Plug-in Microsoft Enterprise SSO per dispositivi Apple

Il plug-in Microsoft Enterprise SSO per i dispositivi Apple fornisce l'accesso Single Sign-On (SSO) per gli account Microsoft Entra in macOS, iOS e iPadOS in tutte le applicazioni che supportano la funzionalità Single Sign-On aziendale di Apple. Il plug-in fornisce l'accesso SSO per applicazioni persino precedenti che l'azienda potrebbe dipendere, ma che non supportano ancora le librerie di identità o i protocolli più recenti. Microsoft ha collaborato con Apple per sviluppare questo plug-in per aumentare l'usabilità dell'applicazione offrendo al tempo stesso la migliore protezione disponibile.

Il plug-in Enterprise SSO è attualmente una funzionalità predefinita delle app seguenti:

• Microsoft Authenticator: iOS, iPadOS
• Microsoft Intune Portale aziendale: macOS

Funzionalità

Il plug-in Microsoft Enterprise SSO per i dispositivi Apple offre i vantaggi seguenti:

• Fornisce l'accesso SSO per gli account Microsoft Entra in tutte le applicazioni che supportano la funzionalità SSO di Apple Enterprise.
• Può essere abilitata da qualsiasi soluzione di gestione di dispositivi mobili (MDM) ed è supportata sia nella registrazione del dispositivo che dell'utente.
• Estende l'accesso Single Sign-On alle applicazioni che non usano ancora Microsoft Authentication Library (MSAL).
• Estende l'accesso SSO alle applicazioni che usano OAuth 2, OpenID Connessione e SAML.
• È integrato in modo nativo con MSAL, che offre un'esperienza nativa uniforme all'utente finale quando il plug-in Microsoft Enterprise SSO è abilitato.

Nota

Il mese di agosto 2023 Microsoft ha annunciato che la piattaforma SSO per i dispositivi macOS sarà disponibile in Microsoft Entra ID..

Le funzionalità sono ancora in fase di sviluppo, quindi l'uso delle funzionalità SSO della piattaforma non è ancora supportato in Microsoft Entra. Il supporto clienti limitato verrà fornito una volta che queste funzionalità entrano in anteprima pubblica.

Requisiti

Per usare il plug-in Microsoft Enterprise SSO per i dispositivi Apple:

• Il dispositivo deve supportare e avere un'app installata con il plug-in Microsoft Enterprise SSO per i dispositivi Apple:

  • iOS 13.0 e versioni successive: app Microsoft Authenticator
  • iPadOS 13.0 e versioni successive: app Microsoft Authenticator
  • macOS 10.15 e versioni successive: app Portale aziendale Intune

• Il dispositivo deve essere registrato in MDM, ad esempio tramite Microsoft Intune.

• Per abilitare il plug-in Enterprise SSO, è necessario eseguire il push della configurazione nel dispositivo . Apple richiede questo vincolo di sicurezza.

• I dispositivi Apple devono essere autorizzati a raggiungere sia gli URL del provider di identità che i propri URL senza intercettazioni aggiuntive. Ciò significa che tali URL devono essere esclusi dai proxy di rete, dall'intercettazione e da altri sistemi aziendali.

  Di seguito è riportato il set minimo di URL che devono essere consentiti per il funzionamento del plug-in SSO:

  • app-site-association.cdn-apple.com
  • app-site-association.networking.apple
  • login.microsoftonline.com(*)
  • login.microsoft.com(*)
  • sts.windows.net(*)
  • login.partner.microsoftonline.cn(*) (**)
  • login.chinacloudapi.cn(*) (**)
  • login.microsoftonline.us(*) (**)
  • login-us.microsoftonline.com(*) (**)

  (*) L'autorizzazione dei domini Microsoft è necessaria solo nelle versioni del sistema operativo rilasciate prima del 2022. Nelle versioni più recenti del sistema operativo, Apple si basa completamente sul suo rete CDN.

  (**) È necessario consentire i domini cloud sovrani solo se si fa affidamento su quelli nell'ambiente.

