Použití modulu plug-in Microsoft Enterprise SSO na zařízeních s iOS/iPadOS

Modul plug-in Microsoft Enterprise SSO je funkce v Microsoft Entra ID, která poskytuje funkce jednotného přihlašování (SSO) pro zařízení Apple. Tento modul plug-in používá architekturu rozšíření aplikace pro jednotné přihlašování Apple.

Rozšíření aplikace jednotného přihlašování poskytuje jednotné přihlašování k aplikacím a webům, které k ověřování používají Microsoft Entra ID, včetně aplikací Microsoft 365. Snižuje počet výzev k ověření, které se uživatelům zobrazí při používání zařízení spravovaných pomocí správy mobilních zařízení (MDM), včetně všech MDM, které podporují konfiguraci profilů jednotného přihlašování.

Tato funkce platí pro:

Tento článek ukazuje, jak vytvořit zásady konfigurace rozšíření aplikace s jednotným přihlašováním pro zařízení Apple s iOS/iPadOS pomocí Intune, Jamf Pro a dalších řešení MDM.

Podpora aplikací

Aby vaše aplikace mohly používat modul plug-in Microsoft Enterprise SSO, máte dvě možnosti:

  • Možnost 1 – MSAL: Aplikace, které podporují knihovnu Microsoft Authentication Library (MSAL), automaticky využívají modul plug-in Microsoft Enterprise SSO. Například aplikace Microsoft 365 podporují KNIHOVNU MSAL. Takže automaticky používají modul plug-in.

    Pokud vaše organizace vytváří vlastní aplikace, může vývojář aplikace přidat závislost do knihovny MSAL. Tato závislost umožňuje vaší aplikaci používat modul plug-in Microsoft Enterprise SSO.

    Ukázkový kurz najdete v tématu Kurz: Přihlášení uživatelů a volání Microsoft Graphu z aplikace pro iOS nebo macOS.

  • Možnost 2 – Seznam povolených: Aplikace, které nepodporují nebo nebyly vyvinuty pomocí MSAL, můžou používat rozšíření aplikace jednotného přihlašování. Mezi tyto aplikace patří prohlížeče, jako je Safari, a aplikace, které používají rozhraní API webového zobrazení Safari.

    U těchto aplikací, které nejsou aplikace MSAL, přidejte ID sady aplikací nebo předponu do konfigurace rozšíření v zásadách rozšíření aplikace Intune SSO (v tomto článku).

    Pokud například chcete povolit aplikaci Microsoftu, která nepodporuje MSAL, přidejte com.microsoft. do vlastnosti AppPrefixAllowList v zásadách Intune. Buďte opatrní s aplikacemi, které povolíte, můžou obejít interaktivní výzvy k přihlášení pro přihlášeného uživatele.

    Další informace najdete v článku Modul plug-in Microsoft Enterprise SSO pro zařízení Apple – aplikace, které nepoužívají MSAL.

Požadavky

Použití modulu plug-in Microsoft Enterprise SSO na zařízeních s iOS/iPadOS:

  • Zařízení spravuje Intune.

  • Zařízení musí podporovat modul plug-in:

    • iOS/iPadOS 13.0 a novější
  • Na zařízení musí být nainstalovaná aplikace Microsoft Authenticator.

    Uživatelé můžou aplikaci Microsoft Authenticator nainstalovat ručně. Nebo můžou správci nasadit aplikaci pomocí Intune. Informace o tom, jak nainstalovat aplikaci Microsoft Authenticator, najdete v tématu Správa hromadně zakoupených aplikací Apple.

  • Jsou nakonfigurované požadavky na modul plug-in Podnikové jednotné přihlašování, včetně adres URL pro konfiguraci sítě Apple.

Poznámka

Na zařízeních s iOS/iPadOS vyžaduje Společnost Apple instalaci rozšíření aplikace jednotného přihlašování a aplikace Microsoft Authenticator. Uživatelé nemusí aplikaci Microsoft Authenticator používat ani konfigurovat, stačí ji nainstalovat na zařízení.

Modul plug-in Microsoft Enterprise SSO vs. rozšíření Kerberos SSO

Když používáte rozšíření aplikace s jednotným přihlašováním, použijete k ověřování typ jednotné přihlašování nebo datové části Kerberos . Rozšíření aplikace s jednotným přihlašováním je navržené tak, aby zlepšilo přihlašování pro aplikace a weby, které používají tyto metody ověřování.

Modul plug-in Microsoft Enterprise SSO používá typ datové části jednotného přihlašování s ověřováním přesměrovávání . Typy rozšíření Přesměrování jednotného přihlašování a Kerberos je možné použít na zařízení současně. Nezapomeňte vytvořit samostatné profily zařízení pro každý typ rozšíření, který chcete na svých zařízeních používat.

Pokud chcete určit správný typ rozšíření jednotného přihlašování pro váš scénář, použijte následující tabulku:


Modul plug-in Microsoft Enterprise SSO pro zařízení Apple Rozšíření aplikace pro jednotné přihlašování pomocí protokolu Kerberos
Používá typ rozšíření aplikace jednotného přihlašování Microsoft Entra ID . Používá typ rozšíření aplikace s jednotným přihlašováním Kerberos .
Podporuje následující aplikace:
– Microsoft 365
– Aplikace, weby nebo služby integrované s Microsoft Entra ID
Podporuje následující aplikace:
– Aplikace, weby nebo služby integrované s AD


Další informace o rozšíření aplikace pro jednotné přihlašování najdete v tématu Přehled jednotného přihlašování a možnosti pro zařízení Apple v Microsoft Intune.

Vytvoření zásad konfigurace rozšíření aplikace s jednotným přihlašováním

V Centru pro správu Microsoft Intune vytvořte konfigurační profil zařízení. Tento profil obsahuje nastavení pro konfiguraci rozšíření aplikace jednotného přihlašování na zařízeních.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Zařízení>Spravovat zařízení>Konfigurace>Vytvořit>Nová zásada.

  3. Zadejte tyto vlastnosti:

    • Platforma: Vyberte iOS/iPadOS.
    • Typ profilu: Vyberte Šablony>Funkce zařízení.
  4. Vyberte Vytvořit:

    Snímek obrazovky, který ukazuje, jak vytvořit konfigurační profil funkcí zařízení pro iOS/iPadOS v Microsoft Intune

  5. V Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrým názvem zásady je například iOS: Rozšíření aplikace s jednotným přihlašováním.
    • Popis: Zadejte popis zásady. Toto nastavení není povinné, ale doporučujeme ho zadat.
  6. Vyberte Další.

  7. V nastavení konfigurace vyberte Rozšíření aplikace jednotného přihlašování a nakonfigurujte následující vlastnosti:

    • Typ rozšíření aplikace s jednotným přihlašováním: Vyberte Microsoft Entra ID.

      Snímek obrazovky znázorňující typ rozšíření aplikace s jednotným přihlašováním a ID Microsoft Entra pro iOS/iPadOS v Intune

    • Povolit režim sdíleného zařízení:

      • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje.

        Pro většinu scénářů, včetně sdíleného iPadu, osobních zařízení a zařízení s přidružením uživatele nebo bez, vyberte tuto možnost.

      • Ano: Tuto možnost vyberte jenom v případě, že cílová zařízení používají režim sdíleného zařízení Microsoft Entra. Další informace najdete v článku Přehled režimu sdíleného zařízení.

    • ID sady aplikací: Zadejte seznam ID sad pro aplikace, které nepodporují MSAL a můžou používat jednotné přihlašování. Další informace najdete v tématu Aplikace, které nepoužívají knihovnu MSAL.

    • Další konfigurace: Pokud chcete přizpůsobit prostředí koncového uživatele, můžete přidat následující vlastnosti. Tyto vlastnosti jsou výchozí hodnoty používané rozšířením Microsoftu pro jednotné přihlašování, ale dají se přizpůsobit potřebám vaší organizace:

      Klíč Typ Popis
      AppPrefixAllowList String Doporučená hodnota: com.apple.

      Zadejte seznam předpon pro aplikace, které nepodporují knihovnu MSAL a můžou používat jednotné přihlašování. Zadáním například com.microsoft.,com.apple. povolíte všechny aplikace Microsoftu a Apple.

      Ujistěte se, že tyto aplikace splňují požadavky na seznam povolených.
      browser_sso_interaction_enabled Celé číslo Doporučená hodnota: 1

      Pokud je tato možnost nastavená na 1, uživatelé se můžou přihlašovat z prohlížeče Safari a z aplikací, které msal nepodporují. Povolení tohoto nastavení umožní uživatelům spustit rozšíření ze Safari nebo jiných aplikací.
      disable_explicit_app_prompt Celé číslo Doporučená hodnota: 1

      Některé aplikace můžou nesprávně vynucovat výzvy koncových uživatelů ve vrstvě protokolu. Pokud narazíte na tento problém, zobrazí se uživatelům výzva k přihlášení, i když modul plug-in Microsoft Enterprise SSO funguje pro jiné aplikace.

      Při nastavení na 1 hodnotu (jedna) se tyto výzvy zmenšují.

      Tip

      Další informace o těchto vlastnostech a dalších vlastnostech, které můžete konfigurovat, najdete v tématu Modul plug-in Microsoft Enterprise SSO pro zařízení Apple.

      Až dokončíte konfiguraci nastavení a povolíte aplikaci Microsoft & Apple, budou nastavení vypadat podobně jako následující hodnoty ve vašem konfiguračním profilu Intune:

      Snímek obrazovky znázorňující možnosti konfigurace prostředí koncového uživatele pro modul plug-in Podnikové jednotné přihlašování na zařízeních s iOS/iPadOS v Intune

  8. Pokračujte ve vytváření profilu a přiřaďte ho uživatelům nebo skupinám, které obdrží tato nastavení. Konkrétní kroky najdete v tématu Vytvoření profilu.

    Pokyny k přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

Když se zařízení přihlásí ke službě Intune, obdrží tento profil. Další informace najdete v tématu Intervaly aktualizace zásad.

Pokud chcete zkontrolovat, jestli je profil správně nasazený, přejděte v Centru pro správu Intune do části Zařízení>Správa konfigurace zařízení>>, vyberte profil, který jste vytvořili, a vygenerujte sestavu:

Snímek obrazovky znázorňující sestavu nasazení konfiguračního profilu zařízení s iOS/iPadOS v Intune

Prostředí koncového uživatele

Vývojový diagram koncového uživatele při instalaci rozšíření aplikace s jednotným přihlašováním na zařízeních s iOS/iPadOS

  • Pokud aplikaci Microsoft Authenticator nenasazujete pomocí zásad aplikace, musí ji uživatelé nainstalovat ručně. Uživatelé nemusí používat aplikaci Authenticator, stačí ji nainstalovat na zařízení.

  • Uživatelé se přihlásí k jakékoli podporované aplikaci nebo webu, aby mohli rozšíření spustit. Bootstrap je proces prvního přihlášení, který nastavuje rozšíření.

  • Po úspěšném přihlášení uživatelů se rozšíření automaticky použije k přihlášení k jakékoli jiné podporované aplikaci nebo webu.

Jednotné přihlašování můžete otestovat tak, že otevřete Safari v privátním režimu (otevře web společnosti Apple) a otevřete https://portal.office.com web. Nebude vyžadováno uživatelské jméno a heslo.

Animace znázorňující jednotné přihlašování v iPadOS

Tip

Další informace o tom, jak modul plug-in pro jednotné přihlašování funguje a jak řešit potíže s rozšířením Microsoft Enterprise SSO, najdete v průvodci odstraňováním potíží s jednotným přihlašováním pro zařízení Apple.