Microsoft Enterprise SSO-Plug-In für Apple-Geräte (Vorschau)Microsoft Enterprise SSO plug-in for Apple devices (Preview)

Hinweis

Dieses Feature befindet sich in der Phase der öffentlichen Vorschau.This feature is in public preview. Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar.Certain features might not be supported or might have constrained capabilities. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Das Microsoft Enterprise SSO-Plug-In für Apple-Geräte ermöglicht einmaliges Anmelden (Single Sign-On, SSO) für Azure AD-Konten (Azure Active Directory) über alle Anwendungen hinweg, die das Feature Enterprise Single Sign-On von Apple unterstützen.The Microsoft Enterprise SSO plug-in for Apple devices provides single sign-on (SSO) for Azure Active Directory (Azure AD) accounts across all applications that support Apple's Enterprise Single Sign-On feature. Microsoft hat bei der Entwicklung dieses Plug-Ins eng mit Apple zusammengearbeitet, um die Nutzbarkeit Ihrer Anwendung zu erhöhen, während gleichzeitig der bestmögliche Schutz durch Apple und Microsoft gewährt wird.Microsoft worked closely with Apple to develop this plug-in to increase your application's usability while providing the best protection that Apple and Microsoft can provide.

In diesem Public Preview-Release ist das Enterprise SSO-Plug-In nur für iOS-Geräte verfügbar und in bestimmten Microsoft-Anwendungen enthalten.In this Public Preview release, the Enterprise SSO plug-in is available only for iOS devices and is distributed in certain Microsoft applications.

FeaturesFeatures

Mit dem Microsoft Enterprise SSO-Plug-In für Apple-Geräte ergeben sich für Sie die folgenden Vorteile:The Microsoft Enterprise SSO plug-in for Apple devices offers the following benefits:

  • SSO für Azure AD-Konten über alle Anwendungen hinweg, die das Feature „Enterprise Single Sign-On“ von Apple unterstützen.Provides SSO for Azure AD accounts across all applications that support Apple's Enterprise Single Sign-On feature.
  • Automatische Bereitstellung in Microsoft Authenticator und Aktivierung mit jeder Lösung für die mobile Geräteverwaltung (Mobile Device Management, MDM).Delivered automatically in the Microsoft Authenticator and can be enabled by any mobile device management (MDM) solution.

AnforderungenRequirements

Für die Nutzung des Microsoft Enterprise SSO-Plug-Ins für Apple-Geräte gelten die folgenden Anforderungen:To use Microsoft Enterprise SSO plug-in for Apple devices:

  • iOS 13.0 oder höher muss auf dem Gerät installiert sein.iOS 13.0 or higher must be installed on the device.
  • Eine Microsoft-Anwendung, über die das Microsoft Enterprise SSO-Plug-In für Apple-Geräte bereitgestellt wird, muss auf dem Gerät installiert sein.A Microsoft application that provides the Microsoft Enterprise SSO plug-in for Apple devices must be installed on the device. In der Public Preview-Phase enthalten diese Anwendungen die Microsoft Authenticator-App.For Public Preview, these applications include the Microsoft Authenticator app.
  • Das Gerät muss über die mobile Geräteverwaltung registriert werden (z. B. mit Microsoft Intune).Device must be MDM-enrolled (for example, with Microsoft Intune).
  • Die Konfiguration muss per Pushvorgang auf das Gerät übertragen werden, um darauf das Microsoft Enterprise SSO-Plug-In für Apple-Geräte zu aktivieren.Configuration must be pushed to the device to enable the Microsoft Enterprise SSO plug-in for Apple devices on the device. Diese Sicherheitseinschränkung wird von Apple gefordert.This security constraint is required by Apple.

Aktivieren des SSO-Plug-Ins mit der mobilen Geräteverwaltung (Mobile Device Management, MDM)Enable the SSO plug-in with mobile device management (MDM)

An Ihre Geräte muss über einen MDM-Dienst ein Signal gesendet werden, um das Microsoft Enterprise SSO-Plug-In für Apple-Geräte zu aktivieren.To enable the Microsoft Enterprise SSO plug-in for Apple devices, your devices need to be sent a signal through an MDM service. Da das Microsoft Enterprise SSO-Plug-In in die Microsoft Authenticator-App eingebunden wurde, können Sie Ihre MDM-Lösung zum Konfigurieren der App nutzen, um das Microsoft Enterprise SSO-Plug-In zu aktivieren.Since Microsoft includes the Enterprise SSO plug-in in the Microsoft Authenticator app, use your MDM to configure the app to enable the Microsoft Enterprise SSO plug-in.

Verwenden Sie die folgenden Parameter, um das Microsoft Enterprise SSO-Plug-In für Apple-Geräte zu konfigurieren:Use the following parameters to configure the Microsoft Enterprise SSO plug-in for Apple devices:

  • Typ: UmleitenType: Redirect
  • Erweiterungs-ID: com.microsoft.azureauthenticator.ssoextensionExtension ID: com.microsoft.azureauthenticator.ssoextension
  • Team-ID: (dieses Feld wird für iOS nicht benötigt)Team ID: (this field is not needed for iOS)
  • URLs:URLs:
    • https://login.microsoftonline.com
    • https://login.microsoft.com
    • https://sts.windows.net
    • https://login.partner.microsoftonline.cn
    • https://login.chinacloudapi.cn
    • https://login.microsoftonline.de
    • https://login.microsoftonline.us
    • https://login.usgovcloudapi.net
    • https://login-us.microsoftonline.com

Zusätzliche KonfigurationsoptionenAdditional configuration options

Zusätzliche Konfigurationsoptionen können hinzugefügt werden, um die SSO-Funktionalität auf weitere Apps auszuweiten.Additional configuration options can be added to extend SSO functionality to additional apps.

Aktivieren von SSO für Apps, die MSAL nicht verwendenEnable SSO for apps that don't use MSAL

Mit dem SSO-Plug-In können alle Anwendungen vom einmaligen Anmelden (SSO) partizipieren, auch wenn sie nicht mit einem Microsoft-SDK wie Microsoft Authentication Library (MSAL) entwickelt wurden.The SSO plug-in allows any application to participate in single sign-on even if it was not developed using a Microsoft SDK like the Microsoft Authentication Library (MSAL).

Das SSO-Plug-In wird automatisch auf Geräten installiert, auf denen die Microsoft Authenticator-App heruntergeladen wurde und die bei Ihrer Organisation registriert wurden.The SSO plug-in is installed automatically by devices that have downloaded the Microsoft Authenticator app and registered their device with your organization. Ihre Organisation verwendet die Authenticator-App aktuell wahrscheinlich für Szenarien wie Multi-Factor Authentication, kennwortlose Authentifizierung und bedingten Zugriff.Your organization likely uses the Authenticator app today for scenarios like multi-factor authentication, password-less authentication, and conditional access. Sie kann mithilfe eines beliebigen MDM-Anbieters für Ihre Anwendungen aktiviert werden, auch wenn Microsoft das Konfigurieren in Microsoft Endpoint Manager von Intune vereinfacht hat.It can be turned on for your applications using any MDM provider, although Microsoft has made it easy to configure inside the Microsoft Endpoint Manager of Intune. Zum Konfigurieren dieser Anwendungen für die Verwendung des SSO-Plug-Ins, das durch die Authenticator-App installiert wurde, wird eine Positivliste verwendet.An allow list is used to configure these applications to use the SSO plugin installed by the Authenticator app.

Es werden nur Apps unterstützt, die native Apple-Netzwerktechnologien oder -Webansichten verwenden.Only apps that use native Apple network technologies or webviews are supported. Wenn eine Anwendung ihre eigene Implementierung der Netzwerkschicht beinhaltet, wird das Microsoft Enterprise SSO-Plug-In nicht unterstützt.If an application ships its own network layer implementation, Microsoft Enterprise SSO plug-in is not supported.

Verwenden Sie die folgenden Parameter, um das Microsoft Enterprise SSO-Plug-In für Apps zu konfigurieren, die MSAL nicht verwenden:Use the following parameters to configure the Microsoft Enterprise SSO plug-in for apps that don't use MSAL:

  • Schlüssel: AppAllowListKey: AppAllowList
  • Typ: StringType: String
  • Value: Kommagetrennte Liste mit den Bundle-IDs der Anwendungen, die für das einmalige Anmelden (SSO) zugelassen sind.Value: Comma-delimited list of application bundle IDs for the applications that are allowed to participate in the SSO
  • Beispiel: com.contoso.workapp, com.contoso.travelappExample: com.contoso.workapp, com.contoso.travelapp

Mit Zustimmung versehene Apps, denen der MDM-Administrator die Genehmigung für die SSO-Teilnahme erteilt hat, können automatisch ein Token für den Endbenutzer erhalten.Consented apps that are allowed by the MDM admin to participate in the SSO can silently get a token for the end user. Daher ist es wichtig, der Positivliste nur vertrauenswürdige Anwendungen hinzuzufügen.Therefore, it is important to only add trusted applications to the allow list.

Sie brauchen dieser Liste keine Anwendungen hinzuzufügen, die MSAL oder ASWebAuthenticationSession verwenden.You don't need to add applications that use MSAL or ASWebAuthenticationSession to this list. Diese Anwendungen sind standardmäßig aktiviert.Those applications are enabled by default.

Zulassen der SSO-Sitzungserstellung von beliebigen AnwendungenAllow creating SSO session from any application

Standardmäßig stellt das Microsoft Enterprise SSO-Plug-In einmaliges Anmelden (SSO) für autorisierte Apps nur dann bereit, wenn das SSO-Plug-In bereits über freigegebene Anmeldeinformationen verfügt.By default, the Microsoft Enterprise SSO plug-in provides SSO for authorized apps only when the SSO plug-in already has a shared credential. Das Microsoft Enterprise SSO-Plug-In kann freigegebene Anmeldeinformationen abrufen, wenn es beim Tokenerwerb von einer anderen auf ADAL oder MSAL basierenden Anwendung aufgerufen wird.The Microsoft Enterprise SSO plug-in can acquire a shared credential when it is called by another ADAL or MSAL-based application during token acquisition. Die meisten Microsoft-Apps verwenden Microsoft Authenticator oder das SSO-Plug-In.Most of the Microsoft apps use Microsoft Authenticator or SSO plug-in. Dies bedeutet, dass einmaliges Anmelden (SSO) außerhalb des nativen Anwendungsflows standardmäßig die größte Mühe macht.That means that by default SSO outside of native app flows is best effort.

Durch Aktivieren des browser_sso_interaction_enabled-Flags können Apps ohne MSAL und der Safari-Browser das anfängliche Bootstrapping ausführen und freigegebene Anmeldeinformationen abrufen.Enabling browser_sso_interaction_enabled flag enables non-MSAL apps and Safari browser to do the initial bootstrapping and get a shared credential. Wenn das Microsoft Enterprise SSO-Plug-In noch nicht über freigegebene Anmeldeinformationen verfügt, versucht es jedes Mal Anmeldeinformationen abzurufen, wenn von einer Azure AD-URL im Safari-Browser, von ASWebAuthenticationSession, von SafariViewController oder von einer anderen zugelassenen nativen Anwendung eine Anmeldung angefordert wird.If the Microsoft Enterprise SSO plug-in doesn’t have a shared credential yet, it will try to get one whenever a sign-in is requested from an Azure AD URL inside Safari browser, ASWebAuthenticationSession, SafariViewController, or another permitted native application.

  • Schlüssel: browser_sso_interaction_enabledKey: browser_sso_interaction_enabled
  • Typ: IntegerType: Integer
  • Value: 1 oder 0Value: 1 or 0

Wir empfehlen, dieses Flag zu aktivieren, um in allen Apps eine einheitlichere Darstellung zu erzielen.We recommend enabling this flag to get more consistent experience across all apps. Diese Einstellung ist standardmäßig deaktiviert.It is disabled by default.

Deaktivieren von Eingabeaufforderungen durch OAuth2-AnwendungenDisable OAuth2 application prompts

Das Microsoft Enterprise SSO-Plug-In ermöglicht einmaliges Anmelden (SSO), indem es an Netzwerkanforderungen, die von zulässigen Anwendungen stammen, freigegebene Anmeldeinformationen anfügt.The Microsoft Enterprise SSO plug-in provides SSO by appending shared credentials to network requests coming from allowed applications. Einige OAuth2-Anwendungen erzwingen möglicherweise eine Endbenutzereingabeaufforderung auf Protokollebene.Some OAuth2 applications might be enforcing end-user prompt on the protocol layer. Freigegebene Anmeldeinformationen werden von diesen Apps ignoriert.Shared credential would be ignored for those apps.

Wenn Sie das disable_explicit_app_prompt-Flag aktivieren, wird die Fähigkeit von nativen und Webanwendungen, eine Endbenutzereingabeaufforderung auf der Protokollebene zu erzwingen und SSO zu umgehen, eingeschränkt.Enabling disable_explicit_app_prompt flag restricts ability of both native and web applications to force an end-user prompt on the protocol layer and bypass SSO.

  • Schlüssel: disable_explicit_app_promptKey: disable_explicit_app_prompt
  • Typ: IntegerType: Integer
  • Value: 1 oder 0Value: 1 or 0

Wir empfehlen, dieses Flag zu aktivieren, um in allen Apps eine einheitlichere Darstellung zu erzielen.We recommend enabling this flag to get more consistent experience across all apps. Diese Einstellung ist standardmäßig deaktiviert.It is disabled by default.

Verwenden von Intune zum Vereinfachen der KonfigurationUse Intune for simplified configuration

Sie können Microsoft Intune als Ihren MDM-Dienst verwenden, um die Konfiguration des Microsoft Enterprise SSO-Plug-Ins zu vereinfachen.You can use Microsoft Intune as your MDM service to ease configuration of the Microsoft Enterprise SSO plug-in. Weitere Informationen finden Sie in der Dokumentation zur Intune-Konfiguration.For more information, see the Intune configuration documentation.

Verwenden des SSO-Plug-Ins in Ihrer AnwendungUsing the SSO plug-in in your application

Version 1.1.0 (und höher) der Microsoft Authentication Library (MSAL) für Apple-Geräte unterstützt das Microsoft Enterprise SSO-Plug-In für Apple-Geräte.The Microsoft Authentication Library (MSAL) for Apple devices version 1.1.0 and higher supports the Microsoft Enterprise SSO plug-in for Apple devices.

Wenn Sie eine Anwendung für Mitarbeiter im Kundenkontakt oder vergleichbare Szenarien erstellen, finden Sie weitere Informationen zum Setup des Features unter Modus für gemeinsam genutzte Geräte für iOS-Geräte.If you're building an application for Frontline Worker scenarios, see Shared device mode for iOS devices for additional setup of the feature.

Funktionsweise des SSO-Plug-InsHow the SSO plug-in works

Das Microsoft Enterprise SSO-Plug-In basiert auf dem Enterprise Single Sign-On-Framework von Apple.The Microsoft Enterprise SSO plug-in relies on the Apple's Enterprise Single Sign-On framework. In das Framework integrierte Identitätsanbieter können den Netzwerkdatenverkehr für ihre Domänen abfangen und die Verarbeitung dieser Anforderungen verbessern oder ändern.Identity providers that onboard to the framework can intercept network traffic for their domains and enhance or change how those requests are handled. Das SSO-Plug-In kann z. B. eine zusätzliche Benutzeroberfläche anzeigen, um Anmeldeinformationen von Endbenutzern sicher zu erfassen, MFA anzufordern oder automatisch Token für die Anwendung bereitzustellen.For example, the SSO plug-in can show additional UI to collect end-user credentials securely, require MFA, or silently provide tokens to the application.

Native Anwendungen können außerdem benutzerdefinierte Vorgänge implementieren und direkt mit dem SSO-Plug-In kommunizieren.Native applications can also implement custom operations and talk directly to the SSO plug-in. Weitere Informationen zum SSO-Framework erhalten Sie im WWDC-Video von 2019 von Apple.You can learn about Single Sign-in framework in this 2019 WWDC video from Apple

Anwendungen, die MSAL verwendenApplications that use MSAL

Version 1.1.0 (und höher) der Microsoft Authentication Library (MSAL) für Apple-Geräte unterstützt das Microsoft Enterprise SSO-Plug-In für Apple-Geräte nativ für Geschäfts-, Schul- oder Unikonten.The Microsoft Authentication Library (MSAL) for Apple devices version 1.1.0 and higher supports the Microsoft Enterprise SSO plug-in for Apple devices natively for work and school accounts.

Es ist keine besondere Konfiguration erforderlich, wenn Sie alle empfohlenen Schritte befolgen und das standardmäßige Umleitungs-URI-Format verwenden.There's no special configuration needed if you've followed all recommended steps and used the default redirect URI format. Bei der Ausführung auf einem Gerät, auf dem das SSO-Plug-In vorhanden ist, ruft MSAL das Plug-In automatisch für alle interaktiven und automatischen Tokenanforderungen sowie für Kontoenumerations- und Kontoentfernungsvorgänge auf.When running on a device that has the SSO plug-in present, MSAL will automatically invoke it for all interactive and silent token requests, as well as account enumeration and account removal operations. Da MSAL das native SSO-Plug-In-Protokoll implementiert, das auf benutzerdefinierten Vorgängen basiert, bietet dieses Setup die komfortabelste native Umgebung für den Endbenutzer.Since MSAL implements native SSO plug-in protocol that relies on custom operations, this setup provides the smoothest native experience to the end user.

Wenn das SSO-Plug-In von MDM nicht aktiviert wird, aber die Microsoft Authenticator-App auf dem Gerät vorhanden ist, verwendet MSAL stattdessen die Microsoft Authenticator-App für alle interaktiven Tokenanforderungen.If the SSO plug-in is not enabled by MDM, but the Microsoft Authenticator app is present on the device, MSAL will instead use the Microsoft Authenticator app for any interactive token requests. Das SSO-Plug-In gibt SSO für die Microsoft Authenticator-App frei.The SSO plug-in shares SSO with the Microsoft Authenticator app.

