Apple 디바이스용 Microsoft Enterprise SSO 플러그 인

Apple 디바이스용 Microsoft Enterprise SSO 플러그 인은 Apple의 엔터프라이즈 Single Sign-On 기능을 지원하는 모든 애플리케이션에서 macOS, iOS 및 iPadOS의 Microsoft Entra 계정에 대한 SSO(Single Sign-On)를 제공합니다. 이 플러그 인은 비즈니스에서 의존할 수 있지만 아직 최신 ID 라이브러리 또는 프로토콜을 지원하지 않는 이전 애플리케이션에 대한 SSO를 제공합니다. Microsoft는 가능한 최상의 보호를 제공하면서 애플리케이션의 유용성을 높일 수 있는 이 플러그 인을 개발하기 위해 Apple과 긴밀하게 협력했습니다.

Enterprise SSO 플러그 인은 현재 다음 앱의 기본 제공 기능입니다.

• Microsoft Authenticator: iOS, iPadOS
• Microsoft Intune 회사 포털: macOS

기능

Apple 디바이스용 Microsoft Enterprise SSO 플러그 인은 다음과 같은 이점을 제공합니다.

• Apple Enterprise SSO 기능을 지원하는 모든 애플리케이션에서 Microsoft Entra 계정에 SSO를 제공합니다.
• MDM(모바일 디바이스 관리) 솔루션에서 사용하도록 설정할 수 있으며 디바이스 및 사용자 등록 모두에서 지원됩니다.
• SSO는 아직 MSAL(Microsoft 인증 라이브러리)을 사용하지 않는 애플리케이션으로 확장됩니다.
• OAuth 2, OpenID Connect 및 SAML을 사용하는 애플리케이션으로 SSO를 확장합니다.
• 기본적으로 MSAL과 통합되어 Microsoft Enterprise SSO 플러그 인을 사용하도록 설정한 최종 사용자에게 원활한 네이티브 환경을 제공합니다.

참고 항목

2024년 5월, Microsoft는 macOS 디바이스용 플랫폼 SSO를 Microsoft Entra ID에 대한 공개 미리 보기에서 사용할 수 있다고 발표했습니다.

자세한 내용은 macOS Platform Single Sign-On 개요(미리 보기)를 참조하세요.

요구 사항

Apple 디바이스용 Microsoft Enterprise SSO 플러그 인을 사용하려면

• 디바이스는 Apple 디바이스용 Microsoft Enterprise SSO 플러그 인이 있는 설치된 앱을 지원하고 있어야 합니다.

  • iOS 13.0 이상: Microsoft Authenticator 앱
  • iPadOS 13.0 이상: Microsoft Authenticator 앱
  • macOS 10.15 이상: Intune 회사 포털 앱

• 디바이스를 MDM에 등록해야 합니다(예: Microsoft Intune을 통해).

• Enterprise SSO 플러그 인을 사용하도록 설정하려면 구성을 디바이스에 푸시해야 합니다. Apple에는 이 보안 제약 조건이 필요합니다.

• Apple 디바이스는 추가 가로채기 없이 ID 공급자 URL과 자체 URL 모두에 연결할 수 있어야 합니다. 즉, 이러한 URL은 네트워크 프록시, 가로채기 및 기타 엔터프라이즈 시스템에서 제외되어야 합니다.

  SSO 플러그 인이 작동하도록 허용해야 하는 최소 URL 집합은 다음과 같습니다.

  • app-site-association.cdn-apple.com
  • app-site-association.networking.apple
  • login.microsoftonline.com(*)
  • login.microsoft.com(*)
  • sts.windows.net(*)
  • login.partner.microsoftonline.cn(*) (**)
  • login.chinacloudapi.cn(*) (**)
  • login.microsoftonline.us(*) (**)
  • login-us.microsoftonline.com(*) (**)
  • config.edge.skype.com(***)

  (*) Microsoft do기본 허용은 2022년 이전에 릴리스된 운영 체제 버전에서만 필요합니다. 최신 운영 체제 버전에서 Apple은 CDN을 완전히 사용합니다.

  (**) 사용자 환경의 클라우드에 의존하는 경우에만 소버린 클라우드가 기본 허용하면 됩니다.

  (***) ECS(실험 구성 서비스)와의 통신을 유지 관리하면 Microsoft가 심각한 버그에 적시에 대응할 수 있습니다.

  Microsoft Enterprise SSO 플러그 인은 Apple Enterprise SSO 프레임워크에 의존합니다. Apple의 Enterprise SSO 프레임워크는 연결된 도메인이라는 기술을 활용하여 승인된 SSO 플러그 인만 각 ID 공급자에 대해 작동할 수 있도록 합니다. SSO 플러그 인의 ID를 확인하기 위해 각 Apple 디바이스는 ID 공급자가 소유한 엔드포인트에 네트워크 요청을 보내고 승인된 SSO 플러그 인에 대한 정보를 읽습니다. Apple은 ID 공급자에게 직접 연락하는 것 외에도 이 정보에 대한 또 다른 캐싱을 구현했습니다.

  Warning

  조직에서 데이터 손실 방지 또는 테넌트 제한과 같은 시나리오에 대해 SSL 트래픽을 가로채는 프록시 서버를 사용하는 경우 이러한 URL에 대한 트래픽을 TLS 중단-검사에서 제외해야 합니다. 이러한 URL을 제외하지 않으면 클라이언트 인증서 인증에 간섭이 발생하고, 디바이스 등록 및 디바이스 기반 조건부 액세스에 문제가 발생합니다. SSO 플러그 인은 Apple CDN do기본s를 인터셉션에서 완전히 제외하지 않으면 안정적으로 작동하지 않으며, 그렇게 할 때까지 일시적인 문제가 발생합니다.

  조직에서 이러한 URL을 차단하는 경우 사용자는 다음과 같은 1012 NSURLErrorDomain error1000 com.apple.AuthenticationServices.AuthorizationError 오류가 표시되거나 1001 Unexpected.

  허용해야 할 수 있는 기타 Apple URL은 지원 문서 기업 네트워크에서 Apple 제품 사용에 설명되어 있습니다.

iOS 요구 사항:

• iOS 13.0 이상이 디바이스에 설치되어 있어야 합니다.
• Apple 디바이스용 Microsoft Enterprise SSO 플러그 인을 제공하는 Microsoft 애플리케이션을 디바이스에 설치해야 합니다. 이 앱은 Microsoft Authenticator 앱입니다.

macOS 요구 사항

• macOS 10.15 이상이 디바이스에 설치되어 있어야 합니다.
• Apple 디바이스용 Microsoft Enterprise SSO 플러그 인을 제공하는 Microsoft 애플리케이션을 디바이스에 설치해야 합니다. 이 앱은 Intune 회사 포털 앱입니다.

SSO 플러그 인 사용

MDM을 사용하여 SSO 플러그 인을 사용하도록 설정하려면 다음 정보를 사용합니다.

Microsoft Intune 구성

Microsoft Intune을 MDM 서비스로 사용하는 경우 기본 제공 구성 프로필 설정을 사용하여 Microsoft Enterprise SSO 플러그 인을 사용하도록 설정할 수 있습니다.

1. 구성 프로필의 SSO 앱 플러그 인 설정을 구성합니다.
2. 프로필이 아직 할당되지 않은 경우 사용자 또는 디바이스 그룹에 프로필을 할당합니다.

SSO 플러그 인을 사용하도록 설정하는 프로필 설정은 다음에 각 디바이스가 Intune을 사용하여 체크 인할 때 그룹의 디바이스에 자동으로 적용됩니다.

기타 MDM 서비스의 수동 구성

MDM에 Intune을 사용하지 않는 경우 Apple 디바이스에 대해 Extensible Single Sign On 프로필 페이로드를 구성할 수 있습니다. 다음 매개 변수를 사용하여 Microsoft Enterprise SSO 플러그인 및 해당 구성 옵션을 구성합니다.

iOS 설정:

• 확장 ID: com.microsoft.azureauthenticator.ssoextension
• 팀 ID: 이 필드는 iOS에 필요하지 않습니다.

macOS 설정:

• 확장 ID: com.microsoft.CompanyPortalMac.ssoextension
• 팀 ID: UBF8T346G9

일반 설정:

• 유형: 리디렉션
  • https://login.microsoftonline.com
  • https://login.microsoft.com
  • https://sts.windows.net
  • https://login.partner.microsoftonline.cn
  • https://login.chinacloudapi.cn
  • https://login.microsoftonline.us
  • https://login-us.microsoftonline.com

배포 가이드

다음 배포 가이드를 사용하여 선택한 MDM 솔루션으로 Microsoft Enterprise SSO 플러그 인을 사용하도록 설정합니다.

Intune:

• iOS 가이드
• macOS 가이드

Jamf Pro:

• iOS 가이드
• macOS 가이드

기타 MDM:

• iOS 가이드
• macOS 가이드

추가 구성 옵션

다른 구성 옵션을 추가하여 SSO 기능을 다른 앱으로 확장할 수 있습니다.

MSAL을 사용하지 않는 앱에 대해 SSO 사용

SSO 플러그 인은 MSAL(Microsoft 인증 라이브러리)과 같은 Microsoft SDK를 사용하여 개발되지 않은 경우에도 모든 애플리케이션을 SSO에 참여할 수 있도록 허용합니다.

SSO 플러그 인은 다음과 같은 디바이스에서 자동으로 설치됩니다.

• iOS 또는 iPadOS에서 Authenticator 앱을 다운로드하거나 macOS에서 Intune 회사 포털 앱을 다운로드했습니다.
• MDM이 조직에 디바이스를 등록했습니다.

조직에서는 다단계 인증, 암호 없는 인증 및 조건부 액세스와 같은 시나리오에 Authenticator 앱을 사용하는 경우가 많습니다. MDM 공급자를 사용하여 애플리케이션에 대한 SSO 플러그 인을 켤 수 있습니다. Microsoft는 Microsoft Intune을 사용하여 플러그 인을 쉽게 구성할 수 있도록 했습니다. SSO 플러그 인을 사용하도록 이러한 애플리케이션을 구성하는 데 허용 목록을 사용합니다.

Important

Microsoft Enterprise SSO 플러그 인은 네이티브 Apple 네트워크 기술 또는 웹 보기를 사용하는 앱만 지원합니다. 자체 네트워크 계층 구현을 전달하는 애플리케이션은 지원하지 않습니다.

MSAL을 사용하지 않는 앱에 대해 Microsoft Enterprise SSO 플러그 인을 구성하려면 다음 매개 변수를 사용합니다.

Important

Microsoft 인증 라이브러리를 사용하는 앱을 이 허용 목록에 추가할 필요가 없습니다. 이러한 앱은 기본적으로 SSO에 참여합니다. 대부분의 Microsoft 빌드 앱은 Microsoft 인증 라이브러리를 사용합니다.

모든 관리형 앱에 SSO 사용

• 키: Enable_SSO_On_All_ManagedApps
• 형식: Integer
• 값: 1 또는 0. 기본적으로 이 값은 0으로 설정됩니다.

이 플래그가 설정된 경우(해당 값이 1로 설정), AppBlockList에 없는 모든 MDM 관리형 앱이 SSO에 참여할 수 있습니다.

특정 앱에 SSO 사용

• 키: AppAllowList
• 형식: String
• 값: SSO에 참여할 수 있는 애플리케이션에 대한 쉼표로 구분된 애플리케이션 번들 ID 목록입니다.
• 예:com.contoso.workapp, com.contoso.travelapp

참고 항목

Safari 및 Safari View Service는 기본적으로 SSO에 참여할 수 있습니다. AppBlockList에서 Safari 및 Safari View Service의 번들 ID를 추가하여 SSO에 참여하지 않도록 구성할 수 있습니다. iOS 번들 ID: [com.apple.mobilesafari, com.apple.SafariViewService] macOS BundleID : [com.apple.Safari]

특정 번들 ID 접두사가 있는 모든 앱에 SSO 사용

• 키: AppPrefixAllowList
• 형식: String
• 값: SSO에 참여할 수 있는 애플리케이션에 대한 쉼표로 구분된 애플리케이션 번들 ID 접두사 목록입니다. 이 매개 변수는 특정 접두사로 시작하는 모든 앱이 SSO에 참여할 수 있도록 허용합니다. iOS의 경우 기본값은 com.apple.로 설정되고 모든 Apple 앱에 대해 SSO를 사용하도록 설정합니다. macOS의 경우 기본값은 com.apple. 및 com.microsoft.로 설정되며 모든 Apple 및 Microsoft 앱에 대해 SSO를 사용하도록 설정합니다. 관리자는 기본값을 재정의하거나 AppBlockList에 앱을 추가하여 SSO에 참여하지 못하도록 할 수 있습니다.
• 예:com.contoso., com.fabrikam.

특정 앱에 대해 SSO 사용 안 함

• 키: AppBlockList
• 형식: String
• 값: SSO에 참여할 수 없는 애플리케이션에 대한 쉼표로 구분된 애플리케이션 번들 ID 목록입니다.
• 예:com.contoso.studyapp, com.contoso.travelapp

Safari 또는 Safari View Service에 대해 SSO를 사용하지 않도록 설정하려면 번들 ID를 AppBlockList에 추가하여 명시적으로 이 작업을 수행해야 합니다.

• iOS: com.apple.mobilesafari, com.apple.SafariViewService
• macOS: com.apple.Safari

특정 애플리케이션에 대해 쿠키를 통해 SSO를 사용하도록 설정

고급 네트워크 설정이 있는 일부 iOS 앱은 SSO에 대해 사용하도록 설정할 경우 예기치 않은 문제가 발생할 수 있습니다. 예를 들어, 네트워크 요청이 취소되었거나 중단되었음을 나타내는 오류가 표시될 수 있습니다.

다른 설정을 통해 사용하도록 설정한 후에도 애플리케이션에 로그인하는 데 문제가 있는 경우 AppCookieSSOAllowList에 추가하여 문제를 해결하세요.

• 키: AppCookieSSOAllowList
• 형식: String
• 값: SSO에 참여할 수 있는 애플리케이션에 대한 쉼표로 구분된 애플리케이션 번들 ID 접두사 목록입니다. 나열된 접두사로 시작하는 모든 앱은 SSO에 참여할 수 있습니다.
• 예:com.contoso.myapp1, com.fabrikam.myapp2

기타 요구 사항: AppCookieSSOAllowList를 사용하여 애플리케이션에 SSO를 사용하도록 설정하려면 번들 ID 접두사 AppPrefixAllowList도 추가해야 합니다.

예기치 않은 로그인 실패가 발생한 애플리케이션에 대해서만 이 구성을 시도하세요. 이 키는 macOS 앱이 아닌 iOS 앱에만 사용됩니다.

키 요약

키	Type	값
Enable_SSO_On_All_ManagedApps	정수	모든 관리형 앱에 대해 SSO를 사용하도록 설정하려면 1, 모든 관리형 앱에 대해 SSO를 사용하지 않도록 설정하려면 0
AppAllowList	문자열 (쉼표로 구분된 목록)	SSO에 참여할 수 있도록 허용된 애플리케이션의 번들 ID입니다.
AppBlockList	문자열 (쉼표로 구분된 목록)	SSO에 참여할 수 있도록 허용되지 않는 애플리케이션의 번들 ID입니다.
AppPrefixAllowList	문자열 (쉼표로 구분된 목록)	SSO에 참여할 수 있도록 허용된 애플리케이션의 번들 ID 접두사입니다. iOS의 경우 기본값은 com.apple.로 설정되고 모든 Apple 앱에 대해 SSO를 사용하도록 설정합니다. macOS의 경우 기본값은 com.apple. 및 com.microsoft.로 설정되며 모든 Apple 및 Microsoft 앱에 대해 SSO를 사용하도록 설정합니다. 개발자, 고객 또는 관리자는 기본값을 재정의하거나 AppBlockList에 앱을 추가하여 SSO에 참여하지 못하도록 할 수 있습니다.
AppCookieSSOAllowList	문자열 (쉼표로 구분된 목록)	SSO에 참여할 수 있도록 허용되지만 특수 네트워크 설정을 사용하고 다른 설정을 사용하는 SSO에서 문제가 발생하는 애플리케이션의 번들 ID 접두사입니다. AppCookieSSOAllowList에 추가하는 앱을 AppPrefixAllowList에도 추가해야 합니다. 이 키는 macOS 앱이 아닌 iOS 앱에만 사용됩니다.

일반적인 시나리오에 대한 설정

• 시나리오: 전체는 아니지만 대부분의 관리형 애플리케이션에 대해 SSO를 사용하도록 설정하려고 합니다.

  Key	값
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	SSO에 참여하지 못하게 하려는 앱의 번들 ID(쉼표로 구분된 목록)입니다.

• 시나리오 기본적으로 사용하도록 설정되어 있는 Safari용 SSO를 사용하지 않도록 설정하고 모든 관리형 앱에 대해 SSO를 사용하도록 설정하려고 합니다.

  Key	값
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	SSO에 참여하지 못하게 하려는 Safari 앱의 번들 ID(쉼표로 구분된 목록)입니다. iOS의 경우: com.apple.mobilesafari, com.apple.SafariViewService macOS의 경우: com.apple.Safari

• 시나리오: 모든 관리형 앱과 비관리형 앱에서 SSO를 사용하도록 설정하고 몇 가지 다른 앱에 SSO를 사용하지 않도록 설정하려고 합니다.

  Key	값
  Enable_SSO_On_All_ManagedApps	1
  AppAllowList	SSO에 참여할 수 있도록 설정하려는 앱의 번들 ID(쉼표로 구분된 목록)입니다.
  AppBlockList	SSO에 참여하지 못하게 하려는 앱의 번들 ID(쉼표로 구분된 목록)입니다.

iOS 디바이스에서 앱 번들 식별자 찾기

Apple은 App Store에서 번들 ID를 가져오는 편리한 방법을 제공하지 않습니다. SSO에 사용하려는 앱의 번들 ID를 가져오는 가장 쉬운 방법은 공급업체 또는 앱 개발자에게 요청하는 것입니다. 해당 옵션을 사용할 수 없는 경우 MDM 구성을 사용하여 번들 ID를 찾을 수 있습니다.

1. MDM 구성에서 일시적으로 다음 플래그를 사용하도록 설정합니다.

   • 키: admin_debug_mode_enabled
   • 형식: Integer
   • 값: 1 또는 0

2. 이 플래그가 설정되면 번들 ID를 알고 싶은 디바이스에서 iOS 앱으로 로그인합니다.

3. Authenticator 앱에서 도움말>로그 보내기>로그 보기를 선택합니다.

4. 로그 파일에서 [ADMIN MODE] SSO extension has captured following app bundle identifiers 줄을 찾습니다. 이 줄은 SSO 확장에 표시되는 모든 애플리케이션 번들 ID를 캡처합니다.

번들 ID를 사용하여 앱에 대한 SSO를 구성합니다. 완료되면 관리자 모드를 사용하지 않도록 설정합니다.

사용자가 MSAL 및 Safari 브라우저를 사용하지 않는 애플리케이션에서 로그인하도록 허용

기본적으로 Microsoft Enterprise SSO 플러그 인은 새로운 토큰 획득 동안 MSAL을 사용하는 다른 앱에서 호출되는 경우 공유 자격 증명을 획득합니다. 구성에 따라 Microsoft Enterprise SSO 플러그 인은 MSAL을 사용하지 않는 앱에서 호출할 때 공유 자격 증명을 획득할 수도 있습니다.

browser_sso_interaction_enabled 플래그를 사용하는 경우 MSAL을 사용하지 않는 앱은 초기 부트스트랩을 수행하고 공유 자격 증명을 가져올 수 있습니다. Safari 브라우저는 초기 부트스트랩을 수행하고 공유 자격 증명을 가져올 수도 있습니다.

Microsoft Enterprise SSO 플러그 인에 공유 자격 증명이 아직 없는 경우 Safari 브라우저, ASWebAuthenticationSession, SafariViewController 또는 허용된 다른 네이티브 애플리케이션 내의 Microsoft Entra URL에서 로그인이 요청될 때마다 공유 자격 증명을 가져오려고 시도합니다.

다음 매개 변수를 사용하여 플래그를 사용하도록 설정합니다.

• 키: browser_sso_interaction_enabled
• 형식: Integer
• 값: 1 또는 0. 기본적으로 이 값은 1로 설정됩니다.

Microsoft Enterprise SSO 플러그 인이 모든 앱에서 일관된 환경을 제공할 수 있도록 iOS와 macOS 모두 이 설정이 필요합니다. 이 설정은 기본적으로 사용하도록 설정되며 최종 사용자가 자격 증명으로 로그인할 수 없는 경우에만 사용하지 않도록 설정해야 합니다.

OAuth 2 애플리케이션 프롬프트 사용 안 함

Microsoft Enterprise SSO 플러그 인이 디바이스의 다른 애플리케이션에 대해 작동하더라도 애플리케이션에서 사용자에게 로그인하라는 메시지를 표시하는 경우 앱이 프로토콜 계층에서 SSO를 우회할 수 있습니다. 플러그 인은 허용된 애플리케이션의 네트워크 요청에 자격 증명을 추가하여 SSO를 제공하기 때문에 공유 자격 증명도 이러한 애플리케이션에서 무시됩니다.

이러한 매개 변수를 통해 SSO 확장에서 기본 및 웹 애플리케이션이 프로토콜 계층에서 SSO를 우회하고 사용자에게 로그인 프롬프트를 강제로 표시하는 것을 방지해야 하는지 여부를 지정합니다.

디바이스의 모든 앱에서 일관된 SSO 환경을 위해서는 MSAL을 사용하지 않는 앱에 대해 이러한 설정 중 하나를 사용하는 것이 좋습니다. 사용자에게 예기치 않은 프롬프트가 발생하는 경우에만 MSAL을 사용하는 앱에 대해 이 설정을 사용해야 합니다.

Microsoft 인증 라이브러리를 사용하지 않는 앱:

앱 프롬프트를 사용하지 않도록 설정하고 계정 선택기를 표시합니다.

• 키: disable_explicit_app_prompt
• 형식: Integer
• 값: 1 또는 0. 이 값은 기본적으로 1로 설정되며 이 기본 설정을 사용하면 프롬프트가 감소됩니다.

앱 프롬프트를 사용하지 않도록 설정하고 일치하는 SSO 계정 목록에서 자동으로 계정을 선택합니다.

• 키: disable_explicit_app_prompt_and_autologin
• 형식: Integer
• 값: 1 또는 0. 기본적으로 이 값은 0으로 설정됩니다.

Microsoft 인증 라이브러리를 사용하는 앱:

앱 보호 정책을 사용 중인 경우 다음 설정은 권장되지 않습니다.

앱 프롬프트를 사용하지 않도록 설정하고 계정 선택기를 표시합니다.

• 키: disable_explicit_native_app_prompt
• 형식: Integer
• 값: 1 또는 0. 기본적으로 이 값은 0으로 설정됩니다.

앱 프롬프트를 사용하지 않도록 설정하고 일치하는 SSO 계정 목록에서 자동으로 계정을 선택합니다.

• 키: disable_explicit_native_app_prompt_and_autologin
• 형식: Integer
• 값: 1 또는 0. 기본적으로 이 값은 0으로 설정됩니다.

예기치 않은 SAML 애플리케이션 프롬프트

Microsoft Enterprise SSO 플러그 인이 디바이스의 다른 애플리케이션에 대해 작동하더라도 애플리케이션에서 사용자에게 로그인하라는 메시지를 표시하는 경우 앱이 프로토콜 계층에서 SSO를 우회할 수 있습니다. 애플리케이션이 SAML 프로토콜을 사용하는 경우 Microsoft Enterprise SSO 플러그 인은 앱에 SSO를 제공할 수 없습니다. 애플리케이션 공급업체는 이 동작에 대해 알림을 받고 SSO를 무시하지 않도록 앱을 변경해야 합니다.

MSAL 지원 애플리케이션에 대한 iOS 환경 변경

MSAL을 사용하는 앱은 항상 대화형 요청에 대해 기본적으로 SSO 확장을 호출합니다. 일부 iOS 디바이스에서는 이것이 적절하지 않을 수 있습니다. 특히 사용자가 Microsoft Authenticator 앱 내에서 다단계 인증을 완료해야 하는 경우 해당 앱으로의 대화형 리디렉션이 더 나은 사용자 환경을 제공할 수 있습니다.

이 동작은 disable_inapp_sso_signin 플래그를 사용하여 구성할 수 있습니다. 이 플래그를 사용하도록 설정하면 MSAL을 사용하는 앱은 모든 대화형 요청에 대해 Microsoft Authenticator 앱으로 리디렉션됩니다. 이 플래그는 해당 앱의 자동 토큰 요청, MSAL을 사용하지 않는 앱의 동작 또는 macOS 앱에 영향을 주지 않습니다. 이 플래그는 기본적으로 사용하지 않도록 설정되어 있습니다.

• 키: disable_inapp_sso_signin
• 형식: Integer
• 값: 1 또는 0. 기본적으로 이 값은 0으로 설정됩니다.

Microsoft Entra 디바이스 등록 구성

Intune 관리 디바이스의 경우 Microsoft Enterprise SSO 플러그 인은 사용자가 리소스에 액세스하려고 할 때 Microsoft Entra 디바이스 등록을 수행할 수 있습니다. 이렇게 하면 보다 간소화된 최종 사용자 환경을 사용할 수 있습니다.

다음 구성을 사용하여 Microsoft Intune에서 iOS/iPadOS에 대한 Just-In-Time 등록을 사용하도록 설정합니다.

• 키: device_registration
• 형식: String
• 값: {{DEVICEREGISTRATION}}

Just-In-Time 등록에 대한 자세한 내용은 여기를 참조하세요.

조건부 액세스 정책 및 암호 변경

Apple 디바이스용 Microsoft Enterprise SSO 플러그 인은 다양한 Microsoft Entra 조건부 액세스 정책 및 암호 변경 이벤트와 호환됩니다. browser_sso_interaction_enabled는 호환성을 얻기 위해 사용하도록 설정해야 합니다.

호환되는 이벤트 및 정책은 다음 섹션에 설명되어 있습니다.

암호 변경 및 토큰 해지

사용자가 암호를 재설정하면 이전에 발급된 모든 토큰이 해지됩니다. 사용자가 암호 재설정 이벤트 후 리소스에 액세스하려고 하는 경우 사용자는 일반적으로 각 앱에서 다시 로그인해야 합니다. Microsoft Enterprise SSO 플러그 인을 사용하도록 설정하면 사용자에게 SSO에 참여하는 첫 번째 애플리케이션에 로그인하라는 메시지가 표시됩니다. Microsoft Enterprise SSO 플러그 인은 현재 활성 상태인 애플리케이션 위에 자체 사용자 인터페이스를 표시합니다.

Microsoft Entra 다단계 인증 FAQ

다단계 인증은 로그인 프로세스 중에 사용자에게 휴대폰 코드나 지문 스캔과 같은 추가 형태의 본인 확인을 요청하는 메시지가 표시되는 프로세스입니다. 특정 리소스에 대해 다단계 인증을 사용하도록 설정할 수 있습니다. Microsoft Enterprise SSO 플러그 인을 사용하도록 설정하면 사용자에게 필요한 첫 번째 애플리케이션에서 다단계 인증을 수행하라는 메시지가 표시됩니다. Microsoft Enterprise SSO 플러그 인은 현재 활성 상태인 애플리케이션 위에 자체 사용자 인터페이스를 표시합니다.

사용자 로그인 빈도

로그인 빈도는 리소스에 액세스하려고 할 때 사용자에게 다시 로그인하라는 메시지가 표시되는 기간을 정의합니다. 사용자가 다양한 앱에서 기간이 경과한 후 리소스에 액세스하려고 하는 경우 일반적으로 각 앱에서 다시 로그인해야 합니다. Microsoft Enterprise SSO 플러그 인을 사용하도록 설정하면 사용자에게 SSO에 참여하는 첫 번째 애플리케이션에 로그인하라는 메시지가 표시됩니다. Microsoft Enterprise SSO 플러그 인은 현재 활성 상태인 애플리케이션 위에 자체 사용자 인터페이스를 표시합니다.

간소화된 구성에 Intune 사용

Intune을 MDM 서비스로 사용하여 Microsoft Enterprise SSO 플러그 인을 쉽게 구성할 수 있습니다. 예를 들어, Intune을 사용하여 플러그 인을 사용하도록 설정하고 허용 목록에 이전 앱을 추가하여 SSO를 가져오도록 할 수 있습니다.

자세한 내용은 Intune을 사용하여 Apple 디바이스용 Microsoft Enterprise SSO 플러그 인 배포를 참조하세요.

애플리케이션에서 SSO 플러그 인 사용

Apple 디바이스용 MSAL 버전 1.1.0 이상은 Apple 디바이스용 Microsoft Enterprise SSO 플러그 인을 지원합니다. 이것은 Microsoft Enterprise SSO 플러그 인에 대한 지원을 추가하기 위한 권장되는 방법입니다. 이를 통해 Microsoft ID 플랫폼의 전체 기능을 사용할 수 있습니다.

최전방 작업자 시나리오용 애플리케이션을 빌드하는 경우 설치 정보는 iOS 디바이스에 대한 공유 디바이스 모드를 참조하세요.

SSO 플러그 인 작동 방식 이해

Microsoft Enterprise SSO 플러그 인은 Apple Enterprise SSO 프레임워크에 의존합니다. 프레임워크를 조인하는 ID 공급자는 해당 도메인에 대한 네트워크 트래픽을 가로채서 해당 요청이 처리되는 방식을 개선하거나 변경할 수 있습니다. 예를 들어, SSO 플러그 인은 최종 사용자 자격 증명을 안전하게 수집하거나, MFA를 요구하거나, 애플리케이션에 토큰을 자동으로 제공하는 추가 UI를 표시할 수 있습니다.

또한 네이티브 애플리케이션은 사용자 지정 작업을 구현하고 SSO 플러그 인과 직접 통신할 수 있습니다. 자세한 내용은 Apple의 2019년 전 세계 개발자 회의 비디오를 참조하세요.

팁

Apple 디바이스용 SSO 문제 해결 가이드를 통해 SSO 플러그 인의 작동 방식과 Microsoft Enterprise SSO 확장 문제를 해결하는 방법에 대해 자세히 알아봅니다.

MSAL을 사용하는 애플리케이션

Apple 디바이스용 MSAL 버전 1.1.0 이상은 기본적으로 회사 및 학교 계정을 위한 Apple 디바이스용 Microsoft Enterprise SSO 플러그 인을 지원합니다.

모든 권장 단계를 따르고 기본 리디렉션 URI 형식을 사용한 경우 특별한 구성이 필요하지 않습니다. SSO 플러그 인이 있는 디바이스에서 MSAL은 모든 대화형 및 자동 토큰 요청에 대해 이 플러그 인을 자동으로 호출합니다. 또한 계정 열거 및 계정 제거 작업에 대해서도 호출합니다. MSAL은 사용자 지정 작업에 의존하는 네이티브 SSO 플러그 인 프로토콜을 구현하기 때문에 이 설치 프로그램은 최종 사용자에게 가장 원활한 네이티브 환경을 제공합니다.

iOS 및 iPadOS 디바이스에서 SSO 플러그 인이 MDM에서 사용하도록 설정되어 있지 않지만 Microsoft Authenticator 앱이 디바이스에 있는 경우 MSAL은 모든 대화형 토큰 요청에 Authenticator 앱을 대신 사용합니다. Microsoft Enterprise SSO 플러그 인은 Authenticator 앱과 SSO를 공유합니다.

MSAL을 사용하지 않는 애플리케이션

MSAL을 사용하지 않는 애플리케이션은 관리자가 이러한 애플리케이션을 허용 목록에 추가하는 경우에도 SSO를 가져올 수 있습니다.

다음 조건이 충족되기만 하면 해당 앱의 코드를 변경할 필요가 없습니다.

• 애플리케이션은 Apple 프레임워크를 사용하여 네트워크 요청을 실행합니다. 예를 들어 이러한 프레임워크는 WKWebView 및 NSURLSession을 포함합니다.
• 애플리케이션은 표준 프로토콜을 사용하여 Microsoft Entra ID와 통신합니다. 예를 들어, 이러한 프로토콜에는 OAuth 2, SAML, WS-FEDERATION 등이 있습니다.
• 애플리케이션은 네이티브 UI에서 일반 텍스트 사용자 이름 및 암호를 수집하지 않습니다.

이 경우 애플리케이션에서 네트워크 요청을 만들고 사용자를 로그인할 웹 브라우저를 열면 SSO가 제공됩니다. 사용자가 Microsoft Entra 로그인 URL로 리디렉션되면 SSO 플러그 인은 URL의 유효성을 검사하고 해당 URL에 대한 SSO 자격 증명을 확인합니다. 자격 증명을 찾으면 SSO 플러그 인은 이를 Microsoft Entra ID에 전달합니다. 그러면 사용자에게 자격 증명을 입력하지 않고도 애플리케이션이 네트워크 요청을 완료할 수 있는 권한을 부여합니다. 또한 디바이스가 Microsoft Entra ID에 알려진 경우 SSO 플러그 인은 디바이스 기반 조건부 액세스 확인을 충족하기 위해 디바이스 인증서를 전달합니다.

MSAL이 아닌 앱에 대해 SSO를 지원하기 위해 SSO 플러그 인은 기본 새로 고침 토큰이란?에 설명된 Windows 브라우저 플러그 인과 비슷한 프로토콜을 구현합니다.

MSAL 기반 앱에 비해 SSO 플러그 인은 MSAL이 아닌 앱에 대해 더 투명하게 작동합니다. 앱이 제공하는 기존 브라우저 로그인 환경과 통합됩니다.

최종 사용자에게 친숙한 환경이 표시되며 각 애플리케이션에서 다시 로그인할 필요가 없습니다. 예를 들어, 네이티브 계정 선택을 표시하는 대신, SSO 플러그 인은 웹 기반 계정 선택 환경에 SSO 세션을 추가합니다.

디바이스 ID 키 스토리지에 대한 예정된 변경 내용

2024년 3월에 발표된 Microsoft Entra ID는 디바이스 ID 키를 저장하기 위해 Apple의 키 집합에서 벗어날 예정입니다. 2026년 3분기부터 모든 새 디바이스 등록은 기본적으로 Apple의 Secure Enclave를 사용합니다.

키 집합을 통해 Workplace Join 키에 액세스하는 데 종속된 애플리케이션 및 MDM 통합은 MSAL 및 Enterprise SSO 플러그 인을 사용하여 Microsoft ID 플랫폼 호환성을 보장해야 합니다.

디바이스 ID 키의 보안 Enclave 기반 스토리지 사용

기본값이 되기 전에 디바이스 ID 키의 Secure Enclave 기반 스토리지를 사용하도록 설정하려면 Apple 디바이스의 MDM 구성 프로필에 다음 확장 데이터 특성을 추가할 수 있습니다.

참고 항목

이 플래그를 적용하려면 새 등록에 적용해야 합니다. 다시 등록하지 않는 한 이미 등록된 디바이스에는 영향을 주지 않습니다.

• 키: use_most_secure_storage
• 형식: Boolean
• 값: True

아래 스크린샷은 Microsoft Intune에서 Secure Enclave를 사용하도록 설정하기 위한 구성 페이지 및 설정을 보여줍니다.

영향을 받은 시나리오

아래 목록에는 이러한 변경 내용의 영향을 받는 몇 가지 일반적인 시나리오가 포함되어 있습니다. 일반적으로 Apple의 키 집합을 통해 디바이스 ID 아티팩트 액세스에 종속된 모든 애플리케이션이 영향을 받습니다.

이는 완전한 목록이 아니며, 이 새로운 데이터 저장소와의 호환성을 위해 소프트웨어를 테스트하도록 소비자와 애플리케이션 공급업체 모두에게 권고합니다.

Chrome에서 등록된/등록된 디바이스 조건부 액세스 정책 지원

보안 Enclave 기반 스토리지를 사용하도록 설정된 Google Chrome에서 디바이스 조건부 액세스 정책을 지원하려면 Microsoft Single Sign-On 확장을 설치하고 사용하도록 설정해야 합니다.

참고 항목

iOS 디바이스의 공유 디바이스 모드에 대해 자세히 알아봅니다.

Microsoft Enterprise SSO 확장 문제 해결에 대해 알아봅니다.