iOS/iPadOS cihazlarında Microsoft Enterprise SSO eklentisini kullanma

  • Makale

Microsoft Enterprise SSO eklentisi, Apple cihazları için çoklu oturum açma (SSO) özellikleri sağlayan bir Microsoft Entra ID özelliğidir. Bu eklenti, Apple çoklu oturum açma uygulama uzantısı çerçevesini kullanır.

  • iOS/iPadOS cihazları için Enterprise SSO eklentisi SSO uygulama uzantısını içerir.
  • MacOS cihazları için Kurumsal SSO eklentisi Platform SSO'sunu ve SSO uygulama uzantısını içerir.

SSO uygulama uzantısı, Microsoft 365 uygulamaları da dahil olmak üzere kimlik doğrulaması için Microsoft Entra ID kullanan uygulamalarda ve web sitelerinde çoklu oturum açma sağlar. SSO profillerini yapılandırmayı destekleyen tüm MDM'ler de dahil olmak üzere Mobil Cihaz Yönetimi (MDM) tarafından yönetilen cihazları kullanırken kullanıcıların aldığı kimlik doğrulama istemlerinin sayısını azaltır.

Bu makale şunlar için geçerlidir:

Bu makalede, Intune, Jamf Pro ve diğer MDM çözümleriyle iOS/iPadOS Apple cihazları için SSO uygulama uzantısı yapılandırma ilkesinin nasıl oluşturulacağı gösterilmektedir.

Uygulama desteği

Uygulamalarınızın Microsoft Enterprise SSO eklentisini kullanması için iki seçeneğiniz vardır:

  • Seçenek 1 - MSAL: Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) destekleyen uygulamalar, Microsoft Enterprise SSO eklentisinden otomatik olarak yararlanmaktadır. Örneğin, Microsoft 365 uygulamaları MSAL'yi destekler. Bu nedenle, eklentiyi otomatik olarak kullanırlar.

    Kuruluşunuz kendi uygulamalarını oluşturursa, uygulama geliştiriciniz MSAL'ye bir bağımlılık ekleyebilir. Bu bağımlılık, uygulamanızın Microsoft Enterprise SSO eklentisini kullanmasını sağlar.

    Örnek bir öğretici için Öğretici: IOS veya macOS uygulamasından kullanıcıları oturum açma ve Microsoft Graph'ı çağırma bölümüne gidin.

  • Seçenek 2 - AllowList: MSAL ile desteklenmeyen veya geliştirılmamış uygulamalar SSO uygulama uzantısını kullanabilir. Bu uygulamalar Safari gibi tarayıcıları ve Safari web görünümü API'lerini kullanan uygulamaları içerir.

    Bu MSAL olmayan uygulamalar için, uygulama paketi kimliğini veya ön ekini Intune SSO uygulama uzantısı ilkenizdeki uzantı yapılandırmasına ekleyin (bu makalede).

    Örneğin, MSAL'yi desteklemeyen bir Microsoft uygulamasına izin vermek için Intune ilkenizdeki AppPrefixAllowList özelliğine ekleyincom.microsoft.. İzin ettiğiniz uygulamalara dikkat edin, oturum açmış kullanıcının etkileşimli oturum açma istemlerini atlayabilirler.

    Daha fazla bilgi için Apple cihazları için Microsoft Enterprise SSO eklentisi - MSAL kullanmayan uygulamalar bölümüne gidin.

Önkoşullar

iOS/iPadOS cihazlarında Microsoft Enterprise SSO eklentisini kullanmak için:

  • Cihaz Intune tarafından yönetilir.

  • Cihazın eklentiyi desteklemesi gerekir:

    • iOS/iPadOS 13.0 ve üstü

  • Microsoft Authenticator uygulaması cihaza yüklenmelidir.

    Kullanıcılar Microsoft Authenticator uygulamasını el ile yükleyebilir. Ya da yöneticiler uygulamayı Intune kullanarak dağıtabilir. Microsoft Authenticator uygulamasını yükleme hakkında bilgi için Apple toplu satın alınan uygulamaları yönetme bölümüne gidin.

  • Kurumsal SSO eklenti gereksinimleri, Apple ağ yapılandırma URL'leri de dahil olmak üzere yapılandırılır.

Not

iOS/iPadOS cihazlarda Apple, SSO uygulama uzantısının ve Microsoft Authenticator uygulamasının yüklenmesini gerektirir. Kullanıcıların Microsoft Authenticator uygulamasını kullanması veya yapılandırması gerekmez, yalnızca cihaza yüklenmesi gerekir.

