macOS cihazlarda Microsoft Enterprise SSO eklentisini kullanma

Microsoft Enterprise SSO eklentisi, Apple cihazları için çoklu oturum açma (SSO) özellikleri sağlayan bir Microsoft Entra ID özelliğidir. Bu eklenti, Apple çoklu oturum açma uygulama uzantısı çerçevesini kullanır.

• iOS/iPadOS cihazları için Enterprise SSO eklentisi SSO uygulama uzantısını içerir.
• MacOS cihazları için Kurumsal SSO eklentisi Platform SSO'sunu ve SSO uygulama uzantısını içerir.

SSO uygulama uzantısı, Microsoft 365 uygulamaları da dahil olmak üzere kimlik doğrulaması için Microsoft Entra ID kullanan uygulamalarda ve web sitelerinde çoklu oturum açma sağlar. SSO profillerini yapılandırmayı destekleyen tüm MDM'ler de dahil olmak üzere Mobil Cihaz Yönetimi (MDM) tarafından yönetilen cihazları kullanırken kullanıcıların aldığı kimlik doğrulama istemlerinin sayısını azaltır.

Bu makale şunlar için geçerlidir:

• macOS

  iOS/iPadOS için iOS/iPadOS cihazlarında Microsoft Enterprise SSO eklentisini kullanma'ya gidin.

macOS cihazlarda SSO uygulama uzantısı ayarlarını Intune iki yerde yapılandırabilirsiniz:

• Cihaz özellikleri şablonu (bu makale) - Bu seçenek yalnızca SSO uygulama uzantısını yapılandırabilir ve ayarları cihazlara dağıtmak için Intune gibi MDM sağlayıcınızı kullanır.

  Bu makaleyi yalnızca SSO uygulama uzantısı ayarlarını yapılandırmak istiyorsanız ve Platform SSO'sunu da yapılandırmak istemiyorsanız kullanın.

• Ayarlar Kataloğu - Bu seçenek Platform SSO ve SSO uygulama uzantısını birlikte yapılandırıyor. Ayarları cihazlarınıza dağıtmak için Intune kullanırsınız.

  Hem Platform SSO hem de SSO uygulama uzantısı ayarlarını yapılandırmak istiyorsanız ayarlar kataloğu ayarlarını kullanın. Daha fazla bilgi için Microsoft Intune'da macOS cihazları için platform SSO'larını yapılandırma bölümüne gidin.

Apple cihazlarındaki SSO seçeneklerinize genel bakış için Microsoft Intune'da SSO'ya genel bakış ve Apple cihazlarına yönelik seçenekler bölümüne gidin.

Bu makalede Intune, Jamf Pro ve diğer MDM çözümleriyle macOS Apple cihazları için SSO uygulama uzantısı yapılandırma ilkesinin nasıl oluşturulacağı gösterilmektedir.

Platform SSO ve SSO uygulama uzantısı ayarlarını birlikte yapılandırmak istiyorsanız, Microsoft Intune'da macOS cihazları için platform SSO'larını yapılandırma bölümüne gidin.

Uygulama desteği

Uygulamalarınızın Microsoft Enterprise SSO eklentisini kullanması için iki seçeneğiniz vardır:

• Seçenek 1 - MSAL: Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) destekleyen uygulamalar, Microsoft Enterprise SSO eklentisinden otomatik olarak yararlanmaktadır. Örneğin, Microsoft 365 uygulamaları MSAL'yi destekler. Bu nedenle, eklentiyi otomatik olarak kullanırlar.

  Kuruluşunuz kendi uygulamalarını oluşturursa, uygulama geliştiriciniz MSAL'ye bir bağımlılık ekleyebilir. Bu bağımlılık, uygulamanızın Microsoft Enterprise SSO eklentisini kullanmasını sağlar.

  Örnek bir öğretici için Öğretici: IOS veya macOS uygulamasından kullanıcıları oturum açma ve Microsoft Graph'ı çağırma bölümüne gidin.

