適用於 Apple 裝置的 Microsoft 企業單一登入外掛程式

適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式提供 macOS、iOS 和 iPadOS 上 Microsoft Entra 帳戶的單一登錄 （SSO），適用於支援 Apple 企業單一登錄功能的所有應用程式。 此外掛程式會針對您企業可能相依但尚未支援最新身分識別連結庫或通訊協定的舊應用程式提供 SSO。 Microsoft 與 Apple 密切合作，開發此外掛程式，以提高應用程式的可用性，同時提供最佳的保護。

企業 SSO 外掛程式目前是下列應用程式的內建功能：

• Microsoft Authenticator：iOS、iPadOS
• Microsoft Intune 公司入口網站：macOS

功能

適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式提供下列優點：

• 它針對支援Apple Enterprise SSO 功能的所有應用程式，提供 Microsoft Entra 帳戶的 SSO。
• 它可以由任何行動裝置管理 （MDM） 解決方案啟用，而且同時支援裝置和用戶註冊。
• 它會將 SSO 延伸至尚未使用 Microsoft 驗證連結庫 （MSAL） 的應用程式。
• 它會將 SSO 擴充至使用 OAuth 2、OpenID 連線 和 SAML 的應用程式。
• 它原生與 MSAL 整合，可在啟用 Microsoft Enterprise SSO 外掛程式時，為終端使用者提供順暢的原生體驗。

注意

在 2023 年 8 月， Microsoft 宣佈 macOS 裝置的平臺 SSO 即將推出 Microsoft Entra ID。。

功能仍在開發中，因此 Microsoft Entra 尚不支援使用平臺 SSO 功能。 一旦這些功能進入公開預覽狀態，就會提供有限的客戶支援。

需求

若要針對 Apple 裝置使用 Microsoft Enterprise SSO 外掛程式：

• 裝置必須 支援 並安裝具有適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式的應用程式：

  • iOS 13.0 和更新版本： Microsoft Authenticator 應用程式
  • iPadOS 13.0 及更新版本： Microsoft Authenticator 應用程式
  • macOS 10.15 和更新版本：Intune 公司入口網站 應用程式

• 裝置必須 透過 Microsoft Intune 在 MDM 中註冊。

• 設定必須 推送至裝置 ，才能啟用企業 SSO 外掛程式。 Apple 需要此安全性條件約束。

• 必須允許 Apple 裝置同時連線到識別提供者 URL 和自己的 URL，而不需要額外的攔截。 這表示這些 URL 必須從網路 Proxy、攔截和其他企業系統中排除。

  以下是必須允許 SSO 外掛程式運作的最低 URL 集合：

  • app-site-association.cdn-apple.com
  • app-site-association.networking.apple
  • login.microsoftonline.com(*)
  • login.microsoft.com(*)
  • sts.windows.net(*)
  • login.partner.microsoftonline.cn(*)(**)
  • login.chinacloudapi.cn(*)(**)
  • login.microsoftonline.us(*)(**)
  • login-us.microsoftonline.com(*)(**)
  • config.edge.skype.com(***)

  (*)只有在 2022 年之前發行的操作系統版本上才需要允許 Microsoft 網域。 在最新的操作系統版本上，Apple 完全依賴其CDN。

  (**)如果您依賴環境中的網域，您只需要允許主權雲端網域。

  (***)維護與測試設定服務 （ECS） 的通訊，可確保 Microsoft 可以及時回應嚴重錯誤。

  Microsoft Enterprise SSO 外掛程式依賴 Apple 的企業 SSO 架構。 Apple 的企業 SSO 架構可確保只有核准的 SSO 外掛程式可以使用稱為 相關聯網域的技術，讓每個識別提供者都能運作。 若要確認 SSO 外掛程式的身分識別，每個 Apple 裝置都會將網路要求傳送給識別提供者所擁有的端點，並讀取已核准 SSO 外掛程式的相關信息。除了直接連絡識別提供者之外，Apple 也已針對這項資訊實作另一個快取。