  Il plug-in Microsoft Enterprise SSO si basa sul framework SSO aziendale di Apple. Il framework SSO aziendale di Apple garantisce che solo un plug-in SSO approvato possa funzionare per ogni provider di identità usando una tecnologia denominata domini associati. Per verificare l'identità del plug-in SSO, ogni dispositivo Apple invierà una richiesta di rete a un endpoint di proprietà del provider di identità e leggerà le informazioni sui plug-in SSO approvati. Oltre a raggiungere direttamente il provider di identità, Apple ha implementato anche un'altra memorizzazione nella cache per queste informazioni.

  Avviso

  Se l'organizzazione usa server proxy che intercettano il traffico SSL per scenari come la prevenzione della perdita di dati o le restrizioni del tenant, assicurarsi che il traffico verso questi URL venga escluso da tls break-and-inspect. Se non si escludono questi URL, si verificheranno interferenze con l'autenticazione del certificato client, si verificheranno problemi con la registrazione del dispositivo e l'accesso condizionale basato su dispositivo. Il plug-in SSO non funzionerà in modo affidabile senza escludere completamente i domini di Apple rete CDN dall'intercettazione e si verificano problemi intermittenti fino a quando non si esegue questa operazione.

  Se l'organizzazione blocca questi URL, gli utenti possono visualizzare errori come 1012 NSURLErrorDomain error, 1000 com.apple.AuthenticationServices.AuthorizationError o 1001 Unexpected.

  Altri URL Apple che potrebbero essere consentiti sono documentati nel relativo articolo di supporto, Usare prodotti Apple nelle reti aziendali.

Requisiti di iOS

• IOS 13.0 o versione successiva devono essere installati nel dispositivo.
• Un'applicazione Microsoft che fornisce il plug-in Microsoft Enterprise SSO per i dispositivi Apple deve essere installata nel dispositivo. Questa app è l'app Microsoft Authenticator.

Requisiti macOS

• MacOS 10.15 o versione successiva deve essere installato nel dispositivo.
• Un'applicazione Microsoft che fornisce il plug-in Microsoft Enterprise SSO per i dispositivi Apple deve essere installata nel dispositivo. Questa app è l'app Portale aziendale Intune.

Abilitare il plug-in SSO

Usare le informazioni seguenti per abilitare il plug-in SSO usando MDM.

Configurazione di Microsoft Intune

Se si usa Microsoft Intune come servizio MDM, è possibile usare le impostazioni del profilo di configurazione predefinite per abilitare il plug-in Microsoft Enterprise SSO:

1. Configurare le impostazioni del plug-in dell'app SSO di un profilo di configurazione.
2. Se il profilo non è già assegnato, assegnare il profilo a un utente o a un gruppo di dispositivi.

Le impostazioni del profilo che abilitano il plug-in SSO vengono applicate automaticamente ai dispositivi del gruppo alla successiva archiviazione di ogni dispositivo con Intune.

Configurazione manuale per altri servizi MDM

Se non si usa Intune per MDM, è possibile configurare un payload del profilo Extensible Single Sign-On per i dispositivi Apple. Usare i parametri seguenti per configurare il plug-in Microsoft Enterprise SSO e le relative opzioni di configurazione.

Impostazioni iOS:

• ID estensione: com.microsoft.azureauthenticator.ssoextension
• ID team: questo campo non è necessario per iOS.

Impostazioni macOS:

• ID estensione: com.microsoft.CompanyPortalMac.ssoextension
• ID team: UBF8T346G9

Impostazioni comuni:

• Tipo: Reindirizzamento
  • https://login.microsoftonline.com
  • https://login.microsoft.com
  • https://sts.windows.net
  • https://login.partner.microsoftonline.cn
  • https://login.chinacloudapi.cn
  • https://login.microsoftonline.us
  • https://login-us.microsoftonline.com

Guide alla distribuzione

Usare le guide alla distribuzione seguenti per abilitare il plug-in Microsoft Enterprise SSO usando la soluzione MDM scelta:

Intune:

• Guida a iOS
• Guida a macOS

Jamf Pro:

• Guida a iOS
• Guida a macOS

Altro MDM:

• Guida a iOS
• Guida a macOS

Altre opzioni di configurazione

È possibile aggiungere altre opzioni di configurazione per estendere la funzionalità SSO ad altre app.

