Uso del complemento de inicio de sesión único de Microsoft Enterprise en dispositivos macOS

El complemento Microsoft Enterprise SSO es una característica de Microsoft Entra ID que proporciona características de inicio de sesión único (SSO) para dispositivos Apple. Este complemento usa el marco de extensión de aplicación de inicio de sesión único de Apple.

La extensión de aplicación sso proporciona inicio de sesión único en aplicaciones y sitios web que usan Microsoft Entra ID para la autenticación, incluidas las aplicaciones de Microsoft 365. Reduce el número de mensajes de autenticación que reciben los usuarios al usar dispositivos administrados por Mobile Device Management (MDM), incluido cualquier MDM que admita la configuración de perfiles de SSO.

Esta característica se aplica a:

En dispositivos macOS, puede configurar la extensión de aplicación sso en dos lugares de Intune:

  • Plantilla de características de dispositivo (este artículo): esta opción configura solo la extensión de aplicación sso y usa el proveedor de MDM, como Intune, para implementar la configuración en los dispositivos.

    Use este artículo si solo quiere configurar los valores de extensión de la aplicación sso y no quiere configurar el inicio de sesión único de Platform.

  • Catálogo de configuración : esta opción configura el inicio de sesión único de Platform y la extensión de la aplicación sso juntos. Use Intune para implementar la configuración en los dispositivos.

    Use la configuración del catálogo de opciones si desea configurar los valores de extensión de la aplicación Sso y SSO de la plataforma. Para obtener más información, vaya a Configuración del inicio de sesión único de la plataforma para dispositivos macOS en Microsoft Intune.

Para obtener información general sobre las opciones de SSO en dispositivos Apple, vaya a Introducción al inicio de sesión único y opciones para dispositivos Apple en Microsoft Intune.

En este artículo se muestra cómo crear una directiva de configuración de extensión de aplicación sso para dispositivos apple macOS con Intune, Jamf Pro y otras soluciones MDM.

Si desea configurar los valores de sso de plataforma y extensión de aplicación sso juntos, vaya a Configuración del inicio de sesión único de plataforma para dispositivos macOS en Microsoft Intune.

Compatibilidad con aplicaciones

Para que las aplicaciones usen el complemento de inicio de sesión único de Microsoft Enterprise, tiene dos opciones:

  • Opción 1: MSAL: las aplicaciones que admiten la biblioteca de autenticación de Microsoft (MSAL) aprovechan automáticamente el complemento microsoft enterprise sso. Por ejemplo, las aplicaciones de Microsoft 365 admiten MSAL. Por lo tanto, usan automáticamente el complemento.

    Si su organización crea sus propias aplicaciones, el desarrollador de aplicaciones puede agregar una dependencia a MSAL. Esta dependencia permite que la aplicación use el complemento de inicio de sesión único de Microsoft Enterprise.

    Para obtener un tutorial de ejemplo, vaya a Tutorial: Iniciar sesión de usuarios y llamar a Microsoft Graph desde una aplicación de iOS o macOS.

  • Opción 2: AllowList: las aplicaciones que no admiten o no se desarrollaron con MSAL pueden usar la extensión de aplicación sso. Estas aplicaciones incluyen exploradores como Safari y aplicaciones que usan las API de vista web de Safari.

    En el caso de estas aplicaciones que no son MSAL, agregue el identificador de agrupación de aplicaciones o el prefijo a la configuración de la extensión en la directiva de extensión de aplicación sso de Intune (en este artículo).

    Por ejemplo, para permitir una aplicación de Microsoft que no admita MSAL, agregue com.microsoft. a la propiedad AppPrefixAllowList en la directiva de Intune. Tenga cuidado con las aplicaciones que permite, ya que pueden omitir las solicitudes de inicio de sesión interactivas para el usuario que ha iniciado sesión.

    Para obtener más información, vaya al complemento de inicio de sesión único de Microsoft Enterprise para dispositivos Apple: aplicaciones que no usan MSAL.

Requisitos previos

Para usar el complemento de inicio de sesión único de Microsoft Enterprise en dispositivos macOS:

  • El dispositivo se administra mediante MDM mediante Intune.
  • El dispositivo debe admitir el complemento:
    • macOS 10.15 y versiones más recientes
  • La aplicación Portal de empresa de Microsoft debe instalarse y configurarse en el dispositivo.
  • Se configuran los requisitos del complemento Enterprise SSO, incluidas las direcciones URL de configuración de red de Apple.

Complemento Microsoft Enterprise SSO frente a la extensión de SSO de Kerberos

Cuando se usa la extensión de aplicación sso, se usa el tipo de carga de Sso o Kerberos para la autenticación. La extensión de aplicación de SSO está diseñada para mejorar la experiencia de inicio de sesión de las aplicaciones y sitios web que usan estos métodos de autenticación.

El complemento Microsoft Enterprise SSO utiliza el tipo de carga útil SSOcon autenticación de redireccionamiento. Los tipos de extensión SSO Redirect y Kerberos pueden ser utilizados en un dispositivo al mismo tiempo. Asegúrese de crear perfiles de dispositivo independientes para cada tipo de extensión que planee usar en los dispositivos.

Para determinar el tipo de extensión de SSO correcto para su escenario, use la tabla siguiente:


Complemento Microsoft Enterprise SSO para dispositivos Apple Extensión de aplicación de inicio de sesión único con Kerberos
Usa el tipo de extensión de aplicación de INICIO de sesión único de Microsoft Entra ID Usa el tipo de extensión de aplicación de SSO de Kerberos
Admite las siguientes aplicaciones:
- Microsoft 365
- Aplicaciones, sitios web o servicios integrados con Microsoft Entra ID
Admite las siguientes aplicaciones:
- Aplicaciones, sitios web o servicios integrados con AD

Para obtener más información sobre la extensión de aplicación sso, vaya a Información general del inicio de sesión único y opciones para dispositivos Apple en Microsoft Intune.

Creación de una directiva de configuración de extensión de aplicación de inicio de sesión único

En esta sección se muestra cómo crear una directiva de extensión de aplicación sso. Para obtener información sobre el inicio de sesión único de la plataforma, vaya a Configuración del inicio de sesión único de la plataforma para dispositivos macOS en Microsoft Intune.

En el Centro de administración de Microsoft Intune, cree un perfil de configuración de dispositivo. Este perfil incluye la configuración para definir la extensión de aplicación de SSO en dispositivos.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>Administrar dispositivos>Configuración>Crear>Nueva directiva.

  3. Escriba las propiedades siguientes:

    • Plataforma: seleccione macOS.
    • Tipo de perfil: seleccione Plantillas>Características del dispositivo.
  4. Seleccione Crear:

    Captura de pantalla que muestra cómo crear un perfil de configuración de características de dispositivo para macOS en Intune.

  5. En Básico, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un buen nombre de directiva es la extensión de aplicación macOS-SSO.
    • Descripción: escriba una descripción para la directiva. Esta configuración es opcional pero recomendada.
  6. Seleccione Siguiente.

  7. En Opciones de configuración, seleccione Extensión de aplicación de inicio de sesión único y configure las siguientes propiedades:

    • Tipo de extensión de aplicación sso: seleccione Microsoft Entra ID:

      Captura de pantalla que muestra el tipo de extensión de aplicación sso y el identificador de Microsoft Entra para macOS en Intune

    • Identificador de lote de aplicaciones: escriba una lista de identificadores de lote para las aplicaciones que no admiten MSAL y que pueden usar SSO. Para obtener más información, vaya a Aplicaciones que no usan MSAL.

    • Configuración adicional: para personalizar la experiencia del usuario final, puede agregar las siguientes propiedades. Estas propiedades son los valores predeterminados que usa la extensión de aplicación sso, pero se pueden personalizar para las necesidades de su organización:

      Key Tipo Descripción
      AppPrefixAllowList Cadena Valor recomendado: com.microsoft.,com.apple.

      Escriba una lista de prefijos para las aplicaciones que no admiten MSAL y que pueden usar SSO. Por ejemplo, escriba com.microsoft.,com.apple. para permitir todas las aplicaciones de Microsoft y Apple.

      Asegúrese de que estas aplicaciones cumplen los requisitos de la lista de permitidos.
      browser_sso_interaction_enabled Entero Valor recomendado: 1

      Cuando se establece en 1, los usuarios pueden iniciar sesión desde el explorador Safari y desde aplicaciones que no admiten MSAL. La habilitación de esta opción permite a los usuarios arrancar la extensión desde Safari u otras aplicaciones.
      disable_explicit_app_prompt Entero Valor recomendado: 1

      Algunas aplicaciones pueden exigir incorrectamente los mensajes del usuario final en la capa del protocolo. Si ve este problema, se pedirá a los usuarios que inicien sesión, aunque el complemento Microsoft Enterprise SSO funcione para otras aplicaciones.

      Cuando se establece 1 (uno), se reducen estos mensajes.

      Sugerencia

      Para obtener más información sobre estas propiedades y otras propiedades que puede configurar, vaya al complemento de inicio de sesión único de Microsoft Enterprise para dispositivos Apple.

      Cuando haya terminado de configurar las opciones recomendadas, la configuración tendrá un aspecto similar a los siguientes valores en el perfil de configuración de Intune:

      Captura de pantalla que muestra las opciones de configuración de la experiencia del usuario final para el complemento de extensión de aplicación sso empresarial en dispositivos macOS en Microsoft Intune.

  8. Continúe creando el perfil y asigne el perfil a los usuarios o grupos que reciben esta configuración. Para conocer los pasos específicos, vaya a Crear el perfil.

    Para obtener instrucciones sobre cómo asignar perfiles, vaya a Asignar perfiles de usuario y dispositivo.

Cuando la directiva esté lista, asigne la directiva a los usuarios. Microsoft recomienda asignar la directiva cuando el dispositivo se inscribe en Intune. Sin embargo, se puede asignar en cualquier momento, incluso en dispositivos existentes. Cuando el dispositivo se registra con el servicio intune, recibe este perfil. Para obtener más información, vaya a Intervalos de actualización de directivas.

Para comprobar que el perfil se implementó correctamente, en el Centro de administración de Intune, vaya a Dispositivos>Administrar dispositivos>Configuración> seleccione el perfil que creó y genere un informe:

Captura de pantalla que muestra el informe de implementación del perfil de configuración del dispositivo macOS en Microsoft Intune.

Experiencia del usuario final

Gráfico de flujo de usuario final al instalar la extensión de aplicación sso en dispositivos macOS en Microsoft Intune.

  • Si no va a implementar la aplicación Portal de empresa mediante una directiva de aplicación, los usuarios deben instalarla manualmente. Los usuarios no necesitan usar la aplicación Portal de empresa, solo debe instalarse en el dispositivo.

  • Los usuarios inician sesión en cualquier aplicación o sitio web compatible para arrancar la extensión. El arranque es el proceso de inicio de sesión por primera vez, que configura la extensión.

  • Una vez que los usuarios inician sesión correctamente, la extensión se usa automáticamente para iniciar sesión en cualquier otra aplicación o sitio web compatible.

Para probar el inicio de sesión único, abra Safari en modo privado (abre el sitio web de Apple) y abra el https://portal.office.com sitio. No se necesitará ningún nombre de usuario ni contraseña.

Los usuarios inician sesión en la aplicación o el sitio web para arrancar la extensión de aplicación de SSO en dispositivos iOS/iPadOS y macOS en Microsoft Intune.

En macOS, cuando los usuarios inician sesión en una aplicación profesional o educativa, se les pide que opten por el inicio de sesión único o no. Pueden seleccionar No volver a pedirme que no opte por el inicio de sesión único y bloquear futuras solicitudes.

Los usuarios también pueden administrar sus preferencias de SSO en la aplicación Portal de empresa para macOS. Para editar las preferencias, vaya a la barra > de menús de la aplicación Portal de empresa Configuración del Portal>de empresa. Pueden seleccionar o anular la selección de No me pida que inicie sesión con el inicio de sesión único para este dispositivo.

No me pida que inicie sesión con el inicio de sesión único para este dispositivo.

Sugerencia

Obtenga más información sobre cómo funciona el complemento sso y cómo solucionar problemas de la extensión de INICIO de sesión único de Microsoft Enterprise con la guía de solución de problemas de SSO para dispositivos Apple.