Omówienie logowania jednokrotnego (SSO) i opcje dla urządzeń firmy Apple w Microsoft Intune
Urządzenia firmy Apple mogą korzystać z logowania jednokrotnego (SSO) w celu uzyskiwania dostępu do urządzeń, aplikacji i witryn internetowych przy użyciu Tożsamość Microsoft Entra. Logowanie jednokrotne umożliwia użytkownikom logowanie się i uzyskiwanie dostępu bez wprowadzania poświadczeń za każdym razem.
Ten artykuł dotyczy:
- iOS/iPadOS
- macOS
Urządzenia i większość aplikacji, w tym aplikacje biznesowe (LOB), wymagają pewnego poziomu uwierzytelniania użytkowników. W wielu przypadkach uwierzytelnianie wymaga od użytkowników wielokrotnego wprowadzania tych samych poświadczeń.
Administratorzy mogą używać Microsoft Intune do tworzenia i wdrażania zasad logowania jednokrotnego. Deweloperzy mogą tworzyć aplikacje obsługujące logowanie jednokrotne i korzystające z niego. Po połączeniu zasad logowania jednokrotnego Intune z aplikacjami obsługujcymi logowania jednokrotnego zmniejsza się liczba monitów o poświadczenia dla aplikacji i witryn internetowych.
Aby skonfigurować logowania jednokrotnego dla urządzeń firmy Apple w Intune, dostępne są następujące opcje:
Logowanie jednokrotne platformy — część wtyczki logowania jednokrotnego w przedsiębiorstwie firmy Microsoft Tożsamość Microsoft Entra i obejmuje rozszerzenie aplikacji logowania jednokrotnego. Dotyczy urządzeń z systemem macOS.
Rozszerzenie aplikacji logowania jednokrotnego — część wtyczki logowania jednokrotnego firmy Microsoft Enterprise Tożsamość Microsoft Entra. Dotyczy urządzeń z systemami iOS/iPadOS i macOS.
Szablon logowania jednokrotnego — szablon w Intune. Dotyczy urządzeń z systemem iOS/iPadOS.
Ten artykuł zawiera omówienie opcji logowania jednokrotnego dostępnych dla urządzeń firmy Apple w Intune i ich obsługiwanych platform.
Logo jednokrotne platformy
Ta funkcja ma zastosowanie do:
- macOS
Wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft obejmuje dwie funkcje logowania jednokrotnego — logowanie jednokrotne platformy i rozszerzenie aplikacji logowania jednokrotnego. W tej sekcji skupiono się na logniu jednokrotnym platformy.
Na urządzeniach z systemem macOS użytkownicy zwykle logują się przy użyciu konta lokalnego. Następnie logują się do aplikacji i witryn internetowych przy użyciu Tożsamość Microsoft Entra.
Przy użyciu logowania jednokrotnego platformy:
Organizacje mogą:
Wybierz metodę uwierzytelniania, która spełnia Twoje potrzeby biznesowe. Dostępne opcje to uwierzytelnianie bez hasła bezpiecznej enklawy, Microsoft Entra konto użytkownika & hasło lub uwierzytelnianie za pomocą karty inteligentnej.
Użyj rozszerzenia aplikacji logowania jednokrotnego, ponieważ rozszerzenie aplikacji logowania jednokrotnego jest częścią logowania jednokrotnego platformy. W szczególności:
- Użyj rozszerzenia aplikacji logowania jednokrotnego, aby zalogować się do aplikacji i witryn internetowych przy użyciu Tożsamość Microsoft Entra.
- Użyj logowania jednokrotnego platformy, aby ulepszyć konfigurację logowania jednokrotnego. Możesz skonfigurować różne metody uwierzytelniania, utworzyć nowych użytkowników organizacyjnych podczas logowania i przypisać tryby autoryzacji dla użytkowników.
