Använda Microsoft Enterprise SSO-plugin-programmet på iOS/iPadOS-enheter
Plugin-programmet Microsoft Enterprise SSO är en funktion i Microsoft Entra ID som tillhandahåller funktioner för enkel inloggning (SSO) för Apple-enheter. Det här plugin-programmet använder Apples ramverk för apptillägg för enkel inloggning.
- För iOS/iPadOS-enheter innehåller Enterprise SSO-plugin-programmet apptillägget för enkel inloggning.
- För macOS-enheter innehåller enterprise SSO-plugin-programmet plattforms-SSO och SSO-apptillägget.
SSO-apptillägget ger enkel inloggning till appar och webbplatser som använder Microsoft Entra-ID för autentisering, inklusive Microsoft 365-appar. Det minskar antalet autentiseringsmeddelanden som användarna får när de använder enheter som hanteras av MDM (Mobile Device Management), inklusive alla MDM-enheter som stöder konfiguration av profiler för enkel inloggning.
Den här funktionen gäller för:
iOS/iPadOS
För macOS går du till Konfigurera plattforms-SSO för macOS-enheter i Microsoft Intune.
Den här artikeln visar hur du skapar en konfigurationsprincip för SSO-apptillägg för iOS/iPadOS Apple-enheter med Intune, Jamf Pro och andra MDM-lösningar.
Appstöd
För att dina appar ska kunna använda microsoft Enterprise SSO-plugin-programmet har du två alternativ:
Alternativ 1 – MSAL: Appar som stöder Microsoft Authentication Library (MSAL) drar automatiskt nytta av plugin-programmet Microsoft Enterprise SSO. Microsoft 365-appar stöder till exempel MSAL. Därför använder de automatiskt plugin-programmet.
Om din organisation skapar sina egna appar kan apputvecklaren lägga till ett beroende till MSAL. Med det här beroendet kan din app använda plugin-programmet Microsoft Enterprise SSO.
En exempelsjälvstudiekurs finns i Självstudie: Logga in användare och anropa Microsoft Graph från en iOS- eller macOS-app.
Alternativ 2 – AllowList: Appar som inte stöder eller inte har utvecklats med MSAL kan använda SSO-apptillägget. Dessa appar omfattar webbläsare som Safari och appar som använder SAFARI-webbvy-API:er.
För dessa icke-MSAL-appar lägger du till programsamlings-ID:t eller prefixet i tilläggskonfigurationen i din intune SSO-apptilläggsprincip (i den här artikeln).
Om du till exempel vill tillåta en Microsoft-app som inte stöder MSAL lägger du
com.microsoft.till egenskapen AppPrefixAllowList i din Intune-princip. Var försiktig med de appar som du tillåter. De kan kringgå interaktiva inloggningsprompter för den inloggade användaren.Mer information finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter – appar som inte använder MSAL.
Förhandskrav
Så här använder du plugin-programmet Microsoft Enterprise SSO på iOS/iPadOS-enheter:
Enheten hanteras av Intune.
Enheten måste ha stöd för plugin-programmet:
- iOS/iPadOS 13.0 och senare
Microsoft Authenticator-appen måste vara installerad på enheten.
Användare kan installera Microsoft Authenticator-appen manuellt. Eller så kan administratörer distribuera appen med hjälp av Intune. Information om hur du installerar Microsoft Authenticator-appen finns i Hantera volyminköpta Apple-appar.
Plugin-kraven för enkel inloggning för företag konfigureras, inklusive URL:er för Apple-nätverkskonfiguration.
Obs!
På iOS/iPadOS-enheter kräver Apple att SSO-apptillägget och Microsoft Authenticator-appen installeras. Användarna behöver inte använda eller konfigurera Microsoft Authenticator-appen. Den behöver bara installeras på enheten.
Microsoft Enterprise SSO-plugin-program jämfört med Kerberos SSO-tillägg
När du använder SSO-apptillägget använder du SSO eller Kerberos Payload Type för autentisering. SSO-apptillägget är utformat för att förbättra inloggningsupplevelsen för appar och webbplatser som använder dessa autentiseringsmetoder.
Plugin-programmet Microsoft Enterprise SSO använder nyttolasttypen för enkel inloggning med omdirigeringsautentisering . SSO-omdirigerings- och Kerberos-tilläggstyperna kan båda användas på en enhet samtidigt. Se till att skapa separata enhetsprofiler för varje tilläggstyp som du planerar att använda på dina enheter.
Använd följande tabell för att fastställa rätt typ av SSO-tillägg för ditt scenario:
| Microsoft Enterprise SSO-plugin-program för Apple-enheter | Apptillägg för enkel inloggning med Kerberos |
|---|---|
| Använder apptilläggstypen Microsoft Entra ID SSO | Använder apptilläggstypen Kerberos SSO |
| Stöder följande appar: – Microsoft 365 – Appar, webbplatser eller tjänster som är integrerade med Microsoft Entra-ID |
Stöder följande appar: – Appar, webbplatser eller tjänster som är integrerade med AD |
Mer information om apptillägget för enkel inloggning finns i Översikt över enkel inloggning och alternativ för Apple-enheter i Microsoft Intune.
