A Microsoft Enterprise SSO beépülő modul használata macOS-eszközökön
A Microsoft Enterprise SSO beépülő modul a Microsoft Entra ID egyik funkciója, amely egyszeri bejelentkezési (SSO) funkciókat biztosít az Apple-eszközökhöz. Ez a beépülő modul az Apple egyszeri bejelentkezéses alkalmazásbővítmény-keretrendszerét használja.
- iOS-/iPadOS-eszközök esetén a Vállalati egyszeri bejelentkezés beépülő modul tartalmazza az SSO-alkalmazásbővítményt.
- MacOS-eszközök esetén a vállalati SSO beépülő modul tartalmazza a Platform SSO-t és az SSO-alkalmazásbővítményt.
Az SSO alkalmazásbővítmény egyszeri bejelentkezést biztosít a hitelesítéshez Microsoft Entra ID használó alkalmazásokhoz és webhelyekhez, beleértve a Microsoft 365-alkalmazásokat is. Csökkenti a felhasználók által a Mobile Eszközkezelés (MDM) által kezelt eszközök használatakor megjelenő hitelesítési kérések számát, beleértve az SSO-profilok konfigurálását támogató MDM-eket is.
Ez a cikk a következőkre vonatkozik:
macOS
iOS/iPadOS esetén nyissa meg a Microsoft Enterprise SSO beépülő modul használata iOS/iPadOS-eszközökön című témakört.
MacOS-eszközökön az SSO-alkalmazásbővítmények beállításait két helyen konfigurálhatja Intune:
Eszközfunkciók sablonja (ez a cikk) – Ez a beállítás csak az SSO-alkalmazásbővítményt konfigurálja, és az MDM-szolgáltatót (például Intune) használja a beállítások eszközökre történő üzembe helyezéséhez.
Akkor használja ezt a cikket, ha csak az SSO-alkalmazásbővítmény beállításait szeretné konfigurálni, és nem szeretné a platform egyszeri bejelentkezését is konfigurálni.
Beállításkatalógus – Ez a beállítás együttesen konfigurálja a platform egyszeri bejelentkezését és az SSO-alkalmazásbővítményt. A Intune használatával telepítheti a beállításokat az eszközeire.
Használja a beállításkatalógus beállításait, ha a Platform SSO és az SSO alkalmazásbővítmény beállításait is konfigurálni szeretné. További információ: Platform SSO konfigurálása macOS-eszközökhöz a Microsoft Intune.
Az Apple-eszközökön elérhető SSO-lehetőségek áttekintését az SSO áttekintése és az Apple-eszközök beállításai az Microsoft Intune-ban című cikkben tekintheti meg.
Ez a cikk bemutatja, hogyan hozhat létre SSO-alkalmazásbővítmény-konfigurációs szabályzatot macOS Apple-eszközökhöz Intune, Jamf Pro és más MDM-megoldásokkal.
Ha együtt szeretné konfigurálni a Platform SSO és az SSO alkalmazásbővítmény beállításait, lépjen a Platform SSO konfigurálása macOS-eszközökhöz Microsoft Intune.
Alkalmazástámogatás
Ahhoz, hogy alkalmazásai a Microsoft Enterprise SSO beépülő modult használják, két lehetősége van:
1. lehetőség – MSAL: A Microsoft Authentication Libraryt (MSAL) támogató alkalmazások automatikusan kihasználják a Microsoft Enterprise SSO beépülő modul előnyeit. A Microsoft 365-alkalmazások például támogatják az MSAL-t. Így automatikusan a beépülő modult használják.
Ha a szervezete saját alkalmazásokat hoz létre, az alkalmazásfejlesztő függőséget adhat hozzá az MSAL-hez. Ez a függőség lehetővé teszi, hogy az alkalmazás a Microsoft Enterprise SSO beépülő modult használja.
A minta oktatóanyagért tekintse meg az Oktatóanyag: Felhasználók bejelentkezése és a Microsoft Graph meghívása iOS- vagy macOS-alkalmazásból című témakört.
2. lehetőség – Engedélyezési lista: Azok az alkalmazások, amelyek nem támogatják vagy nem fejlesztették ki az MSAL-t, használhatják az SSO-alkalmazásbővítményt. Ezek közé az alkalmazások közé tartoznak a böngészők, például a Safari és a Safari webes nézet API-kat használó alkalmazások.
Ezekhez a nem MSAL-alkalmazásokhoz adja hozzá az alkalmazáscsomag azonosítóját vagy előtagját a bővítménykonfigurációhoz a Intune SSO-alkalmazásbővítmény-szabályzatában (ebben a cikkben).
Ha például egy olyan Microsoft-alkalmazást szeretne engedélyezni, amely nem támogatja az MSAL-t, adja hozzá
com.microsoft.
az appPrefixAllowList tulajdonsághoz a Intune szabályzatban. Legyen óvatos az engedélyezett alkalmazásokkal, és figyelmen kívül hagyhatja a bejelentkezett felhasználó interaktív bejelentkezési kéréseit.További információ: Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz – az MSAL-t nem használó alkalmazásokhoz.