Abilitare l'accesso SSO per le app che non usano MSAL

Il plug-in SSO consente a qualsiasi applicazione di partecipare all'accesso SSO anche se non è stato sviluppato usando Microsoft SDK come Microsoft Authentication Library (MSAL).

Il plug-in SSO viene installato automaticamente dai dispositivi che dispongono di:

• Scaricare l'app Authenticator in iOS o iPadOS oppure scaricare l'app Portale aziendale Intune in macOS.
• MDM ha registrato il proprio dispositivo con l'organizzazione.

L'organizzazione usa probabilmente l'app Authenticator per scenari come l'autenticazione a più fattori, l'autenticazione senza password e l'accesso condizionale. Usando un provider MDM, è possibile attivare il plug-in SSO per le applicazioni. Microsoft ha reso più semplice configurare il plug-in con Microsoft Intune. Un elenco di elementi consentiti viene usato per configurare queste applicazioni per l'uso del plug-in SSO.

Importante

Il plug-in Microsoft Enterprise SSO supporta solo le app che usano tecnologie di rete Apple native o webviews. Non supporta le applicazioni che insedono la propria implementazione del livello di rete.

Usare i parametri seguenti per configurare il plug-in Microsoft Enterprise SSO per le app che non usano MSAL.

Importante

Non è necessario aggiungere app che usano microsoft Authentication Library a questo elenco di elementi consentiti. Queste app partecipano all'accesso SSO per impostazione predefinita. La maggior parte delle app compilate da Microsoft usa Microsoft Authentication Library.

Abilitare l'accesso SSO per tutte le app gestite

• Chiave: Enable_SSO_On_All_ManagedApps
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 0 per impostazione predefinita.

Quando questo flag è attivato (il relativo valore è impostato su 1), tutte le app gestite da MDM non nell'istanza di possono partecipare all'accesso AppBlockList SSO.

Abilitare l'accesso Single Sign-On per app specifiche

• Chiave: AppAllowList
• Tipo: String
• Valore: elenco delimitato da virgole di ID bundle dell'applicazione per le applicazioni a cui è consentito partecipare all'accesso SSO.
• Esempio:com.contoso.workapp, com.contoso.travelapp

Nota

Safari e Safari View Service sono autorizzati a partecipare all'accesso SSO per impostazione predefinita. Può essere configurato per non partecipare all'accesso SSO aggiungendo gli ID bundle di Safari e Safari View Service in AppBlockList. ID bundle iOS : [com.apple.mobilesafari, com.apple.SafariViewService] macOS BundleID : [com.apple.Safari]

Abilitare l'accesso SSO per tutte le app con un prefisso ID bundle specifico

• Chiave: AppPrefixAllowList
• Tipo: String
• Valore: elenco delimitato da virgole di prefissi ID bundle dell'applicazione per le applicazioni a cui è consentito partecipare all'accesso SSO. Questo parametro consente a tutte le app che iniziano con un prefisso specifico di partecipare all'accesso SSO. Per iOS, il valore predefinito sarebbe impostato su com.apple. e che abiliterebbe l'accesso SSO per tutte le app Apple. Per macOS, il valore predefinito verrebbe impostato su com.apple. e com.microsoft. che abiliterebbe l'accesso SSO per tutte le app Apple e Microsoft. Amministrazione potrebbe eseguire l'override del valore predefinito o aggiungere app per AppBlockList impedire loro di partecipare all'accesso SSO.
• Esempio:com.contoso., com.fabrikam.

Disabilitare l'accesso Single Sign-On per app specifiche

• Chiave: AppBlockList
• Tipo: String
• Valore: elenco delimitato da virgole di ID bundle dell'applicazione per le applicazioni che non possono partecipare all'accesso SSO.
• Esempio:com.contoso.studyapp, com.contoso.travelapp

Per disabilitare l'accesso SSO per Safari o Safari View Service, è necessario farlo in modo esplicito aggiungendo gli ID bundle a AppBlockList:

• iOS: com.apple.mobilesafari, com.apple.SafariViewService
• macOS: com.apple.Safari

Abilitare l'accesso Single Sign-On tramite cookie per un'applicazione specifica

Alcune app iOS con impostazioni di rete avanzate potrebbero riscontrare problemi imprevisti quando sono abilitate per l'accesso SSO. Ad esempio, è possibile che venga visualizzato un errore che indica che una richiesta di rete è stata annullata o interrotta.

Se gli utenti hanno problemi di accesso a un'applicazione anche dopo averlo abilitato tramite le altre impostazioni, provare ad aggiungerlo a AppCookieSSOAllowList per risolvere i problemi.

• Chiave: AppCookieSSOAllowList
• Tipo: String
• Valore: elenco delimitato da virgole di prefissi ID bundle dell'applicazione per le applicazioni a cui è consentito partecipare all'accesso SSO. Tutte le app che iniziano con i prefissi elencati potranno partecipare all'accesso SSO.
• Esempio:com.contoso.myapp1, com.fabrikam.myapp2

Altri requisiti: per abilitare l'accesso SSO per le applicazioni usando AppCookieSSOAllowList, è necessario aggiungere anche i AppPrefixAllowListprefissi ID bundle.

Provare questa configurazione solo per le applicazioni con errori di accesso imprevisti. Questa chiave deve essere usata solo per le app iOS e non per le app macOS.

Riepilogo delle chiavi

Chiave	Type	Valore
Enable_SSO_On_All_ManagedApps	Intero	1 per abilitare l'accesso SSO per tutte le app gestite, 0 per disabilitare l'accesso SSO per tutte le app gestite.
AppAllowList	String (elenco delimitato da virgole)	ID bundle delle applicazioni autorizzate a partecipare all'accesso SSO.
AppBlockList	String (elenco delimitato da virgole)	ID bundle di applicazioni che non possono partecipare all'accesso SSO.
AppPrefixAllowList	String (elenco delimitato da virgole)	Prefissi ID bundle delle applicazioni autorizzate a partecipare all'accesso SSO. Per iOS, il valore predefinito sarebbe impostato su com.apple. e che abiliterebbe l'accesso SSO per tutte le app Apple. Per macOS, il valore predefinito verrebbe impostato su com.apple. e com.microsoft. che abiliterebbe l'accesso SSO per tutte le app Apple e Microsoft. Gli sviluppatori, i clienti o le Amministrazione potrebbero sostituire il valore predefinito o aggiungere app per AppBlockList impedire loro di partecipare all'accesso SSO.
AppCookieSSOAllowList	String (elenco delimitato da virgole)	I prefissi ID bundle delle applicazioni autorizzati a partecipare all'accesso SSO, ma che usano impostazioni di rete speciali e hanno problemi con l'accesso SSO usando le altre impostazioni. Anche le app aggiunte a AppCookieSSOAllowList devono essere aggiunte a AppPrefixAllowList. Si noti che questa chiave deve essere usata solo per le app iOS e non per le app macOS.

Impostazioni per scenari comuni

• Scenario: si vuole abilitare l'accesso SSO per la maggior parte delle applicazioni gestite, ma non per tutti.

  Chiave	valore
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	ID bundle (elenco delimitato da virgole) delle app che si desidera impedire di partecipare all'accesso SSO.

• Scenario in cui si vuole disabilitare l'accesso SSO per Safari, che è abilitato per impostazione predefinita, ma abilitare l'accesso SSO per tutte le app gestite.

  Chiave	valore
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	ID bundle (elenco delimitato da virgole) delle app Safari che si desidera impedire di partecipare all'accesso SSO. Per iOS: com.apple.mobilesafari, com.apple.SafariViewService Per macOS: com.apple.Safari

• Scenario: si vuole abilitare l'accesso SSO in tutte le app gestite e in alcune app non gestite, ma disabilitare l'accesso SSO per alcune altre app.

  Chiave	valore
  Enable_SSO_On_All_ManagedApps	1
  AppAllowList	ID bundle (elenco delimitato da virgole) delle app che si desidera abilitare per la partecipazione all'accesso SSO.
  AppBlockList	ID bundle (elenco delimitato da virgole) delle app che si desidera impedire di partecipare all'accesso SSO.

Trovare gli identificatori del bundle dell'app nei dispositivi iOS

Apple non offre un modo semplice per ottenere GLI ID bundle dall'App Store. Il modo più semplice per ottenere gli ID bundle delle app da usare per l'accesso SSO consiste nel chiedere al fornitore o allo sviluppatore di app. Se questa opzione non è disponibile, è possibile usare la configurazione MDM per trovare gli ID bundle:

1. Abilitare temporaneamente il flag seguente nella configurazione MDM:

   • Chiave: admin_debug_mode_enabled
   • Tipo: Integer
   • Valore: 1 o 0

2. Quando questo flag è attivato, accedere alle app iOS nel dispositivo per cui si vuole conoscere l'ID bundle.

3. Nell'app Authenticator selezionare Guida>per l'invio dei log>Visualizza log.

4. Nel file di log cercare la riga seguente: [ADMIN MODE] SSO extension has captured following app bundle identifiers. Questa riga deve acquisire tutti gli ID bundle dell'applicazione visibili all'estensione SSO.

Usare gli ID bundle per configurare l'accesso SSO per le app. Disabilitare la modalità amministratore al termine.

Consentire agli utenti di accedere dalle applicazioni che non usano MSAL e il browser Safari

Per impostazione predefinita, il plug-in Microsoft Enterprise SSO acquisirà una credenziale condivisa quando viene chiamata da un'altra app che usa MSAL durante una nuova acquisizione di token. A seconda della configurazione, il plug-in Microsoft Enterprise SSO può anche acquisire credenziali condivise quando viene chiamato dalle app che non usano MSAL.

Quando si abilita il browser_sso_interaction_enabled flag, le app che non usano MSAL possono eseguire il bootstrap iniziale e ottenere credenziali condivise. Il browser Safari può anche eseguire il bootstrap iniziale e ottenere credenziali condivise.

Se il plug-in Microsoft Enterprise SSO non dispone ancora di credenziali condivise, tenterà di ottenerlo ogni volta che viene richiesto un accesso da un URL di Microsoft Entra all'interno del browser Safari, ASWebAuthenticationSession, SafariViewController o un'altra applicazione nativa consentita.

Usare questi parametri per abilitare il flag:

• Chiave: browser_sso_interaction_enabled
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 1 per impostazione predefinita.

Sia iOS che macOS richiedono questa impostazione in modo che il plug-in Microsoft Enterprise SSO possa offrire un'esperienza coerente in tutte le app. Questa impostazione è abilitata per impostazione predefinita e deve essere disabilitata solo se l'utente finale non è in grado di accedere con le proprie credenziali.

Disabilitare le richieste dell'applicazione OAuth 2

Se un'applicazione richiede agli utenti di accedere anche se il plug-in Microsoft Enterprise SSO funziona per altre applicazioni nel dispositivo, l'app potrebbe ignorare l'accesso SSO a livello di protocollo. Le credenziali condivise vengono ignorate anche da tali applicazioni perché il plug-in fornisce l'accesso SSO aggiungendo le credenziali alle richieste di rete effettuate dalle applicazioni consentite.

Questi parametri specificano se l'estensione SSO deve impedire alle applicazioni Native e Web di ignorare SSO a livello di protocollo e forzare la visualizzazione di una richiesta di accesso all'utente.

Per un'esperienza SSO coerente in tutte le app nel dispositivo, è consigliabile abilitare una di queste impostazioni per le app che non usano MSAL. È consigliabile abilitare questa opzione solo per le app che usano MSAL se gli utenti riscontrano richieste impreviste.

App che non usano Microsoft Authentication Library:

Disabilitare la richiesta dell'app e visualizzare la selezione account:

• Chiave: disable_explicit_app_prompt
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 1 per impostazione predefinita e questa impostazione predefinita riduce le richieste.

Disabilitare la richiesta dell'app e selezionare automaticamente un account dall'elenco degli account SSO corrispondenti:

• Chiave: disable_explicit_app_prompt_and_autologin
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 0 per impostazione predefinita.

App che usano microsoft Authentication Library:

Le impostazioni seguenti non sono consigliate se sono in uso Protezione di app criteri.

Disabilitare la richiesta dell'app e visualizzare la selezione account:

• Chiave: disable_explicit_native_app_prompt
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 0 per impostazione predefinita.

Disabilitare la richiesta dell'app e selezionare automaticamente un account dall'elenco degli account SSO corrispondenti:

• Chiave: disable_explicit_native_app_prompt_and_autologin
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 0 per impostazione predefinita.

Richieste impreviste dell'applicazione SAML

Se un'applicazione richiede agli utenti di accedere anche se il plug-in Microsoft Enterprise SSO funziona per altre applicazioni nel dispositivo, l'app potrebbe ignorare l'accesso SSO a livello di protocollo. Se l'applicazione usa il protocollo SAML, il plug-in Microsoft Enterprise SSO non sarà in grado di fornire l'accesso SSO all'app. Il fornitore dell'applicazione deve ricevere una notifica su questo comportamento e apportare una modifica nell'app per non ignorare l'accesso SSO.

Modificare l'esperienza iOS per le applicazioni abilitate per MSAL

Le app che usano MSAL richiamano sempre l'estensione SSO in modo nativo per le richieste interattive. In alcuni dispositivi iOS potrebbe non essere auspicabile. In particolare, se l'utente deve anche completare l'autenticazione a più fattori all'interno dell'app Microsoft Authenticator, un reindirizzamento interattivo a tale app potrebbe offrire un'esperienza utente migliore.

Questo comportamento può essere configurato usando il disable_inapp_sso_signin flag . Se questo flag è abilitato, le app che usano MSAL verranno reindirizzati all'app Microsoft Authenticator per tutte le richieste interattive. Questo flag non influisce sulle richieste di token invisibile all'utente da tali app, sul comportamento delle app che non usano MSAL o app macOS. Questo flag è disabilitato per impostazione predefinita.

• Chiave: disable_inapp_sso_signin
• Tipo: Integer
• Valore: 1 o 0. Questo valore è impostato su 0 per impostazione predefinita.

Configurare la registrazione del dispositivo Microsoft Entra

Per i dispositivi gestiti da Intune, il plug-in Microsoft Enterprise SSO può eseguire la registrazione del dispositivo Microsoft Entra quando un utente tenta di accedere alle risorse. Ciò consente un'esperienza utente finale più semplificata.

Usare la configurazione seguente per abilitare la registrazione JUST-in-time per iOS/iPadOS con Microsoft Intune:

• Chiave: device_registration
• Tipo: String
• Valore: {{DEVICEREGISTRATION}}

Altre informazioni su Just in Time Registration sono disponibili qui.

Criteri di accesso condizionale e modifiche alle password

Il plug-in Microsoft Enterprise SSO per i dispositivi Apple è compatibile con vari criteri di accesso condizionale e eventi di modifica delle password di Microsoft Entra. browser_sso_interaction_enabled deve essere abilitato per ottenere la compatibilità.

Gli eventi e i criteri compatibili sono documentati nelle sezioni seguenti:

Modifica della password e revoca dei token

Quando un utente reimposta la password, tutti i token rilasciati prima verranno revocati. Se un utente sta tentando di accedere a una risorsa dopo un evento di reimpostazione della password, in genere l'utente dovrà accedere di nuovo in ognuna delle app. Quando il plug-in Microsoft Enterprise SSO è abilitato, all'utente verrà chiesto di accedere alla prima applicazione che partecipa all'accesso SSO. Il plug-in Microsoft Enterprise SSO mostrerà la propria interfaccia utente sopra l'applicazione attualmente attiva.

Autenticazione a più fattori Microsoft Entra

L'autenticazione a più fattori è un processo in cui gli utenti vengono richiesti durante il processo di accesso per un'ulteriore forma di identificazione, ad esempio un codice sul cellulare o un'analisi delle impronte digitali. L'autenticazione a più fattori può essere abilitata per risorse specifiche. Quando il plug-in Microsoft Enterprise SSO è abilitato, all'utente verrà chiesto di eseguire l'autenticazione a più fattori nella prima applicazione che lo richiede. Il plug-in Microsoft Enterprise SSO mostrerà la propria interfaccia utente sopra l'applicazione attualmente attiva.

Frequenza di accesso utente

La frequenza di accesso definisce il periodo di tempo prima che venga richiesto a un utente di accedere di nuovo quando si tenta di accedere a una risorsa. Se un utente sta tentando di accedere a una risorsa dopo il periodo di tempo trascorso in varie app, in genere un utente dovrà accedere di nuovo in ognuna di queste app. Quando il plug-in Microsoft Enterprise SSO è abilitato, viene chiesto a un utente di accedere alla prima applicazione che partecipa all'accesso SSO. Il plug-in Microsoft Enterprise SSO mostrerà la propria interfaccia utente sopra l'applicazione attualmente attiva.

Usare Intune per la configurazione semplificata

È possibile usare Intune come servizio MDM per semplificare la configurazione del plug-in Microsoft Enterprise SSO. Ad esempio, è possibile usare Intune per abilitare il plug-in e aggiungere app precedenti a un elenco di elementi consentiti in modo che ottengano l'accesso SSO.

Per altre informazioni, vedere Distribuire il plug-in Microsoft Enterprise SSO per i dispositivi Apple con Intune.

Usare il plug-in SSO nell'applicazione

MSAL per dispositivi Apple versioni 1.1.0 e successive supporta il plug-in Microsoft Enterprise SSO per i dispositivi Apple. È il modo consigliato per aggiungere il supporto per il plug-in Microsoft Enterprise SSO. Garantisce di ottenere le funzionalità complete di Microsoft Identity Platform.

Se si sta creando un'applicazione per scenari di lavoro sul campo, vedere Modalità dispositivo condiviso per i dispositivi iOS per informazioni sull'installazione.

Informazioni sul funzionamento del plug-in SSO

Il plug-in Microsoft Enterprise SSO si basa sul framework Apple Enterprise SSO. I provider di identità che accedono al framework possono intercettare il traffico di rete per i domini e migliorare o modificare la modalità di gestione di tali richieste. Ad esempio, il plug-in SSO può mostrare più interfacce utente per raccogliere le credenziali dell'utente finale in modo sicuro, richiedere l'autenticazione a più fattori o fornire automaticamente token all'applicazione.

Le applicazioni native possono anche implementare operazioni personalizzate e comunicare direttamente con il plug-in SSO. Per altre informazioni, vedere questo video della Conferenza per sviluppatori in tutto il mondo 2019 di Apple.

Suggerimento

Altre informazioni sul funzionamento del plug-in SSO e su come risolvere i problemi dell'estensione Microsoft Enterprise SSO con la guida alla risoluzione dei problemi SSO per i dispositivi Apple.

Applicazioni che usano MSAL

MSAL per dispositivi Apple versioni 1.1.0 e successive supporta il plug-in Microsoft Enterprise SSO per i dispositivi Apple in modo nativo per gli account aziendali e dell'istituto di istruzione.

Non è necessaria alcuna configurazione speciale se sono stati seguiti tutti i passaggi consigliati e si è usato il formato URI di reindirizzamento predefinito. Nei dispositivi che dispongono del plug-in SSO, MSAL lo richiama automaticamente per tutte le richieste di token interattive e invisibile all'utente. Lo richiama anche per le operazioni di enumerazione dell'account e rimozione dell'account. Poiché MSAL implementa un protocollo plug-in SSO nativo che si basa su operazioni personalizzate, questa configurazione offre l'esperienza nativa più fluida per l'utente finale.

Nei dispositivi iOS e iPadOS, se il plug-in SSO non è abilitato da MDM, ma l'app Microsoft Authenticator è presente nel dispositivo, MSAL usa invece l'app Authenticator per eventuali richieste di token interattive. Il plug-in Microsoft Enterprise SSO condivide l'accesso SSO con l'app Authenticator.

Applicazioni che non usano MSAL

Le applicazioni che non usano MSAL possono comunque ottenere l'accesso SSO se un amministratore aggiunge queste applicazioni all'elenco consenti.

Non è necessario modificare il codice in tali app, purché siano soddisfatte le condizioni seguenti:

• L'applicazione usa framework Apple per eseguire richieste di rete. Questi framework includono ad esempio WKWebView e NSURLSession.
• L'applicazione usa protocolli standard per comunicare con Microsoft Entra ID. Questi protocolli includono, ad esempio, OAuth 2, SAML e WS-Federation.
• L'applicazione non raccoglie nomi utente e password in testo non crittografato nell'interfaccia utente nativa.

In questo caso, l'accesso SSO viene fornito quando l'applicazione crea una richiesta di rete e apre un Web browser per l'accesso dell'utente. Quando un utente viene reindirizzato a un URL di accesso di Microsoft Entra, il plug-in SSO convalida l'URL e verifica la presenza di credenziali SSO per tale URL. Se trova le credenziali, il plug-in SSO lo passa a Microsoft Entra ID, che autorizza l'applicazione a completare la richiesta di rete senza chiedere all'utente di immettere le credenziali. Inoltre, se il dispositivo è noto all'ID Microsoft Entra, il plug-in SSO passa il certificato del dispositivo per soddisfare il controllo dell'accesso condizionale basato su dispositivo.

Per supportare l'accesso Single Sign-On per le app non MSAL, il plug-in SSO implementa un protocollo simile al plug-in del browser di Windows descritto in Che cos'è un token di aggiornamento primario?.

Rispetto alle app basate su MSAL, il plug-in SSO agisce in modo più trasparente per le app non MSAL. Si integra con l'esperienza di accesso del browser esistente che le app forniscono.

L'utente finale vede l'esperienza familiare e non deve accedere di nuovo in ogni applicazione. Ad esempio, invece di visualizzare la selezione dell'account nativo, il plug-in SSO aggiunge sessioni SSO all'esperienza di selezione account basata sul Web.

Modifiche imminenti all'archiviazione delle chiavi di identità del dispositivo

Annunciato nel marzo 2024, Microsoft Entra ID sposterà dal Keychain di Apple per l'archiviazione delle chiavi di identità del dispositivo. A partire da Q3 2026, tutte le nuove registrazioni dei dispositivi useranno l'enclave sicuro di Apple per impostazione predefinita.

Le applicazioni e le integrazioni MDM che hanno una dipendenza dall'accesso alle chiavi di Aggiunta all'area di lavoro tramite Keychain dovranno iniziare a usare MSAL e il plug-in Enterprise SSO per garantire la compatibilità con Microsoft Identity Platform.

Abilitare l'archiviazione basata su enclave sicura delle chiavi di identità del dispositivo

Se si vuole abilitare l'archiviazione basata su enclave sicura delle chiavi di identità del dispositivo prima che diventi l'impostazione predefinita, è possibile aggiungere l'attributo Dati di estensione seguente al profilo di configurazione MDM dei dispositivi Apple.

Nota

Affinché questo flag abbia effetto, deve essere applicato a una nuova registrazione. Non influirà i dispositivi che sono già stati registrati a meno che non vengano registrati nuovamente.

• Chiave: use_most_secure_storage
• Tipo: Boolean
• Valore: true

Lo screenshot seguente mostra la pagina di configurazione e le impostazioni per l'abilitazione dell'enclave sicuro in Microsoft Intune.

Scenari interessati

L'elenco seguente contiene alcuni scenari comuni che saranno interessati da queste modifiche. Come regola generale, tutte le applicazioni che hanno una dipendenza dall'accesso agli artefatti di identità del dispositivo tramite Keychain di Apple saranno interessate.

Questo non è un elenco completo e consigliamo sia ai consumatori che ai fornitori di applicazioni di testare il software per la compatibilità con questo nuovo archivio dati.

Supporto dei criteri di accesso condizionale dei dispositivi registrati/registrati in Chrome

Per supportare i criteri di accesso condizionale del dispositivo in Google Chrome con l'archiviazione basata su enclave sicura abilitata, è necessario che l'estensione Account di Windows sia installata e abilitata.

Vedi anche

Informazioni sulla modalità dispositivo condiviso per i dispositivi iOS.

Informazioni sulla risoluzione dei problemi dell'estensione Microsoft Enterprise SSO.