Microsoft Intune 中 Apple 裝置的單一登入 (SSO) 概觀和選項

Apple 裝置可以使用單一登錄 (SSO) ，使用其Microsoft Entra ID 來存取裝置、應用程式和網站。 SSO 可讓使用者登入並取得存取權，而不需要每次輸入其認證。

本文適用於：

• iOS/iPadOS
• macOS

裝置和大部分的應用程式，包括企業營運 (LOB) 應用程式，都需要某種層級的用戶驗證。 在許多情況下，驗證會要求使用者重複輸入相同的認證。

系統管理員可以使用 Microsoft Intune 來建立和部署 SSO 原則。 開發人員可以建立支援及使用單一登錄 (SSO) 的應用程式。 當您將 Intune SSO 原則與支援 SSO 的應用程式結合時，會減少應用程式和網站的認證提示數目。

若要在 Intune 中設定 Apple 裝置的 SSO，您有下列選項：

• 平臺 SSO - Microsoft Entra ID 中 Microsoft Enterprise SSO 外掛程式 的一部分，並包含 SSO 應用程式延伸模組。 適用於macOS裝置。

• SSO 應用程式延伸 模組 - Microsoft Entra ID 中 Microsoft Enterprise SSO 外掛程式 的一部分。 適用於 iOS/iPadOS 和 macOS 裝置。

• 單一登錄範本 - Intune 中的範本。 適用於 iOS/iPadOS 裝置。

本文提供 Intune 中 Apple 裝置可用的 SSO 選項及其支援平臺的概觀。

平臺 SSO

本功能適用於：

• macOS

Microsoft Enterprise SSO 外掛程式包含兩個 SSO 功能 - 平臺 SSO 和 SSO 應用程式延伸模組。 本節著重於 平臺 SSO。

在macOS裝置上，使用者通常會使用本機帳戶登入。 然後，他們使用其Microsoft Entra ID 登入應用程式和網站。

使用平臺 SSO：

• 組織可以:

  • 選擇符合您業務需求的驗證方法。 您的選項包括安全記憶體保護區無密碼密碼密碼驗證、Microsoft Entra 使用者帳戶 & 密碼或智慧卡驗證。

  • 使用 SSO 應用程式延伸模組，因為 SSO 應用程式延伸模組是平臺 SSO 的一部分。 具體而言，您：

    • 使用 SSO 應用程式擴充功能，以 Microsoft Entra ID 登入應用程式和網站。
    • 使用平臺 SSO 來增強 SSO 設定。 您可以設定不同的驗證方法、在登入時建立新的組織使用者，以及為使用者指派授權模式。

• 終端使用者：

  • 取得更安全的登入體驗，因為 Microsoft Entra ID 與 Microsoft Enterprise SSO 外掛程式整合。
  • 與 SSO 應用程式擴充功能結合時，取得單一登錄體驗。 SSO 應用程式擴充功能允許搭配使用 Touch ID 和 passkeys 與 Microsoft Entra ID。
  • 可以使用其 Microsoft Entra 使用者帳戶登入，並將在 macOS 裝置上輸入其 Microsoft Entra 認證所需的次數降至最低。

如需平臺 SSO 和入門的詳細資訊，請移至 在 Intune 中設定 macOS 裝置的平臺 SSO。

平臺 SSO 功能摘要

下表摘要說明 Intune 中的平臺 SSO 功能。 使用此資訊來判斷平臺 SSO 是否適合您的組織。

功能	詳細資料
平台支援	❌ iOS/iPadOS ✅ macOS 13.0 和更新版本
支援的註冊類型	✅ 裝置註冊 ✅ 自動化裝置註冊 (受監督) ❌ 用戶註冊 ✅ 直接註冊 (Apple Configurator)
支援的驗證類型	✅ Secure Enclave (UserSecureEnclaveKey) ✅ 密碼 (Microsoft 識別碼) ✅ 智慧卡
支援的應用程式類型	✅ Microsoft 365 應用程式 ✅ 與 Microsoft Entra ID 整合的應用程式、網站或服務 ✅ 支援 Apple Enterprise SSO 並與內部部署 Active Directory 整合的應用程式、網站或服務
Intune 系統管理中心原則類型	設定目錄 原則，位於： 設備>管理裝置>配置>創造>新原則>macOS for platform >Settings catalog for profile type >Authentication>Extensible Single Sign On (SSO)
建議	✅ 推薦。 使用平臺 SSO，因為它也包含 SSO 應用程式延伸模組。 您可以自行使用 SSO 應用程式擴充功能，但不建議使用。 若要使用平臺 SSO，您必須只使用平臺 SSO。 請勿建立個別的 SSO 應用程式擴充原則。

