Použití modulu plug-in Microsoft Enterprise SSO na zařízeních s macOS

Modul plug-in Microsoft Enterprise SSO je funkce v Microsoft Entra ID, která poskytuje funkce jednotného přihlašování (SSO) pro zařízení Apple. Tento modul plug-in používá architekturu rozšíření aplikace pro jednotné přihlašování Apple.

• Pro zařízení s iOS/iPadOS obsahuje modul plug-in Podnikové jednotné přihlašování rozšíření aplikace pro jednotné přihlašování.
• Modul plug-in Podnikové jednotné přihlašování pro zařízení s macOS zahrnuje jednotné přihlašování platformy a rozšíření aplikace pro jednotné přihlašování.

Rozšíření aplikace jednotného přihlašování poskytuje jednotné přihlašování k aplikacím a webům, které k ověřování používají Microsoft Entra ID, včetně aplikací Microsoft 365. Snižuje počet výzev k ověření, které se uživatelům zobrazí při používání zařízení spravovaných přes Mobile Správa zařízení (MDM), včetně všech MDM, které podporují konfiguraci profilů jednotného přihlašování.

Tento článek se týká:

• macOS

  V případě iOS/iPadOS přejděte na použití modulu plug-in Microsoft Enterprise SSO na zařízeních s iOS/iPadOS.

Na zařízeních s macOS můžete nastavení rozšíření aplikace s jednotným přihlašováním nakonfigurovat na dvou místech v Intune:

• Šablona funkcí zařízení (tento článek) – Tato možnost nakonfiguruje jenom rozšíření aplikace jednotného přihlašování a použije poskytovatele MDM, jako je Intune, k nasazení nastavení do zařízení.

  Tento článek použijte, pokud chcete konfigurovat jenom nastavení rozšíření aplikace s jednotným přihlašováním a nechcete také konfigurovat jednotné přihlašování platformy.

• Katalog nastavení – Tato možnost konfiguruje jednotné přihlašování platformy a rozšíření aplikace jednotného přihlašování. K nasazení nastavení do zařízení použijete Intune.

  Nastavení katalogu nastavení použijte, pokud chcete nakonfigurovat nastavení jednotného přihlašování platformy i rozšíření aplikace jednotného přihlašování. Další informace najdete v tématu Konfigurace jednotného přihlašování platformy pro zařízení s macOS v Microsoft Intune.

Přehled možností jednotného přihlašování na zařízeních Apple najdete v tématu Přehled jednotného přihlašování a možnosti pro zařízení Apple v Microsoft Intune.

Tento článek popisuje, jak vytvořit zásady konfigurace rozšíření aplikace s jednotným přihlašováním pro zařízení Apple s macOS s Intune, Jamf Pro a dalšími řešeními MDM.

Pokud chcete nakonfigurovat jednotné přihlašování platformy a nastavení rozšíření aplikace s jednotným přihlašováním, přejděte na téma Konfigurace jednotného přihlašování platformy pro zařízení s macOS v Microsoft Intune.

Podpora aplikací

Aby vaše aplikace mohly používat modul plug-in Microsoft Enterprise SSO, máte dvě možnosti:

• Možnost 1 – MSAL: Aplikace, které podporují knihovnu Microsoft Authentication Library (MSAL), automaticky využívají modul plug-in Microsoft Enterprise SSO. Například aplikace Microsoft 365 podporují KNIHOVNU MSAL. Takže automaticky používají modul plug-in.

  Pokud vaše organizace vytváří vlastní aplikace, může vývojář aplikace přidat závislost do knihovny MSAL. Tato závislost umožňuje vaší aplikaci používat modul plug-in Microsoft Enterprise SSO.

  Ukázkový kurz najdete v tématu Kurz: Přihlášení uživatelů a volání Microsoft Graphu z aplikace pro iOS nebo macOS.

• Možnost 2 – Seznam povolených: Aplikace, které nepodporují nebo nebyly vyvinuty pomocí MSAL, můžou používat rozšíření aplikace jednotného přihlašování. Mezi tyto aplikace patří prohlížeče, jako je Safari, a aplikace, které používají rozhraní API webového zobrazení Safari.

  U těchto aplikací bez MSAL přidejte ID sady aplikací nebo předponu do konfigurace rozšíření v zásadách rozšíření aplikace Intune jednotného přihlašování (v tomto článku).

  Pokud například chcete povolit aplikaci Microsoftu, která nepodporuje MSAL, přidejte com.microsoft. do vlastnosti AppPrefixAllowList v zásadách Intune. Buďte opatrní s aplikacemi, které povolíte, můžou obejít interaktivní výzvy k přihlášení pro přihlášeného uživatele.

  Další informace najdete v článku Modul plug-in Microsoft Enterprise SSO pro zařízení Apple – aplikace, které nepoužívají MSAL.

Požadavky

Použití modulu plug-in Microsoft Enterprise SSO na zařízeních s macOS:

Intune

• Zařízení spravuje mdm Intune.
• Zařízení musí podporovat modul plug-in:
  • macOS 10.15 a novější
• Aplikace Microsoft Portál společnosti musí být na zařízení nainstalovaná a nakonfigurovaná.
• Jsou nakonfigurované požadavky na modul plug-in Podnikové jednotné přihlašování, včetně adres URL pro konfiguraci sítě Apple.

Jamf Pro

• Zařízení spravuje Jamf Pro.

• Zařízení musí podporovat modul plug-in:

  • macOS 10.15 a novější

• Na zařízení musí být nainstalovaná aplikace Microsoft Portál společnosti.

  Uživatelé můžou aplikaci Portál společnosti nainstalovat ručně. Nebo můžou správci nasadit aplikaci pomocí Jamf Pro. Seznam možností instalace aplikace Portál společnosti najdete v tématu Správa balíčků – přidání balíčku do Jamf Správa (otevře web Jamf Pro).

  Poznámka

  Na zařízeních s macOS apple vyžaduje, aby byla nainstalovaná aplikace Portál společnosti. Uživatelé nemusí aplikaci Portál společnosti používat ani konfigurovat, stačí ji nainstalovat na zařízení.

• Jsou nakonfigurované požadavky na modul plug-in Podnikové jednotné přihlašování, včetně adres URL pro konfiguraci sítě Apple.

Jiné mdmy

• Zařízení spravuje poskytovatel správy mobilních zařízení (MDM).

• Řešení MDM musí podporovat konfiguraci nastavení datové části MDM jednotného přihlašování pro zařízení Apple (otevře web společnosti Apple) se zásadami zařízení.

• Zařízení musí podporovat modul plug-in:

  • macOS 10.15 a novější

• Na zařízení musí být nainstalovaná aplikace Microsoft Portál společnosti.

  Uživatelé můžou aplikaci Portál společnosti nainstalovat ručně. Nebo můžou správci nasadit aplikaci pomocí zásad MDM. Instalační balíček Portál společnosti aplikace si můžete stáhnout.

  Poznámka

  Na zařízeních s macOS apple vyžaduje, aby byla nainstalovaná aplikace Portál společnosti. Uživatelé nemusí aplikaci Portál společnosti používat ani konfigurovat, stačí ji nainstalovat na zařízení.

• Jsou nakonfigurované požadavky na modul plug-in Podnikové jednotné přihlašování, včetně adres URL pro konfiguraci sítě Apple.

Modul plug-in Microsoft Enterprise SSO vs. rozšíření Kerberos SSO

Když používáte rozšíření aplikace s jednotným přihlašováním, použijete k ověřování typ jednotné přihlašování nebo datové části Kerberos . Rozšíření aplikace s jednotným přihlašováním je navržené tak, aby zlepšilo přihlašování pro aplikace a weby, které používají tyto metody ověřování.

Modul plug-in Microsoft Enterprise SSO používá typ datové části jednotného přihlašování s ověřováním přesměrovávání . Typy rozšíření Přesměrování jednotného přihlašování a Kerberos je možné použít na zařízení současně. Nezapomeňte vytvořit samostatné profily zařízení pro každý typ rozšíření, který chcete na svých zařízeních používat.

Pokud chcete určit správný typ rozšíření jednotného přihlašování pro váš scénář, použijte následující tabulku:

---

Modul plug-in Microsoft Enterprise SSO pro zařízení Apple	Rozšíření aplikace pro jednotné přihlašování pomocí protokolu Kerberos
Používá typ rozšíření aplikace Microsoft Entra ID jednotného přihlašování.	Používá typ rozšíření aplikace s jednotným přihlašováním Kerberos .
Podporuje následující aplikace: – Microsoft 365 – Aplikace, weby nebo služby integrované s Microsoft Entra ID	Podporuje následující aplikace: – Aplikace, weby nebo služby integrované s AD

Další informace o rozšíření aplikace pro jednotné přihlašování najdete v tématu Přehled jednotného přihlašování a možnosti pro zařízení Apple v Microsoft Intune.

Create zásad konfigurace rozšíření aplikace s jednotným přihlašováním

V této části se dozvíte, jak vytvořit zásady rozšíření aplikace s jednotným přihlašováním. Informace o jednotném přihlašování k platformě najdete v tématu Konfigurace jednotného přihlašování platformy pro zařízení s macOS v Microsoft Intune.

Intune

V Centru pro správu Microsoft Intune vytvořte profil konfigurace zařízení. Tento profil obsahuje nastavení pro konfiguraci rozšíření aplikace jednotného přihlašování na zařízeních.

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. VyberteKonfigurace>zařízení>Create>Nové zásady.

3. Zadejte tyto vlastnosti:

   • Platforma: Vyberte macOS.
   • Typ profilu: Vyberte Šablony>Funkce zařízení.

4. Vyberte Create:

   

5. V Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název zásady. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrým názvem zásady je například rozšíření aplikace s jednotným přihlašováním pro macOS.
   • Popis: Zadejte popis zásady. Toto nastavení není povinné, ale doporučujeme ho zadat.

6. Vyberte Další.

7. V nastavení konfigurace vyberte Rozšíření aplikace jednotného přihlašování a nakonfigurujte následující vlastnosti:

   • Typ rozšíření aplikace s jednotným přihlašováním: Vyberte Microsoft Entra ID:

     

   • ID sady aplikací: Zadejte seznam ID sad pro aplikace, které nepodporují MSAL a můžou používat jednotné přihlašování. Další informace najdete v tématu Aplikace, které nepoužívají knihovnu MSAL.

   • Další konfigurace: Pokud chcete přizpůsobit prostředí koncového uživatele, můžete přidat následující vlastnosti. Tyto vlastnosti jsou výchozí hodnoty používané rozšířením aplikace jednotného přihlašování, ale dají se přizpůsobit potřebám vaší organizace:

     Klíč	Typ	Popis
     AppPrefixAllowList	String	Doporučená hodnota: com.microsoft.,com.apple. Zadejte seznam předpon pro aplikace, které nepodporují knihovnu MSAL a můžou používat jednotné přihlašování. Zadáním například com.microsoft.,com.apple. povolíte všechny aplikace Microsoftu a Apple. Ujistěte se, že tyto aplikace splňují požadavky na seznam povolených.
     browser_sso_interaction_enabled	Celé číslo	Doporučená hodnota: 1 Pokud je tato možnost nastavená na 1, uživatelé se můžou přihlašovat z prohlížeče Safari a z aplikací, které msal nepodporují. Povolení tohoto nastavení umožní uživatelům spustit rozšíření ze Safari nebo jiných aplikací.
     disable_explicit_app_prompt	Celé číslo	Doporučená hodnota: 1 Některé aplikace můžou nesprávně vynucovat výzvy koncových uživatelů ve vrstvě protokolu. Pokud narazíte na tento problém, zobrazí se uživatelům výzva k přihlášení, i když modul plug-in Microsoft Enterprise SSO funguje pro jiné aplikace. Při nastavení na 1 hodnotu (jedna) se tyto výzvy zmenšují.

     Tip

     Další informace o těchto vlastnostech a dalších vlastnostech, které můžete konfigurovat, najdete v modulu plug-in Microsoft Enterprise SSO pro zařízení Apple.

     Po dokončení konfigurace doporučeného nastavení budou nastavení vypadat podobně jako následující hodnoty v konfiguračním profilu Intune:

     

8. Pokračujte ve vytváření profilu a přiřaďte ho uživatelům nebo skupinám, které obdrží tato nastavení. Konkrétní kroky najdete v Create profilu.

   Pokyny k přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

Jakmile bude zásada připravená, přiřadíte ji uživatelům. Microsoft doporučuje, abyste zásady přiřadili, když se zařízení zaregistruje do Intune. Dá se ale kdykoli přiřadit, a to i na stávajících zařízeních. Když se zařízení přihlásí ke službě Intune, obdrží tento profil. Další informace najdete v tématu Intervaly aktualizace zásad.

Pokud chcete zkontrolovat, jestli je profil správně nasazený, přejděte v Centru pro správu Intune dočásti Konfigurace>zařízení>, vyberte profil, který jste vytvořili, a vygenerujte sestavu:

Jamf Pro

Na portálu Jamf Pro vytvoříte profil konfigurace počítače. Tento profil obsahuje nastavení pro konfiguraci rozšíření aplikace jednotného přihlašování na zařízeních.

1. Přihlaste se k portálu Jamf Pro.

2. Pokud chcete vytvořit profil macOS, vyberte Počítače>Konfigurační profily>Nový:

   

3. Do pole Název zadejte popisný název zásady. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrý název zásady je například: modul plug-in macOS-Microsoft Enterprise SSO.

4. Ve sloupci Možnosti se posuňte dolů a vyberte Jedno rozšíření Sign-On>Přidat:

   

5. Zadejte tyto vlastnosti:

   • Typ datové části: Vyberte jednotné přihlašování.
   • Identifikátor rozšíření: Zadejte com.microsoft.CompanyPortalMac.ssoextension.
   • Identifikátor týmu: Zadejte UBF8T346G9.
   • Typ přihlášení: Vyberte Přesměrování.
   • Adresy URL: Jednu po druhé zadejte následující adresy URL:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. V části Vlastní konfigurace definujete další požadované vlastnosti. Jamf Pro vyžaduje, aby tyto vlastnosti byly nakonfigurované pomocí nahraného souboru PLIST. Úplný seznam konfigurovatelných vlastností najdete v dokumentaci k modulu plug-in Microsoft Enterprise SSO pro zařízení Apple.

   Následující příklad je doporučený soubor PLIST, který splňuje potřeby většiny organizací:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Tato nastavení PLIST konfigurují následující možnosti rozšíření jednotného přihlašování. Tyto vlastnosti jsou výchozí hodnoty používané rozšířením aplikace jednotného přihlašování, ale dají se přizpůsobit potřebám vaší organizace:

   Klíč	Typ	Popis
   AppPrefixAllowList	String	Doporučená hodnota: com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. Zadejte seznam předpon pro aplikace, které nepodporují knihovnu MSAL a můžou používat jednotné přihlašování. Zadáním například com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. povolíte všechny aplikace Microsoft, Apple a Jamf Pro. Ujistěte se, že tyto aplikace splňují požadavky na seznam povolených.
   disable_explicit_app_prompt	Celé číslo	Doporučená hodnota: 1 Některé aplikace můžou nesprávně vynucovat výzvy koncových uživatelů ve vrstvě protokolu. Pokud narazíte na tento problém, zobrazí se uživatelům výzva k přihlášení, i když modul plug-in Microsoft Enterprise SSO funguje pro jiné aplikace. Při nastavení na 1 hodnotu (jedna) se tyto výzvy zmenšují.

   Tip

   Další informace o těchto vlastnostech a dalších vlastnostech, které můžete konfigurovat, najdete v modulu plug-in Microsoft Enterprise SSO pro zařízení Apple.

7. Vyberte kartu Obor . Zadejte počítače nebo zařízení, na které by se měl zaměřit profil MDM rozšíření jednotného přihlašování.

8. Vyberte Uložit.

Když se zařízení přihlásí ke službě Jamf Pro, obdrží tento profil.

Tip

Pokud používáte Jamf Connect, doporučujeme postupovat podle nejnovějších pokynů k integraci Jamf Connect s Microsoft Entra ID (otevře web Jamf Pro). Doporučený model integrace zajišťuje, že Jamf Connect funguje správně se zásadami podmíněného přístupu a Microsoft Entra ID Protection.

Jiné mdmy

Na portálu MDM vytvořte profil konfigurace zařízení. Tento profil obsahuje nastavení pro konfiguraci rozšíření aplikace jednotného přihlašování na zařízeních.

1. Přihlaste se k portálu MDM.

2. Create nový profil konfigurace zařízení.

3. Vyberte možnost s názvem Jedno rozšíření Sign-On nebo rozšíření jednotného přihlašování. Název se může lišit v závislosti na vaší službě MDM.

4. Zadejte tyto vlastnosti:

   Klíč	Hodnota
   Typ datové části	SSO
   Identifikátor rozšíření	com.microsoft.CompanyPortalMac.ssoextension
   Identifikátor týmu	UBF8T346G9
   typ Sign-On	Přesměrování
   Adresy url	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Volitelně můžete nakonfigurovat další vlastnosti. Tyto vlastnosti jsou výchozí hodnoty používané rozšířením aplikace jednotného přihlašování, ale dají se přizpůsobit potřebám vaší organizace:

   Klíč	Typ	Popis
   AppPrefixAllowList	String	Doporučená hodnota: com.microsoft.,com.apple. Zadejte seznam předpon pro aplikace, které nepodporují knihovnu MSAL a můžou používat jednotné přihlašování. Zadáním například com.microsoft.,com.apple. povolíte všechny aplikace Microsoftu a Apple. Ujistěte se, že tyto aplikace splňují požadavky na seznam povolených.
   browser_sso_interaction_enabled	Celé číslo	Doporučená hodnota: 1 Pokud je tato možnost nastavená na 1, uživatelé se můžou přihlašovat z prohlížeče Safari a z aplikací, které msal nepodporují. Povolení tohoto nastavení umožní uživatelům spustit rozšíření ze Safari nebo jiných aplikací.
   disable_explicit_app_prompt	Celé číslo	Doporučená hodnota: 1 Některé aplikace můžou nesprávně vynucovat výzvy koncových uživatelů ve vrstvě protokolu. Pokud narazíte na tento problém, zobrazí se uživatelům výzva k přihlášení, i když modul plug-in Microsoft Enterprise SSO funguje pro jiné aplikace. Při nastavení na 1 hodnotu (jedna) se tyto výzvy zmenšují.

   Tip

   Další informace o těchto vlastnostech a dalších vlastnostech, které můžete konfigurovat, najdete v modulu plug-in Microsoft Enterprise SSO pro zařízení Apple.

6. Přiřaďte novou zásadu zařízením, která by měla být určena pro příjem profilu MDM rozšíření jednotného přihlašování.

Když se zařízení přihlásí ke službě MDM, obdrží tento profil.

Prostředí koncového uživatele

• Pokud aplikaci Portál společnosti nenasazujete pomocí zásad aplikace, musí ji uživatelé nainstalovat ručně. Uživatelé nemusí používat aplikaci Portál společnosti, stačí ji nainstalovat na zařízení.

• Uživatelé se přihlásí k jakékoli podporované aplikaci nebo webu, aby mohli rozšíření spustit. Bootstrap je proces prvního přihlášení, který nastavuje rozšíření.

• Po úspěšném přihlášení uživatelů se rozšíření automaticky použije k přihlášení k jakékoli jiné podporované aplikaci nebo webu.

Jednotné přihlašování můžete otestovat tak, že otevřete Safari v privátním režimu (otevře web společnosti Apple) a otevřete https://portal.office.com web. Nebude vyžadováno uživatelské jméno a heslo.

Když se uživatelé v systému macOS přihlásí k pracovní nebo školní aplikaci, zobrazí se jim výzva, aby se přihlásili k jednotnému přihlašování nebo se z jednotného přihlašování odhlásili. Můžou vybrat Možnost Příště se mě už nezobrazovat , abych se odhlásila z jednotného přihlašování a blokovala budoucí žádosti.

Uživatelé můžou také spravovat předvolby jednotného přihlašování v aplikaci Portál společnosti pro macOS. Pokud chcete upravit předvolby, přejděte na řádek > nabídek aplikace Portál společnosti Portál společnosti>Nastavení. Můžou vybrat nebo zrušit výběr nepožadovat, abych se k tomuto zařízení přihlásil pomocí jednotného přihlašování.

Tip

Další informace o tom, jak modul plug-in pro jednotné přihlašování funguje a jak řešit potíže s rozšířením Microsoft Enterprise SSO, najdete v průvodci odstraňováním potíží s jednotným přihlašováním pro zařízení Apple.

Související články

• Informace o modulu plug-in Microsoft Enterprise SSO najdete v článku Modul plug-in Microsoft Enterprise SSO pro zařízení Apple.

• Informace o datové části rozšíření jednotného přihlašování od společnosti Apple najdete v nastavení datové části rozšíření jednotného přihlašování (otevře web společnosti Apple).

• Informace o řešení potíží s rozšířením Microsoft Enterprise SSO najdete v tématu Řešení potíží s modulem plug-in Microsoft Enterprise SSO Extension na zařízeních Apple.