Microsoft Enterprise SSO eklentisi ile Kerberos SSO uzantısı karşılaştırması

SSO uygulama uzantısını kullandığınızda, kimlik doğrulaması için SSO veya Kerberos Yük Türü'nü kullanırsınız. SSO uygulama uzantısı, bu kimlik doğrulama yöntemlerini kullanan uygulamalar ve web siteleri için oturum açma deneyimini geliştirmek üzere tasarlanmıştır.

Microsoft Enterprise SSO eklentisi, Yeniden Yönlendirme kimlik doğrulaması ile SSO Yük Türünü kullanır. SSO Yeniden Yönlendirme ve Kerberos uzantısı türleri aynı anda bir cihazda kullanılabilir. Cihazlarınızda kullanmayı planladığınız her uzantı türü için ayrı cihaz profilleri oluşturduğunuzdan emin olun.

Senaryonuz için doğru SSO uzantısı türünü belirlemek için aşağıdaki tabloyu kullanın:

Apple Cihazları için Microsoft Enterprise SSO eklentisi Kerberos ile çoklu oturum açma uygulama uzantısı
Microsoft Entra ID SSO uygulama uzantısı türünü kullanır Kerberos SSO uygulama uzantısı türünü kullanır
Aşağıdaki uygulamaları destekler:
- Microsoft 365
- Microsoft Entra ID ile tümleştirilmiş uygulamalar, web siteleri veya hizmetler		 Aşağıdaki uygulamaları destekler:
- AD ile tümleştirilmiş uygulamalar, web siteleri veya hizmetler

Çoklu oturum açma uygulama uzantısı hakkında daha fazla bilgi için Microsoft Intune'da SSO'ya genel bakış ve Apple cihazlarına yönelik seçenekler bölümüne gidin.

Çoklu oturum açma uygulama uzantısı yapılandırma ilkesi İçerik Oluşturucu

Microsoft Intune yönetim merkezinde bir cihaz yapılandırma profili oluşturun. Bu profil, cihazlarda SSO uygulama uzantısını yapılandırma ayarlarını içerir.

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Cihazlar>Yapılandırması>İçerik Oluşturucu'ı seçin.

  3. Aşağıdaki özellikleri girin:

    • Platform: iOS/iPadOS'ı seçin.
    • Profil türü: Şablonlar>Cihaz özellikleri'ni seçin.

  4. İçerik Oluşturucu seçin:

    Microsoft Intune'da iOS/iPadOS için cihaz özellikleri yapılandırma profilinin nasıl oluşturulacağını gösteren ekran görüntüsü.

  5. Temel Bilgiler’de aşağıdaki özellikleri girin:

    • Ad: İlke için açıklayıcı bir ad girin. İlkelerinizi daha sonra kolayca tanıyacak şekilde adlandırın. Örneğin, iyi bir ilke adı iOS: SSO uygulama uzantısıdır.
    • Açıklama: İlke için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  6. İleri'yi seçin.

  7. Yapılandırma ayarları'ndaÇoklu oturum açma uygulama uzantısı'nı seçin ve aşağıdaki özellikleri yapılandırın:

    • SSO uygulama uzantısı türü: Microsoft Entra ID'ı seçin.

      Intune'de iOS/iPadOS için SSO uygulama uzantısı türünü ve Microsoft Entra ID gösteren ekran görüntüsü.

    • Paylaşılan cihaz modunu etkinleştirme:

      • Yapılandırılmadı: Intune bu ayarı değiştirmez veya güncelleştirmez.

        Paylaşılan iPad, kişisel cihazlar ve kullanıcı benşimi olan veya olmayan cihazlar dahil olmak üzere çoğu senaryo için bu seçeneği belirleyin.

      • Evet: Bu seçeneği yalnızca hedeflenen cihazlar paylaşılan cihaz modu Microsoft Entra kullanıyorsa seçin. Daha fazla bilgi için Paylaşılan cihaz moduna genel bakış bölümüne gidin.

    • Uygulama paket kimliği: MSAL'yi desteklemeyen ve SSO kullanmasına izin verilen uygulamalar için paket kimliklerinin listesini girin. Daha fazla bilgi için MSAL kullanmayan uygulamalar'a gidin.

    • Ek yapılandırma: Son kullanıcı deneyimini özelleştirmek için aşağıdaki özellikleri ekleyebilirsiniz. Bu özellikler Microsoft SSO Uzantısı tarafından kullanılan varsayılan değerlerdir, ancak kuruluşunuzun ihtiyaçlarına göre özelleştirilebilir:

      Tuş Tür Açıklama
      AppPrefixAllowList Dize Önerilen değer: com.apple.

      MSAL'yi desteklemeyen ve SSO kullanmasına izin verilen uygulamalar için bir ön ek listesi girin. Örneğin, tüm Microsoft ve Apple uygulamalarına izin vermek için girin com.microsoft.,com.apple. .

      Bu uygulamaların izin verilenler listesi gereksinimlerini karşıladığından emin olun.
      browser_sso_interaction_enabled Tamsayı Önerilen değer: 1

      olarak 1ayarlandığında, kullanıcılar Safari tarayıcısından ve MSAL'yi desteklemeyen uygulamalardan oturum açabilir. Bu ayarın etkinleştirilmesi, kullanıcıların uzantıyı Safari'den veya diğer uygulamalardan önyüklemesine olanak tanır.
      disable_explicit_app_prompt Tamsayı Önerilen değer: 1

      Bazı uygulamalar, protokol katmanında son kullanıcı istemlerini hatalı bir şekilde zorunlu kabilir. Bu sorunu görürseniz, Microsoft Enterprise SSO eklentisi diğer uygulamalarda çalışsa bile kullanıcılardan oturum açmaları istenir.

      (bir) olarak 1 ayarlandığında, bu istemleri azaltırsınız.

      İpucu

      Bu özellikler ve yapılandırabileceğiniz diğer özellikler hakkında daha fazla bilgi için bkz. Apple cihazları için Microsoft Enterprise SSO eklentisi.

      Ayarları yapılandırmayı bitirdiğinizde ve Microsoft & Apple uygulamalarına izin verdiğinizde, ayarlar Intune yapılandırma profilinizdeki aşağıdaki değerlere benzer şekilde görünür:

      Intune'deki iOS/iPadOS cihazlarında Kurumsal SSO eklentisi için son kullanıcı deneyimi yapılandırma seçeneklerini gösteren ekran görüntüsü.

  8. Profili oluşturmaya devam edin ve profili bu ayarları alacak kullanıcılara veya gruplara atayın. Belirli adımlar için profili İçerik Oluşturucu bölümüne gidin.

    Profil atama yönergeleri için Kullanıcı ve cihaz profilleri atama bölümüne gidin.

Cihaz Intune hizmetiyle giriş yaparken bu profili alır. Daha fazla bilgi için İlke yenileme aralıkları'na gidin.

Profilin doğru dağıtılıp dağıtılmadığını denetlemek için Intune yönetim merkezinde Cihazlar>Yapılandırması'na> gidin, oluşturduğunuz profili seçin ve bir rapor oluşturun:

Intune'de iOS/iPadOS cihaz yapılandırma profili dağıtım raporunu gösteren ekran görüntüsü.

Son kullanıcı deneyimi

iOS/iPadOS cihazlarına SSO uygulama uzantısı yüklenirken son kullanıcı akış grafiği.

  • Microsoft Authenticator uygulamasını bir uygulama ilkesi kullanarak dağıtmıyorsanız, kullanıcıların uygulamayı el ile yüklemesi gerekir. Kullanıcıların Authenticator uygulamasını kullanması gerekmez, yalnızca cihaza yüklenmesi gerekir.

  • Kullanıcılar, uzantıyı önyüklemek için desteklenen herhangi bir uygulamada veya web sitesinde oturum açar. Bootstrap, uzantıyı ayarlayan ilk kez oturum açma işlemidir.

  • Kullanıcılar başarıyla oturum açıldıktan sonra uzantı, desteklenen diğer herhangi bir uygulamada veya web sitesinde oturum açmak için otomatik olarak kullanılır.

Safari'yi özel modda açıp (Apple'ın web sitesini açar) ve siteyi https://portal.office.com açarak çoklu oturum açmayı test edebilirsiniz. Kullanıcı adı ve parola gerekmez.

iPadOS'ta SSO deneyimini gösteren animasyon

İpucu

SSO eklentisinin nasıl çalıştığı ve Apple cihazları için SSO sorun giderme kılavuzu ile Microsoft Enterprise SSO Uzantısı sorunlarını giderme hakkında daha fazla bilgi edinin.