Plug-in Microsoft Enterprise SSO pour les appareils Apple

Le plug-in Microsoft Enterprise Single Sign-On pour appareils Apple fournit une authentification unique (SSO) pour les comptes Microsoft Entra sur macOS, iOS et iPadOS, dans toutes les applications qui prennent en charge la fonctionnalité d’authentification unique d’entreprise d’Apple. Le plug-in fournit une authentification unique même pour d’anciennes applications dont votre entreprise peut dépendre, mais qui ne prennent pas encore en charge les bibliothèques d’identité ou les protocoles les plus récents. Microsoft a travaillé en étroite collaboration avec Apple pour développer ce plug-in afin de faciliter l’utilisation de votre application tout en offrant la meilleure protection disponible.

Le plug-in Enterprise SSO est actuellement une fonctionnalité intégrée dans les applications suivantes :

Fonctionnalités

Le plug-in Microsoft Enterprise SSO pour les appareils Apple offre les avantages suivants :

  • Il fournit l’authentification unique pour les comptes de Microsoft Entra dans toutes les applications qui prennent en charge la fonctionnalité d’authentification unique d’entreprise d’Apple.
  • Il peut être activé par n’importe quelle solution de gestion des appareils mobiles (GPM) et est pris en charge dans l’inscription des appareils et des utilisateurs.
  • Il étend l’authentification unique aux applications qui n’utilisent pas encore la bibliothèque d’authentification Microsoft (MSAL).
  • Il étend l’authentification unique aux applications qui utilisent OAuth 2, OpenID Connect et SAML.
  • Il est intégré en mode natif à MSAL, qui offre une expérience native fluide à l’utilisateur final lorsque le plug-in Microsoft Enterprise Single Sign-On est activé.

Spécifications

Pour utiliser le plug-in Microsoft Enterprise Single Sign-On pour des appareils Apple :

  • L’appareil doit avoir et prendre en charge une application comprenant le plug-in Microsoft Enterprise SSO pour appareils Apple :

  • L’appareil doit être inscrit dans MDM, par exemple par le biais de Microsoft Intune.

  • La configuration doit être envoyée (push) à l’appareil afin d’activer le plug-in Enterprise Single Sign-On. Apple requiert cette contrainte de sécurité.

  • Les appareils Apple doivent être autorisés à atteindre à la fois les URL du fournisseur d’identité et leurs propres URL sans interception supplémentaire. Cela signifie que ces URL doivent être exclues des proxys réseau, de l’interception et d’autres systèmes d’entreprise.

    Voici l’ensemble minimal d’URL qui doivent être autorisées pour que le plug-in d’authentification unique fonctionne :

    • app-site-association.cdn-apple.com
    • app-site-association.networking.apple
    • login.microsoftonline.com(*)
    • login.microsoft.com(*)
    • sts.windows.net(*)
    • login.partner.microsoftonline.cn(*)(**)
    • login.chinacloudapi.cn(*)(**)
    • login.microsoftonline.us(*)(**)
    • login-us.microsoftonline.com(*)(**)
    • config.edge.skype.com(***)

    (*) L’autorisation des domaines Microsoft est requise uniquement sur les versions du système d’exploitation publiées avant 2022. Sur les dernières versions du système d’exploitation, Apple s’appuie entièrement sur son CDN.

    (**) Vous n’avez besoin d’autoriser les domaines de cloud souverains que si vous vous appuyez sur ceux de votre environnement.

    (***) Le maintien des communications avec le service de configuration d'expérimentation (ECS) garantit que Microsoft peut répondre à un bug grave dans les meilleurs délais.

    Le plug-in Microsoft Enterprise Single Sign-On s’appuie sur l’infrastructure d’authentification unique d’entreprise d’Apple. L’infrastructure d’authentification unique d’entreprise d’Apple garantit que seul un plug-in d’authentification unique approuvé peut fonctionner pour chaque fournisseur d’identité en utilisant une technologie appelée domaines associés. Pour vérifier l’identité du plug-in d’authentification unique, chaque appareil Apple envoie une demande réseau à un point de terminaison appartenant au fournisseur d’identité et lit les informations sur les plug-ins d’authentification unique approuvés. En plus de contacter directement le fournisseur d’identité, Apple a également implémenté une autre mise en cache pour ces informations.

