Usare il plug-in SSO di Microsoft Enterprise nei dispositivi iOS/iPadOS

Il plug-in SSO di Microsoft Enterprise fornisce l'accesso Single Sign-On (SSO) ad app e siti Web che usano Microsoft Entra ID per l'autenticazione, tra cui Microsoft 365. Questo plug-in usa il framework di estensione dell'app Single Sign-On di Apple. Riduce il numero di richieste di autenticazione che gli utenti ricevono quando usano dispositivi gestiti da Mobile Gestione dispositivi (MDM), inclusi tutti i dispositivi MDM che supportano la configurazione dei profili SSO.

Dopo la configurazione, le app che supportano Microsoft Authentication Library (MSAL) sfruttano automaticamente il plug-in Microsoft Enterprise SSO. Le app che non supportano MSAL possono usare l'estensione, inclusi browser come Safari e app che usano le API di visualizzazione Web safari. È sufficiente aggiungere l'ID bundle dell'applicazione o il prefisso alla configurazione dell'estensione.

Ad esempio, per consentire a un'app Microsoft che non supporta MSAL, aggiungere com.microsoft. alla proprietà AppPrefixAllowList . Prestare attenzione alle app consentite, saranno in grado di ignorare le richieste di accesso interattive per l'utente connesso.

Per altre informazioni, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple: app che non usano MSAL.

Nota

Annunciato nel marzo 2024, Microsoft Entra ID si sposterà dal keychain di Apple per archiviare le chiavi di identità del dispositivo. A partire dal terzo trimestre 2026, tutte le nuove registrazioni dei dispositivi useranno l'enclave sicuro di Apple per impostazione predefinita. Per altre informazioni, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple.

Questo articolo si applica a:

• iOS/iPadOS

Questo articolo illustra come distribuire il plug-in Microsoft Enterprise SSO per dispositivi Apple iOS/iPadOS con Intune, Jamf Pro e altre soluzioni MDM.

Prerequisiti

Per usare il plug-in SSO di Microsoft Enterprise nei dispositivi iOS/iPadOS:

Intune

• Il dispositivo viene gestito da Intune.

• Il dispositivo deve supportare il plug-in:

  • iOS/iPadOS 13.0 e versioni successive

• L'app Microsoft Authenticator deve essere installata nel dispositivo.

  Gli utenti possono installare l'app Microsoft Authenticator manualmente. In alternativa, gli amministratori possono distribuire l'app usando Intune. Per informazioni su come installare l'app Microsoft Authenticator, vedere Gestire le app acquistate con volume Apple.

Jamf Pro

• Il dispositivo è gestito da Jamf Pro.

• Il dispositivo deve supportare il plug-in:

  • iOS/iPadOS 13.0 e versioni successive

• L'app Microsoft Authenticator deve essere installata nel dispositivo.

  Gli utenti possono installare l'app Microsoft Authenticator manualmente. In alternativa, gli amministratori possono distribuire l'app usando Jamf Pro. Per un elenco delle opzioni su come installare l'app Microsoft Authenticator, vedere Gestione dei programmi di installazione macOS tramite Jamf Pro (apre il sito Web di Jamf Pro).

• L'integrazione di Jamf Pro e Intune per la conformità del dispositivo non è necessaria per usare l'estensione dell'app SSO.

Altri MDM

• Il dispositivo è gestito da una soluzione del provider di gestione dei dispositivi mobili (MDM).
• La soluzione MDM deve supportare la configurazione delle impostazioni del payload MDM single sign-on per i dispositivi Apple con un criterio dispositivo.
• Il dispositivo deve supportare il plug-in:
  • iOS/iPadOS 13.0 e versioni successive
• L'app Microsoft Authenticator deve essere installata nel dispositivo. Gli utenti possono installare l'app Microsoft Authenticator manualmente. In alternativa, gli amministratori possono distribuire l'app usando un criterio MDM.

Nota

Nei dispositivi iOS/iPadOS, Apple richiede l'installazione dell'estensione dell'app SSO e dell'app Microsoft Authenticator. Gli utenti non devono usare o configurare l'app Microsoft Authenticator, ma deve essere installata nel dispositivo.

Plug-in Microsoft Enterprise SSO e estensione Kerberos SSO

Quando si usa l'estensione dell'app SSO, si usa il tipo di payload SSO o Kerberos per l'autenticazione. L'estensione dell'app SSO è progettata per migliorare l'esperienza di accesso per le app e i siti Web che usano questi metodi di autenticazione.

Il plug-in SSO di Microsoft Enterprise usa il tipo di payload SSO con l'autenticazione di reindirizzamento . I tipi di estensione Reindirizzamento SSO e Kerberos possono essere usati contemporaneamente in un dispositivo. Assicurarsi di creare profili di dispositivo separati per ogni tipo di estensione che si prevede di usare nei dispositivi.

Per determinare il tipo di estensione SSO corretto per lo scenario, usare la tabella seguente:

---

Plug-in Microsoft Enterprise SSO per dispositivi Apple	Estensione dell'app Single Sign-On con Kerberos
Usa il tipo di estensione dell'app SSO Microsoft Entra ID	Usa il tipo di estensione dell'app Kerberos SSO
Supporta le app seguenti: - Microsoft 365 - App, siti Web o servizi integrati con Microsoft Entra ID	Supporta le app seguenti: - App, siti Web o servizi integrati con AD

---

Per altre informazioni sull'estensione Single Sign-On, passare all'estensione dell'app Single Sign-On.

Creare un profilo di configurazione dell'estensione dell'app Single Sign-On

Intune

Nell'interfaccia di amministrazione Microsoft Intune creare un profilo di configurazione del dispositivo. Questo profilo include le impostazioni per configurare l'estensione dell'app SSO nei dispositivi.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Device Configuration Create (Crea configurazione>dispositivi>).

3. Immettere le seguenti proprietà:

   • Piattaforma: selezionare iOS/iPadOS.
   • Tipo di profilo: selezionare Modelli>Funzionalità del dispositivo.

4. Selezionare Crea:

   

5. In Informazioni di base immettere le seguenti proprietà:

   • Nome: immettere un nome descrittivo per il criterio. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido è iOS: plug-in Microsoft Enterprise SSO.
   • Descrizione: immettere una descrizione per il criterio. Questa impostazione è facoltativa ma consigliata.

6. Seleziona Avanti.

7. In Impostazioni di configurazione selezionare Estensione dell'app Single Sign-On e configurare le proprietà seguenti:

   • Tipo di estensione dell'app SSO: selezionare Microsoft Entra ID.

     

   • Abilitare la modalità dispositivo condiviso:

     • Non configurato: Intune non modifica o aggiorna questa impostazione.

       Per la maggior parte degli scenari, inclusi iPad condivisi, dispositivi personali e dispositivi con o senza affinità utente, selezionare questa opzione.

     • Sì: selezionare questa opzione solo se i dispositivi di destinazione usano Microsoft Entra modalità dispositivo condiviso. Per altre informazioni, vedere Panoramica della modalità dispositivo condiviso.

   • ID bundle dell'app: immettere un elenco di ID bundle per le app che non supportano MSAL e che possono usare l'accesso SSO. Per altre informazioni, vedere Applicazioni che non usano MSAL.

   • Configurazione aggiuntiva: per personalizzare l'esperienza utente finale, è possibile aggiungere le proprietà seguenti. Queste proprietà sono i valori predefiniti usati dall'estensione Microsoft SSO, ma possono essere personalizzate in base alle esigenze dell'organizzazione:

     Chiave	Tipo	Descrizione
     AppPrefixAllowList	Stringa	Valore consigliato: com.apple. Immettere un elenco di prefissi per le app che non supportano MSAL e che possono usare l'accesso SSO. Ad esempio, immettere com.microsoft.,com.apple. per consentire tutte le app Microsoft e Apple. Assicurarsi che queste app soddisfino i requisiti consentiti.
     browser_sso_interaction_enabled	Numero intero	Valore consigliato: 1 Se impostato su 1, gli utenti possono accedere dal browser Safari e dalle app che non supportano MSAL. L'abilitazione di questa impostazione consente agli utenti di eseguire il bootstrap dell'estensione da Safari o da altre app.
     disable_explicit_app_prompt	Numero intero	Valore consigliato: 1 Alcune app potrebbero applicare erroneamente le richieste dell'utente finale a livello di protocollo. Se si verifica questo problema, agli utenti viene richiesto di accedere, anche se il plug-in SSO di Microsoft Enterprise funziona per altre app. Se impostato su 1 (uno), si riducono queste richieste.

     Consiglio

     Per altre informazioni su queste proprietà e altre proprietà che è possibile configurare, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple.

     Al termine della configurazione delle impostazioni e dell'abilitazione di Microsoft & app Apple, le impostazioni sono simili ai valori seguenti nel profilo di configurazione Intune:

     

8. Continuare a creare il profilo e assegnare il profilo agli utenti o ai gruppi che riceveranno queste impostazioni. Per i passaggi specifici, passare a Creare il profilo.

   Per indicazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.

Quando il dispositivo esegue l'accesso con il servizio Intune, riceverà questo profilo. Per altre informazioni, vedere Intervalli di aggiornamento dei criteri.

Per verificare che il profilo sia stato distribuito correttamente, nell'interfaccia di amministrazione Intune passare aConfigurazione>dispositivi> selezionare il profilo creato e generare un report:

Jamf Pro

Nel portale di Jamf Pro si crea un profilo di configurazione computer o dispositivo. Questo profilo include le impostazioni per configurare l'estensione dell'app SSO nei dispositivi.

1. Accedere al portale di Jamf Pro.

2. Per creare un profilo iOS/iPadOS, selezionareConfigurazione>dispositivi>Nuovo:

   

3. In Nome immettere un nome descrittivo per i criteri. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido è: iOS/iPadOS: plug-in SSO di Microsoft Enterprise.

4. Nella colonna Opzioni scorrere verso il basso e selezionare Aggiungi singole estensioni> Sign-On:

   

5. Immettere le seguenti proprietà:

   • Tipo di payload: selezionare SSO.
   • Identificatore estensione: immettere com.microsoft.azureauthenticator.ssoextension.
   • Identificatore team: non è necessario alcun valore, lasciare vuoto il campo.
   • Tipo di accesso: selezionare Reindirizzamento.
   • URL: immettere gli URL seguenti, uno alla volta:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. In Configurazione personalizzata si definiscono altre proprietà obbligatorie. Jamf Pro richiede che queste proprietà siano configurate usando un file PLIST caricato. Per visualizzare l'elenco completo delle proprietà configurabili, passare alla documentazione del plug-in SSO di Microsoft Enterprise per dispositivi Apple.

   L'esempio seguente è un file PLIST consigliato che soddisfa le esigenze della maggior parte delle organizzazioni:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Queste impostazioni PLIST configurano le seguenti opzioni di estensione SSO. Queste proprietà sono i valori predefiniti usati dall'estensione Microsoft SSO, ma possono essere personalizzate in base alle esigenze dell'organizzazione:

   Chiave	Tipo	Descrizione
   AppPrefixAllowList	Stringa	Valore consigliato: com.apple.,com.jamf.,com.jamfsoftware. Immettere un elenco di prefissi per le app che non supportano MSAL e che possono usare l'accesso SSO. Ad esempio, immettere com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. per consentire tutte le app Microsoft, Apple e Jamf Pro. Assicurarsi che queste app soddisfino i requisiti consentiti.
   disable_explicit_app_prompt	Numero intero	Valore consigliato: 1 Alcune app potrebbero applicare erroneamente le richieste dell'utente finale a livello di protocollo. Se si verifica questo problema, agli utenti viene richiesto di accedere, anche se il plug-in SSO di Microsoft Enterprise funziona per altre app. Se impostato su 1 (uno), si riducono queste richieste.

   Consiglio

   Per altre informazioni su queste proprietà e altre proprietà che è possibile configurare, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple.

7. Selezionare la scheda Ambito . Immettere i computer o i dispositivi di destinazione per ricevere il profilo MDM dell'estensione SSO.

8. Selezionare Salva.

Quando il dispositivo esegue l'accesso con il servizio Jamf Pro, riceve il profilo.

Altri MDM

Nel portale MDM creare un profilo di configurazione del dispositivo. Questo profilo include le impostazioni per configurare l'estensione dell'app SSO nei dispositivi.

1. Accedere al portale MDM.

2. Creare un nuovo profilo di configurazione del dispositivo.

3. Selezionare un'opzione estensioni single Sign-On o SSO . Il nome varia a seconda della soluzione MDM in uso.

4. Immettere le seguenti proprietà:

   Chiave	Valore
   Tipo di payload	SSO
   Identificatore di estensione	com.microsoft.azureauthenticator.ssoextension
   Tipo Sign-On	Reindirizza
   URL	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Facoltativamente, è possibile configurare altre proprietà. Queste proprietà sono i valori predefiniti usati dall'estensione Microsoft SSO, ma possono essere personalizzate in base alle esigenze dell'organizzazione:

   Chiave	Tipo	Descrizione
   AppPrefixAllowList	Stringa	Valore consigliato: com.apple. Immettere un elenco di prefissi per le app che non supportano MSAL e che possono usare l'accesso SSO. Ad esempio, immettere com.microsoft.,com.apple. per consentire tutte le app Microsoft e Apple. Assicurarsi che queste app soddisfino i requisiti consentiti.
   browser_sso_interaction_enabled	Numero intero	Valore consigliato: 1 Se impostato su 1, gli utenti possono accedere dal browser Safari e dalle app che non supportano MSAL. L'abilitazione di questa impostazione consente agli utenti di eseguire il bootstrap dell'estensione da Safari o da altre app.
   disable_explicit_app_prompt	Numero intero	Valore consigliato: 1 Alcune app potrebbero applicare erroneamente le richieste dell'utente finale a livello di protocollo. Se si verifica questo problema, agli utenti viene richiesto di accedere, anche se il plug-in SSO di Microsoft Enterprise funziona per altre app. Se impostato su 1 (uno), si riducono queste richieste.

   Consiglio

   Per altre informazioni su queste proprietà e altre proprietà che è possibile configurare, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple.

6. Assegnare i nuovi criteri ai dispositivi che devono essere destinati a ricevere il profilo MDM dell'estensione SSO.

Quando il dispositivo esegue l'accesso con il servizio MDM, riceve questo profilo.

Esperienza utente finale

• Se non si distribuisce l'app Microsoft Authenticator usando un criterio dell'app, gli utenti devono installarla manualmente. Gli utenti non devono usare l'app Authenticator, ma deve essere installata nel dispositivo.

• Gli utenti accedono a qualsiasi app o sito Web supportato per eseguire il bootstrap dell'estensione. Bootstrap è il processo di accesso per la prima volta, che configura l'estensione.

• Dopo l'accesso degli utenti, l'estensione viene usata automaticamente per accedere a qualsiasi altra app o sito Web supportato.

È possibile testare l'accesso Single Sign-On aprendo Safari in modalità privata (apre il sito Web di Apple) e aprendo il https://portal.office.com sito. Non saranno necessari nome utente e password.

Consiglio

Altre informazioni sul funzionamento del plug-in SSO e su come risolvere i problemi relativi all'estensione Microsoft Enterprise SSO con la guida alla risoluzione dei problemi SSO per i dispositivi Apple.

Passaggi successivi

• Per informazioni sul plug-in SSO di Microsoft Enterprise, passare al plug-in Microsoft Enterprise SSO per dispositivi Apple.

• Per informazioni da Apple sul payload dell'estensione Single Sign-On, passare alle impostazioni del payload delle estensioni Single Sign-On (apre il sito Web di Apple).

• Per informazioni sulla risoluzione dei problemi relativi all'estensione Microsoft Enterprise SSO, vedere Risoluzione dei problemi del plug-in Microsoft Enterprise SSO Extension nei dispositivi Apple.