在 iOS/iPadOS 裝置上使用 Microsoft Enterprise SSO 外掛程式

Microsoft Enterprise SSO 外掛程式提供單一登錄 (SSO) 給使用 Microsoft Entra ID 進行驗證的應用程式和網站，包括 Microsoft 365。 此外掛程式使用Apple單一登錄應用程式延伸模組架構。 它會減少使用者在使用行動裝置 裝置管理 (MDM) 管理的裝置時收到的驗證提示數目，包括任何支援設定 SSO 配置檔的 MDM。

設定之後，支援 Microsoft 驗證連結庫的應用程式 (MSAL) 自動利用 Microsoft Enterprise SSO 外掛程式。 不支援 MSAL 的應用程式可以使用擴充功能，包括 Safari 之類的瀏覽器和使用 Safari Web 檢視 API 的應用程式。 只要將應用程式套件組合標識碼或前置詞新增至延伸模組組態即可。

例如，若要允許不支援 MSAL 的 Microsoft 應用程式，請將 新 com.microsoft. 增至 AppPrefixAllowList 屬性。 請小心使用您允許的應用程式，他們將能夠略過已登入使用者的互動式登入提示。

如需詳細資訊，請參閱 適用於Apple裝置的 Microsoft Enterprise SSO 外掛程式 - 不使用 MSAL 的應用程式。

注意事項

在 2024 年 3 月宣佈，Microsoft Entra ID 將移出 Apple 的金鑰鏈來儲存裝置身分識別密鑰。 從 2026 年第 3 季開始，所有新的裝置註冊預設都會使用 Apple 的安全記憶體保護區。 如需詳細資訊，請參閱 適用於Apple裝置的 Microsoft Enterprise SSO 外掛程式。

本文適用於：

• iOS/iPadOS

本文說明如何使用 Intune、Jamf Pro 和其他 MDM 解決方案部署適用於 iOS/iPadOS Apple 裝置的 Microsoft Enterprise SSO 外掛程式。

必要條件

若要在 iOS/iPadOS 裝置上使用 Microsoft Enterprise SSO 外掛程式：

Intune

• 裝置由 Intune管理。

• 裝置必須支援外掛程式：

  • iOS/iPadOS 13.0 和更新版本

• Microsoft Authenticator 應用程式必須安裝在裝置上。

  用戶可以手動安裝 Microsoft Authenticator 應用程式。 或者，系統管理員可以使用 Intune 部署應用程式。 如需如何安裝 Microsoft Authenticator 應用程式的資訊，請移至 管理 Apple 大量採購的應用程式。

Jamf Pro

• 裝置由 Jamf Pro 管理。

• 裝置必須支援外掛程式：

  • iOS/iPadOS 13.0 和更新版本

• Microsoft Authenticator 應用程式必須安裝在裝置上。

  用戶可以手動安裝 Microsoft Authenticator 應用程式。 或者，系統管理員可以使用 Jamf Pro 部署應用程式。 如需如何安裝 Microsoft Authenticator 應用程式的選項清單，請移至 使用 Jamf Pro 管理 macOS 安裝程式 (開啟 Jamf Pro 的網站) 。

• 使用 SSO 應用程式擴充功能不需要 Jamf Pro 和 Intune 裝置合規性整合。

其他 MDM

• 裝置是由行動裝置管理 (MDM) 提供者解決方案所管理。
• MDM 解決方案必須支援使用裝置原則 為 Apple 裝置設定單一登入 MDM 承載設定 。
• 裝置必須支援外掛程式：
  • iOS/iPadOS 13.0 和更新版本
• Microsoft Authenticator 應用程式必須安裝在裝置上。 用戶可以手動安裝 Microsoft Authenticator 應用程式。 或者，系統管理員可以使用 MDM 原則來部署應用程式。

注意事項

在 iOS/iPadOS 裝置上，Apple 需要安裝 SSO 應用程式延伸模組和 Microsoft Authenticator 應用程式。 使用者不需要使用或設定 Microsoft Authenticator 應用程式，只需要安裝在裝置上即可。

Microsoft Enterprise SSO 外掛程式與 Kerberos SSO 擴充功能

當您使用 SSO 應用程式延伸模組時，您會使用 SSO 或 Kerberos 承載類型進行驗證。 SSO 應用程式延伸模組的設計目的是要改善使用這些驗證方法之應用程式和網站的登入體驗。

Microsoft Enterprise SSO 外掛程式使用 SSO 承載類型搭配 重新導向 驗證。 SSO 重新導向和 Kerberos 擴充功能類型都可以同時在裝置上使用。 請務必為您打算在裝置上使用的每個擴充功能類型建立個別的裝置配置檔。

若要判斷您案例的正確 SSO 擴充類型，請使用下表：

---

適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式	使用 Kerberos 的單一登錄應用程式擴充功能
使用 Microsoft Entra ID SSO 應用程式延伸模組類型	使用 Kerberos SSO 應用程式延伸模組類型
支援下列應用程式： - Microsoft 365 - 與 Microsoft Entra ID 整合的應用程式、網站或服務	支援下列應用程式： - 與 AD 整合的應用程式、網站或服務