Anwendungen, die MSAL nicht verwendenApplications that don't use MSAL

Anwendungen, die MSAL nicht verwenden, können trotzdem vom einmaligen Anmelden (SSO) profitieren, wenn sie von einem Administrator explizit zur Positivliste hinzugefügt werden.Applications that don't use MSAL can still get SSO if an administrator adds them to the allow list explicitly.

In diesen Apps sind keine Codeänderungen erforderlich, solange die folgenden Bedingungen erfüllt sind:There are no code changes needed in those apps as long as following conditions are satisfied:

  • Die Anwendung verwendet Apple-Frameworks, um Netzwerkanforderungen (z. B. WKWebView, NSURLSession) auszuführen.Application is using Apple frameworks to execute network requests (for example, WKWebView, NSURLSession)
  • Die Anwendung verwendet Standardprotokolle für die Kommunikation mit Azure AD (z. B. OAuth2, SAML, WS-Verbund).Application is using standard protocols to communicate with Azure AD (for example, OAuth2, SAML, WS-Federation)
  • Die Anwendung erfasst auf der nativen Benutzeroberfläche keine Benutzernamen und Kennwörter in Klartext.Application doesn't collect plaintext username and password in the native UI

In diesem Fall wird SSO bereitgestellt, wenn die Anwendung eine Netzwerkanforderung erstellt und einen Webbrowser öffnet, um den Benutzer anzumelden.In this case, SSO is provided when the application creates a network request and opens a web browser to sign the user in. Wenn ein Benutzer zu einer Azure AD-Anmelde-URL umgeleitet wird, überprüft das SSO-Plug-In die URL und prüft, ob für diese URL SSO-Anmeldeinformationen verfügbar sind.When a user is redirected to an Azure AD login URL, the SSO plug-in validates the URL and checks if there is an SSO credential available for that URL. Wenn diese vorhanden sind, übergibt das SSO-Plug-In die SSO-Anmeldeinformationen an Azure AD. Azure AD autorisiert dann die Anwendung, die Netzwerkanforderung abzuschließen, ohne den Benutzer zur Eingabe seiner Anmeldeinformationen aufzufordern.If there is one, the SSO plug-in passes the SSO credential to Azure AD, which authorizes the application to complete the network request without asking the user to enter their credentials. Wenn das Gerät Azure AD bekannt ist, übergibt das SSO-Plug-In außerdem das Gerätezertifikat, um die gerätebasierte bedingte Zugriffsüberprüfung zu erfüllen.Additionally, if the device is known to Azure AD, the SSO plug-in will also pass the device certificate to satisfy the device-based conditional access check.

Zur Unterstützung des einmaligen Anmeldens (SSO) für Apps ohne MSAL implementiert das SSO-Plug-In ein dem Windows-Browser-Plug-In vergleichbares Protokoll, das unter Was ist ein primäres Aktualisierungstoken? beschrieben ist.To support SSO for non-MSAL apps, the SSO plug-in implements a protocol similar to the Windows browser plug-in described in What is a Primary Refresh Token?.

Im Vergleich zu MSAL-basierten Apps ist die Funktionsweise des SSO-Plug-Ins für Apps ohne MSAL transparenter, da die von den Apps bereitgestellte vorhandene Browseranmeldeumgebung integriert wird.Compared to MSAL-based apps, the SSO plug-in acts more transparently for non-MSAL apps by integrating with the existing browser login experience that apps provide. Dem Endbenutzer wird die vertraute Umgebung angezeigt, und er hat zudem den Vorteil, dass er nicht in jeder Anwendung weitere Anmeldungen vornehmen muss.The end user would see their familiar experience, with the benefit of not having to perform additional sign-ins in each of the applications. Anstatt die native Kontoauswahl anzuzeigen, fügt das SSO-Plug-In beispielsweise der webbasierten Kontoauswahlumgebung SSO-Sitzungen hinzu.For example, instead of displaying the native account picker, the SSO plug-in adds SSO sessions to the web-based account picker experience.

Nächste SchritteNext steps

Weitere Informationen zum Modus für gemeinsam genutzte Geräte unter iOS finden Sie im Artikel Modus für gemeinsam genutzte Geräte für iOS-Geräte.For more information about shared device mode on iOS, see Shared device mode for iOS devices.