• Seçenek 2 - AllowList: MSAL ile desteklenmeyen veya geliştirılmamış uygulamalar SSO uygulama uzantısını kullanabilir. Bu uygulamalar Safari gibi tarayıcıları ve Safari web görünümü API'lerini kullanan uygulamaları içerir.

  Bu MSAL olmayan uygulamalar için, uygulama paketi kimliğini veya ön ekini Intune SSO uygulama uzantısı ilkenizdeki uzantı yapılandırmasına ekleyin (bu makalede).

  Örneğin, MSAL'yi desteklemeyen bir Microsoft uygulamasına izin vermek için Intune ilkenizdeki AppPrefixAllowList özelliğine ekleyincom.microsoft.. İzin ettiğiniz uygulamalara dikkat edin, oturum açmış kullanıcının etkileşimli oturum açma istemlerini atlayabilirler.

  Daha fazla bilgi için Apple cihazları için Microsoft Enterprise SSO eklentisi - MSAL kullanmayan uygulamalar bölümüne gidin.

Önkoşullar

macOS cihazlarda Microsoft Enterprise SSO eklentisini kullanmak için:

Intune

• Cihaz, Intune tarafından yönetilen MDM'dir.
• Cihazın eklentiyi desteklemesi gerekir:
  • macOS 10.15 ve üstü
• Microsoft Şirket Portalı uygulamasının cihaza yüklenmesi ve yapılandırılması gerekir.
• Kurumsal SSO eklenti gereksinimleri, Apple ağ yapılandırma URL'leri de dahil olmak üzere yapılandırılır.

Jamf Pro

• Cihaz Jamf Pro tarafından yönetilir.

• Cihazın eklentiyi desteklemesi gerekir:

  • macOS 10.15 ve üstü

• Microsoft Şirket Portalı uygulaması cihaza yüklenmelidir.

  Kullanıcılar Şirket Portalı uygulamasını el ile yükleyebilir. Veya yöneticiler uygulamayı Jamf Pro kullanarak dağıtabilir. Şirket Portalı uygulamasını yükleme seçeneklerinin listesi için Paket Yönetimi - Jamf Yönetici'a Paket Ekleme bölümüne gidin (Jamf Pro'nun web sitesini açar).

  Not

  macOS cihazlarda Apple, Şirket Portalı uygulamasının yüklü olmasını gerektirir. Kullanıcıların Şirket Portalı uygulamasını kullanması veya yapılandırması gerekmez, yalnızca cihaza yüklenmesi gerekir.

• Kurumsal SSO eklenti gereksinimleri, Apple ağ yapılandırma URL'leri de dahil olmak üzere yapılandırılır.

Diğer MDM'ler

• Cihaz bir mobil cihaz yönetimi (MDM) sağlayıcısı çözümü tarafından yönetilir.

• MDM çözümü, Apple cihazları için Çoklu Oturum Açma MDM yük ayarlarının (Apple'ın web sitesini açar) bir cihaz ilkesiyle yapılandırılmasını desteklemelidir.

• Cihazın eklentiyi desteklemesi gerekir:

  • macOS 10.15 ve üstü

• Microsoft Şirket Portalı uygulaması cihaza yüklenmelidir.

  Kullanıcılar Şirket Portalı uygulamasını el ile yükleyebilir. Ya da yöneticiler uygulamayı bir MDM ilkesi kullanarak dağıtabilir. Şirket Portalı uygulama yükleyici paketini indirebilirsiniz.

  Not

  macOS cihazlarda Apple, Şirket Portalı uygulamasının yüklü olmasını gerektirir. Kullanıcıların Şirket Portalı uygulamasını kullanması veya yapılandırması gerekmez, yalnızca cihaza yüklenmesi gerekir.

• Kurumsal SSO eklenti gereksinimleri, Apple ağ yapılandırma URL'leri de dahil olmak üzere yapılandırılır.

Microsoft Enterprise SSO eklentisi ile Kerberos SSO uzantısı karşılaştırması

SSO uygulama uzantısını kullandığınızda, kimlik doğrulaması için SSO veya Kerberos Yük Türü'nü kullanırsınız. SSO uygulama uzantısı, bu kimlik doğrulama yöntemlerini kullanan uygulamalar ve web siteleri için oturum açma deneyimini geliştirmek üzere tasarlanmıştır.

Microsoft Enterprise SSO eklentisi, Yeniden Yönlendirme kimlik doğrulaması ile SSO Yük Türünü kullanır. SSO Yeniden Yönlendirme ve Kerberos uzantısı türleri aynı anda bir cihazda kullanılabilir. Cihazlarınızda kullanmayı planladığınız her uzantı türü için ayrı cihaz profilleri oluşturduğunuzdan emin olun.

Senaryonuz için doğru SSO uzantısı türünü belirlemek için aşağıdaki tabloyu kullanın:

---

Apple Cihazları için Microsoft Enterprise SSO eklentisi	Kerberos ile çoklu oturum açma uygulama uzantısı
Microsoft Entra ID SSO uygulama uzantısı türünü kullanır	Kerberos SSO uygulama uzantısı türünü kullanır
Aşağıdaki uygulamaları destekler: - Microsoft 365 - Microsoft Entra ID ile tümleştirilmiş uygulamalar, web siteleri veya hizmetler	Aşağıdaki uygulamaları destekler: - AD ile tümleştirilmiş uygulamalar, web siteleri veya hizmetler

SSO uygulama uzantısı hakkında daha fazla bilgi için Microsoft Intune'da SSO'ya genel bakış ve Apple cihazlarına yönelik seçenekler bölümüne gidin.

Çoklu oturum açma uygulama uzantısı yapılandırma ilkesi İçerik Oluşturucu

Bu bölümde SSO uygulama uzantısı ilkesinin nasıl oluşturulacağı gösterilmektedir. Platform SSO hakkında bilgi için Microsoft Intune'da macOS cihazları için platform SSO'larını yapılandırma bölümüne gidin.

Intune

Microsoft Intune yönetim merkezinde bir cihaz yapılandırma profili oluşturun. Bu profil, cihazlarda SSO uygulama uzantısını yapılandırma ayarlarını içerir.

1. Microsoft Intune yönetim merkezinde oturum açın.

2. Cihazlar>Yapılandırması>İçerik Oluşturucu>Yeni ilke'yi seçin.

3. Aşağıdaki özellikleri girin:

   • Platform: macOS'yi seçin.
   • Profil türü: Şablonlar>Cihaz özellikleri'ni seçin.

4. İçerik Oluşturucu seçin:

   

5. Temel Bilgiler’de aşağıdaki özellikleri girin:

   • Ad: İlke için açıklayıcı bir ad girin. İlkelerinizi daha sonra kolayca tanıyacak şekilde adlandırın. Örneğin, iyi bir ilke adı macOS-SSO uygulama uzantısıdır.
   • Açıklama: İlke için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

6. İleri'yi seçin.

7. Yapılandırma ayarları'ndaÇoklu oturum açma uygulama uzantısı'nı seçin ve aşağıdaki özellikleri yapılandırın:

   • SSO uygulama uzantısı türü: Microsoft Entra ID seçin:

     

   • Uygulama paket kimliği: MSAL'yi desteklemeyen ve SSO kullanmasına izin verilen uygulamalar için paket kimliklerinin listesini girin. Daha fazla bilgi için MSAL kullanmayan uygulamalar'a gidin.

   • Ek yapılandırma: Son kullanıcı deneyimini özelleştirmek için aşağıdaki özellikleri ekleyebilirsiniz. Bu özellikler SSO uygulama uzantısı tarafından kullanılan varsayılan değerlerdir, ancak kuruluşunuzun ihtiyaçlarına göre özelleştirilebilir:

     Tuş	Tür	Açıklama
     AppPrefixAllowList	Dize	Önerilen değer: com.microsoft.,com.apple. MSAL'yi desteklemeyen ve SSO kullanmasına izin verilen uygulamalar için bir ön ek listesi girin. Örneğin, tüm Microsoft ve Apple uygulamalarına izin vermek için girin com.microsoft.,com.apple. . Bu uygulamaların izin verilenler listesi gereksinimlerini karşıladığından emin olun.
     browser_sso_interaction_enabled	Tamsayı	Önerilen değer: 1 olarak 1ayarlandığında, kullanıcılar Safari tarayıcısından ve MSAL'yi desteklemeyen uygulamalardan oturum açabilir. Bu ayarın etkinleştirilmesi, kullanıcıların uzantıyı Safari'den veya diğer uygulamalardan önyüklemesine olanak tanır.
     disable_explicit_app_prompt	Tamsayı	Önerilen değer: 1 Bazı uygulamalar, protokol katmanında son kullanıcı istemlerini hatalı bir şekilde zorunlu kabilir. Bu sorunu görürseniz, Microsoft Enterprise SSO eklentisi diğer uygulamalarda çalışsa bile kullanıcılardan oturum açmaları istenir. (bir) olarak 1 ayarlandığında, bu istemleri azaltırsınız.

     İpucu

     Bu özellikler ve yapılandırabileceğiniz diğer özellikler hakkında daha fazla bilgi için Apple cihazları için Microsoft Enterprise SSO eklentisi'ne gidin.

     Önerilen ayarları yapılandırmayı bitirdiğinizde, ayarlar Intune yapılandırma profilinizdeki aşağıdaki değerlere benzer:

     

8. Profili oluşturmaya devam edin ve profili bu ayarları alan kullanıcılara veya gruplara atayın. Belirli adımlar için profili İçerik Oluşturucu bölümüne gidin.

   Profil atama yönergeleri için Kullanıcı ve cihaz profilleri atama bölümüne gidin.

İlke hazır olduğunda, ilkeyi kullanıcılarınıza atarsınız. Microsoft, cihaz Intune kaydolduğunda ilkeyi atamanızı önerir. Ancak, mevcut cihazlar da dahil olmak üzere istediğiniz zaman atanabilir. Cihaz Intune hizmetiyle giriş yaparken bu profili alır. Daha fazla bilgi için İlke yenileme aralıkları'na gidin.

Profilin doğru dağıtılıp dağıtılmadığını denetlemek için Intune yönetim merkezinde Cihazlar>Yapılandırması'na> gidin, oluşturduğunuz profili seçin ve bir rapor oluşturun:

Jamf Pro

Jamf Pro portalında bir Bilgisayar yapılandırma profili oluşturursunuz. Bu profil, cihazlarda SSO uygulama uzantısını yapılandırma ayarlarını içerir.

1. Jamf Pro portalında oturum açın.

2. MacOS profili oluşturmak için Bilgisayarlar>Yapılandırma profilleri>Yeni'yi seçin:

   

3. Ad alanına ilke için açıklayıcı bir ad girin. İlkelerinizi daha sonra kolayca tanıyacak şekilde adlandırın. Örneğin, iyi bir ilke adı: macOS-Microsoft Enterprise SSO eklentisi.

4. Seçenekler sütununda aşağı kaydırın ve Tek Sign-On Uzantıları>Ekle'yi seçin:

   

5. Aşağıdaki özellikleri girin:

   • Yük Türü: SSO'ya tıklayın.
   • Uzantı Tanımlayıcısı: girin com.microsoft.CompanyPortalMac.ssoextension.
   • Takım Tanımlayıcısı: girin UBF8T346G9.
   • Oturum Açma Türü: Yeniden Yönlendirme'yi seçin.
   • URL'ler: Aşağıdaki URL'leri birer birer girin:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. Özel Yapılandırma'da diğer gerekli özellikleri tanımlarsınız. Jamf Pro, bu özelliklerin karşıya yüklenen bir PLIST dosyası kullanılarak yapılandırılması gerekir. Yapılandırılabilir özelliklerin tam listesini görmek için Apple cihazları için Microsoft Enterprise SSO eklentisi belgelerine gidin.

   Aşağıdaki örnek, çoğu kuruluşun gereksinimlerini karşılayan önerilen bir PLIST dosyasıdır:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Bu PLIST ayarları aşağıdaki SSO Uzantısı seçeneklerini yapılandırılır. Bu özellikler SSO uygulama uzantısı tarafından kullanılan varsayılan değerlerdir, ancak kuruluşunuzun ihtiyaçlarına göre özelleştirilebilir:

   Tuş	Tür	Açıklama
   AppPrefixAllowList	Dize	Önerilen değer: com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. MSAL'yi desteklemeyen ve SSO kullanmasına izin verilen uygulamalar için bir ön ek listesi girin. Örneğin, tüm Microsoft, Apple ve Jamf Pro uygulamalarına izin vermek için girin com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. . Bu uygulamaların izin verilenler listesi gereksinimlerini karşıladığından emin olun.
   disable_explicit_app_prompt	Tamsayı	Önerilen değer: 1 Bazı uygulamalar, protokol katmanında son kullanıcı istemlerini hatalı bir şekilde zorunlu kabilir. Bu sorunu görürseniz, Microsoft Enterprise SSO eklentisi diğer uygulamalarda çalışsa bile kullanıcılardan oturum açmaları istenir. (bir) olarak 1 ayarlandığında, bu istemleri azaltırsınız.

   İpucu

   Bu özellikler ve yapılandırabileceğiniz diğer özellikler hakkında daha fazla bilgi için Apple cihazları için Microsoft Enterprise SSO eklentisi'ne gidin.

7. Kapsam sekmesini seçin. SSO Uzantısı MDM profilini almak için hedeflenmesi gereken bilgisayarları veya cihazları girin.

8. Kaydet'i seçin.

Cihaz Jamf Pro hizmetine giriş yaparken bu profili alır.

İpucu

Jamf Connect kullanıyorsanız Jamf Connect'i Microsoft Entra ID ile tümleştirme konusunda en son Jamf kılavuzunu izlemeniz önerilir (Jamf Pro'nun web sitesini açar). Önerilen tümleştirme düzeni, Jamf Connect'in Koşullu Erişim ilkeleriniz ve Microsoft Entra ID Koruması ile düzgün çalışmasını sağlar.

Diğer MDM'ler

MDM portalında bir cihaz yapılandırma profili oluşturun. Bu profil, cihazlarda SSO uygulama uzantısını yapılandırma ayarlarını içerir.

1. MDM portalında oturum açın.

2. Yeni bir cihaz yapılandırma profili İçerik Oluşturucu.

3. Tek Sign-On Uzantıları veya SSO uzantısı adlı bir seçenek belirleyin. Ad, MDM hizmetinize bağlı olarak değişebilir.

4. Aşağıdaki özellikleri girin:

   Anahtar	Değer
   Yük Türü	SSO
   Uzantı Tanımlayıcısı	com.microsoft.CompanyPortalMac.ssoextension
   Takım Tanımlayıcısı	UBF8T346G9
   Sign-On Türü	Yönlendirme
   Url 'leri	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. İsteğe bağlı olarak, diğer özellikleri yapılandırabilirsiniz. Bu özellikler SSO uygulama uzantısı tarafından kullanılan varsayılan değerlerdir, ancak kuruluşunuzun ihtiyaçlarına göre özelleştirilebilir:

   Tuş	Tür	Açıklama
   AppPrefixAllowList	Dize	Önerilen değer: com.microsoft.,com.apple. MSAL'yi desteklemeyen ve SSO kullanmasına izin verilen uygulamalar için bir ön ek listesi girin. Örneğin, tüm Microsoft ve Apple uygulamalarına izin vermek için girin com.microsoft.,com.apple. . Bu uygulamaların izin verilenler listesi gereksinimlerini karşıladığından emin olun.
   browser_sso_interaction_enabled	Tamsayı	Önerilen değer: 1 olarak 1ayarlandığında, kullanıcılar Safari tarayıcısından ve MSAL'yi desteklemeyen uygulamalardan oturum açabilir. Bu ayarın etkinleştirilmesi, kullanıcıların uzantıyı Safari'den veya diğer uygulamalardan önyüklemesine olanak tanır.
   disable_explicit_app_prompt	Tamsayı	Önerilen değer: 1 Bazı uygulamalar, protokol katmanında son kullanıcı istemlerini hatalı bir şekilde zorunlu kabilir. Bu sorunu görürseniz, Microsoft Enterprise SSO eklentisi diğer uygulamalarda çalışsa bile kullanıcılardan oturum açmaları istenir. (bir) olarak 1 ayarlandığında, bu istemleri azaltırsınız.

   İpucu

   Bu özellikler ve yapılandırabileceğiniz diğer özellikler hakkında daha fazla bilgi için Apple cihazları için Microsoft Enterprise SSO eklentisi'ne gidin.

6. SSO Uzantısı MDM profilini almak için hedeflenmesi gereken cihazlara yeni ilke atayın.

Cihaz MDM hizmetiyle giriş yaparken bu profili alır.

Son kullanıcı deneyimi

• Şirket Portalı uygulamasını bir uygulama ilkesi kullanarak dağıtmıyorsanız, kullanıcıların uygulamayı el ile yüklemesi gerekir. Kullanıcıların Şirket Portalı uygulamasını kullanması gerekmez, yalnızca cihaza yüklenmesi gerekir.

• Kullanıcılar, uzantıyı önyüklemek için desteklenen herhangi bir uygulamada veya web sitesinde oturum açar. Bootstrap, uzantıyı ayarlayan ilk kez oturum açma işlemidir.

• Kullanıcılar başarıyla oturum açıldıktan sonra uzantı, desteklenen diğer herhangi bir uygulamada veya web sitesinde oturum açmak için otomatik olarak kullanılır.

Safari'yi özel modda açıp (Apple'ın web sitesini açar) ve siteyi https://portal.office.com açarak çoklu oturum açmayı test edebilirsiniz. Kullanıcı adı ve parola gerekmez.

macOS'ta, kullanıcılar bir iş veya okul uygulamasında oturum açtıklarında, SSO'ya katılmaları veya kapatmaları istenir. SSO'dan vazgeçmek ve gelecekteki istekleri engellemek için Benden bir daha isteme'yi seçebilirler.

Kullanıcılar, macOS için Şirket Portalı uygulamasında SSO tercihlerini de yönetebilir. Tercihleri düzenlemek için Şirket Portalı uygulama menü çubuğuna >Şirket Portalı>Ayarlar'a gidin. Bu cihaz için çoklu oturum açma ile oturum açmamı isteme seçeneğini belirleyebilir veya seçimini kaldırabilir.

İpucu

SSO eklentisinin nasıl çalıştığı ve Apple cihazları için SSO sorun giderme kılavuzu ile Microsoft Enterprise SSO Uzantısı sorunlarını giderme hakkında daha fazla bilgi edinin.

İlgili makaleler

• Microsoft Enterprise SSO eklentisi hakkında bilgi için Apple cihazları için Microsoft Enterprise SSO eklentisi'ne gidin.

• Apple'dan çoklu oturum açma uzantısı yükü hakkında bilgi için çoklu oturum açma uzantıları yük ayarlarına gidin (Apple'ın web sitesini açar).

• Microsoft Enterprise SSO Uzantısı sorunlarını giderme hakkında bilgi için Apple cihazlarında Microsoft Enterprise SSO Uzantısı eklentisi sorunlarını giderme bölümüne gidin.