De SSO-invoegtoepassing van Microsoft Enterprise gebruiken op macOS-apparaten
De Microsoft Enterprise SSO-invoegtoepassing is een functie in Microsoft Entra ID die functies voor eenmalige aanmelding (SSO) biedt voor Apple-apparaten. Deze invoegtoepassing maakt gebruik van het apple-extensieframework voor apps voor eenmalige aanmelding.
- Voor iOS-/iPadOS-apparaten bevat de Enterprise SSO-invoegtoepassing de SSO-app-extensie.
- Voor macOS-apparaten bevat de Enterprise SSO-invoegtoepassing Platform SSO en de SSO-app-extensie.
De SSO-app-extensie biedt eenmalige aanmelding bij apps en websites die Gebruikmaken van Microsoft Entra ID voor verificatie, waaronder Microsoft 365-apps. Het vermindert het aantal verificatieprompts dat gebruikers krijgen bij het gebruik van apparaten die worden beheerd door Mobile Device Management (MDM), inclusief MDM die ondersteuning biedt voor het configureren van eenmalige aanmeldingsprofielen.
Deze functie is van toepassing op:
macOS
Voor iOS/iPadOS gaat u naar De SSO-invoegtoepassing van Microsoft Enterprise gebruiken op iOS-/iPadOS-apparaten.
Op macOS-apparaten kunt u instellingen voor de SSO-app-extensie op twee plaatsen in Intune configureren:
Sjabloon voor apparaatfuncties (dit artikel): met deze optie configureert u alleen de app-extensie voor eenmalige aanmelding en gebruikt u uw MDM-provider, zoals Intune, om de instellingen op apparaten te implementeren.
Gebruik dit artikel als u alleen de instellingen voor de SSO-app-extensie wilt configureren en niet ook Platform SSO wilt configureren.
Instellingencatalogus : met deze optie configureert u platform-SSO en de app-extensie voor eenmalige aanmelding samen. U gebruikt Intune om de instellingen op uw apparaten te implementeren.
Gebruik de instellingen van de instellingencatalogus als u zowel de instellingen voor platform-SSO- als SSO-app-extensie wilt configureren. Ga voor meer informatie naar Platform SSO configureren voor macOS-apparaten in Microsoft Intune.
Ga naar Overzicht van eenmalige aanmelding en opties voor Apple-apparaten in Microsoft Intune voor een overzicht van uw SSO-opties op Apple-apparaten.
In dit artikel wordt beschreven hoe u een configuratiebeleid voor SSO-app-extensies maakt voor macOS Apple-apparaten met Intune, Jamf Pro en andere MDM-oplossingen.
Als u de instellingen voor platform-SSO en SSO-app-extensie samen wilt configureren, gaat u naar Platform-SSO configureren voor macOS-apparaten in Microsoft Intune.
App-ondersteuning
Voor uw apps die de SSO-invoegtoepassing van Microsoft Enterprise kunnen gebruiken, hebt u twee opties:
Optie 1: MSAL: apps die ondersteuning bieden voor de Microsoft Authentication Library (MSAL) maken automatisch gebruik van de Microsoft Enterprise SSO-invoegtoepassing. Microsoft 365-apps ondersteunen bijvoorbeeld MSAL. Ze gebruiken dus automatisch de invoegtoepassing.
Als uw organisatie eigen apps maakt, kan uw app-ontwikkelaar een afhankelijkheid toevoegen aan de MSAL. Met deze afhankelijkheid kan uw app de SSO-invoegtoepassing van Microsoft Enterprise gebruiken.
Ga voor een voorbeeldzelfstudie naar Zelfstudie: Gebruikers aanmelden en Microsoft Graph aanroepen vanuit een iOS- of macOS-app.
Optie 2: AllowList: apps die geen ondersteuning bieden of die niet zijn ontwikkeld met MSAL, kunnen de SSO-app-extensie gebruiken. Deze apps omvatten browsers zoals Safari en apps die gebruikmaken van Safari-webweergave-API's.
Voor deze niet-MSAL-apps voegt u de toepassingsbundel-id of het voorvoegsel toe aan de extensieconfiguratie in uw Intune SSO-app-extensiebeleid (in dit artikel).
Als u bijvoorbeeld een Microsoft-app wilt toestaan die MSAL niet ondersteunt, voegt u toe
com.microsoft.
aan de eigenschap AppPrefixAllowList in uw Intune-beleid. Wees voorzichtig met de apps die u toestaat, ze kunnen interactieve aanmeldingsprompts voor de aangemelde gebruiker omzeilen.Ga voor meer informatie naar de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten - apps die geen msal gebruiken.
Vereisten
De SSO-invoegtoepassing van Microsoft Enterprise gebruiken op macOS-apparaten:
- Het apparaat wordt beheerd door MDM door Intune.
- Het apparaat moet ondersteuning bieden voor de invoegtoepassing:
- macOS 10.15 en hoger
- De Microsoft-bedrijfsportal-app moet op het apparaat zijn geïnstalleerd en geconfigureerd.
- De vereisten voor de Enterprise SSO-invoegtoepassing zijn geconfigureerd, inclusief de URL's voor apple-netwerkconfiguratie.
Microsoft Enterprise SSO-invoegtoepassing versus Kerberos SSO-extensie
Wanneer u de SSO-app-extensie gebruikt, gebruikt u de SSO of Kerberos Payload Type voor verificatie. De SSO-app-extensie is ontworpen om de aanmeldingservaring te verbeteren voor apps en websites die gebruikmaken van deze verificatiemethoden.
De SSO-invoegtoepassing van Microsoft Enterprise maakt gebruik van het nettoladingtype voor eenmalige aanmelding met omleidingsverificatie . De SSO-omleiding en kerberos-extensietypen kunnen beide tegelijkertijd op een apparaat worden gebruikt. Zorg ervoor dat u afzonderlijke apparaatprofielen maakt voor elk type extensie dat u op uw apparaten wilt gebruiken.
Gebruik de volgende tabel om het juiste type SSO-extensie voor uw scenario te bepalen:
Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten | App-extensie voor eenmalige aanmelding met Kerberos |
---|---|
Maakt gebruik van het extensietype Microsoft Entra ID SSO-app | Gebruikt het app-extensietype Kerberos SSO |
Ondersteunt de volgende apps: - Microsoft 365 - Apps, websites of services die zijn geïntegreerd met Microsoft Entra ID |
Ondersteunt de volgende apps: - Apps, websites of services geïntegreerd met AD |
Configuratiebeleid voor app-extensies voor eenmalige aanmelding maken
In deze sectie wordt beschreven hoe u een app-extensiebeleid voor eenmalige aanmelding maakt. Ga voor informatie over platform-SSO naar Platform-SSO configureren voor macOS-apparaten in Microsoft Intune.
Maak in het Microsoft Intune-beheercentrum een apparaatconfiguratieprofiel. Dit profiel bevat de instellingen voor het configureren van de SSO-app-extensie op apparaten.
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Apparaten beheren>Configuratie>Maken>Nieuw beleid.
Geef de volgende eigenschappen op:
- Platform: selecteer macOS.
- Profieltype: Selecteer Sjablonen>Apparaatfuncties.
Selecteer Maken:
Voer in Basisinformatie de volgende eigenschappen in:
- Naam: een unieke beschrijvende naam voor het beleid. Geef je beleid een naam, zodat je ze later eenvoudig kunt identificeren. Een goede beleidsnaam is bijvoorbeeld de app-extensie macOS-SSO.
- Beschrijving: voer een beschrijving in voor het beleid. Deze instelling is optioneel, maar wordt aanbevolen.
Selecteer Volgende.
Selecteer in Configuratie-instellingen de optie App-extensie voor eenmalige aanmelding en configureer de volgende eigenschappen:
Type app-extensie voor eenmalige aanmelding: Selecteer Microsoft Entra ID:
App-bundel-id: voer een lijst met bundel-id's in voor apps die MSAL niet ondersteunen en eenmalige aanmelding mogen gebruiken. Ga voor meer informatie naar Toepassingen die geen MSAL gebruiken.
Aanvullende configuratie: als u de eindgebruikerservaring wilt aanpassen, kunt u de volgende eigenschappen toevoegen. Deze eigenschappen zijn de standaardwaarden die worden gebruikt door de SSO-app-extensie, maar ze kunnen worden aangepast aan de behoeften van uw organisatie:
Sleutel Type Beschrijving AppPrefixAllowList Tekenreeks Aanbevolen waarde: com.microsoft.,com.apple.
Voer een lijst met voorvoegsels in voor apps die MSAL niet ondersteunen en eenmalige aanmelding mogen gebruiken. Voer bijvoorbeeld incom.microsoft.,com.apple.
om alle Microsoft- en Apple-apps toe te staan.
Zorg ervoor dat deze apps voldoen aan de acceptatielijstvereisten.browser_sso_interaction_enabled Geheel getal Aanbevolen waarde: 1
Wanneer deze optie is ingesteld op1
, kunnen gebruikers zich aanmelden vanuit de Safari-browser en vanuit apps die MSAL niet ondersteunen. Als u deze instelling inschakelt, kunnen gebruikers de extensie opstarten vanuit Safari of andere apps.disable_explicit_app_prompt Geheel getal Aanbevolen waarde: 1
Sommige apps kunnen vragen van eindgebruikers op de protocollaag onjuist afdwingen. Als u dit probleem ziet, worden gebruikers gevraagd zich aan te melden, ook al werkt de SSO-invoegtoepassing van Microsoft Enterprise voor andere apps.
Wanneer deze optie is ingesteld op1
(één), vermindert u deze prompts.Tip
Ga naar de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten voor meer informatie over deze eigenschappen en andere eigenschappen die u kunt configureren.
Wanneer u klaar bent met het configureren van de aanbevolen instellingen, zien de instellingen eruit als de volgende waarden in uw Intune-configuratieprofiel:
Ga door met het maken van het profiel en wijs het profiel toe aan de gebruikers of groepen die deze instellingen ontvangen. Ga voor de specifieke stappen naar Het profiel maken.
Ga naar Gebruikers- en apparaatprofielen toewijzen voor hulp bij het toewijzen van profielen.
Wanneer het beleid klaar is, wijst u het beleid toe aan uw gebruikers. Microsoft raadt u aan het beleid toe te wijzen wanneer het apparaat wordt ingeschreven bij Intune. Maar het kan op elk gewenst moment worden toegewezen, ook op bestaande apparaten. Wanneer het apparaat bij de Intune-service incheckt, ontvangt het dit profiel. Ga naar Vernieuwingsintervallen voor beleid voor meer informatie.
Als u wilt controleren of het profiel correct is geïmplementeerd, gaat u in het Intune-beheercentrum naar Apparaten>Apparaten beheren>Configuratie> selecteert u het profiel dat u hebt gemaakt en genereert u een rapport:
Eindgebruikerservaring
Als u de bedrijfsportal-app niet implementeert met behulp van een app-beleid, moeten gebruikers deze handmatig installeren. Gebruikers hoeven de bedrijfsportal-app niet te gebruiken, deze hoeft alleen op het apparaat te worden geïnstalleerd.
Gebruikers melden zich aan bij een ondersteunde app of website om de extensie te bootstrapen. Bootstrap is het proces van aanmelden voor de eerste keer, waarmee de extensie wordt ingesteld.
Nadat gebruikers zich hebben aangemeld, wordt de extensie automatisch gebruikt om zich aan te melden bij een andere ondersteunde app of website.
U kunt eenmalige aanmelding testen door Safari te openen in de privémodus (hiermee opent u de website van Apple) en opent u de https://portal.office.com
site. Er is geen gebruikersnaam en wachtwoord vereist.
Wanneer gebruikers zich in macOS aanmelden bij een werk- of school-app, worden ze gevraagd zich in of uit te schrijven voor eenmalige aanmelding. Ze kunnen Niet opnieuw vragen om zich af te melden voor eenmalige aanmelding selecteren en toekomstige aanvragen blokkeren.
Gebruikers kunnen ook hun voorkeuren voor eenmalige aanmelding beheren in de bedrijfsportal-app voor macOS. Als u voorkeuren wilt bewerken, gaat u naar de menubalk > bedrijfsportal-appBedrijfsportal-instellingen>. Ze kunnen mij niet vragen om me aan te melden met eenmalige aanmelding voor dit apparaat selecteren of deselecteren.
Tip
Meer informatie over de werking van de SSO-invoegtoepassing en het oplossen van problemen met de Microsoft Enterprise SSO-extensie vindt u in de handleiding voor het oplossen van problemen met eenmalige aanmelding voor Apple-apparaten.
Verwante artikelen
Voor informatie van Apple over de nettolading van de extensie voor eenmalige aanmelding gaat u naar nettoladingsinstellingen voor extensies voor eenmalige aanmelding (hiermee opent u de website van Apple).
Voor informatie over het oplossen van problemen met de Microsoft Enterprise SSO-extensie gaat u naar Problemen met de Microsoft Enterprise SSO-extensie-invoegtoepassing op Apple-apparaten oplossen.