Complemento de Microsoft Enterprise SSO para dispositivos Apple

El complemento Microsoft Enterprise SSO para dispositivos Apple proporciona inicio de sesión único (SSO) para cuentas de Microsoft Entra en macOS, iOS y iPadOS en todas las aplicaciones compatibles con la función de inicio de sesión único empresarial de Apple. El complemento proporciona SSO para las aplicaciones antiguas de las que puede depender tu empresa, pero que aún no admiten las bibliotecas o protocolos de identidad más recientes. Microsoft ha trabajado estrechamente con Apple para desarrollar este complemento con el fin de aumentar la facilidad de uso de su aplicación y ofrecer la máxima protección disponible.

El complemento Enterprise SSO es actualmente una característica integrada de las siguientes aplicaciones:

Características

El complemento Microsoft Enterprise SSO para dispositivos de Apple ofrece las siguientes ventajas:

  • Proporciona SSO para cuentas Microsoft Entra en todas las aplicaciones compatibles con la función Apple Enterprise SSO.
  • Se puede habilitar mediante cualquier solución de administración de dispositivos móviles (MDM) y se admite en la inscripción de dispositivos y usuarios.
  • Amplía el inicio de sesión único a las aplicaciones que aún no usan la Biblioteca de autenticación de Microsoft (MSAL).
  • Extiende el inicio de sesión único a las aplicaciones que usan OAuth 2, OpenID Connect y SAML.
  • Se integra de forma nativa con MSAL, lo que proporciona una fluida experiencia nativa al usuario final cuando está habilitado el complemento Microsoft Enterprise SSO.

Requisitos

Para usar el complemento Microsoft Enterprise SSO en dispositivos Apple:

  • El dispositivo debe admitir y tener una aplicación instalada que incluya el complemento Microsoft Enterprise SSO para dispositivos Apple:

  • El dispositivo debe inscribirse en MDM, por ejemplo, por medio de Microsoft Intune.

  • Se debe insertar en el dispositivo la configuración para habilitar el complemento Enterprise SSO. Apple requiere esta restricción de seguridad.

  • Los dispositivos de Apple deben tener permiso para acceder a las direcciones URL del proveedor de identidades y a sus propias direcciones URL sin interceptación adicional. Esto significa que esas direcciones URL deben excluirse de los servidores proxy de la red, de la interceptación y de otros sistemas empresariales.

    Este es el conjunto mínimo de direcciones URL que deben permitirse para que el complemento de inicio de sesión único funcione:

    • app-site-association.cdn-apple.com
    • app-site-association.networking.apple
    • login.microsoftonline.com(*)
    • login.microsoft.com(*)
    • sts.windows.net(*)
    • login.partner.microsoftonline.cn(*)(**)
    • login.chinacloudapi.cn(*)(**)
    • login.microsoftonline.us(*)(**)
    • login-us.microsoftonline.com(*)(**)
    • config.edge.skype.com(***)

    (*) Permitir los dominios de Microsoft solo es necesario en las versiones de sistemas operativos publicadas antes de 2022. En las versiones más recientes de sistemas operativos, Apple confía plenamente en su red CDN.

    (**) Solo tienes que permitir los dominios de nube soberana si confías en los de tu entorno.

    (***) Mantener las comunicaciones con el Servicio de experimentación y configuración (ECS) garantiza que Microsoft pueda responder a un error grave de forma oportuna.

    El complemento Microsoft Enterprise SSO se basa en el marco de inicio de sesión único en la empresa de Apple. El marco de inicio de sesión único en la empresa de Apple garantiza que los complemento SSO aprobado sean los únicos que puedan funcionar en todos los proveedores de identidades mediante una tecnología denominada dominios asociados. Para comprobar la identidad del complemento SSO, cada dispositivo de Apple enviará una solicitud de red a un punto de conexión propiedad del proveedor de identidades y leerá información sobre los complementos SSO aprobados. Además de llegar directamente al proveedor de identidades, Apple también ha implementado otro almacenamiento en caché para esta información.

    Advertencia

    Si tu organización usa servidores proxy que interceptan el tráfico SSL en escenarios tales como la prevención de pérdida de datos o las restricciones de inquilino, asegúrate de que el tráfico a estas URL se excluya de la interrupción e inspección de TLS. Si no excluyes estas direcciones URL, surgirán interferencias con la autenticación de los certificados de cliente, lo que causa problemas con el registro de dispositivos y el acceso condicional basado en dispositivos. La extensión SSO no funcionará de forma fiable sin excluir completamente los dominios CDN de Apple de la interceptación, y experimentará problemas intermitentes hasta que lo haga.

