Použití modulu plug-in Microsoft Enterprise SSO na zařízeních s macOS
Modul plug-in Microsoft Enterprise SSO je funkce v Microsoft Entra ID, která poskytuje funkce jednotného přihlašování (SSO) pro zařízení Apple. Tento modul plug-in používá architekturu rozšíření aplikace pro jednotné přihlašování Apple.
- Pro zařízení s iOS/iPadOS obsahuje modul plug-in Podnikové jednotné přihlašování rozšíření aplikace pro jednotné přihlašování.
- Modul plug-in Podnikové jednotné přihlašování pro zařízení s macOS zahrnuje jednotné přihlašování platformy a rozšíření aplikace pro jednotné přihlašování.
Rozšíření aplikace jednotného přihlašování poskytuje jednotné přihlašování k aplikacím a webům, které k ověřování používají Microsoft Entra ID, včetně aplikací Microsoft 365. Snižuje počet výzev k ověření, které se uživatelům zobrazí při používání zařízení spravovaných pomocí správy mobilních zařízení (MDM), včetně všech MDM, které podporují konfiguraci profilů jednotného přihlašování.
Tato funkce platí pro:
macOS
V případě iOS/iPadOS přejděte na použití modulu plug-in Microsoft Enterprise SSO na zařízeních s iOS/iPadOS.
Na zařízeních s macOS můžete nakonfigurovat nastavení rozšíření aplikace s jednotným přihlašováním na dvou místech v Intune:
Šablona funkcí zařízení (tento článek) – Tato možnost nakonfiguruje jenom rozšíření aplikace pro jednotné přihlašování a pomocí poskytovatele MDM, jako je Intune, nasadí nastavení do zařízení.
Tento článek použijte, pokud chcete konfigurovat jenom nastavení rozšíření aplikace s jednotným přihlašováním a nechcete také konfigurovat jednotné přihlašování platformy.
Katalog nastavení – Tato možnost konfiguruje jednotné přihlašování platformy a rozšíření aplikace jednotného přihlašování. Pomocí Intune nasadíte nastavení do svých zařízení.
Nastavení katalogu nastavení použijte, pokud chcete nakonfigurovat nastavení jednotného přihlašování platformy i rozšíření aplikace jednotného přihlašování. Další informace najdete v tématu Konfigurace jednotného přihlašování platformy pro zařízení s macOS v Microsoft Intune.
Přehled možností jednotného přihlašování na zařízeních Apple najdete v tématu Přehled jednotného přihlašování a možnosti pro zařízení Apple v Microsoft Intune.
Tento článek popisuje, jak vytvořit zásady konfigurace rozšíření aplikace s jednotným přihlašováním pro zařízení Apple s macOS pomocí Intune, Jamf Pro a dalších řešení MDM.
Pokud chcete nakonfigurovat jednotné přihlašování platformy a nastavení rozšíření aplikace jednotného přihlašování, přejděte v Microsoft Intune na téma Konfigurace jednotného přihlašování platformy pro zařízení s macOS.
Podpora aplikací
Aby vaše aplikace mohly používat modul plug-in Microsoft Enterprise SSO, máte dvě možnosti:
Možnost 1 – MSAL: Aplikace, které podporují knihovnu Microsoft Authentication Library (MSAL), automaticky využívají modul plug-in Microsoft Enterprise SSO. Například aplikace Microsoft 365 podporují KNIHOVNU MSAL. Takže automaticky používají modul plug-in.
Pokud vaše organizace vytváří vlastní aplikace, může vývojář aplikace přidat závislost do knihovny MSAL. Tato závislost umožňuje vaší aplikaci používat modul plug-in Microsoft Enterprise SSO.
Ukázkový kurz najdete v tématu Kurz: Přihlášení uživatelů a volání Microsoft Graphu z aplikace pro iOS nebo macOS.
Možnost 2 – Seznam povolených: Aplikace, které nepodporují nebo nebyly vyvinuty pomocí MSAL, můžou používat rozšíření aplikace jednotného přihlašování. Mezi tyto aplikace patří prohlížeče, jako je Safari, a aplikace, které používají rozhraní API webového zobrazení Safari.
U těchto aplikací, které nejsou aplikace MSAL, přidejte ID sady aplikací nebo předponu do konfigurace rozšíření v zásadách rozšíření aplikace Intune SSO (v tomto článku).
