Använda Microsoft Enterprise SSO-plugin-programmet på macOS-enheter

Microsoft Enterprise SSO-plugin-programmet är en funktion i Microsoft Entra ID som tillhandahåller funktioner för enkel inloggning (SSO) för Apple-enheter. Det här plugin-programmet använder Apples ramverk för apptillägg för enkel inloggning.

• För iOS/iPadOS-enheter innehåller Enterprise SSO-plugin-programmet apptillägget för enkel inloggning.
• För macOS-enheter innehåller enterprise SSO-plugin-programmet plattforms-SSO och SSO-apptillägget.

SSO-apptillägget ger enkel inloggning till appar och webbplatser som använder Microsoft Entra ID för autentisering, inklusive Microsoft 365-appar. Det minskar antalet autentiseringsmeddelanden som användarna får när de använder enheter som hanteras av Mobile Enhetshantering (MDM), inklusive eventuella MDM-enheter som stöder konfiguration av profiler för enkel inloggning.

Den här artikeln gäller för:

• macOS

  För iOS/iPadOS går du till Använda plugin-programmet Microsoft Enterprise SSO på iOS/iPadOS-enheter.

På macOS-enheter kan du konfigurera inställningar för SSO-apptillägg på två platser i Intune:

• Mall för enhetsfunktioner (den här artikeln) – Det här alternativet konfigurerar endast SSO-apptillägget och använder mdm-providern, till exempel Intune, för att distribuera inställningarna till enheter.

  Använd den här artikeln om du bara vill konfigurera inställningarna för SSO-apptillägget och inte vill konfigurera enkel inloggning för plattform.

• Inställningskatalog – Det här alternativet konfigurerar plattforms-SSO och SSO-apptillägget tillsammans. Du använder Intune för att distribuera inställningarna till dina enheter.

  Använd inställningarna för inställningskatalogen om du vill konfigurera både inställningarna för plattforms-SSO och SSO-apptillägg. Mer information finns i Konfigurera plattforms-SSO för macOS-enheter i Microsoft Intune.

En översikt över alternativen för enkel inloggning på Apple-enheter finns i Översikt över enkel inloggning och alternativ för Apple-enheter i Microsoft Intune.

Den här artikeln visar hur du skapar en konfigurationsprincip för SSO-apptillägg för macOS Apple-enheter med Intune, Jamf Pro och andra MDM-lösningar.

Om du vill konfigurera inställningar för plattforms-SSO och SSO-apptillägg tillsammans går du till Konfigurera plattforms-SSO för macOS-enheter i Microsoft Intune.

Appstöd

För att dina appar ska kunna använda microsoft Enterprise SSO-plugin-programmet har du två alternativ:

• Alternativ 1 – MSAL: Appar som stöder Microsoft Authentication Library (MSAL) drar automatiskt nytta av plugin-programmet Microsoft Enterprise SSO. Microsoft 365-appar stöder till exempel MSAL. Därför använder de automatiskt plugin-programmet.

  Om din organisation skapar sina egna appar kan apputvecklaren lägga till ett beroende till MSAL. Med det här beroendet kan din app använda plugin-programmet Microsoft Enterprise SSO.

  En exempelsjälvstudiekurs finns i Självstudie: Logga in användare och anropa Microsoft Graph från en iOS- eller macOS-app.

• Alternativ 2 – AllowList: Appar som inte stöder eller inte har utvecklats med MSAL kan använda SSO-apptillägget. Dessa appar omfattar webbläsare som Safari och appar som använder SAFARI-webbvy-API:er.

  För dessa icke-MSAL-appar lägger du till programpaketets ID eller prefix i tilläggskonfigurationen i din Intune princip för SSO-apptillägg (i den här artikeln).

  Om du till exempel vill tillåta en Microsoft-app som inte stöder MSAL lägger du com.microsoft. till egenskapen AppPrefixAllowList i din Intune princip. Var försiktig med de appar som du tillåter. De kan kringgå interaktiva inloggningsprompter för den inloggade användaren.

  Mer information finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter – appar som inte använder MSAL.

Förutsättningar

Så här använder du plugin-programmet Microsoft Enterprise SSO på macOS-enheter:

Intune

• Enheten hanteras av Intune.
• Enheten måste ha stöd för plugin-programmet:
  • macOS 10.15 och senare
• Microsoft Företagsportal-appen måste installeras och konfigureras på enheten.
• Plugin-kraven för enkel inloggning för företag konfigureras, inklusive URL:er för Apple-nätverkskonfiguration.

Jamf Pro

• Enheten hanteras av Jamf Pro.

• Enheten måste ha stöd för plugin-programmet:

  • macOS 10.15 och senare

• Microsoft Företagsportal-appen måste vara installerad på enheten.

  Användare kan installera Företagsportal-appen manuellt. Eller så kan administratörer distribuera appen med Jamf Pro. En lista över alternativ för hur du installerar Företagsportal-appen finns i Pakethantering – Lägga till ett paket i Jamf Admin (öppnar Jamf Pro-webbplatsen).

  Obs!

  På macOS-enheter kräver Apple att Företagsportal-appen installeras. Användarna behöver inte använda eller konfigurera den Företagsportal appen. Den behöver bara installeras på enheten.

• Plugin-kraven för enkel inloggning för företag konfigureras, inklusive URL:er för Apple-nätverkskonfiguration.

Andra MDM:er

• Enheten hanteras av en MDM-providerlösning (hantering av mobila enheter).

• MDM-lösningen måste ha stöd för konfiguration av MDM-nyttolastinställningar för enkel inloggning för Apple-enheter (öppnar Apples webbplats) med en enhetsprincip.

• Enheten måste ha stöd för plugin-programmet:

  • macOS 10.15 och senare

• Microsoft Företagsportal-appen måste vara installerad på enheten.

  Användare kan installera Företagsportal-appen manuellt. Eller så kan administratörer distribuera appen med hjälp av en MDM-princip. Du kan ladda ned installationspaketet för Företagsportal app.

  Obs!

  På macOS-enheter kräver Apple att Företagsportal-appen installeras. Användarna behöver inte använda eller konfigurera den Företagsportal appen. Den behöver bara installeras på enheten.

• Plugin-kraven för enkel inloggning för företag konfigureras, inklusive URL:er för Apple-nätverkskonfiguration.

Microsoft Enterprise SSO-plugin-program jämfört med Kerberos SSO-tillägg

När du använder SSO-apptillägget använder du SSO eller Kerberos Payload Type för autentisering. SSO-apptillägget är utformat för att förbättra inloggningsupplevelsen för appar och webbplatser som använder dessa autentiseringsmetoder.

Plugin-programmet Microsoft Enterprise SSO använder nyttolasttypen för enkel inloggning med omdirigeringsautentisering . SSO-omdirigerings- och Kerberos-tilläggstyperna kan båda användas på en enhet samtidigt. Se till att skapa separata enhetsprofiler för varje tilläggstyp som du planerar att använda på dina enheter.

Använd följande tabell för att fastställa rätt typ av SSO-tillägg för ditt scenario:

---

Microsoft Enterprise SSO-plugin-program för Apple-enheter	Apptillägg för enkel inloggning med Kerberos
Använder apptilläggstypen Microsoft Entra ID SSO	Använder apptilläggstypen Kerberos SSO
Stöder följande appar: – Microsoft 365 – Appar, webbplatser eller tjänster som är integrerade med Microsoft Entra ID	Stöder följande appar: – Appar, webbplatser eller tjänster som är integrerade med AD

Mer information om SSO-apptillägget finns i Översikt över enkel inloggning och alternativ för Apple-enheter i Microsoft Intune.

Skapa en konfigurationsprincip för apptillägg för enkel inloggning

Det här avsnittet visar hur du skapar en princip för SSO-apptillägg. Information om plattforms-SSO finns i Konfigurera plattforms-SSO för macOS-enheter i Microsoft Intune.

Intune

Skapa en enhetskonfigurationsprofil i Microsoft Intune administrationscenter. Den här profilen innehåller inställningarna för att konfigurera SSO-apptillägget på enheter.

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Enhetskonfiguration>>Skapa>Ny princip.

3. Ange följande egenskaper:

   • Plattform: Välj macOS.
   • Profiltyp: Välj Mallar>Enhetsfunktioner.

4. Välj Skapa:

   

5. Ange följande egenskaper i Grundinställningar:

   • Namn: Ange ett beskrivande namn på principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn är till exempel apptillägget macOS-SSO.
   • Beskrivning: Ange en beskrivning för principen. Denna inställning är valfri, men rekommenderas.

6. Välj Nästa.

7. I Konfigurationsinställningar väljer du Apptillägg för enkel inloggning och konfigurerar följande egenskaper:

   • Apptilläggstyp för enkel inloggning: Välj Microsoft Entra ID:

     

   • Appsamlings-ID: Ange en lista över paket-ID:t för appar som inte stöder MSAL och som tillåts använda enkel inloggning. Mer information finns i Program som inte använder MSAL.

   • Ytterligare konfiguration: Om du vill anpassa slutanvändarupplevelsen kan du lägga till följande egenskaper. Dessa egenskaper är de standardvärden som används av SSO-apptillägget, men de kan anpassas efter organisationens behov:

     Tangent	Typ	Beskrivning
     AppPrefixAllowList	Sträng	Rekommenderat värde: com.microsoft.,com.apple. Ange en lista med prefix för appar som inte stöder MSAL och som tillåts använda enkel inloggning. Ange till exempel com.microsoft.,com.apple. för att tillåta alla Microsoft- och Apple-appar. Se till att de här apparna uppfyller kraven för listan över tillåtna.
     browser_sso_interaction_enabled	Heltal	Rekommenderat värde: 1 När inställningen är inställd 1på kan användarna logga in från Safari-webbläsaren och från appar som inte stöder MSAL. Om du aktiverar den här inställningen kan användarna starta tillägget från Safari eller andra appar.
     disable_explicit_app_prompt	Heltal	Rekommenderat värde: 1 Vissa appar kan felaktigt framtvinga slutanvändarfrågor på protokolllagret. Om du ser det här problemet uppmanas användarna att logga in, även om plugin-programmet Microsoft Enterprise SSO fungerar för andra appar. När värdet är 1 (ett) minskar du dessa frågor.

     Tips

     Mer information om dessa egenskaper och andra egenskaper som du kan konfigurera finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter.

     När du är klar med att konfigurera de rekommenderade inställningarna ser inställningarna ut ungefär som följande värden i konfigurationsprofilen för Intune:

     

8. Fortsätt att skapa profilen och tilldela profilen till de användare eller grupper som tar emot de här inställningarna. För de specifika stegen går du till Skapa profilen.

   Vägledning om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.

När principen är klar tilldelar du principen till dina användare. Microsoft rekommenderar att du tilldelar principen när enheten registreras i Intune. Men den kan tilldelas när som helst, inklusive på befintliga enheter. När enheten checkar in med Intune-tjänsten får den den här profilen. Mer information finns i Principuppdateringsintervall.

Om du vill kontrollera att profilen har distribuerats korrekt går du till Enhetskonfiguration>> i Intune administrationscenter och väljer den profil som du skapade och genererar en rapport:

Jamf Pro

I Jamf Pro-portalen skapar du en datorkonfigurationsprofil. Den här profilen innehåller inställningarna för att konfigurera SSO-apptillägget på enheter.

1. Logga in på Jamf Pro-portalen.

2. Om du vill skapa en macOS-profil väljer du Datorer Konfigurationsprofiler>>Ny:

   

3. I Namn anger du ett beskrivande namn för principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn är till exempel: plugin-programmet macOS-Microsoft Enterprise SSO.

4. I kolumnen Alternativ rullar du nedåt och väljer Enkel Sign-On Tillägg>Lägg till:

   

5. Ange följande egenskaper:

   • Nyttolasttyp: Välj Enkel inloggning.
   • Tilläggsidentifierare: Ange com.microsoft.CompanyPortalMac.ssoextension.
   • Teamidentifierare: Ange UBF8T346G9.
   • Inloggningstyp: Välj Omdirigering.
   • URL:er: Ange följande URL:er, en i taget:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. I Anpassad konfiguration definierar du andra obligatoriska egenskaper. Jamf Pro kräver att dessa egenskaper konfigureras med hjälp av en uppladdad PLIST-fil. Om du vill se en fullständig lista över konfigurerbara egenskaper går du till dokumentationen för Microsoft Enterprise SSO-plugin-program för Apple-enheter.

   Följande exempel är en rekommenderad PLIST-fil som uppfyller behoven i de flesta organisationer:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Dessa PLIST-inställningar konfigurerar följande alternativ för SSO-tillägg. Dessa egenskaper är de standardvärden som används av SSO-apptillägget, men de kan anpassas efter organisationens behov:

   Tangent	Typ	Beskrivning
   AppPrefixAllowList	Sträng	Rekommenderat värde: com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. Ange en lista med prefix för appar som inte stöder MSAL och som tillåts använda enkel inloggning. Ange till exempel com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. för att tillåta alla Microsoft-, Apple- och Jamf Pro-appar. Se till att de här apparna uppfyller kraven för listan över tillåtna.
   disable_explicit_app_prompt	Heltal	Rekommenderat värde: 1 Vissa appar kan felaktigt framtvinga slutanvändarfrågor på protokolllagret. Om du ser det här problemet uppmanas användarna att logga in, även om plugin-programmet Microsoft Enterprise SSO fungerar för andra appar. När värdet är 1 (ett) minskar du dessa frågor.

   Tips

   Mer information om dessa egenskaper och andra egenskaper som du kan konfigurera finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter.

7. Välj fliken Omfång . Ange de datorer eller enheter som ska vara mål för att ta emot MDM-profilen för SSO-tillägget.

8. Välj Spara.

När enheten checkar in med Jamf Pro-tjänsten får den den här profilen.