  警告

  如果您的組織針對數據外洩防護或租使用者限制等案例使用攔截 SSL 流量的 Proxy 伺服器，請確定這些 URL 的流量會從 TLS 中斷和檢查中排除。 無法排除這些 URL 會導致用戶端憑證驗證干擾、導致裝置註冊和裝置型條件式存取的問題。 SSO 外掛程式在完全排除 Apple CDN 網域不受攔截的情況下將無法可靠地運作，而且您將經歷間歇性問題，直到您這麼做為止。

  如果您的組織封鎖這些網址使用者可能會看到 錯誤，例如 1012 NSURLErrorDomain error或 1000 com.apple.AuthenticationServices.AuthorizationError1001 Unexpected。

  其他可能需要允許的 Apple URL 記載於其支援文章： 在企業網路上使用 Apple 產品。

iOS 需求

• iOS 13.0 或更高版本必須安裝在裝置上。
• 提供 Apple 裝置 Microsoft Enterprise SSO 外掛程式的 Microsoft 應用程式必須安裝在裝置上。 此應用程式是 Microsoft Authenticator 應用程式。

macOS 需求

• macOS 10.15 或更高版本必須安裝在裝置上。
• 提供 Apple 裝置 Microsoft Enterprise SSO 外掛程式的 Microsoft 應用程式必須安裝在裝置上。 此應用程式是 Intune 公司入口網站 應用程式。

啟用 SSO 外掛程式

使用下列資訊，以使用 MDM 啟用 SSO 外掛程式。

Microsoft Intune 設定

如果您使用 Microsoft Intune 作為 MDM 服務，您可以使用內建組態設定檔設定來啟用 Microsoft Enterprise SSO 外掛程式：

1. 設定 組態配置檔的 SSO 應用程式外掛程式 設定。
2. 如果尚未指派配置檔， 請將配置檔指派給使用者或裝置群組。

每次裝置使用 Intune 簽入時，啟用 SSO 外掛程式的設定檔設定會自動套用至群組的裝置。

其他 MDM 服務的手動設定

如果您未針對 MDM 使用 Intune，您可以設定 Apple 裝置的可延伸 單一登入 設定文件承載。 使用下列參數來設定 Microsoft Enterprise SSO 外掛程式及其元件及其組態選項。

iOS 設定：

• 延伸模組識別碼： com.microsoft.azureauthenticator.ssoextension
• 小組標識碼：iOS 不需要此欄位。

macOS 設定：

• 延伸模組識別碼： com.microsoft.CompanyPortalMac.ssoextension
• 小組識別碼： UBF8T346G9

一般設定：

• 類型：重新導向
  • https://login.microsoftonline.com
  • https://login.microsoft.com
  • https://sts.windows.net
  • https://login.partner.microsoftonline.cn
  • https://login.chinacloudapi.cn
  • https://login.microsoftonline.us
  • https://login-us.microsoftonline.com

部署指南

使用下列部署指南，使用您選擇的 MDM 解決方案來啟用 Microsoft Enterprise SSO 外掛程式：

Intune：

• iOS 指南
• macOS 指南

Jamf Pro：

• iOS 指南
• macOS 指南

其他 MDM：

• iOS 指南
• macOS 指南

其他組態選項

您可以新增更多組態選項，以將 SSO 功能擴充至其他應用程式。

針對不使用 MSAL 的應用程式啟用 SSO

SSO 外掛程式可讓任何應用程式參與 SSO，即使它不是使用 Microsoft 驗證連結庫 （MSAL） 等 Microsoft SDK 所開發也一樣。

SSO 外掛程式會自動由具有下列功能的裝置安裝：

• 在 iOS 或 iPadOS 上下載 Authenticator 應用程式，或在 macOS 上下載 Intune 公司入口網站 應用程式。
• MDM 已向組織註冊其裝置。

您的組織可能會針對多重要素驗證、無密碼驗證和條件式存取等案例使用 Authenticator 應用程式。 藉由使用 MDM 提供者，您可以開啟應用程式的 SSO 外掛程式。 Microsoft 可讓您輕鬆地使用 Microsoft Intune 設定外掛程式。 allowlist 可用來設定這些應用程式以使用 SSO 外掛程式。

