Korzystanie z wtyczki logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach z systemem macOS
Wtyczka logowania jednokrotnego przedsiębiorstwa firmy Microsoft to funkcja w usłudze Microsoft Entra ID, która udostępnia funkcje logowania jednokrotnego dla urządzeń firmy Apple. Ta wtyczka korzysta z platformy rozszerzenia aplikacji do logowania jednokrotnego firmy Apple.
- W przypadku urządzeń z systemem iOS/iPadOS wtyczka Enterprise SSO zawiera rozszerzenie aplikacji logowania jednokrotnego.
- W przypadku urządzeń z systemem macOS wtyczka Enterprise SSO obejmuje logowanie jednokrotne platformy i rozszerzenie aplikacji logowania jednokrotnego.
Rozszerzenie aplikacji logowania jednokrotnego zapewnia logowanie jednokrotne do aplikacji i witryn internetowych korzystających z identyfikatora Microsoft Entra na potrzeby uwierzytelniania, w tym aplikacji platformy Microsoft 365. Zmniejsza to liczbę monitów uwierzytelniania otrzymywanych przez użytkowników podczas korzystania z urządzeń zarządzanych przez zarządzanie urządzeniami przenośnymi (MDM), w tym wszelkie urządzenia MDM obsługujące konfigurowanie profilów logowania jednokrotnego.
Ta funkcja ma zastosowanie do:
macOS
W przypadku systemu iOS/iPadOS przejdź do tematu Korzystanie z wtyczki logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach z systemem iOS/iPadOS.
Na urządzeniach z systemem macOS można skonfigurować ustawienia rozszerzenia aplikacji logowania jednokrotnego w dwóch miejscach w usłudze Intune:
Szablon funkcji urządzenia (ten artykuł) — ta opcja konfiguruje tylko rozszerzenie aplikacji logowania jednokrotnego i używa dostawcy mdm, takiego jak usługa Intune, do wdrażania ustawień na urządzeniach.
Użyj tego artykułu, jeśli chcesz tylko skonfigurować ustawienia rozszerzenia aplikacji logowania jednokrotnego i nie chcesz również konfigurować logowania jednokrotnego platformy.
Katalog ustawień — ta opcja konfiguruje logowanie jednokrotne platformy i rozszerzenie aplikacji logowania jednokrotnego. Do wdrażania ustawień na urządzeniach jest używana usługa Intune.
Użyj ustawień katalogu ustawień, jeśli chcesz skonfigurować ustawienia rozszerzenia aplikacji logowania jednokrotnego platformy i logowania jednokrotnego. Aby uzyskać więcej informacji, przejdź do tematu Konfigurowanie logowania jednokrotnego platformy dla urządzeń z systemem macOS w usłudze Microsoft Intune.
Aby zapoznać się z omówieniem opcji logowania jednokrotnego na urządzeniach firmy Apple, zobacz Omówienie logowania jednokrotnego i opcje dla urządzeń firmy Apple w usłudze Microsoft Intune.
W tym artykule pokazano, jak utworzyć zasady konfiguracji rozszerzenia aplikacji logowania jednokrotnego dla urządzeń z systemem macOS firmy Apple przy użyciu usługi Intune, narzędzia Jamf Pro i innych rozwiązań MDM.
Jeśli chcesz razem skonfigurować ustawienia logowania jednokrotnego platformy i rozszerzenia aplikacji logowania jednokrotnego, przejdź do tematu Konfigurowanie logowania jednokrotnego platformy dla urządzeń z systemem macOS w usłudze Microsoft Intune.
Obsługa aplikacji
Aby aplikacje mogły korzystać z wtyczki logowania jednokrotnego w przedsiębiorstwie firmy Microsoft, dostępne są dwie opcje:
Opcja 1 — MSAL: aplikacje obsługujące bibliotekę uwierzytelniania firmy Microsoft (MSAL) automatycznie korzystają z wtyczki logowania jednokrotnego przedsiębiorstwa firmy Microsoft. Na przykład aplikacje platformy Microsoft 365 obsługują msal. Dlatego automatycznie używają wtyczki.