SSO 應用程式延伸模組

本功能適用於：

• iOS/iPadOS
• macOS

Microsoft Enterprise SSO 外掛程式包含兩個 SSO 功能 - 平臺 SSO 和 SSO 應用程式延伸模組。 本節著重於 SSO 應用程式延伸模組。

SSO 應用程式延伸模組為使用 Microsoft Entra ID 進行驗證的應用程式、網站和帳戶提供 SSO，包括：

• Microsoft 365 應用程式
• 開發以在裝置上單一登錄中尋找使用者認證存放區的應用程式
• 支援 Apple 企業 SSO 功能的所有應用程式的內部部署 Active Directory 帳戶

✅針對 iOS/iPadOS 裝置，SSO 應用程式擴充功能可自行使用。 因此，您可以 & 網站設定及使用應用程式的 SSO 應用程式延伸模組。

✅針對 macOS 裝置，SSO 應用程式擴充功能可單獨使用，而且也包含在平臺 SSO 中。 因此，如果您不想使用平臺 SSO，則只能設定和使用 SSO 應用程式延伸模組。 如果您使用平臺 SSO，則只會設定平臺 SSO，因為它包含 SSO 應用程式延伸模組。

SSO 應用程式延伸模組是重新導向類型的 SSO 應用程式延伸模組。 它適用於 Intune、Jamf Pro 和其他 MDM 解決方案。 在 Intune 中，SSO 應用程式延伸模組會使用裝置設定原則，並以 Microsoft Entra ID 作為 SSO 應用程式延伸模組類型。

這些設定會設定 redirect-type 和 credential-type SSO 應用程式延伸模組。 特別是：

• 重新導向類型是針對新式驗證通訊協議所設計，例如 OpenID Connect、OAuth 和 SAML2。 您可以選擇 Microsoft Entra SSO 延伸模組 (Microsoft Enterprise SSO 外掛程式 和一般重新導向延伸模組。

• 認證類型是針對挑戰和響應驗證流程所設計。 您可以在 Apple 提供的 Kerberos 特定認證延伸模組與一般認證延伸模組之間進行選擇。

  SSO 應用程式延伸模組應該與任何非Microsoft或合作夥伴 MDM 搭配使用。 延伸模組必須部署為 kerberos SSO 擴充功能，或部署為自定義組態配置檔，並已設定所有必要的屬性。

如需 SSO 應用程式延伸模組的詳細資訊，請移至：

• iOS/iPadOS：

  • 在 Intune 中的 iOS/iPadOS 裝置上使用 SSO 應用程式延伸模組
  • SSO 應用程式延伸模組設定清單 - Intune 中的 iOS/iPadOS

• macOS：

  • 在 Intune 的 macOS 裝置上使用 SSO 應用程式擴充功能
  • SSO 應用程式延伸模組設定清單 - Intune 中的 macOS

SSO 應用程式延伸模組功能摘要

下表摘要說明 Intune 中的 SSO 應用程式延伸模組功能。 使用此資訊來判斷此 SSO 選項是否適合您的組織。

功能	詳細資料
平台支援	✅ iOS/iPadOS 13.0 和更新版本 ✅ macOS 10.15 和更新版本
支援的註冊類型	iOS/iPadOS： ✅ 裝置註冊 ✅ 自動化裝置註冊 (受監督) ✅ 用戶註冊 ✅ 直接註冊 (Apple Configurator) macOS： ✅ 使用者核准的裝置註冊 ✅ 自動化裝置註冊 (受監督) ✅ 直接註冊 (Apple Configurator)
支援的驗證類型	✅ 重新導向類型 SSO 應用程式延伸模組，包括 Microsoft Entra ID ✅ 認證應用程式延伸模組 ✅ Apple 的內建 Kerberos 擴充功能
支援的應用程式類型	✅ Microsoft 365 應用程式 ✅ 與 Microsoft Entra ID 整合的應用程式、網站或服務 ✅ 支援 Apple 企業 SSO 並與內部部署 Active Directory 整合的應用程式、網站或服務
Intune 系統管理中心原則類型	裝置功能 範本位於： 設備>管理裝置>配置>創造>新原則>適用於平台>範>本的 iOS/iPadOS 或 macOS 配置檔類型的>裝置功能單一登錄應用程式延伸模組
建議	✅ 建議在 iOS/iPadOS 上使用。 ❌ 在macOS裝置上不建議使用。 在macOS裝置上，您可以單獨使用 SSO 應用程式擴充功能。 但是，我們建議您改用平臺 SSO。 如果您也使用適用於 macOS 的平臺 SSO，請勿建立個別的 SSO 應用程式擴充原則。 SSO 應用程式延伸模組包含在平臺 SSO 組態中。