---

如需單一登錄延伸模組的詳細資訊，請移至 單一登錄應用程式延伸模組。

建立單一登錄應用程式延伸模組組態配置檔

Intune

在 Microsoft Intune 系統管理中心，建立裝置組態配置檔。 這個設定檔包含在裝置上設定 SSO 應用程式延伸模組的設定。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>設定>建立]。

3. 輸入下列內容：

   • 平台：選取 [iOS/iPadOS]。
   • 配置檔類型：選取 [範本>裝置功能]。

4. 選 取 [建立]：

   

5. 在 [基本資訊] 中，輸入下列內容：

   • 名稱：輸入原則的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，良好的原則名稱是 iOS：Microsoft Enterprise SSO 外掛程式。
   • 描述：輸入原則的描述。 這是選擇性設定，但建議進行。

6. 選取[下一步]。

7. 在 [ 組態設定] 中，選取 [單一登錄應用程式延伸模組]，然後設定下列屬性：

   • SSO 應用程式延伸模組類型：選取 [Microsoft Entra ID]。

     

   • 開啟共享裝置模式：

     • 未設定：Intune 不會變更或更新此設定。

       在大部分情況下，包括共用 iPad、個人裝置，以及具有或沒有使用者親和性的裝置，請選取此選項。

     • 是：只有在目標裝置使用 Microsoft Entra 共用裝置模式時，才選取此選項。 如需詳細資訊，請移至 共用裝置模式概觀。

   • 應用程式套件組合識別碼：輸入不支援 MSAL 且 允許使用 SSO 之應用程式的套件組合識別碼清單。 如需詳細資訊，請移至 不使用 MSAL 的應用程式。

   • 其他設定：若要自定義用戶體驗，您可以新增下列屬性。 這些屬性是 Microsoft SSO 擴充功能所使用的預設值，但可以針對您的組織需求自定義這些值：

     機碼	類型	描述
     AppPrefixAllowList	String	建議值： com.apple. 輸入不支援 MSAL 並 允許使用 SSO 之應用程式的前置詞清單。 例如，輸入 com.microsoft.,com.apple. 以允許所有 Microsoft 和 Apple 應用程式。 請確定這些應用程式 符合允許清單需求。
     browser_sso_interaction_enabled	整數	建議值： 1 當設定為 1時，使用者可以從 Safari 瀏覽器以及不支援 MSAL 的應用程式登入。 啟用此設定可讓使用者從 Safari 或其他應用程式啟動擴充功能。
     disable_explicit_app_prompt	整數	建議值： 1 某些應用程式可能會在通訊協定層中不正確地強制執行使用者提示。 如果您看到此問題，系統會提示使用者登入，即使 Microsoft Enterprise SSO 外掛程式適用於其他應用程式也一般。 當設定為 1 (一個) 時，您可以減少這些提示。

     提示

     如需這些屬性和您可以設定之其他屬性的詳細資訊，請參閱 適用於Apple裝置的 Microsoft Enterprise SSO 外掛程式。

     當您完成設定並允許 Microsoft & Apple 應用程式時，設定看起來會類似您 Intune 組態設定檔中的下列值：

     

8. 繼續建立配置檔，並將配置檔指派給將接收這些設定的使用者或群組。 如需特定步驟，請移至 建立配置檔。

   如需指派配置檔的指引，請移至 指派用戶和裝置配置檔。

當裝置使用 Intune 服務簽入時，它會收到此配置檔。 如需詳細資訊，請移至 原則重新整理間隔。

若要檢查設定檔是否已正確部署，請在 Intune 系統管理中心，移至 [裝置>>設定] 選取您建立的設定檔並產生報告：

Jamf Pro

在 Jamf Pro 入口網站中，您會建立電腦或裝置組態配置檔。 這個設定檔包含在裝置上設定 SSO 應用程式延伸模組的設定。

1. 登入 Jamf Pro 入口網站。

2. 若要建立 iOS/iPadOS 配置檔，請選取 [裝置>>設定新增]：

   

3. 在 [名稱] 中，輸入原則的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，良好的原則名稱為： iOS/iPadOS：Microsoft Enterprise SSO 外掛程式。

4. 在 [ 選項] 數據行中，向下卷動並選 取 [單一 Sign-On 擴充功能>新增]：

   

5. 輸入下列內容：

   • 承載類型：選取 [SSO]。
   • 延伸模組識別碼：輸入 com.microsoft.azureauthenticator.ssoextension。
   • 小組標識碼：不需要任何值，請將字段保留空白。
   • 登入類型：選取 [重新導向]。
   • URL：輸入下列 URL，一次一個：
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. 在 [自定義組態] 中，您可以定義其他必要的屬性。 Jamf Pro 要求使用上傳的 PLIST 檔案來設定這些屬性。 若要查看可設定屬性的完整清單，請移至 適用於Apple裝置的 Microsoft Enterprise SSO 外掛程式檔。

   下列範例是符合大部分組織需求的建議 PLIST 檔案：

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   這些 PLIST 設定會設定下列 SSO 擴充功能選項。 這些屬性是 Microsoft SSO 擴充功能所使用的預設值，但可以針對您的組織需求自定義這些值：

   機碼	類型	描述
   AppPrefixAllowList	String	建議值： com.apple.,com.jamf.,com.jamfsoftware. 輸入不支援 MSAL 並 允許使用 SSO 之應用程式的前置詞清單。 例如，輸入 com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. 以允許所有 Microsoft、Apple 和 Jamf Pro 應用程式。 請確定這些應用程式 符合允許清單需求。
   disable_explicit_app_prompt	整數	建議值： 1 某些應用程式可能會在通訊協定層中不正確地強制執行使用者提示。 如果您看到此問題，系統會提示使用者登入，即使 Microsoft Enterprise SSO 外掛程式適用於其他應用程式也一般。 當設定為 1 (一個) 時，您可以減少這些提示。

   提示

   如需這些屬性和您可以設定之其他屬性的詳細資訊，請參閱 適用於Apple裝置的 Microsoft Enterprise SSO 外掛程式。

7. 選取 [ 範圍] 索引標籤 。輸入應該以接收 SSO 擴充功能 MDM 配置檔為目標的電腦或裝置。

8. 選取 [儲存]。

當裝置使用 Jamf Pro 服務簽入時，它會收到配置檔。

其他 MDM

在 MDM 入口網站中，建立裝置組態配置檔。 這個設定檔包含在裝置上設定 SSO 應用程式延伸模組的設定。

1. 登入 MDM 入口網站。

2. 建立新的裝置組態配置檔。

3. 選取 [單一 Sign-On 擴充 功能或 SSO 擴充 功能] 選項。 名稱會根據您使用的 MDM 解決方案而有所不同。

4. 輸入下列內容：

   機碼	值
   承載類型	Sso
   延伸模組識別碼	com.microsoft.azureauthenticator.ssoextension
   Sign-On 類型	Redirect
   URL	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. 您可以選擇性地設定其他屬性。 這些屬性是 Microsoft SSO 擴充功能所使用的預設值，但可以針對您的組織需求自定義這些值：

   機碼	類型	描述
   AppPrefixAllowList	String	建議值： com.apple. 輸入不支援 MSAL 並 允許使用 SSO 之應用程式的前置詞清單。 例如，輸入 com.microsoft.,com.apple. 以允許所有 Microsoft 和 Apple 應用程式。 請確定這些應用程式 符合允許清單需求。
   browser_sso_interaction_enabled	整數	建議值： 1 當設定為 1時，使用者可以從 Safari 瀏覽器以及不支援 MSAL 的應用程式登入。 啟用此設定可讓使用者從 Safari 或其他應用程式啟動擴充功能。
   disable_explicit_app_prompt	整數	建議值： 1 某些應用程式可能會在通訊協定層中不正確地強制執行使用者提示。 如果您看到此問題，系統會提示使用者登入，即使 Microsoft Enterprise SSO 外掛程式適用於其他應用程式也一般。 當設定為 1 (一個) 時，您可以減少這些提示。

   提示

   如需這些屬性和您可以設定之其他屬性的詳細資訊，請參閱 適用於Apple裝置的 Microsoft Enterprise SSO 外掛程式。

6. 將新原則指派給應以接收 SSO 擴充功能 MDM 配置檔為目標的裝置。

當裝置使用 MDM 服務簽入時，它會收到此配置檔。

使用者體驗

• 如果您不是使用應用程式原則部署 Microsoft Authenticator 應用程式，則用戶必須手動安裝它。 使用者不需要使用 Authenticator 應用程式，只需要安裝在裝置上即可。

• 使用者登入任何支援的應用程式或網站，以啟動擴充功能。 Bootstrap 是第一次登入的程式，它會設定擴充功能。

• 使用者成功登入之後，擴充功能會自動用來登入任何其他支援的應用程式或網站。

您可以 在私人模式中開啟 Safari 來測試單一登錄， (開啟 Apple 的網站) 並開啟 https://portal.office.com 網站。 不需要使用者名稱和密碼。

提示

深入瞭解 SSO 外掛程式的運作方式，以及如何使用 Apple 裝置的 SSO 疑難解答指南，針對 Microsoft Enterprise SSO 擴充功能進行疑難解答。

後續步驟

• 如需 Microsoft Enterprise SSO 外掛程式的相關信息，請移至 適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式。

• 如需 Apple 關於單一登錄延伸模組承載的資訊，請移至 單一登錄擴充功能承載設定 (開啟 Apple 的網站) 。

• 如需針對 Microsoft Enterprise SSO 擴充功能進行疑難解答的資訊，請移至針對 Apple 裝置上的 Microsoft Enterprise SSO 擴充功能外掛程式進行疑難解答。