Jeśli Organizacja tworzy własne aplikacje, deweloper aplikacji może dodać zależność do biblioteki MSAL. Ta zależność umożliwia aplikacji korzystanie z wtyczki logowania jednokrotnego w przedsiębiorstwie firmy Microsoft.
Aby zapoznać się z przykładowym samouczkiem, przejdź do artykułu Samouczek: logowanie użytkowników i wywoływanie programu Microsoft Graph z poziomu aplikacji systemu iOS lub macOS.
Opcja 2 — AllowList: aplikacje, które nie obsługują lub nie zostały opracowane przy użyciu biblioteki MSAL, mogą korzystać z rozszerzenia aplikacji logowania jednokrotnego. Te aplikacje obejmują przeglądarki, takie jak Safari i aplikacje korzystające z interfejsów API widoku internetowego safari.
W przypadku tych aplikacji innych niż MSAL dodaj identyfikator pakietu aplikacji lub prefiks do konfiguracji rozszerzenia w zasadach rozszerzenia aplikacji logowania jednokrotnego usługi Intune (w tym artykule).
Aby na przykład zezwolić aplikacji firmy Microsoft, która nie obsługuje biblioteki MSAL, dodaj
com.microsoft.
do właściwości AppPrefixAllowList w zasadach usługi Intune. Zachowaj ostrożność w przypadku dozwolonych aplikacji. Mogą one pomijać interaktywne monity logowania dla zalogowanego użytkownika.Aby uzyskać więcej informacji, przejdź do wtyczki logowania jednokrotnego przedsiębiorstwa firmy Microsoft dla urządzeń firmy Apple — aplikacji, które nie korzystają z biblioteki MSAL.
Wymagania wstępne
Aby użyć wtyczki logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach z systemem macOS:
- Urządzenie jest zarządzane przez usługę Intune za pomocą rozwiązania MDM.
- Urządzenie musi obsługiwać wtyczkę:
- System macOS 10.15 i nowsze
- Na urządzeniu należy zainstalować i skonfigurować aplikację Portal firmy Microsoft.
- Skonfigurowano wymagania dotyczące wtyczki logowania jednokrotnego w przedsiębiorstwie, w tym adresy URL konfiguracji sieci firmy Apple.
Wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft a rozszerzenie logowania jednokrotnego protokołu Kerberos
W przypadku korzystania z rozszerzenia aplikacji logowania jednokrotnego używasz logowania jednokrotnego lub typu ładunku Kerberos do uwierzytelniania. Rozszerzenie aplikacji logowania jednokrotnego ma na celu ulepszenie środowiska logowania dla aplikacji i witryn internetowych korzystających z tych metod uwierzytelniania.
Wtyczka logowania jednokrotnego przedsiębiorstwa firmy Microsoft używa typu ładunku logowania jednokrotnego z uwierzytelnianiem przekierowania . W tym samym czasie na urządzeniu można używać typów rozszerzeń SSO Redirect i Kerberos. Pamiętaj o utworzeniu oddzielnych profilów urządzeń dla każdego typu rozszerzenia, którego planujesz używać na urządzeniach.
Aby określić poprawny typ rozszerzenia logowania jednokrotnego dla danego scenariusza, użyj następującej tabeli:
Wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple | Rozszerzenie aplikacji do logowania jednokrotnego za pomocą protokołu Kerberos |
---|---|
Używa typu rozszerzenia aplikacji logowania jednokrotnego identyfikatora Microsoft Entra | Używa typu rozszerzenia aplikacji Kerberos SSO |
Obsługuje następujące aplikacje: — Microsoft 365 — Aplikacje, witryny internetowe lub usługi zintegrowane z identyfikatorem Microsoft Entra |
Obsługuje następujące aplikacje: — Aplikacje, witryny internetowe lub usługi zintegrowane z usługą AD |
Aby uzyskać więcej informacji na temat rozszerzenia aplikacji logowania jednokrotnego, przejdź do tematu Omówienie logowania jednokrotnego i opcje dotyczące urządzeń firmy Apple w usłudze Microsoft Intune.