單一登錄範本

注意事項

除了這些 SSO 設定，Apple 建議您使用本文) 中的 SSO 應用程式延伸 模組 (。

適用於：

• iOS 7.0 和更新版本
• iPadOS 13.0 及更新版本

此單一登錄原則是以 Kerberos 為基礎。 Kerberos 是使用秘密密鑰密碼編譯來驗證客戶端-伺服器應用程式的網路驗證通訊協定。 Intune 原則設定會在存取伺服器或特定應用程式時定義 Kerberos 帳戶資訊，並處理網頁和原生應用程式的 Kerberos 挑戰。

如需您可以在 Intune 中設定的設定清單，請移至 iOS/iPadOS 上的單一登錄。

若要使用單一登錄，請確定您有：

• 開發為在裝置上單一登錄中尋找使用者認證存放區的應用程式。
• 針對 iOS/iPadOS 裝置單一登入設定的 Intune。

單一登錄功能摘要

下表摘要說明 Intune 中的單一登錄功能。 使用此資訊來判斷此 SSO 選項是否適合您的組織。

功能	詳細資料
平台支援	✅ iOS 7.0 和更新版本 ✅ iPadOS 13.0 和更新版本 ❌ macOS
支援的註冊類型	✅ 裝置註冊 ✅ 自動化裝置註冊 (受監督) ❌ 用戶註冊 ❌ 直接註冊 (Apple Configurator)
支援的驗證類型	只能使用 Kerberos SSO 驗證。 - 輸入使用者存取伺服器或應用程式時的 Kerberos 帳戶資訊。 - 不是 Kerberos 的 Apple 實作。 - 處理網頁和應用程式的 Kerberos 挑戰
支援的應用程式類型	支援 Kerberos 驗證的網站和原生應用程式。 應用程式必須編碼，才能在裝置上的單一登錄中尋找使用者認證存放區。
Intune 系統管理中心原則類型	裝置功能 範本位於： 設備>管理裝置>配置>創造>新原則>適用於平台>範>本的 iOS/iPadOS 配置檔類型的>裝置功能單一登錄
建議	❌ 不建議使用。 相反地，Microsoft建議使用本文) 中的 SSO 應用程式延伸 模組 (。

SSO 應用程式延伸模組與 SSO 範本

單一登錄應用程式擴充功能與單一登錄功能不同。 使用下表進行比較。

	單一登錄應用程式擴充功能	單一登入
支援的平台	✅ iOS/iPadOS 13.0 和更新版本 ✅ macOS 10.15 和更新版本	✅ iOS 7.0 和更新版本 ✅ iPadOS 13.0 和更新版本 ❌ macOS
描述	定義可供識別提供者或組織使用的延伸模組，以提供順暢的企業登入體驗。 它會使用Apple作業系統進行驗證。	定義使用者存取伺服器或應用程式時的 Kerberos 帳戶資訊。
驗證	從應用程式開發的觀點來看， 可以使用任何類型的重新導向 SSO 或認證 SSO 驗證。	從應用程式開發的觀點來看， 只能使用 Kerberos SSO 驗證。
Apple 實作	由 Apple 開發，並內建於 iOS/iPadOS 13.0+ 和 macOS 10.15+ 平臺。 內建的 Kerberos 擴充功能可用來將使用者登入支援 Kerberos 驗證的原生應用程式和網站。	不是 Kerberos 的 Apple 實作。
建議	推薦。 提供改良的用戶體驗。 它會處理網頁的 Kerberos 挑戰、支援密碼變更，以及在企業網路中表現得更好。 在決定在 SSO 應用程式延伸 模組或 單一登錄 範本中使用 Kerberos 時，建議您使用 SSO 應用程式延伸模組，因為效能和功能已改善。	不建議。 它確實會處理網頁的 Kerberos 挑戰。

相關文章

• 如需 Microsoft Enterprise SSO 外掛程式和 Microsoft Entra ID 的相關信息，請移至 適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式。

• 如需 Apple 關於單一登錄延伸模組承載的資訊，請移至 單一登錄擴充功能承載設定 (開啟 Apple 的網站) 。

• 如需針對 Microsoft Enterprise SSO 擴充功能進行疑難解答的詳細資訊，請移至針對 Apple 裝置上的 Microsoft Enterprise SSO 擴充功能外掛程式進行疑難解答。