Share via


Overzicht van eenmalige aanmelding (SSO) en opties voor Apple-apparaten in Microsoft Intune

Apple-apparaten kunnen eenmalige aanmelding (SSO) gebruiken om toegang te krijgen tot apparaten, apps en websites met behulp van hun Microsoft Entra-id. Met eenmalige aanmelding kunnen gebruikers zich aanmelden en toegang krijgen zonder telkens hun referenties in te voeren.

Deze functie is van toepassing op:

  • iOS/iPadOS
  • macOS

Voor apparaten en de meeste apps, waaronder LOB-apps (Line Of Business), is een bepaald niveau van gebruikersverificatie vereist. In veel gevallen moeten gebruikers voor verificatie herhaaldelijk dezelfde referenties invoeren.

Beheerders kunnen Microsoft Intune gebruiken om beleid voor eenmalige aanmelding te maken en te implementeren. Ontwikkelaars kunnen apps maken die eenmalige aanmelding (SSO) ondersteunen en gebruiken. Wanneer u het Intune-beleid voor eenmalige aanmelding combineert met apps die ondersteuning bieden voor eenmalige aanmelding, wordt het aantal referentieprompts voor apps en websites verminderd.

Als u eenmalige aanmelding voor Apple-apparaten in Intune wilt configureren, hebt u de volgende opties:

Dit artikel bevat een overzicht van de opties voor eenmalige aanmelding die beschikbaar zijn voor Apple-apparaten in Intune en hun ondersteunde platforms.

Platform SSO

Deze functie is van toepassing op:

  • macOS

De SSO-invoegtoepassing van Microsoft Enterprise bevat twee SSO-functies : Platform SSO en de SSO-app-extensie. Deze sectie is gericht op Platform SSO.

Op macOS-apparaten melden gebruikers zich normaal gesproken aan met een lokaal account. Vervolgens melden ze zich aan bij apps en websites met hun Microsoft Entra-id.

Met platform-SSO:

  • Organisaties kunnen:

    • Kies de verificatiemethode die voldoet aan de behoeften van uw bedrijf. Uw opties zijn Secure Enclave wachtwoordloze wachtwoordsleutelverificatie, Microsoft Entra-gebruikersaccount & wachtwoord of smartcardverificatie.

    • Gebruik de SSO-app-extensie, omdat de SSO-app-extensie deel uitmaakt van Platform SSO. Met name:

      • Gebruik de SSO-app-extensie om u aan te melden bij apps en websites met Microsoft Entra ID.
      • Gebruik Platform SSO om uw SSO-configuratie te verbeteren. U kunt verschillende verificatiemethoden configureren, nieuwe organisatiegebruikers maken bij het aanmelden en autorisatiemodi toewijzen aan gebruikers.
  • Eindgebruikers:

    • Krijg een veiligere aanmeldingservaring omdat Microsoft Entra ID kan worden geïntegreerd met de SSO-invoegtoepassing van Microsoft Enterprise.
    • Krijg een ervaring met eenmalige aanmelding in combinatie met de SSO-app-extensie. Met de SSO-app-extensie kunt u Touch ID en wachtwoordsleutels gebruiken met Microsoft Entra ID.
    • Kan zich aanmelden met hun Microsoft Entra-gebruikersaccount en het aantal keren dat ze hun Microsoft Entra-referenties moeten invoeren op hun macOS-apparaten minimaliseren.

Ga naar Platform SSO configureren voor macOS-apparaten in Intune voor meer informatie over platform-SSO en om aan de slag te gaan.

Overzicht van platform-SSO-functies

De volgende tabel bevat een overzicht van de platformfuncties voor eenmalige aanmelding in Intune. Gebruik deze informatie om te bepalen of Platform SSO geschikt is voor uw organisatie.

Functie Details
Platformondersteuning ❌ iOS/iPadOS
✅ macOS 13.0 en hoger
Ondersteunde inschrijvingstypen ✅ Apparaatinschrijving
✅ Geautomatiseerde apparaatinschrijving (onder supervisie)
❌ Gebruikersinschrijving
✅ Directe inschrijving (Apple Configurator)
Ondersteunde verificatietypen ✅ Secure Enclave (UserSecureEnclaveKey)
✅ Wachtwoord (Microsoft Entra ID)
✅ Smartcard
Ondersteunde app-typen ✅ Microsoft 365-apps
✅ Apps, websites of services die zijn geïntegreerd met Microsoft Entra ID
✅ Apps, websites of services die ondersteuning bieden voor Apple Enterprise SSO en die zijn geïntegreerd met on-premises Active Directory
Beleidstype Intune-beheercentrum Catalogusbeleid voor instellingen op:

Apparaten>Apparaten beheren>Configuratie>Scheppen>Nieuw beleid>MacOS voor platform >Instellingencatalogus voor profieltype >Authentication>Extensible Single Sign On (SSO)
Aanbeveling ✅ Aanbevolen.

Gebruik Platform SSO, omdat deze ook de app-extensie voor eenmalige aanmelding bevat. U kunt de app-extensie voor eenmalige aanmelding zelfstandig gebruiken, maar dit heeft geen voorkeur.

Als u Platform SSO wilt gebruiken, moet u alleen Platform SSO gebruiken. Maak geen afzonderlijk app-extensiebeleid voor eenmalige aanmelding.

App-extensie voor eenmalige aanmelding

Deze functie is van toepassing op:

  • iOS/iPadOS
  • macOS

De SSO-invoegtoepassing van Microsoft Enterprise bevat twee SSO-functies : Platform SSO en de SSO-app-extensie. Deze sectie is gericht op de app-extensie voor eenmalige aanmelding.

De SSO-app-extensie biedt SSO voor apps, websites en accounts die Gebruikmaken van Microsoft Entra ID voor verificatie, waaronder:

  • Microsoft 365-apps
  • Apps die zijn ontwikkeld om te zoeken naar het gebruikersreferentiearchief in eenmalige aanmelding op het apparaat
  • On-premises Active Directory-accounts voor alle apps die ondersteuning bieden voor de enterprise-SSO-functie van Apple

Voor iOS-/iPadOS-apparaten is de SSO-app-extensie zelf beschikbaar. U kunt dus de app-extensie voor eenmalige aanmelding configureren en gebruiken voor uw apps & websites.

Voor macOS-apparaten is de SSO-app-extensie op zichzelf beschikbaar en is deze ook opgenomen in Platform SSO. U kunt dus alleen de SSO-app-extensie configureren en gebruiken als u platform-SSO niet wilt gebruiken. Als u Platform SSO gebruikt, configureert u alleen Platform SSO, omdat deze de app-extensie voor eenmalige aanmelding bevat.

De SSO-app-extensie is een omleidingstype SSO-app-extensie. Het is beschikbaar voor Intune, Jamf Pro en andere MDM-oplossingen. In Intune gebruikt de app-extensie voor eenmalige aanmelding een apparaatconfiguratiebeleid met Microsoft Entra ID als het type SSO-app-extensie.

Met deze instellingen configureert u SSO-app-extensies voor omleidingstypen en referenties. Meer specifiek:

  • Het omleidingstype is ontworpen voor moderne verificatieprotocollen, zoals OpenID Connect, OAuth en SAML2. U kunt kiezen tussen de Microsoft Entra SSO-extensie (Microsoft Enterprise SSO-invoegtoepassing ) en een algemene omleidingsextensie.

  • Het referentietype is ontworpen voor verificatiestromen voor uitdagingen en antwoorden. U kunt kiezen tussen een Kerberos-specifieke referentie-extensie van Apple en een algemene referentie-extensie.

    De SSO-app-extensie moet werken met elke MDM van niet-Microsoft of partner. De extensie moet worden geïmplementeerd als een Kerberos SSO-extensie of als een aangepast configuratieprofiel met alle vereiste eigenschappen geconfigureerd.

Ga naar voor meer informatie over de app-extensie voor eenmalige aanmelding:

Overzicht van functies voor SSO-app-extensie

In de volgende tabel vindt u een overzicht van de app-extensiefuncties voor eenmalige aanmelding in Intune. Gebruik deze informatie om te bepalen of deze SSO-optie geschikt is voor uw organisatie.

Functie Details
Platformondersteuning ✅ iOS/iPadOS 13.0 en hoger
✅ macOS 10.15 en hoger
Ondersteunde inschrijvingstypen iOS/iPadOS:
✅ Apparaatinschrijving
✅ Geautomatiseerde apparaatinschrijving (onder supervisie)
✅ Gebruikersinschrijving
✅ Directe inschrijving (Apple Configurator)

macOS:
✅ Door gebruiker goedgekeurde apparaatinschrijving
✅ Geautomatiseerde apparaatinschrijving (onder supervisie)
✅ Directe inschrijving (Apple Configurator)
Ondersteunde verificatietypen ✅ Omleidingstype SSO-app-extensie, inclusief Microsoft Entra ID
✅ Extensie van referentie-app
✅ De ingebouwde Kerberos-extensie van Apple
Ondersteunde app-typen ✅ Microsoft 365-apps
✅ Apps, websites of services die zijn geïntegreerd met Microsoft Entra ID
✅ Apps, websites of services die ondersteuning bieden voor apple's Enterprise SSO en die zijn geïntegreerd met on-premises Active Directory
Beleidstype Intune-beheercentrum Sjabloon apparaatfuncties op:

Apparaten>Apparaten beheren>Configuratie>Scheppen>Nieuw beleid>iOS/iPadOS of macOS voor platformSjablonen>>Apparaatfuncties voor profieltype >App-extensie voor eenmalige aanmelding
Aanbeveling ✅ Aanbevolen op iOS/iPadOS.

❌ Geen voorkeur op macOS-apparaten.

Op macOS-apparaten kunt u de SSO-app-extensie zelf gebruiken. Maar we raden u aan in plaats daarvan Platform SSO te gebruiken. Als u ook Platform SSO voor macOS gebruikt, maakt u geen afzonderlijk app-extensiebeleid voor eenmalige aanmelding. De SSO-app-extensie is opgenomen in de configuratie van platform SSO.

Sjabloon voor eenmalige aanmelding

Opmerking

In plaats van deze SSO-instellingen raadt Apple aan om de SSO-app-extensie te gebruiken (in dit artikel).

Van toepassing op:

  • iOS 7.0 en hoger
  • iPadOS 13.0 en hoger

Dit beleid voor eenmalige aanmelding is gebaseerd op Kerberos. Kerberos is een netwerkverificatieprotocol dat gebruikmaakt van cryptografie met geheime sleutels om client-servertoepassingen te verifiëren. De Intune-beleidsinstellingen definiëren Kerberos-accountgegevens bij het openen van servers of specifieke apps en omgaan met Kerberos-uitdagingen voor webpagina's en systeemeigen apps.

Ga naar Eenmalige aanmelding op iOS/iPadOS voor een lijst met instellingen die u in Intune kunt configureren.

Als u eenmalige aanmelding wilt gebruiken, moet u het volgende doen:

  • Een app die is ontwikkeld om te zoeken naar het gebruikersreferentiearchief in eenmalige aanmelding op het apparaat.
  • Intune geconfigureerd voor eenmalige aanmelding op iOS-/iPadOS-apparaten.

Functieoverzicht voor eenmalige aanmelding

De volgende tabel bevat een overzicht van de functies voor eenmalige aanmelding in Intune. Gebruik deze informatie om te bepalen of deze SSO-optie geschikt is voor uw organisatie.

Functie Details
Platformondersteuning ✅ iOS 7.0 en hoger
✅ iPadOS 13.0 en hoger
❌ macOS
Ondersteunde inschrijvingstypen ✅ Apparaatinschrijving
✅ Geautomatiseerde apparaatinschrijving (onder supervisie)
❌ Gebruikersinschrijving
❌ Directe inschrijving (Apple Configurator)
Ondersteunde verificatietypen Kan alleen Kerberos SSO-verificatie gebruiken.
- Voer Kerberos-accountgegevens in voor wanneer gebruikers toegang hebben tot servers of apps.
- Is geen Apple-implementatie van Kerberos.
- Behandelt Kerberos-uitdagingen voor webpagina's en apps
Ondersteunde app-typen Website en systeemeigen apps die Kerberos-verificatie ondersteunen. De app moet worden gecodeerd om te zoeken naar het gebruikersreferentiearchief in eenmalige aanmelding op het apparaat.
Beleidstype Intune-beheercentrum Sjabloon apparaatfuncties op:

Apparaten>Apparaten beheren>Configuratie>Scheppen>Nieuw beleid>iOS/iPadOS voor platformsjablonen>>Apparaatfuncties voor profieltype >Eenmalige aanmelding
Aanbeveling ❌ Niet aanbevolen. In plaats daarvan raadt Microsoft aan om de app-extensie voor eenmalige aanmelding te gebruiken (in dit artikel).

SSO-app-extensie versus SSO-sjabloon

De app-extensiefunctie voor eenmalige aanmelding verschilt van de functie Eenmalige aanmelding . Gebruik de volgende tabel om te vergelijken.

App-extensie voor eenmalige aanmelding Eenmalige aanmelding
Ondersteunde platformen ✅ iOS/iPadOS 13.0 en hoger
✅ macOS 10.15 en hoger
✅ iOS 7.0 en hoger
✅ iPadOS 13.0 en hoger
❌ macOS
Beschrijving Definieer extensies voor gebruik door id-providers of organisaties om een naadloze aanmeldingservaring voor ondernemingen te bieden. Het maakt gebruik van het Apple-besturingssysteem om te verifiëren. Definieer Kerberos-accountgegevens voor wanneer gebruikers toegang hebben tot servers of apps.
Verificatie Vanuit het oogpunt van app-ontwikkeling kan elk type omleidings-SSO- of referentie-SSO-verificatie worden gebruikt. Vanuit het oogpunt van app-ontwikkeling kan alleen Kerberos SSO-verificatie worden gebruikt.
Apple-implementatie Ontwikkeld door Apple en ingebouwd in de platforms iOS/iPadOS 13.0+ en macOS 10.15+. De ingebouwde Kerberos-extensie kan worden gebruikt om gebruikers aan te melden bij systeemeigen apps en websites die Kerberos-verificatie ondersteunen. Geen Apple-implementatie van Kerberos.
Aanbeveling Aanbevolen.

Biedt een verbeterde ervaring voor eindgebruikers. Het behandelt Kerberos-uitdagingen voor webpagina's, ondersteunt wachtwoordwijzigingen en gedraagt zich beter in bedrijfsnetwerken.

Wanneer u besluit kerberos te gebruiken in de SSO-app-extensie of sjabloon voor eenmalige aanmelding , raden we u aan de app-extensie voor eenmalige aanmelding te gebruiken vanwege verbeterde prestaties en mogelijkheden.
Niet aanbevolen.

Hiermee worden Kerberos-uitdagingen voor webpagina's afgehandeld.