    Si su organización bloquea estas direcciones URL, es posible que los usuarios vean errores tales como 1012 NSURLErrorDomain error, 1000 com.apple.AuthenticationServices.AuthorizationError o 1001 Unexpected.

    Otras URL de Apple que pueden necesitar ser permitidas se documentan en su artículo de soporte técnico, Uso de productos de Apple en redes empresariales.

Requisitos de iOS

  • iOS 13.0 o posterior debe estar instalado en el dispositivo.
  • Debe instalarse una aplicación de Microsoft que proporcione el complemento Microsoft Enterprise SSO para dispositivos de Apple en el dispositivo. Esta aplicación es la aplicación Microsoft Authenticator.

Requisitos de macOS

  • macOS 10.15 o una versión posterior debe estar instalado en el dispositivo.
  • Debe instalarse una aplicación de Microsoft que proporcione el complemento Microsoft Enterprise SSO para dispositivos de Apple en el dispositivo. Esta aplicación es la aplicación Portal de empresa de Intune.

Habilitación del complemento de SSO

Use la siguiente información para habilitar el complemento de SSO mediante MDM.

Configuración de Microsoft Intune

Si usa Microsoft Intune como servicio MDM, puede usar la configuración del perfil de configuración integrado para habilitar el complemento Microsoft Enterprise SSO:

  1. Configure el complemento de la aplicación de SSO de un perfil de configuración.
  2. Si el perfil todavía no está asignado, asígnelo a un grupo de usuarios o dispositivos.

La configuración del perfil que habilita el complemento SSO se aplica automáticamente a los dispositivos del grupo la siguiente vez que cada dispositivo se registra con Intune.

Configuración manual para otros servicios de MDM

Si no usa Intune para MDM, puede configurar una carga de perfil de inicio de sesión único extensible para dispositivos Apple. Use los parámetros siguientes para configurar el complemento Microsoft Enterprise SSO y sus opciones de configuración.

Configuración de iOS:

  • Identificador de extensión: com.microsoft.azureauthenticator.ssoextension
  • Identificador del equipo: este campo no es necesario en iOS.

Configuración de macOS:

  • Identificador de extensión: com.microsoft.CompanyPortalMac.ssoextension
  • Identificador del equipo: UBF8T346G9

Configuración común:

  • Tipo: Redireccionamiento
    • https://login.microsoftonline.com
    • https://login.microsoft.com
    • https://sts.windows.net
    • https://login.partner.microsoftonline.cn
    • https://login.chinacloudapi.cn
    • https://login.microsoftonline.us
    • https://login-us.microsoftonline.com

Guías de implementación

Use las siguientes guías de implementación para habilitar el complemento Microsoft Enterprise SSO mediante la solución MDM que elija:

Intune:

Jamf Pro:

Otros MDM:

Más opciones de configuración

Se pueden agregar otras opciones de configuración para extender la funcionalidad de SSO a otras aplicaciones.

Habilitación del inicio de sesión único para aplicaciones que no usan MSAL

El complemento de inicio de sesión único permite que cualquier aplicación participe en el SSO aunque no se haya desarrollado con un SDK de Microsoft como la Biblioteca de autenticación de Microsoft (MSAL).

El complemento de SSO se instala automáticamente en dispositivos que cumplen los siguientes requisitos:

  • Se ha descargado la aplicación Authenticator en iOS o iPad o la aplicación Portal de empresa de Intune en macOS.
  • MSM inscribió el dispositivo en la organización.

Es probable que su organización utilice la aplicación Authenticator para escenarios como la autenticación multifactor, la autenticación sin contraseña y el acceso condicional. Si hace uso de un proveedor de MDM, puede activar el complemento de SSO para las aplicaciones. Microsoft ha facilitado la configuración del complemento mediante Microsoft Intune. Para configurar estas aplicaciones de forma que usen el complemento de inicio de sesión único, se usa una lista de permitidos.

Importante

El complemento Microsoft Enterprise SSO solo admite aplicaciones que usan webviews o tecnologías de red nativas de Apple. No es compatible con las aplicaciones que distribuyen su propia implementación de niveles de red.

