Omówienie i opcje logowania jednokrotnego dla urządzeń firmy Apple w usłudze Microsoft Intune
Urządzenia firmy Apple mogą korzystać z logowania jednokrotnego (SSO) w celu uzyskiwania dostępu do urządzeń, aplikacji i witryn internetowych przy użyciu identyfikatora Microsoft Entra. Logowanie jednokrotne umożliwia użytkownikom logowanie się i uzyskiwanie dostępu bez wprowadzania poświadczeń za każdym razem.
Ta funkcja ma zastosowanie do:
- iOS/iPadOS
- macOS
Urządzenia i większość aplikacji, w tym aplikacje biznesowe (LOB), wymagają pewnego poziomu uwierzytelniania użytkowników. W wielu przypadkach uwierzytelnianie wymaga od użytkowników wielokrotnego wprowadzania tych samych poświadczeń.
Administratorzy mogą używać usługi Microsoft Intune do tworzenia i wdrażania zasad logowania jednokrotnego. Deweloperzy mogą tworzyć aplikacje obsługujące logowanie jednokrotne i korzystające z niego. Po połączeniu zasad logowania jednokrotnego usługi Intune z aplikacjami obsługującymi logowanie jednokrotne zmniejsza się liczba monitów o poświadczenia dla aplikacji i witryn internetowych.
Aby skonfigurować logowanie jednokrotne dla urządzeń firmy Apple w usłudze Intune, dostępne są następujące opcje:
Logowanie jednokrotne platformy — część wtyczki logowania jednokrotnego przedsiębiorstwa firmy Microsoft w usłudze Microsoft Entra ID i zawiera rozszerzenie aplikacji logowania jednokrotnego. Dotyczy urządzeń z systemem macOS.
Rozszerzenie aplikacji logowania jednokrotnego — część wtyczki logowania jednokrotnego przedsiębiorstwa firmy Microsoft w identyfikatorze Microsoft Entra. Dotyczy urządzeń z systemami iOS/iPadOS i macOS.
Szablon logowania jednokrotnego — szablon w usłudze Intune. Dotyczy urządzeń z systemem iOS/iPadOS.
Ten artykuł zawiera omówienie opcji logowania jednokrotnego dostępnych dla urządzeń firmy Apple w usłudze Intune i ich obsługiwanych platform.
Logo jednokrotne platformy
Ta funkcja ma zastosowanie do:
- macOS
Wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft obejmuje dwie funkcje logowania jednokrotnego — logowanie jednokrotne platformy i rozszerzenie aplikacji logowania jednokrotnego. W tej sekcji skupiono się na logniu jednokrotnym platformy.
Na urządzeniach z systemem macOS użytkownicy zwykle logują się przy użyciu konta lokalnego. Następnie logują się do aplikacji i witryn internetowych przy użyciu identyfikatora Microsoft Entra.
Przy użyciu logowania jednokrotnego platformy:
Organizacje mogą:
Wybierz metodę uwierzytelniania, która spełnia Twoje potrzeby biznesowe. Dostępne opcje to uwierzytelnianie bez hasła bezpiecznej enklawy, konto użytkownika usługi Microsoft Entra & hasło lub uwierzytelnianie za pomocą karty inteligentnej.
Użyj rozszerzenia aplikacji logowania jednokrotnego, ponieważ rozszerzenie aplikacji logowania jednokrotnego jest częścią logowania jednokrotnego platformy. W szczególności:
- Użyj rozszerzenia aplikacji logowania jednokrotnego, aby zalogować się do aplikacji i witryn internetowych przy użyciu identyfikatora Microsoft Entra.
- Użyj logowania jednokrotnego platformy, aby ulepszyć konfigurację logowania jednokrotnego. Możesz skonfigurować różne metody uwierzytelniania, utworzyć nowych użytkowników organizacyjnych podczas logowania i przypisać tryby autoryzacji dla użytkowników.
Użytkownicy końcowi:
- Uzyskaj bezpieczniejsze środowisko logowania, ponieważ identyfikator Entra firmy Microsoft integruje się z wtyczką logowania jednokrotnego w przedsiębiorstwie firmy Microsoft.
- Uzyskaj środowisko logowania jednokrotnego w połączeniu z rozszerzeniem aplikacji logowania jednokrotnego. Rozszerzenie aplikacji logowania jednokrotnego umożliwia używanie identyfikatora Touch ID i kluczy dostępu z identyfikatorem Microsoft Entra.
- Może zalogować się przy użyciu konta użytkownika Microsoft Entra i zminimalizować liczbę poświadczeń usługi Microsoft Entra na urządzeniach z systemem macOS.
Aby uzyskać więcej informacji na temat logowania jednokrotnego platformy i rozpocząć pracę, przejdź do tematu Konfigurowanie logowania jednokrotnego platformy dla urządzeń z systemem macOS w usłudze Intune.
Podsumowanie funkcji logowania jednokrotnego platformy
Poniższa tabela zawiera podsumowanie funkcji logowania jednokrotnego platformy w usłudze Intune. Użyj tych informacji, aby określić, czy logowania jednokrotnego platformy jest odpowiednie dla Twojej organizacji.
Funkcja | Szczegóły |
---|---|
Obsługa platformy |
❌ iOS/iPadOS ✅ System macOS 13.0 i nowsze |
Obsługiwane typy rejestracji |
✅ Rejestrowanie urządzeń ✅ Automatyczna rejestracja urządzeń (nadzorowana) ❌ Rejestracja użytkownika ✅ Rejestracja bezpośrednia (Apple Configurator) |
Obsługiwane typy uwierzytelniania |
✅ Bezpieczna enklawa (UserSecureEnclaveKey) ✅ Hasło (Microsoft Entra ID) ✅ Karta inteligentna |
Obsługiwane typy aplikacji |
✅ Aplikacje platformy Microsoft 365 ✅ Aplikacje, witryny internetowe lub usługi zintegrowane z identyfikatorem Microsoft Entra ✅ Aplikacje, witryny internetowe lub usługi, które obsługują logowanie jednokrotne firmy Apple Enterprise i są zintegrowane z lokalną usługą Active Directory |
Typ zasad centrum administracyjnego usługi Intune |
Ustawienia zasad wykazu pod adresem: Urządzeń>Zarządzanie urządzeniami>Konfiguracja>Tworzyć>Nowe zasady>MacOS for platform >Settings catalog for profile type >Authentication>Extensible Single Sign On (SSO) |
Zalecenie |
✅ Zalecane. Użyj logowania jednokrotnego platformy, ponieważ zawiera również rozszerzenie aplikacji logowania jednokrotnego. Możesz użyć rozszerzenia aplikacji logowania jednokrotnego samodzielnie, ale nie jest to preferowane. Aby korzystać z logowania jednokrotnego platformy, należy używać tylko logowania jednokrotnego platformy. Nie należy tworzyć oddzielnych zasad rozszerzenia aplikacji logowania jednokrotnego. |
Rozszerzenie aplikacji logowania jednokrotnego
Ta funkcja ma zastosowanie do:
- iOS/iPadOS
- macOS
Wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft obejmuje dwie funkcje logowania jednokrotnego — logowanie jednokrotne platformy i rozszerzenie aplikacji logowania jednokrotnego. Ta sekcja koncentruje się na rozszerzeniu aplikacji logowania jednokrotnego.
Rozszerzenie aplikacji logowania jednokrotnego zapewnia logowania jednokrotnego do aplikacji, witryn internetowych i kont, które używają identyfikatora Microsoft Entra do uwierzytelniania, w tym:
- Aplikacje platformy Microsoft 365
- Aplikacje opracowane w celu wyszukiwania magazynu poświadczeń użytkownika w logowaniu jednokrotnym na urządzeniu
- Lokalne konta usługi Active Directory we wszystkich aplikacjach, które obsługują funkcję logowania jednokrotnego przedsiębiorstwa firmy Apple
✅ W przypadku urządzeń z systemem iOS/iPadOS rozszerzenie aplikacji logowania jednokrotnego jest dostępne samodzielnie. W związku z tym możesz skonfigurować rozszerzenie aplikacji logowania jednokrotnego i używać go dla aplikacji & witryn internetowych.