重要

Microsoft Enterprise SSO 外掛程式僅支援使用原生 Apple 網路技術或 Webview 的應用程式。 它不支援提供自己網路層實作的應用程式。

使用下列參數，為不使用 MSAL 的應用程式設定 Microsoft Enterprise SSO 外掛程式。

重要

您不需要將使用 Microsoft 驗證連結庫的應用程式新增至此允許清單。 這些應用程式預設會參與 SSO。 大部分的 Microsoft 建置應用程式都會使用 Microsoft 驗證連結庫。

為所有受控應用程式啟用 SSO

• 金鑰：Enable_SSO_On_All_ManagedApps
• 類型：Integer
• 值：1 或 0。 此值預設會設定為 0。

當此旗標開啟時（其值設定為 1），所有不在 中的 AppBlockList MDM 受控應用程式都可能會參與 SSO。

啟用特定應用程式的 SSO

• 金鑰：AppAllowList
• 類型：String
• 值：允許參與 SSO 之應用程式的應用程式套件組合識別碼逗號分隔清單。
• 範例：com.contoso.workapp, com.contoso.travelapp

注意

根據預設，允許Safari和Safari檢視服務參與SSO。 您可以 藉由在AppBlockList中新增Safari和Safari View Service 的套件組合識別碼，來設定不 參與 SSO。 iOS 套件組合標識符：[com.apple.mobilesafari， com.apple.SafariViewService] macOS BundleID ： [com.apple.Safari]

為所有具有特定套件組合標識碼前置詞的應用程式啟用 SSO

• 金鑰：AppPrefixAllowList
• 類型：String
• 值：允許參與 SSO 之應用程式的以逗號分隔的應用程式套件組合識別碼前置詞清單。 此參數允許以特定前置詞開頭的所有應用程式參與 SSO。 針對 iOS，預設值會設定為 com.apple. ，且會為所有 Apple 應用程式啟用 SSO。 針對macOS，預設值會設定為 com.apple. ， com.microsoft. 而且會為所有Apple和 Microsoft 應用程式啟用 SSO。 管理員 可以覆寫預設值或新增應用程式，AppBlockList以防止它們參與 SSO。
• 範例：com.contoso., com.fabrikam.

停用特定應用程式的 SSO

• 金鑰：AppBlockList
• 類型：String
• 值：不允許參與 SSO 之應用程式的應用程式套件組合識別元逗號分隔清單。
• 範例：com.contoso.studyapp, com.contoso.travelapp

若要 停用 Safari 或 Safari 檢視服務的 SSO，您必須將其套件組合識別元新增至 AppBlockList，以明確執行此動作：

• iOS： com.apple.mobilesafari、 com.apple.SafariViewService
• macOS： com.apple.Safari

透過特定應用程式的 Cookie 啟用 SSO

某些具有進階網路設定的 iOS 應用程式在啟用 SSO 時可能會遇到非預期的問題。 例如，您可能會看到錯誤，指出網路要求已取消或中斷。

如果您的使用者即使在透過其他設定啟用應用程式之後，仍無法登入應用程式，請嘗試將其新增至 AppCookieSSOAllowList 來解決問題。

• 金鑰：AppCookieSSOAllowList
• 類型：String
• 值：允許參與 SSO 之應用程式的以逗號分隔的應用程式套件組合識別碼前置詞清單。 所有以所列前置詞開頭的應用程式都將允許參與 SSO。
• 範例：com.contoso.myapp1, com.fabrikam.myapp2

其他需求：若要使用 AppCookieSSOAllowList啟用應用程式的 SSO，您也必須新增其套件組合識別碼前置詞 AppPrefixAllowList。

請只針對發生非預期登入失敗的應用程式嘗試此設定。 此金鑰僅供 iOS 應用程式使用，不適用於 macOS 應用程式。

索引鍵摘要

機碼	類型	值
Enable_SSO_On_All_ManagedApps	整數	1 若要為所有受控應用程式啟用 SSO， 0 請停用所有受控應用程式的 SSO。
AppAllowList	String （以逗號分隔的清單）	允許參與 SSO 之應用程式的套件組合識別碼。
AppBlockList	String （以逗號分隔的清單）	不允許應用程式加入 SSO 的套件組合識別碼。
AppPrefixAllowList	String （以逗號分隔的清單）	允許參與 SSO 之應用程式的套件組合標識碼前置詞。 針對 iOS，預設值會設定為 com.apple. ，且會為所有 Apple 應用程式啟用 SSO。 針對macOS，預設值會設定為 com.apple. ， com.microsoft. 而且會為所有Apple和 Microsoft 應用程式啟用 SSO。 開發人員、客戶或 管理員 可以覆寫預設值或新增應用程式，AppBlockList以防止他們參與 SSO。
AppCookieSSOAllowList	String （以逗號分隔的清單）	允許參與 SSO 但使用特殊網路設定的應用程式組合識別碼前置詞，而且使用其他設定時，SSO 發生問題。 您新增至 AppCookieSSOAllowList 的應用程式也必須新增至 AppPrefixAllowList。 請注意，此金鑰僅適用於 iOS 應用程式，不適用於 macOS 應用程式。

常見案例的 設定

• 案例：我想要為大部分受控應用程式啟用 SSO，但並非所有受控應用程式都啟用 SSO。

  Key	值
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	您要防止參與 SSO 之應用程式的套件組合識別碼（逗號分隔清單）。

• 我想要停用默認啟用的 Safari SSO 案例，但為所有受控應用程式啟用 SSO。

  Key	值
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	您要防止參與 SSO 的 Safari 應用程式的套件組合識別碼（逗號分隔清單）。 針對 iOS： com.apple.mobilesafari、 com.apple.SafariViewService 針對macOS： com.apple.Safari

• 案例：我想在所有受控應用程式和少數非受控應用程式上啟用 SSO，但針對其他幾個應用程式停用 SSO。

  Key	值
  Enable_SSO_On_All_ManagedApps	1
  AppAllowList	您要啟用用於參與 SSO 之應用程式的套件組合識別碼（逗號分隔清單）。
  AppBlockList	您要防止參與 SSO 之應用程式的套件組合識別碼（逗號分隔清單）。

在 iOS 裝置上尋找應用程式套件組合識別碼

Apple 提供從 App Store 取得套件組合識別碼的簡單方式。 若要取得您想要用於 SSO 之應用程式的套件組合識別碼，最簡單的方式是詢問您的廠商或應用程式開發人員。 如果無法使用此選項，您可以使用 MDM 組態來尋找套件組合識別碼：

1. 在 MDM 設定中暫時啟用下列旗標：

   • 金鑰：admin_debug_mode_enabled
   • 類型：Integer
   • 值：1 或 0

2. 當此旗標開啟時，請在您想要知道套件組合識別碼的裝置上登入 iOS 應用程式。

3. 在 Authenticator 應用程式中，選取 [說明>傳送記錄] [檢視記錄]。>

4. 在記錄檔中，尋找下列這一行： [ADMIN MODE] SSO extension has captured following app bundle identifiers。 這一行應該會擷取 SSO 擴充功能可見的所有應用程式套件組合標識碼。

使用套件組合識別碼來設定應用程式的 SSO。 完成之後，請停用管理員模式。

允許使用者從不使用 MSAL 和 Safari 瀏覽器的應用程式登入

根據預設，Microsoft Enterprise SSO 外掛程式會在另一個在取得新令牌期間使用 MSAL 的應用程式呼叫時，取得共用認證。 視設定而定，Microsoft Enterprise SSO 外掛程式也可以在未使用 MSAL 的應用程式呼叫時取得共享認證。

當您啟用旗標時 browser_sso_interaction_enabled ，不使用 MSAL 的應用程式可以執行初始啟動載入並取得共享認證。 Safari 瀏覽器也可以執行初始啟動載入並取得共享認證。

如果 Microsoft Enterprise SSO 外掛程式還沒有共用認證，每當在 Safari 瀏覽器、ASWebAuthenticationSession、SafariViewController 或其他允許的原生應用程式內從 Microsoft Entra URL 要求登入時，就會嘗試取得一個。