Use los siguientes parámetros para configurar el complemento Microsoft Enterprise SSO en las aplicaciones que no usan MSAL.

Importante

Las aplicaciones que usen una biblioteca de autenticación de Microsoft no es preciso agregarlas a esta lista de permitidos, ya que participarán en el inicio de sesión único de forma predeterminada. La mayoría de las aplicaciones creadas por Microsoft usan una biblioteca de autenticación de Microsoft.

Habilitación del inicio de sesión único para todas las aplicaciones administradas

  • Clave: Enable_SSO_On_All_ManagedApps
  • Tipo: Integer
  • Valor: 1 o 0. Este valor está establecido en 0 de manera predeterminada.

Cuando esta marca está activa (su valor está establecido en 1), todas las aplicaciones administradas por MDM que no están en AppBlockList pueden participar en el inicio de sesión único.

Habilitación del inicio de sesión único para aplicaciones específicas

  • Clave: AppAllowList
  • Tipo: String
  • Valor: lista delimitada por comas de identificadores de agrupación de aplicaciones que pueden participar en el inicio de sesión único.
  • Ejemplo: com.contoso.workapp, com.contoso.travelapp

Nota:

Safari y Safari View Service pueden participar en el inicio de sesión único de manera predeterminada. Se pueden configurar para que no participen en el inicio de sesión único si se agregan los identificadores de agrupación de Safari y Safari View Service en AppBlockList. Identificadores de agrupación de iOS: [com.apple.mobilesafari, com.apple.SafariViewService]; identificador de agrupación de macOS: [com.apple.Safari]

Habilitación del inicio de sesión único para todas las aplicaciones con un prefijo de identificador de agrupación específico

  • Clave: AppPrefixAllowList
  • Tipo: String
  • Valor: lista delimitada por comas de los prefijos de identificadores de agrupación de las aplicaciones que pueden participar en el inicio de sesión único. Este parámetro permite que todas las aplicaciones que comienzan con un prefijo determinado participen en el SSO. En iOS, el valor predeterminado se establecería en com.apple. y eso habilitaría el SSO en todas las aplicaciones de Apple. En macOS, el valor predeterminado se establecería en com.apple. y com.microsoft. y eso habilitaría el SSO en todas las aplicaciones de Apple y Microsoft. Los administradores podrían invalidar el valor predeterminado o agregar aplicaciones a AppBlockList para impedir que participen en el SSO.
  • Ejemplo: com.contoso., com.fabrikam.

Deshabilitación del inicio de sesión único para aplicaciones específicas

  • Clave: AppBlockList
  • Tipo: String
  • Valor: lista delimitada por comas de identificadores de agrupación de aplicaciones que no pueden participar en el inicio de sesión único.
  • Ejemplo: com.contoso.studyapp, com.contoso.travelapp

Para deshabilitar el inicio de sesión único para Safari o Safari View Service, debe hacerlo explícitamente agregando sus identificadores de agrupación a AppBlockList:

  • iOS: com.apple.mobilesafari, com.apple.SafariViewService
  • macOS: com.apple.Safari

Habilitación de SSO mediante cookies para una aplicación específica

Algunas aplicaciones iOS que tienen una configuración de red avanzada pueden sufrir problemas inesperados cuando se habilita en ellas el inicio de sesión único. Por ejemplo, podría aparecer un error que indica que una solicitud de red se ha cancelado o interrumpido.

Si los usuarios tienen problemas para iniciar sesión en una aplicación incluso después de habilitarla a través de la otra configuración, intente agregarla a AppCookieSSOAllowList para resolver los problemas.

Nota:

El uso del inicio de sesión único a través del mecanismo de cookies tiene limitaciones graves. Por ejemplo, no es compatible con las directivas de acceso condicional de Id. de Entra de Microsoft y solo admite una sola cuenta. No debe usar esta característica, a menos que los equipos de ingeniería o soporte técnico de Microsoft recomienden explícitamente un conjunto limitado de aplicaciones que se determinen que no son compatibles con el inicio de sesión único normal.

  • Clave: AppCookieSSOAllowList
  • Tipo: String
  • Valor: lista delimitada por comas de los prefijos de identificadores de lote de las aplicaciones que pueden participar en el inicio de sesión único. Todas las aplicaciones que comienzan con los prefijos de la lista podrán participar en el SSO.
  • Ejemplo: com.contoso.myapp1, com.fabrikam.myapp2

Otros requisitos: para habilitar el inicio de sesión único para aplicaciones mediante AppCookieSSOAllowList, también debe agregar sus prefijos de identificador de agrupación, AppPrefixAllowList.

Pruebe esta configuración solo con aplicaciones que tengan errores de inicio de sesión inesperados. Esta clave solo se usará en aplicaciones iOS, no en aplicaciones macOS.

Resumen de claves

Clave Tipo Value
Enable_SSO_On_All_ManagedApps Entero 1 para habilitar el inicio de sesión único para todas las aplicaciones administradas, 0 para deshabilitar el inicio de sesión único para todas las aplicaciones administradas.
AppAllowList String
(lista delimitada por comas)
Identificadores de agrupación de las aplicaciones que pueden participar en el inicio de sesión único.
AppBlockList String
(lista delimitada por comas)
Identificadores de agrupación de las aplicaciones que no pueden participar en el inicio de sesión único.
AppPrefixAllowList String
(lista delimitada por comas)
Prefijos de identificadores de agrupación de las aplicaciones que pueden participar en el inicio de sesión único. En iOS, el valor predeterminado se establecería en com.apple. y eso habilitaría el SSO en todas las aplicaciones de Apple. En macOS, el valor predeterminado se establecería en com.apple. y com.microsoft. y eso habilitaría el SSO en todas las aplicaciones de Apple y Microsoft. Los desarrolladores, los clientes o los administradores podrían invalidar el valor predeterminado o agregar aplicaciones a AppBlockList para impedir que participen en el SSO.
AppCookieSSOAllowList String
(lista delimitada por comas)
Prefijos de identificadores de agrupación de aplicaciones que pueden participar en el inicio de sesión único, pero que usan una configuración de red especial y tienen problemas con el inicio de sesión único con la otra configuración. Las aplicaciones que agregue a AppCookieSSOAllowList también se deben agregar a AppPrefixAllowList. Tenga en cuenta que esta clave solo se usará en aplicaciones iOS y no en aplicaciones macOS.

Configuraciones para escenarios comunes

  • Escenario: Quiero habilitar el inicio de sesión único para la mayoría de las aplicaciones administradas, pero no para todas ellas.

    Clave Value
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList Identificadores de agrupación (lista delimitada por comas) de las aplicaciones que quiere evitar que participen en el inicio de sesión único.
  • Escenario: Quiero deshabilitar el inicio de sesión único para Safari, que está habilitado de manera predeterminada, pero habilitar el inicio de sesión único para todas las aplicaciones administradas.

    Clave Value
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList Identificadores de agrupación (lista delimitada por comas) de las aplicaciones de Safari que quiere evitar que participen en el inicio de sesión único.
    • Para iOS: com.apple.mobilesafari, com.apple.SafariViewService
    • Para macOS: com.apple.Safari
  • Escenario: Quiero habilitar el inicio de sesión único en todas las aplicaciones administradas y en algunas aplicaciones no administradas, pero deshabilitar el inicio de sesión único para algunas otras aplicaciones.

    Clave Value
    Enable_SSO_On_All_ManagedApps 1
    AppAllowList Identificadores de agrupación (lista delimitada por comas) de las aplicaciones en las que quiere habilitar la participación en el inicio de sesión único.
    AppBlockList Identificadores de agrupación (lista delimitada por comas) de las aplicaciones que quiere evitar que participen en el inicio de sesión único.
Detección de identificadores de agrupación de aplicaciones en dispositivos iOS

Apple no ofrece una manera fácil de obtener los identificadores de agrupación desde App Store. La manera más sencilla de obtener estos identificadores de las aplicaciones que desee usar para SSO es preguntar al proveedor o al desarrollador de la aplicación. Si esa opción no está disponible, puede usar la configuración de MDM para obtener los identificadores de agrupación:

  1. Habilite temporalmente la siguiente marca en la configuración de MDM:

    • Clave: admin_debug_mode_enabled
    • Tipo: Integer
    • Valor: 1 o 0
  2. Cuando esta marca esté activada, inicie sesión en las aplicaciones iOS del el dispositivo de las que desea conocer el identificador de agrupación.

  3. En la aplicación Authenticator, seleccione Ayuda>Enviar registros>Ver registros.

  4. En el archivo de registro, busque la siguiente línea: [ADMIN MODE] SSO extension has captured following app bundle identifiers. Esta línea debería capturar todos los identificadores de agrupación de aplicaciones visibles para la extensión de SSO.

Use los identificadores de agrupación para configurar el inicio de sesión único para las aplicaciones. Deshabilite el modo de administración una vez hecho.

Permitir que los usuarios inicien sesión desde aplicaciones que no usen MSAL y el explorador Safari

De manera predeterminada, el complemento Microsoft Enterprise SSO adquirirá una credencial compartida cuando lo llama otra aplicación que usa MSAL durante una nueva adquisición de token. En función de la configuración, el complemento Microsoft Enterprise SSO también puede adquirir una credencial compartida cuando lo llaman aplicaciones que no usan MSAL.

La habilitación de la marca browser_sso_interaction_enabled permite que las aplicaciones que no usan MSAL realicen el arranque inicial y obtengan una credencial compartida. El explorador Safari también puede realizar el arranque inicial y obtener una credencial compartida.

Si el complemento Microsoft Enterprise SSO aún no tiene una credencial compartida, intentará obtener una cada vez que se solicite un inicio de sesión desde una URL de Microsoft Entra dentro del navegador Safari, ASWebAuthenticationSession, SafariViewController u otra aplicación nativa permitida.

Use estos parámetros para habilitar la marca:

  • Clave: browser_sso_interaction_enabled
  • Tipo: Integer
  • Valor: 1 o 0. Este valor está establecido en 1 de manera predeterminada.

Tanto iOS como macOS requieren esta configuración para que el complemento Microsoft Enterprise SSO pueda proporcionar una experiencia coherente en todas las aplicaciones. Esta configuración está habilitada de forma predeterminada y solo se debe deshabilitar si el usuario final no puede iniciar sesión con sus credenciales.

Deshabilitación de los avisos de aplicaciones OAuth 2

Si una aplicación solicita a los usuarios que inicien sesión aunque el complemento Microsoft Enterprise SSO funcione para otras aplicaciones del dispositivo, es posible que la aplicación omita el inicio de sesión único en el nivel de protocolo. Estas aplicaciones también omiten las credenciales compartidas, porque el complemento proporciona el inicio de sesión único anexando las credenciales a las solicitudes de red realizadas por las aplicaciones permitidas.

Estos parámetros especifican si la extensión SSO debe impedir que las aplicaciones nativas y web omitan el inicio de sesión único en la capa de protocolo y fuercen la aparición de un mensaje de inicio de sesión para el usuario.

Para una experiencia de SSO coherente en todas las aplicaciones del dispositivo, se recomienda habilitar una de estas opciones en las aplicaciones que no usen MSAL. Solo se debe habilitar para las aplicaciones que usan MSAL si los usuarios reciben mensajes inesperados.

Aplicaciones que no usan una biblioteca de autenticación de Microsoft:

Deshabilitar la solicitud de la aplicación y mostrar el selector de cuenta:

  • Clave: disable_explicit_app_prompt
  • Tipo: Integer
  • Valor: 1 o 0. Este valor se establece en 1 de manera predeterminada y esta configuración predeterminada reduce las solicitudes.

Deshabilitar la solicitud de la aplicación y seleccionar una cuenta de la lista de cuentas de SSO que coincidan automáticamente:

  • Clave: disable_explicit_app_prompt_and_autologin
  • Tipo: Integer
  • Valor: 1 o 0. Este valor está establecido en 0 de manera predeterminada.
Aplicaciones que usan una biblioteca de autenticación de Microsoft:

No se recomienda la siguiente configuración si se usan directivas de protección de aplicaciones.

Deshabilitar la solicitud de la aplicación y mostrar el selector de cuenta:

  • Clave: disable_explicit_native_app_prompt
  • Tipo: Integer
  • Valor: 1 o 0. Este valor está establecido en 0 de manera predeterminada.

Deshabilitar la solicitud de la aplicación y seleccionar una cuenta de la lista de cuentas de SSO que coincidan automáticamente:

  • Clave: disable_explicit_native_app_prompt_and_autologin
  • Tipo: Integer
  • Valor: 1 o 0. Este valor está establecido en 0 de manera predeterminada.

Avisos inesperados de la aplicación con SAML

Si una aplicación solicita a los usuarios que inicien sesión aunque el complemento Microsoft Enterprise SSO funcione para otras aplicaciones del dispositivo, es posible que la aplicación omita el inicio de sesión único en el nivel de protocolo. Si la aplicación usa el protocolo SAML, el complemento Microsoft Enterprise SSO no podrá proporcionarle inicio de sesión único. El proveedor de la aplicación debe recibir una notificación de este comportamiento y realizar un cambio en su aplicación para que no omita el inicio de sesión único.

