Microsoft Intune의 Apple 디바이스에 대한 SSO(Single Sign-On) 개요 및 옵션
Apple 디바이스는 SSO(Single Sign-On)를 사용하여 Microsoft Entra ID를 사용하여 디바이스, 앱 및 웹 사이트에 액세스할 수 있습니다. SSO를 사용하면 사용자가 매번 자격 증명을 입력하지 않고도 로그인하고 액세스할 수 있습니다.
이 글의 적용 대상:
- iOS/iPadOS
- macOS
LOB(기간 업무) 앱을 비롯한 디바이스 및 대부분의 앱에는 일정 수준의 사용자 인증이 필요합니다. 대부분의 경우 인증은 사용자가 동일한 자격 증명을 반복적으로 입력해야 합니다.
관리자는 Microsoft Intune을 사용하여 SSO 정책을 만들고 배포할 수 있습니다. 개발자는 SSO(Single Sign-On)를 지원하고 사용하는 앱을 만들 수 있습니다. Intune SSO 정책을 SSO를 지원하는 앱과 결합하면 앱 및 웹 사이트에 대한 자격 증명 프롬프트 수가 줄어듭니다.
Intune에서 Apple 디바이스용 SSO를 구성하려면 다음 옵션이 있습니다.
플랫폼 SSO - Microsoft Entra ID의 Microsoft Enterprise SSO 플러그 인 의 일부이며 SSO 앱 확장을 포함합니다. macOS 디바이스에 적용됩니다.
SSO 앱 확장 - Microsoft Entra ID의 Microsoft Enterprise SSO 플러그 인 의 일부입니다. iOS/iPadOS 및 macOS 디바이스에 적용됩니다.
Single Sign-On 템플릿 - Intune의 템플릿입니다. iOS/iPadOS 디바이스에 적용됩니다.
이 문서에서는 Intune의 Apple 디바이스에 사용할 수 있는 SSO 옵션과 지원되는 플랫폼에 대한 개요를 제공합니다.
플랫폼 SSO
이 기능은 다음에 적용됩니다.
- macOS
Microsoft Enterprise SSO 플러그 인에는 플랫폼 SSO 및 SSO 앱 확장의 두 가지 SSO 기능이 포함되어 있습니다. 이 섹션에서는 플랫폼 SSO에 중점을 둡니다.
macOS 디바이스에서 사용자는 일반적으로 로컬 계정으로 로그인합니다. 그런 다음 Microsoft Entra ID를 사용하여 앱 및 웹 사이트에 로그인합니다.
플랫폼 SSO 사용:
조직은 다음을 수행할 수 있습니다.
비즈니스 요구 사항을 충족하는 인증 방법을 선택합니다. 보안 Enclave 암호 없는 암호 없는 암호 인증, Microsoft Entra 사용자 계정 & 암호 또는 스마트 카드 인증 옵션이 있습니다.
SSO 앱 확장은 플랫폼 SSO의 일부이므로 SSO 앱 확장을 사용합니다. 특히 다음을 수행합니다.
- SSO 앱 확장을 사용하여 Microsoft Entra ID를 사용하여 앱 및 웹 사이트에 로그인합니다.
- 플랫폼 SSO를 사용하여 SSO 구성을 향상시킵니다. 다양한 인증 방법을 구성하고, 로그인 시 새 조직 사용자를 만들고, 사용자에 대한 권한 부여 모드를 할당할 수 있습니다.
최종 사용자:
- Microsoft Entra ID가 Microsoft Enterprise SSO 플러그 인과 통합됨에 따라 보다 안전한 로그인 환경을 얻을 수 있습니다.
- SSO 앱 확장과 결합된 경우 Single Sign-On 환경을 가져옵니다. SSO 앱 확장을 사용하면 Microsoft Entra ID와 함께 터치 ID 및 암호를 사용할 수 있습니다.
- Microsoft Entra 사용자 계정으로 로그인하고 macOS 디바이스에서 Microsoft Entra 자격 증명을 입력하는 데 필요한 횟수를 최소화할 수 있습니다.
플랫폼 SSO 및 시작에 대한 자세한 내용은 Intune에서 macOS 디바이스에 대한 플랫폼 SSO 구성을 참조하세요.