Pokud například chcete povolit aplikaci Microsoftu, která nepodporuje MSAL, přidejte
com.microsoft.
do vlastnosti AppPrefixAllowList v zásadách Intune. Buďte opatrní s aplikacemi, které povolíte, můžou obejít interaktivní výzvy k přihlášení pro přihlášeného uživatele.Další informace najdete v článku Modul plug-in Microsoft Enterprise SSO pro zařízení Apple – aplikace, které nepoužívají MSAL.
Požadavky
Použití modulu plug-in Microsoft Enterprise SSO na zařízeních s macOS:
- Zařízení je spravované službou MDM v Intune.
- Zařízení musí podporovat modul plug-in:
- macOS 10.15 a novější
- Aplikace Portál společnosti Microsoft musí být na zařízení nainstalovaná a nakonfigurovaná.
- Jsou nakonfigurované požadavky na modul plug-in Podnikové jednotné přihlašování, včetně adres URL pro konfiguraci sítě Apple.
Modul plug-in Microsoft Enterprise SSO vs. rozšíření Kerberos SSO
Když používáte rozšíření aplikace s jednotným přihlašováním, použijete k ověřování typ jednotné přihlašování nebo datové části Kerberos . Rozšíření aplikace s jednotným přihlašováním je navržené tak, aby zlepšilo přihlašování pro aplikace a weby, které používají tyto metody ověřování.
Modul plug-in Microsoft Enterprise SSO používá typ datové části jednotného přihlašování s ověřováním přesměrovávání . Typy rozšíření Přesměrování jednotného přihlašování a Kerberos je možné použít na zařízení současně. Nezapomeňte vytvořit samostatné profily zařízení pro každý typ rozšíření, který chcete na svých zařízeních používat.
Pokud chcete určit správný typ rozšíření jednotného přihlašování pro váš scénář, použijte následující tabulku:
Modul plug-in Microsoft Enterprise SSO pro zařízení Apple | Rozšíření aplikace pro jednotné přihlašování pomocí protokolu Kerberos |
---|---|
Používá typ rozšíření aplikace jednotného přihlašování Microsoft Entra ID . | Používá typ rozšíření aplikace s jednotným přihlašováním Kerberos . |
Podporuje následující aplikace: – Microsoft 365 – Aplikace, weby nebo služby integrované s Microsoft Entra ID |
Podporuje následující aplikace: – Aplikace, weby nebo služby integrované s AD |
Další informace o rozšíření aplikace s jednotným přihlašováním najdete v tématu Přehled jednotného přihlašování a možnosti pro zařízení Apple v Microsoft Intune.
Vytvoření zásad konfigurace rozšíření aplikace s jednotným přihlašováním
V této části se dozvíte, jak vytvořit zásady rozšíření aplikace s jednotným přihlašováním. Informace o jednotném přihlašování platformy najdete v tématu Konfigurace jednotného přihlašování platformy pro zařízení s macOS v Microsoft Intune.
V Centru pro správu Microsoft Intune vytvořte konfigurační profil zařízení. Tento profil obsahuje nastavení pro konfiguraci rozšíření aplikace jednotného přihlašování na zařízeních.
Přihlaste se k Centru pro správu Microsoft 365.
Vyberte Zařízení>Spravovat zařízení>Konfigurace>Vytvořit>Nová zásada.
Zadejte tyto vlastnosti:
- Platforma: Vyberte macOS.
- Typ profilu: Vyberte Šablony>Funkce zařízení.
Vyberte Vytvořit:
V Základy zadejte následující vlastnosti:
- Název: Zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrým názvem zásady je například rozšíření aplikace s jednotným přihlašováním pro macOS.
- Popis: Zadejte popis zásady. Toto nastavení není povinné, ale doporučujeme ho zadat.
Vyberte Další.
V nastavení konfigurace vyberte Rozšíření aplikace jednotného přihlašování a nakonfigurujte následující vlastnosti:
Typ rozšíření aplikace s jednotným přihlašováním: Vyberte Microsoft Entra ID:
ID sady aplikací: Zadejte seznam ID sad pro aplikace, které nepodporují MSAL a můžou používat jednotné přihlašování. Další informace najdete v tématu Aplikace, které nepoužívají knihovnu MSAL.
Další konfigurace: Pokud chcete přizpůsobit prostředí koncového uživatele, můžete přidat následující vlastnosti. Tyto vlastnosti jsou výchozí hodnoty používané rozšířením aplikace jednotného přihlašování, ale dají se přizpůsobit potřebám vaší organizace:
Klíč Typ Popis AppPrefixAllowList String Doporučená hodnota: com.microsoft.,com.apple.
