Använda Microsoft Enterprise SSO-plugin-programmet på macOS-enheter
Plugin-programmet Microsoft Enterprise SSO är en funktion i Microsoft Entra ID som tillhandahåller funktioner för enkel inloggning (SSO) för Apple-enheter. Det här plugin-programmet använder Apples ramverk för apptillägg för enkel inloggning.
- För iOS/iPadOS-enheter innehåller Enterprise SSO-plugin-programmet apptillägget för enkel inloggning.
- För macOS-enheter innehåller enterprise SSO-plugin-programmet plattforms-SSO och SSO-apptillägget.
SSO-apptillägget ger enkel inloggning till appar och webbplatser som använder Microsoft Entra-ID för autentisering, inklusive Microsoft 365-appar. Det minskar antalet autentiseringsmeddelanden som användarna får när de använder enheter som hanteras av MDM (Mobile Device Management), inklusive alla MDM-enheter som stöder konfiguration av profiler för enkel inloggning.
Den här funktionen gäller för:
macOS
För iOS/iPadOS går du till Använda plugin-programmet Microsoft Enterprise SSO på iOS/iPadOS-enheter.
På macOS-enheter kan du konfigurera inställningar för SSO-apptillägg på två platser i Intune:
Mall för enhetsfunktioner (den här artikeln) – Det här alternativet konfigurerar endast SSO-apptillägget och använder mdm-providern, till exempel Intune, för att distribuera inställningarna till enheter.
Använd den här artikeln om du bara vill konfigurera inställningarna för SSO-apptillägget och inte vill konfigurera enkel inloggning för plattform.
Inställningskatalog – Det här alternativet konfigurerar plattforms-SSO och SSO-apptillägget tillsammans. Du använder Intune för att distribuera inställningarna till dina enheter.
Använd inställningarna för inställningskatalogen om du vill konfigurera både inställningarna för plattforms-SSO och SSO-apptillägg. Mer information finns i Konfigurera plattforms-SSO för macOS-enheter i Microsoft Intune.
En översikt över alternativen för enkel inloggning på Apple-enheter finns i Översikt över enkel inloggning och alternativ för Apple-enheter i Microsoft Intune.
Den här artikeln visar hur du skapar en konfigurationsprincip för SSO-apptillägg för macOS Apple-enheter med Intune, Jamf Pro och andra MDM-lösningar.
Om du vill konfigurera inställningar för plattforms-SSO och SSO-apptillägg tillsammans går du till Konfigurera plattforms-SSO för macOS-enheter i Microsoft Intune.
Appstöd
För att dina appar ska kunna använda microsoft Enterprise SSO-plugin-programmet har du två alternativ:
Alternativ 1 – MSAL: Appar som stöder Microsoft Authentication Library (MSAL) drar automatiskt nytta av plugin-programmet Microsoft Enterprise SSO. Microsoft 365-appar stöder till exempel MSAL. Därför använder de automatiskt plugin-programmet.
Om din organisation skapar sina egna appar kan apputvecklaren lägga till ett beroende till MSAL. Med det här beroendet kan din app använda plugin-programmet Microsoft Enterprise SSO.
En exempelsjälvstudiekurs finns i Självstudie: Logga in användare och anropa Microsoft Graph från en iOS- eller macOS-app.
Alternativ 2 – AllowList: Appar som inte stöder eller inte har utvecklats med MSAL kan använda SSO-apptillägget. Dessa appar omfattar webbläsare som Safari och appar som använder SAFARI-webbvy-API:er.
För dessa icke-MSAL-appar lägger du till programsamlings-ID:t eller prefixet i tilläggskonfigurationen i din intune SSO-apptilläggsprincip (i den här artikeln).
Om du till exempel vill tillåta en Microsoft-app som inte stöder MSAL lägger du
com.microsoft.
till egenskapen AppPrefixAllowList i din Intune-princip. Var försiktig med de appar som du tillåter. De kan kringgå interaktiva inloggningsprompter för den inloggade användaren.Mer information finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter – appar som inte använder MSAL.
Förhandskrav
Så här använder du plugin-programmet Microsoft Enterprise SSO på macOS-enheter:
- Enheten hanteras AV MDM av Intune.
- Enheten måste ha stöd för plugin-programmet:
- macOS 10.15 och senare
- Microsoft-företagsportalappen måste installeras och konfigureras på enheten.
- Plugin-kraven för enkel inloggning för företag konfigureras, inklusive URL:er för Apple-nätverkskonfiguration.
Microsoft Enterprise SSO-plugin-program jämfört med Kerberos SSO-tillägg
När du använder SSO-apptillägget använder du SSO eller Kerberos Payload Type för autentisering. SSO-apptillägget är utformat för att förbättra inloggningsupplevelsen för appar och webbplatser som använder dessa autentiseringsmetoder.
Plugin-programmet Microsoft Enterprise SSO använder nyttolasttypen för enkel inloggning med omdirigeringsautentisering . SSO-omdirigerings- och Kerberos-tilläggstyperna kan båda användas på en enhet samtidigt. Se till att skapa separata enhetsprofiler för varje tilläggstyp som du planerar att använda på dina enheter.
Använd följande tabell för att fastställa rätt typ av SSO-tillägg för ditt scenario:
Microsoft Enterprise SSO-plugin-program för Apple-enheter | Apptillägg för enkel inloggning med Kerberos |
---|---|
Använder apptilläggstypen Microsoft Entra ID SSO | Använder apptilläggstypen Kerberos SSO |
Stöder följande appar: – Microsoft 365 – Appar, webbplatser eller tjänster som är integrerade med Microsoft Entra-ID |
Stöder följande appar: – Appar, webbplatser eller tjänster som är integrerade med AD |
Mer information om SSO-apptillägget finns i Översikt över enkel inloggning och alternativ för Apple-enheter i Microsoft Intune.
