Usar o plug-in do Microsoft Enterprise SSO em dispositivos macOS

O plug-in do Microsoft Enterprise SSO é um recurso no Microsoft Entra ID que fornece recursos de SSO (logon único) para dispositivos Apple. Esse plug-in usa a estrutura de extensão de aplicativo de logon único da Apple.

• Para dispositivos iOS/iPadOS, o plug-in do Enterprise SSO inclui a extensão do aplicativo SSO.
• Para dispositivos macOS, o plug-in do Enterprise SSO inclui o SSO da Plataforma e a extensão do aplicativo SSO.

A extensão de aplicativo SSO fornece logon único em aplicativos e sites que usam Microsoft Entra ID para autenticação, incluindo aplicativos do Microsoft 365. Ele reduz o número de solicitações de autenticação que os usuários recebem ao usar dispositivos gerenciados pelo MDM (Mobile Gerenciamento de Dispositivos), incluindo qualquer MDM que dê suporte à configuração de perfis SSO.

Este artigo se aplica ao:

• macOS

  Para iOS/iPadOS, acesse Usar o plug-in do Microsoft Enterprise SSO em dispositivos iOS/iPadOS.

Em dispositivos macOS, você pode configurar configurações de extensão de aplicativo SSO em dois lugares no Intune:

• Modelo de recursos do dispositivo (este artigo) – Essa opção configura apenas a extensão do aplicativo SSO e usa seu provedor de MDM, como Intune, para implantar as configurações em dispositivos.

  Use este artigo se você quiser apenas configurar as configurações de extensão do aplicativo SSO e não quiser configurar o SSO da Plataforma.

• Catálogo de Configurações – Essa opção configura o SSO da Plataforma e a extensão do aplicativo SSO juntos. Você usa Intune para implantar as configurações em seus dispositivos.

  Use as configurações de catálogo se quiser configurar as configurações de extensão de aplicativo SSO e SSO da plataforma. Para obter mais informações, acesse Configurar o SSO da plataforma para dispositivos macOS no Microsoft Intune.

Para obter uma visão geral de suas opções de SSO em dispositivos Apple, acesse a visão geral do SSO e as opções para dispositivos Apple em Microsoft Intune.

Este artigo mostra como criar uma política de configuração de extensão de aplicativo SSO para dispositivos Apple macOS com Intune, Jamf Pro e outras soluções de MDM.

Se você quiser configurar as configurações de extensão de aplicativo SSO e SSO da plataforma em conjunto, vá para Configurar o SSO da plataforma para dispositivos macOS em Microsoft Intune.

Suporte ao aplicativo

Para que seus aplicativos usem o plug-in do Microsoft Enterprise SSO, você tem duas opções:

• Opção 1 – MSAL: os aplicativos que dão suporte à MSAL (Biblioteca de Autenticação da Microsoft) aproveitam automaticamente o plug-in do Microsoft Enterprise SSO. Por exemplo, os aplicativos do Microsoft 365 dão suporte ao MSAL. Assim, eles usam automaticamente o plug-in.

  Se sua organização criar seus próprios aplicativos, o desenvolvedor do aplicativo poderá adicionar uma dependência ao MSAL. Essa dependência permite que seu aplicativo use o plug-in SSO do Microsoft Enterprise.

  Para um tutorial de exemplo, acesse Tutorial: entre usuários e chame o Microsoft Graph de um aplicativo iOS ou macOS.

• Opção 2 – AllowList: aplicativos que não dão suporte ou não foram desenvolvidos com o MSAL podem usar a extensão do aplicativo SSO. Esses aplicativos incluem navegadores como Safari e aplicativos que usam APIs de exibição da Web do Safari.

  Para esses aplicativos não MSAL, adicione a ID do pacote de aplicativos ou o prefixo à configuração de extensão em sua política de extensão de aplicativo SSO Intune (neste artigo).

  Por exemplo, para permitir um aplicativo da Microsoft que não dá suporte ao MSAL, adicione com.microsoft. à propriedade AppPrefixAllowList em sua política de Intune. Tenha cuidado com os aplicativos permitidos, eles podem ignorar os prompts de entrada interativos para o usuário conectado.

  Para obter mais informações, acesse o plug-in do Microsoft Enterprise SSO para dispositivos Apple – aplicativos que não usam o MSAL.

Pré-requisitos

Para usar o plug-in do Microsoft Enterprise SSO em dispositivos macOS:

Intune

• O dispositivo é gerenciado por MDM por Intune.
• O dispositivo deve oferecer suporte ao plug-in:
  • macOS 10.15 e mais recente
• O aplicativo microsoft Portal da Empresa deve ser instalado e configurado no dispositivo.
• Os requisitos de plug-in do Enterprise SSO estão configurados, incluindo as URLs de configuração de rede da Apple.

Jamf Pro

• O dispositivo é gerenciado pelo Jamf Pro.

• O dispositivo deve oferecer suporte ao plug-in:

  • macOS 10.15 e mais recente

• O aplicativo microsoft Portal da Empresa deve ser instalado no dispositivo.

  Os usuários podem instalar o aplicativo Portal da Empresa manualmente. Ou os administradores podem implantar o aplicativo usando o Jamf Pro. Para obter uma lista de opções sobre como instalar o aplicativo Portal da Empresa, acesse Gerenciamento de Pacotes – Adicionando um pacote ao Jamf Administração (abre o site do Jamf Pro).

  Observação

  Em dispositivos macOS, a Apple exige que o aplicativo Portal da Empresa seja instalado. Os usuários não precisam usar ou configurar o aplicativo Portal da Empresa, ele só precisa ser instalado no dispositivo.

• Os requisitos de plug-in do Enterprise SSO estão configurados, incluindo as URLs de configuração de rede da Apple.

Outros MDMs

• O dispositivo é gerenciado por uma solução de provedor de MDM (gerenciamento de dispositivo móvel).

• A solução MDM deve dar suporte à configuração das configurações de carga MDM de logon único para dispositivos Apple (abre o site da Apple) com uma política de dispositivo.

• O dispositivo deve oferecer suporte ao plug-in:

  • macOS 10.15 e mais recente

• O aplicativo microsoft Portal da Empresa deve ser instalado no dispositivo.

  Os usuários podem instalar o aplicativo Portal da Empresa manualmente. Ou os administradores podem implantar o aplicativo usando uma política de MDM. Você pode baixar o pacote Portal da Empresa instalador de aplicativos.

  Observação

  Em dispositivos macOS, a Apple exige que o aplicativo Portal da Empresa seja instalado. Os usuários não precisam usar ou configurar o aplicativo Portal da Empresa, ele só precisa ser instalado no dispositivo.

• Os requisitos de plug-in do Enterprise SSO estão configurados, incluindo as URLs de configuração de rede da Apple.

Plug-in SSO do Microsoft Enterprise em comparação com a extensão de SSO do Kerberos

Quando você usa a extensão de aplicativo SSO, usa o Tipo de Carga SSO ou Kerberos para autenticação. A extensão do aplicativo SSO foi projetada para melhorar a experiência de entrada para aplicativos e sites que usam esses métodos de autenticação.

O plug-in SSO do Microsoft Enterprise usa o Tipo de Conteúdo SSO com a autenticação do Redirecionamento. Os tipos de extensão SSO Redirect e Kerberos podem ser usados em um dispositivo ao mesmo tempo. Não deixe de criar perfis de dispositivo separados para cada tipo de extensão que você planeja usar em seus dispositivos.

Para determinar o tipo de extensão de SSO correta para seu cenário, use a seguinte tabela:

---

Plug-in SSO do Microsoft Enterprise para dispositivos Apple	Extensão de aplicativo de logon único com Kerberos
Usa o tipo de extensão de aplicativo SSO Microsoft Entra ID	Usa o tipo de extensão do aplicativo SSO do Kerberos
Dá suporte aos seguintes aplicativos: – Microsoft 365 - Aplicativos, sites ou serviços integrados a Microsoft Entra ID	Dá suporte aos seguintes aplicativos: – Aplicativos, sites ou serviços integrados ao AD

Para obter mais informações sobre a extensão do aplicativo SSO, acesse Visão geral do SSO e opções para dispositivos Apple em Microsoft Intune.

Create uma política de configuração de extensão de aplicativo de logon único

Esta seção mostra como criar uma política de extensão de aplicativo SSO. Para obter informações sobre o SSO da plataforma, acesse Configurar o SSO da plataforma para dispositivos macOS no Microsoft Intune.

Intune

No centro de administração Microsoft Intune, crie um perfil de configuração de dispositivo. Esse perfil inclui as configurações para definir a extensão do aplicativo SSO em dispositivos.

1. Entre no Centro de administração do Microsoft Intune.

2. SelecioneConfiguração>de Dispositivos> Create >Novo política.

3. Insira as seguintes propriedades:

   • Plataforma: selecione macOS.
   • Tipo de perfil: selecione Modelos>Recursos do dispositivo.

4. Selecione Create:

   

5. Em Noções básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é a extensão de aplicativo macOS-SSO.
   • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.

6. Selecione Avançar.

7. Em Definições de configuração, selecione Extensão de aplicativo de logon único e configure as seguintes propriedades:

   • Tipo de extensão de aplicativo SSO: selecione Microsoft Entra ID:

     

   • ID do lote de aplicativo: insira uma lista de IDs de pacote para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Para obter mais informações, acesse Aplicativos que não usam MSAL.

   • Configuração adicional: para personalizar a experiência do usuário final, você pode adicionar as propriedades a seguir. Essas propriedades são os valores padrão usados pela extensão do aplicativo SSO, mas podem ser personalizadas para as necessidades da sua organização:

     Chave	Tipo	Descrição
     AppPrefixAllowList	Cadeia de Caracteres	Valor recomendado: com.microsoft.,com.apple. Insira uma lista de prefixos para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Por exemplo, insira com.microsoft.,com.apple. para permitir todos os aplicativos Microsoft e Apple. Certifique-se de que esses aplicativos atendam aos requisitos da lista de permitidos.
     browser_sso_interaction_enabled	Inteiro	Valor recomendado: 1 Quando definido como 1, os usuários podem entrar por meio do navegador Safari e por meio de aplicativos que não dão suporte à MSAL. Habilitar essa configuração permite que os usuários inicializem a extensão por meio do Safari ou de outros aplicativos.
     disable_explicit_app_prompt	Inteiro	Valor recomendado: 1 Alguns aplicativos podem impor incorretamente solicitações ao usuário final na camada de protocolo. Se você vir esse problema, os usuários serão solicitados a entrar, mesmo que o plug-in SSO do Microsoft Enterprise funcione para outros aplicativos. Quando definido como 1 (um), você reduz essas solicitações.

     Dica

     Para obter mais informações sobre essas propriedades e outras propriedades que você pode configurar, acesse o plug-in SSO da Microsoft Enterprise para dispositivos Apple.

     Quando terminar de configurar as configurações recomendadas, as configurações são semelhantes aos seguintes valores em seu perfil de configuração Intune:

     

8. Continue criando o perfil e atribua o perfil aos usuários ou grupos que recebem essas configurações. Para as etapas específicas, acesse Create o perfil.

   Para obter diretrizes sobre como atribuir perfis, acesse Atribuir perfis de usuário e dispositivo.

Quando a política estiver pronta, você atribuirá a política aos usuários. A Microsoft recomenda que você atribua a política quando o dispositivo se registra em Intune. Mas, ele pode ser atribuído a qualquer momento, inclusive em dispositivos existentes. Quando o dispositivo faz check-in com o serviço Intune, ele recebe esse perfil. Para obter mais informações, acesse Intervalos de atualização de política.

Para marcar que o perfil implantado corretamente, no centro de administração Intune, acesseConfiguração> de Dispositivos> selecione o perfil criado e gere um relatório:

Jamf Pro

No portal do Jamf Pro, você cria um perfil de configuração de computador. Esse perfil inclui as configurações para definir a extensão do aplicativo SSO em dispositivos.

1. Entre no portal do Jamf Pro.

2. Para criar um perfil macOS, selecionePerfis de Configuração de>Computadores>Novo:

   

3. Em Nome, insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é: plug-in do SSO macOS-Microsoft Enterprise.

4. Na coluna Opções, role para baixo e selecione Adicionar extensões> de Sign-On único:

   

5. Insira as seguintes propriedades:

   • Tipo de carga: selecione SSO.
   • Identificador de extensão: insira com.microsoft.CompanyPortalMac.ssoextension.
   • Identificador de equipe: insira UBF8T346G9.
   • Tipo de logon: selecione Redirecionar.
   • URLs: insira as seguintes URLs, uma de cada vez:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. Em Configuração Personalizada, você define outras propriedades necessárias. O Jamf Pro exige que essas propriedades sejam configuradas usando um arquivo PLIST carregado. Para ver a lista completa de propriedades configuráveis, acesse o plug-in do Microsoft Enterprise SSO para documentação de dispositivos Apple.

   O exemplo a seguir é um arquivo PLIST recomendado que atende às necessidades da maioria das organizações:

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Essas configurações PLIST configuram as seguintes opções de Extensão SSO. Essas propriedades são os valores padrão usados pela extensão do aplicativo SSO, mas podem ser personalizadas para as necessidades da sua organização:

   Chave	Tipo	Descrição
   AppPrefixAllowList	Cadeia de Caracteres	Valor recomendado: com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. Insira uma lista de prefixos para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Por exemplo, insira com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. para permitir todos os aplicativos Microsoft, Apple e Jamf Pro. Certifique-se de que esses aplicativos atendam aos requisitos da lista de permitidos.
   disable_explicit_app_prompt	Inteiro	Valor recomendado: 1 Alguns aplicativos podem impor incorretamente solicitações ao usuário final na camada de protocolo. Se você vir esse problema, os usuários serão solicitados a entrar, mesmo que o plug-in SSO do Microsoft Enterprise funcione para outros aplicativos. Quando definido como 1 (um), você reduz essas solicitações.

   Dica

   Para obter mais informações sobre essas propriedades e outras propriedades que você pode configurar, acesse o plug-in SSO da Microsoft Enterprise para dispositivos Apple.

7. Selecione a guia Escopo. Insira os computadores ou dispositivos que devem ser direcionados para receber o perfil MDM de Extensão do SSO.

8. Selecione Salvar.

Quando o dispositivo fizer check-in com o serviço do Jamf Pro, ele receberá esse perfil.

Dica

Se você usar o Jamf Connect, é recomendável seguir as diretrizes mais recentes do Jamf sobre como integrar o Jamf Connect ao Microsoft Entra ID (abre o site do Jamf Pro). O padrão de integração recomendado garante que o Jamf Connect funcione corretamente com suas políticas e Microsoft Entra ID Protection de acesso condicional.

Outros MDMs

No portal do MDM, crie um perfil de configuração de dispositivo. Esse perfil inclui as configurações para definir a extensão do aplicativo SSO em dispositivos.

1. Entre no portal do MDM.

2. Create um novo perfil de configuração de dispositivo.

3. Selecione uma opção chamada Extensões de Sign-On única ou extensão SSO. O nome pode variar dependendo do serviço MDM.

4. Insira as seguintes propriedades:

   Chave	Valor
   Tipo de carga	SSO
   Identificador de extensão	com.microsoft.CompanyPortalMac.ssoextension
   Identificador de Equipe	UBF8T346G9
   tipo Sign-On	Redirecionar
   URLs	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. Opcionalmente, você pode configurar outras propriedades. Essas propriedades são os valores padrão usados pela extensão do aplicativo SSO, mas podem ser personalizadas para as necessidades da sua organização:

   Chave	Tipo	Descrição
   AppPrefixAllowList	Cadeia de Caracteres	Valor recomendado: com.microsoft.,com.apple. Insira uma lista de prefixos para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Por exemplo, insira com.microsoft.,com.apple. para permitir todos os aplicativos Microsoft e Apple. Certifique-se de que esses aplicativos atendam aos requisitos da lista de permitidos.
   browser_sso_interaction_enabled	Inteiro	Valor recomendado: 1 Quando definido como 1, os usuários podem entrar por meio do navegador Safari e por meio de aplicativos que não dão suporte à MSAL. Habilitar essa configuração permite que os usuários inicializem a extensão por meio do Safari ou de outros aplicativos.
   disable_explicit_app_prompt	Inteiro	Valor recomendado: 1 Alguns aplicativos podem impor incorretamente solicitações ao usuário final na camada de protocolo. Se você vir esse problema, os usuários serão solicitados a entrar, mesmo que o plug-in SSO do Microsoft Enterprise funcione para outros aplicativos. Quando definido como 1 (um), você reduz essas solicitações.

   Dica

   Para obter mais informações sobre essas propriedades e outras propriedades que você pode configurar, acesse o plug-in SSO da Microsoft Enterprise para dispositivos Apple.

6. Atribua a nova política aos dispositivos que devem ser direcionados para receber o perfil MDM de Extensão do SSO.

Quando o dispositivo faz check-in com o serviço MDM, ele recebe esse perfil.

Experiência do usuário final

• Se você não estiver implantando o aplicativo Portal da Empresa usando uma política de aplicativo, os usuários deverão instalá-lo manualmente. Os usuários não precisam usar o aplicativo Portal da Empresa, ele só precisa ser instalado no dispositivo.

• Os usuários entrarão em qualquer aplicativo ou site com suporte para inicializar a extensão. A inicialização é o processo de entrar pela primeira vez, que configura a extensão.

• Depois que os usuários entrarem com êxito, a extensão será usada automaticamente para entrar em qualquer outro aplicativo ou site com suporte.

Você pode testar o logon único abrindo o Safari no modo privado (abre o site da Apple) e abrindo o https://portal.office.com site. Nenhum nome de usuário e senha serão necessários.

No macOS, quando os usuários entrarem em um aplicativo de trabalho ou escola, eles são solicitados a optar por entrar ou sair do SSO. Eles podem selecionar Não me peça novamente para optar por sair do SSO e bloquear solicitações futuras.

Os usuários também podem gerenciar as preferências de SSO no aplicativo Portal da Empresa para macOS. Para editar preferências, acesse a barra > de menus do aplicativo Portal da Empresa Portal da Empresa>Settings. Eles podem selecionar ou desselecionar Não me peça para entrar com logon único para este dispositivo.

Dica

Saiba mais sobre como funciona o plug-in do SSO e como solucionar problemas da Extensão SSO do Microsoft Enterprise com o guia de solução de problemas do SSO para dispositivos Apple.

Artigos relacionados

• Para obter informações sobre o plug-in do Microsoft Enterprise SSO, acesse o plug-in do Microsoft Enterprise SSO para dispositivos Apple.

• Para obter informações da Apple sobre o conteúdo da extensão de logon único, acesse as configurações de carga de extensões de logon único (abre o site da Apple).

• Para obter informações sobre como solucionar problemas da Extensão de SSO da Microsoft Enterprise, acesse Solucionar problemas do plug-in de Extensão SSO da Microsoft Enterprise em dispositivos Apple.