플랫폼 SSO 기능 요약
다음 표에는 Intune의 플랫폼 SSO 기능이 요약되어 있습니다. 이 정보를 사용하여 플랫폼 SSO가 조직에 적합한지 확인합니다.
| 기능 | 세부 정보 |
|---|---|
| 플랫폼 지원 | ❌ iOS/iPadOS ✅ macOS 13.0 이상 |
| 지원되는 등록 유형 | ✅ 디바이스 등록 ✅ 자동화된 디바이스 등록(감독됨) ❌ 사용자 등록 ✅ 직접 등록(Apple Configurator) |
| 지원되는 인증 유형 | ✅ Secure Enclave(UserSecureEnclaveKey) ✅ 암호(Microsoft Entra ID) ✅ 스마트 카드 |
| 지원되는 앱 유형 | ✅ Microsoft 365 앱 ✅ Microsoft Entra ID와 통합된 앱, 웹 사이트 또는 서비스 ✅ Apple Enterprise SSO를 지원하고 온-프레미스 Active Directory와 통합되는 앱, 웹 사이트 또는 서비스 |
| Intune 관리 센터 정책 유형 | 설정 카탈로그 정책: 장치>디바이스> 관리구성>창조하다>새 정책>프로필 유형 >인증>SSO(Extensible Single Sign-On)에 대한 플랫폼 >설정 카탈로그용 macOS |
| 권장 사항 | ✅ 권장. SSO 앱 확장도 포함되므로 플랫폼 SSO를 사용합니다. SSO 앱 확장을 자체적으로 사용할 수 있지만 선호되지는 않습니다. 플랫폼 SSO를 사용하려면 플랫폼 SSO만 사용해야 합니다. 별도의 SSO 앱 확장 정책을 만들지 마세요. |
SSO 앱 확장
이 기능은 다음에 적용됩니다.
- iOS/iPadOS
- macOS
Microsoft Enterprise SSO 플러그 인에는 플랫폼 SSO 및 SSO 앱 확장의 두 가지 SSO 기능이 포함되어 있습니다. 이 섹션에서는 SSO 앱 확장에 중점을 둡니다.
SSO 앱 확장은 다음을 포함하여 인증에 Microsoft Entra ID를 사용하는 앱, 웹 사이트 및 계정에 SSO를 제공합니다.
- Microsoft 365 앱
- 디바이스에서 Single Sign-On에서 사용자 자격 증명 저장소를 찾기 위해 개발된 앱
- Apple의 Enterprise SSO 기능을 지원하는 모든 앱의 온-프레미스 Active Directory 계정
✅iOS/iPadOS 디바이스의 경우 SSO 앱 확장을 단독으로 사용할 수 있습니다. 따라서 앱 & 웹 사이트에 대한 SSO 앱 확장을 구성하고 사용할 수 있습니다.
✅macOS 디바이스의 경우 SSO 앱 확장은 자체에서 사용할 수 있으며 플랫폼 SSO에도 포함됩니다. 따라서 플랫폼 SSO를 사용하지 않으려면 SSO 앱 확장만 구성하고 사용할 수 있습니다. 플랫폼 SSO를 사용하는 경우 SSO 앱 확장을 포함하므로 플랫폼 SSO만 구성합니다.
SSO 앱 확장은 리디렉션 형식 SSO 앱 확장입니다. Intune, Jamf Pro 및 기타 MDM 솔루션에 사용할 수 있습니다. Intune에서 SSO 앱 확장은 Microsoft Entra ID가 있는 디바이스 구성 정책을 SSO 앱 확장 유형으로 사용합니다.
이러한 설정은 리디렉션 유형 및 자격 증명 유형 SSO 앱 확장을 구성합니다. 특히 다음 사항에 유의합니다.
리디렉션 유형은 OpenID Connect, OAuth 및 SAML2와 같은 최신 인증 프로토콜을 위해 설계되었습니다. Microsoft Entra SSO 확장(Microsoft Enterprise SSO 플러그 인 및 일반 리디렉션 확장) 중에서 선택할 수 있습니다.
