Descrição geral do início de sessão único (SSO) e opções para dispositivos Apple no Microsoft Intune
Os dispositivos Apple podem utilizar o início de sessão único (SSO) para aceder a dispositivos, aplicações e sites através do respetivo ID do Microsoft Entra. O SSO permite que os utilizadores iniciem sessão e obtenham acesso sem introduzir sempre as respetivas credenciais.
Esse recurso aplica-se a:
- iOS/iPadOS
- macOS
Os dispositivos e a maioria das aplicações, incluindo aplicações de Linha de Negócio (LOB), requerem algum nível de autenticação de utilizador. Em muitos casos, a autenticação exige que os usuários insiram as mesmas credenciais repetidamente.
Os administradores podem utilizar o Microsoft Intune para criar e implementar políticas de SSO. Os programadores podem criar aplicações que suportam e utilizam o início de sessão único (SSO). Quando combina as políticas de SSO do Intune com aplicações que suportam SSO, o número de pedidos de credenciais para aplicações e sites é reduzido.
Para configurar o SSO para dispositivos Apple no Intune, tem as seguintes opções:
SSO da Plataforma – parte do plug-in SSO do Microsoft Enterprise no Microsoft Entra ID e inclui a extensão da aplicação SSO. Aplica-se a dispositivos macOS.
Extensão da aplicação SSO – parte do plug-in SSO do Microsoft Enterprise no Microsoft Entra ID. Aplica-se a dispositivos iOS/iPadOS e macOS.
Modelo de início de sessão único – um modelo no Intune. Aplica-se a dispositivos iOS/iPadOS.
Este artigo fornece uma descrição geral das opções de SSO disponíveis para dispositivos Apple no Intune e das respetivas plataformas suportadas.
SSO da Plataforma
Esse recurso aplica-se a:
- macOS
O plug-in SSO do Microsoft Enterprise inclui duas funcionalidades de SSO : o SSO da Plataforma e a extensão da aplicação SSO. Esta secção centra-se no SSO da Plataforma.
Em dispositivos macOS, os utilizadores normalmente iniciam sessão com uma conta local. Em seguida, iniciam sessão em aplicações e sites com o respetivo ID do Microsoft Entra.
Com o SSO da Plataforma:
As organizações podem:
Escolha o método de autenticação que satisfaz as suas necessidades empresariais. As suas opções são Autenticação de chave de acesso sem palavra-passe do Enclave Seguro, conta de utilizador do Microsoft Entra & palavra-passe ou autenticação de smart card.
Utilize a extensão da aplicação SSO, uma vez que a extensão da aplicação SSO faz parte do SSO da Plataforma. Especificamente, o utilizador:
- Utilize a extensão da aplicação SSO para iniciar sessão em aplicações e sites com o Microsoft Entra ID.
- Utilize o SSO da Plataforma para melhorar a configuração do SSO. Pode configurar diferentes métodos de autenticação, criar novos utilizadores organizacionais ao iniciar sessão e atribuir modos de autorização aos utilizadores.
Utilizadores finais:
- Obtenha uma experiência de início de sessão mais segura à medida que o Microsoft Entra ID se integra com o plug-in SSO do Microsoft Enterprise.
- Obtenha uma experiência de início de sessão único quando combinado com a extensão da aplicação SSO. A extensão da aplicação SSO permite utilizar o Touch ID e as chaves de acesso com o Microsoft Entra ID.
- Pode iniciar sessão com a respetiva conta de utilizador do Microsoft Entra e minimizar o número de vezes que precisa de introduzir as respetivas credenciais do Microsoft Entra nos respetivos dispositivos macOS.
Para obter mais informações sobre o SSO da Plataforma e para começar, aceda a Configurar o SSO da Plataforma para dispositivos macOS no Intune.
Resumo da funcionalidade SSO da plataforma
A tabela seguinte resume as funcionalidades do SSO da Plataforma no Intune. Utilize estas informações para determinar se o SSO da Plataforma é adequado para a sua organização.
| Recurso | Detalhes |
|---|---|
| Suporte à plataforma |
❌ iOS/iPadOS ✅ macOS 13.0 e mais recente |
| Tipos de inscrição suportados |
✅ Inscrição de dispositivos ✅ Inscrição automatizada de dispositivos (supervisionado) ❌ Inscrição de utilizadores ✅ Inscrição direta (Apple Configurator) |
| Tipos de autenticação suportados |
✅ Enclave Seguro (UserSecureEnclaveKey) ✅ Palavra-passe (Microsoft Entra ID) ✅ Smartcard |
| Tipos de aplicações suportados |
✅ Aplicações do Microsoft 365 ✅ Aplicações, sites ou serviços integrados com o Microsoft Entra ID ✅ Aplicações, sites ou serviços que suportam o SSO da Apple Enterprise e estão integrados no Active Directory no local |
| Tipo de política do centro de administração do Intune |
Política de catálogo de definições em: Dispositivos>Gerir dispositivos>Configuração>Criar>Nova política>macOS para o catálogo de Definições da plataforma > para o tipo > de perfil Autenticação>Extensible Single Sign On (SSO) |
| Recomendação |
✅ Recomendado. Utilize o SSO da Plataforma, uma vez que também inclui a extensão da aplicação SSO. Pode utilizar a extensão da aplicação SSO por si só, mas não é preferível. Para utilizar o SSO da Plataforma, tem de utilizar apenas o SSO da Plataforma. Não crie uma política de extensão de aplicação SSO separada. |
Extensão da aplicação SSO
Esse recurso aplica-se a:
- iOS/iPadOS
- macOS
O plug-in SSO do Microsoft Enterprise inclui duas funcionalidades de SSO : o SSO da Plataforma e a extensão da aplicação SSO. Esta secção centra-se na extensão da aplicação SSO.
A extensão da aplicação SSO fornece SSO para aplicações, sites e contas que utilizam o Microsoft Entra ID para autenticação, incluindo:
- Aplicativos Microsoft 365
- Aplicações desenvolvidas para procurar o arquivo de credenciais do utilizador no início de sessão único no dispositivo
- Contas do Active Directory no local em todas as aplicações que suportam a funcionalidade SSO Empresarial da Apple
✅ Para dispositivos iOS/iPadOS, a extensão da aplicação SSO está disponível por si só. Assim, pode configurar e utilizar a extensão da aplicação SSO para as suas aplicações & sites.
✅ Para dispositivos macOS, a extensão da aplicação SSO está disponível por si só e também está incluída no SSO da Plataforma. Assim, pode configurar e utilizar apenas a extensão da aplicação SSO se não quiser utilizar o SSO da Plataforma. Se utilizar o SSO da Plataforma, só configura o SSO da Plataforma, uma vez que inclui a extensão da aplicação SSO.
A extensão da aplicação SSO é uma extensão de aplicação SSO de tipo redirecionamento. Está disponível para o Intune, Jamf Pro e outras soluções de MDM. No Intune, a extensão da aplicação SSO utiliza uma política de configuração de dispositivos com o Microsoft Entra ID como o tipo de extensão da aplicação SSO.
Essas configurações definem as extensões de aplicativo de SSO do tipo de redirecionamento e do tipo de credencial. Especificamente:
O tipo de redirecionamento foi concebido para protocolos de autenticação modernos, como OpenID Connect, OAuth e SAML2. Pode escolher entre a extensão SSO do Microsoft Entra (plug-in SSO do Microsoft Enterprise e uma extensão de redirecionamento genérica.
O tipo de credencial foi concebido para fluxos de autenticação de resposta e desafio. Você pode escolher entre uma extensão de credencial específica do Kerberos fornecida pela Apple e uma extensão de credencial genérica.
A extensão da aplicação SSO deve funcionar com qualquer MDM que não seja da Microsoft ou do parceiro. A extensão deve ser implantada como uma extensão de SSO do Kerberos ou como um perfil de configuração personalizado com todas as propriedades necessárias configuradas.
Para obter mais informações sobre a extensão da aplicação SSO, aceda a:
iOS/iPadOS:
macOS:
Resumo da funcionalidade da extensão da aplicação SSO
A tabela seguinte resume as funcionalidades da extensão da aplicação SSO no Intune. Utilize estas informações para determinar se esta opção de SSO é adequada para a sua organização.
| Recurso | Detalhes |
|---|---|
| Suporte à plataforma |
✅ iOS/iPadOS 13.0 e mais recente ✅ macOS 10.15 e mais recente |
| Tipos de inscrição suportados | iOS/iPadOS: ✅ Inscrição de dispositivos ✅ Inscrição automatizada de dispositivos (supervisionado) ✅ Inscrição de utilizadores ✅ Inscrição direta (Apple Configurator) macOS: ✅ Inscrição de dispositivos aprovada pelo utilizador ✅ Inscrição automatizada de dispositivos (supervisionado) ✅ Inscrição direta (Apple Configurator) |
| Tipos de autenticação suportados |
✅ Extensão da aplicação SSO de tipo de redirecionamento, incluindo o ID do Microsoft Entra ✅ Extensão da aplicação de credenciais ✅ Extensão Kerberos incorporada da Apple |
| Tipos de aplicações suportados |
✅ Aplicações do Microsoft 365 ✅ Aplicações, sites ou serviços integrados com o Microsoft Entra ID ✅ Aplicações, sites ou serviços que suportam o SSO Empresarial da Apple e estão integrados no Active Directory no local |
| Tipo de política do centro de administração do Intune |
Modelo de Funcionalidades do Dispositivo em: Dispositivos>Gerir dispositivos>Configuração>Criar>Nova política>iOS/iPadOS ou macOS para modelos de plataforma >Funcionalidades>do dispositivo para o tipo >de perfil Extensão de aplicação de início de sessão único |
| Recomendação |
✅ Recomendado no iOS/iPadOS. ❌ Não preferencial em dispositivos macOS. Em dispositivos macOS, pode utilizar a extensão da aplicação SSO por si só. No entanto, recomendamos que utilize o SSO da Plataforma. Se também estiver a utilizar o SSO da Plataforma para macOS, não crie uma política de extensão de aplicação SSO separada. A extensão da aplicação SSO está incluída na configuração do SSO da Plataforma. |
Modelo de início de sessão único
Observação
Em vez destas definições de SSO, a Apple recomenda que utilize a extensão da aplicação SSO (neste artigo).
Aplicável a:
- iOS 7.0 e versões mais recentes
- iPadOS 13.0 e versões mais recentes
Esta política de início de sessão único baseia-se no Kerberos. O Kerberos é um protocolo de autenticação de rede que usa criptografia de chave secreta para autenticar aplicativos cliente-servidor. As definições de política do Intune definem as informações da conta Kerberos ao aceder a servidores ou aplicações específicas e processam os desafios do Kerberos para páginas Web e aplicações nativas.
Para obter uma lista das definições que pode configurar no Intune, aceda a Início de sessão único no iOS/iPadOS.
Para usar o logon único, verifique se você tem:
- Uma aplicação desenvolvida para procurar o arquivo de credenciais do utilizador no início de sessão único no dispositivo.
- O Intune configurado para logon único de dispositivo iOS/iPadOS.
Resumo da funcionalidade de início de sessão único
A tabela seguinte resume as funcionalidades de Início de sessão único no Intune. Utilize estas informações para determinar se esta opção de SSO é adequada para a sua organização.
| Recurso | Detalhes |
|---|---|
| Suporte à plataforma |
✅ iOS 7.0 e mais recente ✅ iPadOS 13.0 e mais recente ❌ macOS |
| Tipos de inscrição suportados |
✅ Inscrição de dispositivos ✅ Inscrição automatizada de dispositivos (supervisionado) ❌ Inscrição de utilizadores ❌ Inscrição direta (Apple Configurator) |
| Tipos de autenticação suportados | Só é possível utilizar a autenticação SSO kerberos. - Introduza as informações da conta Kerberos para quando os utilizadores acedem a servidores ou aplicações. - Não é uma implementação da Apple do Kerberos. - Lida com os desafios do Kerberos para páginas Web e aplicações |
| Tipos de aplicações suportados | Web site e aplicações nativas que suportam a autenticação Kerberos. A aplicação tem de ser codificada para procurar o arquivo de credenciais do utilizador no início de sessão único no dispositivo. |
| Tipo de política do centro de administração do Intune |
Modelo de Funcionalidades do Dispositivo em: Dispositivos>Gerir dispositivos>Configuração>Criar>Nova política>iOS/iPadOS para modelos de plataforma >Funcionalidades> dedispositivo para o tipo >de perfil Início de sessão único |
| Recomendação | ❌ Não recomendado. Em vez disso, a Microsoft recomenda a utilização da extensão da aplicação SSO (neste artigo). |
Extensão da aplicação SSO vs. modelo SSO
A funcionalidade Extensão de aplicação de início de sessão único é diferente da funcionalidade Início de sessão único. Utilize a tabela seguinte para comparar.
| Extensão do aplicativo de logon único | Logon único | |
|---|---|---|
| Plataformas compatíveis |
✅ iOS/iPadOS 13.0 e mais recente ✅ macOS 10.15 e mais recente |
✅ iOS 7.0 e mais recente ✅ iPadOS 13.0 e mais recente ❌ macOS |
| Descrição | Defina extensões para utilização por fornecedores de identidade ou organizações para proporcionar uma experiência de início de sessão empresarial totalmente integrada. Utiliza o sistema operativo Apple para autenticar. | Defina as informações da conta Kerberos para quando os utilizadores acedem a servidores ou aplicações. |
| Autenticação | Do ponto de vista do desenvolvimento de aplicações, pode utilizar qualquer tipo de SSO de redirecionamento ou autenticação SSO de credenciais. | Do ponto de vista do desenvolvimento de aplicações, só pode utilizar a autenticação SSO kerberos. |
| Implementação da Apple | Desenvolvido pela Apple e incorporado nas plataformas iOS/iPadOS 13.0 e macOS 10.15 e superior. A extensão Kerberos incorporada pode ser utilizada para assinar utilizadores em aplicações nativas e sites que suportam a autenticação Kerberos. | Não é uma implementação da Apple do Kerberos. |
| Recomendação | Recomendado. Fornece uma experiência de utilizador final melhorada. Lida com os desafios do Kerberos para páginas Web, suporta alterações de palavras-passe e comporta-se melhor em redes empresariais. Ao decidir utilizar o Kerberos na extensão da aplicação SSO ou no modelo de Início de Sessão único, recomendamos que utilize a extensão da aplicação SSO devido a um desempenho e capacidades melhorados. |
Não recomendado. Trata dos desafios do Kerberos para páginas Web. |
Artigos relacionados
Para obter informações sobre o plug-in SSO do Microsoft Enterprise e o Microsoft Entra ID, aceda ao plug-in SSO do Microsoft Enterprise para dispositivos Apple.
Para obter informações da Apple sobre o payload da extensão de início de sessão único, aceda às definições de payload de extensões de início de sessão único (abre o site da Apple).
Para obter informações sobre a resolução de problemas da Extensão SSO do Microsoft Enterprise, aceda a Resolução de problemas do plug-in da Extensão SSO do Microsoft Enterprise em dispositivos Apple.