    Avertissement

    Si votre organisation utilise des serveurs proxy qui interceptent le trafic SSL pour des scénarios comme la protection contre la perte de données ou des restrictions de locataire, veillez à exclure le trafic à destination de ces URL de l’arrêt et inspection TLS. Faute d’exclure ces URL, l’authentification par certificat client peut être sujette à des interférences, ce qui occasionne des problèmes d’inscription d’appareil et d’accès conditionnel en fonction de celui-ci. Le plug-in SSO ne fonctionnera pas de manière fiable sans exclure entièrement les domaines Apple CDN de l’interception, et vous rencontrerez des problèmes intermittents jusqu’à ce que vous le fassiez.

    Si votre organisation bloque ces URL, les utilisateurs peuvent voir des erreurs comme 1012 NSURLErrorDomain error, 1000 com.apple.AuthenticationServices.AuthorizationError ou 1001 Unexpected.

    Les autres URL Apple qu’il peut être nécessaire d’autoriser sont documentées dans leur article de support, Utiliser les produits Apple sur les réseaux d’entreprise.

Configuration requise pour iOS

  • iOS version 13.0 ou ultérieure doit être installé sur l’appareil.
  • Une application Microsoft qui fournit le plug-in Microsoft Enterprise SSO pour les appareils Apple doit être installée sur l’appareil. Cette application est l’application Microsoft Authenticator.

Configuration requise pour macOS

  • macOS 10.15 ou ultérieur doit être installé sur l’appareil.
  • Une application Microsoft qui fournit le plug-in Microsoft Enterprise SSO pour les appareils Apple doit être installée sur l’appareil. Cette application est l’application du Portail d’entreprise Intune.

Activer le plug-in SSO

Utilisez les informations suivantes pour activer le plug-in SSO à l’aide de MDM.

Configuration de Microsoft Intune

Si vous utilisez Microsoft Intune comme service MDM, vous pouvez utiliser des paramètres de profil de configuration intégrés pour activer le plug-in Microsoft Enterprise SSO :

  1. Configurez les paramètres du plug-in d’application SSO d’un profil de configuration.
  2. Si le profil n’est pas attribué, attribuez-le à un utilisateur ou à un groupe d’appareils.

Les paramètres de profil qui activent le plug-in SSO seront automatiquement appliqués aux appareils du groupe la prochaine fois qu’un appareil effectuera un check-in dans Intune.

Configuration manuelle des autres services MDM

Si vous n’utilisez pas Intune pour MDM, vous pouvez configurer une charge utile de profil d’authentification unique extensible pour les appareils Apple. Utilisez les paramètres suivants afin de configurer le plug-in Microsoft Enterprise SSO et ses options de configuration.

Paramètres iOS :

  • ID d’extension : com.microsoft.azureauthenticator.ssoextension
  • ID d’équipe : ce champ n’est pas nécessaire pour iOS.

Paramètres macOS :

  • ID d’extension : com.microsoft.CompanyPortalMac.ssoextension
  • ID de l’équipe : UBF8T346G9

Paramètres communs :

  • type : redirection
    • https://login.microsoftonline.com
    • https://login.microsoft.com
    • https://sts.windows.net
    • https://login.partner.microsoftonline.cn
    • https://login.chinacloudapi.cn
    • https://login.microsoftonline.us
    • https://login-us.microsoftonline.com

Guides de déploiement

Utilisez les guides de déploiement suivants pour activer le plug-in Microsoft Enterprise Single Sign-On à l’aide de la solution MDM choisie :

Intune :

Jamf Pro :

Autres GPM :

Autres options de configuration

Vous pouvez ajouter d’autres options de configuration pour étendre la fonctionnalité SSO à d’autres applications.

Activer l’authentification unique pour les applications qui n’utilisent pas MSAL

Le plug-in SSO permet à n’importe quelle application de participer à l’authentification unique, même si elle n’a pas été développée à l’aide d’un Kit de développement logiciel (SDK) Microsoft tel que Microsoft Authentication Library (MSAL).

Le plug-in SSO est installé automatiquement par les appareils qui :

  • ont téléchargé l’application Authenticator sur iOS ou iPados, ou téléchargé l’application Portail d’entreprise Intune sur macOS ;
  • GPM a inscrit son appareil auprès de votre organisation.

Votre organisation utilise probablement l’application Authenticator pour des scénarios tels que l’authentification multifacteur, l’authentification sans mot de passe et l’accès conditionnel. À l’aide d’un fournisseur MDM, vous pouvez activer le plug-in SSO pour vos applications. Microsoft a facilité la configuration du plug-in à l’aide de Microsoft Intune. Une liste d’autorisation est utilisée pour configurer ces applications afin qu’elles utilisent le plug-in d’authentification unique.

Important

Le plug-in Microsoft Enterprise Single Sign-On ne prend en charge que les applications qui utilisent des technologies réseau ou des vues web natives Apple. Il ne prend pas en charge les applications qui intègrent leur propre implémentation de couche réseau.

Utilisez les paramètres suivants pour configurer le plug-in Microsoft Enterprise Single Sign-On pour les applications qui n’utilisent pas MSAL.

Important

Vous n’avez pas besoin d’ajouter des applications qui utilisent une bibliothèque d’authentification Microsoft à cette liste verte. Ces applications participent à l’authentification unique par défaut. La plupart des applications créées par Microsoft utilisent une bibliothèque d’authentification Microsoft.

Activer l’authentification unique pour toutes les applications managées

  • Clé : Enable_SSO_On_All_ManagedApps
  • Type : Integer
  • Valeur : 1 ou 0. Par défaut, cette valeur est 0.

Lorsque cet indicateur est activé (sa valeur est définie sur 1), toute application gérée par GPM (Gestion des données de référence) n’étant pas définie sur AppBlockList peut participer à l’authentification unique.

Activer l’authentification unique pour des applications spécifiques

  • Clé : AppAllowList
  • Type : String
  • Valeur : liste délimitée par des virgules d’ID de bundles d’applications pour les applications autorisées à participer à l’authentification unique.
  • Exemple : com.contoso.workapp, com.contoso.travelapp

Notes

Safari et Safari View Service sont autorisés à utiliser l’authentification unique par défaut. Ils peuvent être configurés pour ne pas participer à l’authentification unique en ajoutant les ID d’offre groupée de Safari et Safari View Service dans AppBlockList. ID d’offre groupée iOS : [com.apple.mobilesafari, com.apple.SafariViewService], BundleID macOS : [com.apple.Safari]

Activer l’authentification unique pour toutes les applications avec un préfixe d’ID d’offre groupée spécifique

  • Clé : AppPrefixAllowList
  • Type : String
  • Valeur : liste délimitée par des virgules comprenant les préfixes des ID de bundles d’applications pour les applications qui sont autorisées à participer à l’authentification unique. Ce paramètre permet à toutes les applications qui commencent par un préfixe particulier de participer à l’authentification unique. Pour iOS, la valeur par défaut est définie sur et permet l’authentification com.apple. unique pour toutes les applications Apple. Pour macOS, la valeur par défaut est définie sur com.apple. et com.microsoft. et qui active l’authentification unique pour toutes les applications Apple et Microsoft. Les administrateurs peuvent remplacer la valeur par défaut ou ajouter des applications pour AppBlockList les empêcher de participer à l’authentification unique.
  • Exemple : com.contoso., com.fabrikam.

Désactiver l’authentification unique pour des applications spécifiques

  • Clé : AppBlockList
  • Type : String
  • Valeur : liste de valeurs séparées par des virgules des ID d’offre groupée d’application pour les applications qui peuvent ne pas participer à l’authentification unique.
  • Exemple : com.contoso.studyapp, com.contoso.travelapp

Pour désactiver l’authentification unique pour Safari ou Safari View Service, vous devez explicitement ajouter leurs ID d’offre groupée à AppBlockList :

  • iOS : com.apple.mobilesafari, com.apple.SafariViewService
  • MacOS : com.apple.Safari

Activer l’authentification unique via des cookies pour une application donnée

Certaines applications iOS disposant de paramètres réseau avancés peuvent rencontrer des problèmes inattendus lorsqu’elles sont activées pour l’authentification unique. Par exemple, une erreur indiquant que la requête réseau a été annulée ou interrompue peut s’afficher.

Si vos utilisateurs rencontrent des problèmes pour se connecter à une application même après l’avoir activée via les autres paramètres, essayez de l’ajouter à AppCookieSSOAllowList pour résoudre les problèmes.

Remarque

L’utilisation de l’authentification unique par le biais du mécanisme de cookie présente de graves limitations. Par exemple, il n’est pas compatible avec les stratégies d’accès conditionnel Microsoft Entra ID et ne prend en charge qu’un seul compte. Vous ne devez pas utiliser cette fonctionnalité, sauf si elle est explicitement recommandée par les équipes d’ingénierie ou de support Microsoft pour un ensemble limité d’applications qui sont déterminées à être incompatibles avec l’authentification unique standard.

