Az egyszeri bejelentkezés (SSO) áttekintése és lehetőségei Az Apple-eszközök Microsoft Intune

  • Cikk

Az Apple-eszközök egyszeri bejelentkezéssel (SSO) férhetnek hozzá az eszközökhöz, alkalmazásokhoz és webhelyekhez a Microsoft Entra ID használatával. Az egyszeri bejelentkezés lehetővé teszi, hogy a felhasználók minden alkalommal anélkül jelentkezzenek be és férhessenek hozzá, hogy megadták a hitelesítő adataikat.

Ez a cikk a következőkre vonatkozik:

  • iOS/iPadOS
  • macOS

Az eszközök és a legtöbb alkalmazás, beleértve az üzletági (LOB) alkalmazásokat is, bizonyos szintű felhasználói hitelesítést igényel. A hitelesítés sok esetben megköveteli, hogy a felhasználók ismételten ugyanazokat a hitelesítő adatokat adjanak meg.

A rendszergazdák a Microsoft Intune használatával hozhatnak létre és helyezhetnek üzembe SSO-szabályzatokat. A fejlesztők olyan alkalmazásokat hozhatnak létre, amelyek támogatják és használják az egyszeri bejelentkezést (SSO). Ha a Intune SSO-házirendeket az egyszeri bejelentkezést támogató alkalmazásokkal kombinálja, az alkalmazások és webhelyek hitelesítő adatainak kérései száma csökken.

Az Apple-eszközök egyszeri bejelentkezésének konfigurálásához az Intune a következő lehetőségek közül választhat:

Ez a cikk áttekintést nyújt az Apple-eszközökhöz elérhető SSO-lehetőségekről a Intune-ben, valamint azok támogatott platformjairól.

Platform SSO

Ez a funkció az alábbiakra vonatkozik:

  • macOS

A Microsoft Enterprise SSO beépülő modul két SSO-funkciót tartalmaz: a platform SSO-t és az SSO-alkalmazásbővítményt. Ez a szakasz a Platform SSO-val foglalkozik.

MacOS-eszközökön a felhasználók általában helyi fiókkal jelentkeznek be. Ezután bejelentkeznek az alkalmazásokba és webhelyekre a Microsoft Entra ID.

Platform SSO-val:

  • A szervezetek:

    • Válassza ki az üzleti igényeinek megfelelő hitelesítési módszert. A következő lehetőségek közül választhat: Biztonságos enklávé jelszó nélküli jelszó nélküli hitelesítés, Microsoft Entra felhasználói fiók & jelszó vagy intelligenskártya-hitelesítés.

    • Használja az SSO-alkalmazásbővítményt, mivel az SSO-alkalmazásbővítmény a Platform SSO része. Konkrétan a következőt:

      • Az SSO alkalmazásbővítmény használatával jelentkezzen be az alkalmazásokba és webhelyekre Microsoft Entra ID.
      • Az SSO-konfiguráció továbbfejlesztéséhez használja a Platform SSO-t. Különböző hitelesítési módszereket konfigurálhat, új szervezeti felhasználókat hozhat létre bejelentkezéskor, és engedélyezési módokat rendelhet a felhasználókhoz.

  • Végfelhasználók:

    • Biztonságosabb bejelentkezési élményben lehet része, Microsoft Entra ID integrálható a Microsoft Enterprise SSO beépülő modullal.
    • Egyszeri bejelentkezést kaphat az SSO-alkalmazásbővítménnyel kombinálva. Az SSO-alkalmazásbővítmény lehetővé teszi a Touch ID és a hozzáférési kulcsok használatát Microsoft Entra ID.
    • Bejelentkezhet a Microsoft Entra felhasználói fiókjával, és minimalizálhatja, hogy hányszor kell megadnia a Microsoft Entra hitelesítő adatait a macOS-eszközein.

A platform egyszeri bejelentkezéséről és az első lépésekről további információt a Platform SSO konfigurálása macOS-eszközökhöz a Intune című témakörben talál.

Platform SSO-funkciók összegzése

Az alábbi táblázat az Intune platform SSO-funkcióit foglalja össze. Ezekkel az információkkal megállapíthatja, hogy a platform egyszeri bejelentkezése megfelelő-e a szervezet számára.

Kiemelés Részletek
Platformtámogatás ❌ iOS/iPadOS
✅ macOS 13.0 és újabb
Támogatott regisztrációs típusok ✅ Eszközregisztráció
✅ Automatizált eszközregisztráció (felügyelt)
❌ Felhasználói regisztráció
✅ Közvetlen regisztráció (Apple Configurator)
Támogatott hitelesítési típusok ✅ Biztonságos enklávé (UserSecureEnclaveKey)
✅Jelszó (Microsoft Entra ID)
✅ Smartcard
Támogatott alkalmazástípusok ✅ Microsoft 365-alkalmazások
✅A Microsoft Entra ID integrált alkalmazások, webhelyek vagy szolgáltatások
✅Alkalmazások, webhelyek vagy szolgáltatások, amelyek támogatják az Apple Enterprise egyszeri bejelentkezést, és integrálva vannak a helyi Active Directory
Intune Felügyeleti központ házirendtípusa Beállításkatalógus-szabályzat a következő helyen:

Eszközök>Konfigurációs>> Létrehozás macOS for platform >Settings catalog for profile type >Authentication>Extensible Egyszeri bejelentkezés (SSO)
Javaslat ✅ Ajánlott.

Használja a Platform SSO-t, mivel az SSO-alkalmazásbővítményt is tartalmazza. Az SSO-alkalmazásbővítményt önállóan is használhatja, de nem ajánlott.

A platform egyszeri bejelentkezésének használatához csak platform SSO-t kell használnia. Ne hozzon létre külön SSO-alkalmazásbővítmény-szabályzatot.

SSO-alkalmazásbővítmény

Ez a funkció az alábbiakra vonatkozik:

  • iOS/iPadOS
  • macOS

A Microsoft Enterprise SSO beépülő modul két SSO-funkciót tartalmaz: a platform SSO-t és az SSO-alkalmazásbővítményt. Ez a szakasz az SSO-alkalmazásbővítménnyel foglalkozik.

Az SSO alkalmazásbővítmény egyszeri bejelentkezést biztosít azoknak az alkalmazásoknak, webhelyeknek és fiókoknak, amelyek Microsoft Entra ID használnak a hitelesítéshez, beleértve a következőket:

  • Microsoft 365-alkalmazások
  • A felhasználói hitelesítőadat-tároló keresésére fejlesztett alkalmazások egyszeri bejelentkezéskor az eszközön
  • Helyszíni Active Directory-fiókok minden olyan alkalmazásban, amely támogatja az Apple vállalati egyszeri bejelentkezés funkcióját

iOS/iPadOS-eszközök esetén az SSO-alkalmazásbővítmény önmagában is elérhető. Így konfigurálhatja és használhatja az SSO-alkalmazásbővítményt az alkalmazásokhoz & webhelyekhez.

MacOS-eszközök esetén az SSO-alkalmazásbővítmény önmagában is elérhető, és a platform SSO-jában is megtalálható. Így csak akkor konfigurálhatja és használhatja az SSO-alkalmazásbővítményt, ha nem szeretné használni a Platform SSO-t. Ha Platform SSO-t használ, akkor csak a platform SSO-t konfigurálja, mivel az tartalmazza az SSO-alkalmazásbővítményt.

Az SSO-alkalmazásbővítmény egy átirányítás típusú SSO-alkalmazásbővítmény. Elérhető Intune, Jamf Pro és más MDM-megoldásokhoz. A Intune-ben az SSO-alkalmazásbővítmény eszközkonfigurációs szabályzatot használ Microsoft Entra ID SSO-alkalmazásbővítmény-típusként.

Ezek a beállítások az átirányítási és hitelesítő adatok típusú SSO-alkalmazásbővítményeket konfigurálják. Különösen:

  • Az átirányítási típus olyan modern hitelesítési protokollokhoz lett kialakítva, mint az OpenID Connect, az OAuth és az SAML2. Választhat a Microsoft Entra SSO bővítmény (Microsoft Enterprise SSO beépülő modul és egy általános átirányítási bővítmény) közül.

