Korzystanie z wtyczki logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach z systemem iOS/iPadOS

Wtyczka logowania jednokrotnego przedsiębiorstwa firmy Microsoft zapewnia logowanie jednokrotne dla aplikacji i witryn internetowych, które używają Microsoft Azure Active Directory (Azure AD) do uwierzytelniania, w tym platformy Microsoft 365. Ta wtyczka korzysta z platformy rozszerzenia aplikacji do logowania jednokrotnego firmy Apple. Zmniejsza to liczbę monitów uwierzytelniania otrzymywanych przez użytkowników podczas korzystania z urządzeń zarządzanych przez usługę Mobile Zarządzanie urządzeniami (MDM), w tym wszelkie urządzenia MDM obsługujące konfigurowanie profilów logowania jednokrotnego.

Po skonfigurowaniu aplikacje obsługujące bibliotekę uwierzytelniania firmy Microsoft (MSAL) automatycznie korzystają z wtyczki logowania jednokrotnego przedsiębiorstwa firmy Microsoft. Aplikacje, które nie obsługują biblioteki MSAL, mogą korzystać z rozszerzenia, w tym przeglądarek, takich jak Safari i aplikacji korzystających z interfejsów API widoku internetowego Safari. Wystarczy dodać identyfikator pakietu aplikacji lub prefiks do konfiguracji rozszerzenia.

Aby na przykład zezwolić aplikacji firmy Microsoft, która nie obsługuje biblioteki MSAL, dodaj com.microsoft. do właściwości AppPrefixAllowList . Zachowaj ostrożność w przypadku dozwolonych aplikacji. Będą oni mogli pominąć interaktywne monity logowania dla zalogowanego użytkownika.

Aby uzyskać więcej informacji, zobacz wtyczka logowania jednokrotnego przedsiębiorstwa firmy Microsoft dla urządzeń firmy Apple — aplikacje, które nie korzystają z biblioteki MSAL.

Ten artykuł dotyczy:

  • iOS/iPadOS

W tym artykule pokazano, jak wdrożyć wtyczkę logowania jednokrotnego przedsiębiorstwa firmy Microsoft dla urządzeń z systemem iOS/iPadOS firmy Apple przy użyciu Intune, narzędzia Jamf Pro i innych rozwiązań MDM.

Wymagania wstępne

Aby użyć wtyczki logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach z systemem iOS/iPadOS:

  • Urządzenie jest zarządzane przez Intune.

  • Urządzenie musi obsługiwać wtyczkę:

    • System iOS/iPadOS 13.0 i nowsze
  • Aplikacja Microsoft Authenticator musi być zainstalowana na urządzeniu.

    Aplikację Microsoft Authenticator można zainstalować ręcznie przez użytkowników lub wdrożyć przy użyciu Intune. Aby uzyskać informacje na temat sposobu instalowania aplikacji Microsoft Authenticator, przejdź do tematu Zarządzanie aplikacjami zakupionymi zbiorczo przez firmę Apple.

Uwaga

Na urządzeniach z systemem iOS/iPadOS firma Apple wymaga zainstalowania rozszerzenia aplikacji logowania jednokrotnego i aplikacji Microsoft Authenticator. Użytkownicy nie muszą używać ani konfigurować aplikacji Microsoft Authenticator. Wystarczy zainstalować ją na urządzeniu.

Wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft a rozszerzenie logowania jednokrotnego protokołu Kerberos

W przypadku korzystania z rozszerzenia aplikacji logowania jednokrotnego używasz logowania jednokrotnego lub typu ładunku Kerberos do uwierzytelniania. Rozszerzenie aplikacji logowania jednokrotnego ma na celu ulepszenie środowiska logowania dla aplikacji i witryn internetowych korzystających z tych metod uwierzytelniania.

Wtyczka logowania jednokrotnego przedsiębiorstwa firmy Microsoft używa typu ładunku logowania jednokrotnego z uwierzytelnianiem przekierowania . W tym samym czasie na urządzeniu można używać typów rozszerzeń SSO Redirect i Kerberos. Pamiętaj o utworzeniu oddzielnych profilów urządzeń dla każdego typu rozszerzenia, którego planujesz używać na urządzeniach.

Aby określić poprawny typ rozszerzenia logowania jednokrotnego dla danego scenariusza, użyj następującej tabeli:


Wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple Rozszerzenie aplikacji do logowania jednokrotnego za pomocą protokołu Kerberos
Używa typu rozszerzenia aplikacji logowania jednokrotnego Microsoft Azure AD Używa typu rozszerzenia aplikacji Kerberos SSO
Obsługuje następujące aplikacje:
— Microsoft 365
— Aplikacje, witryny internetowe lub usługi zintegrowane z Azure AD
Obsługuje następujące aplikacje:
— Aplikacje, witryny internetowe lub usługi zintegrowane z usługą AD


Aby uzyskać więcej informacji na temat rozszerzenia logowania jednokrotnego, przejdź do rozszerzenia aplikacji do logowania jednokrotnego.

Tworzenie profilu konfiguracji rozszerzenia aplikacji do logowania jednokrotnego

W centrum administracyjnym Microsoft Intune utwórz profil konfiguracji urządzenia. Ten profil zawiera ustawienia umożliwiające skonfigurowanie rozszerzenia aplikacji logowania jednokrotnego na urządzeniach.

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycję Urządzenia>Profile konfiguracji>Utwórz profil.

  3. Wprowadź następujące właściwości:

    • Platforma: wybierz pozycję iOS/iPadOS.
    • Profil: wybierz pozycję Szablony>Funkcje urządzenia.
  4. Wybierz pozycję Utwórz:

    Zrzut ekranu przedstawiający sposób tworzenia profilu konfiguracji funkcji urządzenia dla systemu iOS/iPadOS w Intune.

  5. W obszarze Podstawowe informacje wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa zasad to iOS: wtyczka logowania jednokrotnego firmy Microsoft Enterprise.
    • Opis: wprowadź opis zasad. To ustawienie jest opcjonalne, ale zalecane.
  6. Wybierz pozycję Dalej.

  7. W obszarze Ustawienia konfiguracji wybierz rozszerzenie aplikacji do logowania jednokrotnego i skonfiguruj następujące właściwości:

    • Typ rozszerzenia aplikacji logowania jednokrotnego: wybierz pozycję Microsoft Azure AD.

      Zrzut ekranu przedstawiający typ rozszerzenia aplikacji logowania jednokrotnego i Microsoft Azure AD dla systemu iOS/iPadOS w Intune.

    • Włącz tryb urządzenia udostępnionego:

      • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

        W przypadku większości scenariuszy, w tym udostępnionego tabletu iPad, urządzeń osobistych i urządzeń z koligacją użytkownika lub bez niej, wybierz tę opcję.

      • Tak: wybierz tę opcję tylko wtedy, gdy urządzenia docelowe korzystają Azure AD trybie urządzenia udostępnionego. Aby uzyskać więcej informacji, zobacz Omówienie trybu urządzenia udostępnionego.

    • Identyfikator pakietu aplikacji: wprowadź listę identyfikatorów pakietów dla aplikacji, które nie obsługują biblioteki MSAL i mogą korzystać z logowania jednokrotnego. Aby uzyskać więcej informacji, przejdź do obszaru Aplikacje, które nie używają biblioteki MSAL.

    • Dodatkowa konfiguracja: aby dostosować środowisko użytkownika końcowego, możesz dodać następujące właściwości. Te właściwości są wartościami domyślnymi używanymi przez rozszerzenie logowania jednokrotnego firmy Microsoft, ale można je dostosować do potrzeb organizacji:

      Klucz Wpisać Opis
      AppPrefixAllowList Ciąg Zalecana wartość: com.apple.

      Wprowadź listę prefiksów dla aplikacji, które nie obsługują biblioteki MSAL i mogą korzystać z logowania jednokrotnego. Na przykład wprowadź polecenie com.microsoft.,com.apple. , aby zezwolić na wszystkie aplikacje firmy Microsoft i Firmy Apple.

      Upewnij się, że te aplikacje spełniają wymagania listy dozwolonych.
      browser_sso_interaction_enabled Liczba całkowita Zalecana wartość: 1

      Po ustawieniu na 1wartość użytkownicy mogą logować się z przeglądarki Safari oraz z aplikacji, które nie obsługują biblioteki MSAL. Włączenie tego ustawienia umożliwia użytkownikom uruchamianie rozszerzenia z przeglądarki Safari lub innych aplikacji.
      disable_explicit_app_prompt Liczba całkowita Zalecana wartość: 1

      Niektóre aplikacje mogą niepoprawnie wymuszać monity użytkowników końcowych w warstwie protokołu. Jeśli widzisz ten problem, użytkownicy są monitowane o zalogowanie się, mimo że wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft działa w przypadku innych aplikacji.

      Po ustawieniu wartości 1 (jeden) te monity są zmniejszane.

      Porada

      Aby uzyskać więcej informacji na temat tych właściwości i innych właściwości, które można skonfigurować, zobacz wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

      Po zakończeniu konfigurowania zalecanych ustawień ustawienia wyglądają podobnie do następujących wartości w profilu konfiguracji Intune:

      Zrzut ekranu przedstawiający opcje konfiguracji środowiska użytkownika końcowego dla wtyczki Enterprise SSO na urządzeniach z systemem iOS/iPadOS w Intune.

  8. Kontynuuj tworzenie profilu i przypisz profil do użytkowników lub grup, którzy otrzymają te ustawienia. Aby zapoznać się z konkretnymi krokami, przejdź do sekcji Tworzenie profilu.

    Aby uzyskać wskazówki dotyczące przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.

Gdy urządzenie zaewidencjonuje się w usłudze Intune, otrzyma ten profil. Aby uzyskać więcej informacji, przejdź do tematu Interwały odświeżania zasad.

Aby sprawdzić, czy profil został prawidłowo wdrożony, w centrum administracyjnym Intune przejdź do pozycjiProfile konfiguracjiurządzeń>, wybierając utworzony profil i wygeneruj > raport:

Zrzut ekranu przedstawiający raport wdrażania profilu konfiguracji urządzenia z systemem iOS/iPadOS w Intune.

Środowisko użytkownika końcowego

Wykres przepływu użytkownika końcowego podczas instalowania rozszerzenia aplikacji logowania jednokrotnego na urządzeniach z systemem iOS/iPadOS.

  • Jeśli nie wdrażasz aplikacji Microsoft Authenticator przy użyciu zasad aplikacji, użytkownicy muszą zainstalować ją ręcznie. Użytkownicy nie muszą korzystać z aplikacji Authenticator. Wystarczy zainstalować ją na urządzeniu.

  • Użytkownicy logują się do dowolnej obsługiwanej aplikacji lub witryny internetowej, aby uruchomić rozszerzenie. Bootstrap to proces logowania się po raz pierwszy, który konfiguruje rozszerzenie.

  • Po pomyślnym zalogowaniu się użytkowników rozszerzenie jest automatycznie używane do logowania się do dowolnej innej obsługiwanej aplikacji lub witryny internetowej.

Możesz przetestować logowanie jednokrotne, otwierając przeglądarkę Safari w trybie prywatnym (otwiera witrynę internetową firmy Apple) i otwierając witrynę https://portal.office.com . Nazwa użytkownika i hasło nie będą wymagane.

Animacja przedstawiająca środowisko logowania jednokrotnego w systemie iPadOS

Porada

Dowiedz się więcej o tym, jak działa wtyczka logowania jednokrotnego i jak rozwiązywać problemy z rozszerzeniem logowania jednokrotnego firmy Microsoft Enterprise, korzystając z przewodnika rozwiązywania problemów z logowaniem jednokrotnym dla urządzeń firmy Apple.

Następne kroki