Tworzenie zasad konfiguracji rozszerzenia aplikacji logowania jednokrotnego
W tej sekcji przedstawiono sposób tworzenia zasad rozszerzenia aplikacji logowania jednokrotnego. Aby uzyskać informacje na temat logowania jednokrotnego platformy, przejdź do tematu Konfigurowanie logowania jednokrotnego platformy dla urządzeń z systemem macOS w usłudze Microsoft Intune.
W centrum administracyjnym usługi Microsoft Intune utwórz profil konfiguracji urządzenia. Ten profil zawiera ustawienia umożliwiające skonfigurowanie rozszerzenia aplikacji logowania jednokrotnego na urządzeniach.
Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja>Utwórz>Nowe zasady.
Wprowadź następujące właściwości:
- Platforma: wybierz pozycję macOS.
- Typ profilu: wybierz pozycję Szablony>Funkcje urządzenia.
Wybierz pozycję Utwórz:
W obszarze Podstawy wprowadź następujące właściwości:
- Nazwa: wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą zasad jest rozszerzenie aplikacji macOS-SSO.
- Opis: wprowadź opis zasad. To ustawienie jest opcjonalne, ale zalecane.
Wybierz pozycję Dalej.
W obszarze Ustawienia konfiguracji wybierz rozszerzenie aplikacji do logowania jednokrotnego i skonfiguruj następujące właściwości:
Typ rozszerzenia aplikacji logowania jednokrotnego: wybierz pozycję Microsoft Entra ID:
Identyfikator pakietu aplikacji: wprowadź listę identyfikatorów pakietów dla aplikacji, które nie obsługują biblioteki MSAL i mogą korzystać z logowania jednokrotnego. Aby uzyskać więcej informacji, przejdź do obszaru Aplikacje, które nie używają biblioteki MSAL.
Dodatkowa konfiguracja: aby dostosować środowisko użytkownika końcowego, możesz dodać następujące właściwości. Te właściwości są wartościami domyślnymi używanymi przez rozszerzenie aplikacji logowania jednokrotnego, ale można je dostosować do potrzeb organizacji:
Klucz Wpisać Opis AppPrefixAllowList Ciąg Zalecana wartość: com.microsoft.,com.apple.
Wprowadź listę prefiksów dla aplikacji, które nie obsługują biblioteki MSAL i mogą korzystać z logowania jednokrotnego. Na przykład wprowadź poleceniecom.microsoft.,com.apple.
, aby zezwolić na wszystkie aplikacje firmy Microsoft i Firmy Apple.
Upewnij się, że te aplikacje spełniają wymagania listy dozwolonych.browser_sso_interaction_enabled Liczba całkowita Zalecana wartość: 1
Po ustawieniu na1
wartość użytkownicy mogą logować się z przeglądarki Safari oraz z aplikacji, które nie obsługują biblioteki MSAL. Włączenie tego ustawienia umożliwia użytkownikom uruchamianie rozszerzenia z przeglądarki Safari lub innych aplikacji.disable_explicit_app_prompt Liczba całkowita Zalecana wartość: 1
Niektóre aplikacje mogą niepoprawnie wymuszać monity użytkowników końcowych w warstwie protokołu. Jeśli widzisz ten problem, użytkownicy są monitowane o zalogowanie się, mimo że wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft działa w przypadku innych aplikacji.
Po ustawieniu wartości1
(jeden) te monity są zmniejszane.Porada
Aby uzyskać więcej informacji na temat tych właściwości i innych właściwości, które można skonfigurować, przejdź do wtyczki logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.
