Usar o plug-in do Microsoft Enterprise SSO em dispositivos macOS

O plug-in do Microsoft Enterprise SSO fornece SSO (logon único) para aplicativos e sites que usam Microsoft Entra ID para autenticação, incluindo o Microsoft 365. Esse plug-in usa a estrutura de extensão de aplicativo de logon único da Apple. Ele reduz o número de solicitações de autenticação que os usuários recebem ao usar dispositivos gerenciados pelo MDM (Mobile Gerenciamento de Dispositivos), incluindo qualquer MDM que dê suporte à configuração de perfis SSO.

Depois de configurados, os aplicativos que dão suporte à MSAL (Biblioteca de Autenticação da Microsoft) aproveitam automaticamente o plug-in do Microsoft Enterprise SSO. Aplicativos que não dão suporte ao MSAL podem usar a extensão, incluindo navegadores como Safari e aplicativos que usam APIs de exibição da Web do Safari. Basta adicionar a ID do pacote de aplicativo ou o prefixo à configuração da extensão.

Por exemplo, para dar permissão a um aplicativo da Microsoft que não dá suporte à MSAL, adicione com.microsoft. à propriedade AppPrefixAllowList. Tenha cuidado com os aplicativos permitidos, eles poderão ignorar os prompts de entrada interativos para o usuário conectado.

Para obter mais informações, confira Plug-in SSO do Microsoft Enterprise para dispositivos Apple – aplicativos que não usam MSAL.

Observação

Anunciado em março de 2024, Microsoft Entra ID se afastará do Keychain da Apple para armazenar chaves de identidade do dispositivo. A partir do terceiro trimestre de 2026, todos os novos registros de dispositivo usarão o Enclave Seguro da Apple por padrão. Para obter mais informações, confira Plug-in do Microsoft Enterprise SSO para dispositivos Apple.

Este artigo se aplica ao:

• macOS

Este artigo mostra como implantar o plug-in do Microsoft Enterprise SSO para dispositivos MacOS Apple com Intune, Jamf Pro e outras soluções de MDM.

Pré-requisitos

Para usar o plug-in do Microsoft Enterprise SSO em dispositivos macOS:

Intune

• O dispositivo é gerenciado por Intune.
• O dispositivo deve oferecer suporte ao plug-in:
  • macOS 10.15 e mais recente
• O aplicativo microsoft Portal da Empresa deve ser instalado e configurado no dispositivo.

Jamf Pro

• O dispositivo é gerenciado pelo Jamf Pro.

• O dispositivo deve oferecer suporte ao plug-in:

  • macOS 10.15 e mais recente

• O aplicativo microsoft Portal da Empresa deve ser instalado no dispositivo.

  O aplicativo Portal da Empresa pode ser instalado manualmente por usuários ou implantado o aplicativo por meio do Jamf Pro. Para obter uma lista de opções sobre como instalar o aplicativo Portal da Empresa, acesse Gerenciamento de Pacotes – Adicionando um pacote ao Jamf Administração (abre o site do Jamf Pro).

Observação

Em dispositivos macOS, a Apple exige que o aplicativo Portal da Empresa seja instalado. Os usuários não precisam usar ou configurar o aplicativo Portal da Empresa, ele só precisa ser instalado no dispositivo.

Outros MDMs

• O dispositivo é gerenciado por uma solução de provedor de MDM (gerenciamento de dispositivo móvel).

• A solução MDM deve dar suporte à configuração de configurações de carga MDM de logon único para dispositivos Apple com uma política de dispositivo.

• O dispositivo deve oferecer suporte ao plug-in:

  • macOS 10.15 e mais recente

• O aplicativo microsoft Portal da Empresa deve ser instalado no dispositivo.

  O aplicativo microsoft Portal da Empresa pode ser instalado manualmente pelos usuários ou implantado com uma política de MDM. Você pode baixar o pacote Portal da Empresa instalador de aplicativos.

Observação

Em dispositivos macOS, a Apple exige que o aplicativo Portal da Empresa seja instalado. Os usuários não precisam usar ou configurar o aplicativo Portal da Empresa, ele só precisa ser instalado no dispositivo.

Plug-in SSO do Microsoft Enterprise em comparação com a extensão de SSO do Kerberos

Quando você usa a extensão de aplicativo SSO, usa o Tipo de Carga SSO ou Kerberos para autenticação. A extensão do aplicativo SSO foi projetada para melhorar a experiência de entrada para aplicativos e sites que usam esses métodos de autenticação.

O plug-in SSO do Microsoft Enterprise usa o Tipo de Conteúdo SSO com a autenticação do Redirecionamento. Os tipos de extensão SSO Redirect e Kerberos podem ser usados em um dispositivo ao mesmo tempo. Não deixe de criar perfis de dispositivo separados para cada tipo de extensão que você planeja usar em seus dispositivos.

Para determinar o tipo de extensão de SSO correta para seu cenário, use a seguinte tabela:

---

Plug-in SSO do Microsoft Enterprise para dispositivos Apple	Extensão de aplicativo de logon único com Kerberos
Usa o tipo de extensão de aplicativo SSO Microsoft Entra ID	Usa o tipo de extensão do aplicativo SSO do Kerberos
Dá suporte aos seguintes aplicativos: – Microsoft 365 - Aplicativos, sites ou serviços integrados a Microsoft Entra ID	Dá suporte aos seguintes aplicativos: – Aplicativos, sites ou serviços integrados ao AD

Para obter mais informações sobre a extensão de logon único, acesse Extensão de aplicativo de logon único.

Criar um perfil de configuração de extensão de aplicativo de logon único

Intune

No centro de administração Microsoft Intune, crie um perfil de configuração de dispositivo. Esse perfil inclui as configurações para definir a extensão do aplicativo SSO em dispositivos.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Criarconfiguração>de dispositivos>.

3. Insira as seguintes propriedades:

   • Plataforma: selecione macOS.
   • Tipo de perfil: selecione Modelos>Recursos do dispositivo.

4. Selecione Criar:

   

5. Em Noções básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é macOS: plug-in SSO da Microsoft Enterprise.
   • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.

6. Selecione Avançar.

7. Em Definições de configuração, selecione Extensão de aplicativo de logon único e configure as seguintes propriedades:

   • Tipo de extensão de aplicativo SSO: selecione Microsoft Entra ID:

     

   • ID do lote de aplicativo: insira uma lista de IDs de pacote para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Para obter mais informações, acesse Aplicativos que não usam MSAL.

   • Configuração adicional: para personalizar a experiência do usuário final, você pode adicionar as propriedades a seguir. Essas propriedades são os valores padrão usados pela Extensão SSO da Microsoft, mas podem ser personalizadas para as necessidades da sua organização:

     Chave	Tipo	Descrição
     AppPrefixAllowList	Cadeia de Caracteres	Valor recomendado: com.microsoft.,com.apple. Insira uma lista de prefixos para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Por exemplo, insira com.microsoft.,com.apple. para permitir todos os aplicativos Microsoft e Apple. Certifique-se de que esses aplicativos atendam aos requisitos da lista de permitidos.
     browser_sso_interaction_enabled	Inteiro	Valor recomendado: 1 Quando definido como 1, os usuários podem entrar por meio do navegador Safari e por meio de aplicativos que não dão suporte à MSAL. Habilitar essa configuração permite que os usuários inicializem a extensão por meio do Safari ou de outros aplicativos.
     disable_explicit_app_prompt	Inteiro	Valor recomendado: 1 Alguns aplicativos podem impor incorretamente solicitações ao usuário final na camada de protocolo. Se você vir esse problema, os usuários serão solicitados a entrar, mesmo que o plug-in SSO do Microsoft Enterprise funcione para outros aplicativos. Quando definido como 1 (um), você reduz essas solicitações.

     Dica

     Para obter mais informações sobre essas propriedades e outras propriedades que você pode configurar, consulte Plug-in do Microsoft Enterprise SSO para dispositivos Apple.

     Quando terminar de configurar as configurações recomendadas, as configurações são semelhantes aos seguintes valores em seu perfil de configuração Intune:

     

8. Continue criando o perfil e atribua ele aos usuários ou grupos que receberão essas configurações. Para as etapas específicas, acesse Criar o perfil.

   Para obter diretrizes sobre como atribuir perfis, acesse Atribuir perfis de usuário e dispositivo.

Quando o dispositivo fizer check-in com o serviço do Intune, ele receberá esse perfil. Para obter mais informações, acesse Intervalos de atualização de política.

Para marcar que o perfil implantado corretamente, no centro de administração Intune, acesseConfiguração> de Dispositivos> selecione o perfil criado e gere um relatório:

Jamf Pro

No portal do Jamf Pro, você cria um perfil de configuração de computador. Esse perfil inclui as configurações para definir a extensão do aplicativo SSO em dispositivos.

1. Entre no portal do Jamf Pro.

2. Para criar um perfil macOS, selecionePerfis de Configuração de>Computadores>Novo:

   

3. Em Nome, insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é: macOS: plug-in do Microsoft Enterprise SSO.

4. Na coluna Opções, role para baixo e selecione Adicionar extensões> de Sign-On único:

   

5. Insira as seguintes propriedades:

   • Tipo de carga: selecione SSO.
   • Identificador de extensão: insira com.microsoft.CompanyPortalMac.ssoextension.
   • Identificador de equipe: insira UBF8T346G9.
   • Tipo de logon: selecione Redirecionar.
   • URLs: insira as seguintes URLs, uma de cada vez:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. Em Configuração Personalizada, você definirá outras propriedades necessárias. O Jamf Pro exige que essas propriedades sejam configuradas usando um arquivo PLIST carregado. Para ver a lista completa de propriedades configuráveis, acesse o plug-in do Microsoft Enterprise SSO para documentação de dispositivos Apple.

   O exemplo a seguir é um arquivo PLIST recomendado que atende às necessidades da maioria das organizações:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Essas configurações PLIST configuram as seguintes opções de Extensão SSO. Essas propriedades são os valores padrão usados pela Extensão SSO da Microsoft, mas podem ser personalizadas para as necessidades da sua organização:

   Chave	Tipo	Descrição
   AppPrefixAllowList	Cadeia de Caracteres	Valor recomendado: com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. Insira uma lista de prefixos para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Por exemplo, insira com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. para permitir todos os aplicativos Microsoft, Apple e Jamf Pro. Certifique-se de que esses aplicativos atendam aos requisitos da lista de permitidos.
   disable_explicit_app_prompt	Inteiro	Valor recomendado: 1 Alguns aplicativos podem impor incorretamente solicitações ao usuário final na camada de protocolo. Se você vir esse problema, os usuários serão solicitados a entrar, mesmo que o plug-in SSO do Microsoft Enterprise funcione para outros aplicativos. Quando definido como 1 (um), você reduz essas solicitações.

   Dica

   Para obter mais informações sobre essas propriedades e outras propriedades que você pode configurar, consulte Plug-in do Microsoft Enterprise SSO para dispositivos Apple.

7. Selecione a guia Escopo. Insira os computadores ou dispositivos que devem ser direcionados para receber o perfil MDM de Extensão do SSO.

8. Selecione Salvar.

Quando o dispositivo fizer check-in com o serviço do Jamf Pro, ele receberá esse perfil.

Dica

Se você usar o Jamf Connect, é recomendável que você siga as diretrizes mais recentes do Jamf sobre como integrar o Jamf Connect ao Microsoft Entra ID. O padrão de integração recomendado garante que o Jamf Connect funcione corretamente com suas políticas e Microsoft Entra ID Protection de acesso condicional.

Outros MDMs

No portal do MDM, crie um perfil de configuração de dispositivo. Esse perfil inclui as configurações para definir a extensão do aplicativo SSO em dispositivos.

1. Entre no portal do MDM.

2. Crie um novo perfil de configuração de dispositivo.

3. Selecione uma opção chamada Extensões de Sign-On única ou extensão SSO. O nome pode variar dependendo do MDM de escolha.

4. Insira as seguintes propriedades:

   Chave	Valor
   Tipo de carga	SSO
   Identificador de extensão	com.microsoft.CompanyPortalMac.ssoextension
   Identificador de Equipe	UBF8T346G9
   tipo Sign-On	Redirecionar
   URLs	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Opcionalmente, você pode configurar outras propriedades. Essas propriedades são os valores padrão usados pela Extensão SSO da Microsoft, mas podem ser personalizadas para as necessidades da sua organização:

   Chave	Tipo	Descrição
   AppPrefixAllowList	Cadeia de Caracteres	Valor recomendado: com.microsoft.,com.apple. Insira uma lista de prefixos para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Por exemplo, insira com.microsoft.,com.apple. para permitir todos os aplicativos Microsoft e Apple. Certifique-se de que esses aplicativos atendam aos requisitos da lista de permitidos.
   browser_sso_interaction_enabled	Inteiro	Valor recomendado: 1 Quando definido como 1, os usuários podem entrar por meio do navegador Safari e por meio de aplicativos que não dão suporte à MSAL. Habilitar essa configuração permite que os usuários inicializem a extensão por meio do Safari ou de outros aplicativos.
   disable_explicit_app_prompt	Inteiro	Valor recomendado: 1 Alguns aplicativos podem impor incorretamente solicitações ao usuário final na camada de protocolo. Se você vir esse problema, os usuários serão solicitados a entrar, mesmo que o plug-in SSO do Microsoft Enterprise funcione para outros aplicativos. Quando definido como 1 (um), você reduz essas solicitações.

   Dica

   Para obter mais informações sobre essas propriedades e outras propriedades que você pode configurar, consulte Plug-in do Microsoft Enterprise SSO para dispositivos Apple.

6. Atribua a nova política aos dispositivos que devem ser direcionados para receber o perfil MDM de Extensão do SSO.

Quando o dispositivo faz check-in com o serviço MDM, ele recebe esse perfil.

Experiência do usuário final

• Se você não estiver implantando o aplicativo Portal da Empresa usando uma política de aplicativo, os usuários deverão instalá-lo manualmente. Os usuários não precisam usar o aplicativo Portal da Empresa, ele só precisa ser instalado no dispositivo.

• Os usuários entrarão em qualquer aplicativo ou site com suporte para inicializar a extensão. A inicialização é o processo de entrar pela primeira vez, que configura a extensão.

• Depois que os usuários entrarem com êxito, a extensão será usada automaticamente para entrar em qualquer outro aplicativo ou site com suporte.

Você pode testar o logon único abrindo o Safari no modo privado (abre o site da Apple) e abrindo o https://portal.office.com site. Nenhum nome de usuário e senha serão necessários.

No macOS, quando os usuários entrarem em um aplicativo de trabalho ou escola, eles são solicitados a optar por entrar ou sair do SSO. Eles podem selecionar Não perguntar novamente para recusar o SSO e bloquear solicitações futuras.

Os usuários também podem gerenciar as preferências de SSO no aplicativo Portal da Empresa para macOS. Para editar preferências, acesse a barra > de menus do aplicativo Portal da Empresa Portal da Empresa>Settings. Eles podem selecionar ou desmarcar Não me peça para entrar com um único login para este dispositivo.

Dica

Saiba mais sobre como funciona o plug-in do SSO e como solucionar problemas da Extensão SSO do Microsoft Enterprise com o guia de solução de problemas do SSO para dispositivos Apple.

Próximas etapas

• Para obter informações sobre o plug-in do Microsoft Enterprise SSO, acesse o plug-in do Microsoft Enterprise SSO para dispositivos Apple.

• Para obter informações da Apple sobre o conteúdo da extensão de logon único, acesse as configurações de carga de extensões de logon único (abre o site da Apple).

• Para obter informações sobre como solucionar problemas da Extensão de SSO da Microsoft Enterprise, acesse Solucionar problemas do plug-in de Extensão SSO da Microsoft Enterprise em dispositivos Apple.