使用這些參數來開啟 旗標：

• 金鑰：browser_sso_interaction_enabled
• 類型：Integer
• 值：1 或 0。 此值預設會設定為 1。

iOS 和 macOS 都需要此設定，讓 Microsoft Enterprise SSO 外掛程式可在所有應用程式之間提供一致的體驗。 默認會啟用此設定，而且只有在終端用戶無法使用其認證登入時，才應該停用此設定。

停用 OAuth 2 應用程式提示

如果應用程式提示使用者登入，即使 Microsoft Enterprise SSO 外掛程式適用於裝置上的其他應用程式，應用程式可能會略過通訊協定層的 SSO。 這類應用程式也會忽略共用認證，因為外掛程式會將認證附加至允許應用程式提出的網路要求，藉此提供 SSO。

這些參數會指定 SSO 延伸模組是否應該防止原生和 Web 應用程式略過通訊協定層的 SSO，並強制向使用者顯示登入提示。

針對裝置上所有應用程式的一致 SSO 體驗，建議您針對不使用 MSAL 的應用程式啟用下列其中一個設定。 如果您的使用者遇到非預期的提示，您應該只針對使用 MSAL 的應用程式啟用此功能。

不使用 Microsoft 驗證連結庫的應用程式：

停用應用程式提示，並顯示帳戶選擇器：

• 金鑰：disable_explicit_app_prompt
• 類型：Integer
• 值：1 或 0。 此值預設會設定為 1，且此預設設定會減少提示。

停用應用程式提示，並從相符的 SSO 帳戶清單中自動選取帳戶：

• 金鑰：disable_explicit_app_prompt_and_autologin
• 類型：Integer
• 值：1 或 0。 此值預設會設定為 0。

使用 Microsoft 驗證連結函式庫的應用程式：

如果使用 應用程式防護 原則，則不建議使用下列設定。

停用應用程式提示，並顯示帳戶選擇器：

• 金鑰：disable_explicit_native_app_prompt
• 類型：Integer
• 值：1 或 0。 此值預設會設定為 0。

停用應用程式提示，並從相符的 SSO 帳戶清單中自動選取帳戶：

• 金鑰：disable_explicit_native_app_prompt_and_autologin
• 類型：Integer
• 值：1 或 0。 此值預設會設定為 0。

未預期的 SAML 應用程式提示

如果應用程式提示使用者登入，即使 Microsoft Enterprise SSO 外掛程式適用於裝置上的其他應用程式，應用程式可能會略過通訊協定層的 SSO。 如果應用程式使用 SAML 通訊協定，Microsoft Enterprise SSO 外掛程式將無法提供 SSO 給應用程式。 應用程式廠商應該會收到此行為的通知，並變更其應用程式中不要略過 SSO。

變更已啟用 MSAL 之應用程式的 iOS 體驗

使用 MSAL 的應用程式一律會針對互動式要求以原生方式叫用 SSO 擴充功能。 在某些 iOS 裝置上，可能不想要。 具體而言，如果使用者也需要在 Microsoft Authenticator 應用程式內完成多重要素驗證，互動式重新導向至該應用程式可能會提供更好的用戶體驗。

您可以使用 旗標來 disable_inapp_sso_signin 設定此行為。 如果啟用此旗標，使用 MSAL 的應用程式將會重新導向至所有互動式要求的 Microsoft Authenticator 應用程式。 此旗標不會影響來自這些應用程式的無訊息令牌要求、不使用 MSAL 或 macOS 應用程式的應用程式行為。 預設會停用此旗標。

• 金鑰：disable_inapp_sso_signin
• 類型：Integer
• 值：1 或 0。 此值預設會設定為 0。

設定 Microsoft Entra 裝置註冊

針對受 Intune 管理的裝置，當用戶嘗試存取資源時，Microsoft Enterprise SSO 外掛程式可以執行 Microsoft Entra 裝置註冊。 這可讓您更簡化的用戶經驗。

使用下列設定，透過 Microsoft Intune 啟用 iOS/iPadOS 的 Just In In Time 註冊：

• 金鑰：device_registration
• 類型：String
• 值： {{DEVICEREGISTRATION}}

在這裡深入瞭解 Just In Time 註冊。

條件式存取原則和密碼變更

適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式與各種 Microsoft Entra 條件式存取原則 和密碼變更事件相容。 browser_sso_interaction_enabled 必須啟用才能達到相容性。

相容的事件和原則記載於下列各節：

密碼變更和令牌撤銷

當使用者重設其密碼時，將會撤銷之前發行的所有令牌。 如果使用者嘗試在密碼重設事件之後存取資源，使用者通常需要在每個應用程式中再次登入。 啟用 Microsoft Enterprise SSO 外掛程式時，系統會要求使用者登入參與 SSO 的第一個應用程式。 Microsoft Enterprise SSO 外掛程式會在目前作用中的應用程式上方顯示自己的使用者介面。

Microsoft Entra 多重要素驗證

多重要素驗證 是一個程式，會在登入過程中提示使用者提供額外的識別形式，例如手機上的代碼或指紋掃描。 您可以針對特定資源啟用多重要素驗證。 啟用 Microsoft Enterprise SSO 外掛程式時，系統會要求使用者在第一個需要它的應用程式中執行多重要素驗證。 Microsoft Enterprise SSO 外掛程式會在目前作用中的應用程式上方顯示自己的使用者介面。

使用者登入頻率

登入頻率 定義用戶嘗試存取資源時，要求使用者重新登入的時間週期。 如果使用者嘗試在時間週期傳入各種應用程式之後存取資源，使用者通常需要在這些應用程式中再次登入。 啟用 Microsoft Enterprise SSO 外掛程式時，系統會要求使用者登入參與 SSO 的第一個應用程式。 Microsoft Enterprise SSO 外掛程式會在目前作用中的應用程式上方顯示自己的使用者介面。

使用 Intune 進行簡化的設定

您可以使用 Intune 作為 MDM 服務，以簡化 Microsoft Enterprise SSO 外掛程式的設定。 例如，您可以使用 Intune 來啟用外掛程式，並將舊的應用程式新增至allowlist，讓它們取得 SSO。

如需詳細資訊，請參閱 使用 Intune 部署 Apple 裝置的 Microsoft Enterprise SSO 外掛程式。

在應用程式中使用 SSO 外掛程式

適用於 Apple 裝置 1.1.0 版和更新版本的 MSAL 支援 Apple 裝置的 Microsoft Enterprise SSO 外掛程式。 建議新增對 Microsoft Enterprise SSO 外掛程式的支援。 它可確保您取得 Microsoft 身分識別平台的完整功能。

如果您要為前線背景工作案例建置應用程式，請參閱 iOS 裝置 的共用裝置模式以取得設定資訊。

瞭解 SSO 外掛程式的運作方式

Microsoft Enterprise SSO 外掛程式依賴 Apple Enterprise SSO 架構。 加入架構的識別提供者可以攔截其網域的網路流量，並增強或變更這些要求的處理方式。 例如，SSO 外掛程式可以顯示更多 UI，以安全地收集使用者認證、要求 MFA，或以無訊息方式提供令牌給應用程式。

原生應用程式也可以實作自定義作業，並與 SSO 外掛程式直接通訊。 如需詳細資訊，請參閱Apple的這個2019年全球開發人員會議影片。

提示

深入瞭解 SSO 外掛程式的運作方式，以及如何使用 Apple 裝置的 SSO 疑難解答指南對 Microsoft Enterprise SSO 擴充功能進行疑難解答。

使用 MSAL 的應用程式

適用於 Apple 裝置 1.1.0 版和更新版本的 MSAL 支援原生工作和學校帳戶的 Apple 裝置 Microsoft Enterprise SSO 外掛程式。

如果您遵循 所有建議的步驟 ，並使用預設 重新導向 URI 格式，則不需要任何特殊設定。 在具有 SSO 外掛程式的裝置上，MSAL 會自動針對所有互動式和無訊息令牌要求叫用它。 它也會叫用它來進行帳戶列舉和帳戶移除作業。 因為 MSAL 會實作依賴自訂作業的原生 SSO 外掛程式通訊協定，因此此設定可為終端使用者提供最順暢的原生體驗。

