iOS/iPadOS 디바이스에서 Microsoft Enterprise SSO 플러그 인 사용

  • 아티클

Microsoft Enterprise SSO 플러그 인은 Apple 디바이스에 대한 SSO(Single Sign-On) 기능을 제공하는 Microsoft Entra ID 기능입니다. 이 플러그 인은 Apple Single Sign-On 앱 확장 프레임워크를 사용합니다.

SSO 앱 확장은 Microsoft 365 앱을 포함하여 인증에 Microsoft Entra ID 사용하는 앱 및 웹 사이트에 Single Sign-On을 제공합니다. SSO 프로필 구성을 지원하는 MDM을 포함하여 MDM(Mobile 장치 관리)에서 관리하는 디바이스를 사용할 때 사용자에게 표시되는 인증 프롬프트 수를 줄입니다.

이 글의 적용 대상:

이 문서에서는 Intune, Jamf Pro 및 기타 MDM 솔루션을 사용하여 iOS/iPadOS Apple 디바이스에 대한 SSO 앱 확장 구성 정책을 만드는 방법을 보여 줍니다.

앱 지원

앱에서 Microsoft Enterprise SSO 플러그 인을 사용하려면 다음 두 가지 옵션이 있습니다.

  • 옵션 1 - MSAL: MSAL(Microsoft 인증 라이브러리) 을 지원하는 앱은 Microsoft Enterprise SSO 플러그 인을 자동으로 활용합니다. 예를 들어 Microsoft 365 앱은 MSAL을 지원합니다. 따라서 플러그 인을 자동으로 사용합니다.

    organization 자체 앱을 만드는 경우 앱 개발자는 MSAL에 종속성을 추가할 수 있습니다. 이 종속성을 사용하면 앱에서 Microsoft Enterprise SSO 플러그 인을 사용할 수 있습니다.

    샘플 자습서는 자습서: 사용자 로그인으로 이동하여 iOS 또는 macOS 앱에서 Microsoft Graph를 호출합니다.

  • 옵션 2 - AllowList: MSAL을 지원하지 않거나 개발되지 않은 앱은 SSO 앱 확장을 사용할 수 있습니다. 이러한 앱에는 Safari와 같은 브라우저와 Safari 웹 보기 API를 사용하는 앱이 포함됩니다.

    MSAL이 아닌 앱의 경우 Intune SSO 앱 확장 정책의 확장 구성에 애플리케이션 번들 ID 또는 접두사를 추가합니다(이 문서).

    예를 들어 MSAL을 지원하지 않는 Microsoft 앱을 허용하려면 Intune 정책의 AppPrefixAllowList 속성에 를 추가 com.microsoft. 합니다. 허용되는 앱에 주의하여 로그인한 사용자에 대한 대화형 로그인 프롬프트를 무시할 수 있습니다.

    자세한 내용은 Apple 디바이스용 Microsoft Enterprise SSO 플러그 인 - MSAL을 사용하지 않는 앱으로 이동하세요.

필수 구성 요소

iOS/iPadOS 디바이스에서 Microsoft Enterprise SSO 플러그 인을 사용하려면 다음을 수행합니다.

  • 디바이스는 Intune 의해 관리됩니다.

  • 디바이스에서 플러그 인을 지원해야 합니다.

    • iOS/iPadOS 13.0 이상

  • Microsoft Authenticator 앱을 디바이스에 설치해야 합니다.

    사용자는 Microsoft Authenticator 앱을 수동으로 설치할 수 있습니다. 또는 관리자는 Intune 사용하여 앱을 배포할 수 있습니다. Microsoft Authenticator 앱을 설치하는 방법에 대한 자세한 내용은 Apple 대량 구매 앱 관리를 참조하세요.

  • Enterprise SSO 플러그 인 요구 사항은 Apple 네트워크 구성 URL을 포함하여 구성됩니다.

참고

iOS/iPadOS 디바이스에서 Apple은 SSO 앱 확장 및 Microsoft Authenticator 앱을 설치해야 합니다. 사용자는 Microsoft Authenticator 앱을 사용하거나 구성할 필요가 없으며 디바이스에 설치하기만 하면 됩니다.

Microsoft Enterprise SSO 플러그 인과 Kerberos SSO 확장 비교

SSO 앱 확장을 사용하는 경우 인증에 SSO 또는 Kerberos 페이로드 유형을 사용합니다. SSO 앱 확장은 이러한 인증 방법을 사용하는 앱 및 웹 사이트에 대한 로그인 환경을 개선하도록 설계되었습니다.

Microsoft Enterprise SSO 플러그 인은 리디렉션 인증과 함께 SSO 페이로드 유형을 사용합니다. SSO 리디렉션 및 Kerberos 확장 유형은 디바이스에서 동시에 사용할 수 있습니다. 디바이스에서 사용하려는 각 확장 유형에 대해 별도의 디바이스 프로필을 만들어야 합니다.

시나리오에 적합한 SSO 확장 유형을 확인하려면 다음 표를 사용하세요.

Apple 디바이스용 Microsoft Enterprise SSO 플러그 인 Kerberos를 사용한 Single Sign-On 앱 확장
Microsoft Entra ID SSO 앱 확장 유형을 사용합니다. Kerberos SSO 앱 확장 유형을 사용
다음 앱을 지원합니다.
- Microsoft 365
- Microsoft Entra ID 통합된 앱, 웹 사이트 또는 서비스		 다음 앱을 지원합니다.
- AD와 통합된 앱, 웹 사이트 또는 서비스

Single Sign-On 앱 확장에 대한 자세한 내용은 Microsoft Intune Apple 디바이스에 대한 SSO 개요 및 옵션으로 이동하세요.

Single Sign-On 앱 확장 구성 정책 Create

Microsoft Intune 관리 센터에서 디바이스 구성 프로필을 만듭니다. 이 프로필에는 디바이스에서 SSO 앱 확장을 구성하는 설정이 포함되어 있습니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스>구성>Create 선택합니다.

  3. 다음 속성을 입력합니다.

    • 플랫폼: iOS/iPadOS를 선택합니다.
    • 프로필 유형: 템플릿>디바이스 기능을 선택합니다.

  4. Create 선택합니다.

    Microsoft Intune iOS/iPadOS용 디바이스 기능 구성 프로필을 만드는 방법을 보여 주는 스크린샷

  5. 기본에서 다음 속성을 입력합니다.

    • 이름: 정책에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 정책 이름을 지정합니다. 예를 들어 좋은 정책 이름은 iOS: SSO 앱 확장입니다.
    • 설명: 정책에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

  6. 다음을 선택합니다.

  7. 구성 설정에서 Single Sign-On 앱 확장을 선택하고 다음 속성을 구성합니다.

    • SSO 앱 확장 유형: Microsoft Entra ID 선택합니다.

      Intune iOS/iPadOS용 SSO 앱 확장 유형 및 Microsoft Entra ID 보여 주는 스크린샷

    • 공유 디바이스 모드 사용 설정:

      • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다.

        공유 iPad, 개인 디바이스 및 사용자 선호도 유무를 포함한 대부분의 시나리오에서 이 옵션을 선택합니다.

      • : 대상 디바이스가 Microsoft Entra 공유 디바이스 모드를 사용하는 경우에만 이 옵션을 선택합니다. 자세한 내용은 공유 디바이스 모드 개요를 참조하세요.

    • 앱 번들 ID: MSAL을 지원하지 않고 SSO 사용이 허용된 앱에 대한 번들 ID 목록을 입력합니다. 자세한 내용은 MSAL을 사용하지 않는 애플리케이션으로 이동합니다.

    • 추가 구성: 최종 사용자 환경을 사용자 지정하려면 다음 속성을 추가할 수 있습니다. 이러한 속성은 Microsoft SSO 확장에서 사용하는 기본값이지만 organization 요구 사항에 맞게 사용자 지정할 수 있습니다.

      유형 설명
      AppPrefixAllowList 문자열 권장 값: com.apple.

      MSAL을 지원하지 않고 SSO 사용이 허용된 앱에 대한 접두사 목록을 입력합니다. 예를 들어 를 입력 com.microsoft.,com.apple. 하여 모든 Microsoft 및 Apple 앱을 허용합니다.

      이러한 앱은 허용 목록 요구 사항을 충족해야 합니다.
      browser_sso_interaction_enabled 정수 권장 값: 1

      1로 설정하면 사용자는 Safari 브라우저, 그리고 MSAL을 지원하지 않는 앱에서 로그인할 수 있습니다. 이 설정을 사용하도록 설정하면 사용자가 Safari 또는 다른 앱에서 확장을 부트스트랩할 수 있습니다.
      disable_explicit_app_prompt 정수 권장 값: 1

      일부 앱은 프로토콜 계층에서 최종 사용자 메시지 표시를 잘못 적용할 수 있습니다. 이 문제가 확인되는 경우 Microsoft Enterprise SSO 플러그 인이 다른 앱에 대해 작동하더라도 사용자에게 로그인 메시지가 표시됩니다.

      1로 설정하면 이러한 메시지가 감소합니다.

      이러한 속성 및 구성할 수 있는 기타 속성에 대한 자세한 내용은 Apple 디바이스용 Microsoft Enterprise SSO 플러그 인을 참조하세요.

      설정 구성을 완료하고 Microsoft & Apple 앱을 허용하는 경우 설정은 Intune 구성 프로필의 다음 값과 유사합니다.

      Intune iOS/iPadOS 디바이스의 엔터프라이즈 SSO 플러그 인에 대한 최종 사용자 환경 구성 옵션을 보여 주는 스크린샷

  8. 프로필을 계속 만들고 이러한 설정을 받을 사용자 또는 그룹에 프로필을 할당합니다. 특정 단계를 보려면 프로필 Create.

    프로필 할당에 대한 지침은 사용자 및 디바이스 프로필 할당으로 이동합니다.

디바이스가 Intune 서비스로 체크 인하면 이 프로필이 수신됩니다. 자세한 내용은 정책 새로 고침 간격으로 이동합니다.

프로필이 올바르게 배포되었는지 검사 Intune 관리 센터에서 디바이스>구성>으로 이동하여 만든 프로필을 선택하고 보고서를 생성합니다.

Intune iOS/iPadOS 디바이스 구성 프로필 배포 보고서를 보여 주는 스크린샷

최종 사용자 환경

iOS/iPadOS 디바이스에 SSO 앱 앱 확장을 설치할 때 최종 사용자 흐름 차트입니다.

  • 앱 정책을 사용하여 Microsoft Authenticator 앱을 배포하지 않는 경우 사용자는 수동으로 설치해야 합니다. 사용자는 Authenticator 앱을 사용할 필요가 없으며 디바이스에 설치하기만 하면 됩니다.

  • 사용자는 지원되는 앱 또는 웹 사이트에 로그인하여 확장을 부트스트랩합니다. 부트스트랩은 처음으로 로그인할 때 확장을 설정하는 프로세스입니다.

  • 사용자가 성공적으로 로그인하면 확장은 지원되는 다른 앱 또는 웹 사이트에 로그인하는 데 자동으로 사용됩니다.

프라이빗 모드(Apple 웹 사이트 열기) 에서 Safari 를 열고 사이트를 열어 Single Sign-On을 테스트할 https://portal.office.com 수 있습니다. 사용자 이름 및 암호가 필요하지 않습니다.

iPadOS의 SSO 환경을 보여 주는 애니메이션

SSO 플러그 인의 작동 방식과 Apple 디바이스에 대한 SSO 문제 해결 가이드를 사용하여 Microsoft Enterprise SSO 확장 문제를 해결하는 방법에 대해 자세히 알아봅니다.