Skapa en konfigurationsprincip för apptillägg för enkel inloggning
Skapa en enhetskonfigurationsprofil i administrationscentret för Microsoft Intune. Den här profilen innehåller inställningarna för att konfigurera SSO-apptillägget på enheter.
Logga in på Microsoft Intune administrationscenter.
Välj Enheter>Hantera enheter>Konfiguration>Skapa>Ny princip.
Ange följande egenskaper:
- Plattform: Välj iOS/iPadOS.
- Profiltyp: Välj Mallar>Enhetsfunktioner.
Välj Skapa:
Ange följande egenskaper i Grundinställningar:
- Namn: Ange ett beskrivande namn på principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn är till exempel iOS: SSO-apptillägg.
- Beskrivning: Ange en beskrivning för principen. Denna inställning är valfri, men rekommenderas.
Välj Nästa.
I Konfigurationsinställningar väljer du Apptillägg för enkel inloggning och konfigurerar följande egenskaper:
Apptilläggstyp för enkel inloggning: Välj Microsoft Entra-ID.
Aktivera läget för delad enhet:
Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen.
I de flesta scenarier, inklusive Delad iPad, personliga enheter och enheter med eller utan användartillhörighet, väljer du det här alternativet.
Ja: Välj endast det här alternativet om målenheterna använder microsoft entra-läget för delad enhet. Mer information finns i Översikt över läget Delad enhet.
Appsamlings-ID: Ange en lista över paket-ID:t för appar som inte stöder MSAL och som tillåts använda enkel inloggning. Mer information finns i Program som inte använder MSAL.
Ytterligare konfiguration: Om du vill anpassa slutanvändarupplevelsen kan du lägga till följande egenskaper. Dessa egenskaper är standardvärdena som används av Microsoft SSO-tillägget, men de kan anpassas efter organisationens behov:
Tangent Typ Beskrivning AppPrefixAllowList Sträng Rekommenderat värde: com.apple.
Ange en lista med prefix för appar som inte stöder MSAL och som tillåts använda enkel inloggning. Ange till exempelcom.microsoft.,com.apple.för att tillåta alla Microsoft- och Apple-appar.
Se till att de här apparna uppfyller kraven för listan över tillåtna.browser_sso_interaction_enabled Heltal Rekommenderat värde: 1
När inställningen är inställd1på kan användarna logga in från Safari-webbläsaren och från appar som inte stöder MSAL. Om du aktiverar den här inställningen kan användarna starta tillägget från Safari eller andra appar.disable_explicit_app_prompt Heltal Rekommenderat värde: 1
Vissa appar kan felaktigt framtvinga slutanvändarfrågor på protokolllagret. Om du ser det här problemet uppmanas användarna att logga in, även om plugin-programmet Microsoft Enterprise SSO fungerar för andra appar.
När värdet är1(ett) minskar du dessa frågor.Tips
Mer information om dessa egenskaper och andra egenskaper som du kan konfigurera finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter.
När du är klar med att konfigurera inställningarna och tillåter Microsoft & Apple-appar ser inställningarna ut ungefär som följande värden i Intune-konfigurationsprofilen:
Fortsätt att skapa profilen och tilldela profilen till de användare eller grupper som ska ta emot de här inställningarna. För de specifika stegen går du till Skapa profilen.
Vägledning om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.
När enheten checkar in med Intune-tjänsten får den den här profilen. Mer information finns i Principuppdateringsintervall.
Om du vill kontrollera att profilen har distribuerats korrekt går du tillEnhetshanterade> enheter >Konfiguration> väljer den profil som du skapade och genererar en rapport:
Slutanvändarupplevelse
Om du inte distribuerar Microsoft Authenticator-appen med en appprincip måste användarna installera den manuellt. Användarna behöver inte använda Authenticator-appen. Den behöver bara installeras på enheten.
Användare loggar in på appar eller webbplatser som stöds för att starta tillägget. Bootstrap är processen för att logga in för första gången, vilket konfigurerar tillägget.
När användarna har loggat in används tillägget automatiskt för att logga in på andra appar eller webbplatser som stöds.
Du kan testa enkel inloggning genom att öppna Safari i privat läge (öppnar Apples webbplats) och öppna https://portal.office.com webbplatsen. Inget användarnamn och lösenord krävs.
Tips
Läs mer om hur SSO-plugin-programmet fungerar och hur du felsöker Microsoft Enterprise SSO-tillägget med felsökningsguiden för enkel inloggning för Apple-enheter.
Relaterade artiklar
Information om plugin-programmet Microsoft Enterprise SSO finns i Plugin-programmet Microsoft Enterprise SSO för Apple-enheter.
Information från Apple om nyttolasten för tillägg för enkel inloggning finns i nyttolastinställningarna för tillägg med enkel inloggning (öppnar Apples webbplats).
Information om hur du felsöker SSO-tillägget för Microsoft Enterprise finns i Felsöka plugin-programmet för Microsoft Enterprise SSO-tillägg på Apple-enheter.