Lezen in het Engels

Delen via

De SSO-invoegtoepassing van Microsoft Enterprise gebruiken op iOS-/iPadOS-apparaten

  • Artikel

De Microsoft Enterprise SSO-invoegtoepassing is een functie in Microsoft Entra ID die functies voor eenmalige aanmelding (SSO) biedt voor Apple-apparaten. Deze invoegtoepassing maakt gebruik van het apple-extensieframework voor apps voor eenmalige aanmelding.

  • Voor iOS-/iPadOS-apparaten bevat de Enterprise SSO-invoegtoepassing de SSO-app-extensie.
  • Voor macOS-apparaten bevat de Enterprise SSO-invoegtoepassing Platform SSO en de SSO-app-extensie.

De SSO-app-extensie biedt eenmalige aanmelding bij apps en websites die gebruikmaken van Microsoft Entra ID voor verificatie, waaronder Microsoft 365-apps. Het vermindert het aantal verificatieprompts dat gebruikers krijgen bij het gebruik van apparaten die worden beheerd door Mobile Apparaatbeheer (MDM), inclusief MDM die ondersteuning biedt voor het configureren van eenmalige aanmeldingsprofielen.

Deze functie is van toepassing op:

In dit artikel wordt beschreven hoe u een configuratiebeleid voor SSO-app-extensies maakt voor iOS/iPadOS Apple-apparaten met Intune, Jamf Pro en andere MDM-oplossingen.

App-ondersteuning

Voor uw apps die de SSO-invoegtoepassing van Microsoft Enterprise kunnen gebruiken, hebt u twee opties:

  • Optie 1: MSAL: apps die ondersteuning bieden voor de Microsoft Authentication Library (MSAL) maken automatisch gebruik van de Microsoft Enterprise SSO-invoegtoepassing. Microsoft 365-apps ondersteunen bijvoorbeeld MSAL. Ze gebruiken dus automatisch de invoegtoepassing.

    Als uw organisatie eigen apps maakt, kan uw app-ontwikkelaar een afhankelijkheid toevoegen aan de MSAL. Met deze afhankelijkheid kan uw app de SSO-invoegtoepassing van Microsoft Enterprise gebruiken.

    Ga voor een voorbeeldzelfstudie naar Zelfstudie: Gebruikers aanmelden en Microsoft Graph aanroepen vanuit een iOS- of macOS-app.

  • Optie 2: AllowList: apps die geen ondersteuning bieden of die niet zijn ontwikkeld met MSAL, kunnen de SSO-app-extensie gebruiken. Deze apps omvatten browsers zoals Safari en apps die gebruikmaken van Safari-webweergave-API's.

    Voor deze niet-MSAL-apps voegt u de toepassingsbundel-id of het voorvoegsel toe aan de extensieconfiguratie in uw Intune app-extensiebeleid voor eenmalige aanmelding (in dit artikel).

    Als u bijvoorbeeld een Microsoft-app wilt toestaan die MSAL niet ondersteunt, voegt u toe com.microsoft. aan de eigenschap AppPrefixAllowList in uw Intune-beleid. Wees voorzichtig met de apps die u toestaat, ze kunnen interactieve aanmeldingsprompts voor de aangemelde gebruiker omzeilen.

    Ga voor meer informatie naar de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten - apps die geen msal gebruiken.

Vereisten

De SSO-invoegtoepassing van Microsoft Enterprise gebruiken op iOS-/iPadOS-apparaten:

  • Het apparaat wordt beheerd door Jamf Pro.

  • Het apparaat moet ondersteuning bieden voor de invoegtoepassing:

    • iOS/iPadOS 13.0 en hoger

  • De Microsoft Authenticator-app moet op het apparaat zijn geïnstalleerd.

    Gebruikers kunnen de Microsoft Authenticator-app handmatig installeren. Beheerders kunnen de app ook implementeren met Jamf Pro. Ga naar MacOS-installatieprogramma's beheren met Jamf Pro (hiermee opent u de website van Jamf Pro) voor een lijst met opties voor het installeren van de Microsoft Authenticator-app.

  • De vereisten voor de Enterprise SSO-invoegtoepassing zijn geconfigureerd, inclusief de URL's voor apple-netwerkconfiguratie.

  • Jamf Pro en Intune-integratie voor apparaatcompatibiliteit is niet vereist om de SSO-app-extensie te gebruiken.

Notitie

Op iOS-/iPadOS-apparaten vereist Apple dat de SSO-app-extensie en de Microsoft Authenticator-app zijn geïnstalleerd. Gebruikers hoeven de Microsoft Authenticator-app niet te gebruiken of te configureren, deze hoeft alleen op het apparaat te worden geïnstalleerd.

Microsoft Enterprise SSO-invoegtoepassing versus Kerberos SSO-extensie

Wanneer u de SSO-app-extensie gebruikt, gebruikt u de SSO of Kerberos Payload Type voor verificatie. De SSO-app-extensie is ontworpen om de aanmeldingservaring te verbeteren voor apps en websites die gebruikmaken van deze verificatiemethoden.

De SSO-invoegtoepassing van Microsoft Enterprise maakt gebruik van het nettoladingtype voor eenmalige aanmelding met omleidingsverificatie . De SSO-omleiding en kerberos-extensietypen kunnen beide tegelijkertijd op een apparaat worden gebruikt. Zorg ervoor dat u afzonderlijke apparaatprofielen maakt voor elk type extensie dat u op uw apparaten wilt gebruiken.

Gebruik de volgende tabel om het juiste type SSO-extensie voor uw scenario te bepalen:

Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten App-extensie voor eenmalige aanmelding met Kerberos
Gebruikt het extensietype Microsoft Entra ID SSO-app Gebruikt het app-extensietype Kerberos SSO
Ondersteunt de volgende apps:
- Microsoft 365
- Apps, websites of services geïntegreerd met Microsoft Entra ID		 Ondersteunt de volgende apps:
- Apps, websites of services geïntegreerd met AD

Ga voor meer informatie over de app-extensie voor eenmalige aanmelding naar SSO-overzicht en opties voor Apple-apparaten in Microsoft Intune.

Configuratiebeleid voor app-extensies voor eenmalige aanmelding maken

In de Jamf Pro-portal maakt u een computer- of apparaatconfiguratieprofiel. Dit profiel bevat de instellingen voor het configureren van de SSO-app-extensie op apparaten.

  1. Meld u aan bij de Jamf Pro-portal.

  2. Als u een iOS-/iPadOS-profiel wilt maken, selecteert u Apparaten>Configuratieprofielen>Nieuw:

    Schermopname van de Jamf Pro-portal en het maken van een configuratieprofiel voor iOS-/iPadOS-apparaten.

  3. Voer bij Naam een beschrijvende naam in voor het beleid. Geef je beleid een naam, zodat je ze later eenvoudig kunt identificeren. Een goede beleidsnaam is bijvoorbeeld: iOS/iPadOS: Microsoft Enterprise SSO-invoegtoepassing.

  4. Schuif omlaag in de kolom Opties en selecteer Single Sign-On Extensions>Add:

    Schermopname van de Jamf Pro-portal. Selecteer de optie SSO voor configuratieprofielen en selecteer Toevoegen voor iOS-/iPadOS-apparaten.

  5. Geef de volgende eigenschappen op:

    • Nettoladingtype: selecteer eenmalige aanmelding.
    • Extensie-id: voer in com.microsoft.azureauthenticator.ssoextension.
    • Team-id: er is geen waarde nodig. Laat het veld leeg.
    • Aanmeldingstype: selecteer Omleiding.
    • URL's: voer de volgende URL's één voor één in:
      • https://login.microsoftonline.com
      • https://login.microsoft.com
      • https://sts.windows.net
      • https://login.partner.microsoftonline.cn
      • https://login.chinacloudapi.cn
      • https://login.microsoftonline.us
      • https://login-us.microsoftonline.com

    Schermopname van de Jamf Pro-portal en de instellingen voor het payloadtype, de extensie-id, de team-id en het type SSO voor iOS-/iPadOS-apparaten.

    Schermopname van de Jamf Pro-portal en de URL's voor eenmalige aanmelding voor iOS-/iPadOS-apparaten.

  6. In Aangepaste configuratie definieert u andere vereiste eigenschappen. Jamf Pro vereist dat deze eigenschappen zijn geconfigureerd met behulp van een geüpload PLIST-bestand. Als u de volledige lijst met configureerbare eigenschappen wilt bekijken, gaat u naar de documentatie voor de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten.

    Het volgende voorbeeld is een aanbevolen PLIST-bestand dat voldoet aan de behoeften van de meeste organisaties:

    XML 
    <?xml version="1.0" encoding="UTF-8"?>
<plist version="1.0">
<dict>
    <key>AppPrefixAllowList</key>
    <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
    <key>browser_sso_interaction_enabled</key>
    <integer>1</integer>
    <key>disable_explicit_app_prompt</key>
    <integer>1</integer>
</dict>
</plist>

    Schermopname van een voorbeeld van een aangepaste configuratie met een PLIST-bestand voor Jamf Pro.

    Met deze PLIST-instellingen worden de volgende SSO-extensieopties geconfigureerd. Deze eigenschappen zijn de standaardwaarden die worden gebruikt door de Microsoft SSO-extensie, maar ze kunnen worden aangepast aan de behoeften van uw organisatie:

    Sleutel Type Beschrijving
    AppPrefixAllowList Tekenreeks Aanbevolen waarde: com.apple.,com.jamf.,com.jamfsoftware.

    Voer een lijst met voorvoegsels in voor apps die MSAL niet ondersteunen en eenmalige aanmelding mogen gebruiken. Voer bijvoorbeeld in com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. om alle Microsoft-, Apple- en Jamf Pro-apps toe te staan.

    Zorg ervoor dat deze apps voldoen aan de acceptatielijstvereisten.
    disable_explicit_app_prompt Geheel getal Aanbevolen waarde: 1

    Sommige apps kunnen vragen van eindgebruikers op de protocollaag onjuist afdwingen. Als u dit probleem ziet, worden gebruikers gevraagd zich aan te melden, ook al werkt de SSO-invoegtoepassing van Microsoft Enterprise voor andere apps.

    Wanneer deze optie is ingesteld op 1 (één), vermindert u deze prompts.

    Tip

    Zie Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten voor meer informatie over deze eigenschappen en andere eigenschappen die u kunt configureren.

  7. Selecteer het tabblad Bereik . Voer de computers of apparaten in waarop moet worden gericht om het MDM-profiel voor de SSO-extensie te ontvangen.

  8. Klik op Opslaan.

Wanneer het apparaat incheckt bij de Jamf Pro-service, ontvangt het het profiel.

Eindgebruikerservaring

Stroomdiagram voor eindgebruikers bij het installeren van app-extensie voor eenmalige aanmelding op iOS-/iPadOS-apparaten.

  • Als u de Microsoft Authenticator-app niet implementeert met behulp van een app-beleid, moeten gebruikers deze handmatig installeren. Gebruikers hoeven de Authenticator-app niet te gebruiken, deze hoeft alleen op het apparaat te worden geïnstalleerd.

  • Gebruikers melden zich aan bij een ondersteunde app of website om de extensie te bootstrapen. Bootstrap is het proces van aanmelden voor de eerste keer, waarmee de extensie wordt ingesteld.

  • Nadat gebruikers zich hebben aangemeld, wordt de extensie automatisch gebruikt om zich aan te melden bij een andere ondersteunde app of website.

U kunt eenmalige aanmelding testen door Safari te openen in de privémodus (hiermee opent u de website van Apple) en opent u de https://portal.office.com site. Er is geen gebruikersnaam en wachtwoord vereist.

Animatie met SSO-ervaring op iPadOS

Tip

Meer informatie over de werking van de SSO-invoegtoepassing en het oplossen van problemen met de Microsoft Enterprise SSO-extensie vindt u in de handleiding voor het oplossen van problemen met eenmalige aanmelding voor Apple-apparaten.