Dela via


Använda Microsoft Enterprise SSO-plugin-programmet på iOS/iPadOS-enheter

Plugin-programmet Microsoft Enterprise SSO är en funktion i Microsoft Entra ID som tillhandahåller funktioner för enkel inloggning (SSO) för Apple-enheter. Det här plugin-programmet använder Apples ramverk för apptillägg för enkel inloggning.

  • För iOS/iPadOS-enheter innehåller Enterprise SSO-plugin-programmet apptillägget för enkel inloggning.
  • För macOS-enheter innehåller enterprise SSO-plugin-programmet plattforms-SSO och SSO-apptillägget.

SSO-apptillägget ger enkel inloggning till appar och webbplatser som använder Microsoft Entra-ID för autentisering, inklusive Microsoft 365-appar. Det minskar antalet autentiseringsmeddelanden som användarna får när de använder enheter som hanteras av MDM (Mobile Device Management), inklusive alla MDM-enheter som stöder konfiguration av profiler för enkel inloggning.

Den här funktionen gäller för:

Den här artikeln visar hur du skapar en konfigurationsprincip för SSO-apptillägg för iOS/iPadOS Apple-enheter med Intune, Jamf Pro och andra MDM-lösningar.

Appstöd

För att dina appar ska kunna använda microsoft Enterprise SSO-plugin-programmet har du två alternativ:

  • Alternativ 1 – MSAL: Appar som stöder Microsoft Authentication Library (MSAL) drar automatiskt nytta av plugin-programmet Microsoft Enterprise SSO. Microsoft 365-appar stöder till exempel MSAL. Därför använder de automatiskt plugin-programmet.

    Om din organisation skapar sina egna appar kan apputvecklaren lägga till ett beroende till MSAL. Med det här beroendet kan din app använda plugin-programmet Microsoft Enterprise SSO.

    En exempelsjälvstudiekurs finns i Självstudie: Logga in användare och anropa Microsoft Graph från en iOS- eller macOS-app.

  • Alternativ 2 – AllowList: Appar som inte stöder eller inte har utvecklats med MSAL kan använda SSO-apptillägget. Dessa appar omfattar webbläsare som Safari och appar som använder SAFARI-webbvy-API:er.

    För dessa icke-MSAL-appar lägger du till programsamlings-ID:t eller prefixet i tilläggskonfigurationen i din intune SSO-apptilläggsprincip (i den här artikeln).

    Om du till exempel vill tillåta en Microsoft-app som inte stöder MSAL lägger du com.microsoft. till egenskapen AppPrefixAllowList i din Intune-princip. Var försiktig med de appar som du tillåter. De kan kringgå interaktiva inloggningsprompter för den inloggade användaren.

    Mer information finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter – appar som inte använder MSAL.

Förhandskrav

Så här använder du plugin-programmet Microsoft Enterprise SSO på iOS/iPadOS-enheter:

  • Enheten hanteras av Intune.

  • Enheten måste ha stöd för plugin-programmet:

    • iOS/iPadOS 13.0 och senare
  • Microsoft Authenticator-appen måste vara installerad på enheten.

    Användare kan installera Microsoft Authenticator-appen manuellt. Eller så kan administratörer distribuera appen med hjälp av Intune. Information om hur du installerar Microsoft Authenticator-appen finns i Hantera volyminköpta Apple-appar.

  • Plugin-kraven för enkel inloggning för företag konfigureras, inklusive URL:er för Apple-nätverkskonfiguration.

Obs!

På iOS/iPadOS-enheter kräver Apple att SSO-apptillägget och Microsoft Authenticator-appen installeras. Användarna behöver inte använda eller konfigurera Microsoft Authenticator-appen. Den behöver bara installeras på enheten.

Microsoft Enterprise SSO-plugin-program jämfört med Kerberos SSO-tillägg

När du använder SSO-apptillägget använder du SSO eller Kerberos Payload Type för autentisering. SSO-apptillägget är utformat för att förbättra inloggningsupplevelsen för appar och webbplatser som använder dessa autentiseringsmetoder.

Plugin-programmet Microsoft Enterprise SSO använder nyttolasttypen för enkel inloggning med omdirigeringsautentisering . SSO-omdirigerings- och Kerberos-tilläggstyperna kan båda användas på en enhet samtidigt. Se till att skapa separata enhetsprofiler för varje tilläggstyp som du planerar att använda på dina enheter.

Använd följande tabell för att fastställa rätt typ av SSO-tillägg för ditt scenario:


Microsoft Enterprise SSO-plugin-program för Apple-enheter Apptillägg för enkel inloggning med Kerberos
Använder apptilläggstypen Microsoft Entra ID SSO Använder apptilläggstypen Kerberos SSO
Stöder följande appar:
– Microsoft 365
– Appar, webbplatser eller tjänster som är integrerade med Microsoft Entra-ID
Stöder följande appar:
– Appar, webbplatser eller tjänster som är integrerade med AD


Mer information om apptillägget för enkel inloggning finns i Översikt över enkel inloggning och alternativ för Apple-enheter i Microsoft Intune.

Skapa en konfigurationsprincip för apptillägg för enkel inloggning

Skapa en enhetskonfigurationsprofil i administrationscentret för Microsoft Intune. Den här profilen innehåller inställningarna för att konfigurera SSO-apptillägget på enheter.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enheter>Hantera enheter>Konfiguration>Skapa>Ny princip.

  3. Ange följande egenskaper:

    • Plattform: Välj iOS/iPadOS.
    • Profiltyp: Välj Mallar>Enhetsfunktioner.
  4. Välj Skapa:

    Skärmbild som visar hur du skapar en konfigurationsprofil för enhetsfunktioner för iOS/iPadOS i Microsoft Intune.

  5. Ange följande egenskaper i Grundinställningar:

    • Namn: Ange ett beskrivande namn på principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn är till exempel iOS: SSO-apptillägg.
    • Beskrivning: Ange en beskrivning för principen. Denna inställning är valfri, men rekommenderas.
  6. Välj Nästa.

  7. I Konfigurationsinställningar väljer du Apptillägg för enkel inloggning och konfigurerar följande egenskaper:

    • Apptilläggstyp för enkel inloggning: Välj Microsoft Entra-ID.

      Skärmbild som visar apptilläggstypen SSO och Microsoft Entra ID för iOS/iPadOS i Intune.

    • Aktivera läget för delad enhet:

      • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen.

        I de flesta scenarier, inklusive Delad iPad, personliga enheter och enheter med eller utan användartillhörighet, väljer du det här alternativet.

      • Ja: Välj endast det här alternativet om målenheterna använder microsoft entra-läget för delad enhet. Mer information finns i Översikt över läget Delad enhet.

    • Appsamlings-ID: Ange en lista över paket-ID:t för appar som inte stöder MSAL och som tillåts använda enkel inloggning. Mer information finns i Program som inte använder MSAL.

    • Ytterligare konfiguration: Om du vill anpassa slutanvändarupplevelsen kan du lägga till följande egenskaper. Dessa egenskaper är standardvärdena som används av Microsoft SSO-tillägget, men de kan anpassas efter organisationens behov:

      Tangent Typ Beskrivning
      AppPrefixAllowList Sträng Rekommenderat värde: com.apple.

      Ange en lista med prefix för appar som inte stöder MSAL och som tillåts använda enkel inloggning. Ange till exempel com.microsoft.,com.apple. för att tillåta alla Microsoft- och Apple-appar.

      Se till att de här apparna uppfyller kraven för listan över tillåtna.
      browser_sso_interaction_enabled Heltal Rekommenderat värde: 1

      När inställningen är inställd 1på kan användarna logga in från Safari-webbläsaren och från appar som inte stöder MSAL. Om du aktiverar den här inställningen kan användarna starta tillägget från Safari eller andra appar.
      disable_explicit_app_prompt Heltal Rekommenderat värde: 1

      Vissa appar kan felaktigt framtvinga slutanvändarfrågor på protokolllagret. Om du ser det här problemet uppmanas användarna att logga in, även om plugin-programmet Microsoft Enterprise SSO fungerar för andra appar.

      När värdet är 1 (ett) minskar du dessa frågor.

      Tips

      Mer information om dessa egenskaper och andra egenskaper som du kan konfigurera finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter.

      När du är klar med att konfigurera inställningarna och tillåter Microsoft & Apple-appar ser inställningarna ut ungefär som följande värden i Intune-konfigurationsprofilen:

      Skärmbild som visar konfigurationsalternativen för slutanvändarupplevelsen för plugin-programmet Enterprise SSO på iOS/iPadOS-enheter i Intune.

  8. Fortsätt att skapa profilen och tilldela profilen till de användare eller grupper som ska ta emot de här inställningarna. För de specifika stegen går du till Skapa profilen.

    Vägledning om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.

När enheten checkar in med Intune-tjänsten får den den här profilen. Mer information finns i Principuppdateringsintervall.

Om du vill kontrollera att profilen har distribuerats korrekt går du tillEnhetshanterade> enheter >Konfiguration> väljer den profil som du skapade och genererar en rapport:

Skärmbild som visar distributionsrapporten för iOS/iPadOS-enhetskonfigurationsprofilen i Intune.

Slutanvändarupplevelse

Flödesdiagram för slutanvändare när du installerar apptillägget för enkel inloggning på iOS/iPadOS-enheter.

  • Om du inte distribuerar Microsoft Authenticator-appen med en appprincip måste användarna installera den manuellt. Användarna behöver inte använda Authenticator-appen. Den behöver bara installeras på enheten.

  • Användare loggar in på appar eller webbplatser som stöds för att starta tillägget. Bootstrap är processen för att logga in för första gången, vilket konfigurerar tillägget.

  • När användarna har loggat in används tillägget automatiskt för att logga in på andra appar eller webbplatser som stöds.

Du kan testa enkel inloggning genom att öppna Safari i privat läge (öppnar Apples webbplats) och öppna https://portal.office.com webbplatsen. Inget användarnamn och lösenord krävs.

Animering som visar SSO-upplevelse på iPadOS

Tips

Läs mer om hur SSO-plugin-programmet fungerar och hur du felsöker Microsoft Enterprise SSO-tillägget med felsökningsguiden för enkel inloggning för Apple-enheter.