Usar o plug-in do Microsoft Enterprise SSO em dispositivos macOS
O plug-in do Microsoft Enterprise SSO fornece SSO (logon único) para aplicativos e sites que usam Microsoft Entra ID para autenticação, incluindo o Microsoft 365. Esse plug-in usa a estrutura de extensão de aplicativo de logon único da Apple. Ele reduz o número de solicitações de autenticação que os usuários recebem ao usar dispositivos gerenciados pelo MDM (Mobile Gerenciamento de Dispositivos), incluindo qualquer MDM que dê suporte à configuração de perfis SSO.
Depois de configurados, os aplicativos que dão suporte à MSAL (Biblioteca de Autenticação da Microsoft) aproveitam automaticamente o plug-in do Microsoft Enterprise SSO. Aplicativos que não dão suporte ao MSAL podem usar a extensão, incluindo navegadores como Safari e aplicativos que usam APIs de exibição da Web do Safari. Basta adicionar a ID do pacote de aplicativo ou o prefixo à configuração da extensão.
Por exemplo, para dar permissão a um aplicativo da Microsoft que não dá suporte à MSAL, adicione com.microsoft.
à propriedade AppPrefixAllowList. Tenha cuidado com os aplicativos permitidos, eles poderão ignorar os prompts de entrada interativos para o usuário conectado.
Para obter mais informações, confira Plug-in SSO do Microsoft Enterprise para dispositivos Apple – aplicativos que não usam MSAL.
Observação
Anunciado em março de 2024, Microsoft Entra ID se afastará do Keychain da Apple para armazenar chaves de identidade do dispositivo. A partir do terceiro trimestre de 2026, todos os novos registros de dispositivo usarão o Enclave Seguro da Apple por padrão. Para obter mais informações, confira Plug-in do Microsoft Enterprise SSO para dispositivos Apple.
Este artigo se aplica ao:
- macOS
Este artigo mostra como implantar o plug-in do Microsoft Enterprise SSO para dispositivos MacOS Apple com Intune, Jamf Pro e outras soluções de MDM.
Pré-requisitos
Para usar o plug-in do Microsoft Enterprise SSO em dispositivos macOS:
- O dispositivo é gerenciado por Intune.
- O dispositivo deve oferecer suporte ao plug-in:
- macOS 10.15 e mais recente
- O aplicativo microsoft Portal da Empresa deve ser instalado e configurado no dispositivo.
Plug-in SSO do Microsoft Enterprise em comparação com a extensão de SSO do Kerberos
Quando você usa a extensão de aplicativo SSO, usa o Tipo de Carga SSO ou Kerberos para autenticação. A extensão do aplicativo SSO foi projetada para melhorar a experiência de entrada para aplicativos e sites que usam esses métodos de autenticação.
O plug-in SSO do Microsoft Enterprise usa o Tipo de Conteúdo SSO com a autenticação do Redirecionamento. Os tipos de extensão SSO Redirect e Kerberos podem ser usados em um dispositivo ao mesmo tempo. Não deixe de criar perfis de dispositivo separados para cada tipo de extensão que você planeja usar em seus dispositivos.
Para determinar o tipo de extensão de SSO correta para seu cenário, use a seguinte tabela:
Plug-in SSO do Microsoft Enterprise para dispositivos Apple | Extensão de aplicativo de logon único com Kerberos |
---|---|
Usa o tipo de extensão de aplicativo SSO Microsoft Entra ID | Usa o tipo de extensão do aplicativo SSO do Kerberos |
Dá suporte aos seguintes aplicativos: – Microsoft 365 - Aplicativos, sites ou serviços integrados a Microsoft Entra ID |
Dá suporte aos seguintes aplicativos: – Aplicativos, sites ou serviços integrados ao AD |
Para obter mais informações sobre a extensão de logon único, acesse Extensão de aplicativo de logon único.
Criar um perfil de configuração de extensão de aplicativo de logon único
No centro de administração Microsoft Intune, crie um perfil de configuração de dispositivo. Esse perfil inclui as configurações para definir a extensão do aplicativo SSO em dispositivos.
Selecione Criarconfiguração>de dispositivos>.
Insira as seguintes propriedades:
- Plataforma: selecione macOS.
- Tipo de perfil: selecione Modelos>Recursos do dispositivo.
Selecione Criar:
Em Noções básicas, insira as seguintes propriedades:
- Nome: insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é macOS: plug-in SSO da Microsoft Enterprise.
- Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.
Selecione Avançar.