Tips

Om du använder Jamf Connect rekommenderar vi att du följer den senaste Jamf-vägledningen för att integrera Jamf Connect med Microsoft Entra ID (öppnar Jamf Pro:s webbplats). Det rekommenderade integrationsmönstret säkerställer att Jamf Connect fungerar korrekt med dina principer för villkorsstyrd åtkomst och Microsoft Entra ID Protection.

Andra MDM:er

Skapa en enhetskonfigurationsprofil i MDM-portalen. Den här profilen innehåller inställningarna för att konfigurera SSO-apptillägget på enheter.

1. Logga in på MDM-portalen.

2. Skapa en ny enhetskonfigurationsprofil.

3. Välj ett alternativ med namnet Enkel Sign-On-tillägg eller SSO-tillägg. Namnet kan variera beroende på din MDM-tjänst.

4. Ange följande egenskaper:

   Nyckel	Värde
   Nyttolasttyp	SSO
   Tilläggsidentifierare	com.microsoft.CompanyPortalMac.ssoextension
   Teamidentifierare	UBF8T346G9
   Sign-On typ	Omdirigera
   Webbadresser	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Du kan också konfigurera andra egenskaper. Dessa egenskaper är de standardvärden som används av SSO-apptillägget, men de kan anpassas efter organisationens behov:

   Tangent	Typ	Beskrivning
   AppPrefixAllowList	Sträng	Rekommenderat värde: com.microsoft.,com.apple. Ange en lista med prefix för appar som inte stöder MSAL och som tillåts använda enkel inloggning. Ange till exempel com.microsoft.,com.apple. för att tillåta alla Microsoft- och Apple-appar. Se till att de här apparna uppfyller kraven för listan över tillåtna.
   browser_sso_interaction_enabled	Heltal	Rekommenderat värde: 1 När inställningen är inställd 1på kan användarna logga in från Safari-webbläsaren och från appar som inte stöder MSAL. Om du aktiverar den här inställningen kan användarna starta tillägget från Safari eller andra appar.
   disable_explicit_app_prompt	Heltal	Rekommenderat värde: 1 Vissa appar kan felaktigt framtvinga slutanvändarfrågor på protokolllagret. Om du ser det här problemet uppmanas användarna att logga in, även om plugin-programmet Microsoft Enterprise SSO fungerar för andra appar. När värdet är 1 (ett) minskar du dessa frågor.

   Tips

   Mer information om dessa egenskaper och andra egenskaper som du kan konfigurera finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter.

6. Tilldela den nya principen till de enheter som ska riktas för att ta emot MDM-profilen för SSO-tillägget.

När enheten checkar in med MDM-tjänsten tar den emot den här profilen.

Slutanvändarupplevelse

• Om du inte distribuerar Företagsportal-appen med hjälp av en appprincip måste användarna installera den manuellt. Användarna behöver inte använda den Företagsportal appen. Den behöver bara installeras på enheten.

• Användare loggar in på appar eller webbplatser som stöds för att starta tillägget. Bootstrap är processen för att logga in för första gången, vilket konfigurerar tillägget.

• När användarna har loggat in används tillägget automatiskt för att logga in på andra appar eller webbplatser som stöds.

Du kan testa enkel inloggning genom att öppna Safari i privat läge (öppnar Apples webbplats) och öppna https://portal.office.com webbplatsen. Inget användarnamn och lösenord krävs.

När användare loggar in på en arbets- eller skolapp i macOS uppmanas de att välja att använda eller inte använda enkel inloggning. De kan välja Be mig inte igen att avregistrera mig från enkel inloggning och blockera framtida begäranden.

Användare kan också hantera sina inställningar för enkel inloggning i Företagsportal-appen för macOS. Om du vill redigera inställningar går du till menyraden > Företagsportal app Företagsportal>Inställningar. De kan välja eller avmarkera Be mig inte logga in med enkel inloggning för den här enheten.

Tips

Läs mer om hur SSO-plugin-programmet fungerar och hur du felsöker Microsoft Enterprise SSO-tillägget med felsökningsguiden för enkel inloggning för Apple-enheter.

Relaterade artiklar

• Information om plugin-programmet Microsoft Enterprise SSO finns i Plugin-programmet Microsoft Enterprise SSO för Apple-enheter.

• Information från Apple om nyttolasten för tillägg för enkel inloggning finns i nyttolastinställningarna för tillägg med enkel inloggning (öppnar Apples webbplats).

• Information om hur du felsöker SSO-tillägget för Microsoft Enterprise finns i Felsöka plugin-programmet för Microsoft Enterprise SSO-tillägg på Apple-enheter.