Zadejte seznam předpon pro aplikace, které nepodporují knihovnu MSAL a můžou používat jednotné přihlašování. Zadáním napříkladcom.microsoft.,com.apple.
povolíte všechny aplikace Microsoftu a Apple.
Ujistěte se, že tyto aplikace splňují požadavky na seznam povolených.browser_sso_interaction_enabled Celé číslo Doporučená hodnota: 1
Pokud je tato možnost nastavená na1
, uživatelé se můžou přihlašovat z prohlížeče Safari a z aplikací, které msal nepodporují. Povolení tohoto nastavení umožní uživatelům spustit rozšíření ze Safari nebo jiných aplikací.disable_explicit_app_prompt Celé číslo Doporučená hodnota: 1
Některé aplikace můžou nesprávně vynucovat výzvy koncových uživatelů ve vrstvě protokolu. Pokud narazíte na tento problém, zobrazí se uživatelům výzva k přihlášení, i když modul plug-in Microsoft Enterprise SSO funguje pro jiné aplikace.
Při nastavení na1
hodnotu (jedna) se tyto výzvy zmenšují.Tip
Další informace o těchto vlastnostech a dalších vlastnostech, které můžete konfigurovat, najdete v modulu plug-in Microsoft Enterprise SSO pro zařízení Apple.
Po dokončení konfigurace doporučeného nastavení budou nastavení vypadat podobně jako následující hodnoty ve vašem konfiguračním profilu Intune:
Pokračujte ve vytváření profilu a přiřaďte ho uživatelům nebo skupinám, které obdrží tato nastavení. Konkrétní kroky najdete v tématu Vytvoření profilu.
Pokyny k přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.
Jakmile bude zásada připravená, přiřadíte ji uživatelům. Microsoft doporučuje, abyste zásady přiřadili, když se zařízení zaregistruje v Intune. Dá se ale kdykoli přiřadit, a to i na stávajících zařízeních. Když se zařízení přihlásí ke službě Intune, obdrží tento profil. Další informace najdete v tématu Intervaly aktualizace zásad.
Pokud chcete zkontrolovat, jestli je profil správně nasazený, přejděte v Centru pro správu Intune do části Zařízení>Správa konfigurace zařízení>>, vyberte profil, který jste vytvořili, a vygenerujte sestavu:
Prostředí koncového uživatele
Pokud aplikaci Portál společnosti nenasazujete pomocí zásad aplikace, musí ji uživatelé nainstalovat ručně. Uživatelé nemusí používat aplikaci Portál společnosti, stačí ji nainstalovat na zařízení.
Uživatelé se přihlásí k jakékoli podporované aplikaci nebo webu, aby mohli rozšíření spustit. Bootstrap je proces prvního přihlášení, který nastavuje rozšíření.
Po úspěšném přihlášení uživatelů se rozšíření automaticky použije k přihlášení k jakékoli jiné podporované aplikaci nebo webu.
Jednotné přihlašování můžete otestovat tak, že otevřete Safari v privátním režimu (otevře web společnosti Apple) a otevřete https://portal.office.com
web. Nebude vyžadováno uživatelské jméno a heslo.
Když se uživatelé v systému macOS přihlásí k pracovní nebo školní aplikaci, zobrazí se jim výzva, aby se přihlásili k jednotnému přihlašování nebo se z jednotného přihlašování odhlásili. Můžou vybrat Možnost Příště se mě už nezobrazovat , abych se odhlásila z jednotného přihlašování a blokovala budoucí žádosti.
Uživatelé můžou také spravovat své předvolby jednotného přihlašování v aplikaci Portál společnosti pro macOS. Pokud chcete upravit předvolby, přejděte na řádek > nabídek aplikace Portál společnosti Nastavení portálu> společnosti. Můžou vybrat nebo zrušit výběr nepožadovat, abych se k tomuto zařízení přihlásil pomocí jednotného přihlašování.
Tip
Další informace o tom, jak modul plug-in pro jednotné přihlašování funguje a jak řešit potíže s rozšířením Microsoft Enterprise SSO, najdete v průvodci odstraňováním potíží s jednotným přihlašováním pro zařízení Apple.
Související články
Informace o modulu plug-in Microsoft Enterprise SSO najdete v článku Modul plug-in Microsoft Enterprise SSO pro zařízení Apple.
Informace o datové části rozšíření jednotného přihlašování od společnosti Apple najdete v nastavení datové části rozšíření jednotného přihlašování (otevře web společnosti Apple).
Informace o řešení potíží s rozšířením Microsoft Enterprise SSO najdete v tématu Řešení potíží s modulem plug-in Microsoft Enterprise SSO Extension na zařízeních Apple.