Po zakończeniu konfigurowania zalecanych ustawień ustawienia wyglądają podobnie do następujących wartości w profilu konfiguracji usługi Intune:
Kontynuuj tworzenie profilu i przypisz profil do użytkowników lub grup, którzy otrzymają te ustawienia. Aby zapoznać się z konkretnymi krokami, przejdź do sekcji Tworzenie profilu.
Aby uzyskać wskazówki dotyczące przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.
Gdy zasady będą gotowe, przypiszesz zasady do użytkowników. Firma Microsoft zaleca przypisanie zasad podczas rejestracji urządzenia w usłudze Intune. Można go jednak przypisać w dowolnym momencie, w tym na istniejących urządzeniach. Gdy urządzenie zaewidencjonuje urządzenie w usłudze Intune, otrzyma ten profil. Aby uzyskać więcej informacji, przejdź do tematu Interwały odświeżania zasad.
Aby sprawdzić, czy profil został prawidłowo wdrożony, w centrum administracyjnym usługi Intune przejdź do pozycji Urządzenia>Zarządzaj urządzeniami>Konfiguracja> wybierz utworzony profil i wygeneruj raport:
Środowisko użytkownika końcowego
Jeśli nie wdrażasz aplikacji Portal firmy przy użyciu zasad aplikacji, użytkownicy muszą zainstalować ją ręcznie. Użytkownicy nie muszą korzystać z aplikacji Portal firmy. Wystarczy zainstalować ją na urządzeniu.
Użytkownicy logują się do dowolnej obsługiwanej aplikacji lub witryny internetowej, aby uruchomić rozszerzenie. Bootstrap to proces logowania się po raz pierwszy, który konfiguruje rozszerzenie.
Po pomyślnym zalogowaniu się użytkowników rozszerzenie jest automatycznie używane do logowania się do dowolnej innej obsługiwanej aplikacji lub witryny internetowej.
Możesz przetestować logowanie jednokrotne, otwierając przeglądarkę Safari w trybie prywatnym (otwiera witrynę internetową firmy Apple) i otwierając witrynę https://portal.office.com
. Nazwa użytkownika i hasło nie będą wymagane.
W systemie macOS, gdy użytkownicy logują się do aplikacji służbowej, zostanie wyświetlony monit o wyrażenie zgody lub rezygnację z logowania jednokrotnego. Mogą wybrać pozycję Nie pytaj mnie ponownie, aby zrezygnować z logowania jednokrotnego i zablokować przyszłe żądania.
Użytkownicy mogą również zarządzać preferencjami logowania jednokrotnego w aplikacji Portal firmy dla systemu macOS. Aby edytować preferencje, przejdź do paska > menu aplikacji Portal firmyUstawieniaportalu> firmy. Mogą wybrać lub usunąć zaznaczenie pozycji Nie pytaj mnie o zalogowanie się przy użyciu logowania jednokrotnego dla tego urządzenia.
Porada
Dowiedz się więcej o tym, jak działa wtyczka logowania jednokrotnego i jak rozwiązywać problemy z rozszerzeniem logowania jednokrotnego firmy Microsoft Enterprise, korzystając z przewodnika rozwiązywania problemów z logowaniem jednokrotnym dla urządzeń firmy Apple.
Artykuły pokrewne
Aby uzyskać informacje o wtyczce logowania jednokrotnego w przedsiębiorstwie firmy Microsoft, przejdź do wtyczki logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.
Aby uzyskać informacje od firmy Apple dotyczące ładunku rozszerzenia logowania jednokrotnego, przejdź do ustawień ładunku rozszerzeń logowania jednokrotnego (otwiera witrynę internetową firmy Apple).
Aby uzyskać informacje na temat rozwiązywania problemów z rozszerzeniem logowania jednokrotnego przedsiębiorstwa firmy Microsoft, przejdź do tematu Rozwiązywanie problemów z wtyczką Rozszerzenia logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach firmy Apple.