Korzystanie z wtyczki logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach z systemem iOS/iPadOS

Wtyczka logowania jednokrotnego przedsiębiorstwa firmy Microsoft to funkcja w usłudze Microsoft Entra ID, która udostępnia funkcje logowania jednokrotnego dla urządzeń firmy Apple. Ta wtyczka korzysta z platformy rozszerzenia aplikacji do logowania jednokrotnego firmy Apple.

• W przypadku urządzeń z systemem iOS/iPadOS wtyczka Enterprise SSO zawiera rozszerzenie aplikacji logowania jednokrotnego.
• W przypadku urządzeń z systemem macOS wtyczka Enterprise SSO obejmuje logowanie jednokrotne platformy i rozszerzenie aplikacji logowania jednokrotnego.

Rozszerzenie aplikacji logowania jednokrotnego zapewnia logowanie jednokrotne do aplikacji i witryn internetowych korzystających z identyfikatora Microsoft Entra na potrzeby uwierzytelniania, w tym aplikacji platformy Microsoft 365. Zmniejsza to liczbę monitów uwierzytelniania otrzymywanych przez użytkowników podczas korzystania z urządzeń zarządzanych przez zarządzanie urządzeniami przenośnymi (MDM), w tym wszelkie urządzenia MDM obsługujące konfigurowanie profilów logowania jednokrotnego.

Ta funkcja ma zastosowanie do:

• iOS/iPadOS

  W przypadku systemu macOS przejdź do tematu Konfigurowanie logowania jednokrotnego platformy dla urządzeń z systemem macOS w usłudze Microsoft Intune.

W tym artykule pokazano, jak utworzyć zasady konfiguracji rozszerzenia aplikacji logowania jednokrotnego dla urządzeń apple z systemem iOS/iPadOS przy użyciu usługi Intune, narzędzia Jamf Pro i innych rozwiązań MDM.

Obsługa aplikacji

Aby aplikacje mogły korzystać z wtyczki logowania jednokrotnego w przedsiębiorstwie firmy Microsoft, dostępne są dwie opcje:

• Opcja 1 — MSAL: aplikacje obsługujące bibliotekę uwierzytelniania firmy Microsoft (MSAL) automatycznie korzystają z wtyczki logowania jednokrotnego przedsiębiorstwa firmy Microsoft. Na przykład aplikacje platformy Microsoft 365 obsługują msal. Dlatego automatycznie używają wtyczki.

  Jeśli Organizacja tworzy własne aplikacje, deweloper aplikacji może dodać zależność do biblioteki MSAL. Ta zależność umożliwia aplikacji korzystanie z wtyczki logowania jednokrotnego w przedsiębiorstwie firmy Microsoft.

  Aby zapoznać się z przykładowym samouczkiem, przejdź do artykułu Samouczek: logowanie użytkowników i wywoływanie programu Microsoft Graph z poziomu aplikacji systemu iOS lub macOS.

• Opcja 2 — AllowList: aplikacje, które nie obsługują lub nie zostały opracowane przy użyciu biblioteki MSAL, mogą korzystać z rozszerzenia aplikacji logowania jednokrotnego. Te aplikacje obejmują przeglądarki, takie jak Safari i aplikacje korzystające z interfejsów API widoku internetowego safari.

  W przypadku tych aplikacji innych niż MSAL dodaj identyfikator pakietu aplikacji lub prefiks do konfiguracji rozszerzenia w zasadach rozszerzenia aplikacji logowania jednokrotnego usługi Intune (w tym artykule).

  Aby na przykład zezwolić aplikacji firmy Microsoft, która nie obsługuje biblioteki MSAL, dodaj com.microsoft. do właściwości AppPrefixAllowList w zasadach usługi Intune. Zachowaj ostrożność w przypadku dozwolonych aplikacji. Mogą one pomijać interaktywne monity logowania dla zalogowanego użytkownika.

  Aby uzyskać więcej informacji, przejdź do wtyczki logowania jednokrotnego przedsiębiorstwa firmy Microsoft dla urządzeń firmy Apple — aplikacji, które nie korzystają z biblioteki MSAL.

Wymagania wstępne

Aby użyć wtyczki logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach z systemem iOS/iPadOS:

Intune

• Urządzenie jest zarządzane przez usługę Intune.

• Urządzenie musi obsługiwać wtyczkę:

  • System iOS/iPadOS 13.0 i nowsze

• Aplikacja Microsoft Authenticator musi być zainstalowana na urządzeniu.

