Verwenden des Microsoft Enterprise SSO-Plug-Ins auf macOS-Geräten

Das Microsoft Enterprise SSO-Plug-In ist ein Feature in Microsoft Entra ID, das Features des einmaligen Anmeldens (Single Sign-On, SSO) für Apple-Geräte bereitstellt. Dieses Plug-In verwendet das App-Erweiterungsframework für das einmalige Anmelden von Apple.

Die SSO-App-Erweiterung bietet einmaliges Anmelden bei Apps und Websites, die die Microsoft Entra-ID für die Authentifizierung verwenden, einschließlich Microsoft 365-Apps. Dadurch wird die Anzahl der Authentifizierungsaufforderungen reduziert, die Benutzer erhalten, wenn Sie Geräte verwenden, die von der Verwaltung mobiler Geräte (Mobile Device Management, MDM) verwaltet werden, einschließlich aller MDM-Geräte, die die Konfiguration von SSO-Profilen unterstützen.

Diese Funktion gilt für:

Auf macOS-Geräten können Sie SSO-App-Erweiterungseinstellungen an zwei Stellen in Intune konfigurieren:

  • Vorlage für Gerätefeatures (dieser Artikel): Diese Option konfiguriert nur die SSO-App-Erweiterung und verwendet Ihren MDM-Anbieter wie Intune, um die Einstellungen auf Geräten bereitzustellen.

    Verwenden Sie diesen Artikel, wenn Sie nur die SSO-App-Erweiterungseinstellungen konfigurieren und nicht auch Plattform-SSO konfigurieren möchten.

  • Einstellungskatalog : Mit dieser Option werden Plattform-SSO und die SSO-App-Erweiterung zusammen konfiguriert. Sie verwenden Intune, um die Einstellungen auf Ihren Geräten bereitzustellen.

    Verwenden Sie die Einstellungen des Einstellungskatalogs, wenn Sie sowohl die App-Erweiterungseinstellungen für Plattform-SSO als auch die SSO-App-Erweiterung konfigurieren möchten. Weitere Informationen finden Sie unter Konfigurieren von Plattform-SSO für macOS-Geräte in Microsoft Intune.

Eine Übersicht über Ihre SSO-Optionen auf Apple-Geräten erfahren Sie unter Übersicht über einmaliges Anmelden und Optionen für Apple-Geräte in Microsoft Intune.

In diesem Artikel erfahren Sie, wie Sie eine Konfigurationsrichtlinie für die SSO-App-Erweiterung für macOS Apple-Geräte mit Intune, Jamf Pro und anderen MDM-Lösungen erstellen.

Wenn Sie die Einstellungen für Plattform-SSO und SSO-App-Erweiterung zusammen konfigurieren möchten, wechseln Sie zu Konfigurieren von Plattform-SSO für macOS-Geräte in Microsoft Intune.

App-Unterstützung

Damit Ihre Apps das Microsoft Enterprise SSO-Plug-In verwenden können, haben Sie zwei Möglichkeiten:

  • Option 1 – MSAL: Apps, die die Microsoft Authentication Library (MSAL) unterstützen, nutzen automatisch das Microsoft Enterprise SSO-Plug-In. Beispielsweise unterstützen Microsoft 365-Apps MSAL. Daher verwenden sie automatisch das Plug-In.

    Wenn Ihre Organisation eigene Apps erstellt, kann Ihr App-Entwickler der MSAL eine Abhängigkeit hinzufügen. Diese Abhängigkeit ermöglicht Ihrer App die Verwendung des Microsoft Enterprise SSO-Plug-Ins.

    Ein Beispieltutorial erhalten Sie unter Tutorial: Anmelden von Benutzern und Aufrufen von Microsoft Graph aus einer iOS- oder macOS-App.

  • Option 2 – AllowList: Apps, die MSAL nicht unterstützen oder nicht mit MSAL entwickelt wurden, können die SSO-App-Erweiterung verwenden. Zu diesen Apps gehören Browser wie Safari und Apps, die Safari-Webansichts-APIs verwenden.

    Fügen Sie für diese Nicht-MSAL-Apps die Anwendungspaket-ID oder das Präfix der Erweiterungskonfiguration in Ihrer Intune-SSO-App-Erweiterungsrichtlinie hinzu (in diesem Artikel).

    Um beispielsweise eine Microsoft-App zuzulassen, die MSAL nicht unterstützt, fügen Sie com.microsoft. der AppPrefixAllowList-Eigenschaft in Ihrer Intune-Richtlinie hinzu. Seien Sie vorsichtig mit den Apps, die Sie zulassen, sie können interaktive Anmeldeaufforderungen für den angemeldeten Benutzer umgehen.

    Weitere Informationen finden Sie unter Microsoft Enterprise SSO-Plug-In für Apple-Geräte – Apps, die MSAL nicht verwenden.

Voraussetzungen

So verwenden Sie das Microsoft Enterprise SSO-Plug-In auf macOS-Geräten:

  • Das Gerät wird von Intune verwaltet.
  • Das Gerät muss das Plug-In unterstützen:
    • macOS 10.15 und neuer
  • Die Microsoft-Unternehmensportal-App muss auf dem Gerät installiert und konfiguriert sein.
  • Die Anforderungen an das Enterprise SSO-Plug-In sind konfiguriert, einschließlich der Apple-Netzwerkkonfigurations-URLs.

Microsoft Enterprise SSO-Plug-In im Vergleich zur Kerberos-SSO-Erweiterung

Wenn Sie die SSO-App-Erweiterung verwenden, verwenden Sie den SSO - oder Kerberos-Nutzlasttyp für die Authentifizierung. Die SSO-App-Erweiterung wurde entwickelt, um die Anmeldeerfahrung für Apps und Websites, die diese Authentifizierungsmethoden verwenden, zu verbessern.

Das Microsoft Enterprise SSO-Plug-In verwendet den SSO-Nutzlasttyp mit Redirect-Authentifizierung. Die Erweiterungstypen SSO Redirect und Kerberos können gleichzeitig auf einem Gerät verwendet werden. Stellen Sie sicher, dass Sie separate Geräteprofile für jeden Erweiterungstyp erstellen, den Sie auf Ihren Geräten verwenden möchten.

Ermitteln Sie den richtigen SSO-Erweiterungstyp für Ihr Szenario anhand der folgenden Tabelle:


Microsoft Enterprise SSO-Plug-In für Apple-Geräte App-Erweiterung für einmaliges Anmelden (Single sign-on, SSO) mit Kerberos
Verwendet den App-Erweiterungstyp Microsoft Entra ID SSO. Verwendet den SSO-App-Erweiterungstyp Kerberos
Unterstützt die folgenden Apps:
– Microsoft 365
– Apps, Websites oder Dienste, die in Microsoft Entra ID integriert sind
Unterstützt die folgenden Apps:
– Apps, Websites oder Dienste, die in AD integriert sind

Weitere Informationen zur SSO-App-Erweiterung findest du unter Übersicht über einmaliges Anmelden und Optionen für Apple-Geräte in Microsoft Intune.

Erstellen einer Konfigurationsrichtlinie für die App-Erweiterung für einmaliges Anmelden

In diesem Abschnitt wird gezeigt, wie Sie eine SSO-App-Erweiterungsrichtlinie erstellen. Informationen zum Plattform-SSO finden Sie unter Konfigurieren von Plattform-SSO für macOS-Geräte in Microsoft Intune.

Erstellen Sie im Microsoft Intune Admin Center ein Gerätekonfigurationsprofil. Dieses Profil enthält die Einstellungen zum Konfigurieren der SSO-App-Erweiterung auf Geräten.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>Geräte verwalten>Konfiguration>Erstellen>Neue Richtlinie aus.

  3. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie macOS aus.
    • Profiltyp: Wählen Sie Vorlagen>Gerätefeatures aus.
  4. Wählen Sie Erstellen aus:

    Screenshot: Erstellen eines Konfigurationsprofils für Gerätefeatures für macOS in Intune

  5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Richtlinienname ist beispielsweise die App-Erweiterung macOS-SSO.
    • Beschreibung: Geben Sie eine Beschreibung der Richtlinie ein. Diese Einstellung ist optional, wird jedoch empfohlen.
  6. Wählen Sie Weiter aus.

  7. Wählen Sie unter Konfigurationseinstellungen die Option App-Erweiterung für einmaliges Anmelden aus, und konfigurieren Sie die folgenden Eigenschaften:

    • SSO-App-Erweiterungstyp: Wählen Sie Microsoft Entra ID aus:

      Screenshot: SSO-App-Erweiterungstyp und Microsoft Entra-ID für macOS in Intune

    • App-Bündel-ID: Geben Sie eine Liste der Bündel-IDs für Apps ein, die MSAL nicht unterstützen und SSO verwenden dürfen. Weitere Informationen finden Sie unter Anwendungen, die MSAL nicht verwenden.

    • Zusätzliche Konfiguration: Zum Anpassen der Endbenutzererfahrung können Sie die folgenden Eigenschaften hinzufügen. Diese Eigenschaften sind die Standardwerte, die von der SSO-App-Erweiterung verwendet werden, aber sie können an die Anforderungen Ihrer Organisation angepasst werden:

      Key Typ Beschreibung
      AppPrefixAllowList Zeichenfolge Empfohlener Wert: com.microsoft.,com.apple.

      Geben Sie eine Liste der Präfixe für Apps ein, die MSAL nicht unterstützen und SSO verwenden dürfen. Geben Sie beispielsweise ein com.microsoft.,com.apple. , um alle Microsoft- und Apple-Apps zuzulassen.

      Stellen Sie sicher, dass diese Apps die Positivlistenanforderungen erfüllen.
      browser_sso_interaction_enabled Ganzzahl Empfohlener Wert: 1

      Wenn diese Einstellung auf 1 festgelegt wurde, können sich Benutzer über den Safari-Browser und über Apps anmelden, die MSAL nicht unterstützen. Wenn diese Einstellung aktiviert wird, können Benutzer einen Bootstrap für die Erweiterung über Safari oder andere Apps ausführen.
      disable_explicit_app_prompt Ganzzahl Empfohlener Wert: 1

      Einige Apps erzwingen vielleicht fälschlicherweise Eingabeaufforderungen für Endbenutzer auf Protokollebene. Wenn dieses Problem angezeigt wird, werden Benutzer zur Anmeldung aufgefordert, obwohl das Microsoft Enterprise SSO-Plug-In bei anderen Apps funktioniert.

      Wenn der Wert auf 1 (1) festgelegt wurde, reduzieren Sie diese Eingabeaufforderungen.

      Tipp

      Weitere Informationen zu diesen Eigenschaften und anderen Eigenschaften, die Sie konfigurieren können, finden Sie unter Microsoft Enterprise SSO-Plug-In für Apple-Geräte.

      Wenn Sie mit der Konfiguration der empfohlenen Einstellungen fertig sind, sehen die Einstellungen in Etwa wie die folgenden Werte in Ihrem Intune-Konfigurationsprofil aus:

      Screenshot: Konfigurationsoptionen für die Endbenutzererfahrung für das Plug-In für die Enterprise-SSO-App-Erweiterung auf macOS-Geräten in Microsoft Intune

  8. Fahren Sie mit der Erstellung des Profils fort, und weisen Sie das Profil den Benutzern oder Gruppen zu, die diese Einstellungen erhalten. Die spezifischen Schritte finden Sie unter Erstellen des Profils.

    Anleitungen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

Wenn die Richtlinie bereit ist, weisen Sie die Richtlinie Ihren Benutzern zu. Microsoft empfiehlt, die Richtlinie zuzuweisen, wenn das Gerät bei Intune registriert wird. Sie kann jedoch jederzeit zugewiesen werden, auch auf vorhandenen Geräten. Wenn das Gerät beim Intune-Dienst eincheckt, empfängt es dieses Profil. Weitere Informationen findest du unter Richtlinienaktualisierungsintervalle.

Um zu überprüfen, ob das Profil ordnungsgemäß bereitgestellt wurde, wechseln Sie im Intune Admin Center zu Geräte>Geräte verwalten Konfiguration>> wählen Sie das profil aus, das Sie erstellt haben, und generieren Sie einen Bericht:

Screenshot: Bericht zur Bereitstellung des macOS-Gerätekonfigurationsprofils in Microsoft Intune

Endbenutzeroberfläche

Ablaufdiagramm für Endbenutzer beim Installieren der SSO-App-Erweiterung auf macOS-Geräten in Microsoft Intune.

  • Wenn Sie die Unternehmensportal-App nicht mithilfe einer App-Richtlinie bereitstellen, müssen Benutzer sie manuell installieren. Benutzer müssen die Unternehmensportal-App nicht verwenden, sie muss nur auf dem Gerät installiert werden.

  • Benutzer melden sich bei jeder unterstützten App oder Website an, um einen Bootstrap für die Erweiterung auszuführen. Bootstrap ist der Prozess der erstmaligen Anmeldung, bei der die Erweiterung eingerichtet wird.

  • Nachdem sich Benutzer erfolgreich angemeldet haben, wird die Erweiterung automatisch zum Anmelden bei jeder anderen unterstützten App oder Website verwendet.

Sie können einmaliges Anmelden testen, indem Sie Safari im privaten Modus (öffnet die Website von Apple) und die https://portal.office.com Website öffnen. Es sind kein Benutzername und Kennwort erforderlich.

Benutzer melden sich bei der App oder Website zum Bootstrap der SSO-App-Erweiterung auf iOS-/iPadOS- und macOS-Geräten in Microsoft Intune an.

Wenn sich Benutzer unter macOS bei einer Geschäfts-, Schul- oder Uni-App anmelden, werden sie aufgefordert, einmaliges Anmelden zu aktivieren oder zu deaktivieren. Sie können "Nicht erneut fragen " auswählen, um SSO zu deaktivieren und zukünftige Anforderungen zu blockieren.

Benutzer können ihre SSO-Einstellungen auch in der Unternehmensportal-App für macOS verwalten. Um Einstellungen zu bearbeiten, wechseln Sie zur Menüleiste > Unternehmensportal-App Unternehmensportaleinstellungen>. Sie können die Option Keine Anmeldung mit einmaligem Anmelden für dieses Gerät anfordern auswählen oder deaktivieren.

Bitten Sie mich nicht, mich mit einmaligem Anmelden für dieses Gerät anzumelden.

Tipp

Weitere Informationen zur Funktionsweise des SSO-Plug-Ins und zur Problembehandlung der Microsoft Enterprise SSO-Erweiterung finden Sie im Leitfaden zur SSO-Problembehandlung für Apple-Geräte.