Előfeltételek
A Microsoft Enterprise SSO beépülő modul használata macOS-eszközökön:
- Az eszközt az Intune kezeli.
- Az eszköznek támogatnia kell a beépülő modult:
- macOS 10.15 és újabb
- A Microsoft Céges portál alkalmazást telepíteni és konfigurálni kell az eszközön.
- A vállalati SSO beépülő modul követelményei konfigurálva vannak, beleértve az Apple hálózati konfigurációs URL-címeit is.
Microsoft Enterprise SSO beépülő modul és Kerberos SSO-bővítmény
Az SSO alkalmazásbővítmény használatakor az SSO vagy a Kerberos Payload Type típust használja a hitelesítéshez. Az SSO alkalmazásbővítmény úgy lett kialakítva, hogy javítsa az ilyen hitelesítési módszereket használó alkalmazások és webhelyek bejelentkezési élményét.
A Microsoft Enterprise SSO beépülő modul az SSO hasznos adattípust használja átirányításos hitelesítéssel. Az SSO-átirányítás és a Kerberos-bővítménytípus egyszerre használható egy eszközön. Mindenképpen hozzon létre külön eszközprofilokat az eszközökön használni kívánt bővítménytípusokhoz.
A forgatókönyvnek megfelelő SSO-bővítménytípus meghatározásához használja az alábbi táblázatot:
Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz | Egyszeri bejelentkezési alkalmazásbővítmény Kerberosszal |
---|---|
A Microsoft Entra ID SSO-alkalmazásbővítmény-típust használja | A Kerberos SSO alkalmazásbővítmény-típust használja |
A következő alkalmazásokat támogatja: - Microsoft 365 - A Microsoft Entra ID integrált alkalmazások, webhelyek vagy szolgáltatások |
A következő alkalmazásokat támogatja: – Az AD-vel integrált alkalmazások, webhelyek vagy szolgáltatások |
Az SSO-alkalmazásbővítménnyel kapcsolatos további információkért tekintse meg az SSO áttekintését és az Apple-eszközökre vonatkozó lehetőségeket Microsoft Intune.
Egyszeri bejelentkezéses alkalmazásbővítmény konfigurációs szabályzatának Létrehozás
Ez a szakasz bemutatja, hogyan hozhat létre SSO-alkalmazásbővítmény-szabályzatot. A platform egyszeri bejelentkezéséről további információt a Platform SSO konfigurálása macOS-eszközökhöz a Microsoft Intune-ben című témakörben talál.
A Microsoft Intune Felügyeleti központban hozzon létre egy eszközkonfigurációs profilt. Ez a profil tartalmazza az SSO-alkalmazásbővítmény eszközökre való konfigurálásának beállításait.
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza az Eszközök>konfigurációja>Létrehozás>Új szabályzat lehetőséget.
Adja meg a következő tulajdonságokat:
- Platform: Válassza a macOS lehetőséget.
- Profil típusa: Válassza a SablonokEszközfunkciók> lehetőséget.
Válassza Létrehozás:
Az Alapadatok között adja meg a következő tulajdonságokat:
- Név: Adja meg a házirend leíró nevét. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Egy jó szabályzatnév például a macOS-SSO alkalmazásbővítmény.
- Leírás: Adja meg a szabályzat leírását. A beállítás használata nem kötelező, de ajánlott.
Válassza a Tovább gombot.
A Konfigurációs beállítások területen válassza az Egyszeri bejelentkezés alkalmazásbővítmény lehetőséget, és konfigurálja a következő tulajdonságokat:
SSO-alkalmazásbővítmény típusa: Válassza a Microsoft Entra ID:
Alkalmazáscsomag azonosítója: Adja meg azoknak az alkalmazásoknak a csomagazonosítóit, amelyek nem támogatják az MSAL-t , és amelyek használhatják az SSO-t. További információt az MSAL-t nem használó alkalmazások című témakörben talál.
További konfiguráció: A végfelhasználói élmény testreszabásához adja hozzá a következő tulajdonságokat. Ezek a tulajdonságok az SSO-alkalmazásbővítmény által használt alapértelmezett értékek, de testre szabhatók a szervezet igényei szerint:
Kulcs Típus Leírás AppPrefixAllowList Karakterlánc Ajánlott érték: com.microsoft.,com.apple.
Adja meg azoknak az alkalmazásoknak az előtagjait, amelyek nem támogatják az MSAL-t , és amelyek használhatják az SSO-t. Írja be például az parancsotcom.microsoft.,com.apple.
az összes Microsoft- és Apple-alkalmazás engedélyezéséhez.
Győződjön meg arról, hogy ezek az alkalmazások megfelelnek az engedélyezési listára vonatkozó követelményeknek.browser_sso_interaction_enabled Egész Ajánlott érték: 1
Ha a értékre van állítva, a1
felhasználók a Safari böngészőből és az MSAL-t nem támogató alkalmazásokból jelentkezhetnek be. A beállítás engedélyezésével a felhasználók elindíthatják a bővítményt a Safariból vagy más alkalmazásokból.disable_explicit_app_prompt Egész Ajánlott érték: 1
Egyes alkalmazások helytelenül kényszeríthetik ki a végfelhasználói kéréseket a protokollrétegben. Ha ezt a problémát tapasztalja, a rendszer arra kéri a felhasználókat, hogy jelentkezzenek be, annak ellenére, hogy a Microsoft Enterprise SSO beépülő modul más alkalmazásokhoz is használható.
Ha az (egy) értékre1
van állítva, csökkentheti ezeket a kéréseket.Tipp
Ezekről a tulajdonságokról és egyéb konfigurálható tulajdonságokról az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modulban talál további információt.
Ha végzett az ajánlott beállítások konfigurálásával, a beállítások a Intune konfigurációs profil alábbi értékeihez hasonlóak lesznek:
Folytassa a profil létrehozását, és rendelje hozzá a profilt azokhoz a felhasználókhoz vagy csoportokhoz, amelyek megkapják ezeket a beállításokat. A konkrét lépésekért lépjen a profil Létrehozás.
A profilok hozzárendelésével kapcsolatos útmutatásért lásd: Felhasználói és eszközprofilok hozzárendelése.
Ha a szabályzat elkészült, hozzárendelheti a szabályzatot a felhasználókhoz. A Microsoft azt javasolja, hogy rendelje hozzá a szabályzatot, amikor az eszköz regisztrál a Intune. De bármikor hozzárendelhető, beleértve a meglévő eszközöket is. Amikor az eszköz bejelentkezik a Intune szolgáltatásba, megkapja ezt a profilt. További információt a Szabályzatfrissítési időközök című témakörben talál.
Annak ellenőrzéséhez, hogy a profil megfelelően lett-e üzembe helyezve, lépjen a Intune Felügyeleti központban az Eszközök>konfigurációja> területre, válassza ki a létrehozott profilt, és hozzon létre egy jelentést:
Végfelhasználói élmény
Ha nem alkalmazásszabályzattal telepíti a Céges portál alkalmazást, akkor a felhasználóknak manuálisan kell telepíteniük. A felhasználóknak nem kell használniuk a Céges portál alkalmazást, csak telepíteni kell az eszközön.
A felhasználók bármely támogatott alkalmazásba vagy webhelyre bejelentkezve elindítják a bővítményt. A Bootstrap az első bejelentkezés folyamata, amely beállítja a bővítményt.
Miután a felhasználók sikeresen bejelentkeztek, a bővítmény automatikusan használható bármely más támogatott alkalmazásba vagy webhelyre való bejelentkezéshez.
Az egyszeri bejelentkezés teszteléséhez nyissa meg a Safarit privát módban (nyissa meg az Apple webhelyét), és nyissa meg a webhelyet https://portal.office.com
. Nincs szükség felhasználónévre és jelszóra.
MacOS rendszeren, amikor a felhasználók bejelentkeznek egy munkahelyi vagy iskolai alkalmazásba, a rendszer kérni fogja, hogy jelentkezzenek be vagy lépjenek ki az SSO-ból. Választhatják a Ne kérjem újra lehetőséget, hogy kikapcsoljam az egyszeri bejelentkezést, és blokkolják a jövőbeli kéréseket.
A felhasználók az SSO-beállításokat a macOS-Céges portál alkalmazásban is kezelhetik. A beállítások szerkesztéséhez lépjen a Céges portál alkalmazás menüsávjára >Céges portál>Beállítások elemre. Kiválaszthatják vagy megszüntethetik a Ne kérjem meg, hogy jelentkezzenek be egyszeri bejelentkezéssel ehhez az eszközhöz jelölőnégyzetet.
Tipp
További információ az SSO beépülő modul működéséről és a Microsoft Enterprise SSO-bővítmény hibaelhárításáról az Apple-eszközök egyszeri bejelentkezéssel kapcsolatos hibaelhárítási útmutatójával.
Kapcsolódó cikkek
A Microsoft Enterprise SSO beépülő modulról további információt az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modulban talál.
Az Apple-től az egyszeri bejelentkezési bővítmény hasznos adataival kapcsolatos információkért lépjen az egyszeri bejelentkezési bővítmények hasznosadat-beállításaihoz (nyissa meg az Apple webhelyét).
A Microsoft Enterprise SSO-bővítmény hibaelhárításával kapcsolatos információkért tekintse meg a Microsoft Enterprise SSO-bővítmény beépülő modul hibaelhárítása Apple-eszközökön című témakört.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: