accesso SSO. Ad esempio, potrebbe essere visualizzato un errore che indica che una richiesta di rete è stata annullata o interrotta.

Se gli utenti hanno problemi di accesso a un'applicazione anche dopo averla abilitata tramite le altre impostazioni, provare ad aggiungerla all'oggetto AppCookieSSOAllowList per risolvere i problemi.

• Chiave: AppCookieSSOAllowList
• Tipo: String
• Valore: elenco delimitato da virgole dei prefissi ID bundle dell'applicazione per le applicazioni che possono partecipare all'accesso SSO. Tutte le app che iniziano con i prefissi elencati potranno partecipare all'accesso SSO.
• Esempio: com.contoso.myapp1, com.fabrikam.myapp2

Altri requisiti: per abilitare l'accesso SSO per le applicazioni usando AppCookieSSOAllowList, è necessario aggiungere anche i prefissi AppPrefixAllowListID bundle.

Provare questa configurazione solo per le applicazioni con errori di accesso imprevisti. Questa chiave deve essere usata solo per le app iOS e non per le app macOS.

Riepilogo delle chiavi

Chiave	Type	valore
Enable_SSO_On_All_ManagedApps	Integer	1 per abilitare l'accesso SSO per tutte le app gestite, 0 per disabilitare l'accesso SSO per tutte le app gestite.
AppAllowList	string (elenco delimitato da virgole)	ID bundle di applicazioni consentite per partecipare all'accesso SSO.
AppBlockList	string (elenco delimitato da virgole)	ID bundle di applicazioni non consentite per partecipare all'accesso SSO.
AppPrefixAllowList	string (elenco delimitato da virgole)	Prefissi ID bundle delle applicazioni consentite per partecipare all'accesso SSO. Per iOS, il valore predefinito sarà impostato su com.apple. e che abilita l'accesso SSO per tutte le app Apple. Per macOS, il valore predefinito verrà impostato su com.apple. e com.microsoft. che abilita l'accesso SSO per tutte le app Apple e Microsoft. Gli sviluppatori , i clienti o gli amministratori possono sostituire il valore predefinito o aggiungere app per AppBlockList impedire loro di partecipare all'accesso SSO.
AppCookieSSOAllowList	string (elenco delimitato da virgole)	Prefissi ID bundle delle applicazioni consentite per partecipare all'accesso SSO, ma che usano impostazioni di rete speciali e hanno problemi con l'accesso SSO usando le altre impostazioni. Le app aggiunte a AppCookieSSOAllowList devono essere aggiunte anche a AppPrefixAllowList. Si noti che questa chiave deve essere usata solo per le app iOS e non per le app macOS.

Impostazioni per scenari comuni

• Scenario: si vuole abilitare l'accesso SSO per la maggior parte delle applicazioni gestite, ma non per tutti.

  Chiave	Valore
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	ID bundle (elenco delimitato da virgole) delle app che si desidera impedire di partecipare all'accesso SSO.

• Scenario Si vuole disabilitare l'accesso SSO per Safari, abilitato per impostazione predefinita, ma abilitare l'accesso SSO per tutte le app gestite.

  Chiave	Valore
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	ID bundle (elenco delimitato da virgole) delle app Safari che si desidera impedire di partecipare all'accesso SSO. Per iOS: com.apple.mobilesafari, com.apple.SafariViewService Per macOS: com.apple.Safari

• Scenario: si vuole abilitare l'accesso SSO in tutte le app gestite e in poche app non gestite, ma disabilitare l'accesso SSO per alcune altre app.

  Chiave	Valore
  Enable_SSO_On_All_ManagedApps	1
  AppAllowList	ID bundle (elenco delimitato da virgole) delle app che si desidera abilitare per la partecipazione all'accesso SSO.
  AppBlockList	ID bundle (elenco delimitato da virgole) delle app che si desidera impedire di partecipare all'accesso SSO.

Trovare gli identificatori di bundle dell'app nei dispositivi iOS

Apple non offre un modo semplice per ottenere ID bundle dalla App Store. Il modo più semplice per ottenere gli ID bundle delle app che si vuole usare per l'accesso SSO consiste nel chiedere al fornitore o allo sviluppatore di app. Se questa opzione non è disponibile, è possibile usare la configurazione MDM per trovare gli ID bundle:

1. Abilitare temporaneamente il flag seguente nella configurazione MDM:

   • Chiave: admin_debug_mode_enabled
   • Tipo: Integer
   • Valore: 1 o 0

2. Quando questo flag è attivo, accedere alle app iOS nel dispositivo per cui si vuole conoscere l'ID bundle.

3. Nell'app Authenticator selezionare Guida>Invio logVisualizza log>.

4. Nel file di log cercare la riga seguente: [ADMIN MODE] SSO extension has captured following app bundle identifiers. Questa riga deve acquisire tutti gli ID bundle dell'applicazione visibili all'estensione SSO.

Usare gli ID bundle per configurare l'accesso SSO per le app. Disabilitare la modalità amministratore una volta completata.

Consentire agli utenti di accedere dalle applicazioni che non usano MSAL e il browser Safari

Per impostazione predefinita, il plug-in Microsoft Enterprise SSO acquisirà una credenziale condivisa quando viene chiamata da un'altra app che usa MSAL durante una nuova acquisizione di token. A seconda della configurazione, il plug-in Microsoft Enterprise SSO può anche acquisire credenziali condivise quando viene chiamato dalle app che non usano MSAL.

Quando si abilita il flag, le app che non usano MSAL possono eseguire l'avvio browser_sso_interaction_enabled iniziale e ottenere credenziali condivise. Il browser Safari può anche eseguire il bootstrapping iniziale e ottenere una credenziale condivisa.

Se il plug-in Microsoft Enterprise SSO non dispone ancora di credenziali condivise, tenterà di ottenere uno ogni volta che viene richiesto un accesso da un URL di Azure AD all'interno del browser Safari, ASWebAuthenticationSession, SafariViewController o un'altra applicazione nativa consentita.

Usare questi parametri per abilitare il flag:

• Chiave: browser_sso_interaction_enabled
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 1 per impostazione predefinita.

Sia iOS che macOS richiedono questa impostazione in modo che il plug-in Microsoft Enterprise SSO possa offrire un'esperienza coerente in tutte le app. Questa impostazione è abilitata per impostazione predefinita e deve essere disabilitata solo se l'utente finale non è in grado di accedere con le proprie credenziali.

Disabilitare le richieste dell'applicazione OAuth 2

Se un'applicazione richiede agli utenti di accedere anche se il plug-in Microsoft Enterprise SSO funziona per altre applicazioni nel dispositivo, l'app potrebbe ignorare l'accesso SSO a livello di protocollo. Le credenziali condivise vengono ignorate anche da tali applicazioni perché il plug-in fornisce l'accesso SSO aggiungendo le credenziali alle richieste di rete effettuate dalle applicazioni consentite.

Questi parametri specificano se l'estensione SSO deve impedire alle applicazioni Web e native di ignorare l'accesso SSO al livello del protocollo e forzare la visualizzazione di una richiesta di accesso all'utente.

Per un'esperienza SSO coerente in tutte le app nel dispositivo, è consigliabile abilitare una di queste impostazioni per le app che non usano MSAL. È consigliabile abilitare questa opzione solo per le app che usano MSAL se gli utenti riscontrano richieste impreviste.

App che non usano una libreria di autenticazione Microsoft:

Disabilitare il prompt dell'app e visualizzare la selezione dell'account:

• Chiave: disable_explicit_app_prompt
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 1 per impostazione predefinita e questa impostazione predefinita riduce le richieste.

Disabilitare il prompt delle app e selezionare un account dall'elenco degli account SSO corrispondenti automaticamente:

• Chiave: disable_explicit_app_prompt_and_autologin
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 0 per impostazione predefinita.

App che usano una libreria di autenticazione Microsoft:

Le impostazioni seguenti non sono consigliate se i criteri di Protezione di app sono in uso.

Disabilitare il prompt dell'app e visualizzare la selezione dell'account:

• Chiave: disable_explicit_native_app_prompt
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 0 per impostazione predefinita.

Disabilitare il prompt delle app e selezionare un account dall'elenco degli account SSO corrispondenti automaticamente:

• Chiave: disable_explicit_native_app_prompt_and_autologin
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 0 per impostazione predefinita.

Richieste di applicazioni SAML impreviste

Se un'applicazione richiede agli utenti di accedere anche se il plug-in Microsoft Enterprise SSO funziona per altre applicazioni nel dispositivo, l'app potrebbe ignorare l'accesso SSO a livello di protocollo. Se l'applicazione usa il protocollo SAML, il plug-in Microsoft Enterprise SSO non sarà in grado di fornire l'accesso SSO all'app. Il fornitore dell'applicazione deve ricevere una notifica su questo comportamento e apportare una modifica nell'app per non ignorare l'accesso SSO.

Modificare l'esperienza iOS per le applicazioni abilitate per MSAL

Le app che usano MSAL richiamano sempre l'estensione SSO in modo nativo per le richieste interattive. In alcuni dispositivi iOS potrebbe non essere auspicabile. In particolare, se l'utente deve completare l'autenticazione a più fattori all'interno dell'app Microsoft Authenticator, un reindirizzamento interattivo a tale app potrebbe offrire un'esperienza utente migliore.

Questo comportamento può essere configurato usando il disable_inapp_sso_signin flag. Se questo flag è abilitato, le app che usano MSAL reindirizzeranno all'app Microsoft Authenticator per tutte le richieste interattive. Questo flag non influisce sulle richieste di token invisibile all'utente da tali app, il comportamento delle app che non usano MSAL o app macOS. Questo flag è disabilitato per impostazione predefinita.

• Chiave: disable_inapp_sso_signin
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 0 per impostazione predefinita.

Configurare la registrazione dei dispositivi di Azure AD

Per i dispositivi gestiti da Intune, il plug-in Microsoft Enterprise SSO può eseguire la registrazione dei dispositivi di Azure AD quando un utente sta tentando di accedere alle risorse. Ciò consente un'esperienza utente finale più semplificata.

Usare la configurazione seguente per abilitare la registrazione Just in Time per iOS/iPadOS con Microsoft Intune:

• Chiave: device_registration
• Tipo: String
• Valore: {{DEVICEREGISTRATION}}

Altre informazioni sulla registrazione Just in Time sono disponibili qui.

Criteri di accesso condizionale e modifiche delle password

Il plug-in Microsoft Enterprise SSO per i dispositivi Apple è compatibile con vari criteri di accesso condizionale di Azure AD e eventi di modifica delle password. browser_sso_interaction_enabled è necessario abilitare per ottenere la compatibilità.

Gli eventi e i criteri compatibili sono documentati nelle sezioni seguenti:

Modifica della password e revoca dei token

Quando un utente reimposta la password, tutti i token rilasciati prima che vengano revocati. Se un utente sta tentando di accedere a una risorsa dopo un evento di reimpostazione della password, l'utente dovrebbe normalmente accedere di nuovo in ognuna delle app. Quando il plug-in SSO di Microsoft Enterprise è abilitato, verrà chiesto all'utente di accedere alla prima applicazione che partecipa all'accesso SSO. Il plug-in Microsoft Enterprise SSO mostrerà la propria interfaccia utente sopra l'applicazione attualmente attiva.

Azure AD Multi-Factor Authentication

L'autenticazione a più fattori è un processo in cui gli utenti vengono richiesti durante il processo di accesso per una forma aggiuntiva di identificazione, ad esempio un codice sul cellulare o un'analisi delle impronte digitali. L'autenticazione a più fattori può essere abilitata per risorse specifiche. Quando il plug-in Microsoft Enterprise SSO è abilitato, verrà chiesto all'utente di eseguire l'autenticazione a più fattori nella prima applicazione che lo richiede. Il plug-in Microsoft Enterprise SSO mostrerà la propria interfaccia utente sopra l'applicazione attualmente attiva.

Frequenza di accesso utente

La frequenza di accesso definisce il periodo di tempo prima che un utente venga chiesto di accedere di nuovo quando si tenta di accedere a una risorsa. Se un utente sta tentando di accedere a una risorsa dopo il periodo di tempo passato in varie app, un utente normalmente deve accedere di nuovo in ognuna di queste app. Quando il plug-in Microsoft Enterprise SSO è abilitato, verrà chiesto a un utente di accedere alla prima applicazione che partecipa all'accesso SSO. Il plug-in Microsoft Enterprise SSO mostrerà la propria interfaccia utente sopra l'applicazione attualmente attiva.

Configurazione di rete necessaria

Il plug-in Microsoft Enterprise SSO si basa sul framework SSO aziendale di Apple. Il framework SSO aziendale di Apple garantisce che solo un plug-in SSO approvato possa funzionare per ogni provider di identità usando una tecnologia denominata domini associati. Per verificare l'identità del plug-in SSO, ogni dispositivo Apple invierà una richiesta di rete a un endpoint di proprietà del provider di identità e leggere informazioni sui plug-in SSO approvati. Oltre a raggiungere direttamente il provider di identità, Apple ha implementato anche un'altra memorizzazione nella cache per queste informazioni.

Affinché il plug-in SSO funzioni correttamente, i dispositivi Apple devono essere autorizzati a raggiungere sia gli URL del provider di identità che gli URL propri senza intercettare aggiuntivi. Ciò significa che tali URL devono essere esclusi dai proxy di rete, dall'intercettazione e da altri sistemi aziendali.

Ecco il set minimo di URL che devono essere consentiti per la funzione del plug-in SSO:

• *.cdn-apple.com
• *.networking.apple
• login.microsoftonline.com
• login.microsoft.com
• sts.windows.net
• login.partner.microsoftonline.cn
• login.chinacloudapi.cn
• login.microsoftonline.us
• login-us.microsoftonline.com

Gli URL di Apple aggiuntivi che potrebbero essere consentiti sono documentati qui: https://support.apple.com/en-us/HT210060

Usare Intune per la configurazione semplificata

È possibile usare Intune come servizio MDM per semplificare la configurazione del plug-in Microsoft Enterprise SSO. Ad esempio, è possibile usare Intune per abilitare il plug-in e aggiungere app precedenti a un elenco consentito in modo da ottenere l'accesso SSO.

