Поделиться через


Использование подключаемого модуля единого входа Microsoft Enterprise на устройствах iOS/iPadOS

Подключаемый модуль единого входа Microsoft Enterprise — это функция в Microsoft Entra ID, которая предоставляет функции единого входа (SSO) для устройств Apple. Этот подключаемый модуль использует инфраструктуру расширения приложения единого входа Apple.

Расширение приложения единого входа обеспечивает единый вход в приложения и веб-сайты, использующие идентификатор Microsoft Entra для проверки подлинности, включая приложения Microsoft 365. Это сокращает количество запросов на проверку подлинности, которые пользователи получают при использовании устройств, управляемых службой управления мобильными устройствами (MDM), включая любые MDM, поддерживающие настройку профилей единого входа.

Данная функция применяется к:

В этой статье показано, как создать политику конфигурации расширения приложения единого входа для устройств Apple iOS/iPadOS с помощью Intune, Jamf Pro и других решений MDM.

Поддержка приложений

Чтобы приложения использовали подключаемый модуль единого входа Microsoft Enterprise, у вас есть два варианта:

  • Вариант 1— MSAL. Приложения, поддерживающие библиотеку проверки подлинности Майкрософт (MSAL), автоматически используют преимущества подключаемого модуля единого входа Microsoft Enterprise. Например, приложения Microsoft 365 поддерживают MSAL. Таким образом, они автоматически используют подключаемый модуль.

    Если ваша организация создает собственные приложения, разработчик приложений может добавить зависимость в MSAL. Эта зависимость позволяет приложению использовать подключаемый модуль единого входа Microsoft Enterprise.

    Пример руководства см. в статье Руководство. Вход пользователей и вызов Microsoft Graph из приложения iOS или macOS.

  • Вариант 2. AllowList. Приложения, которые не поддерживают или не были разработаны с помощью MSAL, могут использовать расширение приложения единого входа. К этим приложениям относятся браузеры, такие как Safari, и приложения, использующие API веб-представлений Safari.

    Для этих приложений, отличных от MSAL, добавьте идентификатор пакета приложений или префикс в конфигурацию расширения в политике расширения приложения единого входа Intune (в этой статье).

    Например, чтобы разрешить приложение Майкрософт, которое не поддерживает MSAL, добавьте com.microsoft. в свойство AppPrefixAllowList в политике Intune. Будьте осторожны с приложениями, которые вы разрешаете, они могут обходить интерактивные запросы на вход для вошедшего пользователя.

    Дополнительные сведения см. в статье Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple — приложения, которые не используют MSAL.

Предварительные условия

Чтобы использовать подключаемый модуль единого входа Microsoft Enterprise на устройствах iOS/iPadOS, выполните следующие действия.

  • Устройством управляет Intune.

  • Устройство должно поддерживать подключаемый модуль:

    • iOS и iPadOS версии 13.0 и более поздних версий;
  • На устройстве должно быть установлено приложение Microsoft Authenticator.

    Пользователи могут установить приложение Microsoft Authenticator вручную. Кроме того, администраторы могут развернуть приложение с помощью Intune. Сведения об установке приложения Microsoft Authenticator см. в статье Управление приложениями Apple, приобретенными томами.

  • Настроены требования к подключаемым модулям единого входа enterprise, включая URL-адреса конфигурации сети Apple.

Примечание.

На устройствах iOS/iPadOS apple требует установки расширения приложения единого входа и приложения Microsoft Authenticator. Пользователям не нужно использовать или настраивать приложение Microsoft Authenticator, оно просто должно быть установлено на устройстве.

Подключаемый модуль единого входа Microsoft Enterprise и расширение единого входа Kerberos

При использовании расширения приложения единого входа для проверки подлинности используется тип полезных данных Единого входа или Kerberos . Расширение приложения единого входа предназначено для улучшения процесса входа для приложений и веб-сайтов, использующих эти способы проверки подлинности.

Подключаемый модуль SSO Microsoft Enterprise использует тип полезных данных SSO с проверкой подлинности Redirect. На устройстве можно одновременно использовать оба типа расширения: SSO Redirect и Kerberos. Обязательно создайте отдельные профили устройств для каждого типа расширения, который планируется использовать на устройствах.

Чтобы определить правильный тип расширения единого входа для сценария, используйте следующую таблицу:


Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple Расширение приложения единого входа с помощью Kerberos
Использует тип расширения приложения microsoft Entra ID SSO Использует Kerberos в качестве типа расширения приложения единого входа
Поддерживает перечисленные ниже возможности:
— Microsoft 365;
— приложения, веб-сайты или службы, интегрированные с Идентификатором Microsoft Entra
Поддерживает перечисленные ниже возможности:
— приложения, веб-сайты или службы, интегрированные с AD


Дополнительные сведения о расширении приложения единого входа см. в статье Обзор единого входа и параметры для устройств Apple в Microsoft Intune.

Создание политики конфигурации приложения для единого входа

В Центре администрирования Microsoft Intune создайте профиль конфигурации устройства. Этот профиль включает параметры для настройки расширения приложения единого входа на устройствах.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.

  3. Укажите следующие свойства:

    • Платформа. Выберите iOS/iPadOS.
    • Тип профиля: выберите Шаблоны>Функции устройства.
  4. Выберите Создать.

    Снимок экрана, на котором показано, как создать профиль конфигурации функций устройства для iOS/iPadOS в Microsoft Intune.

  5. В разделе Основные укажите следующие свойства.

    • Имя: введите понятное имя для политики. Назначьте имена политикам, чтобы можно было легко различать их. Например, хорошее имя политики — iOS: расширение приложения единого входа.
    • Описание: введите описание политики. Этот необязательный параметр, но мы рекомендуем его использовать.
  6. Нажмите кнопку Далее.

  7. В окне Параметры конфигурации выберите Расширение приложения единого входа и настройте следующие свойства:

    • Тип расширения приложения единого входа. Выберите Идентификатор Microsoft Entra.

      Снимок экрана: тип расширения приложения единого входа и идентификатор Microsoft Entra для iOS/iPadOS в Intune.

    • Включите режим общего устройства:

      • Не настроено: Intune не изменяет или не обновляет этот параметр.

        Для большинства сценариев, включая общее устройство iPad, личные устройства и устройства с сопоставлением пользователей или без него, выберите этот параметр.

      • Да. Выберите этот параметр , только если целевые устройства используют режим общего устройства Microsoft Entra. Дополнительные сведения см. в статье Общие сведения о режиме общего устройства.

    • Идентификатор пакета приложений: введите список идентификаторов пакетов для приложений, которые не поддерживают MSAL и которым разрешено использовать единый вход. Дополнительные сведения см. в разделе Приложения, которые не используют MSAL.

    • Дополнительная конфигурация: для настройки взаимодействия с пользователем можно добавить следующие свойства. Эти свойства являются значениями по умолчанию, используемыми расширением единого входа Майкрософт, но их можно настроить в соответствии с потребностями вашей организации:

      Key Тип Описание
      AppPrefixAllowList Строка Рекомендуемое значение: com.apple.

      Введите список префиксов для приложений, которые не поддерживают MSAL и которым разрешено использовать единый вход. Например, введите com.microsoft.,com.apple. , чтобы разрешить все приложения Майкрософт и Apple.

      Убедитесь, что эти приложения соответствуют требованиям списка разрешений.
      browser_sso_interaction_enabled Целое число Рекомендуемое значение: 1

      Если задано значение 1, пользователи смогут входить в браузер Safari из приложений, которые не поддерживают MSAL. Включение этого параметра позволяет пользователям выполнять начальную загрузку расширения из Safari или других приложений.
      disable_explicit_app_prompt Целое число Рекомендуемое значение: 1

      Некоторые приложения могут неправильно применять запросы пользователя на уровне протокола. Если вы столкнулись с этой проблемой, пользователи получат запрос на вход, даже если подключаемый модуль единого входа Microsoft Enterprise работает для других приложений.

      Если задано значение 1 (один), количество этих запросов сокращается.

      Совет

      Дополнительные сведения об этих свойствах и других свойствах, которые можно настроить, см. в статье Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple.

      Когда вы закончите настройку параметров и разрешаете microsoft & приложениям Apple, параметры будут выглядеть так, как в профиле конфигурации Intune:

      Снимок экрана, на котором показаны параметры конфигурации взаимодействия с конечными пользователями для подключаемого модуля единого входа Enterprise на устройствах iOS/iPadOS в Intune.

  8. Продолжайте создание профиля и назначьте профиль пользователям или группам, которые будут принимать эти параметры. Конкретные шаги см. в разделе Создание профиля.

    Инструкции по назначению профилей см. в статье Назначение профилей пользователей и устройств.

Когда устройство регистрируется в службе Intune, оно получает этот профиль. Дополнительные сведения см. в разделе Интервалы обновления политики.

Чтобы проверить правильность развертывания профиля, в Центре администрирования Intune перейдите в раздел Управление>устройствами>Конфигурация> выберите созданный профиль и создайте отчет:

Снимок экрана: отчет о развертывании профиля конфигурации устройства iOS/iPadOS в Intune.

Работа конечных пользователей

Блок-схема конечного пользователя при установке расширения приложения единого входа на устройствах iOS/iPadOS.

  • Если вы не развертываете приложение Microsoft Authenticator с помощью политики приложения, пользователи должны установить его вручную. Пользователям не нужно использовать приложение Authenticator, оно просто должно быть установлено на устройстве.

  • Пользователи могут войти в любое поддерживаемое приложение или веб-сайт для начальной загрузки расширения. Начальная загрузка — это процесс первого входа в систему, который настраивает расширение.

  • После успешного входа пользователей это расширение автоматически используется для входа в любые другие поддерживаемые приложения и на веб-сайты.

Вы можете протестировать единый вход, открыв Safari в закрытом режиме (откроется веб-сайт Apple) и открыв https://portal.office.com сайт. Имя пользователя и пароль не требуются.

Анимация, показывающая возможности единого входа в iPadOS

Совет

Дополнительные сведения о том, как работает подключаемый модуль единого входа и как устранить неполадки с расширением единого входа Microsoft Enterprise, см. в руководстве по устранению неполадок единого входа для устройств Apple.