  • A hitelesítőadat-típust a kihívás-válasz hitelesítési folyamatokhoz tervezték. Választhat az Apple által biztosított Kerberos-specifikus hitelesítőadat-bővítmény és az általános hitelesítőadat-bővítmény közül.

    Az SSO-alkalmazásbővítménynek működnie kell bármely nem Microsoft- vagy partner MDM-sel. A bővítményt Kerberos SSO-bővítményként kell üzembe helyezni, vagy egyéni konfigurációs profilként kell üzembe helyezni az összes szükséges tulajdonsággal.

Az SSO-alkalmazásbővítménnyel kapcsolatos további információkért látogasson el a következőre:

SSO-alkalmazásbővítmény funkcióinak összegzése

Az alábbi táblázat összefoglalja az SSO-alkalmazásbővítmények funkcióit Intune. Ezekkel az információkkal megállapíthatja, hogy ez az SSO-beállítás megfelelő-e a szervezet számára.

Kiemelés Részletek
Platformtámogatás ✅ iOS/iPadOS 13.0 és újabb
✅ macOS 10.15 és újabb
Támogatott regisztrációs típusok iOS/iPadOS:
✅ Eszközregisztráció
✅ Automatizált eszközregisztráció (felügyelt)
✅ Felhasználói regisztráció
✅ Közvetlen regisztráció (Apple Configurator)

Macos:
✅ Felhasználó által jóváhagyott eszközregisztráció
✅ Automatizált eszközregisztráció (felügyelt)
✅ Közvetlen regisztráció (Apple Configurator)
Támogatott hitelesítési típusok ✅Átirányítás típusú SSO-alkalmazásbővítmény, beleértve a Microsoft Entra ID
✅ Hitelesítőadat-alkalmazásbővítmény
✅ Az Apple beépített Kerberos-bővítménye
Támogatott alkalmazástípusok ✅ Microsoft 365-alkalmazások
✅A Microsoft Entra ID integrált alkalmazások, webhelyek vagy szolgáltatások
✅Alkalmazások, webhelyek vagy szolgáltatások, amelyek támogatják az Apple nagyvállalati egyszeri bejelentkezését, és integrálva vannak a helyi Active Directory
Intune Felügyeleti központ házirendtípusa Eszközfunkciók sablon a következő helyen:

Eszközök>Konfigurációs>> Létrehozás iOS/iPadOS vagy macOS platformhoz >Eszközfunkciók profiltípushoz >Egyszeri bejelentkezés alkalmazásbővítmény
Javaslat ✅ Ajánlott iOS/iPadOS rendszeren.

❌ MacOS-eszközökön nem ajánlott.

MacOS-eszközökön önállóan is használhatja az SSO-alkalmazásbővítményt. Javasoljuk azonban, hogy inkább a Platform SSO-t használja. Ha a macOS platform SSO-t is használja, ne hozzon létre külön SSO-alkalmazásbővítmény-szabályzatot. Az SSO-alkalmazásbővítmény a platform SSO-konfigurációjában található.

Egyszeri bejelentkezési sablon

Megjegyzés:

Az SSO-beállítások helyett az Apple az SSO-alkalmazásbővítmény használatát javasolja (ebben a cikkben).

Érintett szolgáltatás:

  • iOS 7.0 és újabb
  • iPadOS 13.0 és újabb

Ez az egyszeri bejelentkezési szabályzat a Kerberoson alapul. A Kerberos egy hálózati hitelesítési protokoll, amely titkos kulcsú titkosítást használ az ügyfél-kiszolgáló alkalmazások hitelesítéséhez. A Intune házirend-beállítások határozzák meg a Kerberos-fiók adatait a kiszolgálók vagy adott alkalmazások elérésekor, és kezelik a Kerberos-problémákat a weblapok és a natív alkalmazások esetében.

A Intune konfigurálható beállítások listáját az Egyszeri bejelentkezés iOS/iPadOS rendszeren című témakörben találja.

Az egyszeri bejelentkezés használatához győződjön meg arról, hogy rendelkezik az alábbiakval:

  • Egy alkalmazás, amelyet arra fejlesztettek ki, hogy az eszközön egyszeri bejelentkezéssel keresse meg a felhasználói hitelesítőadat-tárolót.
  • Intune iOS/iPadOS rendszerű eszközök egyszeri bejelentkezéséhez van konfigurálva.

