Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten
De Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten biedt eenmalige aanmelding (SSO) voor Microsoft Entra-accounts in macOS, iOS en iPadOS voor alle toepassingen die ondersteuning bieden voor de functie voor eenmalige aanmelding van Apple. De invoegtoepassing biedt zelfs eenmalige aanmelding voor oude toepassingen waarvan uw bedrijf mogelijk afhankelijk is, maar die nog geen ondersteuning bieden voor de nieuwste identiteitsbibliotheken of -protocollen. Microsoft heeft nauw samengewerkt met Apple om deze invoegtoepassing te ontwikkelen om de bruikbaarheid van uw toepassing te verbeteren en tegelijkertijd de beste beveiliging te bieden.
De SSO-invoegtoepassing voor Enterprise is momenteel een ingebouwde functie van de volgende apps:
- Microsoft Authenticator: iOS, iPadOS
- Microsoft Intune-bedrijfsportal: macOS
Functies
De Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten biedt de volgende voordelen:
- Het biedt eenmalige aanmelding voor Microsoft Entra-accounts voor alle toepassingen die ondersteuning bieden voor de functie Apple Enterprise SSO.
- Het kan worden ingeschakeld door elke MDM-oplossing (Mobile Device Management) en wordt ondersteund in zowel apparaat- als gebruikersinschrijving.
- Het breidt SSO uit naar toepassingen die nog niet gebruikmaken van de Microsoft Authentication Library (MSAL).
- Het breidt SSO uit naar toepassingen die gebruikmaken van OAuth 2, OpenID Connect en SAML.
- Het is systeemeigen geïntegreerd met MSAL, dat een soepele systeemeigen ervaring biedt aan de eindgebruiker wanneer de invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise is ingeschakeld.
Notitie
Zie het overzicht van eenmalige aanmelding van macOS Platform (preview) voor meer informatie.
Vereisten
Voor het gebruik van de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten gelden de volgende vereisten:
Het apparaat moet een geïnstalleerde app ondersteunen en hebben die de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten bevat:
- iOS 13.0 en hoger: Microsoft Authenticator-app
- iPadOS 13.0 en hoger: Microsoft Authenticator-app
- macOS 10.15 en hoger: Intune-bedrijfsportal-app
Het apparaat moet zijn ingeschreven bij MDM, bijvoorbeeld via Microsoft Intune.
De configuratie moet naar het apparaat worden gepusht om de Enterprise SSO-invoegtoepassing in te schakelen. Apple vereist deze beveiligingsbeperking.
Apple-apparaten moeten toegang hebben tot url's van id-providers en hun eigen URL's zonder extra interceptie. Dit betekent dat deze URL's moeten worden uitgesloten van netwerkproxy's, interceptie en andere bedrijfssystemen.
Hier volgt de minimale set URL's die moeten worden toegestaan voor de SSO-invoegtoepassing om te kunnen functioneren:
app-site-association.cdn-apple.com
app-site-association.networking.apple
login.microsoftonline.com
(*)login.microsoft.com
(*)sts.windows.net
(*)login.partner.microsoftonline.cn
(*)(**)login.chinacloudapi.cn
(*)(**)login.microsoftonline.us
(*)(**)login-us.microsoftonline.com
(*)(**)config.edge.skype.com
(***)
(*) Het toestaan van Microsoft-domeinen is alleen vereist voor besturingssysteemversies die vóór 2022 zijn uitgebracht. Op de nieuwste versies van het besturingssysteem is Apple volledig afhankelijk van het CDN.
(**) U hoeft alleen soevereine clouddomeinen toe te staan als u afhankelijk bent van die in uw omgeving.
(***) Het onderhouden van communicatie met de ECS (Experimentation Configuration Service) zorgt ervoor dat Microsoft tijdig op een ernstige fout kan reageren.
De Microsoft Enterprise SSO-invoegtoepassing is afhankelijk van het Enterprise SSO-framework van Apple. Het Enterprise SSO-framework van Apple zorgt ervoor dat alleen een goedgekeurde SSO-invoegtoepassing voor elke id-provider kan werken door gebruik te maken van een technologie die gekoppelde domeinen wordt genoemd. Om de identiteit van de SSO-invoegtoepassing te verifiëren, verzendt elk Apple-apparaat een netwerkaanvraag naar een eindpunt dat eigendom is van de id-provider en leest u informatie over goedgekeurde SSO-invoegtoepassingen. Naast het rechtstreeks contact opnemen met de id-provider, heeft Apple ook een andere caching geïmplementeerd voor deze informatie.