Użytkownicy końcowi:
- Uzyskaj bezpieczniejsze środowisko logowania, ponieważ Tożsamość Microsoft Entra integruje się z wtyczką logowania jednokrotnego w przedsiębiorstwie firmy Microsoft.
- Uzyskaj środowisko logowania jednokrotnego w połączeniu z rozszerzeniem aplikacji logowania jednokrotnego. Rozszerzenie aplikacji logowania jednokrotnego umożliwia używanie funkcji Touch ID i kluczy dostępu z Tożsamość Microsoft Entra.
- Może zalogować się przy użyciu konta użytkownika Microsoft Entra i zminimalizować liczbę poświadczeń Microsoft Entra na urządzeniach z systemem macOS.
Aby uzyskać więcej informacji na temat logowania jednokrotnego platformy i rozpocząć pracę, przejdź do tematu Konfigurowanie logowania jednokrotnego platformy dla urządzeń z systemem macOS w Intune.
Podsumowanie funkcji logowania jednokrotnego platformy
Poniższa tabela zawiera podsumowanie funkcji logowania jednokrotnego platformy w Intune. Użyj tych informacji, aby określić, czy logowania jednokrotnego platformy jest odpowiednie dla Twojej organizacji.
| Funkcja | Szczegóły |
|---|---|
| Obsługa platformy | ❌ iOS/iPadOS ✅ System macOS 13.0 i nowsze |
| Obsługiwane typy rejestracji | ✅ Rejestrowanie urządzeń ✅ Automatyczna rejestracja urządzeń (nadzorowana) ❌ Rejestracja użytkownika ✅ Rejestracja bezpośrednia (Apple Configurator) |
| Obsługiwane typy uwierzytelniania | ✅ Bezpieczna enklawa (UserSecureEnclaveKey) ✅Hasło (Tożsamość Microsoft Entra) ✅ Smartcard |
| Obsługiwane typy aplikacji | ✅ Aplikacje platformy Microsoft 365 ✅Aplikacje, witryny internetowe lub usługi zintegrowane z Tożsamość Microsoft Entra ✅Aplikacje, witryny internetowe lub usługi, które obsługują logowanie jednokrotne firmy Apple Enterprise i są zintegrowane z lokalna usługa Active Directory |
| Intune typ zasad centrum administracyjnego | Ustawienia zasad wykazu pod adresem: Urządzeń>Konfiguracji>> Twórca macOS for platform >Settings catalog for profile type >Authentication>Extensible Logowanie jednokrotne (SSO) |
| Zalecenie | ✅ Zalecane. Użyj logowania jednokrotnego platformy, ponieważ zawiera również rozszerzenie aplikacji logowania jednokrotnego. Możesz użyć rozszerzenia aplikacji logowania jednokrotnego samodzielnie, ale nie jest to preferowane. Aby korzystać z logowania jednokrotnego platformy, należy używać tylko logowania jednokrotnego platformy. Nie należy tworzyć oddzielnych zasad rozszerzenia aplikacji logowania jednokrotnego. |
Rozszerzenie aplikacji logowania jednokrotnego
Ta funkcja ma zastosowanie do:
- iOS/iPadOS
- macOS
Wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft obejmuje dwie funkcje logowania jednokrotnego — logowanie jednokrotne platformy i rozszerzenie aplikacji logowania jednokrotnego. Ta sekcja koncentruje się na rozszerzeniu aplikacji logowania jednokrotnego.
Rozszerzenie aplikacji logowania jednokrotnego zapewnia logowania jednokrotnego do aplikacji, witryn internetowych i kont, które używają Tożsamość Microsoft Entra do uwierzytelniania, w tym:
- Aplikacje platformy Microsoft 365
- Aplikacje opracowane w celu wyszukiwania magazynu poświadczeń użytkownika w logowaniu jednokrotnym na urządzeniu
- Lokalne konta usługi Active Directory we wszystkich aplikacjach, które obsługują funkcję logowania jednokrotnego przedsiębiorstwa firmy Apple
✅W przypadku urządzeń z systemem iOS/iPadOS rozszerzenie aplikacji logowania jednokrotnego jest dostępne samodzielnie. W związku z tym możesz skonfigurować rozszerzenie aplikacji logowania jednokrotnego i używać go dla aplikacji & witryn internetowych.
