Aracılığıyla paylaş

Apple cihazlar için Microsoft Enterprise SSO eklentisi

Apple cihazları için Microsoft Enterprise SSO eklentisi, Apple'ın kurumsal çoklu oturum açma özelliğini destekleyen tüm uygulamalarda macOS, iOS ve iPadOS üzerinde Microsoft Entra hesapları için çoklu oturum açma (SSO) sağlar. Eklenti, işletmenizin bağımlı olabileceği ancak henüz en son kimlik kitaplıklarını veya protokolleri desteklemeyen eski uygulamalar için SSO sağlar. Microsoft, kullanılabilir en iyi korumayı sağlarken uygulamanızın kullanılabilirliğini artırmak için bu eklentiyi geliştirmek için Apple ile yakın bir şekilde çalıştı.

Kurumsal SSO eklentisi şu anda aşağıdaki uygulamaların yerleşik bir özelliğidir:

Features

Apple cihazları için Microsoft Enterprise SSO eklentisi aşağıdaki avantajları sunar:

  • Apple Enterprise SSO özelliğini destekleyen tüm uygulamalarda Microsoft Entra hesapları için SSO sağlar.
  • Herhangi bir mobil cihaz yönetimi (MDM) çözümü tarafından etkinleştirilebilir ve hem cihaz hem de kullanıcı kaydında desteklenir.
  • SSO'nun kapsamını henüz Microsoft Authentication Library (MSAL) kullanmayan uygulamalara genişletir.
  • SSO'yu OAuth 2, OpenID Connect ve SAML kullanan uygulamalara genişletir.
  • Microsoft Enterprise SSO eklentisi etkinleştirildiğinde son kullanıcıya sorunsuz bir yerel deneyim sağlayan MSAL ile yerel olarak tümleştirilmiştir.

Requirements

Apple cihazları için Microsoft Enterprise SSO eklentisini kullanmak için:

SSO eklentisinin 2022'den sonra yayımlanan ve Platform SSO ile hedeflenmemiş işletim sistemi sürümlerinde çalışması için izin verilen en düşük URL kümesi şunlardır: (En son işletim sistemi sürümlerinde, Apple tamamen CDN'sine dayanır):

  • app-site-association.cdn-apple.com
  • app-site-association.networking.apple
  • config.edge.skype.com - Deneme Yapılandırma Hizmeti (ECS) ile iletişimin sürdürülmesi, Microsoft'un ciddi bir hataya zamanında yanıt vermesini sağlar.

SSO eklentisinin Platform SSO hedefli cihazlarda veya 2022'de kullanıma sunulan işletim sistemi sürümlerinde çalışması için izin verilen en düşük URL kümesi:

  • app-site-association.cdn-apple.com
  • app-site-association.networking.apple
  • login.microsoftonline.com
  • login.microsoft.com
  • sts.windows.net
  • login.partner.microsoftonline.cn(**)
  • login.chinacloudapi.cn(**)
  • login.microsoftonline.us(**)
  • login-us.microsoftonline.com(**)
  • config.edge.skype.com(***)

( * ) Microsoft etki alanlarına izin vermek yalnızca 2022'ye kadar yayımlanan işletim sistemi sürümlerinde gereklidir. En son işletim sistemi sürümlerinde, Apple tamamen CDN'sine dayanır. ( ** ) Yalnızca ortamınızdakilere güveniyorsanız bağımsız bulut etki alanlarına izin vermeniz gerekir. ( *** ) Deneme Yapılandırma Hizmeti (ECS) ile iletişimin sürdürülmesi, Microsoft'un ciddi bir hataya zamanında yanıt vermesini sağlar.

Cihaz kayıt akışları için izin verilen URL'ler

Burada listelenen URL'lere gelen trafiğe varsayılan olarak izin verildiğinden ve TLS kesme veya incelemesinden açıkça muaf tutuldığından emin olun. Bu, başarıyla tamamlanması için TLS zorluklarına dayanan kayıt akışları için kritik öneme sahiptir.

Important

Not: Kayıt akışlarında kullanılan TLS uç noktasında yeni bir güncelleştirme yapılmıştır. Kesintileri önlemek için ortamınızın izin verilenler listesinin en son URL gereksinimlerini yansıttığını doğrulayın.


Microsoft Enterprise SSO eklentisi, Apple'ın kurumsal SSO çerçevesine dayanır. Apple'ın kurumsal SSO çerçevesi, ilişkili etki alanları olarak adlandırılan bir teknolojiyi kullanarak her kimlik sağlayıcısı için yalnızca onaylı bir SSO eklentisinin çalışabilmesini sağlar. SSO eklentisinin kimliğini doğrulamak için, her Apple cihazı kimlik sağlayıcısına ait bir uç noktaya bir ağ isteği gönderir ve onaylanan SSO eklentileri hakkındaki bilgileri okur. Apple, doğrudan kimlik sağlayıcısına ulaşmanın yanı sıra, bu bilgiler için başka bir önbelleğe alma da uygulamıştır.

Warning

Kuruluşunuz veri kaybı önleme veya kiracı kısıtlamaları gibi senaryolar için SSL trafiğini kesen ara sunucu kullanıyorsa, bu URL'lere gelen trafiğin TLS kesme ve inceleme dışında tutulduğundan emin olun. Bu URL'lerin dışlanmaması istemci sertifikası kimlik doğrulamasıyla etkileşime neden olur, cihaz kaydı ve cihaz tabanlı Koşullu Erişim ile ilgili sorunlara neden olur. SSO eklentisi, Apple CDN etki alanlarını engellemeden tamamen dışlamadıkça güvenilir şekilde çalışmaz ve bunu yapana kadar ara sıra sorunlarla karşılaşırsınız. Kuruluşunuz 2022'den sonra yayımlanan işletim sistemi sürümlerini kullanıyorsa, Microsoft oturum açma URL'lerini TLS ara dağıtımının dışında tutmanız gerekmez. Kiracı Kısıtlama özelliğini kullanan müşteriler Microsoft oturum açma URL'lerinde TLS denetimi yapabilir ve istekte gerekli üst bilgileri ekleyebilir.

Note

Kiracı Kısıtlamaları bir şirket ara sunucusu kullanılarak dağıtıldığında platform SSO, Microsoft Entra ID Kiracı Kısıtlaması v2 özelliğiyle uyumsuzdur. Alternatif seçenek, TRv2 Bilinen sınırlamasında listelenir

Kuruluşunuz bu URL'leri engellerse, kullanıcılar veya 1012 NSURLErrorDomain error1000 com.apple.AuthenticationServices.AuthorizationErrorgibi 1001 Unexpectedhatalar görebilir.

İzin alınması gerekebilecek diğer Apple URL'leri, kurumsal ağlarda Apple ürünlerini kullanma başlıklı destek makalesinde belgelenmiştir.

iOS gereksinimleri

  • Cihazda iOS 13.0 veya üzeri yüklü olmalıdır.
  • Apple cihazları için Microsoft Enterprise SSO eklentisi sağlayan bir Microsoft uygulaması cihaza yüklenmelidir. Bu uygulama, Microsoft Authenticator uygulamasıdır.

macOS gereksinimleri

  • cihaza macOS 10.15 veya üzeri yüklü olmalıdır.
  • Apple cihazları için Microsoft Enterprise SSO eklentisi sağlayan bir Microsoft uygulaması cihaza yüklenmelidir. Bu uygulama, Intune Şirket Portalı uygulamasıdır.

SSO eklentisini etkinleştirme

MDM kullanarak SSO eklentisini etkinleştirmek için aşağıdaki bilgileri kullanın.

Microsoft Intune yapılandırması

MDM hizmetiniz olarak Microsoft Intune kullanıyorsanız, Microsoft Enterprise SSO eklentisini etkinleştirmek için yerleşik yapılandırma profili ayarlarını kullanabilirsiniz:

  1. Yapılandırma profilinin SSO uygulama eklenti ayarlarını yapılandırın.
  2. Profil henüz atanmamışsa, profili bir kullanıcı veya cihaz grubuna atayın.

SSO eklentisini etkinleştiren profil ayarları, her cihaz Intune'a bir sonraki girişinde grubun cihazlarına otomatik olarak uygulanır.

Diğer MDM hizmetleri için el ile yapılandırma

MDM için Intune kullanmıyorsanız, Apple cihazları için Genişletilebilir Çoklu Oturum Açma profil yükü yapılandırabilirsiniz. Microsoft Enterprise SSO eklentisini ve yapılandırma seçeneklerini yapılandırmak için aşağıdaki parametreleri kullanın.

iOS ayarları:

  • Uzantı Kimliği: com.microsoft.azureauthenticator.ssoextension
  • Ekip Kimliği: Bu alan iOS için gerekli değildir.

macOS ayarları:

  • Uzantı Kimliği: com.microsoft.CompanyPortalMac.ssoextension
  • Ekip Kimliği: UBF8T346G9

Ortak ayarlar:

  • Tür: Yeniden Yönlendirme
    • https://login.microsoftonline.com
    • https://login.microsoft.com
    • https://sts.windows.net
    • https://login.partner.microsoftonline.cn
    • https://login.chinacloudapi.cn
    • https://login.microsoftonline.us
    • https://login-us.microsoftonline.com

Dağıtım kılavuzları

Seçtiğiniz MDM çözümünü kullanarak Microsoft Enterprise SSO eklentisini etkinleştirmek için aşağıdaki dağıtım kılavuzlarını kullanın:

Intune:

Jamf Pro:

Diğer MDM:

Diğer yapılandırma seçenekleri

SSO işlevselliğini diğer uygulamalara genişletmek için daha fazla yapılandırma seçeneği ekleyebilirsiniz.

MSAL kullanmayan uygulamalar için SSO'nun etkinleştirilmesi

SSO eklentisi, Microsoft Authentication Library (MSAL) gibi bir Microsoft SDK'sı kullanılarak geliştirlenmemiş olsa bile tüm uygulamaların SSO'ya katılmasına olanak tanır.

SSO eklentisi aşağıdakilere sahip cihazlar tarafından otomatik olarak yüklenir:

  • iOS veya iPadOS'ta Authenticator uygulamasını veya macOS'ta Intune Şirket Portalı uygulamasını indirin.
  • MDM, cihazını kuruluşunuza kaydettirdi.

Kuruluşunuz büyük olasılıkla çok faktörlü kimlik doğrulaması, parolasız kimlik doğrulaması ve Koşullu Erişim gibi senaryolar için Authenticator uygulamasını kullanır. MDM sağlayıcısı kullanarak uygulamalarınız için SSO eklentisini açabilirsiniz. Microsoft, Microsoft Intune kullanarak eklentiyi yapılandırmayı kolaylaştırdı. Bu uygulamaları SSO eklentisini kullanacak şekilde yapılandırmak için bir izin verilenler listesi kullanılır.

Important

Microsoft Enterprise SSO eklentisi yalnızca yerel Apple ağ teknolojilerini veya web görünümlerini kullanan uygulamaları destekler. Kendi ağ katmanı uygulamasını sevk eden uygulamaları desteklemez.

MSAL kullanmayan uygulamalar için Microsoft Enterprise SSO eklentisini yapılandırmak için aşağıdaki parametreleri kullanın.

Important

Bu izin verilenler listesine Microsoft Kimlik Doğrulama Kitaplığı kullanan uygulamalar eklemeniz gerekmez. Bu uygulamalar varsayılan olarak SSO'ya katılır. Microsoft tarafından oluşturulan uygulamaların çoğu bir Microsoft Kimlik Doğrulama Kitaplığı kullanır.

Tüm yönetilen uygulamalar için SSO'nun etkinleştirilmesi

  • Anahtar: Enable_SSO_On_All_ManagedApps
  • Tür: Integer
  • Değer: 1 veya 0. Bu değer varsayılan olarak 0 olarak ayarlanır.

Bu bayrak açık olduğunda (değeri olarak ayarlanır 1), içinde olmayan AppBlockList tüm MDM tarafından yönetilen uygulamalar SSO'ya katılabilir.

Belirli uygulamalar için SSO'nun etkinleştirilmesi

  • Anahtar: AppAllowList
  • Tür: String
  • Değer: SSO'ya katılmasına izin verilen uygulamalar için uygulama paketi kimliklerinin virgülle ayrılmış listesi.
  • Örnek: com.contoso.workapp, com.contoso.travelapp

Note

Safari ve Safari Görünüm Hizmeti'nin varsayılan olarak SSO'ya katılmasına izin verilir. AppBlockList'te Safari ve Safari Görünüm Hizmeti'nin paket kimlikleri eklenerek SSO'ya katılmamak üzere yapılandırılabilir. iOS Paket Kimlikleri: [com.apple.mobilesafari, com.apple.SafariViewService] macOS BundleID: [com.apple.Safari]

Belirli bir paket kimliği ön ekiyle tüm uygulamalar için SSO'nun etkinleştirilmesi

  • Anahtar: AppPrefixAllowList
  • Tür: String
  • Değer: SSO'ya katılmasına izin verilen uygulamaların uygulama paket kimliği ön eklerinin virgülle ayrılmış listesi. Bu parametre, belirli bir ön ek ile başlayan tüm uygulamaların SSO'ya katılmasını sağlar. iOS için varsayılan değer olarak ayarlanır com.apple. ve bu da tüm Apple uygulamaları için SSO'nun etkinleştirilmesine neden olur. macOS için varsayılan değer com.apple. ve com.microsoft. olarak ayarlanır ve bu da tüm Apple ve Microsoft uygulamaları için SSO'nun etkinleştirilmesini sağlar. Yöneticiler, varsayılan değeri geçersiz kılabilir veya SSO'ya katılmalarını önlemek için uygulamaları AppBlockList içine ekleyebilir.
  • Örnek: com.contoso., com.fabrikam.

Belirli uygulamalar için SSO'yi devre dışı bırakma

  • Anahtar: AppBlockList
  • Tür: String
  • Değer: SSO'ya katılmamalarına izin verilen uygulamaların uygulama paketi kimliklerinin virgülle ayrılmış listesi.
  • Örnek: com.contoso.studyapp, com.contoso.travelapp

Safari veya Safari Görünüm Hizmeti için SSO'nun devre dışı bırakılması için paket kimliklerini AppBlockListöğesine ekleyerek bunu açıkça yapmanız gerekir:

  • iOS: com.apple.mobilesafari, com.apple.SafariViewService
  • Macos: com.apple.Safari

Note

Bu ayarı kullanarak Microsoft Kimlik Doğrulama Kitaplığı kullanan uygulamalar için SSO devre dışı bırakılamaz.

Belirli bir uygulama için çerezler aracılığıyla SSO'yu etkinleştir

Gelişmiş ağ ayarlarına sahip bazı iOS uygulamaları SSO için etkinleştirildiğinde beklenmeyen sorunlarla karşılaşabilir. Örneğin, bir ağ isteğinin iptal edildiği veya kesildiğini belirten bir hata görebilirsiniz.

Diğer ayarlar aracılığıyla etkinleştirdikten sonra bile kullanıcılarınız uygulamada oturum açarken sorun yaşıyorsa, sorunları çözmek için uygulamasına AppCookieSSOAllowList eklemeyi deneyin.

Note

Çerez mekanizması aracılığıyla SSO kullanmanın ciddi sınırlamaları vardır. Örneğin, Microsoft Entra ID Koşullu Erişim ilkeleriyle uyumlu değildir ve yalnızca tek bir hesabı destekler. Normal SSO ile uyumsuz olduğu belirlenen sınırlı bir uygulama kümesi için Microsoft mühendislik veya destek ekipleri tarafından açıkça önerilmedikçe bu özelliği kullanmamalısınız.

  • Anahtar: AppCookieSSOAllowList
  • Tür: String
  • Değer: SSO'ya katılmasına izin verilen uygulamaların uygulama paket kimliği ön eklerinin virgülle ayrılmış listesi. Listelenen ön eklerle başlayan tüm uygulamaların SSO'ya katılmasına izin verilir.
  • Örnek: com.contoso.myapp1, com.fabrikam.myapp2

Diğer gereksinimler: Uygulamalar için SSO'yu AppCookieSSOAllowList kullanarak etkinleştirebilmek için paket kimliği ön eklerini AppPrefixAllowList de eklemeniz gerekir.

Bu yapılandırmayı yalnızca beklenmeyen oturum açma hataları olan uygulamalar için deneyin. Bu anahtar, macOS uygulamaları için değil yalnızca iOS uygulamaları için kullanılır.

Anahtarların özeti

Note

Bu bölümde açıklanan anahtarlar yalnızca Microsoft Kimlik Doğrulama Kitaplığı kullanmayan uygulamalar için geçerlidir.

Key Type Value
Enable_SSO_On_All_ManagedApps Integer 1 tüm yönetilen uygulamalarda SSO'nun etkinleştirilmesini, 0 tüm yönetilen uygulamalarda SSO'nun devre dışı bırakılabilmesini sağlar.
AppAllowList String
(virgülle ayrılmış liste)		 SSO'ya katılmasına izin verilen uygulamaların kimliklerini paketle.
AppBlockList String
(virgülle ayrılmış liste)		 SSO'ya katılmasına izin verilmeyen uygulamaların kimliklerini paketle.
AppPrefixAllowList String
(virgülle ayrılmış liste)		 SSO'ya katılmasına izin verilen uygulamaların Paket Kimliği ön ekleri. iOS için varsayılan değer olarak ayarlanır com.apple. ve bu da tüm Apple uygulamaları için SSO'nun etkinleştirilmesine neden olur. macOS için varsayılan değer com.apple. ve com.microsoft. olarak ayarlanır ve bu da tüm Apple ve Microsoft uygulamaları için SSO'nun etkinleştirilmesini sağlar. Geliştiriciler, Müşteriler veya Yöneticiler varsayılan değeri geçersiz kılabilir veya uygulamaları AppBlockList ekleyerek SSO'ya katılmalarını engelleyebilir.
AppCookieSSOAllowList String
(virgülle ayrılmış liste)		 SSO'ya katılmasına izin verilen ancak özel ağ ayarlarını kullanan ve diğer ayarları kullanarak SSO ile sorun olan uygulamaların Paket Kimliği ön ekleri. AppCookieSSOAllowList eklediğiniz uygulamalar ayrıca AppPrefixAllowList eklenmelidir. Bu anahtarın macOS uygulamaları için değil yalnızca iOS uygulamaları için kullanılacağını unutmayın.

Yaygın senaryolar için ayarlar

  • Senaryo: Çoğu yönetilen uygulama için SSO'nun etkinleştirilmesini istiyorum, ancak tümü için değil.

    Key Value
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList SSO'ya katılmasını engellemek istediğiniz uygulamaların paket kimlikleri (virgülle ayrılmış liste).

  • Varsayılan olarak etkin olan safari için SSO'nun devre dışı bırakılmasını ancak tüm yönetilen uygulamalar için SSO'nun etkinleştirilmesini istiyorum.

    Key Value
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList SSO'ya katılmasını engellemek istediğiniz Safari uygulamalarının paket kimlikleri (virgülle ayrılmış liste).
    • iOS için: com.apple.mobilesafari, com.apple.SafariViewService
    • macOS için: com.apple.Safari

  • Senaryo: Tüm yönetilen uygulamalarda ve birkaç yönetilmeyen uygulamada SSO'nun etkinleştirilmesini istiyorum, ancak diğer birkaç uygulama için SSO'nun devre dışı bırakılmasını istiyorum.

    Key Value
    Enable_SSO_On_All_ManagedApps 1
    AppAllowList SSO'ya katılım için etkinleştirmek istediğiniz uygulamaların paket kimlikleri (virgülle ayrılmış liste).
    AppBlockList SSO'ya katılmasını engellemek istediğiniz uygulamaların paket kimlikleri (virgülle ayrılmış liste).
iOS cihazlarında uygulama paketi tanımlayıcılarını bulma

Apple, App Store'dan paket kimlikleri almak için kolay bir yol sağlamaz. SSO için kullanmak istediğiniz uygulamaların paket kimliklerini almanın en kolay yolu satıcınıza veya uygulama geliştiricinize sormaktır. Bu seçenek kullanılamıyorsa, paket kimliklerini bulmak için MDM yapılandırmanızı kullanabilirsiniz:

  1. MDM yapılandırmanızda aşağıdaki bayrağı geçici olarak etkinleştirin:

    • Anahtar: admin_debug_mode_enabled
    • Tür: Integer
    • Değer: 1 veya 0

  2. Bu bayrak açıkken, paket kimliğini öğrenmek istediğiniz cihazda iOS uygulamalarında oturum açın.

  3. Authenticator uygulamasında Yardım>Günlükleri Gönder>Günlükleri Görüntüle seçeneklerini belirleyin.

  4. Günlük dosyasında şu satırı arayın: [ADMIN MODE] SSO extension has captured following app bundle identifiers. Bu satır, SSO uzantısına görünür olan tüm uygulama paketi kimliklerini yakalamalıdır.

Uygulamalar için SSO yapılandırmak için paket kimliklerini kullanın. İşiniz bittiğinde yönetici modunu devre dışı bırakın.

Kullanıcıların MSAL ve Safari tarayıcısı kullanmayan uygulamalardan oturum açmasına izin ver

Varsayılan olarak, MSAL kullanan başka bir uygulama tarafından yeni bir belirteç edinimi sırasında çağrıldığında, Microsoft Enterprise SSO eklentisi paylaşılan bir kimlik bilgisi alır. Yapılandırmaya bağlı olarak, Microsoft Enterprise SSO eklentisi MSAL kullanmayan uygulamalar tarafından çağrıldığında paylaşılan bir kimlik bilgisi de alabilir.

Bayrağı etkinleştirdiğinizde browser_sso_interaction_enabled, MSAL kullanmayan uygulamalar ilk başlatmayı gerçekleştirebilir ve paylaşılan bir kimlik bilgisi alabilir. Safari tarayıcısı ayrıca ilk önyüklemeyi yapabilir ve paylaşılan bir kimlik bilgisi alabilir.

Microsoft Enterprise SSO eklentisi henüz paylaşılan bir kimlik bilgilerine sahip değilse Safari tarayıcısı, ASWebAuthenticationSession, SafariViewController veya izin verilen başka bir yerel uygulama içindeki bir Microsoft Entra URL'sinden oturum açma istendiğinde bir kimlik bilgisi almaya çalışır.

Bayrağı etkinleştirmek için şu parametreleri kullanın:

  • Anahtar: browser_sso_interaction_enabled
  • Tür: Integer
  • Değer: 1 veya 0. Bu değer varsayılan olarak 1 olarak ayarlanır.

Microsoft Enterprise SSO eklentisinin tüm uygulamalarda tutarlı bir deneyim sunabilmesi için hem iOS hem de macOS bu ayarı gerektirir. Bu ayar varsayılan olarak etkindir ve yalnızca son kullanıcı kimlik bilgileriyle oturum açamıyorsa devre dışı bırakılmalıdır.

OAuth 2 uygulama istemlerini devre dışı bırakma

Bir uygulama, Microsoft Enterprise SSO eklentisi cihazdaki diğer uygulamalar için çalışıyor olsa bile kullanıcılarınızdan oturum açmalarını isterse, uygulama protokol katmanında SSO'nun atlamasına neden olabilir. Eklenti izin verilen uygulamalar tarafından yapılan ağ isteklerine kimlik bilgilerini ekleyerek SSO sağladığından, paylaşılan kimlik bilgileri de bu tür uygulamalar tarafından yoksayılır.

Bu parametreler, SSO uzantısının yerel ve web uygulamalarının protokol katmanında SSO'nun atlanmasını ve kullanıcıya bir oturum açma isteminin görüntülenmesini zorlamasını engelleyip engellemeyeceğini belirtir.

Cihazdaki tüm uygulamalarda tutarlı bir SSO deneyimi için, MSAL kullanmayan uygulamalar için bu ayarlardan birini etkinleştirmenizi öneririz. Bunu yalnızca kullanıcılarınız beklenmeyen istemlerle karşılaşıyorsa MSAL kullanan uygulamalar için etkinleştirmeniz gerekir.

Microsoft Kimlik Doğrulama Kitaplığı kullanmayan uygulamalar:

Uygulama istemini devre dışı bırakın ve hesap seçiciyi görüntüleyin:

  • Anahtar: disable_explicit_app_prompt
  • Tür: Integer
  • Değer: 1 veya 0. Bu değer varsayılan olarak 1 olarak ayarlanır ve bu varsayılan ayar istemleri azaltır.

Uygulama istemini devre dışı bırakın ve eşleşen SSO hesapları listesinden otomatik olarak bir hesap seçin:

  • Anahtar: disable_explicit_app_prompt_and_autologin
  • Tür: Integer
  • Değer: 1 veya 0. Bu değer varsayılan olarak 0 olarak ayarlanır.
Microsoft Kimlik Doğrulama Kitaplığı kullanan uygulamalar:

Uygulama koruma ilkeleri kullanılıyorsa aşağıdaki ayarlar önerilmez.

Uygulama istemini devre dışı bırakın ve hesap seçiciyi görüntüleyin:

  • Anahtar: disable_explicit_native_app_prompt
  • Tür: Integer
  • Değer: 1 veya 0. Bu değer varsayılan olarak 0 olarak ayarlanır.

Uygulama istemini devre dışı bırakın ve eşleşen SSO hesapları listesinden otomatik olarak bir hesap seçin:

  • Anahtar: disable_explicit_native_app_prompt_and_autologin
  • Tür: Integer
  • Değer: 1 veya 0. Bu değer varsayılan olarak 0 olarak ayarlanır.

Beklenmeyen SAML uygulama istemleri

Bir uygulama, Microsoft Enterprise SSO eklentisi cihazdaki diğer uygulamalar için çalışıyor olsa bile kullanıcılarınızdan oturum açmalarını isterse, uygulama protokol katmanında SSO'nun atlamasına neden olabilir. Uygulama SAML protokolü kullanıyorsa, Microsoft Enterprise SSO eklentisi uygulamaya SSO sağlayamaz. Uygulama satıcısı bu davranış hakkında bilgilendirilmeli ve SSO'nun atlanmaması için uygulamalarında bir değişiklik yapmalıdır.

MSAL özellikli uygulamalar için iOS deneyimini değiştirme

MSAL kullanan uygulamalar etkileşimli istekler için her zaman SSO uzantısını yerel olarak çağırır. Bazı iOS cihazlarında bu istenmeyebilir. Özellikle, kullanıcının Microsoft Authenticator uygulamasında çok faktörlü kimlik doğrulamasını da tamamlaması gerekiyorsa, söz konusu uygulamaya etkileşimli bir yeniden yönlendirme daha iyi bir kullanıcı deneyimi sağlayabilir.

Bu davranış, disable_inapp_sso_signin etiketini kullanarak yapılandırılabilir. Bu bayrak etkinleştirilirse, MSAL kullanan uygulamalar tüm etkileşimli istekler için Microsoft Authenticator uygulamasına yönlendirilir. Bu bayrak bu uygulamalardan gelen sessiz belirteç isteklerini, MSAL kullanmayan uygulamaların davranışını veya macOS uygulamalarını etkilemez. Bu bayrak varsayılan olarak devre dışıdır.

  • Anahtar: disable_inapp_sso_signin
  • Tür: Integer
  • Değer: 1 veya 0. Bu değer varsayılan olarak 0 olarak ayarlanır.

Microsoft Entra cihaz kaydını yapılandırma

Intune tarafından yönetilen cihazlar için Microsoft Enterprise SSO eklentisi, bir kullanıcı kaynaklara erişmeye çalışırken Microsoft Entra cihaz kaydını gerçekleştirebilir. Bu, daha kolay bir son kullanıcı deneyimi sağlar.

Microsoft Intune ile iOS/iPadOS için Tam Zamanında Kaydı etkinleştirmek için aşağıdaki yapılandırmayı kullanın:

  • Anahtar: device_registration
  • Tür: String
  • Değer: {{DEVICEREGISTRATION}}

Tam Zamanında Kayıt hakkında daha fazla bilgiyi buradan edinebilirsiniz.

Koşullu Erişim ilkeleri ve parola değişiklikleri

Apple cihazları için Microsoft Enterprise SSO eklentisi, çeşitli Microsoft Entra Koşullu Erişim ilkeleri ve parola değiştirme olaylarıyla uyumludur. browser_sso_interaction_enabled uyumluluk elde etmek için etkinleştirilmesi gerekir.

Uyumlu olaylar ve ilkeler aşağıdaki bölümlerde belgelenmiştir:

Parola değişikliği ve belirteç iptali

Kullanıcı parolasını sıfırladığında, bundan önce verilen tüm belirteçler iptal edilir. Kullanıcı parola sıfırlama olayından sonra bir kaynağa erişmeye çalışıyorsa normalde her uygulamada yeniden oturum açması gerekir. Microsoft Enterprise SSO eklentisi etkinleştirildiğinde, kullanıcıdan SSO'ya katılan ilk uygulamada oturum açması istenir. Microsoft Enterprise SSO eklentisi, şu anda etkin olan uygulamanın üzerinde kendi kullanıcı arabirimini gösterir.

Microsoft Entra çok faktörlü kimlik doğrulaması

Çok faktörlü kimlik doğrulaması , kullanıcıların oturum açma işlemi sırasında cep telefonlarındaki bir kod veya parmak izi taraması gibi ek bir tanımlama biçimi istendiği bir işlemdir. Çok faktörlü kimlik doğrulaması belirli kaynaklar için etkinleştirilebilir. Microsoft Enterprise SSO eklentisi etkinleştirildiğinde, kullanıcıdan bunu gerektiren ilk uygulamada çok faktörlü kimlik doğrulaması gerçekleştirmesi istenir. Microsoft Enterprise SSO eklentisi, şu anda etkin olan uygulamanın üzerinde kendi kullanıcı arabirimini gösterir.

Kullanıcı oturum açma sıklığı

Oturum açma sıklığı , bir kaynağa erişmeye çalışırken kullanıcının yeniden oturum açması istenmeden önceki süreyi tanımlar. Bir kullanıcı, çeşitli uygulamalarda zaman aralığı geçtikten sonra bir kaynağa erişmeye çalışıyorsa, normalde bu uygulamaların her birinde yeniden oturum açması gerekir. Microsoft Enterprise SSO eklentisi etkinleştirildiğinde, bir kullanıcıdan SSO'ya katılan ilk uygulamada oturum açması istenir. Microsoft Enterprise SSO eklentisi, şu anda etkin olan uygulamanın üzerinde kendi kullanıcı arabirimini gösterir.

Basitleştirilmiş yapılandırma için Intune kullanma

Microsoft Enterprise SSO eklentisinin yapılandırmasını kolaylaştırmak için MDM hizmetiniz olarak Intune'u kullanabilirsiniz. Örneğin, eklentiyi etkinleştirmek için Intune'ı kullanabilir ve SSO'ya sahip olmaları için eski uygulamaları izin verilenler listesine ekleyebilirsiniz.

Daha fazla bilgi için bkz . Intune kullanarak Apple cihazları için Microsoft Enterprise SSO eklentisini dağıtma.

Uygulamanızda SSO eklentisini kullanma

Apple cihazları için MSAL sürüm 1.1.0 ve üzeri, Apple cihazları için Microsoft Enterprise SSO eklentisini destekler. Microsoft Enterprise SSO eklentisi için destek eklemenin önerilen yoludur. bu, Microsoft kimlik platformu tüm özelliklerini edinmenizi sağlar.

Ön çalışan senaryoları için bir uygulama oluşturuyorsanız kurulum bilgileri için bkz . iOS cihazları için paylaşılan cihaz modu.

SSO eklentisinin nasıl çalıştığını anlama

Microsoft Enterprise SSO eklentisi, Apple Enterprise SSO çerçevesine dayanır. Çerçeveye katılan kimlik sağlayıcıları, etki alanları için ağ trafiğini kesebilir ve bu isteklerin işlenme şeklini geliştirebilir veya değiştirebilir. Örneğin, SSO eklentisi son kullanıcı kimlik bilgilerini güvenli bir şekilde toplamak, MFA gerektirmek veya uygulamaya sessizce belirteç sağlamak için daha fazla URI gösterebilir.

Yerel uygulamalar ayrıca özel işlemler uygulayabilir ve doğrudan SSO eklentisiyle iletişim kurabilir. Daha fazla bilgi için Apple'ın bu 2019 Dünya Çapında Geliştirici Konferansı videosuna bakın.

Tip

SSO eklentisinin nasıl çalıştığı ve Apple cihazları için SSO sorun giderme kılavuzuyla Microsoft Enterprise SSO Uzantısı sorunlarını giderme hakkında daha fazla bilgi edinin.

MSAL kullanan uygulamalar

Apple cihazları için MSAL sürüm 1.1.0 ve üzeri, iş ve okul hesapları için Apple cihazları için Microsoft Enterprise SSO eklentisini yerel olarak destekler.

Önerilen tüm adımları izlediyseniz ve varsayılan yeniden yönlendirme URI biçimini kullandıysanız özel bir yapılandırmaya ihtiyacınız yoktur. SSO eklentisi olan cihazlarda MSAL, tüm etkileşimli ve sessiz belirteç istekleri için bunu otomatik olarak çağırır. Ayrıca, hesap numaralandırması ve hesap kaldırma işlemleri için de çağırır. MSAL, özel işlemlere dayalı bir yerel SSO eklenti protokolü uyguladığından, bu kurulum son kullanıcıya en sorunsuz yerel deneyimi sağlar.

iOS ve iPadOS cihazlarında, SSO eklentisi MDM tarafından etkinleştirilmemişse ancak cihazda Microsoft Authenticator uygulaması varsa, MSAL bunun yerine tüm etkileşimli belirteç istekleri için Authenticator uygulamasını kullanır. Microsoft Enterprise SSO eklentisi, Authenticator uygulamasıyla SSO'nun paylaşımını sağlar.

MSAL kullanmayan uygulamalar

MSAL kullanmayan uygulamalar, yönetici bu uygulamaları izin verilenler listesine eklerse SSO almaya devam edebilir.

Aşağıdaki koşullar karşılandığında bu uygulamalardaki kodu değiştirmeniz gerekmez:

  • Uygulama, ağ isteklerini çalıştırmak için Apple çerçevelerini kullanır. Bu çerçeveler, örneğin WKWebView ve NSURLSession'u içerir.
  • Uygulama, Microsoft Entra ID ile iletişim kurmak için standart protokoller kullanır. Bu protokoller OAuth 2, SAML ve WS-Federation gibi protokolleri içerir.
  • Uygulama yerel kullanıcı arabiriminde düz metin kullanıcı adları ve parolalar toplamaz.

Bu durumda, uygulama bir ağ isteği oluşturduğunda ve kullanıcıyı oturum açmak için bir web tarayıcısı açtığında SSO sağlanır. Kullanıcı bir Microsoft Entra oturum açma URL'sine yeniden yönlendirildiğinde, SSO eklentisi URL'yi doğrular ve bu URL için SSO kimlik bilgilerini denetler. Kimlik bilgilerini bulursa, SSO eklentisi bunu Microsoft Entra Id'ye geçirir ve bu da kullanıcının kimlik bilgilerini girmesini istemeden uygulamaya ağ isteğini tamamlama yetkisi verir. Ayrıca, cihaz Microsoft Entra Id olarak biliniyorsa, SSO eklentisi cihaz tabanlı Koşullu Erişim denetimini karşılamak için cihaz sertifikasını geçirir.

MSAL olmayan uygulamalarda SSO'nun desteklenmesi için SSO eklentisi, Birincil yenileme belirteci nedir? başlığı altında açıklanan Windows tarayıcısı eklentisine benzer bir protokol uygular.

MSAL tabanlı uygulamalarla karşılaştırıldığında, SSO eklentisi MSAL olmayan uygulamalar için daha şeffaf davranır. Uygulamaların sağladığı mevcut tarayıcı oturum açma deneyimiyle tümleştirilir.

Son kullanıcı tanıdık deneyimi görür ve her uygulamada yeniden oturum açmak zorunda değildir. Örneğin, yerel hesap seçiciyi görüntülemek yerine, SSO eklentisi web tabanlı hesap seçici deneyimine SSO oturumları ekler.

Cihaz Kimliği Anahtarı Depolama

Mart 2024'te Microsoft, Microsoft Entra Id'nin Apple'ın Anahtarlığı'ndan cihaz kimlik anahtarlarını depolamak için Apple'ın Güvenli Kapanım'a geçeceğini duyurdu. Ağustos 2025'ten itibaren Güvenli Depolama'nın yayınlanması, Secure Enclave'i tüm yeni cihaz kayıtları için varsayılan anahtar depolama yöntemi yapacaktır. Yeni cihaz kayıtları varsayılan olarak güvenli depolama modelini kullanır. Güvenli Kapanım'ı desteklemeyen mevcut cihazlarda kayıt anahtarları kullanıcının Anahtar Zincirinde depolanır (ancak eski Oturum Açma Anahtar Zincirinde depolanmaz). Güvenli Depolama olmayan cihazlar için mevcut işlevler aynı kalır.

Uygulamalarınız veya MDM çözümleriniz Anahtarlık aracılığıyla Microsoft Entra cihaz kayıt anahtarlarına erişmeye bağımlıysa, microsoft kimlik platformuyla uyumluluğu korumak için bunları Microsoft Kimlik Doğrulama Kitaplığı (MSAL) ve Kurumsal SSO eklentisini kullanacak şekilde güncelleştirmeniz gerekir.

Important

Cihaz kimliği anahtarlarını depolamak için Güvenli Kapanım kullanan yönetilen cihazların, cihaz kimliğini Microsoft Entra Id'ye raporlamak için Kurumsal SSO veya Platform SSO ile de sağlanması gerekir.

Kayıt cihazı bilgilerini okumak için Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanma

Ayrıntılı cihaz kaydını okumak için bu kullanılabilir MSAL API'sini çağırabilirsiniz:

- (void)getWPJMetaDataDeviceWithParameters:(nullable MSALParameters *)parameters
                               forTenantId:(nullable NSString *)tenantId
                           completionBlock:
                               (nonnull MSALWPJMetaDataCompletionBlock)
                                   completionBlock;

Lütfen bu API belgeleri hakkında daha fazla ayrıntıya buradan ulaşabilirsiniz.

Güvenli Kapanım tabanlı cihaz kimliği sorunlarını giderme

Güvenli Kapanım tabanlı depolamayı etkinleştirdikten sonra, erişim elde etmek için cihazınızı ayarlamanızı tavsiye eden bir hata iletisiyle karşılaşabilirsiniz. Bu hata iletisi, uygulamanın cihazın yönetilen durumunu tanıyalamadığını gösterir ve yeni anahtar depolama konumuyla uyumsuzluk olduğunu gösterir.

Kullanıcıya bu kaynağa erişilmeden önce cihazın yönetilmesi gerektiğini bildiren Koşullu Erişim hata iletisinin ekran görüntüsü.

Bu hata, Microsoft Entra Id oturum açma günlüklerinde aşağıdaki ayrıntılarla birlikte görünür:

  • Oturum açma hata kodu:530003
  • Hatanın nedeni:Device is required to be managed to access this resource.

Test sırasında bu hata iletisini görürseniz, önce SSO uzantısını başarıyla etkinleştirdiğinizden ve uygulamaya özgü tüm gerekli uzantıları (ör. Chrome için Microsoft Çoklu Oturum Açma) yüklediğinizden emin olun. Bu iletiyi görmeye devam ederseniz, yeni depolama konumuyla uyumsuzluk konusunda uyarmak için uygulamanın satıcısına başvurmanız önerilir.

Secure Enclave sorunlarını giderme

Güvenli Kapanım ile ilgili sorunları gidermeniz gereken durumlarda, Apple cihazınızın MDM yapılandırmasında aşağıdaki anahtar güncelleştirilerek devre dışı bırakılabilir:

  • Anahtar: use_most_secure_storage
  • Tür: Integer
  • Değer: 0

Warning

Güvenli Kapanım'ın devre dışı bırakılması yalnızca sorun giderme sırasında yapılmalıdır.

Sorun Giderme: Test için Güvenli Kapanım'ı devre dışı bırakma

Herhangi bir nedenle Güvenli Kapanım'ın devre dışı bırakılması gerekiyorsa şu önerilen adımları izleyin:

  1. Yapılandırmayı güncelleştirme: MDM yapılandırmanızda Tamsayı türü bayrağını use_most_secure_storage ayarlayarak devre dışı bırakın0.

  2. Cihazın kaydını kaldırma: Şu yöntemlerden birini kullanarak cihaz kaydını kaldırın:

  • Microsoft Authenticator: Cihaz kayıt menüsüne gidin ve kayıt silme adımlarını izleyin:
    1. Sol üstteki Giriş ekranından menüyü ... seçin
    2. Ayarlar, Cihaz Kaydı'nı tıklatın.
    3. Cihazınızın altındaki şirket adı şu anda kayıtlı olan basın kaydı.
    4. Cihaz kaydını kaldır'a basın.
  • Intune Şirket Portalı: Şirket Portalı'nda oturum açın ve Cihazlar Sekmesi'ne tıklayın:
    1. Cihaz listesinden cihazınızı seçin.
    2. Adın altında, tuşuna basın ..., bir menü açılır.
    3. Cihazı kaldır'ı seçin.
  1. Cihazı yeniden kaydetme: Kaydı kaldırdıktan sonra aşağıdakilerden birini kullanarak cihazı yeniden kaydedin:
  • Intune Şirket Portalı: Cihazı seçin ve yeniden kaydedin
  • Microsoft Authenticator: Menüye gidin, Cihaz Kaydı'nı seçin ve cihazı yeniden kaydedin (Not: Bu yöntem macOS'ta kullanılamaz)

Important

Depolama konumu değişikliğinin etkili olması için cihazın kaydı kaldırılmalı ve yeniden kaydedilmelidir. Yapılandırma bayrağını yeniden kayıt olmadan güncelleştirmek, mevcut cihaz kayıtlarının depolama konumunu değiştirmez.

Güvenli Depolama'yı geri çevirme

Kiracınızı güvenli depolama dağıtımından çıkarmak için Microsoft müşteri desteğine başvurarak güvenli depolama dağıtımından dışlama isteğinde bulunun. İşlendikten sonra kiracınız geçici olarak 6 aya kadar bu dağıtımın dışında tutulur. Kiracınızda daha önce güvenli depolama alanına kayıtlı tüm cihazlar, geçici geri çevirme tamamlandıktan sonra cihazı kaldırmak ve yeniden eklemek için önceki yönergeleri izlemelidir.

Important

Güvenli depolamadan geçici dışlamalar 6 ay ile sınırlıdır ve önerilmez çünkü kuruluşunuzun bu güvenlik geliştirmelerinden ve gelecekteki güvenlik geliştirmelerinden yararlanmasını engelleyebilir ve Microsoft eski depolama yöntemlerini devre dışı bıraktığında destek seçeneklerini sınırlayabilir.

Güvenli depolamayı gelecekteki bir tarihte kabul etmek için Microsoft müşteri desteğine başvurmanız gerekir.

Etkilenen senaryolar

Aşağıdaki listede bu değişikliklerden etkilenecek bazı yaygın senaryolar yer almaktadır. Varsayılan olarak, Apple Anahtar Zinciri aracılığıyla cihaz kimliği yapıtlarına erişme bağımlılığı olan tüm uygulamalar etkilenir.

Note

Bu kapsamlı bir liste değildir ve hem tüketicilere hem de uygulama satıcılarına yazılımlarını bu yeni veri deposuyla uyumluluk açısından test etmelerini öneririz.

Tarayıcılarda Kayıtlı/Kayıtlı Cihaz Koşullu Erişim İlkesi Desteği

Güvenli Kapanım tabanlı depolama etkinleştirildiğinde tarayıcılar, cihaz Koşullu Erişim ilkelerini desteklemek için belirli yapılandırmalar gerektirir:

Safari (iOS ve macOS)

  • Yerleşik SSO tümleştirmesi - ek yapılandırma gerekmez

Google Chrome (macOS)

Microsoft Edge (iOS ve macOS)

Firefox (macOS)

MacOS 15.3 ve iOS 18.1.1'de Kurumsal SSO'ya etki eden önemli güncelleştirme

Overview

macOS 15.3 ve iOS 18.1.1'e yönelik yeni bir güncelleştirme, Kurumsal SSO uzantısı çerçevesinin düzgün çalışmasını önleyerek Entra ID ile tümleştirilmiş tüm uygulamalarda beklenmeyen kimlik doğrulaması hatalarına yol açar. Etkilenen kullanıcılar da '4s8qh' olarak etiketlenmiş bir hatayla karşılaşabilir.

Kök neden

Bu sorunun kök nedeni, Microsoft Enterprise SSO Uzantısı'nın işletim sistemi tarafından başlatılmasını engelleyen, temel alınan PluginKit katmanındaki olası bir regresyondur. Apple sorunu araştırıyor ve bir çözüm üzerinde bizimle birlikte çalışıyor.

Etkilenen kullanıcıları tanımlama

Kullanıcılarınızın etkilenip etkilenmediğini belirlemek için bir sysdiagnose toplayabilir ve aşağıdaki hata bilgilerini arayabilirsiniz:

'Error Domain=PlugInKit Code=16 başka bir sürüm kullanılıyor'

Bu hatanın nasıl görüneceğine örnek olarak şunlar gösterelim:

Request for extension <EXConcreteExtension: 0x60000112d080> {id = com.microsoft.CompanyPortalMac.ssoextension} failed with error Error Domain=PlugInKit Code=16 "other version in use: <id<PKPlugIn>: 0x1526066c0; core = <[...] [com.microsoft.CompanyPortalMac.ssoextension(5.2412.0)],[...] [/Applications/Company Portal.app/Contents/PlugIns/Mac SSO Extension.appex]>, instance = [(null)], state = 1, useCount = 1>" UserInfo={NSLocalizedDescription=other version in use: <id<PKPlugIn>: 0x1526066c0; core = <[...] [com.microsoft.CompanyPortalMac.ssoextension(5.2412.0)],[...] [/Applications/Company Portal.app/Contents/PlugIns/Mac SSO Extension.appex]>, instance = [(null)], state = 1, useCount = 1>}

Kurtarma Adımları

Kullanıcılarınız bu sorundan etkileniyorsa, kurtarmak için cihazlarını yeniden başlatabilir.

Ayrıca bakınız

iOS cihazları için paylaşılan cihaz modu hakkında bilgi edinin.

Microsoft Enterprise SSO Uzantısı sorunlarını giderme hakkında bilgi edinin.

  • Last updated on