Overzicht van eenmalige aanmelding en opties voor Apple-apparaten in Microsoft Intune
Apple-apparaten kunnen eenmalige aanmelding (SSO) gebruiken om toegang te krijgen tot apparaten, apps en websites met behulp van hun Microsoft Entra ID. Met eenmalige aanmelding kunnen gebruikers zich aanmelden en toegang krijgen zonder telkens hun referenties in te voeren.
Dit artikel is van toepassing op:
- iOS/iPadOS
- macOS
Voor apparaten en de meeste apps, waaronder LOB-apps (Line Of Business), is een bepaald niveau van gebruikersverificatie vereist. In veel gevallen moeten gebruikers voor verificatie herhaaldelijk dezelfde referenties invoeren.
Beheerders kunnen Microsoft Intune gebruiken om eenmalige aanmeldingsbeleid te maken en te implementeren. Ontwikkelaars kunnen apps maken die eenmalige aanmelding (SSO) ondersteunen en gebruiken. Wanneer u het Intune SSO-beleid combineert met apps die ondersteuning bieden voor eenmalige aanmelding, wordt het aantal referentieprompts voor apps en websites verminderd.
Als u eenmalige aanmelding voor Apple-apparaten in Intune wilt configureren, hebt u de volgende opties:
Platform-SSO: onderdeel van de Microsoft Enterprise SSO-invoegtoepassing Microsoft Entra ID en bevat de SSO-app-extensie. Van toepassing op macOS-apparaten.
SSO-app-extensie : onderdeel van de Microsoft Enterprise SSO-invoegtoepassing in Microsoft Entra ID. Van toepassing op iOS-/iPadOS- en macOS-apparaten.
Sjabloon voor eenmalige aanmelding: een sjabloon in Intune. Van toepassing op iOS-/iPadOS-apparaten.
Dit artikel bevat een overzicht van de opties voor eenmalige aanmelding die beschikbaar zijn voor Apple-apparaten in Intune en hun ondersteunde platforms.
Platform-SSO
Deze functie is van toepassing op:
- macOS
De SSO-invoegtoepassing van Microsoft Enterprise bevat twee SSO-functies : Platform SSO en de SSO-app-extensie. Deze sectie is gericht op Platform SSO.
Op macOS-apparaten melden gebruikers zich normaal gesproken aan met een lokaal account. Vervolgens melden ze zich aan bij apps en websites met hun Microsoft Entra ID.
Met platform-SSO:
Organisaties kunnen:
Kies de verificatiemethode die voldoet aan de behoeften van uw bedrijf. Uw opties zijn secure enclave wachtwoordloze wachtwoordsleutelverificatie, Microsoft Entra gebruikersaccount & wachtwoord of smartcardverificatie.
Gebruik de SSO-app-extensie, omdat de SSO-app-extensie deel uitmaakt van Platform SSO. Met name:
- Gebruik de SSO-app-extensie om u met Microsoft Entra ID aan te melden bij apps en websites.
- Gebruik Platform SSO om uw SSO-configuratie te verbeteren. U kunt verschillende verificatiemethoden configureren, nieuwe organisatiegebruikers maken bij het aanmelden en autorisatiemodi toewijzen aan gebruikers.
Eindgebruikers:
- Krijg een veiligere aanmeldingservaring naarmate Microsoft Entra ID integreert met de SSO-invoegtoepassing van Microsoft Enterprise.
- Krijg een ervaring met eenmalige aanmelding in combinatie met de SSO-app-extensie. Met de SSO-app-extensie kunt u Touch ID en wachtwoordsleutels gebruiken met Microsoft Entra ID.
- Kan zich aanmelden met hun Microsoft Entra gebruikersaccount en het aantal keren dat ze hun Microsoft Entra referenties moeten invoeren op hun macOS-apparaten minimaliseren.
Ga naar Platform SSO configureren voor macOS-apparaten in Intune voor meer informatie over platform-SSO en om aan de slag te gaan.
Overzicht van platform-SSO-functies
De volgende tabel bevat een overzicht van de platform-SSO-functies in Intune. Gebruik deze informatie om te bepalen of Platform SSO geschikt is voor uw organisatie.
| Functie | Details |
|---|---|
| Platformondersteuning | ❌ iOS/iPadOS ✅ macOS 13.0 en hoger |
| Ondersteunde inschrijvingstypen | ✅ Apparaatinschrijving ✅ Geautomatiseerde apparaatinschrijving (onder supervisie) ❌ Gebruikersinschrijving ✅ Directe inschrijving (Apple Configurator) |
| Ondersteunde verificatietypen | ✅ Secure Enclave (UserSecureEnclaveKey) ✅Wachtwoord (Microsoft Entra ID) ✅ Smartcard |
| Ondersteunde app-typen | ✅ Microsoft 365-apps ✅Apps, websites of services die zijn geïntegreerd met Microsoft Entra ID ✅Apps, websites of services die ondersteuning bieden voor eenmalige aanmelding van Apple Enterprise en die zijn geïntegreerd met on-premises Active Directory |
| beleidstype Intune beheercentrum | Catalogusbeleid voor instellingen op: Apparaten>Configuratie>> Creatie macOS voor platformInstellingencatalogus> voor profieltype >Authentication>Extensible Single sign-on (SSO) |
| Aanbeveling | ✅ Aanbevolen. Gebruik Platform SSO, omdat deze ook de app-extensie voor eenmalige aanmelding bevat. U kunt de app-extensie voor eenmalige aanmelding zelfstandig gebruiken, maar dit heeft geen voorkeur. Als u Platform SSO wilt gebruiken, moet u alleen Platform SSO gebruiken. Maak geen afzonderlijk app-extensiebeleid voor eenmalige aanmelding. |
App-extensie voor eenmalige aanmelding
Deze functie is van toepassing op:
- iOS/iPadOS
- macOS
De SSO-invoegtoepassing van Microsoft Enterprise bevat twee SSO-functies : Platform SSO en de SSO-app-extensie. Deze sectie is gericht op de app-extensie voor eenmalige aanmelding.
De SSO-app-extensie biedt eenmalige aanmelding voor apps, websites en accounts die gebruikmaken van Microsoft Entra ID voor verificatie, waaronder:
- Microsoft 365-apps
- Apps die zijn ontwikkeld om te zoeken naar het gebruikersreferentiearchief in eenmalige aanmelding op het apparaat
- On-premises Active Directory-accounts voor alle apps die ondersteuning bieden voor de enterprise-SSO-functie van Apple
✅Voor iOS-/iPadOS-apparaten is de SSO-app-extensie zelf beschikbaar. U kunt dus de app-extensie voor eenmalige aanmelding configureren en gebruiken voor uw apps & websites.
✅Voor macOS-apparaten is de SSO-app-extensie op zichzelf beschikbaar en is deze ook opgenomen in Platform SSO. U kunt dus alleen de SSO-app-extensie configureren en gebruiken als u platform-SSO niet wilt gebruiken. Als u Platform SSO gebruikt, configureert u alleen Platform SSO, omdat deze de app-extensie voor eenmalige aanmelding bevat.
De SSO-app-extensie is een omleidingstype SSO-app-extensie. Het is beschikbaar voor Intune, Jamf Pro en andere MDM-oplossingen. In Intune maakt de SSO-app-extensie gebruik van een apparaatconfiguratiebeleid met Microsoft Entra ID als het type SSO-app-extensie.
Met deze instellingen configureert u SSO-app-extensies voor omleidingstypen en referenties. Meer specifiek:
Het omleidingstype is ontworpen voor moderne verificatieprotocollen, zoals OpenID Connect, OAuth en SAML2. U kunt kiezen tussen de Microsoft Entra SSO-extensie (Microsoft Enterprise SSO-invoegtoepassing) en een algemene omleidingsextensie.
Het referentietype is ontworpen voor verificatiestromen voor uitdagingen en antwoorden. U kunt kiezen tussen een Kerberos-specifieke referentie-extensie van Apple en een algemene referentie-extensie.
De SSO-app-extensie moet werken met elke MDM van niet-Microsoft of partner. De extensie moet worden geïmplementeerd als een Kerberos SSO-extensie of als een aangepast configuratieprofiel met alle vereiste eigenschappen geconfigureerd.
Ga naar voor meer informatie over de app-extensie voor eenmalige aanmelding:
iOS/iPadOS:
Macos:
Overzicht van functies voor SSO-app-extensie
De volgende tabel bevat een overzicht van de app-extensiefuncties voor eenmalige aanmelding in Intune. Gebruik deze informatie om te bepalen of deze SSO-optie geschikt is voor uw organisatie.
| Functie | Details |
|---|---|
| Platformondersteuning | ✅ iOS/iPadOS 13.0 en hoger ✅ macOS 10.15 en hoger |
| Ondersteunde inschrijvingstypen | iOS/iPadOS: ✅ Apparaatinschrijving ✅ Geautomatiseerde apparaatinschrijving (onder supervisie) ✅ Gebruikersinschrijving ✅ Directe inschrijving (Apple Configurator) Macos: ✅ Door gebruiker goedgekeurde apparaatinschrijving ✅ Geautomatiseerde apparaatinschrijving (onder supervisie) ✅ Directe inschrijving (Apple Configurator) |
| Ondersteunde verificatietypen | ✅Omleidingstype SSO-app-extensie, inclusief Microsoft Entra ID ✅ Extensie van referentie-app ✅ De ingebouwde Kerberos-extensie van Apple |
| Ondersteunde app-typen | ✅ Microsoft 365-apps ✅Apps, websites of services die zijn geïntegreerd met Microsoft Entra ID ✅Apps, websites of services die ondersteuning bieden voor apple's Enterprise SSO en die zijn geïntegreerd met on-premises Active Directory |
| beleidstype Intune beheercentrum | Sjabloon apparaatfuncties op: Apparaten>Configuratie>> Creatie iOS/iPadOS of macOS voor platform >Apparaatfuncties voor profieltype >App-extensie voor eenmalige aanmelding |
| Aanbeveling | ✅ Aanbevolen op iOS/iPadOS. ❌ Geen voorkeur op macOS-apparaten. Op macOS-apparaten kunt u de SSO-app-extensie zelf gebruiken. Maar we raden u aan in plaats daarvan Platform SSO te gebruiken. Als u ook Platform SSO voor macOS gebruikt, maakt u geen afzonderlijk app-extensiebeleid voor eenmalige aanmelding. De SSO-app-extensie is opgenomen in de configuratie van platform SSO. |
Sjabloon voor eenmalige aanmelding
Opmerking
In plaats van deze SSO-instellingen raadt Apple aan om de SSO-app-extensie te gebruiken (in dit artikel).
Van toepassing op:
- iOS 7.0 en hoger
- iPadOS 13.0 en hoger
Dit beleid voor eenmalige aanmelding is gebaseerd op Kerberos. Kerberos is een netwerkverificatieprotocol dat gebruikmaakt van cryptografie met geheime sleutels om client-servertoepassingen te verifiëren. De Intune beleidsinstellingen definiëren Kerberos-accountgegevens bij het openen van servers of specifieke apps en omgaan met Kerberos-uitdagingen voor webpagina's en systeemeigen apps.
Ga naar Eenmalige aanmelding op iOS/iPadOS voor een lijst met instellingen die u kunt configureren in Intune.
Als u eenmalige aanmelding wilt gebruiken, moet u het volgende doen:
- Een app die is ontwikkeld om te zoeken naar het gebruikersreferentiearchief in eenmalige aanmelding op het apparaat.
- Intune geconfigureerd voor eenmalige aanmelding op iOS-/iPadOS-apparaten.
Functieoverzicht voor eenmalige aanmelding
De volgende tabel bevat een overzicht van de functies voor eenmalige aanmelding in Intune. Gebruik deze informatie om te bepalen of deze SSO-optie geschikt is voor uw organisatie.
| Functie | Details |
|---|---|
| Platformondersteuning | ✅ iOS 7.0 en hoger ✅ iPadOS 13.0 en hoger ❌ Macos |
| Ondersteunde inschrijvingstypen | ✅ Apparaatinschrijving ✅ Geautomatiseerde apparaatinschrijving (onder supervisie) ❌ Gebruikersinschrijving ❌ Directe inschrijving (Apple Configurator) |
| Ondersteunde verificatietypen | Kan alleen Kerberos SSO-verificatie gebruiken. - Voer Kerberos-accountgegevens in voor wanneer gebruikers toegang hebben tot servers of apps. - Is geen Apple-implementatie van Kerberos. - Behandelt Kerberos-uitdagingen voor webpagina's en apps |
| Ondersteunde app-typen | Website en systeemeigen apps die Kerberos-verificatie ondersteunen. De app moet worden gecodeerd om te zoeken naar het gebruikersreferentiearchief in eenmalige aanmelding op het apparaat. |
| beleidstype Intune beheercentrum | Sjabloon apparaatfuncties op: Apparaten>Configuratie>> Creatie iOS/iPadOS voor platform >Apparaatfuncties voor profieltype >Eenmalige aanmelding |
| Aanbeveling | ❌ Niet aanbevolen. In plaats daarvan raadt Microsoft aan om de app-extensie voor eenmalige aanmelding te gebruiken (in dit artikel). |
SSO-app-extensie versus SSO-sjabloon
De app-extensiefunctie voor eenmalige aanmelding verschilt van de functie Eenmalige aanmelding . Gebruik de volgende tabel om te vergelijken.
| App-extensie voor eenmalige aanmelding | Eenmalige aanmelding | |
|---|---|---|
| Ondersteunde platformen | ✅ iOS/iPadOS 13.0 en hoger ✅ macOS 10.15 en hoger |
✅ iOS 7.0 en hoger ✅ iPadOS 13.0 en hoger ❌ Macos |
| Beschrijving | Definieer extensies voor gebruik door id-providers of organisaties om een naadloze aanmeldingservaring voor ondernemingen te bieden. Het maakt gebruik van het Apple-besturingssysteem om te verifiëren. | Definieer Kerberos-accountgegevens voor wanneer gebruikers toegang hebben tot servers of apps. |
| Verificatie | Vanuit het oogpunt van app-ontwikkeling kan elk type omleidings-SSO- of referentie-SSO-verificatie worden gebruikt. | Vanuit het oogpunt van app-ontwikkeling kan alleen Kerberos SSO-verificatie worden gebruikt. |
| Apple-implementatie | Ontwikkeld door Apple en ingebouwd in de platforms iOS/iPadOS 13.0+ en macOS 10.15+. De ingebouwde Kerberos-extensie kan worden gebruikt om gebruikers aan te melden bij systeemeigen apps en websites die Kerberos-verificatie ondersteunen. | Geen Apple-implementatie van Kerberos. |
| Aanbeveling | Aanbevolen. Biedt een verbeterde ervaring voor eindgebruikers. Het behandelt Kerberos-uitdagingen voor webpagina's, ondersteunt wachtwoordwijzigingen en gedraagt zich beter in bedrijfsnetwerken. Wanneer u besluit kerberos te gebruiken in de SSO-app-extensie of sjabloon voor eenmalige aanmelding , raden we u aan de app-extensie voor eenmalige aanmelding te gebruiken vanwege verbeterde prestaties en mogelijkheden. |
Niet aanbevolen. Hiermee worden Kerberos-uitdagingen voor webpagina's afgehandeld. |
Verwante artikelen
Ga voor informatie over de Microsoft Enterprise SSO-invoegtoepassing en Microsoft Entra ID naar de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten.
Voor informatie van Apple over de nettolading van de extensie voor eenmalige aanmelding gaat u naar nettoladingsinstellingen voor extensies voor eenmalige aanmelding (hiermee opent u de website van Apple).
Voor informatie over het oplossen van problemen met de Microsoft Enterprise SSO-extensie gaat u naar Problemen met de Microsoft Enterprise SSO-extensie-invoegtoepassing op Apple-apparaten oplossen.
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor