Usare il plug-in SSO di Microsoft Enterprise nei dispositivi macOS

Il plug-in SSO di Microsoft Enterprise fornisce l'accesso Single Sign-On (SSO) ad app e siti Web che usano Microsoft Entra ID per l'autenticazione, tra cui Microsoft 365. Questo plug-in usa il framework di estensione dell'app Single Sign-On di Apple. Riduce il numero di richieste di autenticazione che gli utenti ricevono quando usano dispositivi gestiti da Mobile Gestione dispositivi (MDM), inclusi tutti i dispositivi MDM che supportano la configurazione dei profili SSO.

Dopo la configurazione, le app che supportano Microsoft Authentication Library (MSAL) sfruttano automaticamente il plug-in Microsoft Enterprise SSO. Le app che non supportano MSAL possono usare l'estensione, inclusi browser come Safari e app che usano le API di visualizzazione Web safari. È sufficiente aggiungere l'ID bundle dell'applicazione o il prefisso alla configurazione dell'estensione.

Ad esempio, per consentire a un'app Microsoft che non supporta MSAL, aggiungere com.microsoft. alla proprietà AppPrefixAllowList . Prestare attenzione alle app consentite, saranno in grado di ignorare le richieste di accesso interattive per l'utente connesso.

Per altre informazioni, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple: app che non usano MSAL.

Nota

Annunciato nel marzo 2024, Microsoft Entra ID si sposterà dal keychain di Apple per archiviare le chiavi di identità del dispositivo. A partire dal terzo trimestre 2026, tutte le nuove registrazioni dei dispositivi useranno l'enclave sicuro di Apple per impostazione predefinita. Per altre informazioni, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple.

Questo articolo si applica a:

• macOS

Questo articolo illustra come distribuire il plug-in Microsoft Enterprise SSO per dispositivi Apple macOS con Intune, Jamf Pro e altre soluzioni MDM.

Prerequisiti

Per usare il plug-in SSO di Microsoft Enterprise nei dispositivi macOS:

Intune

• Il dispositivo viene gestito da Intune.
• Il dispositivo deve supportare il plug-in:
  • macOS 10.15 e versioni successive
• L'app Microsoft Portale aziendale deve essere installata e configurata nel dispositivo.

Jamf Pro

• Il dispositivo è gestito da Jamf Pro.

• Il dispositivo deve supportare il plug-in:

  • macOS 10.15 e versioni successive

• L'app Microsoft Portale aziendale deve essere installata nel dispositivo.

  L'app Portale aziendale può essere installata manualmente dagli utenti o distribuendo l'app tramite Jamf Pro. Per un elenco delle opzioni su come installare l'app Portale aziendale, passare a Gestione pacchetti - Aggiunta di un pacchetto a Jamf Amministrazione (apre il sito Web di Jamf Pro).

Nota

Nei dispositivi macOS, Apple richiede l'installazione dell'app Portale aziendale. Gli utenti non devono usare o configurare l'app Portale aziendale, ma deve essere installata nel dispositivo.

Altri MDM

• Il dispositivo è gestito da una soluzione del provider di gestione dei dispositivi mobili (MDM).

• La soluzione MDM deve supportare la configurazione delle impostazioni del payload MDM single sign-on per i dispositivi Apple con un criterio dispositivo.

• Il dispositivo deve supportare il plug-in:

  • macOS 10.15 e versioni successive

• L'app Microsoft Portale aziendale deve essere installata nel dispositivo.

  L'app Microsoft Portale aziendale può essere installata manualmente dagli utenti o distribuita con un criterio MDM. È possibile scaricare il pacchetto del programma di installazione dell'app Portale aziendale.

Nota

Nei dispositivi macOS, Apple richiede l'installazione dell'app Portale aziendale. Gli utenti non devono usare o configurare l'app Portale aziendale, ma deve essere installata nel dispositivo.

Plug-in Microsoft Enterprise SSO e estensione Kerberos SSO

Quando si usa l'estensione dell'app SSO, si usa il tipo di payload SSO o Kerberos per l'autenticazione. L'estensione dell'app SSO è progettata per migliorare l'esperienza di accesso per le app e i siti Web che usano questi metodi di autenticazione.

Il plug-in SSO di Microsoft Enterprise usa il tipo di payload SSO con l'autenticazione di reindirizzamento . I tipi di estensione Reindirizzamento SSO e Kerberos possono essere usati contemporaneamente in un dispositivo. Assicurarsi di creare profili di dispositivo separati per ogni tipo di estensione che si prevede di usare nei dispositivi.

Per determinare il tipo di estensione SSO corretto per lo scenario, usare la tabella seguente:

---

Plug-in Microsoft Enterprise SSO per dispositivi Apple	Estensione dell'app Single Sign-On con Kerberos
Usa il tipo di estensione dell'app SSO Microsoft Entra ID	Usa il tipo di estensione dell'app Kerberos SSO
Supporta le app seguenti: - Microsoft 365 - App, siti Web o servizi integrati con Microsoft Entra ID	Supporta le app seguenti: - App, siti Web o servizi integrati con AD

Per altre informazioni sull'estensione Single Sign-On, passare all'estensione dell'app Single Sign-On.

Creare un profilo di configurazione dell'estensione dell'app Single Sign-On

Intune

Nell'interfaccia di amministrazione Microsoft Intune creare un profilo di configurazione del dispositivo. Questo profilo include le impostazioni per configurare l'estensione dell'app SSO nei dispositivi.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Device Configuration Create (Crea configurazione>dispositivi>).

3. Immettere le seguenti proprietà:

   • Piattaforma: selezionare macOS.
   • Tipo di profilo: selezionare Modelli>Funzionalità del dispositivo.

4. Selezionare Crea:

   

5. In Informazioni di base immettere le seguenti proprietà:

   • Nome: immettere un nome descrittivo per il criterio. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido è macOS: plug-in SSO di Microsoft Enterprise.
   • Descrizione: immettere una descrizione per il criterio. Questa impostazione è facoltativa ma consigliata.

6. Seleziona Avanti.

7. In Impostazioni di configurazione selezionare Estensione dell'app Single Sign-On e configurare le proprietà seguenti:

   • Tipo di estensione dell'app SSO: selezionare Microsoft Entra ID:

     

   • ID bundle dell'app: immettere un elenco di ID bundle per le app che non supportano MSAL e che possono usare l'accesso SSO. Per altre informazioni, vedere Applicazioni che non usano MSAL.

   • Configurazione aggiuntiva: per personalizzare l'esperienza utente finale, è possibile aggiungere le proprietà seguenti. Queste proprietà sono i valori predefiniti usati dall'estensione Microsoft SSO, ma possono essere personalizzate in base alle esigenze dell'organizzazione:

     Chiave	Tipo	Descrizione
     AppPrefixAllowList	Stringa	Valore consigliato: com.microsoft.,com.apple. Immettere un elenco di prefissi per le app che non supportano MSAL e che possono usare l'accesso SSO. Ad esempio, immettere com.microsoft.,com.apple. per consentire tutte le app Microsoft e Apple. Assicurarsi che queste app soddisfino i requisiti consentiti.
     browser_sso_interaction_enabled	Numero intero	Valore consigliato: 1 Se impostato su 1, gli utenti possono accedere dal browser Safari e dalle app che non supportano MSAL. L'abilitazione di questa impostazione consente agli utenti di eseguire il bootstrap dell'estensione da Safari o da altre app.
     disable_explicit_app_prompt	Numero intero	Valore consigliato: 1 Alcune app potrebbero applicare erroneamente le richieste dell'utente finale a livello di protocollo. Se si verifica questo problema, agli utenti viene richiesto di accedere, anche se il plug-in SSO di Microsoft Enterprise funziona per altre app. Se impostato su 1 (uno), si riducono queste richieste.

     Consiglio

     Per altre informazioni su queste proprietà e altre proprietà che è possibile configurare, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple.

     Al termine della configurazione delle impostazioni consigliate, le impostazioni sono simili ai valori seguenti nel profilo di configurazione Intune:

     

8. Continuare a creare il profilo e assegnare il profilo agli utenti o ai gruppi che riceveranno queste impostazioni. Per i passaggi specifici, passare a Creare il profilo.

   Per indicazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.

Quando il dispositivo esegue l'accesso con il servizio Intune, riceverà questo profilo. Per altre informazioni, vedere Intervalli di aggiornamento dei criteri.

Per verificare che il profilo sia stato distribuito correttamente, nell'interfaccia di amministrazione Intune passare aConfigurazione>dispositivi> selezionare il profilo creato e generare un report:

Jamf Pro

Nel portale di Jamf Pro si crea un profilo di configurazione computer. Questo profilo include le impostazioni per configurare l'estensione dell'app SSO nei dispositivi.

1. Accedere al portale di Jamf Pro.

2. Per creare un profilo macOS, selezionare Profilidi configurazione>computer>Nuovo:

   

3. In Nome immettere un nome descrittivo per i criteri. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido è: macOS: plug-in SSO di Microsoft Enterprise.

4. Nella colonna Opzioni scorrere verso il basso e selezionare Aggiungi singole estensioni> Sign-On:

   

5. Immettere le seguenti proprietà:

   • Tipo di payload: selezionare SSO.
   • Identificatore estensione: immettere com.microsoft.CompanyPortalMac.ssoextension.
   • Identificatore del team: immettere UBF8T346G9.
   • Tipo di accesso: selezionare Reindirizzamento.
   • URL: immettere gli URL seguenti, uno alla volta:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. In Configurazione personalizzata verranno definite altre proprietà obbligatorie. Jamf Pro richiede che queste proprietà siano configurate usando un file PLIST caricato. Per visualizzare l'elenco completo delle proprietà configurabili, passare alla documentazione del plug-in SSO di Microsoft Enterprise per dispositivi Apple.

   L'esempio seguente è un file PLIST consigliato che soddisfa le esigenze della maggior parte delle organizzazioni:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Queste impostazioni PLIST configurano le seguenti opzioni di estensione SSO. Queste proprietà sono i valori predefiniti usati dall'estensione Microsoft SSO, ma possono essere personalizzate in base alle esigenze dell'organizzazione:

   Chiave	Tipo	Descrizione
   AppPrefixAllowList	Stringa	Valore consigliato: com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. Immettere un elenco di prefissi per le app che non supportano MSAL e che possono usare l'accesso SSO. Ad esempio, immettere com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. per consentire tutte le app Microsoft, Apple e Jamf Pro. Assicurarsi che queste app soddisfino i requisiti consentiti.
   disable_explicit_app_prompt	Numero intero	Valore consigliato: 1 Alcune app potrebbero applicare erroneamente le richieste dell'utente finale a livello di protocollo. Se si verifica questo problema, agli utenti viene richiesto di accedere, anche se il plug-in SSO di Microsoft Enterprise funziona per altre app. Se impostato su 1 (uno), si riducono queste richieste.

   Consiglio

   Per altre informazioni su queste proprietà e altre proprietà che è possibile configurare, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple.

7. Selezionare la scheda Ambito . Immettere i computer o i dispositivi di destinazione per ricevere il profilo MDM dell'estensione SSO.

8. Selezionare Salva.

Quando il dispositivo esegue l'accesso con il servizio Jamf Pro, riceve questo profilo.

Consiglio

Se si usa Jamf Connect, è consigliabile seguire le indicazioni più recenti di Jamf sull'integrazione di Jamf Connect con Microsoft Entra ID. Il modello di integrazione consigliato garantisce che Jamf Connect funzioni correttamente con i criteri di accesso condizionale e Microsoft Entra ID Protection.

Altri MDM

Nel portale MDM creare un profilo di configurazione del dispositivo. Questo profilo include le impostazioni per configurare l'estensione dell'app SSO nei dispositivi.

1. Accedere al portale MDM.

2. Creare un nuovo profilo di configurazione del dispositivo.

3. Selezionare un'opzione denominata estensioni single Sign-On o estensione SSO. Il nome può variare a seconda della MDM scelta.

4. Immettere le seguenti proprietà:

   Chiave	Valore
   Tipo di payload	SSO
   Identificatore di estensione	com.microsoft.CompanyPortalMac.ssoextension
   Identificatore del team	UBF8T346G9
   Tipo Sign-On	Reindirizzare
   URL	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Facoltativamente, è possibile configurare altre proprietà. Queste proprietà sono i valori predefiniti usati dall'estensione Microsoft SSO, ma possono essere personalizzate in base alle esigenze dell'organizzazione:

   Chiave	Tipo	Descrizione
   AppPrefixAllowList	Stringa	Valore consigliato: com.microsoft.,com.apple. Immettere un elenco di prefissi per le app che non supportano MSAL e che possono usare l'accesso SSO. Ad esempio, immettere com.microsoft.,com.apple. per consentire tutte le app Microsoft e Apple. Assicurarsi che queste app soddisfino i requisiti consentiti.
   browser_sso_interaction_enabled	Numero intero	Valore consigliato: 1 Se impostato su 1, gli utenti possono accedere dal browser Safari e dalle app che non supportano MSAL. L'abilitazione di questa impostazione consente agli utenti di eseguire il bootstrap dell'estensione da Safari o da altre app.
   disable_explicit_app_prompt	Numero intero	Valore consigliato: 1 Alcune app potrebbero applicare erroneamente le richieste dell'utente finale a livello di protocollo. Se si verifica questo problema, agli utenti viene richiesto di accedere, anche se il plug-in SSO di Microsoft Enterprise funziona per altre app. Se impostato su 1 (uno), si riducono queste richieste.

   Consiglio

   Per altre informazioni su queste proprietà e altre proprietà che è possibile configurare, vedere Plug-in SSO di Microsoft Enterprise per dispositivi Apple.

6. Assegnare i nuovi criteri ai dispositivi che devono essere destinati a ricevere il profilo MDM dell'estensione SSO.

Quando il dispositivo esegue l'accesso con il servizio MDM, riceve questo profilo.

Esperienza utente finale

• Se non si distribuisce l'app Portale aziendale usando un criterio dell'app, gli utenti devono installarla manualmente. Gli utenti non devono usare l'app Portale aziendale, ma deve essere installata nel dispositivo.

• Gli utenti accedono a qualsiasi app o sito Web supportato per eseguire il bootstrap dell'estensione. Bootstrap è il processo di accesso per la prima volta, che configura l'estensione.

• Dopo l'accesso degli utenti, l'estensione viene usata automaticamente per accedere a qualsiasi altra app o sito Web supportato.

È possibile testare l'accesso Single Sign-On aprendo Safari in modalità privata (apre il sito Web di Apple) e aprendo il https://portal.office.com sito. Non saranno necessari nome utente e password.

In macOS, quando gli utenti accedono a un'app aziendale o dell'istituto di istruzione, viene richiesto di acconsentire esplicitamente all'accesso SSO. Possono selezionare Non chiedermi di rifiutare esplicitamente l'accesso SSO e bloccare le richieste future.

Gli utenti possono anche gestire le preferenze SSO nell'app Portale aziendale per macOS. Per modificare le preferenze, passare alla barra > dei menu dell'app Portale aziendale Portale aziendale>Impostazioni. Possono selezionare o deselezionare Non chiedermi di accedere con l'accesso Single Sign-On per questo dispositivo.

Consiglio

Altre informazioni sul funzionamento del plug-in SSO e su come risolvere i problemi relativi all'estensione Microsoft Enterprise SSO con la guida alla risoluzione dei problemi SSO per i dispositivi Apple.

Passaggi successivi

• Per informazioni sul plug-in SSO di Microsoft Enterprise, passare al plug-in Microsoft Enterprise SSO per dispositivi Apple.

• Per informazioni da Apple sul payload dell'estensione Single Sign-On, passare alle impostazioni del payload delle estensioni Single Sign-On (apre il sito Web di Apple).

• Per informazioni sulla risoluzione dei problemi relativi all'estensione Microsoft Enterprise SSO, vedere Risoluzione dei problemi del plug-in Microsoft Enterprise SSO Extension nei dispositivi Apple.