Condividi tramite


Usare il plug-in SSO di Microsoft Enterprise nei dispositivi iOS/iPadOS

Il plug-in SSO di Microsoft Enterprise è una funzionalità di Microsoft Entra ID che offre funzionalità di Single Sign-On (SSO) per i dispositivi Apple. Questo plug-in usa il framework di estensione dell'app Single Sign-On di Apple.

L'estensione dell'app SSO fornisce l'accesso Single Sign-On ad app e siti Web che usano Microsoft Entra ID per l'autenticazione, incluse le app di Microsoft 365. Riduce il numero di richieste di autenticazione che gli utenti ricevono quando usano dispositivi gestiti da Gestione dispositivi mobili (MDM), inclusi tutti i dispositivi MDM che supportano la configurazione dei profili SSO.

Questa funzionalità si applica a:

Questo articolo illustra come creare criteri di configurazione dell'estensione dell'app SSO per dispositivi Apple iOS/iPadOS con Intune, Jamf Pro e altre soluzioni MDM.

Supporto delle app

Per consentire alle app di usare il plug-in Microsoft Enterprise SSO, sono disponibili due opzioni:

  • Opzione 1 - MSAL: le app che supportano Microsoft Authentication Library (MSAL) sfruttano automaticamente il plug-in Microsoft Enterprise SSO. Ad esempio, le app di Microsoft 365 supportano MSAL. Quindi, usano automaticamente il plug-in.

    Se l'organizzazione crea le proprie app, lo sviluppatore dell'app può aggiungere una dipendenza a MSAL. Questa dipendenza consente all'app di usare il plug-in Microsoft Enterprise SSO.

    Per un'esercitazione di esempio, vedere Esercitazione: Accedere agli utenti e chiamare Microsoft Graph da un'app iOS o macOS.

  • Opzione 2 - AllowList: le app che non supportano o non sono state sviluppate con MSAL possono usare l'estensione dell'app SSO. Queste app includono browser come Safari e app che usano le API di visualizzazione Web safari.

    Per queste app non MSAL, aggiungere l'ID bundle dell'applicazione o il prefisso alla configurazione dell'estensione nei criteri di estensione dell'app SSO di Intune (in questo articolo).

    Ad esempio, per consentire a un'app Microsoft che non supporta MSAL, aggiungere com.microsoft. alla proprietà AppPrefixAllowList nei criteri di Intune. Prestare attenzione alle app consentite, possono ignorare le richieste di accesso interattive per l'utente connesso.

    Per altre informazioni, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple, app che non usano MSAL.

Prerequisiti

Per usare il plug-in SSO di Microsoft Enterprise nei dispositivi iOS/iPadOS:

  • Il dispositivo è gestito da Intune.

  • Il dispositivo deve supportare il plug-in:

    • iOS/iPadOS 13.0 e versioni successive
  • L'app Microsoft Authenticator deve essere installata nel dispositivo.

    Gli utenti possono installare l'app Microsoft Authenticator manualmente. In alternativa, gli amministratori possono distribuire l'app usando Intune. Per informazioni su come installare l'app Microsoft Authenticator, vedere Gestire le app acquistate con volume Apple.

  • Sono configurati i requisiti del plug-in Enterprise SSO, inclusi gli URL di configurazione della rete Apple.

Nota

Nei dispositivi iOS/iPadOS, Apple richiede l'installazione dell'estensione dell'app SSO e dell'app Microsoft Authenticator. Gli utenti non devono usare o configurare l'app Microsoft Authenticator, ma deve essere installata nel dispositivo.

Plug-in Microsoft Enterprise SSO e estensione Kerberos SSO

Quando si usa l'estensione dell'app SSO, si usa il tipo di payload SSO o Kerberos per l'autenticazione. L'estensione dell'app SSO è progettata per migliorare l'esperienza di accesso per le app e i siti Web che usano questi metodi di autenticazione.

Il plug-in SSO di Microsoft Enterprise usa il tipo di payload SSO con l'autenticazione di reindirizzamento . I tipi di estensione Reindirizzamento SSO e Kerberos possono essere usati contemporaneamente in un dispositivo. Assicurarsi di creare profili di dispositivo separati per ogni tipo di estensione che si prevede di usare nei dispositivi.

Per determinare il tipo di estensione SSO corretto per lo scenario, usare la tabella seguente:


Plug-in Microsoft Enterprise SSO per dispositivi Apple Estensione dell'app Single Sign-On con Kerberos
Usa il tipo di estensione dell'app Microsoft Entra ID SSO Usa il tipo di estensione dell'app Kerberos SSO
Supporta le app seguenti:
- Microsoft 365
- App, siti Web o servizi integrati con Microsoft Entra ID
Supporta le app seguenti:
- App, siti Web o servizi integrati con AD


Per altre informazioni sull'estensione dell'app Single Sign-On, vedere Panoramica dell'accesso Single Sign-On e opzioni per i dispositivi Apple in Microsoft Intune.

Creare un criterio di configurazione dell'estensione dell'app Single Sign-On

Nell'interfaccia di amministrazione di Microsoft Intune creare un profilo di configurazione del dispositivo. Questo profilo include le impostazioni per configurare l'estensione dell'app SSO nei dispositivi.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Dispositivi>Gestisci dispositivi>Configurazione>Crea>Nuovo criterio.

  3. Immettere le proprietà seguenti:

    • Piattaforma: selezionare iOS/iPadOS.
    • Tipo di profilo: selezionare Modelli>Funzionalità del dispositivo.
  4. Selezionare Crea:

    Screenshot che mostra come creare un profilo di configurazione delle funzionalità del dispositivo per iOS/iPadOS in Microsoft Intune.

  5. In Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il criterio. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido è iOS: estensione dell'app SSO.
    • Descrizione: immettere una descrizione per il criterio. Questa impostazione è facoltativa ma consigliata.
  6. Seleziona Avanti.

  7. In Impostazioni di configurazione selezionare Estensione dell'app Single Sign-On e configurare le proprietà seguenti:

    • Tipo di estensione dell'app SSO: selezionare Microsoft Entra ID.

      Screenshot che mostra il tipo di estensione dell'app SSO e l'ID Microsoft Entra per iOS/iPadOS in Intune.

    • Abilitare la modalità dispositivo condiviso:

      • Non configurato: Intune non modifica o aggiorna questa impostazione.

        Per la maggior parte degli scenari, inclusi iPad condivisi, dispositivi personali e dispositivi con o senza affinità utente, selezionare questa opzione.

      • : selezionare questa opzione solo se i dispositivi di destinazione usano la modalità dispositivo condiviso di Microsoft Entra. Per altre informazioni, vedere Panoramica della modalità dispositivo condiviso.

    • ID bundle dell'app: immettere un elenco di ID bundle per le app che non supportano MSAL e che possono usare l'accesso SSO. Per altre informazioni, vedere Applicazioni che non usano MSAL.

    • Configurazione aggiuntiva: per personalizzare l'esperienza utente finale, è possibile aggiungere le proprietà seguenti. Queste proprietà sono i valori predefiniti usati dall'estensione Microsoft SSO, ma possono essere personalizzate in base alle esigenze dell'organizzazione:

      Chiave Tipo Descrizione
      AppPrefixAllowList Stringa Valore consigliato: com.apple.

      Immettere un elenco di prefissi per le app che non supportano MSAL e che possono usare l'accesso SSO. Ad esempio, immettere com.microsoft.,com.apple. per consentire tutte le app Microsoft e Apple.

      Assicurarsi che queste app soddisfino i requisiti consentiti.
      browser_sso_interaction_enabled Numero intero Valore consigliato: 1

      Se impostato su 1, gli utenti possono accedere dal browser Safari e dalle app che non supportano MSAL. L'abilitazione di questa impostazione consente agli utenti di eseguire il bootstrap dell'estensione da Safari o da altre app.
      disable_explicit_app_prompt Numero intero Valore consigliato: 1

      Alcune app potrebbero applicare erroneamente le richieste dell'utente finale a livello di protocollo. Se si verifica questo problema, agli utenti viene richiesto di accedere, anche se il plug-in SSO di Microsoft Enterprise funziona per altre app.

      Se impostato su 1 (uno), si riducono queste richieste.

      Consiglio

      Per altre informazioni su queste proprietà e altre proprietà che è possibile configurare, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple.

      Al termine della configurazione delle impostazioni e dell'abilitazione di Microsoft & app Apple, le impostazioni sono simili ai valori seguenti nel profilo di configurazione di Intune:

      Screenshot che mostra le opzioni di configurazione dell'esperienza utente finale per il plug-in Enterprise SSO nei dispositivi iOS/iPadOS in Intune.

  8. Continuare a creare il profilo e assegnare il profilo agli utenti o ai gruppi che riceveranno queste impostazioni. Per i passaggi specifici, passare a Creare il profilo.

    Per indicazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.

Quando il dispositivo esegue l'accesso con il servizio Intune, riceve questo profilo. Per altre informazioni, vedere Intervalli di aggiornamento dei criteri.

Per verificare che il profilo sia stato distribuito correttamente, nell'interfaccia di amministrazione di Intune passare a Dispositivi>Gestisci dispositivi>Configurazione> selezionare il profilo creato e generare un report:

Screenshot che mostra il report di distribuzione del profilo di configurazione del dispositivo iOS/iPadOS in Intune.

Esperienza utente finale

Grafico del flusso dell'utente finale durante l'installazione dell'estensione dell'app SSO nei dispositivi iOS/iPadOS.

  • Se non si distribuisce l'app Microsoft Authenticator usando un criterio dell'app, gli utenti devono installarla manualmente. Gli utenti non devono usare l'app Authenticator, ma deve essere installata nel dispositivo.

  • Gli utenti accedono a qualsiasi app o sito Web supportato per eseguire il bootstrap dell'estensione. Bootstrap è il processo di accesso per la prima volta, che configura l'estensione.

  • Dopo l'accesso degli utenti, l'estensione viene usata automaticamente per accedere a qualsiasi altra app o sito Web supportato.

È possibile testare l'accesso Single Sign-On aprendo Safari in modalità privata (apre il sito Web di Apple) e aprendo il https://portal.office.com sito. Non saranno necessari nome utente e password.

Animazione che mostra l'esperienza SSO in iPadOS

Consiglio

Altre informazioni sul funzionamento del plug-in SSO e su come risolvere i problemi relativi all'estensione Microsoft Enterprise SSO con la guida alla risoluzione dei problemi SSO per i dispositivi Apple.