✅W przypadku urządzeń z systemem macOS rozszerzenie aplikacji logowania jednokrotnego jest dostępne samodzielnie i jest również uwzględnione w logowanie jednokrotne platformy. Dlatego możesz skonfigurować rozszerzenie aplikacji logowania jednokrotnego i używać go tylko wtedy, gdy nie chcesz używać logowania jednokrotnego platformy. Jeśli używasz logowania jednokrotnego platformy, skonfigurujesz tylko logo jednokrotne platformy, ponieważ obejmuje ono rozszerzenie aplikacji logowania jednokrotnego.
Rozszerzenie aplikacji logowania jednokrotnego jest rozszerzeniem aplikacji logowania jednokrotnego typu przekierowania. Jest ona dostępna dla Intune, narzędzia Jamf Pro i innych rozwiązań MDM. W Intune rozszerzenie aplikacji logowania jednokrotnego używa zasad konfiguracji urządzenia z Tożsamość Microsoft Entra jako typu rozszerzenia aplikacji logowania jednokrotnego.
Te ustawienia umożliwiają skonfigurowanie rozszerzeń aplikacji logowania jednokrotnego typu przekierowania i poświadczeń. Konkretnie:
Typ przekierowania jest przeznaczony dla nowoczesnych protokołów uwierzytelniania, takich jak OpenID Connect, OAuth i SAML2. Możesz wybrać między rozszerzeniem logowania jednokrotnego Microsoft Entra (wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft i ogólnym rozszerzeniem przekierowania).
Typ poświadczeń jest przeznaczony dla przepływów uwierzytelniania typu challenge-and-response. Możesz wybrać między rozszerzeniem poświadczeń specyficznym dla protokołu Kerberos dostarczonym przez firmę Apple a ogólnym rozszerzeniem poświadczeń.
Rozszerzenie aplikacji logowania jednokrotnego powinno współdziałać z dowolnym rozwiązaniem MDM spoza firmy Microsoft lub partnerem. Rozszerzenie musi być wdrożone jako rozszerzenie logowania jednokrotnego protokołu kerberos lub wdrożone jako niestandardowy profil konfiguracji ze wszystkimi skonfigurowanymi wymaganymi właściwościami.
Aby uzyskać więcej informacji na temat rozszerzenia aplikacji logowania jednokrotnego, przejdź do:
iOS/iPadOS:
Macos:
Podsumowanie funkcji rozszerzenia aplikacji logowania jednokrotnego
Poniższa tabela zawiera podsumowanie funkcji rozszerzenia aplikacji logowania jednokrotnego w Intune. Te informacje umożliwiają określenie, czy ta opcja logowania jednokrotnego jest odpowiednia dla Twojej organizacji.
| Funkcja | Szczegóły |
|---|---|
| Obsługa platformy | ✅ System iOS/iPadOS 13.0 i nowsze ✅ System macOS 10.15 i nowsze |
| Obsługiwane typy rejestracji | iOS/iPadOS: ✅ Rejestrowanie urządzeń ✅ Automatyczna rejestracja urządzeń (nadzorowana) ✅ Rejestracja użytkownika ✅ Rejestracja bezpośrednia (Apple Configurator) Macos: ✅ Rejestracja urządzeń zatwierdzonych przez użytkownika ✅ Automatyczna rejestracja urządzeń (nadzorowana) ✅ Rejestracja bezpośrednia (Apple Configurator) |
| Obsługiwane typy uwierzytelniania | ✅Rozszerzenie aplikacji logowania jednokrotnego typu przekierowania, w tym Tożsamość Microsoft Entra ✅ Rozszerzenie aplikacji poświadczeń ✅ Wbudowane rozszerzenie Kerberos firmy Apple |
| Obsługiwane typy aplikacji | ✅ Aplikacje platformy Microsoft 365 ✅Aplikacje, witryny internetowe lub usługi zintegrowane z Tożsamość Microsoft Entra ✅Aplikacje, witryny internetowe lub usługi, które obsługują logowanie jednokrotne przedsiębiorstwa firmy Apple i są zintegrowane z lokalna usługa Active Directory |
| Intune typ zasad centrum administracyjnego | Szablon funkcji urządzenia pod adresem: Urządzeń>Konfiguracji>> Twórca iOS/iPadOS lub macOS dla platformy >Funkcje urządzenia dla typu > profilu Rozszerzenie aplikacji do logowania jednokrotnego |
| Zalecenie | ✅ Zalecane w systemie iOS/iPadOS. ❌ Nie preferowane na urządzeniach z systemem macOS. Na urządzeniach z systemem macOS możesz samodzielnie użyć rozszerzenia aplikacji logowania jednokrotnego. Zalecamy jednak użycie logowania jednokrotnego platformy. Jeśli używasz również logowania jednokrotnego platformy dla systemu macOS, nie należy tworzyć oddzielnych zasad rozszerzenia aplikacji logowania jednokrotnego. Rozszerzenie aplikacji logowania jednokrotnego jest zawarte w konfiguracji logowania jednokrotnego platformy. |
Szablon logowania jednokrotnego
Uwaga
Zamiast tych ustawień logowania jednokrotnego firma Apple zaleca użycie rozszerzenia aplikacji logowania jednokrotnego (w tym artykule).
Dotyczy:
- System iOS 7.0 i nowsze
- System iPadOS 13.0 i nowsze
Te zasady logowania jednokrotnego są oparte na protokole Kerberos. Kerberos to protokół uwierzytelniania sieciowego, który używa kryptografii klucza tajnego do uwierzytelniania aplikacji klient-serwer. Ustawienia zasad Intune definiują informacje o koncie protokołu Kerberos podczas uzyskiwania dostępu do serwerów lub określonych aplikacji oraz obsługują wyzwania protokołu Kerberos dla stron internetowych i aplikacji natywnych.
Aby uzyskać listę ustawień, które można skonfigurować w Intune, przejdź do pozycji Logowanie jednokrotne w systemie iOS/iPadOS.
Aby korzystać z logowania jednokrotnego, upewnij się, że masz następujące elementy:
- Aplikacja opracowana w celu wyszukiwania magazynu poświadczeń użytkownika w logowaniu jednokrotnym na urządzeniu.
- Intune skonfigurowane dla logowania jednokrotnego urządzenia z systemem iOS/iPadOS.
Podsumowanie funkcji logowania jednokrotnego
Poniższa tabela zawiera podsumowanie funkcji logowania jednokrotnego w Intune. Te informacje umożliwiają określenie, czy ta opcja logowania jednokrotnego jest odpowiednia dla Twojej organizacji.