Skapa en konfigurationsprincip för apptillägg för enkel inloggning
Det här avsnittet visar hur du skapar en princip för SSO-apptillägg. Information om plattforms-SSO finns i Konfigurera plattforms-SSO för macOS-enheter i Microsoft Intune.
Skapa en enhetskonfigurationsprofil i administrationscentret för Microsoft Intune. Den här profilen innehåller inställningarna för att konfigurera SSO-apptillägget på enheter.
Logga in på Microsoft Intune administrationscenter.
Välj Enheter>Hantera enheter>Konfiguration>Skapa>Ny princip.
Ange följande egenskaper:
- Plattform: Välj macOS.
- Profiltyp: Välj Mallar>Enhetsfunktioner.
Välj Skapa:
Ange följande egenskaper i Grundinställningar:
- Namn: Ange ett beskrivande namn på principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn är till exempel apptillägget macOS-SSO.
- Beskrivning: Ange en beskrivning för principen. Denna inställning är valfri, men rekommenderas.
Välj Nästa.
I Konfigurationsinställningar väljer du Apptillägg för enkel inloggning och konfigurerar följande egenskaper:
Typ av SSO-apptillägg: Välj Microsoft Entra-ID:
Appsamlings-ID: Ange en lista över paket-ID:t för appar som inte stöder MSAL och som tillåts använda enkel inloggning. Mer information finns i Program som inte använder MSAL.
Ytterligare konfiguration: Om du vill anpassa slutanvändarupplevelsen kan du lägga till följande egenskaper. Dessa egenskaper är de standardvärden som används av SSO-apptillägget, men de kan anpassas efter organisationens behov:
Tangent Typ Beskrivning AppPrefixAllowList Sträng Rekommenderat värde: com.microsoft.,com.apple.
Ange en lista med prefix för appar som inte stöder MSAL och som tillåts använda enkel inloggning. Ange till exempelcom.microsoft.,com.apple.
för att tillåta alla Microsoft- och Apple-appar.
Se till att de här apparna uppfyller kraven för listan över tillåtna.browser_sso_interaction_enabled Heltal Rekommenderat värde: 1
När inställningen är inställd1
på kan användarna logga in från Safari-webbläsaren och från appar som inte stöder MSAL. Om du aktiverar den här inställningen kan användarna starta tillägget från Safari eller andra appar.disable_explicit_app_prompt Heltal Rekommenderat värde: 1
Vissa appar kan felaktigt framtvinga slutanvändarfrågor på protokolllagret. Om du ser det här problemet uppmanas användarna att logga in, även om plugin-programmet Microsoft Enterprise SSO fungerar för andra appar.
När värdet är1
(ett) minskar du dessa frågor.Tips
Mer information om dessa egenskaper och andra egenskaper som du kan konfigurera finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter.
När du är klar med att konfigurera de rekommenderade inställningarna ser inställningarna ut ungefär som följande värden i Intune-konfigurationsprofilen:
Fortsätt att skapa profilen och tilldela profilen till de användare eller grupper som tar emot de här inställningarna. För de specifika stegen går du till Skapa profilen.
Vägledning om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.
När principen är klar tilldelar du principen till dina användare. Microsoft rekommenderar att du tilldelar principen när enheten registreras i Intune. Men den kan tilldelas när som helst, inklusive på befintliga enheter. När enheten checkar in med Intune-tjänsten får den den här profilen. Mer information finns i Principuppdateringsintervall.
Om du vill kontrollera att profilen har distribuerats korrekt går du tillEnhetshanterade> enheter >Konfiguration> väljer den profil som du skapade och genererar en rapport:
Slutanvändarupplevelse
Om du inte distribuerar företagsportalappen med hjälp av en appprincip måste användarna installera den manuellt. Användarna behöver inte använda företagsportalappen. Den behöver bara installeras på enheten.
Användare loggar in på appar eller webbplatser som stöds för att starta tillägget. Bootstrap är processen för att logga in för första gången, vilket konfigurerar tillägget.
När användarna har loggat in används tillägget automatiskt för att logga in på andra appar eller webbplatser som stöds.
Du kan testa enkel inloggning genom att öppna Safari i privat läge (öppnar Apples webbplats) och öppna https://portal.office.com
webbplatsen. Inget användarnamn och lösenord krävs.
När användare loggar in på en arbets- eller skolapp i macOS uppmanas de att välja att använda eller inte använda enkel inloggning. De kan välja Be mig inte igen att avregistrera mig från enkel inloggning och blockera framtida begäranden.
Användare kan också hantera sina inställningar för enkel inloggning i företagsportalappen för macOS. Om du vill redigera inställningar går du till företagsportalens appmenyfält >Företagsportalinställningar>. De kan välja eller avmarkera Be mig inte logga in med enkel inloggning för den här enheten.
Tips
Läs mer om hur SSO-plugin-programmet fungerar och hur du felsöker Microsoft Enterprise SSO-tillägget med felsökningsguiden för enkel inloggning för Apple-enheter.
Relaterade artiklar
Information om plugin-programmet Microsoft Enterprise SSO finns i Plugin-programmet Microsoft Enterprise SSO för Apple-enheter.
Information från Apple om nyttolasten för tillägg för enkel inloggning finns i nyttolastinställningarna för tillägg med enkel inloggning (öppnar Apples webbplats).
Information om hur du felsöker SSO-tillägget för Microsoft Enterprise finns i Felsöka plugin-programmet för Microsoft Enterprise SSO-tillägg på Apple-enheter.