Waarschuwing
Als uw organisatie proxyservers gebruikt die SSL-verkeer onderscheppen voor scenario's zoals preventie van gegevensverlies of tenantbeperkingen, moet u ervoor zorgen dat verkeer naar deze URL's wordt uitgesloten van TLS-onderbreking en -inspectie. Als u deze URL's niet uitsluit, veroorzaakt dit interferentie met verificatie van clientcertificaten, problemen met apparaatregistratie en voorwaardelijke toegang op basis van apparaten. De SSO-invoegtoepassing werkt niet betrouwbaar zonder apple CDN-domeinen volledig uit te sluiten van onderschepping en u ondervindt onregelmatige problemen totdat u dit doet.
Als uw organisatie deze URL's blokkeert, kunnen er fouten optreden zoals
1012 NSURLErrorDomain error
,1000 com.apple.AuthenticationServices.AuthorizationError
of1001 Unexpected
.Andere Apple-URL's die mogelijk moeten worden toegestaan, worden beschreven in hun ondersteuningsartikel, Apple-producten gebruiken op bedrijfsnetwerken.
Vereisten voor iOS
- iOS 13.0 of hoger moet op het apparaat zijn geïnstalleerd.
- Er moet een Microsoft-toepassing die de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten biedt op het apparaat zijn geïnstalleerd. Deze app is de Microsoft Authenticator-app.
Vereisten voor macOS
- macOS 10.15 of hoger moet op het apparaat zijn geïnstalleerd.
- Er moet een Microsoft-toepassing die de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten biedt op het apparaat zijn geïnstalleerd. Deze app is de Intune-bedrijfsportal-app.
De SSO-invoegtoepassing inschakelen
Gebruik de volgende informatie om de SSO-invoegtoepassing in te schakelen met behulp van MDM.
Configuratie van Microsoft Intune
Als u Microsoft Intune gebruikt als uw MDM-service, kunt u ingebouwde configuratieprofielinstellingen gebruiken om de SSO-invoegtoepassing van Microsoft Enterprise in te schakelen:
- Configureer de SSO-app-invoegtoepassingsinstellingen van een configuratieprofiel.
- Als het profiel nog niet is toegewezen, wijst u het profiel toe aan een gebruiker of apparaatgroep.
De profielinstellingen waarmee de SSO-invoegtoepassing wordt ingeschakeld, worden automatisch toegepast op de apparaten van de groep wanneer elk apparaat de volgende keer wordt ingecheckt met Intune.
Handmatige configuratie voor andere MDM-services
Als u Intune niet gebruikt voor MDM, kunt u een payload van een Extensible Single Sign On-profiel configureren voor Apple-apparaten. Gebruik de volgende parameters om de SSO-invoegtoepassing van Microsoft Enterprise en de configuratieopties te configureren.
iOS-instellingen:
- Extensie-id:
com.microsoft.azureauthenticator.ssoextension
- Team-id: dit veld is niet nodig voor iOS.
macOS-instellingen:
- Extensie-id:
com.microsoft.CompanyPortalMac.ssoextension
- Team-id:
UBF8T346G9
Algemene instellingen:
- Type: Omleiding
https://login.microsoftonline.com
https://login.microsoft.com
https://sts.windows.net
https://login.partner.microsoftonline.cn
https://login.chinacloudapi.cn
https://login.microsoftonline.us
https://login-us.microsoftonline.com
Implementatiehandleidingen
Gebruik de volgende implementatiehandleidingen om de Microsoft Enterprise SSO-invoegtoepassing in te schakelen met behulp van uw gekozen MDM-oplossing:
Intune:
Jamf Pro:
Andere MDM:
Meer configuratieopties
U kunt meer configuratieopties toevoegen om de functionaliteit voor eenmalige aanmelding uit te breiden naar andere apps.
Eenmalige aanmelding inschakelen voor apps die geen MSAL gebruiken
Met de SSO-invoegtoepassing kan elke toepassing deelnemen aan eenmalige aanmelding, zelfs als deze niet is ontwikkeld met behulp van een Microsoft SDK zoals Microsoft Authentication Library (MSAL).
De SSO-invoegtoepassing wordt automatisch geïnstalleerd door apparaten die:
- De Authenticator-app op iOS of iPadOS hebben gedownload of de Intune-bedrijfsportal-app op macOS hebben gedownload.
- Mdm heeft hun apparaat ingeschreven bij uw organisatie.
Uw organisatie maakt waarschijnlijk gebruik van de Authenticator-app voor scenario's zoals meervoudige verificatie, verificatie zonder wachtwoord en voorwaardelijke toegang. Door gebruik te maken van een MDM-provider kunt u de SSO-invoegtoepassing inschakelen voor uw toepassingen. Microsoft heeft het eenvoudig gemaakt om de invoegtoepassing te configureren met Behulp van Microsoft Intune. Er wordt een acceptatielijst gebruikt om deze toepassingen te configureren voor het gebruik van de SSO-invoegtoepassing.
Belangrijk
De Microsoft Enterprise SSO-invoegtoepassing ondersteunt alleen apps die gebruikmaken van systeemeigen Apple-netwerktechnologieën of -webweergaven. De toepassing biedt geen ondersteuning voor toepassingen die hun eigen implementatie van de netwerklaag verzenden.