  Użytkownicy mogą ręcznie zainstalować aplikację Microsoft Authenticator. Administratorzy mogą też wdrożyć aplikację przy użyciu usługi Intune. Aby uzyskać informacje na temat sposobu instalowania aplikacji Microsoft Authenticator, przejdź do tematu Zarządzanie aplikacjami zakupionymi zbiorczo przez firmę Apple.

• Skonfigurowano wymagania dotyczące wtyczki logowania jednokrotnego w przedsiębiorstwie, w tym adresy URL konfiguracji sieci firmy Apple.

Jamf Pro

• Urządzenie jest zarządzane przez narzędzie Jamf Pro.

• Urządzenie musi obsługiwać wtyczkę:

  • System iOS/iPadOS 13.0 i nowsze

• Aplikacja Microsoft Authenticator musi być zainstalowana na urządzeniu.

  Użytkownicy mogą ręcznie zainstalować aplikację Microsoft Authenticator. Administratorzy mogą też wdrożyć aplikację przy użyciu narzędzia Jamf Pro. Aby uzyskać listę opcji dotyczących sposobu instalowania aplikacji Microsoft Authenticator, przejdź do tematu Zarządzanie instalatorami systemu macOS przy użyciu narzędzia Jamf Pro (otwiera witrynę internetową narzędzia Jamf Pro).

• Skonfigurowano wymagania dotyczące wtyczki logowania jednokrotnego w przedsiębiorstwie, w tym adresy URL konfiguracji sieci firmy Apple.

• Integracja oprogramowania Jamf Pro i usługi Intune w celu zapewnienia zgodności urządzeń nie jest wymagana do korzystania z rozszerzenia aplikacji logowania jednokrotnego.

Inne rozwiązania MDM

• Urządzenie jest zarządzane przez rozwiązanie dostawcy zarządzania urządzeniami przenośnymi (MDM).
• Rozwiązanie MDM musi obsługiwać konfigurowanie ustawień ładunku MDM logowania jednokrotnego dla urządzeń firmy Apple z zasadami urządzenia.
• Urządzenie musi obsługiwać wtyczkę:
  • System iOS/iPadOS 13.0 i nowsze
• Aplikacja Microsoft Authenticator musi być zainstalowana na urządzeniu. Użytkownicy mogą ręcznie zainstalować aplikację Microsoft Authenticator. Administratorzy mogą też wdrożyć aplikację przy użyciu zasad zarządzania urządzeniami przenośnymi.
• Skonfigurowano wymagania dotyczące wtyczki logowania jednokrotnego w przedsiębiorstwie, w tym adresy URL konfiguracji sieci firmy Apple.

Uwaga

Na urządzeniach z systemem iOS/iPadOS firma Apple wymaga zainstalowania rozszerzenia aplikacji logowania jednokrotnego i aplikacji Microsoft Authenticator. Użytkownicy nie muszą używać ani konfigurować aplikacji Microsoft Authenticator. Wystarczy zainstalować ją na urządzeniu.

Wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft a rozszerzenie logowania jednokrotnego protokołu Kerberos

W przypadku korzystania z rozszerzenia aplikacji logowania jednokrotnego używasz logowania jednokrotnego lub typu ładunku Kerberos do uwierzytelniania. Rozszerzenie aplikacji logowania jednokrotnego ma na celu ulepszenie środowiska logowania dla aplikacji i witryn internetowych korzystających z tych metod uwierzytelniania.

Wtyczka logowania jednokrotnego przedsiębiorstwa firmy Microsoft używa typu ładunku logowania jednokrotnego z uwierzytelnianiem przekierowania . W tym samym czasie na urządzeniu można używać typów rozszerzeń SSO Redirect i Kerberos. Pamiętaj o utworzeniu oddzielnych profilów urządzeń dla każdego typu rozszerzenia, którego planujesz używać na urządzeniach.