在 iOS 和 iPadOS 裝置上，如果 MDM 未啟用 SSO 外掛程式，但裝置上有 Microsoft Authenticator 應用程式，MSAL 會改用 Authenticator 應用程式來要求任何互動式令牌要求。 Microsoft Enterprise SSO 外掛程式會與 Authenticator 應用程式共用 SSO。

不使用 MSAL 的應用程式

如果系統管理員將這些應用程式新增至allowlist，則不使用MSAL的應用程式仍然可以取得SSO。

只要符合下列條件，您就不需要變更這些應用程式中的程序代碼：

• 應用程式會使用Apple架構來執行網路要求。 例如，這些架構包括 WKWebView 和 NSURLSession。
• 應用程式會使用標準通訊協定與 Microsoft Entra ID 通訊。 這些通訊協定包括 OAuth 2、SAML 和 WS-Federation。
• 應用程式不會在原生 UI 中收集純文字用戶名稱和密碼。

在此情況下，當應用程式建立網路要求並開啟網頁瀏覽器來登入使用者時，就會提供 SSO。 當使用者重新導向至 Microsoft Entra 登入 URL 時，SSO 外掛程式會驗證 URL，並檢查該 URL 的 SSO 認證。 如果找到認證，SSO 外掛程式會將它傳遞給 Microsoft Entra ID，以授權應用程式完成網路要求，而不需要要求使用者輸入認證。 此外，如果裝置已知 Microsoft Entra ID，SSO 外掛程式會傳遞裝置憑證，以滿足裝置型條件式存取檢查。

為了支援非 MSAL 應用程式的 SSO，SSO 外掛程式會實作類似於什麼是主要重新整理令牌中所述之 Windows 瀏覽器外掛程式的通訊協定？

相較於 MSAL 型應用程式，SSO 外掛程式對於非 MSAL 應用程式更為透明。 它會與應用程式提供的現有瀏覽器登入體驗整合。

使用者會看到熟悉的體驗，而且不需要在每個應用程式中再次登入。 例如，SSO 外掛程式會新增 SSO 工作階段至 Web 型帳戶選擇器體驗，而不是顯示原生帳戶選擇器。

裝置身分識別金鑰記憶體即將進行的變更

Microsoft Entra ID 將於 2024 年 3 月宣佈，將會遠離 Apple 的 Keychain 來儲存裝置身分識別密鑰。 從 2026 年第 3 季開始，所有新的裝置註冊預設都會使用 Apple 的安全記憶體保護區。

相依於透過 Keychain 存取工作場所聯結密鑰的應用程式和 MDM 整合，必須開始使用 MSAL 和企業 SSO 外掛程式，以確保與 Microsoft 身分識別平台 相容。

啟用裝置身分識別金鑰的安全記憶體保護區式記憶體

如果您想要在裝置身分識別金鑰成為預設值之前啟用以安全記憶體保護區為基礎的記憶體，您可以將下列延伸模組資料屬性新增至 Apple 裝置的 MDM 組態設定檔。

注意

若要讓此旗標生效，它必須套用至新的註冊。 除非裝置重新註冊，否則不會影響已註冊的裝置。

• 金鑰：use_most_secure_storage
• 類型：Boolean
• 值：True

下列螢幕快照顯示在 Microsoft Intune 中啟用安全記憶體保護區的組態頁面和設定。

受影響的案例

下列清單包含一些受這些變更影響的常見案例。 根據經驗法則，任何相依於透過Apple Keychain存取裝置身分識別成品的應用程式都會受到影響。

這不是詳盡的清單，我們建議應用程式消費者和廠商測試其軟體，以與這個新的數據存放區相容。

Chrome 中已註冊/已註冊的裝置條件式存取原則支援

若要在已啟用安全記憶體保護區式記憶體的 Google Chrome 中支援裝置條件式存取原則，您必須 安裝並啟用 Windows 帳戶 擴充功能。

另請參閱

瞭解 iOS 裝置的共用裝置模式。

瞭解如何針對 Microsoft Enterprise SSO 擴充功能進行疑難解答。