Gebruik de volgende parameters om de invoegtoepassing microsoft Enterprise SSO te configureren voor apps die geen MSAL gebruiken.
Belangrijk
U hoeft geen apps toe te voegen die gebruikmaken van een Microsoft Authentication Library voor deze acceptatielijst. Deze apps nemen standaard deel aan eenmalige aanmelding. De meeste door Microsoft gebouwde apps maken gebruik van een Microsoft Authentication Library.
Eenmalige aanmelding inschakelen voor alle beheerde apps
- Sleutel:
Enable_SSO_On_All_ManagedApps
- Type:
Integer
- Waarde: 1 of 0. Deze waarde is standaard ingesteld op 0.
Wanneer deze vlag is ingeschakeld (de waarde is ingesteld op1
), kunnen alle door MDM beheerde apps die niet op de AppBlockList
staan, deelnemen aan eenmalige aanmelding.
Eenmalige aanmelding inschakelen voor specifieke apps
- Sleutel:
AppAllowList
- Type:
String
- Waarde: door komma's gescheiden lijst met toepassingsbundel-id's voor de toepassingen die mogen deelnemen aan eenmalige aanmelding.
- Voorbeeld:
com.contoso.workapp, com.contoso.travelapp
Notitie
Safari en Safari View-Service mogen standaard deelnemen aan eenmalige aanmelding. Ze kunnen worden geconfigureerd om niet deel te nemen aan eenmalige aanmelding door de bundel-id's van Safari en Safari View Service toe te voegen in AppBlockList. iOS-bundel-id's: [com.apple.mobilesafari, com.apple.SafariViewService] macOS BundleID : [com.apple.Safari]
Eenmalige aanmelding inschakelen voor alle apps met een specifiek bundel-id-voorvoegsel
- Sleutel:
AppPrefixAllowList
- Type:
String
- Waarde: door komma's gescheiden lijst met toepassingsbundel-id-voorvoegsels voor de toepassingen die mogen deelnemen aan eenmalige aanmelding. Met deze parameter kunnen alle apps die met een bepaald voorvoegsel beginnen aan eenmalige aanmelding deelnemen. Voor iOS is de standaardwaarde ingesteld op
com.apple.
en wordt eenmalige aanmelding ingeschakeld voor alle Apple-apps. Voor macOS zou de standaardwaarde zijn ingesteld opcom.apple.
encom.microsoft.
waarmee eenmalige aanmelding voor alle Apple- en Microsoft-apps zou worden ingeschakeld. Beheerders kunnen de standaardwaarde overschrijven of apps toevoegen om teAppBlockList
voorkomen dat ze deelnemen aan eenmalige aanmelding. - Voorbeeld:
com.contoso., com.fabrikam.
Eenmalige aanmelding uitschakelen voor specifieke apps
- Sleutel:
AppBlockList
- Type:
String
- Waarde: door komma's gescheiden lijst met toepassingsbundel-id's voor de toepassingen die niet mogen deelnemen aan eenmalige aanmelding.
- Voorbeeld:
com.contoso.studyapp, com.contoso.travelapp
Als u eenmalige aanmelding voor Safari of Safari View Service wilt uitschakelen, moet u dit expliciet doen door hun bundel-id's toe te voegen aan de AppBlockList
:
- iOS:
com.apple.mobilesafari
,com.apple.SafariViewService
- macOS:
com.apple.Safari
Eenmalige aanmelding via cookies inschakelen voor een specifieke toepassing
Sommige iOS-apps met geavanceerde netwerkinstellingen kunnen onverwachte problemen ondervinden wanneer ze zijn ingeschakeld voor eenmalige aanmelding. U ziet bijvoorbeeld een fout die aangeeft dat een netwerkaanvraag is geannuleerd of onderbroken.
Als uw gebruikers problemen ondervinden bij het aanmelden bij een toepassing, zelfs nadat u deze hebt ingeschakeld via de andere instellingen, kunt u proberen deze toe te voegen aan de AppCookieSSOAllowList
om de problemen op te lossen.
Notitie
Het gebruik van eenmalige aanmelding via het cookiemechanisme heeft ernstige beperkingen. Het is bijvoorbeeld niet compatibel met het beleid voor voorwaardelijke toegang van Microsoft Entra ID en ondersteunt slechts één account. Gebruik deze functie niet, tenzij dit expliciet wordt aanbevolen door de technische of ondersteuningsteams van Microsoft voor een beperkte set toepassingen die waarschijnlijk niet compatibel zijn met de reguliere eenmalige aanmelding.
- Sleutel:
AppCookieSSOAllowList
- Type:
String
- Waarde: door komma's gescheiden lijst met toepassingsbundel-id-voorvoegsels voor de toepassingen die mogen deelnemen aan de eenmalige aanmelding. Alle apps die beginnen met de vermelde voorvoegsels, mogen deelnemen aan eenmalige aanmelding.
- Voorbeeld:
com.contoso.myapp1, com.fabrikam.myapp2
Andere vereisten: als u eenmalige aanmelding voor toepassingen wilt inschakelen met behulp van AppCookieSSOAllowList
, moet u ook hun bundel-id-voorvoegsels toevoegen aan de AppPrefixAllowList
.
Gebruik deze configuratie alleen voor toepassingen met onverwachte aanmeldingsfouten. Deze sleutel moet alleen worden gebruikt voor iOS-apps en niet voor macOS-apps.
Overzicht van sleutels
Sleutel | Type | Weergegeven als |
---|---|---|
Enable_SSO_On_All_ManagedApps |
Geheel getal | 1 om eenmalige aanmelding in te schakelen voor alle beheerde apps, 0 om eenmalige aanmelding uit te schakelen voor alle beheerde apps. |
AppAllowList |
String (door komma's gescheiden lijst) |
Bundel-id's van toepassingen die mogen deelnemen aan eenmalige aanmelding. |
AppBlockList |
String (door komma's gescheiden lijst) |
Bundel-id's van toepassingen die niet mogen deelnemen aan eenmalige aanmelding. |
AppPrefixAllowList |
String (door komma's gescheiden lijst) |
Bundel-id-voorvoegsels van toepassingen die mogen deelnemen aan eenmalige aanmelding. Voor iOS is de standaardwaarde ingesteld op com.apple. en wordt eenmalige aanmelding ingeschakeld voor alle Apple-apps. Voor macOS zou de standaardwaarde zijn ingesteld op com.apple. en com.microsoft. waarmee eenmalige aanmelding voor alle Apple- en Microsoft-apps zou worden ingeschakeld. Ontwikkelaars, klanten of beheerders kunnen de standaardwaarde overschrijven of apps toevoegen om te AppBlockList voorkomen dat ze deelnemen aan eenmalige aanmelding. |
AppCookieSSOAllowList |
String (door komma's gescheiden lijst) |
Bundel-id-voorvoegsels van toepassingen die mogen deelnemen aan eenmalige aanmelding, maar die speciale netwerkinstellingen gebruiken en problemen ondervinden met eenmalige aanmelding bij gebruik van de andere instellingen. Apps die u toevoegt aan AppCookieSSOAllowList , moeten ook worden toegevoegd aan AppPrefixAllowList . Houd er rekening mee dat deze sleutel alleen moet worden gebruikt voor iOS-apps en niet voor macOS-apps. |
Instellingen voor algemene scenario's
Scenario: ik wil eenmalige aanmelding inschakelen voor de meeste beheerde toepassingen, maar niet voor alle toepassingen.
Sleutel Weergegeven als Enable_SSO_On_All_ManagedApps
1
AppBlockList
De bundel-id's (door komma's gescheiden lijst) van de apps die u wilt verhinderen deel te nemen aan eenmalige aanmelding. Scenario: ik wil eenmalige aanmelding voor Safari uitschakelen, wat standaard is ingeschakeld, maar eenmalige aanmelding inschakelen voor alle beheerde apps.
Sleutel Weergegeven als Enable_SSO_On_All_ManagedApps
1
AppBlockList
De bundel-id's (door komma's gescheiden lijst) van de Safari-apps die u wilt verhinderen deel te nemen aan eenmalige aanmelding. - Voor iOS:
com.apple.mobilesafari
,com.apple.SafariViewService
- Voor macOS:
com.apple.Safari
- Voor iOS:
Scenario: ik wil eenmalige aanmelding inschakelen voor alle beheerde apps en enkele niet-beheerde apps, maar eenmalige aanmelding uitschakelen voor enkele andere apps.
Sleutel Weergegeven als Enable_SSO_On_All_ManagedApps
1
AppAllowList
De bundel-id's (door komma's gescheiden lijst) van de apps die u wilt inschakelen voor deelname aan eenmalige aanmelding. AppBlockList
De bundel-id's (door komma's gescheiden lijst) van de apps die u wilt verhinderen deel te nemen aan eenmalige aanmelding.
App-bundel-id's zoeken op iOS-apparaten
Apple biedt geen eenvoudige manier om bundel-id's uit de App Store op te halen. De eenvoudigste manier om de bundel-id's op te halen van de apps die u voor eenmalige aanmelding wilt gebruiken, is door dit aan uw leverancier of app-ontwikkelaar te vragen. Als deze optie niet beschikbaar is, kunt u uw MDM-configuratie gebruiken om de bundel-id's te vinden:
Schakel tijdelijk de volgende vlag in uw MDM-configuratie in:
- Sleutel:
admin_debug_mode_enabled
- Type:
Integer
- Waarde: 1 of 0
- Sleutel:
Wanneer deze vlag is ingeschakeld, meldt u zich aan bij iOS-apps op het apparaat waarvan u de bundel-id wilt weten.