Aby określić poprawny typ rozszerzenia logowania jednokrotnego dla danego scenariusza, użyj następującej tabeli:

---

Wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple	Rozszerzenie aplikacji do logowania jednokrotnego za pomocą protokołu Kerberos
Używa typu rozszerzenia aplikacji logowania jednokrotnego identyfikatora Microsoft Entra	Używa typu rozszerzenia aplikacji Kerberos SSO
Obsługuje następujące aplikacje: — Microsoft 365 — Aplikacje, witryny internetowe lub usługi zintegrowane z identyfikatorem Microsoft Entra	Obsługuje następujące aplikacje: — Aplikacje, witryny internetowe lub usługi zintegrowane z usługą AD

---

Aby uzyskać więcej informacji na temat rozszerzenia aplikacji do logowania jednokrotnego, przejdź do tematu Omówienie logowania jednokrotnego i opcje dotyczące urządzeń firmy Apple w usłudze Microsoft Intune.

Tworzenie zasad konfiguracji rozszerzenia aplikacji logowania jednokrotnego

Intune

W centrum administracyjnym usługi Microsoft Intune utwórz profil konfiguracji urządzenia. Ten profil zawiera ustawienia umożliwiające skonfigurowanie rozszerzenia aplikacji logowania jednokrotnego na urządzeniach.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja>Utwórz>Nowe zasady.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz pozycję iOS/iPadOS.
   • Typ profilu: wybierz pozycję Szablony>Funkcje urządzenia.

4. Wybierz pozycję Utwórz:

   

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa zasad to iOS: rozszerzenie aplikacji logowania jednokrotnego.
   • Opis: wprowadź opis zasad. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. W obszarze Ustawienia konfiguracji wybierz rozszerzenie aplikacji do logowania jednokrotnego i skonfiguruj następujące właściwości:

   • Typ rozszerzenia aplikacji logowania jednokrotnego: wybierz pozycję Microsoft Entra ID.

     

   • Włącz tryb urządzenia udostępnionego:

     • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

       W przypadku większości scenariuszy, w tym udostępnionego tabletu iPad, urządzeń osobistych i urządzeń z koligacją użytkownika lub bez niej, wybierz tę opcję.

     • Tak: wybierz tę opcję tylko wtedy, gdy urządzenia docelowe korzystają z trybu udostępnionego urządzenia Microsoft Entra. Aby uzyskać więcej informacji, zobacz Omówienie trybu urządzenia udostępnionego.

   • Identyfikator pakietu aplikacji: wprowadź listę identyfikatorów pakietów dla aplikacji, które nie obsługują biblioteki MSAL i mogą korzystać z logowania jednokrotnego. Aby uzyskać więcej informacji, przejdź do obszaru Aplikacje, które nie używają biblioteki MSAL.

   • Dodatkowa konfiguracja: aby dostosować środowisko użytkownika końcowego, możesz dodać następujące właściwości. Te właściwości są wartościami domyślnymi używanymi przez rozszerzenie logowania jednokrotnego firmy Microsoft, ale można je dostosować do potrzeb organizacji:

     Klucz	Wpisać	Opis
     AppPrefixAllowList	Ciąg	Zalecana wartość: com.apple. Wprowadź listę prefiksów dla aplikacji, które nie obsługują biblioteki MSAL i mogą korzystać z logowania jednokrotnego. Na przykład wprowadź polecenie com.microsoft.,com.apple. , aby zezwolić na wszystkie aplikacje firmy Microsoft i Firmy Apple. Upewnij się, że te aplikacje spełniają wymagania listy dozwolonych.
     browser_sso_interaction_enabled	Liczba całkowita	Zalecana wartość: 1 Po ustawieniu na 1wartość użytkownicy mogą logować się z przeglądarki Safari oraz z aplikacji, które nie obsługują biblioteki MSAL. Włączenie tego ustawienia umożliwia użytkownikom uruchamianie rozszerzenia z przeglądarki Safari lub innych aplikacji.
     disable_explicit_app_prompt	Liczba całkowita	Zalecana wartość: 1 Niektóre aplikacje mogą niepoprawnie wymuszać monity użytkowników końcowych w warstwie protokołu. Jeśli widzisz ten problem, użytkownicy są monitowane o zalogowanie się, mimo że wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft działa w przypadku innych aplikacji. Po ustawieniu wartości 1 (jeden) te monity są zmniejszane.

     Porada

     Aby uzyskać więcej informacji na temat tych właściwości i innych właściwości, które można skonfigurować, zobacz wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

     Po zakończeniu konfigurowania ustawień i zezwalaniu firmie Microsoft & aplikacji firmy Apple ustawienia wyglądają podobnie do następujących wartości w profilu konfiguracji usługi Intune:

     

8. Kontynuuj tworzenie profilu i przypisz profil do użytkowników lub grup, którzy otrzymają te ustawienia. Aby zapoznać się z konkretnymi krokami, przejdź do sekcji Tworzenie profilu.

