在 iOS/iPadOS 设备上使用 Microsoft Enterprise SSO 插件

Microsoft Enterprise SSO 插件为使用 Microsoft Entra ID 进行身份验证的应用和网站（包括 Microsoft 365）提供单一登录 (SSO) 。 此插件使用 Apple 单一登录应用扩展框架。 它减少了用户在使用由移动设备管理 (MDM) 管理的设备（包括支持配置 SSO 配置文件的任何 MDM）时获取的身份验证提示数。

设置后，支持 Microsoft 身份验证库 (MSAL) 的应用会自动利用 Microsoft Enterprise SSO 插件。 可以允许不支持 MSAL 的应用使用该扩展，包括 Safari 等浏览器和使用 Safari Web 视图 API 的应用。 只需将应用程序捆绑 ID 或前缀添加到扩展配置。

例如，若要允许不支持 MSAL 的 Microsoft 应用，请将 com.microsoft. 添加到 AppPrefixAllowList 属性。 小心你允许的应用，他们将能够绕过已登录用户的交互式登录提示。

有关详细信息，请参阅适用于 Apple 设备的 Microsoft 企业 SSO 插件 - 不使用 MSAL 的应用。

注意

2024 年 3 月宣布，Microsoft Entra ID将退出 Apple 的密钥链，用于存储设备标识密钥。 从 2026 年第 3 季度开始，默认情况下，所有新设备注册都将使用 Apple 的安全 Enclave。 有关详细信息，请参阅 适用于 Apple 设备的 Microsoft 企业 SSO 插件。

本文适用于：

• iOS/iPadOS

本文介绍如何使用 Intune、Jamf Pro 和其他 MDM 解决方案为 iOS/iPadOS Apple 设备部署 Microsoft Enterprise SSO 插件。

先决条件

若要在 iOS/iPadOS 设备上使用 Microsoft Enterprise SSO 插件，请执行以下操作：

Intune

• 设备由 Intune 管理。

• 设备必须支持插件：

  • iOS/iPadOS 13.0 及更高版本

• 必须在设备上安装 Microsoft Authenticator 应用。

  用户可以手动安装 Microsoft Authenticator 应用。 或者，管理员可以使用 Intune 部署应用。 有关如何安装 Microsoft Authenticator 应用的信息，请转到 管理 Apple 批量购买的应用。

Jamf Pro

• 设备由 Jamf Pro 管理。

• 设备必须支持插件：

  • iOS/iPadOS 13.0 及更高版本

• 必须在设备上安装 Microsoft Authenticator 应用。

  用户可以手动安装 Microsoft Authenticator 应用。 或者，管理员可以使用 Jamf Pro 部署应用。 有关如何安装 Microsoft Authenticator 应用的选项列表，请转到 使用 Jamf Pro 管理 macOS 安装程序 (打开 Jamf Pro 的网站) 。

• 使用 SSO 应用扩展不需要 Jamf Pro 和 Intune 设备合规性集成。

其他 MDM

• 设备由移动设备管理 (MDM) 提供程序解决方案进行管理。
• MDM 解决方案必须支持使用设备策略 为 Apple 设备配置单一登录 MDM 有效负载设置 。
• 设备必须支持插件：
  • iOS/iPadOS 13.0 及更高版本
• 必须在设备上安装 Microsoft Authenticator 应用。 用户可以手动安装 Microsoft Authenticator 应用。 或者，管理员可以使用 MDM 策略部署应用。

注意

在 iOS/iPadOS 设备上，Apple 要求安装 SSO 应用扩展和 Microsoft Authenticator 应用。 用户无需使用或配置 Microsoft Authenticator 应用，只需在设备上安装它。

Microsoft 企业 SSO 插件与 Kerberos SSO 扩展

使用 SSO 应用扩展时，请使用 SSO 或 Kerberos 有效负载类型进行身份验证。 SSO 应用扩展旨在改善使用这些身份验证方法的应用和网站的登录体验。

Microsoft 企业 SSO 插件使用 SSO 有效负载类型和 重定向 身份验证。 SSO 重定向和 Kerberos 扩展类型可以同时在一个设备上使用。 请务必为计划在设备上使用的每个扩展类型创建单独的设备配置文件。

若要为方案确定正确的 SSO 扩展类型，请使用下表：

---

适用于 Apple 设备的 Microsoft 企业 SSO 插件	使用 Kerberos 的单一登录应用扩展
使用 Microsoft Entra ID SSO 应用扩展类型	使用“Kerberos”SSO 应用扩展类型
支持以下应用： - Microsoft 365 - 与Microsoft Entra ID集成的应用、网站或服务	支持以下应用： - 与 AD 集成的应用、网站或服务

---

有关单一登录扩展的详细信息，请转到 单一登录应用扩展。

创建单一登录应用扩展配置文件

Intune

在Microsoft Intune管理中心，创建设备配置文件。 此配置文件包括用于在设备上配置 SSO 应用扩展的设置。

1. 登录到Microsoft Intune管理中心。

2. 选择“ 设备>配置>创建”。

3. 输入以下属性：

   • 平台：选择“iOS/iPadOS”。
   • 配置文件类型：选择 “模板>”“设备功能”。

4. 选择“ 创建”：

   

5. 在“基本信息”中，输入以下属性：

   • 名称：输入策略的描述性名称。 为策略命名，以便稍后可以轻松地识别它们。 例如，一个好的策略名称是 iOS：Microsoft Enterprise SSO 插件。
   • 说明：输入配置文件的说明。 此设置是可选的，但建议进行。

6. 选择 下一步。

7. 在“配置设置”中，选择“单一登录应用扩展”，并配置以下属性：

   • SSO 应用扩展类型：选择“Microsoft Entra ID”。

     

   • 启用共享设备模式：

     • 未配置：Intune 不会更改或更新此设置。

       对于大多数方案，包括共享 iPad 设备、个人设备和具有或没有用户关联的设备，请选择此选项。

     • 是：仅当目标设备使用Microsoft Entra共享设备模式时，才选择此选项。 有关详细信息，请转到 共享设备模式概述。

   • 应用捆绑 ID：输入不支持 MSAL 且允许使用 SSO 的应用的捆绑 ID 列表。 有关详细信息，请转到 不使用 MSAL 的应用程序。

   • 其他配置：若要自定义最终用户体验，可以添加以下属性。 这些属性是 Microsoft SSO 扩展使用的默认值，但可以根据组织需求自定义它们：

     键	类型	说明
     AppPrefixAllowList	String	建议的值： com.apple. 输入不支持 MSAL 且允许使用 SSO 的应用的前缀列表。 例如，输入 com.microsoft.,com.apple. 以允许所有 Microsoft 和 Apple 应用。 请确保这些应用满足允许列表要求。
     browser_sso_interaction_enabled	整数	建议的值： 1 设置为 1 时，用户可以从 Safari 浏览器和不支持 MSAL 的应用登录。 启用此设置允许用户从 Safari 或其他应用启动扩展。
     disable_explicit_app_prompt	整数	建议的值： 1 一些应用可能会在协议层上错误地强制执行最终用户提示。 如果看到此问题，系统会提示用户登录，即使 Microsoft 企业 SSO 插件适用于其他应用也是如此。 如果设置为 1 (1)，请减少这些提示。

     提示

     有关这些属性以及可配置的其他属性的详细信息，请参阅 适用于 Apple 设备的 Microsoft 企业 SSO 插件。

     完成设置配置并允许 Microsoft & Apple 应用后，这些设置将类似于Intune配置文件中的以下值：

     

8. 继续创建配置文件，并将配置文件分配给将接收这些设置的用户或组。 有关具体步骤，请转到 创建配置文件。

   有关分配配置文件的指导，请转到 分配用户和设备配置文件。

当设备签入 Intune 服务时，它将接收此配置文件。 有关详细信息，请转到 策略刷新间隔。

若要检查配置文件正确部署，请在 Intune 管理中心，转到“设备>配置”>，选择创建的配置文件并生成报告：

Jamf Pro

在 Jamf Pro 门户中，创建计算机或设备配置文件。 此配置文件包括用于在设备上配置 SSO 应用扩展的设置。

1. 登录到 Jamf Pro 门户。

2. 若要创建 iOS/iPadOS 配置文件，请选择“ 设备>配置>”“新建”：

   

3. 在 “名称”中，输入策略的描述性名称。 为策略命名，以便稍后可以轻松地识别它们。 例如，一个好的策略名称是： iOS/iPadOS：Microsoft Enterprise SSO 插件。

4. 在 “选项” 列中，向下滚动并选择“ 单 Sign-On 扩展”>“添加”：

   

5. 输入以下属性：

   • 有效负载类型：选择 “SSO”。
   • 扩展标识符：输入 com.microsoft.azureauthenticator.ssoextension。
   • 团队标识符：不需要任何值，请将字段留空。
   • 登录类型：选择“ 重定向”。
   • URL：一次输入一个以下 URL：
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. 在 “自定义配置”中，定义其他必需的属性。 Jamf Pro 要求使用上传的 PLIST 文件配置这些属性。 若要查看可配置属性的完整列表，请转到 适用于 Apple 设备的 Microsoft 企业 SSO 插件文档。