자격 증명 유형은 챌린지 및 응답 인증 흐름을 위해 설계되었습니다. Apple에서 제공하는 Kerberos 관련 자격 증명 확장과 일반 자격 증명 확장 중에서 선택할 수 있습니다.
SSO 앱 확장은 비 Microsoft 또는 파트너 MDM에서 작동해야 합니다. 확장은 Kerberos SSO 확장으로 배포하거나 필수 속성이 모두 구성된 사용자 지정 구성 프로필로 배포해야 합니다.
SSO 앱 확장에 대한 자세한 내용은 다음을 참조하세요.
iOS/iPadOS:
macOS:
SSO 앱 확장 기능 요약
다음 표에는 Intune의 SSO 앱 확장 기능이 요약되어 있습니다. 이 정보를 사용하여 이 SSO 옵션이 조직에 적합한지 확인합니다.
| 기능 | 세부 정보 |
|---|---|
| 플랫폼 지원 | ✅ iOS/iPadOS 13.0 이상 ✅ macOS 10.15 이상 |
| 지원되는 등록 유형 | iOS/iPadOS: ✅ 디바이스 등록 ✅ 자동화된 디바이스 등록(감독됨) ✅ 사용자 등록 ✅ 직접 등록(Apple Configurator) macOS: ✅ 사용자가 승인한 디바이스 등록 ✅ 자동화된 디바이스 등록(감독됨) ✅ 직접 등록(Apple Configurator) |
| 지원되는 인증 유형 | ✅ Microsoft Entra ID를 포함한 리디렉션 형식 SSO 앱 확장 ✅ 자격 증명 앱 확장 ✅ Apple의 기본 제공 Kerberos 확장 |
| 지원되는 앱 유형 | ✅ Microsoft 365 앱 ✅ Microsoft Entra ID와 통합된 앱, 웹 사이트 또는 서비스 ✅ Apple의 Enterprise SSO를 지원하고 온-프레미스 Active Directory와 통합되는 앱, 웹 사이트 또는 서비스 |
| Intune 관리 센터 정책 유형 | 디바이스 기능 템플릿: 장치>디바이스> 관리구성>창조하다>새 정책>프로필 유형 >Single Sign-On 앱 확장에 대한 플랫폼 >템플릿>디바이스 기능용 iOS/iPadOS 또는 macOS |
| 권장 사항 | ✅ iOS/iPadOS에서 권장됩니다. ❌ macOS 디바이스에서는 선호되지 않습니다. macOS 디바이스에서는 SSO 앱 확장을 단독으로 사용할 수 있습니다. 하지만 플랫폼 SSO를 대신 사용하는 것이 좋습니다. macOS용 플랫폼 SSO도 사용하는 경우 별도의 SSO 앱 확장 정책을 만들지 마세요. SSO 앱 확장은 플랫폼 SSO 구성에 포함되어 있습니다. |
Single Sign-On 템플릿
참고
Apple에서는 이러한 SSO 설정 대신 SSO 앱 확장을 사용하는 것이 좋습니다(이 문서).
적용 대상:
- iOS 7.0 이상
- iPadOS 13.0 이상
이 Single Sign-On 정책은 Kerberos를 기반으로 합니다. Kerberos는 비밀 키 암호화를 사용하여 클라이언트 서버 애플리케이션을 인증하는 네트워크 인증 프로토콜입니다. Intune 정책 설정은 서버 또는 특정 앱에 액세스할 때 Kerberos 계정 정보를 정의하고 웹 페이지 및 네이티브 앱에 대한 Kerberos 문제를 처리합니다.
Intune에서 구성할 수 있는 설정 목록은 iOS/iPadOS에서 Single Sign-On으로 이동합니다.
Single Sign-On을 사용하려면 다음이 있어야 합니다.
- 디바이스에서 Single Sign-On에서 사용자 자격 증명 저장소를 찾기 위해 개발된 앱입니다.
- iOS/iPadOS 디바이스 Single Sign-On용으로 구성된 Intune입니다.