   Aby uzyskać wskazówki dotyczące przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.

Gdy urządzenie zaewidencjonuje urządzenie w usłudze Intune, otrzyma ten profil. Aby uzyskać więcej informacji, przejdź do tematu Interwały odświeżania zasad.

Aby sprawdzić, czy profil został prawidłowo wdrożony, w centrum administracyjnym usługi Intune przejdź do pozycji Urządzenia>Zarządzaj urządzeniami>Konfiguracja> wybierz utworzony profil i wygeneruj raport:

Jamf Pro

W portalu narzędzia Jamf Pro utworzysz profil konfiguracji komputera lub urządzenia. Ten profil zawiera ustawienia umożliwiające skonfigurowanie rozszerzenia aplikacji logowania jednokrotnego na urządzeniach.

1. Zaloguj się do portalu narzędzia Jamf Pro.

2. Aby utworzyć profil systemu iOS/iPadOS, wybierz pozycję Profile>konfiguracjiurządzeń >Nowe:

   

3. W polu Nazwa wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa zasad to: iOS/iPadOS: wtyczka logowania jednokrotnego firmy Microsoft Enterprise.

4. W kolumnie Opcje przewiń w dół i wybierz pozycję Single Sign-On Extensions Add(Pojedyncze> rozszerzenia Sign-OnDodaj):

   

5. Wprowadź następujące właściwości:

   • Typ ładunku: wybierz pozycję Logowanie jednokrotne.
   • Identyfikator rozszerzenia: wprowadź com.microsoft.azureauthenticator.ssoextension.
   • Identyfikator zespołu: nie jest wymagana żadna wartość. Pozostaw pole puste.
   • Typ logowania: wybierz pozycję Przekierowanie.
   • Adresy URL: wprowadź następujące adresy URL, pojedynczo:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. W obszarze Konfiguracja niestandardowa definiujesz inne wymagane właściwości. Narzędzie Jamf Pro wymaga skonfigurowania tych właściwości przy użyciu przekazanego pliku PLIST. Aby wyświetlić pełną listę konfigurowalnych właściwości, przejdź do wtyczki logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

   Poniższy przykład to zalecany plik PLIST, który spełnia potrzeby większości organizacji:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Te ustawienia funkcji PLIST konfigurują następujące opcje rozszerzenia logowania jednokrotnego. Te właściwości są wartościami domyślnymi używanymi przez rozszerzenie logowania jednokrotnego firmy Microsoft, ale można je dostosować do potrzeb organizacji:

   Klucz	Wpisać	Opis
   AppPrefixAllowList	Ciąg	Zalecana wartość: com.apple.,com.jamf.,com.jamfsoftware. Wprowadź listę prefiksów dla aplikacji, które nie obsługują biblioteki MSAL i mogą korzystać z logowania jednokrotnego. Na przykład wprowadź polecenie com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. , aby zezwolić na wszystkie aplikacje Firmy Microsoft, Apple i Jamf Pro. Upewnij się, że te aplikacje spełniają wymagania listy dozwolonych.
   disable_explicit_app_prompt	Liczba całkowita	Zalecana wartość: 1 Niektóre aplikacje mogą niepoprawnie wymuszać monity użytkowników końcowych w warstwie protokołu. Jeśli widzisz ten problem, użytkownicy są monitowane o zalogowanie się, mimo że wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft działa w przypadku innych aplikacji. Po ustawieniu wartości 1 (jeden) te monity są zmniejszane.

   Porada

   Aby uzyskać więcej informacji na temat tych właściwości i innych właściwości, które można skonfigurować, zobacz wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

7. Wybierz kartę Zakres . Wprowadź komputery lub urządzenia, które powinny być przeznaczone do odbierania profilu mdm rozszerzenia logowania jednokrotnego.

8. Wybierz Zapisz.

Gdy urządzenie zaewidencjonuje się za pomocą usługi Jamf Pro, otrzyma profil.

Inne rozwiązania MDM

W portalu MDM utwórz profil konfiguracji urządzenia. Ten profil zawiera ustawienia umożliwiające skonfigurowanie rozszerzenia aplikacji logowania jednokrotnego na urządzeniach.

1. Zaloguj się do portalu MDM.

2. Utwórz nowy profil konfiguracji urządzenia.

3. Wybierz opcję Pojedyncze rozszerzenia Sign-On lub rozszerzenie logowania jednokrotnego . Nazwa różni się w zależności od używanego rozwiązania MDM.

4. Wprowadź następujące właściwości:

   Klucz	Wartość
   Typ ładunku	Usługi rejestracji jednokrotnej
   Identyfikator rozszerzenia	com.microsoft.azureauthenticator.ssoextension
   typ Sign-On	Przekierowanie
   Adresy URL	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Opcjonalnie można skonfigurować inne właściwości. Te właściwości są wartościami domyślnymi używanymi przez rozszerzenie logowania jednokrotnego firmy Microsoft, ale można je dostosować do potrzeb organizacji:

   Klucz	Wpisać	Opis
   AppPrefixAllowList	Ciąg	Zalecana wartość: com.apple. Wprowadź listę prefiksów dla aplikacji, które nie obsługują biblioteki MSAL i mogą korzystać z logowania jednokrotnego. Na przykład wprowadź polecenie com.microsoft.,com.apple. , aby zezwolić na wszystkie aplikacje firmy Microsoft i Firmy Apple. Upewnij się, że te aplikacje spełniają wymagania listy dozwolonych.
   browser_sso_interaction_enabled	Liczba całkowita	Zalecana wartość: 1 Po ustawieniu na 1wartość użytkownicy mogą logować się z przeglądarki Safari oraz z aplikacji, które nie obsługują biblioteki MSAL. Włączenie tego ustawienia umożliwia użytkownikom uruchamianie rozszerzenia z przeglądarki Safari lub innych aplikacji.
   disable_explicit_app_prompt	Liczba całkowita	Zalecana wartość: 1 Niektóre aplikacje mogą niepoprawnie wymuszać monity użytkowników końcowych w warstwie protokołu. Jeśli widzisz ten problem, użytkownicy są monitowane o zalogowanie się, mimo że wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft działa w przypadku innych aplikacji. Po ustawieniu wartości 1 (jeden) te monity są zmniejszane.

   Porada

   Aby uzyskać więcej informacji na temat tych właściwości i innych właściwości, które można skonfigurować, zobacz wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

6. Przypisz nowe zasady do urządzeń, które powinny być przeznaczone do odbierania profilu mdm rozszerzenia logowania jednokrotnego.

Gdy urządzenie zaewidencjonuje się w usłudze MDM, otrzyma ten profil.

Środowisko użytkownika końcowego

• Jeśli nie wdrażasz aplikacji Microsoft Authenticator przy użyciu zasad aplikacji, użytkownicy muszą zainstalować ją ręcznie. Użytkownicy nie muszą korzystać z aplikacji Authenticator. Wystarczy zainstalować ją na urządzeniu.

• Użytkownicy logują się do dowolnej obsługiwanej aplikacji lub witryny internetowej, aby uruchomić rozszerzenie. Bootstrap to proces logowania się po raz pierwszy, który konfiguruje rozszerzenie.

• Po pomyślnym zalogowaniu się użytkowników rozszerzenie jest automatycznie używane do logowania się do dowolnej innej obsługiwanej aplikacji lub witryny internetowej.

Możesz przetestować logowanie jednokrotne, otwierając przeglądarkę Safari w trybie prywatnym (otwiera witrynę internetową firmy Apple) i otwierając witrynę https://portal.office.com . Nazwa użytkownika i hasło nie będą wymagane.

Porada

Dowiedz się więcej o tym, jak działa wtyczka logowania jednokrotnego i jak rozwiązywać problemy z rozszerzeniem logowania jednokrotnego firmy Microsoft Enterprise, korzystając z przewodnika rozwiązywania problemów z logowaniem jednokrotnym dla urządzeń firmy Apple.

Artykuły pokrewne

• Aby uzyskać informacje o wtyczce logowania jednokrotnego w przedsiębiorstwie firmy Microsoft, przejdź do wtyczki logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

• Aby uzyskać informacje od firmy Apple dotyczące ładunku rozszerzenia logowania jednokrotnego, przejdź do ustawień ładunku rozszerzeń logowania jednokrotnego (otwiera witrynę internetową firmy Apple).

• Aby uzyskać informacje na temat rozwiązywania problemów z rozszerzeniem logowania jednokrotnego przedsiębiorstwa firmy Microsoft, przejdź do tematu Rozwiązywanie problemów z wtyczką Rozszerzenia logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach firmy Apple.