Поделиться через


Общие сведения о едином входе и параметры для устройств Apple в Microsoft Intune

Устройства Apple могут использовать единый вход (SSO) для доступа к устройствам, приложениям и веб-сайтам с помощью идентификатора Microsoft Entra. Единый вход позволяет пользователям входить и получать доступ, не вводя свои учетные данные каждый раз.

Данная функция применяется к:

  • iOS/iPadOS
  • macOS

Устройствам и большинству приложений, включая бизнес-приложения , требуется определенный уровень проверки подлинности пользователей. Во многих случаях пользователю приходится повторно вводить свои учетные данные во время прохождения проверки подлинности.

Администраторы могут использовать Microsoft Intune для создания и развертывания политик единого входа. Разработчики могут создавать приложения, поддерживающие и использующие единый вход( SSO). При объединении политик единого входа Intune с приложениями, поддерживающими единый вход, количество запросов учетных данных для приложений и веб-сайтов уменьшается.

Чтобы настроить единый вход для устройств Apple в Intune, можно использовать следующие параметры:

В этой статье приводятся общие сведения о вариантах единого входа, доступных для устройств Apple в Intune, и поддерживаемых ими платформах.

Единый вход платформы

Данная функция применяется к:

  • macOS

Подключаемый модуль единого входа Microsoft Enterprise включает в себя две функции единого входа: единый вход платформы и расширение приложения единого входа. Этот раздел посвящен единому входу платформы.

На устройствах macOS пользователи обычно входят с помощью локальной учетной записи. Затем они входят в приложения и веб-сайты с помощью идентификатора Microsoft Entra.

С помощью единого входа на платформе:

  • Организации могут:

    • Выберите метод проверки подлинности, который соответствует вашим бизнес-требованиям. Вы можете настроить безопасную проверку подлинности анклава без пароля, учетную запись пользователя Microsoft Entra & пароль или проверку подлинности с помощью смарт-карты.

    • Используйте расширение приложения единого входа, так как расширение приложения единого входа является частью платформенного единого входа. В частности, вы:

      • Используйте расширение приложения единого входа для входа в приложения и веб-сайты с идентификатором Microsoft Entra.
      • Используйте единый вход на платформе, чтобы улучшить конфигурацию единого входа. Вы можете настроить различные методы проверки подлинности, создать новых пользователей организации при входе и назначить режимы авторизации для пользователей.
  • Конечные пользователи:

    • Получите более безопасный вход, так как Microsoft Entra ID интегрируется с подключаемым модулем единого входа Microsoft Enterprise.
    • Получите возможность единого входа в сочетании с расширением приложения единого входа. Расширение приложения единого входа позволяет использовать Touch ID и ключи доступа с Microsoft Entra ID.
    • Может войти с помощью учетной записи пользователя Microsoft Entra и свести к минимуму количество попыток ввода учетных данных Microsoft Entra на устройствах macOS.

Дополнительные сведения о едином входе в платформу и о начале работы см. в статье Настройка единого входа платформы для устройств macOS в Intune.

Сводка по функциям единого входа платформы

В следующей таблице перечислены функции единого входа platform в Intune. Используйте эти сведения, чтобы определить, подходит ли единый вход platform для вашей организации.

Функция Подробно
Поддержка платформы ❌ iOS/iPadOS
✅ macOS 13.0 и более поздней версии
Поддерживаемые типы регистрации ✅ Регистрация устройств
✅ Автоматическая регистрация устройств (защищенное)
❌ Регистрация пользователей
✅ Прямая регистрация (Apple Configurator)
Поддерживаемые типы проверки подлинности ✅ Безопасный анклав (UserSecureEnclaveKey)
✅ Пароль (идентификатор Microsoft Entra)
✅ Смарт-карта
Поддерживаемые типы приложений ✅ Приложения Microsoft 365
✅ Приложения, веб-сайты или службы, интегрированные с Идентификатором Microsoft Entra
✅ Приложения, веб-сайты или службы, поддерживающие единый вход Apple Enterprise и интегрированные с локальной службой Active Directory
Тип политики Центра администрирования Intune Политика каталога параметров :

Приборы>Управление устройствами>Конфигурация>Создавать>Новая политика>Каталог параметровmacOS для платформы > для типа > профиля Authentication>Extensible Single Sign On (SSO)
Рекомендация ✅ Рекомендованный.

Используйте единый вход на платформе, так как он также включает расширение приложения единого входа. Вы можете использовать расширение приложения единого входа самостоятельно, но оно не является предпочтительным.