   下面的示例是一个建议的 PLIST 文件，它满足了大多数组织的需求:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   这些 PLIST 设置配置以下 SSO 扩展选项。 这些属性是 Microsoft SSO 扩展使用的默认值，但可以根据组织需求自定义它们：

   键	类型	说明
   AppPrefixAllowList	String	建议的值： com.apple.,com.jamf.,com.jamfsoftware. 输入不支持 MSAL 且允许使用 SSO 的应用的前缀列表。 例如，输入 com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. 以允许所有 Microsoft、Apple 和 Jamf Pro 应用。 请确保这些应用满足允许列表要求。
   disable_explicit_app_prompt	整数	建议的值： 1 一些应用可能会在协议层上错误地强制执行最终用户提示。 如果看到此问题，系统会提示用户登录，即使 Microsoft 企业 SSO 插件适用于其他应用也是如此。 如果设置为 1 (1)，请减少这些提示。

   提示

   有关这些属性以及可配置的其他属性的详细信息，请参阅 适用于 Apple 设备的 Microsoft 企业 SSO 插件。

7. 选择 范围 选项卡。输入应以接收 SSO 扩展 MDM 配置文件为目标的计算机或设备。

8. 选择“保存”。

当设备使用 Jamf Pro 服务签入时，它会收到配置文件。

其他 MDM

在 MDM 门户中，创建设备配置文件。 此配置文件包括用于在设备上配置 SSO 应用扩展的设置。

1. 登录到 MDM 门户。

2. 创建新的设备配置文件。

3. 选择 “单 Sign-On 扩展 ”或 “SSO 扩展 ”选项。 名称因所使用的 MDM 解决方案而异。

4. 输入以下属性：

   键	值
   有效负载类型	SSO
   扩展标识符	com.microsoft.azureauthenticator.ssoextension
   Sign-On 类型	重定向
   URL	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. （可选）可以配置其他属性。 这些属性是 Microsoft SSO 扩展使用的默认值，但可以根据组织需求自定义它们：

   键	类型	说明
   AppPrefixAllowList	String	建议的值： com.apple. 输入不支持 MSAL 且允许使用 SSO 的应用的前缀列表。 例如，输入 com.microsoft.,com.apple. 以允许所有 Microsoft 和 Apple 应用。 请确保这些应用满足允许列表要求。
   browser_sso_interaction_enabled	整数	建议的值： 1 设置为 1 时，用户可以从 Safari 浏览器和不支持 MSAL 的应用登录。 启用此设置允许用户从 Safari 或其他应用启动扩展。
   disable_explicit_app_prompt	整数	建议的值： 1 一些应用可能会在协议层上错误地强制执行最终用户提示。 如果看到此问题，系统会提示用户登录，即使 Microsoft 企业 SSO 插件适用于其他应用也是如此。 如果设置为 1 (1)，请减少这些提示。

   提示

   有关这些属性以及可配置的其他属性的详细信息，请参阅 适用于 Apple 设备的 Microsoft 企业 SSO 插件。

6. 将新策略分配给应以接收 SSO 扩展 MDM 配置文件为目标的设备。

当设备签入 MDM 服务时，它会收到此配置文件。

最终用户体验

• 如果不使用应用策略部署 Microsoft Authenticator 应用，则用户必须手动安装它。 用户无需使用 Authenticator 应用，只需在设备上安装它即可。

• 用户需要登录到任何受支持的应用或网站以启动扩展。 启动是首次登录的过程，用于设置扩展。

• 用户成功登录后，系统会自动使用扩展登录到任何其他受支持的应用或网站。

可以通过 在专用模式下打开 Safari 来测试单一登录， (打开 Apple 网站) 并打开网站 https://portal.office.com 。 不需要用户名和密码。

提示

使用 Apple 设备的 SSO 故障排除指南详细了解 SSO 插件的工作原理以及如何对 Microsoft Enterprise SSO 扩展进行故障排除。

后续步骤

• 有关 Microsoft Enterprise SSO 插件的信息，请转到 适用于 Apple 设备的 Microsoft 企业 SSO 插件。

• 有关 Apple 关于单一登录扩展有效负载的信息，请转到 单一登录扩展有效负载设置 ， (打开 Apple 网站) 。

• 有关 Microsoft Enterprise SSO 扩展故障排除的信息，请转到 对 Apple 设备上的 Microsoft Enterprise SSO 扩展插件进行故障排除。