Use o plug-in SSO do Microsoft Enterprise em dispositivos iOS/iPadOS e macOS no Microsoft Intune

O plug-in SSO do Microsoft Enterprise (versão prévia) fornece um SSO (logon único) para aplicativos e sites que usam o Microsoft Azure Active Directory (AD) para autenticação, incluindo o Microsoft 365. Esse plug-in usa a Extensão de aplicativo de logon único da Apple. Ela reduz o número de solicitações de autenticação que os usuários recebem ao usar dispositivos gerenciados pelo MDM (gerenciamento de dispositivo móvel), incluindo o Microsoft Intune.

Uma vez configurado, os aplicativos que dão suporte à MSAL (biblioteca de autenticação da Microsoft) aproveitam automaticamente o plug-in SSO do Microsoft Enterprise (versão prévia). Aplicativos que não dão suporte à MSAL podem ter permissão para usar a extensão. Basta adicionar a ID do pacote de aplicativo ou o prefixo à configuração da extensão.

Por exemplo, para dar permissão a um aplicativo da Microsoft que não dá suporte à MSAL, adicione com.microsoft. à propriedade AppPrefixAllowList. Tenha cuidado com os aplicativos para os quais você dá permissão. Eles usarão automaticamente as credenciais do usuário para autenticação.

Para obter mais informações, confira Plug-in SSO do Microsoft Enterprise para dispositivos Apple – aplicativos que não usam MSAL.

Esse recurso aplica-se a:

  • iOS/iPadOS
  • macOS

Esse artigo mostra como implantar o plug-in SSO do Microsoft Enterprise (versão prévia) para dispositivos Apple com o Intune.

Importante

O plug-in SSO do Microsoft Enterprise para dispositivos Apple está em versão prévia pública. A versão prévia é fornecida sem um SLA (Contrato de Nível de Serviço). Não é recomendável usá-la em produção. Alguns recursos podem não ter suporte ou ter comportamento restrito. Para obter mais informações, confira Termos de uso suplementares para versões prévias do Microsoft Azure.

Pré-requisitos

Para usar o plug-in SSO do Microsoft Enterprise para dispositivos Apple:

  • O dispositivo deve oferecer suporte ao plug-in:

    • iOS/iPadOS 13.0 e versões mais recentes
    • macOS 10.15 e mais recente
  • Em dispositivos iOS/iPadOS 13.0 e mais recentes, instale o aplicativo Microsoft Authenticator.

    O aplicativo Microsoft Authenticator pode ser instalado manualmente por usuários ou implantado por meio de uma política de aplicativo no Intune. Para obter informações sobre como instalar o aplicativo Microsoft Authenticator, confira Gerenciar aplicativos Apple adquiridos por volume.

  • No macOS 10.15 e em dispositivos mais recentes, instale o aplicativo Portal da Empresa.

    O aplicativo Portal da Empresa pode ser instalado manualmente por usuários ou implantado por meio de uma política de aplicativo no Intune. Para obter uma lista de opções de como instalar o aplicativo Portal da Empresa, confira Adicionar Portal da Empresa para aplicativo macOS.

Observação

Em dispositivos Apple, é preciso que a extensão do aplicativo SSO e o aplicativo (Authenticator ou Portal da Empresa) sejam instalados. Os usuários não precisam usar os aplicativos Authenticator ou Portal da Empresa, eles só precisam ser instalados no dispositivo.

Plug-in SSO do Microsoft Enterprise em comparação com a extensão de SSO do Kerberos

No Intune, quando você usa a extensão do aplicativo SSO, usa o Microsoft Azure AD ou o Kerberos para autenticação. A extensão do aplicativo SSO foi projetada para melhorar a experiência de entrada para aplicativos e sites que usam esses métodos de autenticação.

O plug-in SSO do Microsoft Enterprise usa a extensão do aplicativo SSO com a autenticação do Microsoft Azure AD. Ambos os tipos de extensão do Microsoft Azure AD e do Kerberos podem ser usados em um dispositivo. Certifique-se de criar perfis de dispositivo separados.

Para determinar o tipo de extensão de SSO correta para seu cenário, use a seguinte tabela:


Plug-in SSO do Microsoft Enterprise para dispositivos Apple Extensão de aplicativo de logon único com Kerberos
Usa o tipo de extensão do aplicativo SSO do Microsoft Azure AD Usa o tipo de extensão do aplicativo SSO do Kerberos
Dá suporte aos seguintes aplicativos:

– Microsoft 365
– Aplicativos, sites ou serviços integrados ao Azure AD
Dá suporte aos seguintes aplicativos:

– Aplicativos, sites ou serviços integrados ao AD

Para obter mais informações sobre a extensão de logon único, confira Extensão de aplicativo de logon único.

Criar um perfil de configuração de extensão de aplicativo de logon único

No Centro de administração do Microsoft Endpoint Manager, crie um perfil de configuração de dispositivo. Esse perfil inclui as configurações para definir a extensão do aplicativo SSO em dispositivos.

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione Dispositivos > Perfis de configuração > Criar perfil.

  3. Insira as seguintes propriedades:

    • Platform: escolha sua plataforma:

      • iOS/iPadOS
      • macOS
    • Tipo de perfil: selecione os Recursos do dispositivo Ou selecione Modelos > Recursos do dispositivo.

  4. Selecionar Criar.

  5. Em Básico, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para a política. Nomeie suas políticas para que você possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é iOS: plug-in SSO do Microsoft Enterprise ou macOS: plug-in SSO do Microsoft Enterprise.
    • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.
  6. Selecione Avançar.

  7. Em Definições de configuração, selecione Extensão de aplicativo de logon único e configure as seguintes propriedades:

    • Tipo de extensão do aplicativo SSO: selecione Microsoft Azure AD.

    • Habilitar o modo de dispositivo compartilhado:

      • Não configurado: o Intune não altera nem atualiza essa configuração. Para a maioria dos cenários, incluindo iPads compartilhados, dispositivos pessoais e dispositivos com ou sem afinidade de usuário, selecione essa opção.
      • Sim: selecione esta opção se os dispositivos de destino estiverem usando o modo de dispositivo compartilhado do Azure AD. Para obter mais informações, confira Visão geral do modo de dispositivo compartilhado.
    • ID do lote de aplicativo: insira uma lista de IDs de pacote para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Para obter mais informações, confira Aplicativos que não usam MSAL.

    • Configuração adicional: para personalizar a experiência do usuário final, você pode adicionar as propriedades a seguir.

      Chave Tipo Valor
      AppPrefixAllowList Cadeia de Caracteres Insira uma lista de prefixos para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Por exemplo, insira com.microsoft. para permitir todos os aplicativos da Microsoft.

      Certifique-se de que esses aplicativos atendam aos requisitos da lista de permitidos.
      browser_sso_interaction_enabled Inteiro Quando definido como 1, os usuários podem entrar por meio do navegador Safari e por meio de aplicativos que não dão suporte à MSAL. Habilitar essa configuração permite que os usuários inicializem a extensão por meio do Safari ou de outros aplicativos.
      browser_sso_disable_mfa Inteiro Defina como 0 (padrão) para exigir que o plug-in SSO do Microsoft Enterprise use a MFA (autenticação multifator) durante a inicialização. Exigir a MFA durante a inicialização reduz as solicitações de MFA em aplicativos que são protegidos pelo acesso condicional e exigem a MFA. A Microsoft recomenda que a MFA esteja habilitada para aumentar a segurança e melhorar a experiência do usuário.

      Defina como 1 para desabilitar a MFA na inicialização. Os usuários recebem solicitações por aplicativos individuais que exigem a MFA.
      disable_explicit_app_prompt Inteiro Alguns aplicativos podem impor incorretamente solicitações ao usuário final na camada de protocolo. Se você vir esse problema, os usuários serão solicitados a entrar, mesmo que o plug-in SSO do Microsoft Enterprise funcione para outros aplicativos.

      Quando definido como 1 (um), você reduz essas solicitações.

      Dica

      Para obter mais informações sobre essas e outras propriedades que você pode configurar, confira Plug-in SSO do Microsoft Enterprise para dispositivos Apple (versão prévia).

  8. Continue criando o perfil e atribua ele aos usuários ou grupos que receberão essas configurações. Para as etapas específicas, confira Criar o perfil.

Para diretrizes sobre a atribuição de perfis, confira Atribuir perfis de usuário e de dispositivo.

Quando o dispositivo fizer check-in com o serviço do Intune, ele receberá esse perfil. Para obter mais informações, confira Quanto tempo leva para os dispositivos obterem uma política.

Experiência do usuário final

Gráfico de fluxo do usuário final ao instalar a extensão de aplicativo de SSO em dispositivos iOS/iPadOS e macOS no Microsoft Intune.

  • Se você não estiver implantando o aplicativo Microsoft Authenticator ou Portal da Empresa usando uma política de aplicativo, os usuários deverão instalar esses aplicativos manualmente. Lembre-se:

    • Em dispositivos iOS/iPadOS, os usuários instalam o aplicativo Microsoft Authenticator.
    • Em dispositivos macOS, os usuários instalam o aplicativo Portal da Empresa.

    Em dispositivos Apple, é preciso que a extensão do aplicativo SSO e o aplicativo (Authenticator ou Portal da Empresa) sejam instalados. Os usuários não precisam usar os aplicativos Authenticator ou Portal da Empresa, eles só precisam ser instalados no dispositivo.

  • Os usuários entrarão em qualquer aplicativo ou site com suporte para inicializar a extensão. A inicialização é o processo de entrar pela primeira vez, que configura a extensão.

    Os usuários entrarão no aplicativo ou site para inicializar a extensão do aplicativo SSO em dispositivos iOS/iPadOS e macOS no Microsoft Intune.

  • Depois que os usuários entrarem com êxito, a extensão será usada automaticamente para entrar em qualquer outro aplicativo ou site com suporte.

No macOS, os usuários precisam aceitar ou recusar o SSO quando entram em um aplicativo corporativo ou de estudante. Eles podem selecionar Não perguntar novamente para recusar o SSO e bloquear solicitações futuras sobre ele.

Os usuários também podem gerenciar as preferências de SSO no aplicativo Portal da Empresa para macOS. Para editar as preferências, encaminhe-os para a barra de menus do Portal da Empresa > Portal da Empresa > Preferências e peça para eles selecionarem ou desmarcarem a opção Não solicitar que eu entre com o logon único neste dispositivo.

Próximas etapas