Selecteer in de Authenticator-app achtereenvolgens Help>Logboeken verzenden>Logboeken weergeven.
Zoek in het logboekbestand naar de volgende regel:
[ADMIN MODE] SSO extension has captured following app bundle identifiers
. Op deze regel moeten alle toepassingsbundel-id's zijn vastgelegd die zichtbaar zijn voor de SSO-extensie.
Gebruik de bundel-id's om eenmalige aanmelding voor de apps te configureren. Schakel de beheermodus uit nadat u klaar bent.
Gebruikers toestaan zich aan te melden vanuit toepassingen die geen MSAL en de Safari-browser gebruiken
De invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise krijgt standaard een gedeelde referentie wanneer deze wordt aangeroepen door een andere app die MSAL gebruikt tijdens het verkrijgen van een nieuw token. Afhankelijk van de configuratie kan de invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise ook een gedeelde referentie verkrijgen wanneer deze wordt aangeroepen door apps die geen MSAL gebruiken.
Wanneer u de browser_sso_interaction_enabled
vlag inschakelt, kunnen apps die msal niet gebruiken, de eerste bootstrapping uitvoeren en een gedeelde referentie ophalen. De Safari-browser kan ook de eerste bootstrapping uitvoeren en een gedeelde referentie ophalen.
Als de invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise nog geen gedeelde referentie heeft, wordt geprobeerd er een te verkrijgen wanneer een aanmelding wordt aangevraagd via een Microsoft Entra-URL in de Safari-browser, ASWebAuthenticationSession, SafariViewController of een andere toegestane systeemeigen toepassing.
Gebruik deze parameters om de vlag in te schakelen:
- Sleutel:
browser_sso_interaction_enabled
- Type:
Integer
- Waarde: 1 of 0. Deze waarde is standaard ingesteld op 1.
Voor zowel iOS als macOS is deze instelling vereist, zodat de Microsoft Enterprise SSO-invoegtoepassing een consistente ervaring kan bieden voor alle apps. Deze instelling is standaard ingeschakeld en moet alleen worden uitgeschakeld als de eindgebruiker zich niet kan aanmelden met zijn referenties.
OAuth 2-toepassingsprompts uitschakelen
Als een toepassing uw gebruikers vraagt om zich aan te melden, zelfs als de SSO-invoegtoepassing van Microsoft Enterprise voor andere toepassingen op het apparaat werkt, omzeilt de app mogelijk SSO op het niveau van de protocollaag. Gedeelde referenties worden ook genegeerd door dergelijke toepassingen, omdat de invoegtoepassing eenmalige aanmelding biedt door de referenties toe te voegen aan netwerkaanvragen die door toegestane toepassingen zijn gedaan.
Deze parameters geven aan of de SSO-extensie moet voorkomen dat systeemeigen en webtoepassingen eenmalige aanmelding op het niveau van de protocollaag omzeilen en de weergave van een aanmeldingsprompt aan de gebruiker afdwingen.
Voor een consistente SSO-ervaring voor alle apps op het apparaat raden we u aan een van deze instellingen in te schakelen voor apps die geen MSAL gebruiken. Schakel dit alleen in voor apps die MSAL gebruiken als uw gebruikers onverwachte prompts ondervinden.
Apps die geen Microsoft Authentication Library gebruiken:
Schakel de app-prompt uit en geef de accountkiezer weer:
- Sleutel:
disable_explicit_app_prompt
- Type:
Integer
- Waarde: 1 of 0. Deze waarde is standaard ingesteld op 1 en deze standaardinstelling vermindert de prompts.
Schakel de app-prompt uit en selecteer automatisch een account in de lijst met overeenkomende SSO-accounts:
- Sleutel:
disable_explicit_app_prompt_and_autologin
- Type:
Integer
- Waarde: 1 of 0. Deze waarde is standaard ingesteld op 0.
Apps die gebruikmaken van een Microsoft Authentication Library:
De volgende instellingen worden niet aanbevolen als App-beveiliging beleid wordt gebruikt.
Schakel de app-prompt uit en geef de accountkiezer weer:
- Sleutel:
disable_explicit_native_app_prompt
- Type:
Integer
- Waarde: 1 of 0. Deze waarde is standaard ingesteld op 0.
Schakel de app-prompt uit en selecteer automatisch een account in de lijst met overeenkomende SSO-accounts:
- Sleutel:
disable_explicit_native_app_prompt_and_autologin
- Type:
Integer
- Waarde: 1 of 0. Deze waarde is standaard ingesteld op 0.
Onverwachte SAML-toepassingsprompts
Als een toepassing uw gebruikers vraagt om zich aan te melden, zelfs als de SSO-invoegtoepassing van Microsoft Enterprise voor andere toepassingen op het apparaat werkt, omzeilt de app mogelijk SSO op het niveau van de protocollaag. Als de toepassing gebruikmaakt van het SAML-protocol, kan de Microsoft Enterprise SSO-invoegtoepassing geen eenmalige aanmelding voor de app opgeven. De leverancier van de toepassing moet op de hoogte worden gesteld van dit gedrag en een wijziging aanbrengen in de app om eenmalige aanmelding niet te omzeilen.
iOS-ervaring wijzigen voor MSAL-toepassingen
Apps die MSAL gebruiken, roepen altijd systeemeigen SSO-extensie aan voor interactieve aanvragen. Op sommige iOS-apparaten is het mogelijk niet wenselijk. Als de gebruiker ook de meervoudige verificatie in de Microsoft Authenticator-app moet voltooien, kan een interactieve omleiding naar die app een betere gebruikerservaring bieden.
Dit gedrag kan worden geconfigureerd met behulp van de disable_inapp_sso_signin
vlag. Als deze vlag is ingeschakeld, worden apps die MSAL gebruiken omgeleid naar de Microsoft Authenticator-app voor alle interactieve aanvragen. Deze vlag heeft geen invloed op stille tokenaanvragen van deze apps, het gedrag van apps die geen MSAL- of macOS-apps gebruiken. Deze vlag is standaard uitgeschakeld.
- Sleutel:
disable_inapp_sso_signin
- Type:
Integer
- Waarde: 1 of 0. Deze waarde is standaard ingesteld op 0.
Microsoft Entra-apparaatregistratie configureren
Voor door Intune beheerde apparaten kan de Microsoft Enterprise SSO-invoegtoepassing Microsoft Entra-apparaatregistratie uitvoeren wanneer een gebruiker toegang probeert te krijgen tot resources. Dit maakt een gestroomlijndere eindgebruikerservaring mogelijk.
Gebruik de volgende configuratie om Just-In-Time-registratie in te schakelen voor iOS/iPadOS met Microsoft Intune:
- Sleutel:
device_registration
- Type:
String
- Waarde: {{DEVICEREGISTRATION}}
Hier vindt u meer informatie over Just-In-Time-registratie.
Beleid voor voorwaardelijke toegang en wachtwoordwijzigingen
Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten is compatibel met verschillende beleidsregels voor voorwaardelijke toegang van Microsoft Entra en gebeurtenissen voor wachtwoordwijziging. browser_sso_interaction_enabled
moet zijn ingeschakeld om compatibiliteit te bereiken.
Compatibele gebeurtenissen en beleidsregels worden beschreven in de volgende secties:
Wachtwoordwijziging en tokenintrekking
Wanneer een gebruiker het wachtwoord opnieuw instelt, worden alle tokens die eerder zijn uitgegeven, ingetrokken. Als een gebruiker na een gebeurtenis voor het opnieuw instellen van een wachtwoord toegang probeert te krijgen tot een resource, moet de gebruiker zich normaal gesproken opnieuw aanmelden bij elk van de apps. Wanneer de Microsoft Enterprise SSO-invoegtoepassing is ingeschakeld, wordt de gebruiker gevraagd zich aan te melden bij de eerste toepassing die deelneemt aan eenmalige aanmelding. De invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise toont een eigen gebruikersinterface boven op de toepassing die momenteel actief is.
Meervoudige verificatie van Microsoft Entra
Meervoudige verificatie is een proces waarbij gebruikers tijdens het aanmeldingsproces worden gevraagd om een extra vorm van identificatie, zoals een code op hun mobiele telefoon of een vingerafdrukscan. Meervoudige verificatie kan worden ingeschakeld voor specifieke resources. Wanneer de invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise is ingeschakeld, wordt de gebruiker gevraagd meervoudige verificatie uit te voeren in de eerste toepassing waarvoor deze is vereist. De invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise toont een eigen gebruikersinterface boven op de toepassing die momenteel actief is.
Aanmeldingsfrequentie van gebruikers
De aanmeldingsfrequentie definieert de periode voordat een gebruiker wordt gevraagd zich opnieuw aan te melden bij een poging om toegang te krijgen tot een resource. Als een gebruiker toegang probeert te krijgen tot een resource nadat de periode in verschillende apps is doorgegeven, moet een gebruiker zich normaal gesproken opnieuw aanmelden bij elk van deze apps. Wanneer de invoegtoepassing Microsoft Enterprise SSO is ingeschakeld, wordt een gebruiker gevraagd zich aan te melden bij de eerste toepassing die deelneemt aan eenmalige aanmelding. De invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise toont een eigen gebruikersinterface boven op de toepassing die momenteel actief is.
Intune gebruiken voor vereenvoudigde configuratie
U kunt Intune als uw MDM-service gebruiken om de configuratie van de SSO-invoegtoepassing van Microsoft Enterprise te vereenvoudigen. U kunt Intune bijvoorbeeld gebruiken om de invoegtoepassing in te schakelen en oude apps toe te voegen aan een acceptatielijst, zodat ze voor eenmalige aanmelding worden ingesteld.
Zie de invoegtoepassing Microsoft Enterprise SSO implementeren voor Apple-apparaten met Intune voor meer informatie.
De SSO-invoegtoepassing gebruiken in uw toepassing
MSAL voor Apple-apparaten versie 1.1.0 en hoger ondersteunen de invoegtoepassing Microsoft Enterprise SSO voor Apple-apparaten. Het is de aanbevolen manier om ondersteuning toe te voegen voor de SSO-invoegtoepassing van Microsoft Enterprise. Het zorgt ervoor dat u de volledige mogelijkheden van het Microsoft Identity Platform krijgt.
Als u een toepassing bouwt voor frontline-workerscenario's, raadpleegt u de Modus Gedeeld apparaat voor iOS-apparaten voor informatie over de installatie.
Meer informatie over hoe de SSO-invoegtoepassing werkt
De SSO-invoegtoepassing van Microsoft Enterprise is afhankelijk van het SSO-framework van Apple Enterprise. Id-providers die lid worden van het framework kunnen netwerkverkeer voor hun domeinen onderscheppen en verbeteren of wijzigen hoe deze aanvragen worden verwerkt. De SSO-invoegtoepassing kan bijvoorbeeld meer UIS's tonen om referenties van eindgebruikers veilig te verzamelen, MFA te vereisen of tokens op de achtergrond aan de toepassing op te geven.
Systeemeigen toepassingen kunnen ook aangepaste bewerkingen implementeren en rechtstreeks met de SSO-invoegtoepassing communiceren. Zie deze video van de Worldwide Developer Conference van 2019 van Apple voor meer informatie.
Tip
Meer informatie over de werking van de SSO-invoegtoepassing en het oplossen van problemen met de Microsoft Enterprise SSO-extensie met de gids voor probleemoplossing voor eenmalige aanmelding voor Apple-apparaten.
Toepassingen die gebruikmaken van MSAL
MSAL voor Apple-apparaten versie 1.1.0 en hoger biedt ondersteuning voor de SSO-invoegtoepassing van Microsoft Enterprise voor Apple-apparaten voor werk- en schoolaccounts.
U hebt geen speciale configuratie nodig als u alle aanbevolen stappen hebt gevolgd en de standaardomleidings-URI-indeling hebt gebruikt. Op apparaten met de SSO-invoegtoepassing roept MSAL deze automatisch aan voor alle interactieve en stille tokenaanvragen. Het roept deze ook aan voor accountopsommings- en accountverwijderingsbewerkingen. Omdat MSAL een systeemeigen SSO-invoegtoepassing implementeert die afhankelijk is van aangepaste bewerkingen, biedt deze installatie de soepelste systeemeigen ervaring voor de eindgebruiker.
Als op iOS- en iPadOS-apparaten de SSO-invoegtoepassing niet is ingeschakeld door MDM, maar de Microsoft Authenticator-app aanwezig is op het apparaat, gebruikt MSAL in plaats daarvan de Authenticator-app voor interactieve tokenaanvragen. De Microsoft Enterprise SSO-invoegtoepassing deelt eenmalige aanmelding met de Authenticator-app.
Toepassingen die geen MSAL gebruiken
Toepassingen die geen MSAL gebruiken, kunnen nog steeds eenmalige aanmelding krijgen als een beheerder deze toepassingen toevoegt aan de acceptatielijst.
U hoeft de code in deze apps niet te wijzigen zolang aan de volgende voorwaarden wordt voldaan:
- De toepassing maakt gebruik van Apple-frameworks om netwerkaanvragen uit te voeren. Deze frameworks omvatten bijvoorbeeld WKWebView en NSURLSession.
- De toepassing maakt gebruik van standaardprotocollen om te communiceren met Microsoft Entra ID. Deze protocollen omvatten bijvoorbeeld OAuth 2, SAML en WS-Federation.
- De toepassing verzamelt geen gebruikersnamen en wachtwoorden zonder versleutelde tekst in de systeemeigen gebruikersinterface.
In dit geval wordt eenmalige aanmelding opgegeven wanneer de toepassing een netwerkaanvraag maakt en een webbrowser opent om de gebruiker aan te melden. Wanneer een gebruiker wordt omgeleid naar een aanmeldings-URL van Microsoft Entra, valideert de SSO-invoegtoepassing de URL en wordt gecontroleerd op een SSO-referentie voor die URL. Als de referentie wordt gevonden, geeft de SSO-invoegtoepassing deze door aan Microsoft Entra-id, waarmee de toepassing de netwerkaanvraag kan voltooien zonder de gebruiker te vragen referenties in te voeren. Als het apparaat bekend is bij Microsoft Entra ID, geeft de SSO-invoegtoepassing het apparaatcertificaat door om te voldoen aan de controle van voorwaardelijke toegang op basis van het apparaat.
Ter ondersteuning van eenmalige aanmelding voor niet-MSAL-apps implementeert de SSO-invoegtoepassing een protocol dat vergelijkbaar is met de Windows-browserinvoegtoepassing die wordt beschreven in Wat is een primair vernieuwingstoken?.
In vergelijking met MSAL-apps fungeert de SSO-invoegtoepassing transparanter voor niet-MSAL-apps. Deze kan worden geïntegreerd met de bestaande browseraanmeldingservaring die apps bieden.
De eindgebruiker ziet de vertrouwde weergave en hoeft zich niet opnieuw aan te melden in elke toepassing. In plaats van de systeemeigen accountkiezer weer te geven, voegt de SSO-invoegtoepassing SSO-sessies toe aan de webgebaseerde accountkiezer.
Aanstaande wijzigingen in de opslag van apparaat-id-sleutels
Aangekondigd in maart 2024, zal Microsoft Entra ID worden verwijderd van de sleutelhanger van Apple voor het opslaan van apparaatidentiteitssleutels. Vanaf Q3 2025 gebruiken alle nieuwe apparaatregistraties de Secure Enclave van Apple. Er wordt geen opt-out van deze opslaglocatie uitgevoerd.
Toepassingen en MDM-integraties die afhankelijk zijn van toegang tot Workplace Join-sleutels via sleutelhanger, moeten MSAL en de Enterprise SSO-invoegtoepassing gebruiken om compatibiliteit met het Microsoft Identity Platform te garanderen.
Veilige enclaveopslag van apparaat-id-sleutels inschakelen
Als u op Secure Enclave gebaseerde opslag van apparaat-id-sleutels wilt inschakelen voordat deze verplicht wordt, kunt u het volgende kenmerk Extensiegegevens toevoegen aan het MDM-configuratieprofiel van uw Apple-apparaten.
Notitie
Deze vlag wordt pas van kracht als deze wordt toegepast op een nieuwe registratie. Dit heeft geen invloed op apparaten die al zijn geregistreerd, tenzij ze opnieuw worden geregistreerd.
- Sleutel:
use_most_secure_storage
- Type:
Boolean
- Waarde: True
In de onderstaande schermopname ziet u de configuratiepagina en instellingen voor het inschakelen van Secure Enclave in Microsoft Intune.
App-incompatibiliteit herkennen met apparaatidentiteit op basis van Secure Enclave
Nadat u opslag op basis van Secure Enclave hebt ingeschakeld, kan er een foutbericht worden weergegeven waarin u wordt geadviseerd uw apparaat in te stellen om toegang te krijgen. Dit foutbericht geeft aan dat de toepassing de beheerde status van het apparaat niet kan herkennen, wat een incompatibiliteit met de nieuwe sleutelopslaglocatie voorstelt.
Deze fout wordt weergegeven in aanmeldingslogboeken van Microsoft Entra ID met de volgende details:
- Foutcode voor aanmelden:
530003
- Reden van fout:
Device is required to be managed to access this resource.
Als u dit foutbericht ziet tijdens het testen, controleert u eerst of u de SSO-extensie hebt ingeschakeld en eventuele vereiste toepassingsspecifieke extensies (bijvoorbeeld Microsoft Single sign-on voor Chrome) hebt geïnstalleerd. Als u dit bericht blijft zien, kunt u het beste contact opnemen met de leverancier van de toepassing om hen te waarschuwen voor de incompatibiliteit met de nieuwe opslaglocatie.
Scenario's die zijn beïnvloed
De onderstaande lijst bevat enkele veelvoorkomende scenario's die worden beïnvloed door deze wijzigingen. Als vuistregel wordt een toepassing met een afhankelijkheid van toegang tot apparaatidentiteitartefacten via de sleutelhanger van Apple beïnvloed.
Dit is geen volledige lijst en we adviseren zowel consumenten als leveranciers van toepassingen om hun software te testen op compatibiliteit met dit nieuwe gegevensarchief.
Ondersteuning voor beleid voor geregistreerde/geregistreerde apparaten voor voorwaardelijke toegang in Chrome
Als u beleid voor voorwaardelijke toegang van apparaten in Google Chrome wilt ondersteunen waarvoor opslag op basis van Secure Enclave is ingeschakeld, moet de Microsoft Single sign-on-extensie zijn geïnstalleerd en ingeschakeld.
Zie ook
Lees meer informatie over de modus voor gedeelde apparaten voor iOS-apparaten.
Meer informatie over het oplossen van problemen met de Microsoft Enterprise SSO-extensie.