Az egyszeri bejelentkezés funkció összefoglalása

Az alábbi táblázat a Intune egyszeri bejelentkezési funkcióit foglalja össze. Ezekkel az információkkal megállapíthatja, hogy ez az SSO-beállítás megfelelő-e a szervezet számára.

Kiemelés Részletek
Platformtámogatás ✅ iOS 7.0 és újabb
✅ iPadOS 13.0 és újabb
❌ Macos
Támogatott regisztrációs típusok ✅ Eszközregisztráció
✅ Automatizált eszközregisztráció (felügyelt)
❌ Felhasználói regisztráció
❌ Közvetlen regisztráció (Apple Configurator)
Támogatott hitelesítési típusok Csak Kerberos SSO-hitelesítést használhat.
– Adja meg a Kerberos-fiók adatait arra az esetre, ha a felhasználók kiszolgálókhoz vagy alkalmazásokhoz férnek hozzá.
- Nem a Kerberos Apple-implementációja.
- Kezeli a Kerberos kihívásait a weboldalak és alkalmazások számára
Támogatott alkalmazástípusok A Kerberos-hitelesítést támogató webhely- és natív alkalmazások. Az alkalmazásnak kódoltnak kell lennie ahhoz, hogy megkeresse a felhasználói hitelesítőadat-tárolót az eszközön való egyszeri bejelentkezéskor.
Intune Felügyeleti központ házirendtípusa Eszközfunkciók sablon a következő helyen:

Eszközök>Konfigurációs>> Létrehozás iOS/iPadOS platformos >eszközfunkciók egyszeri bejelentkezés profiltípushoz >
Javaslat ❌ Nem ajánlott. Ehelyett a Microsoft az SSO-alkalmazásbővítmény használatát javasolja (ebben a cikkben).

SSO-alkalmazásbővítmény és SSO-sablon

Az Egyszeri bejelentkezés alkalmazásbővítmény funkciója eltér az egyszeri bejelentkezés funkciótól. Az összehasonlításhoz használja az alábbi táblázatot.

Egyszeri bejelentkezési alkalmazásbővítmény Egyszeri bejelentkezés
Támogatott platformok ✅ iOS/iPadOS 13.0 és újabb
✅ macOS 10.15 és újabb		 ✅ iOS 7.0 és újabb
✅ iPadOS 13.0 és újabb
❌ Macos
Leírás Definiálhat bővítményeket az identitásszolgáltatók vagy szervezetek számára a zökkenőmentes vállalati bejelentkezési élmény biztosításához. Az Apple operációs rendszert használja a hitelesítéshez. Kerberos-fiókadatok definiálása arra az esetre, ha a felhasználók kiszolgálókhoz vagy alkalmazásokhoz férnek hozzá.
Hitelesítés Az alkalmazásfejlesztés szempontjából bármilyen átirányítási SSO-t vagy hitelesítő SSO-hitelesítést használhat. Alkalmazásfejlesztési szempontból csak Kerberos SSO-hitelesítést használhat.
Az Apple implementációja Az Apple által fejlesztett és az iOS/iPadOS 13.0+ és macOS 10.15+ platformokba épített. A beépített Kerberos-bővítmény használatával bejelentkeztetheti a felhasználókat a Kerberos-hitelesítést támogató natív alkalmazásokba és webhelyekre. Nem a Kerberos Apple-implementációja.
Javaslat Ajánlott.

Továbbfejlesztett végfelhasználói élményt nyújt. Kezeli a weblapok Kerberos-kihívásait, támogatja a jelszómódosításokat, és jobban viselkedik a vállalati hálózatokban.

Amikor úgy dönt, hogy a Kerberost használja az SSO-alkalmazásbővítményben vagy az egyszeri bejelentkezési sablonban , javasoljuk, hogy a továbbfejlesztett teljesítmény és képességek miatt használja az SSO-alkalmazásbővítményt.		 Nem ajánlott.

Kezeli a kerberosi kihívásokat a weblapok esetében.