Översikt över enkel inloggning (SSO) och alternativ för Apple-enheter i Microsoft Intune

  • Artikel

Apple-enheter kan använda enkel inloggning (SSO) för att få åtkomst till enheter, appar och webbplatser med sina Microsoft Entra ID. Med enkel inloggning kan användare logga in och få åtkomst utan att ange sina autentiseringsuppgifter varje gång.

Den här artikeln gäller för:

  • iOS/iPadOS
  • macOS

Enheter och de flesta appar, inklusive verksamhetsspecifika appar (LOB), kräver viss nivå av användarautentisering. I många fall kräver autentiseringen att användarna anger samma autentiseringsuppgifter upprepade gånger.

Administratörer kan använda Microsoft Intune för att skapa och distribuera principer för enkel inloggning. Utvecklare kan skapa appar som stöder och använder enkel inloggning (SSO). När du kombinerar Intune principer för enkel inloggning med appar som stöder enkel inloggning minskas antalet uppmaningar om autentiseringsuppgifter för appar och webbplatser.

Om du vill konfigurera enkel inloggning för Apple-enheter i Intune har du följande alternativ:

Den här artikeln innehåller en översikt över de alternativ för enkel inloggning som är tillgängliga för Apple-enheter i Intune och deras plattformar som stöds.

Enkel inloggning på plattform

Den här funktionen gäller för:

  • macOS

Microsoft Enterprise SSO-plugin-programmet innehåller två SSO-funktionerplattforms-SSO och SSO-apptillägget. Det här avsnittet fokuserar på plattforms-SSO.

På macOS-enheter loggar användarna normalt in med ett lokalt konto. Sedan loggar de in på appar och webbplatser med sina Microsoft Entra ID.

Med plattforms-SSO:

  • Organisationer kan:

    • Välj den autentiseringsmetod som uppfyller ditt affärsbehov. Alternativen är lösenordslös lösenordsfri lösenordsautentisering för Secure Enclave, Microsoft Entra användarkonto & lösenord eller smartkortautentisering.

    • Använd SSO-apptillägget eftersom SSO-apptillägget är en del av plattforms-SSO. Mer specifikt:

      • Använd SSO-apptillägget för att logga in på appar och webbplatser med Microsoft Entra ID.
      • Använd plattforms-SSO för att förbättra SSO-konfigurationen. Du kan konfigurera olika autentiseringsmetoder, skapa nya organisationsanvändare vid inloggning och tilldela auktoriseringslägen för användare.

  • Slutanvändare:

    • Få en säkrare inloggning när Microsoft Entra ID integreras med plugin-programmet för enkel inloggning med Microsoft Enterprise.
    • Få en enkel inloggningsupplevelse när du kombinerar med SSO-apptillägget. Med SSO-apptillägget kan du använda Touch ID och nycklar med Microsoft Entra ID.
    • Kan logga in med sitt Microsoft Entra användarkonto och minimera antalet gånger de behöver ange sina Microsoft Entra autentiseringsuppgifter på sina macOS-enheter.

Mer information om enkel inloggning med plattform och hur du kommer igång finns i Konfigurera plattforms-SSO för macOS-enheter i Intune.

Funktionssammanfattning för plattforms-SSO

I följande tabell sammanfattas funktionerna för enkel inloggning med plattform i Intune. Använd den här informationen för att avgöra om plattforms-SSO är rätt för din organisation.

Funktion Information
Plattformsstöd ❌ iOS/iPadOS
✅ macOS 13.0 och senare
Registreringstyper som stöds ✅ Enhetsregistrering
✅ Automatisk enhetsregistrering (övervakat)
❌ Användarregistrering
✅ Direktregistrering (Apple Configurator)
Autentiseringstyper som stöds ✅ Säker enklav (UserSecureEnclaveKey)
✅Lösenord (Microsoft Entra ID)
✅ Smartcard
Apptyper som stöds ✅ Microsoft 365-appar
✅Appar, webbplatser eller tjänster som är integrerade med Microsoft Entra ID
✅Appar, webbplatser eller tjänster som stöder enkel inloggning med Apple Enterprise och som är integrerade med lokal Active Directory
principtyp för Intune administrationscenter Inställningskatalogprincip på:

Enheter>Konfiguration>> Skapa macOS för plattformen >Inställningskatalog för profiltyp >Autentisering>Utökningsbar Enkel inloggning (SSO)
Rekommendation ✅ Rekommenderas.

Använd plattforms-SSO, eftersom det även innehåller SSO-apptillägget. Du kan använda SSO-apptillägget på egen hand, men det är inte att föredra.

Om du vill använda plattforms-SSO måste du endast använda enkel inloggning med plattform. Skapa inte en separat princip för SSO-apptillägg.

SSO-apptillägg

Den här funktionen gäller för:

  • iOS/iPadOS
  • macOS

Microsoft Enterprise SSO-plugin-programmet innehåller två SSO-funktionerplattforms-SSO och SSO-apptillägget. Det här avsnittet fokuserar på SSO-apptillägget.

SSO-apptillägget tillhandahåller enkel inloggning till appar, webbplatser och konton som använder Microsoft Entra ID för autentisering, inklusive:

  • Microsoft 365-appar
  • Appar som har utvecklats för att leta efter användarens autentiseringsuppgifter i enkel inloggning på enheten
  • Lokala Active Directory-konton för alla appar som stöder Apples SSO-funktion för företag

För iOS/iPadOS-enheter är SSO-apptillägget tillgängligt på egen hand. Därför kan du konfigurera och använda SSO-apptillägget för dina appar & webbplatser.

För macOS-enheter är SSO-apptillägget tillgängligt av sig självt och ingår också i plattforms-SSO. Därför kan du konfigurera och endast använda SSO-apptillägget om du inte vill använda plattforms-SSO. Om du använder plattforms-SSO konfigurerar du endast plattforms-SSO, eftersom det innehåller SSO-apptillägget.

SSO-apptillägget är ett SSO-apptillägg av omdirigeringstyp. Den är tillgänglig för Intune, Jamf Pro och andra MDM-lösningar. I Intune använder SSO-apptillägget en enhetskonfigurationsprincip med Microsoft Entra ID som apptilläggstyp för enkel inloggning.

De här inställningarna konfigurerar apptillägg av omdirigeringstyp och autentiseringsuppgifter. Specifikt:

  • Omdirigeringstypen är utformad för moderna autentiseringsprotokoll, till exempel OpenID Connect, OAuth och SAML2. Du kan välja mellan Microsoft Entra SSO-tillägget (Microsoft Enterprise SSO-plugin-programmet och ett allmänt omdirigeringstillägg.

  • Autentiseringstypen är utformad för autentiseringsflöden med utmaning och svar. Du kan välja mellan ett Kerberos-specifikt tillägg för autentiseringsuppgifter som tillhandahålls av Apple och ett allmänt tillägg för autentiseringsuppgifter.

    SSO-apptillägget bör fungera med alla MDM-enheter som inte kommer från Microsoft eller partner. Tillägget måste distribueras som ett kerberos SSO-tillägg eller distribueras som en anpassad konfigurationsprofil med alla nödvändiga egenskaper konfigurerade.

Mer information om SSO-apptillägget finns i:

Funktionssammanfattning för SSO-apptillägg

I följande tabell sammanfattas funktionerna för SSO-apptillägg i Intune. Använd den här informationen för att avgöra om det här alternativet för enkel inloggning är rätt för din organisation.

Funktion Information
Plattformsstöd ✅ iOS/iPadOS 13.0 och senare
✅ macOS 10.15 och senare
Registreringstyper som stöds iOS/iPadOS:
✅ Enhetsregistrering
✅ Automatisk enhetsregistrering (övervakat)
✅ Användarregistrering
✅ Direktregistrering (Apple Configurator)

Macos:
✅ Användargodkänd enhetsregistrering
✅ Automatisk enhetsregistrering (övervakat)
✅ Direktregistrering (Apple Configurator)
Autentiseringstyper som stöds ✅SSO-apptillägg av omdirigeringstyp, inklusive Microsoft Entra ID
✅ Apptillägg för autentiseringsuppgifter
✅ Apples inbyggda Kerberos-tillägg
Apptyper som stöds ✅ Microsoft 365-appar
✅Appar, webbplatser eller tjänster som är integrerade med Microsoft Entra ID
✅Appar, webbplatser eller tjänster som stöder Apples enkel inloggning för företag och som är integrerade med lokal Active Directory
principtyp för Intune administrationscenter Mall för enhetsfunktioner på:

Enheter>Konfiguration>> Skapa iOS/iPadOS eller macOS för plattform >Enhetsfunktioner för profiltypen >Apptillägg för enkel inloggning
Rekommendation ✅ Rekommenderas för iOS/iPadOS.

❌ Rekommenderas inte på macOS-enheter.

På macOS-enheter kan du använda SSO-apptillägget på egen hand. Men vi rekommenderar att du använder enkel inloggning med plattform i stället. Om du också använder plattforms-SSO för macOS ska du inte skapa en separat princip för SSO-apptillägg. SSO-apptillägget ingår i plattformens SSO-konfiguration.

Mall för enkel inloggning

Obs!

I stället för dessa SSO-inställningar rekommenderar Apple att du använder SSO-apptillägget (i den här artikeln).

Gäller för:

  • iOS 7.0 och senare
  • iPadOS 13.0 och senare

Den här principen för enkel inloggning baseras på Kerberos. Kerberos är ett protokoll för nätverksautentisering som använder kryptering av hemliga nycklar för att autentisera klient-serverprogram. De Intune principinställningarna definierar Kerberos-kontoinformation vid åtkomst till servrar eller specifika appar och hanterar Kerberos-utmaningar för webbsidor och interna appar.

En lista över de inställningar som du kan konfigurera i Intune finns i Enkel inloggning på iOS/iPadOS.

Om du vill använda enkel inloggning måste du ha:

  • En app som har utvecklats för att leta efter användarens autentiseringsuppgiftsarkiv i enkel inloggning på enheten.
  • Intune konfigurerad för enkel inloggning med iOS/iPadOS-enheter.

Funktionssammanfattning för enkel inloggning

I följande tabell sammanfattas funktionerna för enkel inloggning i Intune. Använd den här informationen för att avgöra om det här alternativet för enkel inloggning är rätt för din organisation.

Funktion Information
Plattformsstöd ✅ iOS 7.0 och senare
✅ iPadOS 13.0 och senare
❌ Macos
Registreringstyper som stöds ✅ Enhetsregistrering
✅ Automatisk enhetsregistrering (övervakat)
❌ Användarregistrering
❌ Direktregistrering (Apple Configurator)
Autentiseringstyper som stöds Kan bara använda Kerberos SSO-autentisering.
– Ange Kerberos-kontoinformation för när användare kommer åt servrar eller appar.
– Är inte en Apple-implementering av Kerberos.
– Hanterar Kerberos-utmaningar för webbsidor och appar
Apptyper som stöds Webbplats och interna appar som stöder Kerberos-autentisering. Appen måste kodas för att söka efter användarens autentiseringsuppgiftsarkiv vid enkel inloggning på enheten.
principtyp för Intune administrationscenter Mall för enhetsfunktioner på:

Enheter>Konfiguration>> Skapa iOS/iPadOS för plattform >Enhetsfunktioner för profiltyp >Enkel inloggning
Rekommendation ❌ Rekommenderas inte. I stället rekommenderar Microsoft att du använder SSO-apptillägget (i den här artikeln).

Mall för SSO-apptillägg jämfört med SSO

Apptilläggsfunktionen för enkel inloggning skiljer sig från funktionen enkel inloggning. Använd följande tabell för att jämföra.

Apptillägg för enkel inloggning Enkel inloggning
Plattformar som stöds ✅ iOS/iPadOS 13.0 och senare
✅ macOS 10.15 och senare		 ✅ iOS 7.0 och senare
✅ iPadOS 13.0 och senare
❌ Macos
Beskrivning Definiera tillägg för användning av identitetsprovidrar eller organisationer för att leverera en sömlös inloggningsupplevelse för företag. Den använder Apple-operativsystemet för att autentisera. Definiera Kerberos-kontoinformation för när användare får åtkomst till servrar eller appar.
Autentisering Ur ett apputvecklingsperspektiv kan du använda alla typer av SSO-autentisering med omdirigering eller SSO-autentisering med autentiseringsuppgifter. Ur ett apputvecklingsperspektiv kan du bara använda Kerberos SSO-autentisering.
Apple-implementering Utvecklat av Apple och inbyggt i plattformarna iOS/iPadOS 13.0+ och macOS 10.15+. Det inbyggda Kerberos-tillägget kan användas för att logga in användare i interna appar och webbplatser som stöder Kerberos-autentisering. Inte en Apple-implementering av Kerberos.
Rekommendation Rekommenderas.

Ger en förbättrad slutanvändarupplevelse. Den hanterar Kerberos-utmaningar för webbsidor, stöder lösenordsändringar och fungerar bättre i företagsnätverk.

När du bestämmer dig för att använda Kerberos i SSO-apptillägget eller mallen för enkel inloggning rekommenderar vi att du använder SSO-apptillägget på grund av bättre prestanda och funktioner.		 Rekommenderas inte.

Den hanterar Kerberos-utmaningar för webbsidor.