Cambio de la experiencia de iOS para aplicaciones habilitadas para MSAL

Las aplicaciones que usan MSAL siempre invocarán la extensión SSO de forma nativa para las solicitudes interactivas. En algunos dispositivos iOS, es posible que no sea la mejor opción. En concreto, si el usuario también necesita completar la autenticación multifactor dentro de la aplicación Microsoft Authenticator, una redirección interactiva a esa aplicación podría proporcionar una mejor experiencia de usuario.

Este comportamiento se puede configurar mediante la marca disable_inapp_sso_signin. Si esta marca está habilitada, las aplicaciones que usen MSAL le redirigirán a la aplicación Microsoft Authenticator para todas las solicitudes interactivas. Esta marca no afectará a las solicitudes de token silenciosas de esas aplicaciones, al comportamiento de las aplicaciones que no usan MSAL ni a las aplicaciones macOS. Esta marca está deshabilitada de manera predeterminada.

  • Clave: disable_inapp_sso_signin
  • Tipo: Integer
  • Valor: 1 o 0. Este valor está establecido en 0 de manera predeterminada.

Configurar el registro de dispositivos Microsoft Entra

Para los dispositivos administrados por Intune, el complemento Microsoft Enterprise SSO puede realizar el registro del dispositivo Microsoft Entra cuando un usuario intenta acceder a los recursos. Esto permite una experiencia de usuario final más simplificada.

Use la siguiente configuración para habilitar el registro Just-In-Time para iOS/iPadOS con Microsoft Intune:

  • Clave: device_registration
  • Tipo: String
  • Valor: {{DEVICEREGISTRATION}}

Aquí encontrará más información sobre el registro Just-In-Time.

Cambios de contraseña y directivas de acceso condicional

El complemento Microsoft Enterprise SSO para dispositivos Apple es compatible con diversas directivas de acceso condicional y eventos de cambio de contraseña de Microsoft Entra. Es necesario habilitar browser_sso_interaction_enabled para lograr la compatibilidad.

Los eventos y directivas compatibles se documentan en las secciones siguientes:

Cambio de contraseña y revocación de tokens

Cuando un usuario restablece su contraseña, se revocarán todos los tokens que se hayan emitido antes. Si un usuario intenta acceder a un recurso después de un evento de restablecimiento de contraseña, lo normal sería que tuviera que volver a iniciar sesión en cada una de las aplicaciones. Cuando el complemento Microsoft Enterprise SSO esté habilitado, se pedirá al usuario que inicie sesión en la primera aplicación que participe en el inicio de sesión único. El complemento Microsoft Enterprise SSO mostrará su propia interfaz de usuario sobre la aplicación que esté activa en ese momento.

Autenticación multifactor de Microsoft Entra

La autenticación multifactor es un proceso en el que se solicita a los usuarios durante el proceso de inicio de sesión una forma adicional de identificación, como un código en su teléfono móvil o un escáner de huellas dactilares. La autenticación multifactor puede activarse para recursos específicos. Cuando el complemento Microsoft Enterprise SSO está activado, se pedirá al usuario que realice la autenticación multifactor en la primera aplicación que lo requiera. El complemento Microsoft Enterprise SSO mostrará su propia interfaz de usuario sobre la aplicación que esté activa en ese momento.

Frecuencia de inicio de sesión de usuario

La frecuencia de inicio de sesión define el período que transcurre hasta que se pide a un usuario que vuelva a iniciar sesión cuando intenta acceder a un recurso. Si un usuario intenta acceder a un recurso una vez que transcurrido el período en varias aplicaciones, lo normal es que tenga que volver a iniciar sesión en cada una de esas aplicaciones. Cuando el complemento Microsoft Enterprise SSO esté habilitado, se pedirá al usuario que inicie sesión en la primera aplicación que participe en el inicio de sesión único. El complemento Microsoft Enterprise SSO mostrará su propia interfaz de usuario sobre la aplicación que esté activa en ese momento.

Uso de Intune para la configuración simplificada

Puede usar  Intune como servicio MDM para facilitar la configuración del complemento Microsoft Enterprise SSO. Por ejemplo, puede usar Intune para habilitar el complemento y agregar aplicaciones antiguas a una lista de aplicaciones permitidas para que obtengan el SSO.