Single Sign-On 기능 요약
다음 표에는 Intune의 Single Sign-On 기능이 요약되어 있습니다. 이 정보를 사용하여 이 SSO 옵션이 조직에 적합한지 확인합니다.
| 기능 | 세부 정보 |
|---|---|
| 플랫폼 지원 | ✅ iOS 7.0 이상 ✅ iPadOS 13.0 이상 ❌ macOS |
| 지원되는 등록 유형 | ✅ 디바이스 등록 ✅ 자동화된 디바이스 등록(감독됨) ❌ 사용자 등록 ❌ 직접 등록(Apple Configurator) |
| 지원되는 인증 유형 | Kerberos SSO 인증만 사용할 수 있습니다. - 사용자가 서버 또는 앱에 액세스할 때 Kerberos 계정 정보를 입력합니다. - Kerberos의 Apple 구현이 아닙니다. - 웹 페이지 및 앱에 대한 Kerberos 챌린지 처리 |
| 지원되는 앱 유형 | Kerberos 인증을 지원하는 웹 사이트 및 네이티브 앱. 디바이스에서 Single Sign-On에서 사용자 자격 증명 저장소를 찾으려면 앱을 코딩해야 합니다. |
| Intune 관리 센터 정책 유형 | 디바이스 기능 템플릿: 장치>디바이스> 관리구성>창조하다>새 정책>프로필 유형 >Single Sign-On에 대한 플랫폼 >템플릿>디바이스 기능용 iOS/iPadOS |
| 권장 사항 | ❌ 권장되지 않습니다. 대신 Microsoft는 SSO 앱 확장 (이 문서)을 사용하는 것이 좋습니다. |
SSO 앱 확장 및 SSO 템플릿
Single Sign-On 앱 확장 기능은 Single Sign-On 기능과 다릅니다. 다음 표를 사용하여 비교합니다.
| Single Sign-On 앱 확장 | Single Sign-On | |
|---|---|---|
| 지원되는 플랫폼 | ✅ iOS/iPadOS 13.0 이상 ✅ macOS 10.15 이상 |
✅ iOS 7.0 이상 ✅ iPadOS 13.0 이상 ❌ macOS |
| 설명 | 원활한 엔터프라이즈 로그온 환경을 제공하기 위해 ID 공급자 또는 조직에서 사용할 확장을 정의합니다. Apple 운영 체제를 사용하여 인증합니다. | 사용자가 서버 또는 앱에 액세스할 때 Kerberos 계정 정보를 정의합니다. |
| 인증 | 앱 개발 관점에서 는 모든 유형의 리디렉션 SSO 또는 자격 증명 SSO 인증을 사용할 수 있습니다. | 앱 개발 관점에서 는 Kerberos SSO 인증만 사용할 수 있습니다. |
| Apple 구현 | Apple에서 개발하고 iOS/iPadOS 13.0 이상 및 macOS 10.15 이상 플랫폼에 기본 제공됩니다. 기본 제공 Kerberos 확장을 사용하여 Kerberos 인증을 지원하는 네이티브 앱 및 웹 사이트에 사용자를 로그인할 수 있습니다. | Kerberos의 Apple 구현이 아닙니다. |
| 권장 사항 | 권장. 향상된 최종 사용자 환경을 제공합니다. 웹 페이지에 대한 Kerberos 챌린지를 처리하고, 암호 변경을 지원하며, 엔터프라이즈 네트워크에서 더 잘 작동합니다. SSO 앱 확장 또는 Single Sign-On 템플릿에서 Kerberos를 사용하도록 결정할 때 성능 및 기능이 향상되어 SSO 앱 확장을 사용하는 것이 좋습니다. |
권장하지 않음: 웹 페이지에 대한 Kerberos 챌린지를 처리합니다. |
관련 문서
Microsoft Enterprise SSO 플러그 인 및 Microsoft Entra ID에 대한 자세한 내용은 Apple 디바이스용 Microsoft Enterprise SSO 플러그 인으로 이동하세요.
Single Sign-On 확장 페이로드에 대한 Apple의 자세한 내용은 Single Sign-On 확장 페이로드 설정 (Apple 웹 사이트 열기)으로 이동하세요.
Microsoft Enterprise SSO 확장 문제 해결에 대한 자세한 내용은 Apple 디바이스에서 Microsoft Enterprise SSO 확장 플러그 인 문제 해결을 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기