Partilhar via


Plug-in de SSO do Microsoft Enterprise para dispositivos Apple

O plug-in Microsoft Enterprise SSO para dispositivos Apple fornece início de sessão único (SSO) para contas Microsoft Entra no macOS, iOS e iPadOS em todas as aplicações que suportam a funcionalidade de início de sessão único empresarial da Apple. O plug-in fornece SSO até mesmo para aplicativos antigos dos quais sua empresa pode depender, mas que ainda não suportam as bibliotecas de identidade ou protocolos mais recentes. A Microsoft trabalhou em estreita colaboração com a Apple para desenvolver este plug-in para aumentar a usabilidade da sua aplicação, ao mesmo tempo que fornece a melhor proteção disponível.

O plug-in Enterprise SSO é atualmente um recurso interno dos seguintes aplicativos:

Funcionalidades

O plug-in Microsoft Enterprise SSO para dispositivos Apple oferece os seguintes benefícios:

  • Ele fornece SSO para contas Microsoft Entra em todos os aplicativos que suportam o recurso Apple Enterprise SSO.
  • Ele pode ser habilitado por qualquer solução de gerenciamento de dispositivos móveis (MDM) e é suportado no registro de dispositivos e usuários.
  • Ele estende o SSO para aplicativos que ainda não usam a Biblioteca de Autenticação da Microsoft (MSAL).
  • Ele estende o SSO para aplicativos que usam OAuth 2, OpenID Connect e SAML.
  • Ele é integrado nativamente com o MSAL, que fornece uma experiência nativa suave para o usuário final quando o plug-in Microsoft Enterprise SSO está habilitado.

Requisitos

Para usar o plug-in Microsoft Enterprise SSO para dispositivos Apple:

  • O dispositivo deve suportar e ter instalado um aplicativo que tenha o plug-in Microsoft Enterprise SSO para dispositivos Apple:

  • O dispositivo tem de estar inscrito no MDM, por exemplo, através do Microsoft Intune.

  • A configuração deve ser enviada por push para o dispositivo para habilitar o plug-in Enterprise SSO. A Apple exige esta restrição de segurança.

  • Os dispositivos Apple devem ter permissão para acessar URLs de provedores de identidade e seus próprios URLs sem intercetação adicional. Isso significa que essas URLs precisam ser excluídas de proxies de rede, intercetação e outros sistemas corporativos.

    Aqui está o conjunto mínimo de URLs que precisam ser permitidos para que o plug-in SSO funcione:

    • app-site-association.cdn-apple.com
    • app-site-association.networking.apple
    • login.microsoftonline.com(*)
    • login.microsoft.com(*)
    • sts.windows.net(*)
    • login.partner.microsoftonline.cn(*)(**)
    • login.chinacloudapi.cn(*)(**)
    • login.microsoftonline.us(*)(**)
    • login-us.microsoftonline.com(*)(**)
    • config.edge.skype.com(***)

    (*) Permitir domínios da Microsoft só é necessário em versões do sistema operacional lançadas antes de 2022. Nas versões mais recentes do sistema operativo, a Apple confia totalmente na sua CDN.

    (**) Você só precisa permitir domínios de nuvem soberanos se depender deles em seu ambiente.

    (***) Manter comunicações com o ECS (Experimentation Configuration Service) garante que a Microsoft possa responder a um bug grave em tempo hábil.

    O plug-in Microsoft Enterprise SSO depende da estrutura de SSO empresarial da Apple. A estrutura de SSO empresarial da Apple garante que apenas um plug-in SSO aprovado possa funcionar para cada provedor de identidade, utilizando uma tecnologia chamada domínios associados. Para verificar a identidade do plug-in SSO, cada dispositivo Apple enviará uma solicitação de rede para um ponto de extremidade de propriedade do provedor de identidade e lerá informações sobre plug-ins SSO aprovados. Além de entrar em contato diretamente com o provedor de identidade, a Apple também implementou outro cache para essas informações.

    Aviso

    Se sua organização usa servidores proxy que intercetam o tráfego SSL para cenários como prevenção de perda de dados ou restrições de locatário, certifique-se de que o tráfego para essas URLs seja excluído da quebra e inspeção TLS. A falha na exclusão dessas URLs causará interferência com a autenticação de certificado do cliente, causará problemas com o registro do dispositivo e o Acesso Condicional baseado no dispositivo. O plug-in SSO não funcionará de forma confiável sem excluir totalmente os domínios CDN da Apple da intercetação, e você enfrentará problemas intermitentes até fazê-lo.

    Se a sua organização bloquear esses URLs, os usuários poderão ver erros como 1012 NSURLErrorDomain error, 1000 com.apple.AuthenticationServices.AuthorizationError ou 1001 Unexpected.

    Outros URLs da Apple que podem precisar ser permitidos estão documentados em seu artigo de suporte, Usar produtos da Apple em redes corporativas.

Requisitos do iOS

  • O iOS 13.0 ou superior deve estar instalado no dispositivo.
  • Um aplicativo da Microsoft que fornece o plug-in Microsoft Enterprise SSO para dispositivos Apple deve ser instalado no dispositivo. Este aplicativo é o aplicativo Microsoft Authenticator.

Requisitos do macOS

  • O macOS 10.15 ou superior deve estar instalado no dispositivo.
  • Um aplicativo da Microsoft que fornece o plug-in Microsoft Enterprise SSO para dispositivos Apple deve ser instalado no dispositivo. Esta aplicação é a aplicação Portal da Empresa do Intune.

Ativar o plug-in SSO

Use as informações a seguir para habilitar o plug-in SSO usando o MDM.

Configuração do Microsoft Intune

Se você usar o Microsoft Intune como seu serviço MDM, poderá usar as definições de perfil de configuração internas para habilitar o plug-in Microsoft Enterprise SSO:

  1. Configure as configurações do plug-in do aplicativo SSO de um perfil de configuração.
  2. Se o perfil ainda não estiver atribuído, atribua-o a um usuário ou grupo de dispositivos.

As configurações de perfil que habilitam o plug-in SSO são aplicadas automaticamente aos dispositivos do grupo na próxima vez que cada dispositivo fizer check-in com o Intune.

Configuração manual para outros serviços MDM

Se não utilizar o Intune para MDM, pode configurar uma carga útil de perfil de início de sessão único extensível para dispositivos Apple. Use os parâmetros a seguir para configurar o plug-in Microsoft Enterprise SSO e suas opções de configuração.

Configurações do iOS:

  • ID da extensão: com.microsoft.azureauthenticator.ssoextension
  • ID da equipe: este campo não é necessário para iOS.

Configurações do macOS:

  • ID da extensão: com.microsoft.CompanyPortalMac.ssoextension
  • ID da equipa: UBF8T346G9

Configurações comuns:

  • Tipo: Redirecionamento
    • https://login.microsoftonline.com
    • https://login.microsoft.com
    • https://sts.windows.net
    • https://login.partner.microsoftonline.cn
    • https://login.chinacloudapi.cn
    • https://login.microsoftonline.us
    • https://login-us.microsoftonline.com

Guias de implantação

Use os seguintes guias de implantação para habilitar o plug-in Microsoft Enterprise SSO usando a solução MDM escolhida:

Intune:

Jamf Pro:

Outros MDM:

Mais opções de configuração

Você pode adicionar mais opções de configuração para estender a funcionalidade SSO a outros aplicativos.

Habilitar o SSO para aplicativos que não usam o MSAL

O plug-in SSO permite que qualquer aplicativo participe do SSO, mesmo que não tenha sido desenvolvido usando um SDK da Microsoft, como o Microsoft Authentication Library (MSAL).

O plug-in SSO é instalado automaticamente por dispositivos que possuem:

  • Transferiu a aplicação Autenticador no iOS ou iPadOS ou transferiu a aplicação Portal da Empresa do Intune no macOS.
  • MDM-inscreveu seu dispositivo com sua organização.

Sua organização provavelmente usa o aplicativo Authenticator para cenários como autenticação multifator, autenticação sem senha e Acesso Condicional. Usando um provedor de MDM, você pode ativar o plug-in SSO para seus aplicativos. A Microsoft facilitou a configuração do plug-in usando o Microsoft Intune. Uma lista de permissões é usada para configurar esses aplicativos para usar o plug-in SSO.

Importante

O plug-in Microsoft Enterprise SSO suporta apenas aplicações que utilizam tecnologias de rede nativas da Apple ou vistas Web. Ele não suporta aplicativos que enviam sua própria implementação de camada de rede.

Use os parâmetros a seguir para configurar o plug-in Microsoft Enterprise SSO para aplicativos que não usam MSAL.

Importante

Não é necessário adicionar aplicativos que usam uma Biblioteca de Autenticação da Microsoft a essa lista de permissões. Esses aplicativos participarão do SSO por padrão. A maioria dos aplicativos criados pela Microsoft usa uma Biblioteca de Autenticação da Microsoft.

Habilite o SSO para todos os aplicativos gerenciados

  • Chave: Enable_SSO_On_All_ManagedApps
  • Tipo: Integer
  • Valor: 1 ou 0. Esse valor é definido como 0 por padrão.

Quando esse sinalizador está ativado (seu valor é definido como 1), todos os aplicativos gerenciados pelo MDM que não estão no podem participar do AppBlockList SSO.

Habilitar o SSO para aplicativos específicos

  • Chave: AppAllowList
  • Tipo: String
  • Valor: Lista delimitada por vírgulas de IDs de pacotes de aplicativos para os aplicativos que têm permissão para participar do SSO.
  • Exemplo: com.contoso.workapp, com.contoso.travelapp

Nota

O Safari e o Safari View Service podem participar no SSO por predefinição. Pode ser configurado para não participar do SSO adicionando os IDs do pacote do Safari e do Safari View Service no AppBlockList. IDs do pacote iOS : [com.apple.mobilesafari, com.apple.SafariViewService] macOS BundleID : [com.apple.Safari]

Habilite o SSO para todos os aplicativos com um prefixo de ID de pacote específico

  • Chave: AppPrefixAllowList
  • Tipo: String
  • Valor: lista delimitada por vírgulas de prefixos de ID do pacote de aplicativos para os aplicativos que têm permissão para participar do SSO. Esse parâmetro permite que todos os aplicativos que começam com um prefixo específico participem do SSO. Para iOS, o valor padrão seria definido como com.apple. e isso habilitaria o SSO para todos os aplicativos da Apple. Para macOS, o valor padrão seria definido como com.apple. e com.microsoft. isso habilitaria o SSO para todos os aplicativos da Apple e da Microsoft. Os administradores podem substituir o valor padrão ou adicionar aplicativos para AppBlockList impedi-los de participar do SSO.
  • Exemplo: com.contoso., com.fabrikam.

Desativar o SSO para aplicativos específicos

  • Chave: AppBlockList
  • Tipo: String
  • Valor: Lista delimitada por vírgulas de IDs de pacote de aplicativos para os aplicativos que têm permissão para não participar do SSO.
  • Exemplo: com.contoso.studyapp, com.contoso.travelapp

Para desativar o SSO para o Safari ou Safari View Service, você deve fazê-lo explicitamente adicionando seus IDs de pacote ao AppBlockList:

  • iOS: com.apple.mobilesafari, com.apple.SafariViewService
  • macOS: com.apple.Safari

Ativar o SSO através de cookies para uma aplicação específica

Algumas aplicações iOS com definições de rede avançadas podem ter problemas inesperados quando estão ativadas para SSO. Por exemplo, você pode ver um erro indicando que uma solicitação de rede foi cancelada ou interrompida.

Se os usuários tiverem problemas para entrar em um aplicativo, mesmo depois de ativá-lo por meio das outras configurações, tente adicioná-lo ao AppCookieSSOAllowList para resolver os problemas.

Nota

Usar o SSO através do mecanismo de cookies tem limitações severas. Por exemplo, não é compatível com as políticas de acesso condicional do Microsoft Entra ID e suporta apenas uma única conta. Você não deve usar esse recurso, a menos que explicitamente recomendado pelas equipes de engenharia ou suporte da Microsoft para um conjunto limitado de aplicativos que são determinados como incompatíveis com o SSO regular.

  • Chave: AppCookieSSOAllowList
  • Tipo: String
  • Valor: Lista delimitada por vírgulas de prefixos de ID do pacote de aplicativos para os aplicativos que têm permissão para participar do SSO. Todos os aplicativos que começam com os prefixos listados poderão participar do SSO.
  • Exemplo: com.contoso.myapp1, com.fabrikam.myapp2

Outros requisitos: Para habilitar o SSO para aplicativos usando AppCookieSSOAllowListo , você também deve adicionar seus prefixos de ID de AppPrefixAllowListpacote.

Experimente esta configuração apenas para aplicações com falhas de início de sessão inesperadas. Essa chave deve ser usada apenas para aplicativos iOS e não para aplicativos macOS.

Resumo das chaves

Chave Type valor
Enable_SSO_On_All_ManagedApps Número inteiro 1 para habilitar o SSO para todos os aplicativos gerenciados, 0 para desabilitar o SSO para todos os aplicativos gerenciados.
AppAllowList String
(lista delimitada por vírgula)
IDs de pacote de aplicativos autorizados a participar do SSO.
AppBlockList String
(lista delimitada por vírgula)
IDs de pacote de aplicativos não autorizados a participar do SSO.
AppPrefixAllowList String
(lista delimitada por vírgula)
Agrupar prefixos de ID de aplicativos autorizados a participar do SSO. Para iOS, o valor padrão seria definido como com.apple. e isso habilitaria o SSO para todos os aplicativos da Apple. Para macOS, o valor padrão seria definido como com.apple. e com.microsoft. isso habilitaria o SSO para todos os aplicativos da Apple e da Microsoft. Desenvolvedores, clientes ou administradores podem substituir o valor padrão ou adicionar aplicativos para AppBlockList impedi-los de participar do SSO.
AppCookieSSOAllowList String
(lista delimitada por vírgula)
Agrupe prefixos de ID de aplicativos autorizados a participar do SSO, mas que usam configurações de rede especiais e têm problemas com o SSO usando as outras configurações. As aplicações adicionadas também AppCookieSSOAllowList têm de ser adicionadas ao AppPrefixAllowList. Tenha em atenção que esta chave deve ser utilizada apenas para aplicações iOS e não para aplicações macOS.

Configurações para cenários comuns

  • Cenário: Quero habilitar o SSO para a maioria dos aplicativos gerenciados, mas não para todos eles.

    Key valor
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList Os IDs de pacote (lista delimitada por vírgula) dos aplicativos que você deseja impedir de participar do SSO.
  • Cenário Quero desativar o SSO para o Safari, que está habilitado por padrão, mas habilitar o SSO para todos os aplicativos gerenciados.

    Key valor
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList Os IDs de pacote (lista delimitada por vírgula) das aplicações do Safari que pretende impedir de participar no SSO.
    • Para iOS: com.apple.mobilesafari, com.apple.SafariViewService
    • Para macOS: com.apple.Safari
  • Cenário: Quero habilitar o SSO em todos os aplicativos gerenciados e alguns aplicativos não gerenciados, mas desabilitar o SSO para alguns outros aplicativos.

    Key valor
    Enable_SSO_On_All_ManagedApps 1
    AppAllowList Os IDs de pacote (lista delimitada por vírgula) dos aplicativos que você deseja habilitar para participação no SSO.
    AppBlockList Os IDs de pacote (lista delimitada por vírgula) dos aplicativos que você deseja impedir de participar do SSO.
Encontrar identificadores de pacotes de aplicações em dispositivos iOS

A Apple não fornece uma maneira fácil de obter IDs de pacotes da App Store. A maneira mais fácil de obter as IDs de pacote dos aplicativos que você deseja usar para SSO é perguntar ao seu fornecedor ou desenvolvedor de aplicativos. Se essa opção não estiver disponível, você poderá usar sua configuração de MDM para localizar os IDs do pacote:

  1. Habilite temporariamente o seguinte sinalizador na configuração do MDM:

    • Chave: admin_debug_mode_enabled
    • Tipo: Integer
    • Valor: 1 ou 0
  2. Quando este sinalizador estiver ativado, inicie sessão nas aplicações iOS no dispositivo para o qual pretende saber o ID do pacote.

  3. Na aplicação Autenticador, selecione Ajuda>Enviar registos>Ver registos.

  4. No arquivo de log, procure a seguinte linha: [ADMIN MODE] SSO extension has captured following app bundle identifiers. Essa linha deve capturar todas as IDs de pacote de aplicativos visíveis para a extensão SSO.

Use as IDs de pacote para configurar o SSO para os aplicativos. Desative o modo de administração uma vez feito.

Permitir que os utilizadores iniciem sessão a partir de aplicações que não utilizam o MSAL e o navegador Safari

Por padrão, o plug-in Microsoft Enterprise SSO adquirirá uma credencial compartilhada quando for chamado por outro aplicativo que usa o MSAL durante uma nova aquisição de token. Dependendo da configuração, o plug-in Microsoft Enterprise SSO também pode adquirir uma credencial compartilhada quando é chamado por aplicativos que não usam MSAL.

Quando você habilita o sinalizador, os aplicativos que não usam o browser_sso_interaction_enabled MSAL podem fazer a inicialização inicial e obter uma credencial compartilhada. O navegador Safari também pode fazer a inicialização inicial e obter uma credencial compartilhada.

Se o plug-in Microsoft Enterprise SSO ainda não tiver uma credencial compartilhada, ele tentará obtê-la sempre que uma entrada for solicitada de uma URL do Microsoft Entra dentro do navegador Safari, ASWebAuthenticationSession, SafariViewController ou outro aplicativo nativo permitido.

Use estes parâmetros para ativar o sinalizador:

  • Chave: browser_sso_interaction_enabled
  • Tipo: Integer
  • Valor: 1 ou 0. Esse valor é definido como 1 por padrão.

Tanto o iOS quanto o macOS exigem essa configuração para que o plug-in Microsoft Enterprise SSO possa fornecer uma experiência consistente em todos os aplicativos. Essa configuração é habilitada por padrão e só deve ser desabilitada se o usuário final não conseguir entrar com suas credenciais.

Desativar prompts do aplicativo OAuth 2

Se um aplicativo solicitar que os usuários entrem mesmo que o plug-in Microsoft Enterprise SSO funcione para outros aplicativos no dispositivo, o aplicativo pode estar ignorando o SSO na camada de protocolo. As credenciais compartilhadas também são ignoradas por esses aplicativos porque o plug-in fornece SSO anexando as credenciais às solicitações de rede feitas por aplicativos permitidos.

Esses parâmetros especificam se a extensão SSO deve impedir que aplicativos nativos e da Web ignorem o SSO na camada de protocolo e forcem a exibição de um prompt de entrada para o usuário.

Para uma experiência de SSO consistente em todos os aplicativos no dispositivo, recomendamos que você habilite uma dessas configurações para aplicativos que não usam MSAL. Você só deve habilitar isso para aplicativos que usam o MSAL se os usuários estiverem enfrentando solicitações inesperadas.

Aplicativos que não usam uma Biblioteca de Autenticação da Microsoft:

Desative o prompt do aplicativo e exiba o seletor de contas:

  • Chave: disable_explicit_app_prompt
  • Tipo: Integer
  • Valor: 1 ou 0. Esse valor é definido como 1 por padrão e essa configuração padrão reduz os prompts.

Desative o prompt do aplicativo e selecione uma conta na lista de contas SSO correspondentes automaticamente:

  • Chave: disable_explicit_app_prompt_and_autologin
  • Tipo: Integer
  • Valor: 1 ou 0. Esse valor é definido como 0 por padrão.
Aplicativos que usam uma Biblioteca de Autenticação da Microsoft:

As configurações a seguir não são recomendadas se as políticas de proteção de aplicativos estiverem em uso.

Desative o prompt do aplicativo e exiba o seletor de contas:

  • Chave: disable_explicit_native_app_prompt
  • Tipo: Integer
  • Valor: 1 ou 0. Esse valor é definido como 0 por padrão.

Desative o prompt do aplicativo e selecione uma conta na lista de contas SSO correspondentes automaticamente:

  • Chave: disable_explicit_native_app_prompt_and_autologin
  • Tipo: Integer
  • Valor: 1 ou 0. Esse valor é definido como 0 por padrão.

Prompts inesperados do aplicativo SAML

Se um aplicativo solicitar que os usuários entrem mesmo que o plug-in Microsoft Enterprise SSO funcione para outros aplicativos no dispositivo, o aplicativo pode estar ignorando o SSO na camada de protocolo. Se o aplicativo estiver usando o protocolo SAML, o plug-in Microsoft Enterprise SSO não poderá fornecer SSO para o aplicativo. O fornecedor do aplicativo deve ser notificado sobre esse comportamento e fazer uma alteração em seu aplicativo para não ignorar o SSO.

Alterar a experiência do iOS para aplicativos habilitados para MSAL

Os aplicativos que usam MSAL sempre invocarão a extensão SSO nativamente para solicitações interativas. Em alguns dispositivos iOS, pode não ser desejável. Especificamente, se o usuário também precisar concluir a autenticação multifator dentro do aplicativo Microsoft Authenticator, um redirecionamento interativo para esse aplicativo pode fornecer uma experiência de usuário melhor.

Esse comportamento pode ser configurado usando o disable_inapp_sso_signin sinalizador. Se esse sinalizador estiver habilitado, os aplicativos que usam o MSAL redirecionarão para o aplicativo Microsoft Authenticator para todas as solicitações interativas. Esse sinalizador não afetará as solicitações de token silenciosas desses aplicativos, o comportamento de aplicativos que não usam MSAL ou aplicativos macOS. Este sinalizador está desativado por padrão.

  • Chave: disable_inapp_sso_signin
  • Tipo: Integer
  • Valor: 1 ou 0. Esse valor é definido como 0 por padrão.

Configurar o registro do dispositivo Microsoft Entra

Para dispositivos gerenciados pelo Intune, o plug-in Microsoft Enterprise SSO pode executar o registro de dispositivo do Microsoft Entra quando um usuário está tentando acessar recursos. Isso permite uma experiência mais simplificada para o usuário final.

Use a seguinte configuração para habilitar o Registro Just in Time para iOS/iPadOS com o Microsoft Intune:

  • Chave: device_registration
  • Tipo: String
  • Valor: {{DEVICEREGISTRATION}}

Saiba mais sobre o Just in Time Registration aqui.

Políticas de acesso condicional e alterações de senha

O plug-in Microsoft Enterprise SSO para dispositivos Apple é compatível com várias políticas de Acesso Condicional do Microsoft Entra e eventos de alteração de senha. browser_sso_interaction_enabled é necessário estar habilitado para alcançar a compatibilidade.

Eventos e políticas compatíveis estão documentados nas seguintes seções:

Alteração de senha e revogação de token

Quando um usuário redefine sua senha, todos os tokens emitidos antes disso serão revogados. Se um usuário estiver tentando acessar um recurso após um evento de redefinição de senha, o usuário normalmente precisará entrar novamente em cada um dos aplicativos. Quando o plug-in Microsoft Enterprise SSO estiver habilitado, o usuário será solicitado a entrar no primeiro aplicativo que participa do SSO. O plug-in Microsoft Enterprise SSO mostrará sua própria interface de usuário sobre o aplicativo que está ativo no momento.

Autenticação multifator Microsoft Entra

A autenticação multifator é um processo no qual os usuários são solicitados durante o processo de login para uma forma adicional de identificação, como um código em seu celular ou uma digitalização de impressão digital. A autenticação multifator pode ser habilitada para recursos específicos. Quando o plug-in Microsoft Enterprise SSO estiver habilitado, o usuário será solicitado a executar a autenticação multifator no primeiro aplicativo que a exige. O plug-in Microsoft Enterprise SSO mostrará sua própria interface de usuário sobre o aplicativo que está ativo no momento.

Frequência de início de sessão do utilizador

A frequência de entrada define o período de tempo antes que um usuário seja solicitado a entrar novamente ao tentar acessar um recurso. Se um utilizador estiver a tentar aceder a um recurso depois de decorrido o período de tempo em várias aplicações, normalmente terá de iniciar sessão novamente em cada uma dessas aplicações. Quando o plug-in Microsoft Enterprise SSO estiver habilitado, um usuário será solicitado a entrar no primeiro aplicativo que participa do SSO. O plug-in Microsoft Enterprise SSO mostrará sua própria interface de usuário sobre o aplicativo que está ativo no momento.

Usar o Intune para configuração simplificada

Você pode usar o Intune como seu serviço MDM para facilitar a configuração do plug-in Microsoft Enterprise SSO. Por exemplo, você pode usar o Intune para habilitar o plug-in e adicionar aplicativos antigos a uma lista de permissões para que eles obtenham SSO.

Para obter mais informações, consulte Implantar o plug-in Microsoft Enterprise SSO para dispositivos Apple usando o Intune.

Use o plug-in SSO em seu aplicativo

MSAL para dispositivos Apple versões 1.1.0 e posteriores suportam o plug-in Microsoft Enterprise SSO para dispositivos Apple. É a maneira recomendada de adicionar suporte para o plug-in Microsoft Enterprise SSO. Ele garante que você obtenha todos os recursos da plataforma de identidade da Microsoft.

Se você estiver criando um aplicativo para cenários de trabalho na linha de frente, consulte Modo de dispositivo compartilhado para dispositivos iOS para obter informações de configuração.

Compreender como funciona o plug-in SSO

O plug-in Microsoft Enterprise SSO depende da estrutura Apple Enterprise SSO. Os provedores de identidade que ingressam na estrutura podem intercetar o tráfego de rede para seus domínios e aprimorar ou alterar a forma como essas solicitações são tratadas. Por exemplo, o plug-in SSO pode mostrar mais interfaces do usuário para coletar credenciais de usuário final com segurança, exigir MFA ou fornecer tokens silenciosamente ao aplicativo.

Os aplicativos nativos também podem implementar operações personalizadas e se comunicar diretamente com o plug-in SSO. Para obter mais informações, consulte este vídeo da Apple da Worldwide Developer Conference de 2019.

Gorjeta

Saiba mais sobre como o plug-in SSO funciona e como solucionar problemas da extensão Microsoft Enterprise SSO com o guia de solução de problemas de SSO para dispositivos Apple.

Aplicativos que usam MSAL

O MSAL para dispositivos Apple versões 1.1.0 e posteriores suporta o plug-in Microsoft Enterprise SSO para dispositivos Apple nativamente para contas escolares e profissionais.

Você não precisa de nenhuma configuração especial se seguiu todas as etapas recomendadas e usou o formato URI de redirecionamento padrão. Em dispositivos que têm o plug-in SSO, o MSAL o invoca automaticamente para todas as solicitações de token interativas e silenciosas. Ele também o invoca para operações de enumeração e remoção de conta. Como o MSAL implementa um protocolo de plug-in SSO nativo que depende de operações personalizadas, essa configuração fornece a experiência nativa mais suave para o usuário final.

Em dispositivos iOS e iPadOS, se o plug-in SSO não estiver habilitado pelo MDM, mas o aplicativo Microsoft Authenticator estiver presente no dispositivo, o MSAL usará o aplicativo Authenticator para quaisquer solicitações de token interativo. O plug-in Microsoft Enterprise SSO compartilha o SSO com o aplicativo Authenticator.

Aplicativos que não usam MSAL

Os aplicativos que não usam o MSAL ainda podem obter SSO se um administrador adicionar esses aplicativos à lista de permissões.

Você não precisa alterar o código nesses aplicativos, desde que as seguintes condições sejam satisfeitas:

  • O aplicativo usa estruturas da Apple para executar solicitações de rede. Essas estruturas incluem WKWebView e NSURLSession, por exemplo.
  • O aplicativo usa protocolos padrão para se comunicar com o Microsoft Entra ID. Esses protocolos incluem, por exemplo, OAuth 2, SAML e WS-Federation.
  • O aplicativo não coleta nomes de usuário e senhas de texto simples na interface do usuário nativa.

Nesse caso, o SSO é fornecido quando o aplicativo cria uma solicitação de rede e abre um navegador da Web para entrar no usuário. Quando um usuário é redirecionado para uma URL de entrada do Microsoft Entra, o plug-in SSO valida a URL e verifica se há uma credencial SSO para essa URL. Se encontrar a credencial, o plug-in SSO a passará para o Microsoft Entra ID, que autoriza o aplicativo a concluir a solicitação de rede sem solicitar que o usuário insira as credenciais. Além disso, se o dispositivo for conhecido pela ID do Microsoft Entra, o plug-in SSO passa o certificado do dispositivo para satisfazer a verificação de Acesso Condicional baseada no dispositivo.

Para oferecer suporte ao SSO para aplicativos que não sejam MSAL, o plug-in SSO implementa um protocolo semelhante ao plug-in do navegador do Windows descrito em O que é um token de atualização primário?.