Para más información, consulte Implementación del complemento de Microsoft Enterprise SSO para dispositivos Apple con Intune.

Uso del complemento de inicio de sesión único en la aplicación

MSAL para dispositivos Apple las versiones 1.1.0 y posteriores son compatibles con el complemento Microsoft Enterprise SSO para dispositivos Apple. Es el método recomendado para agregar compatibilidad con el complemento de Microsoft Enterprise SSO. Garantiza que obtiene todas las funcionalidades de la Plataforma de identidad de Microsoft.

Si va a compilar una aplicación para escenarios de trabajadores de primera línea, consulte la información de configuración en Modo de dispositivo compartido para dispositivos iOS.

Descripción de cómo funciona el complemento de SSO

El complemento Microsoft Enterprise SSO se basa en el marco Enterprise SSO de Apple. Los proveedores de identidades que se unen al marco pueden interceptar el tráfico de red a sus dominios y mejorar o cambiar el modo en que se administran esas solicitudes. Por ejemplo, el complemento de SSO puede mostrar más opciones en la interfaz de usuario para recopilar credenciales de usuario final de forma segura, exigir MFA o proporcionar tokens a la aplicación de forma silenciosa.

Las aplicaciones nativas también pueden implementar operaciones personalizadas y comunicarse directamente con el complemento de inicio de sesión único. Para obtener más información, consulta este vídeo de la Conferencia mundial para desarrolladores de Apple de 2019.

Sugerencia

Obtén más información sobre cómo funciona el complemento SSO y cómo solucionar problemas de la extensión de SSO de Microsoft Enterprise con la Guía de solución de problemas de SSO para dispositivos Apple.

Aplicaciones que usan MSAL

La versión 1.1.0 y versiones posteriores de MSAL para dispositivos Apple admiten el complemento Microsoft Enterprise SSO para dispositivos Apple de forma nativa en cuentas profesionales y educativas.

Si has seguido todos los pasos recomendados y has usado el formato de URI de redirección predeterminado, no necesitas realizar ninguna configuración especial. En los dispositivos que tienen el complemento SSO, MSAL lo invoca automáticamente para todas las solicitudes de tokens interactivas y silenciosas. También lo invoca para las operaciones de enumeración y eliminación de cuentas. Dado que MSAL implementa el protocolo del complemento de inicio de sesión único nativo que depende de operaciones personalizadas, esta configuración proporciona la mejor experiencia nativa para el usuario final.

En los dispositivos iOS e iPadOS, si MDM no habilita el complemento de inicio de sesión único, pero la aplicación Microsoft Authenticator existe en el dispositivo, MSAL la usa en su lugar para todas las solicitudes de token interactivas. El complemento Microsoft Enterprise SSO comparte el inicio de sesión único con la aplicación Microsoft Authenticator.

Aplicaciones que no usan MSAL

Las aplicaciones que no usen MSAL también pueden obtener el inicio de sesión único si un administrador las agrega a la lista de permitidos.

No es necesario cambiar el código de esas aplicaciones, siempre y cuando se cumplan las siguientes condiciones:

  • La aplicación usa marcos de Apple para ejecutar solicitudes de red. Estos marcos incluyen WKWebView y NSURLSession, por ejemplo.
  • La aplicación utiliza protocolos estándar para comunicarse con Microsoft Entra ID. Estos protocolos incluyen, por ejemplo, OAuth 2, SAML y WS-Federation.
  • La aplicación no recopila el nombre de usuario y la contraseña de texto no cifrado de la interfaz de usuario nativa.

En este caso, el inicio de sesión único se proporciona cuando la aplicación crea una solicitud de red y abre un explorador web para iniciar la sesión del usuario. Cuando un usuario es redirigido a una URL de inicio de sesión de Microsoft Entra, el complemento SSO valida la URL y busca una credencial SSO para esa URL. Si encuentra la credencial, el complemento SSO la pasa a Microsoft Entra ID, que autoriza a la aplicación a completar la solicitud de red sin pedir al usuario que introduzca las credenciales. Además, si Microsoft Entra ID conoce el dispositivo, el complemento SSO pasa el certificado del dispositivo para satisfacer la comprobación de acceso condicional basada en el dispositivo.

Para admitir el inicio de sesión único en aplicaciones que no son de MSAL, el complemento de SSO implementa un protocolo similar al del complemento de explorador de Windows descrito en ¿Qué es un token de actualización principal?

En comparación con las aplicaciones basadas en MSAL, el complemento de SSO actúa de modo más transparente con las aplicaciones que no son de MSAL. Se integra con la experiencia de inicio de sesión del explorador existente que proporcionan las aplicaciones.

El usuario final ve la experiencia familiar y no tiene que iniciar sesión de nuevo en cada aplicación. Por ejemplo, en lugar de mostrar el selector de cuentas nativo, el complemento de inicio de sesión único agrega sesiones de inicio de sesión único a la experiencia del selector de cuentas basado en web.

Próximos cambios en el almacenamiento de claves de identidad del dispositivo

Anunciado en marzo de 2024, Microsoft Entra ID se alejará de Apple’s Keychain para almacenar claves de identidad del dispositivo. A partir de la Q3 2025, todos los registros de dispositivos nuevos usarán el enclave seguro de Apple. No habrá ninguna exclusión de esta ubicación de almacenamiento.

Las aplicaciones y las integraciones de MDM que dependen del acceso a las claves de Workplace Join a través de Keychain deberán empezar a usar MSAL y el complemento Enterprise SSO para garantizar la compatibilidad con la plataforma de identidad de Microsoft.

Habilitación del almacenamiento basado en enclave seguro de claves de identidad de dispositivo

Si deseas habilitar el almacenamiento basado en enclave seguro de las claves de identidad del dispositivo antes de que se convierta en el valor obligatorio, puedes agregar el siguiente atributo de datos de extensión al perfil de configuración MDM de los dispositivos Apple.

Nota:

Para que esta marca surta efecto, debe aplicarse a un nuevo registro. No afectará a los dispositivos que ya se hayan registrado a menos que vuelvan a registrarse.

  • Clave: use_most_secure_storage
  • Tipo: Boolean
  • Valor: True

En la captura de pantalla siguiente se muestra la página de configuración y la configuración para habilitar enclave seguro en Microsoft Intune.

Captura de pantalla del Centro de administración de Microsoft Entra que muestra la página del perfil de configuración en Intune con la configuración para habilitar Enclave seguro resaltado.

Reconocimiento de incompatibilidades de aplicaciones con la identidad de dispositivo basada en enclave seguro

Después de habilitar el almacenamiento basado en enclave seguro, es posible que encuentres un mensaje de error que te aconseja configurar el dispositivo para obtener acceso. Este mensaje de error indica que la aplicación no ha reconocido el estado administrado del dispositivo, lo que sugiere una incompatibilidad con la nueva ubicación de almacenamiento de claves.

Captura de pantalla de un mensaje de error de acceso condicional que informa al usuario de que el dispositivo debe administrarse antes de que se pueda acceder a este recurso.

Este error aparecerá en los registros de inicio de sesión de Microsoft Entra ID con los siguientes detalles:

  • Código de error de inicio de sesión:530003
  • Motivo del error:Device is required to be managed to access this resource.

Si aparece este mensaje de error durante las pruebas, asegúrate en primer lugar de haber habilitado correctamente la extensión SSO, así como de haber instalado cualquier extensión específica de la aplicación que sea necesaria (por ejemplo, Inicio de sesión único de Microsoft para Chrome). Si sigues viendo este mensaje, se recomienda que te pongas en contacto con el proveedor de la aplicación para alertarle de la incompatibilidad con la nueva ubicación de almacenamiento.

Escenarios afectados

La lista siguiente contiene algunos escenarios comunes que se verán afectados por estos cambios. Como regla general, cualquier aplicación que dependa del acceso a los artefactos de identidad del dispositivo a través de Apple Keychain se verá afectada.

Esta no es una lista exhaustiva y aconsejamos a los consumidores y proveedores de aplicaciones probar su software para que sea compatible con este nuevo almacén de datos.

Compatibilidad con directivas de acceso condicional de dispositivos registrados o inscritos en Chrome

Para admitir directivas de acceso condicional de dispositivos en Google Chrome con almacenamiento seguro basado en enclave habilitado, deberá tener instalada y habilitada la extensión Inicio de sesión único de Microsoft.

Consulte también

Obtenga más información en Modo de dispositivo compartido para dispositivos iOS.

Obtenga información sobre cómo solucionar problemas de la extensión de inicio de sesión único de Microsoft Enterprise.