  • Clé : AppCookieSSOAllowList
  • Type : String
  • Valeur : liste délimitée par des virgules comprenant les préfixes des ID de bundles d’applications pour les applications qui sont autorisées à participer à l’authentification unique. Toutes les applications qui commencent par les préfixes répertoriés seront autorisées à participer à l’authentification unique.
  • Exemple : com.contoso.myapp1, com.fabrikam.myapp2

Autres exigences : pour activer l’authentification unique à l’aide de AppCookieSSOAllowList, vous devez également ajouter leurs préfixes d’ID d’offre groupéeAppPrefixAllowList.

N’essayez cette configuration que pour les applications qui rencontrent des échecs de connexion inattendus. Cette clé doit être utilisée uniquement pour les applications iOS et non pour les applications macOS.

Résumé des clés

Clé Type Valeur
Enable_SSO_On_All_ManagedApps Integer 1 pour activer l’authentification unique pour toutes les applications managées, 0 pour désactiver l’authentification unique pour toutes les applications managées.
AppAllowList Chaîne
(liste de valeurs séparées par des virgules)
ID d’offre groupée des applications autorisées à participer à l’authentification unique.
AppBlockList Chaîne
(liste de valeurs séparées par des virgules)
ID d’offre groupée des applications non autorisées à participer à l’authentification unique.
AppPrefixAllowList Chaîne
(liste de valeurs séparées par des virgules)
Préfixes d’ID d’offre groupée des applications autorisées à participer à l’authentification unique. Pour iOS, la valeur par défaut est définie sur et permet l’authentification com.apple. unique pour toutes les applications Apple. Pour macOS, la valeur par défaut est définie sur com.apple. et com.microsoft. et qui active l’authentification unique pour toutes les applications Apple et Microsoft. Les développeurs, les clients ou les administrateurs peuvent remplacer la valeur par défaut ou ajouter des applications à AppBlockList pour les empêcher de participer à l’authentification unique.
AppCookieSSOAllowList Chaîne
(liste de valeurs séparées par des virgules)
Préfixes d’ID d’offre groupée des applications autorisées à participer à l’authentification unique, mais qui utilisent des paramètres réseau particuliers et qui ont des problèmes avec l’authentification unique en utilisant d’autres paramètres. Les applications que vous ajoutez à AppCookieSSOAllowList doivent aussi être ajoutées à AppPrefixAllowList. Notez que cette clé doit être utilisée uniquement pour les applications iOS et non pour les applications macOS.

Paramètres pour les scénarios courants

  • Scénario : je souhaite activer l’authentification unique pour la plupart des applications managées, mais pas pour toutes.

    Clé Valeur
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList Les ID d’offre groupée (liste de valeurs séparées par des virgules) des applications pour lesquelles vous souhaitez empêcher l’authentification unique.
  • Scénario : je souhaite désactiver l’authentification unique pour Safari, qui est activée par défaut, mais activer l’authentification unique pour toutes les applications managées.

    Clé Valeur
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList Les ID d’offre groupée (liste de valeurs séparées par des virgules) des applications Safari pour lesquelles vous souhaitez empêcher l’authentification unique.
    • Pour iOS : com.apple.mobilesafari, com.apple.SafariViewService
    • Pour macOS : com.apple.Safari
  • Scénario : je souhaite activer l’authentification unique sur toutes les applications managées et sur quelques applications non managées, mais désactiver l’authentification unique pour d’autres applications.

    Clé Valeur
    Enable_SSO_On_All_ManagedApps 1
    AppAllowList Les ID d’offre groupée (liste de valeurs séparées par des virgules) des applications pour lesquelles vous souhaitez autoriser l’authentification unique.
    AppBlockList Les ID d’offre groupée (liste de valeurs séparées par des virgules) des applications pour lesquelles vous souhaitez empêcher l’authentification unique.
Découvrir des identificateurs de bundles d’applications sur des appareils iOS

Apple n’offre aucun moyen simple d’accéder aux ID de bundles à partir de l’App Store. Pour découvrir les ID de bundles des applications que vous souhaitez utiliser pour l’authentification unique, le plus simple est de demander à votre fournisseur ou à votre développeur d’applications. Si cette option n’est pas disponible, vous pouvez utiliser votre configuration MDM pour découvrir les ID de bundles.

  1. Activez temporairement l’indicateur suivant dans votre configuration MDM :

    • Clé : admin_debug_mode_enabled
    • Type : Integer
    • Valeur : 1 ou 0
  2. Quand cet indicateur est actif, connectez-vous aux applications iOS sur l’appareil dont vous souhaitez connaître l’ID de bundle.

  3. Dans l’application Authenticator, sélectionnez Aide>Envoyer des journaux>Afficher les journaux.

  4. Dans le fichier journal, recherchez la ligne suivante : [ADMIN MODE] SSO extension has captured following app bundle identifiers : Elle doit contenir tous les identificateurs de bundles d’applications visibles par l’extension SSO.

Utilisez les ID de bundles pour configurer l’authentification unique pour les applications. Désactivez le mode Administrateur une fois terminé.

Autoriser les utilisateurs à se connecter à partir d’applications qui n’utilisent pas MSAL et le navigateur Safari

Par défaut, le plug-in Microsoft Enterprise Single Sign-On acquiert des informations d’identification partagées lorsqu’il est appelé par une autre application qui utilise MSAL dans le cadre d’une nouvelle acquisition de jetons. Selon la configuration, le plug-in Microsoft Enterprise Single Sign-On peut également acquérir des informations d’identification partagées lorsqu’il est appelé par des applications qui n’utilisent pas MSAL.

Lorsque vous activez l’indicateur browser_sso_interaction_enabled, les applications qui n’utilisent pas MSAL peuvent effectuer le démarrage initial et obtenir des informations d’identification partagées. Le navigateur Safari peut également effectuer l’amorçage initial et obtenir des informations d’identification partagées.

Si le plug-in Microsoft Enterprise Single Sign-On ne dispose pas encore d’informations d’identification partagées, il essaiera d’en obtenir chaque fois qu’une connexion sera demandée à partir d’une URL Microsoft Entra dans le navigateur Safari, ASWebAuthenticationSession, SafariViewController ou une autre application native autorisée.

Utilisez les paramètres suivants pour activer l’indicateur :

  • Clé : browser_sso_interaction_enabled
  • Type : Integer
  • Valeur : 1 ou 0. Par défaut, cette valeur est 1.

iOS et macOS nécessitent ce paramètre pour que le plug-in Microsoft Enterprise Single Sign-On puisse fournir une expérience cohérente entre toutes les applications. Ce paramètre est activé par défaut et doit être désactivé uniquement si l’utilisateur final ne peut pas se connecter avec ses informations d’identification.

Désactiver les invites d’application OAuth 2

Si une application invite vos utilisateurs à se connecter, même si le plug-in Microsoft Enterprise SSO fonctionne pour d’autres applications sur l’appareil, l’application peut ignorer l’authentification unique au niveau de la couche de protocole. Les informations d’identification partagées sont également ignorées par ces applications, car le plug-in fournit l’authentification unique en ajoutant les informations d’identification aux requêtes réseau effectuées par les applications autorisées.

Ces paramètres spécifient si l’extension d’authentification unique doit empêcher les applications natives et web d’ignorer l’authentification unique au niveau de la couche de protocole et forcer l’affichage d’une invite de connexion à l’utilisateur.

Pour une expérience d’authentification unique cohérente sur toutes les applications sur l’appareil, nous vous recommandons d’activer l’un de ces paramètres pour les applications qui n’utilisent pas MSAL. Vous devez uniquement activer cette option pour les applications qui utilisent MSAL si vos utilisateurs rencontrent des invites inattendues.

Applications qui n’utilisent pas de bibliothèque d’authentification Microsoft :

Désactiver l’invite de l’application et afficher le sélecteur de compte :

  • Clé : disable_explicit_app_prompt
  • Type : Integer
  • Valeur : 1 ou 0. Cette valeur est définie sur 1 par défaut et ce paramètre par défaut réduit les invites.

Désactiver l’invite de l’application et sélectionner automatiquement un compte dans la liste des comptes d’authentification unique correspondants :

  • Clé : disable_explicit_app_prompt_and_autologin
  • Type : Integer
  • Valeur : 1 ou 0. Par défaut, cette valeur est 0.
Applications qui utilisent une bibliothèque d’authentification Microsoft :

Les paramètres suivants ne sont pas recommandés si les Stratégies de protection d’applications sont en cours d’utilisation.

Désactiver l’invite de l’application et afficher le sélecteur de compte :

  • Clé : disable_explicit_native_app_prompt
  • Type : Integer
  • Valeur : 1 ou 0. Par défaut, cette valeur est 0.

Désactiver l’invite de l’application et sélectionner automatiquement un compte dans la liste des comptes d’authentification unique correspondants :

  • Clé : disable_explicit_native_app_prompt_and_autologin
  • Type : Integer
  • Valeur : 1 ou 0. Par défaut, cette valeur est 0.

Invites inattendues d’application SAML

Si une application invite vos utilisateurs à se connecter, même si le plug-in Microsoft Enterprise SSO fonctionne pour d’autres applications sur l’appareil, l’application peut ignorer l’authentification unique au niveau de la couche de protocole. Si l’application utilise le protocole SAML, le plug-in Microsoft Enterprise Single Sign-On ne sera pas en mesure de fournir l’authentification unique à l’application. Le fournisseur de l’application doit être informé de ce comportement et apporter une modification à son application pour ne pas contourner l’authentification unique.

Modifier l’expérience iOS pour les applications avec MSAL

Les applications qui utilisent MSAL appellent toujours l’extension d’authentification unique en mode natif pour les demandes interactives. Sur certains appareils iOS, ce n’est peut-être pas souhaitable. Plus précisément, si l’utilisateur doit également effectuer l’authentification multifacteur à l’intérieur de l’application Microsoft Authenticator, une redirection interactive vers cette application peut fournir une meilleure expérience utilisateur.

Ce comportement peut être configuré à l’aide de l’indicateur disable_inapp_sso_signin. Si cet indicateur est activé, les applications qui utilisent MSAL seront redirigées vers l’application Microsoft Authenticator pour toutes les demandes interactives. Cet indicateur n’a pas d’impact sur les demandes de jeton silencieux de ces applications, le comportement des applications qui n’utilisent pas MSAL ou les applications macOS. Cet indicateur est désactivé par défaut.

  • Clé : disable_inapp_sso_signin
  • Type : Integer
  • Valeur : 1 ou 0. Par défaut, cette valeur est 0.

Configurer l’inscription d’appareil Microsoft Entra

Pour les appareils gérés par Intune, le plug-in Microsoft Enterprise Single Sign-On peut effectuer l’inscription d’appareil Microsoft Entra lorsqu’un utilisateur tente d’accéder aux ressources. Cela permet une expérience utilisateur plus rationalisée.

Utilisez la configuration suivante pour activer l’inscription juste-à-temps pour iOS/iPadOS avec Microsoft Intune :

  • Clé : device_registration
  • Type : String
  • Valeur : {{DEVICEREGISTRATION}}

Apprenez-en davantage sur l’inscription juste-à-temps ici.

Stratégies d’accès conditionnel et modifications de mot de passe

Le plug-in Microsoft Enterprise Single Sign-On pour les appareils Apple est compatible avec les différentes stratégies d’accès conditionnel Microsoft Entra et les événements de changement de mot de passe. browser_sso_interaction_enabled doit être activé pour obtenir la compatibilité.

Les événements et stratégies compatibles sont documentés dans les sections suivantes :

Modification de mot de passe et révocation de jetons

Lorsqu’un utilisateur réinitialise son mot de passe, tous les jetons qui ont été émis auparavant sont révoqués. Si un utilisateur tente d’accéder à une ressource après un événement de réinitialisation de mot de passe, l’utilisateur doit normalement se reconnecter à chacune des applications. Lorsque le plug-in Microsoft Enterprise Single Sign-On est activé, l’utilisateur est invité à se connecter à la première application qui participe à l’authentification unique. Le plug-in Microsoft Enterprise Single Sign-On affiche sa propre interface utilisateur en plus de l’application actuellement active.

Authentification multi-facteur Microsoft Entra

L’authentification multifacteur est un processus où les utilisateurs sont invités pendant le processus de connexion à fournir une forme d’identification supplémentaire, comme un code sur leur téléphone portable ou un scan de leur empreinte digitale. L’authentification multifacteur peut être activée pour des ressources spécifiques. Lorsque le plug-in Microsoft Enterprise Single Sign-On est activé, l’utilisateur est invité à effectuer l’authentification multifacteur dans la première application qui l’exige. Le plug-in Microsoft Enterprise Single Sign-On affiche sa propre interface utilisateur en plus de l’application actuellement active.

Fréquence de connexion de l’utilisateur

La fréquence de connexion définit la durée à l’issue de laquelle un utilisateur est invité à se reconnecter lorsqu’il tente d’accéder à une ressource. Si un utilisateur tente d’accéder à une ressource une fois la période passée dans différentes applications, il doit normalement se reconnecter à chacune de ces applications. Lorsque le plug-in Microsoft Enterprise Single Sign-On est activé, un utilisateur est invité à se connecter à la première application qui participe à l’authentification unique. Le plug-in Microsoft Enterprise Single Sign-On affiche sa propre interface utilisateur en plus de l’application actuellement active.

Utiliser Intune pour une configuration simplifiée

Vous pouvez utiliser Intune comme service MDM pour faciliter la configuration du plug-in Microsoft Enterprise SSO. Par exemple, vous pouvez utiliser Intune pour activer le plug-in et ajouter d’anciennes applications à une liste d’autorisation afin qu’elles bénéficient de l’authentification unique.

Pour plus d’informations, consultez Déployer le plug-in Microsoft Enterprise SSO pour les appareils Apple à l’aide d’Intune.

Utiliser le plug-in SSO dans votre application

Les versions 1.1.0 et ultérieures de la bibliothèque MSAL pour appareils Apple prennent en charge le plug-in d’authentification unique Microsoft Enterprise pour appareils Apple. Il s’agit de la méthode recommandée pour ajouter la prise en charge du plug-in Microsoft Enterprise Single Sign-On. Elle vous garantit de disposer de toutes les fonctionnalités de la plateforme d’identités Microsoft.

Si vous créez une application pour des scénarios d’employé de terrain, consultez Mode d’appareil partagé pour les appareils iOS pour accéder aux informations de configuration.

Comprendre le fonctionnement du plug-in SSO

Le plug-in Microsoft Enterprise SSO s’appuie sur l’infrastructure Apple Enterprise SSO. Les fournisseurs d’identité qui rejoignent l’infrastructure peuvent intercepter le trafic réseau pour leurs domaines et améliorer ou modifier le mode de traitement de ces demandes. Par exemple, le plug-in SSO peut afficher davantage d’interfaces utilisateur pour collecter les informations d’identification de l’utilisateur final en toute sécurité, exiger l’authentification MFA ou fournir en mode silencieux des jetons à l’application.

Des applications natives peuvent également implémenter des opérations personnalisées et communiquer directement avec le plug-in SSO. Pour plus d’informations, consultez cette vidéo d’Apple sur la conférence mondiale des développeurs 2019.

Conseil

En savoir plus sur le fonctionnement du plug-in d’authentification unique et sur la résolution des problèmes liés à l’extension Microsoft Enterprise SSO avec le guide de résolution des problèmes d’authentification unique pour les appareils Apple.

Applications utilisant la MSAL

La bibliothèque MSAL pour appareils Apple versions 1.1.0 et ultérieures prend en charge le plug-in Microsoft Enterprise SSO pour appareils Apple en mode natif pour les comptes professionnels et scolaires.

Aucune configuration particulière n’est nécessaire si vous avez suivi toutes les étapes recommandées et utilisé le format d’URI de redirection par défaut. Sur les appareils disposant du plug-in SSO, la MSAL appelle automatiquement celui-ci pour toutes les demandes de jeton interactives et silencieuses. Elle l’appelle également pour les opérations d’énumération des comptes et de suppression de compte. Étant donné que la MSAL implémente un protocole de plug-in SSO natif reposant sur des opérations personnalisées, cette configuration offre l’expérience native la plus fluide pour l’utilisateur final.

Sur les appareils iOS et iPadOS, si le plug-in SSO n’est pas activé par MDM, mais que l’application Microsoft Authenticator est présente sur l’appareil, MSAL utilise plutôt l’application Authenticator pour toutes les demandes de jeton interactives. Le plug-in Microsoft Enterprise Single Sign-On partage l’authentification unique avec l’application Authenticator.

Applications n’utilisant pas la MSAL

Les applications qui n’utilisent pas MSAL peuvent toujours bénéficier de l’authentification unique si un administrateur les ajoute à la liste d’autorisation.

Vous n’avez pas besoin de modifier le code de ces applications tant que les conditions suivantes sont réunies :

  • L’application utilise des infrastructures Apple pour exécuter des demandes réseau. Ces infrastructure sont par exemple WKWebView et NSURLSession.
  • L’application utilise des protocoles standard pour communiquer avec Microsoft Entra ID. Ces protocoles incluent, par exemple, OAuth 2, SAML et WS-Federation.
  • L’application ne collecte pas les noms d’utilisateur et mots de passe en texte clair dans l’interface utilisateur native.

Dans ce cas, l’authentification unique est fournie lorsque l’application crée une requête réseau et ouvre un navigateur web pour connecter l’utilisateur. Quand un utilisateur est redirigé vers une URL de connexion à Microsoft Entra, le plug-in d’authentification unique valide l’URL et vérifie l’existence d’informations d’identification unique pour cette URL. S’il trouve les informations d’identification, le plug-in d’authentification unique les transmet à Microsoft Entra ID, ce qui permet à l’application de terminer la demande réseau sans demander à l’utilisateur d’entrer ses informations d’identification. En outre, si l’appareil est connu de Microsoft Entra ID, le plug-in d’authentification unique transmet le certificat de l’appareil pour répondre au contrôle d’accès conditionnel en fonction de l’appareil.

Pour prendre en charge l’authentification unique pour les applications non-MSAL, le plug-in SSO implémente un protocole similaire au plug-in de navigateur Windows décrit dans Qu’est-ce qu’un jeton d’actualisation principal ?.

Comparé à des applications basées sur MSAL, le plug-in SSO agit de manière plus transparence pour des applications non-MSAL. Il s’intègre à l’expérience de connexion du navigateur existante que les applications fournissent.

L’utilisateur final voit l’expérience familière et n’a pas besoin de se reconnecter dans chaque application. Par exemple, au lieu d’afficher le sélecteur de compte natif, le plug-in SSO ajoute des sessions SSO à l’expérience du sélecteur de compte basé sur le web.

Modifications à venir apportées au stockage des clés d’identité d’appareil

Comme annoncé en mars 2024, Microsoft Entra ID va cesser d’utiliser Apple Keychain pour le stockage des clés d’identité d’appareil. À compter du troisième trimestre 2025, toutes les nouvelles inscriptions d’appareils utiliseront Apple Secure Enclave. Il ne sera pas possible de modifier cet emplacement de stockage.

Les applications et les intégrations GPM qui ont une dépendance envers l’accès aux clés Workplace Join via Keychain devront commencer à utiliser MSAL et le plug-in Enterprise SSO pour garantir la compatibilité avec la plateforme d’identités Microsoft.

Activer le stockage des clés d’identité d’appareil basé sur Secure Enclave

Si vous souhaitez activer le stockage des clés d’identité d’appareil basé sur Secure Enclave avant que cela ne devienne obligatoire, vous pouvez ajouter l’attribut de données d’extension suivant au profil de configuration de la gestion des appareils mobiles pour vos appareils Apple.

Remarque

Pour que cet indicateur prenne effet, il doit être appliqué à une nouvelle inscription. Il n’aura pas d’impact sur les appareils qui ont déjà été inscrits, sauf s’ils se réinscrivent.

  • Clé : use_most_secure_storage
  • Type : Boolean
  • Valeur : true

La capture d’écran ci-dessous montre la page de configuration et les paramètres d’activation de Secure Enclave dans Microsoft Intune.

Capture d’écran du centre d’administration Microsoft Entra montrant la page de profil de configuration dans Intune avec les paramètres d’activation de Secure Enclave mis en surbrillance.

Reconnaître les incompatibilités des applications à l’aide de l’identité d’appareil basée sur Secure Enclave

Après avoir activé le stockage basé sur Secure Enclave, il est possible qu’un message d’erreur s’affiche vous conseillant de configurer votre appareil pour obtenir l’accès. Ce message d’erreur indique que l’application n’a pas pu reconnaître le statut géré de l’appareil, ce qui suggère une incompatibilité avec le nouvel emplacement de stockage de la clé.

Capture d’écran d’un message d’erreur de l’accès conditionnel informant l’utilisateur que l’appareil doit être géré avant de pouvoir accéder à cette ressource.

Cette erreur s’affiche dans les journaux de connexion de Microsoft Entra ID avec les détails suivants :

  • Code d’erreur de connexion : 530003
  • Raison de l’échec : Device is required to be managed to access this resource.

Si vous voyez ce message d’erreur lors des tests, vérifiez d’abord que vous avez activé l’extension d’authentification unique, ainsi que toute extension requise spécifique à l’application (par exemple, Microsoft Single Sign On pour Chrome). Si vous continuez à voir ce message, il est recommandé de contacter le fournisseur de l’application pour l’avertir de l’incompatibilité avec le nouvel emplacement de stockage.

Scénarios impactés

La liste ci-dessous contient certains scénarios courants qui seront affectés par ces modifications. En règle générale, toute application qui a une dépendance envers l’accès aux artefacts d’identité d’appareil via Apple Keychain sera affectée.

Cette liste n’est pas exhaustive, et nous conseillons aux consommateurs et aux fournisseurs d’applications de tester la compatibilité de leur logiciel avec ce nouveau magasin de données.

Prise en charge des stratégies d’accès conditionnel d’appareil inscrit dans Chrome

Pour prendre en charge les stratégies d’accès conditionnel d’appareil dans Google Chrome avec le stockage Secure Enclave activé, vous devez installer et activer l’extension Authentification unique Microsoft.

Voir aussi

Découvrez le Mode d’appareil partagé pour les appareils iOS.

En savoir plus sur la résolution des problèmes liés à l’extension Microsoft Enterprise SSO.