Em comparação com aplicativos baseados em MSAL, o plug-in SSO age de forma mais transparente para aplicativos não MSAL. Integra-se com a experiência de início de sessão no browser existente que as aplicações fornecem.

O usuário final vê a experiência familiar e não precisa entrar novamente em cada aplicativo. Por exemplo, em vez de exibir o seletor de conta nativo, o plug-in SSO adiciona sessões de SSO à experiência do seletor de contas baseado na Web.

Alterações futuras no armazenamento de chaves de identidade do dispositivo

Anunciado em março de 2024, o Microsoft Entra ID vai se afastar do Porta-chaves da Apple para armazenar chaves de identidade do dispositivo. A partir do 3º trimestre de 2025, todos os novos registros de dispositivos usarão o Secure Enclave da Apple. Não haverá exclusão deste local de armazenamento.

Os aplicativos e integrações MDM que dependem do acesso às chaves de ingresso no local de trabalho por meio das chaves precisarão começar a usar o MSAL e o plug-in Enterprise SSO para garantir a compatibilidade com a plataforma de identidade da Microsoft.

Habilite o armazenamento baseado em Enclave Seguro de chaves de identidade de dispositivo

Se pretender ativar o armazenamento baseado em Enclave Seguro de chaves de identidade de dispositivo antes de se tornar obrigatório, pode adicionar o seguinte atributo Extension Data ao perfil de configuração MDM dos seus dispositivos Apple.

Nota

Para que esta bandeira entre em vigor, deve ser aplicada a um novo registo. Não afetará os dispositivos que já foram registados, a menos que se registem novamente.

  • Chave: use_most_secure_storage
  • Tipo: Boolean
  • Valor: True

A captura de ecrã abaixo mostra a página de configuração e as definições para ativar o Secure Enclave no Microsoft Intune.

Captura de ecrã do centro de administração do Microsoft Entra a mostrar a página de perfil de configuração no Intune com as definições para ativar o Secure Enclave realçadas.

Reconhecer incompatibilidades de aplicativos com a identidade de dispositivo baseada no Secure Enclave

Depois de ativar o armazenamento baseado em Enclave Seguro, você pode encontrar uma mensagem de erro aconselhando você a configurar seu dispositivo para obter acesso. Essa mensagem de erro indica que o aplicativo não conseguiu reconhecer o estado gerenciado do dispositivo, sugerindo uma incompatibilidade com o novo local de armazenamento de chaves.

Captura de ecrã de uma mensagem de erro de Acesso Condicional a informar o utilizador de que o dispositivo tem de ser gerido antes de este recurso poder ser acedido.

Este erro aparecerá nos logs de entrada do Microsoft Entra ID com os seguintes detalhes:

  • Código de erro de início de sessão: 530003
  • Motivo da falha: Device is required to be managed to access this resource.

Se vir esta mensagem de erro durante o teste, primeiro, certifique-se de que ativou com êxito a extensão SSO, bem como de que instalou todas as extensões específicas da aplicação necessárias (por exemplo, Microsoft Single Sign On for Chrome). Se você continuar a ver essa mensagem, é recomendável entrar em contato com o fornecedor do aplicativo para alertá-lo sobre a incompatibilidade com o novo local de armazenamento.

Cenários afetados

A lista abaixo contém alguns cenários comuns que serão afetados por essas alterações. Como regra geral, qualquer aplicativo que dependa do acesso a artefatos de identidade do dispositivo por meio do Porta-chaves da Apple será afetado.

Esta não é uma lista exaustiva e aconselhamos tanto os consumidores como os fornecedores de aplicações a testarem a compatibilidade do seu software com este novo armazenamento de dados.

Suporte à política de acesso condicional do dispositivo registado/inscrito no Chrome

Para suportar políticas de Acesso Condicional de dispositivos no Google Chrome com o armazenamento baseado em Enclave Seguro ativado, terá de ter a extensão de Início de Sessão Único da Microsoft instalada e ativada.

Consulte também

Saiba mais sobre o modo de dispositivo compartilhado para dispositivos iOS.

Saiba mais sobre como solucionar problemas da Microsoft Enterprise SSO Extension.