Per altre informazioni, vedere la documentazione di configurazione Intune.

Usare il plug-in SSO nell'applicazione

MSAL per dispositivi Apple versione 1.1.0 e versioni successive supporta il plug-in Microsoft Enterprise SSO per i dispositivi Apple. È il modo consigliato per aggiungere il supporto per il plug-in Microsoft Enterprise SSO. Garantisce di ottenere le funzionalità complete del Microsoft Identity Platform.

Se si sta creando un'applicazione per scenari di lavoro frontline, vedere Modalità dispositivo condiviso per i dispositivi iOS per le informazioni di configurazione.

Informazioni sul funzionamento del plug-in SSO

Il plug-in Microsoft Enterprise SSO si basa sul framework Apple Enterprise SSO. I provider di identità che accedono al framework possono intercettare il traffico di rete per i propri domini e migliorare o modificare il modo in cui vengono gestite queste richieste. Ad esempio, il plug-in SSO può mostrare più interfacce utente per raccogliere le credenziali utente finali in modo sicuro, richiedere MFA o fornire in modo automatico i token all'applicazione.

Le applicazioni native possono anche implementare operazioni personalizzate e comunicare direttamente con il plug-in SSO. Per altre informazioni, vedere questo video della Conferenza per sviluppatori mondiale 2019 da Apple.

Applicazioni che usano MSAL

MSAL per dispositivi Apple versione 1.1.0 e versioni successive supporta il plug-in Microsoft Enterprise SSO per i dispositivi Apple in modo nativo per gli account aziendali e dell'istituto di istruzione.

Non è necessaria alcuna configurazione speciale se sono stati seguiti tutti i passaggi consigliati e è stato usato il formato URI di reindirizzamento predefinito. Nei dispositivi che dispongono del plug-in SSO, MSAL lo richiama automaticamente per tutte le richieste di token interattive e invisibile all'utente. Richiama anche l'enumerazione dell'account e le operazioni di rimozione dell'account. Poiché MSAL implementa un protocollo plug-in SSO nativo che si basa sulle operazioni personalizzate, questa configurazione offre l'esperienza nativa più uniforme all'utente finale.

Nei dispositivi iOS e iPadOS, se il plug-in SSO non è abilitato da MDM, ma l'app Microsoft Authenticator è presente nel dispositivo, MSAL usa invece l'app Authenticator per eventuali richieste di token interattive. Il plug-in Microsoft Enterprise SSO condivide l'accesso SSO con l'app Authenticator.

Applicazioni che non usano MSAL

Le applicazioni che non usano MSAL possono comunque ottenere l'accesso SSO se un amministratore aggiunge queste applicazioni all'elenco allowlist.

Non è necessario modificare il codice in tali app, purché siano soddisfatte le condizioni seguenti:

• L'applicazione usa framework Apple per eseguire richieste di rete. Questi framework includono WKWebView e NSURLSession, ad esempio.
• L'applicazione usa protocolli standard per comunicare con Azure AD. Questi protocolli includono, ad esempio, OAuth 2, SAML e WS-Federation.
• L'applicazione non raccoglie nomi utente e password in testo non crittografato nell'interfaccia utente nativa.

In questo caso, l'accesso Single Sign-On viene fornito quando l'applicazione crea una richiesta di rete e apre un Web browser per l'accesso dell'utente. Quando un utente viene reindirizzato a un URL di accesso di Azure AD, il plug-in SSO convalida l'URL e verifica la presenza di credenziali SSO per tale URL. Se trova le credenziali, il plug-in SSO lo passa ad Azure AD, che autorizza l'applicazione a completare la richiesta di rete senza chiedere all'utente di immettere le credenziali. Inoltre, se il dispositivo è noto ad Azure AD, il plug-in SSO passa il certificato del dispositivo per soddisfare il controllo dell'accesso condizionale basato su dispositivo.

Per supportare l'accesso Single Sign-On per le app non MSAL, il plug-in SSO implementa un protocollo simile al plug-in del browser Di Windows descritto in Che cos'è un token di aggiornamento primario?.

Rispetto alle app basate su MSAL, il plug-in SSO agisce in modo più trasparente per le app non MSAL. Si integra con l'esperienza di accesso del browser esistente che le app forniscono.

L'utente finale vede l'esperienza familiare e non deve accedere di nuovo in ogni applicazione. Ad esempio, invece di visualizzare la selezione account nativa, il plug-in SSO aggiunge sessioni SSO all'esperienza di selezione account basata sul Web.

Passaggi successivi

Informazioni sulla modalità dispositivo condiviso per i dispositivi iOS.