| Funkcja | Szczegóły |
|---|---|
| Obsługa platformy | ✅ System iOS 7.0 i nowsze ✅ iPadOS 13.0 i nowsze ❌ Macos |
| Obsługiwane typy rejestracji | ✅ Rejestrowanie urządzeń ✅ Automatyczna rejestracja urządzeń (nadzorowana) ❌ Rejestracja użytkownika ❌ Rejestracja bezpośrednia (Apple Configurator) |
| Obsługiwane typy uwierzytelniania | Może używać tylko uwierzytelniania logowania jednokrotnego protokołu Kerberos. — Wprowadź informacje o koncie protokołu Kerberos, gdy użytkownicy uzyskują dostęp do serwerów lub aplikacji. — Nie jest implementacją protokołu Kerberos firmy Apple. — Obsługuje wyzwania protokołu Kerberos dla stron internetowych i aplikacji |
| Obsługiwane typy aplikacji | Witryna internetowa i natywne aplikacje obsługujące uwierzytelnianie Kerberos. Aby wyszukać magazyn poświadczeń użytkownika w logowaniu jednokrotnym na urządzeniu, należy zakodować aplikację. |
| Intune typ zasad centrum administracyjnego | Szablon funkcji urządzenia pod adresem: Urządzeń>Konfiguracji>> Twórca iOS/iPadOS dla platformy >Funkcje urządzenia dla typu > profilu Logowanie jednokrotne |
| Zalecenie | ❌ Niezalecane. Zamiast tego firma Microsoft zaleca korzystanie z rozszerzenia aplikacji logowania jednokrotnego (w tym artykule). |
Rozszerzenie aplikacji logowania jednokrotnego a szablon logowania jednokrotnego
Funkcja rozszerzenia aplikacji do logowania jednokrotnego jest inna niż funkcja logowania jednokrotnego . Użyj poniższej tabeli do porównania.
| Rozszerzenie aplikacji do logowania jednokrotnego | Logowanie jednokrotne | |
|---|---|---|
| Obsługiwane platformy | ✅ System iOS/iPadOS 13.0 i nowsze ✅ System macOS 10.15 i nowsze |
✅ System iOS 7.0 i nowsze ✅ iPadOS 13.0 i nowsze ❌ Macos |
| Opis | Definiowanie rozszerzeń do użycia przez dostawców tożsamości lub organizacje w celu zapewnienia bezproblemowego logowania w przedsiębiorstwie. Używa systemu operacyjnego Firmy Apple do uwierzytelniania. | Zdefiniuj informacje o koncie protokołu Kerberos, gdy użytkownicy uzyskują dostęp do serwerów lub aplikacji. |
| Uwierzytelnianie | Z perspektywy tworzenia aplikacji można użyć dowolnego typu przekierowania logowania jednokrotnego lub uwierzytelniania logowania jednokrotnego poświadczeń. | Z perspektywy tworzenia aplikacji można używać tylko uwierzytelniania logowania jednokrotnego protokołu Kerberos. |
| Implementacja firmy Apple | Opracowana przez firmę Apple i wbudowana w platformy iOS/iPadOS 13.0+ i macOS 10.15+. Wbudowane rozszerzenie Kerberos może służyć do logowania użytkowników do natywnych aplikacji i witryn internetowych, które obsługują uwierzytelnianie Kerberos. | Nie implementacja protokołu Kerberos firmy Apple. |
| Zalecenie | Zalecane. Zapewnia ulepszone środowisko użytkownika końcowego. Obsługuje ona wyzwania protokołu Kerberos dla stron internetowych, obsługuje zmiany haseł i działa lepiej w sieciach przedsiębiorstwa. Podejmując decyzję o użyciu protokołu Kerberos w rozszerzeniu aplikacji logowania jednokrotnego lub szablonie logowania jednokrotnego , zalecamy korzystanie z rozszerzenia aplikacji logowania jednokrotnego ze względu na lepszą wydajność i możliwości. |
Niezalecane. Obsługuje ona wyzwania protokołu Kerberos dla stron internetowych. |
Artykuły pokrewne
Aby uzyskać informacje o wtyczce i Tożsamość Microsoft Entra logowania jednokrotnego w przedsiębiorstwie firmy Microsoft, przejdź do wtyczki logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.
Aby uzyskać informacje od firmy Apple dotyczące ładunku rozszerzenia logowania jednokrotnego, przejdź do ustawień ładunku rozszerzeń logowania jednokrotnego (otwiera witrynę internetową firmy Apple).
Aby uzyskać informacje na temat rozwiązywania problemów z rozszerzeniem logowania jednokrotnego przedsiębiorstwa firmy Microsoft, przejdź do tematu Rozwiązywanie problemów z wtyczką Rozszerzenia logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach firmy Apple.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla