Korzystanie z wtyczki logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach z systemem macOS

Wtyczka logowania jednokrotnego przedsiębiorstwa firmy Microsoft zapewnia logowanie jednokrotne dla aplikacji i witryn internetowych, które używają Tożsamość Microsoft Entra do uwierzytelniania, w tym platformy Microsoft 365. Ta wtyczka korzysta z platformy rozszerzenia aplikacji do logowania jednokrotnego firmy Apple. Zmniejsza to liczbę monitów uwierzytelniania otrzymywanych przez użytkowników podczas korzystania z urządzeń zarządzanych przez usługę Mobile Zarządzanie urządzeniami (MDM), w tym wszelkie urządzenia MDM obsługujące konfigurowanie profilów logowania jednokrotnego.

Po skonfigurowaniu aplikacje obsługujące bibliotekę uwierzytelniania firmy Microsoft (MSAL) automatycznie korzystają z wtyczki logowania jednokrotnego przedsiębiorstwa firmy Microsoft. Aplikacje, które nie obsługują biblioteki MSAL, mogą korzystać z rozszerzenia, w tym przeglądarek, takich jak Safari i aplikacji korzystających z interfejsów API widoku internetowego Safari. Wystarczy dodać identyfikator pakietu aplikacji lub prefiks do konfiguracji rozszerzenia.

Aby na przykład zezwolić aplikacji firmy Microsoft, która nie obsługuje biblioteki MSAL, dodaj com.microsoft. do właściwości AppPrefixAllowList . Zachowaj ostrożność w przypadku dozwolonych aplikacji. Będą oni mogli pominąć interaktywne monity logowania dla zalogowanego użytkownika.

Aby uzyskać więcej informacji, zobacz wtyczka logowania jednokrotnego przedsiębiorstwa firmy Microsoft dla urządzeń firmy Apple — aplikacje, które nie korzystają z biblioteki MSAL.

Uwaga

Ogłoszone w marcu 2024 r., Tożsamość Microsoft Entra odejdą od łańcucha kluczy firmy Apple w celu przechowywania kluczy tożsamości urządzeń. Począwszy od 3 kwartału 2026 r., wszystkie nowe rejestracje urządzeń będą domyślnie używać bezpiecznej enklawy firmy Apple. Aby uzyskać więcej informacji, zobacz wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

Ten artykuł dotyczy:

• macOS

W tym artykule pokazano, jak wdrożyć wtyczkę logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń z systemem macOS firmy Apple przy użyciu Intune, narzędzia Jamf Pro i innych rozwiązań MDM.

Wymagania wstępne

Aby użyć wtyczki logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach z systemem macOS:

Intune

• Urządzenie jest zarządzane przez Intune.
• Urządzenie musi obsługiwać wtyczkę:
  • System macOS 10.15 i nowsze
• Aplikacja microsoft Portal firmy musi być zainstalowana i skonfigurowana na urządzeniu.

Jamf Pro

• Urządzenie jest zarządzane przez narzędzie Jamf Pro.

• Urządzenie musi obsługiwać wtyczkę:

  • System macOS 10.15 i nowsze

• Aplikacja microsoft Portal firmy musi być zainstalowana na urządzeniu.

  Aplikacja Portal firmy może zostać zainstalowana ręcznie przez użytkowników lub przez wdrożenie aplikacji za pośrednictwem narzędzia Jamf Pro. Aby uzyskać listę opcji dotyczących sposobu instalowania aplikacji Portal firmy, przejdź do tematu Zarządzanie pakietami — dodawanie pakietu do narzędzia Jamf Administracja (otwiera witrynę internetową narzędzia Jamf Pro).

Uwaga

Na urządzeniach z systemem macOS firma Apple wymaga zainstalowania aplikacji Portal firmy. Użytkownicy nie muszą używać ani konfigurować aplikacji Portal firmy. Wystarczy zainstalować ją na urządzeniu.

Inne rozwiązania MDM

• Urządzenie jest zarządzane przez rozwiązanie dostawcy zarządzania urządzeniami przenośnymi (MDM).

• Rozwiązanie MDM musi obsługiwać konfigurowanie ustawień ładunku MDM logowania jednokrotnego dla urządzeń firmy Apple z zasadami urządzenia.

• Urządzenie musi obsługiwać wtyczkę:

  • System macOS 10.15 i nowsze

• Aplikacja microsoft Portal firmy musi być zainstalowana na urządzeniu.

  Aplikacja microsoft Portal firmy może być instalowana ręcznie przez użytkowników lub wdrażana przy użyciu zasad zarządzania urządzeniami przenośnymi. Możesz pobrać pakiet instalatora aplikacji Portal firmy.

Uwaga

Na urządzeniach z systemem macOS firma Apple wymaga zainstalowania aplikacji Portal firmy. Użytkownicy nie muszą używać ani konfigurować aplikacji Portal firmy. Wystarczy zainstalować ją na urządzeniu.

Wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft a rozszerzenie logowania jednokrotnego protokołu Kerberos

W przypadku korzystania z rozszerzenia aplikacji logowania jednokrotnego używasz logowania jednokrotnego lub typu ładunku Kerberos do uwierzytelniania. Rozszerzenie aplikacji logowania jednokrotnego ma na celu ulepszenie środowiska logowania dla aplikacji i witryn internetowych korzystających z tych metod uwierzytelniania.

Wtyczka logowania jednokrotnego przedsiębiorstwa firmy Microsoft używa typu ładunku logowania jednokrotnego z uwierzytelnianiem przekierowania . W tym samym czasie na urządzeniu można używać typów rozszerzeń SSO Redirect i Kerberos. Pamiętaj o utworzeniu oddzielnych profilów urządzeń dla każdego typu rozszerzenia, którego planujesz używać na urządzeniach.

Aby określić poprawny typ rozszerzenia logowania jednokrotnego dla danego scenariusza, użyj następującej tabeli:

---

Wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple	Rozszerzenie aplikacji do logowania jednokrotnego za pomocą protokołu Kerberos
Używa typu rozszerzenia aplikacji logowania jednokrotnego Tożsamość Microsoft Entra	Używa typu rozszerzenia aplikacji Kerberos SSO
Obsługuje następujące aplikacje: — Microsoft 365 — Aplikacje, witryny internetowe lub usługi zintegrowane z Tożsamość Microsoft Entra	Obsługuje następujące aplikacje: — Aplikacje, witryny internetowe lub usługi zintegrowane z usługą AD

Aby uzyskać więcej informacji na temat rozszerzenia logowania jednokrotnego, przejdź do rozszerzenia aplikacji do logowania jednokrotnego.

Tworzenie profilu konfiguracji rozszerzenia aplikacji do logowania jednokrotnego

Intune

W centrum administracyjnym Microsoft Intune utwórz profil konfiguracji urządzenia. Ten profil zawiera ustawienia umożliwiające skonfigurowanie rozszerzenia aplikacji logowania jednokrotnego na urządzeniach.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycjęUtwórzkonfigurację>urządzeń>.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz pozycję macOS.
   • Typ profilu: wybierz pozycję Szablony>Funkcje urządzenia.

4. Wybierz pozycję Utwórz:

   

5. W obszarze Podstawowe informacje wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą zasad jest system macOS: wtyczka logowania jednokrotnego firmy Microsoft Enterprise.
   • Opis: wprowadź opis zasad. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. W obszarze Ustawienia konfiguracji wybierz rozszerzenie aplikacji do logowania jednokrotnego i skonfiguruj następujące właściwości:

   • Typ rozszerzenia aplikacji logowania jednokrotnego: wybierz pozycję Tożsamość Microsoft Entra:

     

   • Identyfikator pakietu aplikacji: wprowadź listę identyfikatorów pakietów dla aplikacji, które nie obsługują biblioteki MSAL i mogą korzystać z logowania jednokrotnego. Aby uzyskać więcej informacji, przejdź do obszaru Aplikacje, które nie używają biblioteki MSAL.

   • Dodatkowa konfiguracja: aby dostosować środowisko użytkownika końcowego, możesz dodać następujące właściwości. Te właściwości są wartościami domyślnymi używanymi przez rozszerzenie logowania jednokrotnego firmy Microsoft, ale można je dostosować do potrzeb organizacji:

     Klucz	Wpisać	Opis
     AppPrefixAllowList	Ciąg	Zalecana wartość: com.microsoft.,com.apple. Wprowadź listę prefiksów dla aplikacji, które nie obsługują biblioteki MSAL i mogą korzystać z logowania jednokrotnego. Na przykład wprowadź polecenie com.microsoft.,com.apple. , aby zezwolić na wszystkie aplikacje firmy Microsoft i Firmy Apple. Upewnij się, że te aplikacje spełniają wymagania listy dozwolonych.
     browser_sso_interaction_enabled	Liczba całkowita	Zalecana wartość: 1 Po ustawieniu na 1wartość użytkownicy mogą logować się z przeglądarki Safari oraz z aplikacji, które nie obsługują biblioteki MSAL. Włączenie tego ustawienia umożliwia użytkownikom uruchamianie rozszerzenia z przeglądarki Safari lub innych aplikacji.
     disable_explicit_app_prompt	Liczba całkowita	Zalecana wartość: 1 Niektóre aplikacje mogą niepoprawnie wymuszać monity użytkowników końcowych w warstwie protokołu. Jeśli widzisz ten problem, użytkownicy są monitowane o zalogowanie się, mimo że wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft działa w przypadku innych aplikacji. Po ustawieniu wartości 1 (jeden) te monity są zmniejszane.

     Porada

     Aby uzyskać więcej informacji na temat tych właściwości i innych właściwości, które można skonfigurować, zobacz wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

     Po zakończeniu konfigurowania zalecanych ustawień ustawienia wyglądają podobnie do następujących wartości w profilu konfiguracji Intune:

     

8. Kontynuuj tworzenie profilu i przypisz profil do użytkowników lub grup, którzy otrzymają te ustawienia. Aby zapoznać się z konkretnymi krokami, przejdź do sekcji Tworzenie profilu.

   Aby uzyskać wskazówki dotyczące przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.

Gdy urządzenie zaewidencjonuje się w usłudze Intune, otrzyma ten profil. Aby uzyskać więcej informacji, przejdź do tematu Interwały odświeżania zasad.

Aby sprawdzić, czy profil został prawidłowo wdrożony, w centrum administracyjnym Intune przejdź do pozycjiKonfiguracja>urządzeń> wybierz utworzony profil i wygeneruj raport:

Jamf Pro

W portalu narzędzia Jamf Pro utworzysz profil konfiguracji komputera. Ten profil zawiera ustawienia umożliwiające skonfigurowanie rozszerzenia aplikacji logowania jednokrotnego na urządzeniach.

1. Zaloguj się do portalu narzędzia Jamf Pro.

2. Aby utworzyć profil systemu macOS, wybierz pozycję Komputery>Profile> konfiguracjiNowe:

   

3. W polu Nazwa wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa zasad to : macOS: wtyczka logowania jednokrotnego firmy Microsoft Enterprise.

4. W kolumnie Opcje przewiń w dół i wybierz pozycję Single Sign-On Extensions Add(Pojedyncze> rozszerzenia Sign-OnDodaj):

   

5. Wprowadź następujące właściwości:

   • Typ ładunku: wybierz pozycję Logowanie jednokrotne.
   • Identyfikator rozszerzenia: wprowadź com.microsoft.CompanyPortalMac.ssoextension.
   • Identyfikator zespołu: wprowadź UBF8T346G9.
   • Typ logowania: wybierz pozycję Przekierowanie.
   • Adresy URL: wprowadź następujące adresy URL, pojedynczo:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. W obszarze Konfiguracja niestandardowa zdefiniujesz inne wymagane właściwości. Narzędzie Jamf Pro wymaga skonfigurowania tych właściwości przy użyciu przekazanego pliku PLIST. Aby wyświetlić pełną listę konfigurowalnych właściwości, przejdź do wtyczki logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

   Poniższy przykład to zalecany plik PLIST, który spełnia potrzeby większości organizacji:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Te ustawienia funkcji PLIST konfigurują następujące opcje rozszerzenia logowania jednokrotnego. Te właściwości są wartościami domyślnymi używanymi przez rozszerzenie logowania jednokrotnego firmy Microsoft, ale można je dostosować do potrzeb organizacji:

   Klucz	Wpisać	Opis
   AppPrefixAllowList	Ciąg	Zalecana wartość: com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. Wprowadź listę prefiksów dla aplikacji, które nie obsługują biblioteki MSAL i mogą korzystać z logowania jednokrotnego. Na przykład wprowadź polecenie com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. , aby zezwolić na wszystkie aplikacje Firmy Microsoft, Apple i Jamf Pro. Upewnij się, że te aplikacje spełniają wymagania listy dozwolonych.
   disable_explicit_app_prompt	Liczba całkowita	Zalecana wartość: 1 Niektóre aplikacje mogą niepoprawnie wymuszać monity użytkowników końcowych w warstwie protokołu. Jeśli widzisz ten problem, użytkownicy są monitowane o zalogowanie się, mimo że wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft działa w przypadku innych aplikacji. Po ustawieniu wartości 1 (jeden) te monity są zmniejszane.

   Porada

   Aby uzyskać więcej informacji na temat tych właściwości i innych właściwości, które można skonfigurować, zobacz wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

7. Wybierz kartę Zakres . Wprowadź komputery lub urządzenia, które powinny być przeznaczone do odbierania profilu mdm rozszerzenia logowania jednokrotnego.

8. Wybierz Zapisz.

Gdy urządzenie zaewidencjonuje się za pomocą usługi Jamf Pro, otrzyma ten profil.

Porada

Jeśli używasz narzędzia Jamf Connect, zaleca się stosowanie najnowszych wskazówek dotyczących integracji narzędzia Jamf Connect z usługą Tożsamość Microsoft Entra. Zalecany wzorzec integracji gwarantuje, że narzędzie Jamf Connect działa prawidłowo z zasadami dostępu warunkowego i Ochrona tożsamości Microsoft Entra.

Inne rozwiązania MDM

W portalu MDM utwórz profil konfiguracji urządzenia. Ten profil zawiera ustawienia umożliwiające skonfigurowanie rozszerzenia aplikacji logowania jednokrotnego na urządzeniach.

1. Zaloguj się do portalu MDM.

2. Utwórz nowy profil konfiguracji urządzenia.

3. Wybierz opcję o nazwie Single Sign-On Extensions or SSO extension (Pojedyncze rozszerzenia Sign-On lub rozszerzenie logowania jednokrotnego). Nazwa może się różnić w zależności od wybranego rozwiązania MDM.

4. Wprowadź następujące właściwości:

   Klucz	Wartość
   Typ ładunku	Usługi rejestracji jednokrotnej
   Identyfikator rozszerzenia	com.microsoft.CompanyPortalMac.ssoextension
   Identyfikator zespołu	UBF8T346G9
   typ Sign-On	Przekierowanie
   Adresy URL	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Opcjonalnie można skonfigurować inne właściwości. Te właściwości są wartościami domyślnymi używanymi przez rozszerzenie logowania jednokrotnego firmy Microsoft, ale można je dostosować do potrzeb organizacji:

   Klucz	Wpisać	Opis
   AppPrefixAllowList	Ciąg	Zalecana wartość: com.microsoft.,com.apple. Wprowadź listę prefiksów dla aplikacji, które nie obsługują biblioteki MSAL i mogą korzystać z logowania jednokrotnego. Na przykład wprowadź polecenie com.microsoft.,com.apple. , aby zezwolić na wszystkie aplikacje firmy Microsoft i Firmy Apple. Upewnij się, że te aplikacje spełniają wymagania listy dozwolonych.
   browser_sso_interaction_enabled	Liczba całkowita	Zalecana wartość: 1 Po ustawieniu na 1wartość użytkownicy mogą logować się z przeglądarki Safari oraz z aplikacji, które nie obsługują biblioteki MSAL. Włączenie tego ustawienia umożliwia użytkownikom uruchamianie rozszerzenia z przeglądarki Safari lub innych aplikacji.
   disable_explicit_app_prompt	Liczba całkowita	Zalecana wartość: 1 Niektóre aplikacje mogą niepoprawnie wymuszać monity użytkowników końcowych w warstwie protokołu. Jeśli widzisz ten problem, użytkownicy są monitowane o zalogowanie się, mimo że wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft działa w przypadku innych aplikacji. Po ustawieniu wartości 1 (jeden) te monity są zmniejszane.

   Porada

   Aby uzyskać więcej informacji na temat tych właściwości i innych właściwości, które można skonfigurować, zobacz wtyczka logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

6. Przypisz nowe zasady do urządzeń, które powinny być przeznaczone do odbierania profilu mdm rozszerzenia logowania jednokrotnego.

Gdy urządzenie zaewidencjonuje się w usłudze MDM, otrzyma ten profil.

Środowisko użytkownika końcowego

• Jeśli nie wdrażasz aplikacji Portal firmy przy użyciu zasad aplikacji, użytkownicy muszą zainstalować ją ręcznie. Użytkownicy nie muszą korzystać z aplikacji Portal firmy. Wystarczy zainstalować ją na urządzeniu.

• Użytkownicy logują się do dowolnej obsługiwanej aplikacji lub witryny internetowej, aby uruchomić rozszerzenie. Bootstrap to proces logowania się po raz pierwszy, który konfiguruje rozszerzenie.

• Po pomyślnym zalogowaniu się użytkowników rozszerzenie jest automatycznie używane do logowania się do dowolnej innej obsługiwanej aplikacji lub witryny internetowej.

Możesz przetestować logowanie jednokrotne, otwierając przeglądarkę Safari w trybie prywatnym (otwiera witrynę internetową firmy Apple) i otwierając witrynę https://portal.office.com . Nazwa użytkownika i hasło nie będą wymagane.

W systemie macOS, gdy użytkownicy logują się do aplikacji służbowej, zostanie wyświetlony monit o wyrażenie zgody lub rezygnację z logowania jednokrotnego. Mogą wybrać pozycję Nie pytaj mnie ponownie, aby zrezygnować z logowania jednokrotnego i zablokować przyszłe żądania.

Użytkownicy mogą również zarządzać preferencjami logowania jednokrotnego w aplikacji Portal firmy dla systemu macOS. Aby edytować preferencje, przejdź do paska > menu aplikacji Portal firmy Portal firmy>Ustawienia. Mogą wybrać lub usunąć zaznaczenie pozycji Nie pytaj mnie o zalogowanie się przy użyciu logowania jednokrotnego dla tego urządzenia.

Porada

Dowiedz się więcej o tym, jak działa wtyczka logowania jednokrotnego i jak rozwiązywać problemy z rozszerzeniem logowania jednokrotnego firmy Microsoft Enterprise, korzystając z przewodnika rozwiązywania problemów z logowaniem jednokrotnym dla urządzeń firmy Apple.

Następne kroki

• Aby uzyskać informacje o wtyczce logowania jednokrotnego w przedsiębiorstwie firmy Microsoft, przejdź do wtyczki logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

• Aby uzyskać informacje od firmy Apple dotyczące ładunku rozszerzenia logowania jednokrotnego, przejdź do ustawień ładunku rozszerzeń logowania jednokrotnego (otwiera witrynę internetową firmy Apple).

• Aby uzyskać informacje na temat rozwiązywania problemów z rozszerzeniem logowania jednokrotnego przedsiębiorstwa firmy Microsoft, przejdź do tematu Rozwiązywanie problemów z wtyczką Rozszerzenia logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach firmy Apple.