Чтобы использовать единый вход на платформе, необходимо использовать только единый вход platform. Не создавайте отдельную политику расширения приложения единого входа.

Расширение приложения единого входа

Данная функция применяется к:

  • iOS/iPadOS
  • macOS

Подключаемый модуль единого входа Microsoft Enterprise включает в себя две функции единого входа: единый вход платформы и расширение приложения единого входа. В этом разделе основное внимание уделяется расширению приложения единого входа.

Расширение приложения единого входа предоставляет единый вход для приложений, веб-сайтов и учетных записей, которые используют идентификатор Microsoft Entra для проверки подлинности, в том числе:

  • Приложения Microsoft 365
  • Приложения, разработанные для поиска хранилища учетных данных пользователя в едином входе на устройстве
  • Локальные учетные записи Active Directory во всех приложениях, поддерживающих функцию единого входа Apple Enterprise

Для устройств iOS/iPadOS расширение приложения единого входа доступно само по себе. Таким образом, вы можете настроить и использовать расширение приложения единого входа для приложений & веб-сайтов.

Для устройств macOS расширение приложения единого входа доступно само по себе и также входит в состав платформенного единого входа. Таким образом, вы можете настроить и использовать только расширение приложения единого входа, если вы не хотите использовать единый вход на платформе. Если вы используете единый вход на платформе, настройте только единый вход на платформе, так как он включает расширение приложения единого входа.

Расширение приложения единого входа — это расширение приложения единого входа типа перенаправления. Он доступен для Intune, Jamf Pro и других решений MDM. В Intune расширение приложения единого входа использует политику конфигурации устройства с идентификатором Microsoft Entra в качестве типа расширения приложения единого входа.

Эти параметры настраивают расширения для приложения единого входа с типом перенаправления и типом учетных данных. Это означает следующее:

  • Тип перенаправления предназначен для современных протоколов проверки подлинности, таких как OpenID Connect, OAuth и SAML2. Вы можете выбрать между расширением единого входа Microsoft Entra (подключаемый модуль единого входа Microsoft Enterprise ) и универсальным расширением перенаправления.

  • Тип учетных данных предназначен для потоков проверки подлинности с запросом и ответом. Вы можете выбрать между расширением для учетных данных Kerberos, предоставляемых Apple, и расширением для общих учетных данных.

    Расширение приложения единого входа должно работать с mdm сторонних поставщиков или партнеров. Это расширение должно развертываться в качестве расширения единого входа Kerberos или настраиваемого профиля конфигурации со всеми настроенными обязательными свойствами.

Дополнительные сведения о расширении приложения единого входа см. по следующим адресам:

Сводка по функциям расширения приложения единого входа

В следующей таблице перечислены функции расширения приложения единого входа в Intune. Используйте эти сведения, чтобы определить, подходит ли этот вариант единого входа для вашей организации.

Функция Подробно
Поддержка платформы ✅ iOS/iPadOS 13.0 и более поздней версии
✅ macOS 10.15 и более поздней версии
Поддерживаемые типы регистрации iOS/iPadOS:
✅ Регистрация устройств
✅ Автоматическая регистрация устройств (защищенное)
✅ Регистрация пользователей
✅ Прямая регистрация (Apple Configurator)

macOS
✅ Регистрация устройства, утвержденная пользователем
✅ Автоматическая регистрация устройств (защищенное)
✅ Прямая регистрация (Apple Configurator)
Поддерживаемые типы проверки подлинности ✅ Расширение приложения для единого входа типа перенаправления, включая идентификатор Microsoft Entra
✅ Расширение приложения учетных данных
✅ Встроенное расширение Kerberos от Apple
Поддерживаемые типы приложений ✅ Приложения Microsoft 365
✅ Приложения, веб-сайты или службы, интегрированные с Идентификатором Microsoft Entra
✅ Приложения, веб-сайты или службы, поддерживающие единый вход Apple Enterprise и интегрированные с локальной службой Active Directory
Тип политики Центра администрирования Intune Шаблон "Функции устройства" по адресу:

Приборы>Управление устройствами>Конфигурация>Создавать>Новая политика>iOS/iPadOS или macOS для платформы >Шаблоны>Функции устройства для типа > профиля Для расширения приложения единого входа
Рекомендация ✅ Рекомендуется для iOS/iPadOS.

❌ Не рекомендуется использовать на устройствах macOS.

На устройствах macOS вы можете использовать расширение приложения единого входа самостоятельно. Но вместо этого мы рекомендуем использовать единый вход Platform. Если вы также используете единый вход платформы для macOS, не создавайте отдельную политику расширения приложений единого входа. Расширение приложения единого входа входит в конфигурацию единого входа платформы.

Шаблон единого входа

Примечание.

Вместо этих параметров единого входа Apple рекомендует использовать расширение приложения единого входа (в этой статье).

Применимо к:

  • iOS 7.0 и более поздние версии.
  • iPadOS 13.0 и более поздние версии.

Эта политика единого входа основана на Kerberos. Kerberos — это сетевой протокол аутентификации, использующий шифрование секретного ключа для аутентификации клиент-серверных приложений. Параметры политики Intune определяют сведения об учетной записи Kerberos при доступе к серверам или определенным приложениям, а также обрабатывают проблемы Kerberos для веб-страниц и собственных приложений.

Список параметров, которые можно настроить в Intune, см. в статье Единый вход в iOS/iPadOS.

Чтобы использовать единый вход, вам потребуется:

  • Приложение, разработанное для поиска хранилища учетных данных пользователя в едином входе на устройстве.
  • В Intune должен быть настроен единый вход с устройств iOS/iPadOS.

Сводка по функции единого входа

В следующей таблице перечислены функции единого входа в Intune. Используйте эти сведения, чтобы определить, подходит ли этот вариант единого входа для вашей организации.

Функция Подробно
Поддержка платформы ✅ iOS 7.0 и более поздней версии
✅ iPadOS 13.0 и более поздней версии
❌ macOS
Поддерживаемые типы регистрации ✅ Регистрация устройств
✅ Автоматическая регистрация устройств (защищенное)
❌ Регистрация пользователей
❌ Прямая регистрация (Apple Configurator)
Поддерживаемые типы проверки подлинности Может использовать только проверку подлинности единого входа Kerberos.
— Введите сведения об учетной записи Kerberos, когда пользователи обращаются к серверам или приложениям.
— Не является реализацией Kerberos в Apple.
— обрабатывает проблемы Kerberos для веб-страниц и приложений.
Поддерживаемые типы приложений Веб-сайт и собственные приложения, поддерживающие проверку подлинности Kerberos. Приложение должно быть закодировано для поиска хранилища учетных данных пользователя в едином входе на устройстве.
Тип политики Центра администрирования Intune Шаблон "Функции устройства" по адресу:

Приборы>Управление устройствами>Конфигурация>Создавать>Новая политика>iOS/iPadOS для платформы >Шаблоны>Функции устройства для типа > профиля Единый вход
Рекомендация ❌ Не рекомендуется. Вместо этого корпорация Майкрософт рекомендует использовать расширение приложения единого входа (в этой статье).

Расширение приложения единого входа и шаблон единого входа

Функция расширения приложения для единого входа отличается от функции единого входа . Для сравнения используйте следующую таблицу.

Расширение для приложения единого входа Единый вход
Поддерживаемые платформы ✅ iOS/iPadOS 13.0 и более поздней версии
✅ macOS 10.15 и более поздней версии
✅ iOS 7.0 и более поздней версии
✅ iPadOS 13.0 и более поздней версии
❌ macOS
Описание Определите расширения для использования поставщиками удостоверений или организациями, чтобы обеспечить простой вход в организацию. Для проверки подлинности используется операционная система Apple. Определите сведения об учетной записи Kerberos, когда пользователи обращаются к серверам или приложениям.
Проверка подлинности С точки зрения разработки приложений можно использовать любой тип единого входа перенаправления или проверку подлинности единого входа с учетными данными. С точки зрения разработки приложений можно использовать только проверку подлинности единого входа Kerberos.
Реализация Apple Разработано компанией Apple и встроено в платформы iOS/iPadOS 13.0+ и macOS 10.15+. Встроенное расширение Kerberos можно использовать для входа пользователей в собственные приложения и веб-сайты, поддерживающие проверку подлинности Kerberos. Не является реализацией Kerberos в Apple.
Рекомендация Рекомендованный.

Обеспечивает улучшенное взаимодействие с конечными пользователями. Он обрабатывает проблемы Kerberos для веб-страниц, поддерживает изменение паролей и более эффективно работает в корпоративных сетях.

При принятии решения об использовании Kerberos в расширении приложения единого входа или шаблоне единого входа рекомендуется использовать расширение приложения единого входа из-за повышения производительности и возможностей.
Это делать не рекомендуется.

Он обрабатывает проблемы Kerberos для веб-страниц.