Em Definições de configuração, selecione Extensão de aplicativo de logon único e configure as seguintes propriedades:
Tipo de extensão de aplicativo SSO: selecione Microsoft Entra ID:
ID do lote de aplicativo: insira uma lista de IDs de pacote para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Para obter mais informações, acesse Aplicativos que não usam MSAL.
Configuração adicional: para personalizar a experiência do usuário final, você pode adicionar as propriedades a seguir. Essas propriedades são os valores padrão usados pela Extensão SSO da Microsoft, mas podem ser personalizadas para as necessidades da sua organização:
Chave Tipo Descrição AppPrefixAllowList Cadeia de Caracteres Valor recomendado: com.microsoft.,com.apple.
Insira uma lista de prefixos para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Por exemplo, insiracom.microsoft.,com.apple.
para permitir todos os aplicativos Microsoft e Apple.
Certifique-se de que esses aplicativos atendam aos requisitos da lista de permitidos.browser_sso_interaction_enabled Inteiro Valor recomendado: 1
Quando definido como1
, os usuários podem entrar por meio do navegador Safari e por meio de aplicativos que não dão suporte à MSAL. Habilitar essa configuração permite que os usuários inicializem a extensão por meio do Safari ou de outros aplicativos.disable_explicit_app_prompt Inteiro Valor recomendado: 1
Alguns aplicativos podem impor incorretamente solicitações ao usuário final na camada de protocolo. Se você vir esse problema, os usuários serão solicitados a entrar, mesmo que o plug-in SSO do Microsoft Enterprise funcione para outros aplicativos.
Quando definido como1
(um), você reduz essas solicitações.Dica
Para obter mais informações sobre essas propriedades e outras propriedades que você pode configurar, consulte Plug-in do Microsoft Enterprise SSO para dispositivos Apple.
Quando terminar de configurar as configurações recomendadas, as configurações são semelhantes aos seguintes valores em seu perfil de configuração Intune:
Continue criando o perfil e atribua ele aos usuários ou grupos que receberão essas configurações. Para as etapas específicas, acesse Criar o perfil.
Para obter diretrizes sobre como atribuir perfis, acesse Atribuir perfis de usuário e dispositivo.
Quando o dispositivo fizer check-in com o serviço do Intune, ele receberá esse perfil. Para obter mais informações, acesse Intervalos de atualização de política.
Para marcar que o perfil implantado corretamente, no centro de administração Intune, acesseConfiguração> de Dispositivos> selecione o perfil criado e gere um relatório:
Experiência do usuário final
Se você não estiver implantando o aplicativo Portal da Empresa usando uma política de aplicativo, os usuários deverão instalá-lo manualmente. Os usuários não precisam usar o aplicativo Portal da Empresa, ele só precisa ser instalado no dispositivo.
Os usuários entrarão em qualquer aplicativo ou site com suporte para inicializar a extensão. A inicialização é o processo de entrar pela primeira vez, que configura a extensão.
Depois que os usuários entrarem com êxito, a extensão será usada automaticamente para entrar em qualquer outro aplicativo ou site com suporte.
Você pode testar o logon único abrindo o Safari no modo privado (abre o site da Apple) e abrindo o https://portal.office.com
site. Nenhum nome de usuário e senha serão necessários.
No macOS, quando os usuários entrarem em um aplicativo de trabalho ou escola, eles são solicitados a optar por entrar ou sair do SSO. Eles podem selecionar Não perguntar novamente para recusar o SSO e bloquear solicitações futuras.
Os usuários também podem gerenciar as preferências de SSO no aplicativo Portal da Empresa para macOS. Para editar preferências, acesse a barra > de menus do aplicativo Portal da Empresa Portal da Empresa>Settings. Eles podem selecionar ou desmarcar Não me peça para entrar com um único login para este dispositivo.
Dica
Saiba mais sobre como funciona o plug-in do SSO e como solucionar problemas da Extensão SSO do Microsoft Enterprise com o guia de solução de problemas do SSO para dispositivos Apple.
Próximas etapas
Para obter informações sobre o plug-in do Microsoft Enterprise SSO, acesse o plug-in do Microsoft Enterprise SSO para dispositivos Apple.
Para obter informações da Apple sobre o conteúdo da extensão de logon único, acesse as configurações de carga de extensões de logon único (abre o site da Apple).
Para obter informações sobre como solucionar problemas da Extensão de SSO da Microsoft Enterprise, acesse Solucionar problemas do plug-in de Extensão SSO da Microsoft Enterprise em dispositivos Apple.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de