✅ W przypadku urządzeń z systemem macOS rozszerzenie aplikacji logowania jednokrotnego jest dostępne samodzielnie i jest również uwzględnione w logowanie jednokrotne platformy. Dlatego możesz skonfigurować rozszerzenie aplikacji logowania jednokrotnego i używać go tylko wtedy, gdy nie chcesz używać logowania jednokrotnego platformy. Jeśli używasz logowania jednokrotnego platformy, skonfigurujesz tylko logo jednokrotne platformy, ponieważ obejmuje ono rozszerzenie aplikacji logowania jednokrotnego.
Rozszerzenie aplikacji logowania jednokrotnego jest rozszerzeniem aplikacji logowania jednokrotnego typu przekierowania. Jest ona dostępna dla usług Intune, Jamf Pro i innych rozwiązań MDM. W usłudze Intune rozszerzenie aplikacji logowania jednokrotnego używa zasad konfiguracji urządzenia z identyfikatorem Microsoft Entra jako typu rozszerzenia aplikacji logowania jednokrotnego.
Te ustawienia umożliwiają skonfigurowanie rozszerzeń aplikacji logowania jednokrotnego typu przekierowania i poświadczeń. Konkretnie:
Typ przekierowania jest przeznaczony dla nowoczesnych protokołów uwierzytelniania, takich jak OpenID Connect, OAuth i SAML2. Możesz wybrać między rozszerzeniem logowania jednokrotnego w usłudze Microsoft Entra (wtyczka logowania jednokrotnego w przedsiębiorstwie firmy Microsoft i ogólnym rozszerzeniem przekierowania).
Typ poświadczeń jest przeznaczony dla przepływów uwierzytelniania typu challenge-and-response. Możesz wybrać między rozszerzeniem poświadczeń specyficznym dla protokołu Kerberos dostarczonym przez firmę Apple a ogólnym rozszerzeniem poświadczeń.
Rozszerzenie aplikacji logowania jednokrotnego powinno współdziałać z dowolnym rozwiązaniem MDM spoza firmy Microsoft lub partnerem. Rozszerzenie musi być wdrożone jako rozszerzenie logowania jednokrotnego protokołu kerberos lub wdrożone jako niestandardowy profil konfiguracji ze wszystkimi skonfigurowanymi wymaganymi właściwościami.
Aby uzyskać więcej informacji na temat rozszerzenia aplikacji logowania jednokrotnego, przejdź do:
iOS/iPadOS:
macOS:
Podsumowanie funkcji rozszerzenia aplikacji logowania jednokrotnego
Poniższa tabela zawiera podsumowanie funkcji rozszerzenia aplikacji logowania jednokrotnego w usłudze Intune. Te informacje umożliwiają określenie, czy ta opcja logowania jednokrotnego jest odpowiednia dla Twojej organizacji.
Funkcja | Szczegóły |
---|---|
Obsługa platformy |
✅ System iOS/iPadOS 13.0 i nowsze ✅ System macOS 10.15 i nowsze |
Obsługiwane typy rejestracji | iOS/iPadOS: ✅ Rejestrowanie urządzeń ✅ Automatyczna rejestracja urządzeń (nadzorowana) ✅ Rejestracja użytkownika ✅ Rejestracja bezpośrednia (Apple Configurator) macOS: ✅ Rejestracja urządzeń zatwierdzonych przez użytkownika ✅ Automatyczna rejestracja urządzeń (nadzorowana) ✅ Rejestracja bezpośrednia (Apple Configurator) |
Obsługiwane typy uwierzytelniania |
✅ Rozszerzenie aplikacji logowania jednokrotnego typu przekierowania, w tym identyfikator Entra firmy Microsoft ✅ Rozszerzenie aplikacji poświadczeń ✅ Wbudowane rozszerzenie Kerberos firmy Apple |
Obsługiwane typy aplikacji |
✅ Aplikacje platformy Microsoft 365 ✅ Aplikacje, witryny internetowe lub usługi zintegrowane z identyfikatorem Microsoft Entra ✅ Aplikacje, witryny internetowe lub usługi, które obsługują logowanie jednokrotne przedsiębiorstwa firmy Apple i są zintegrowane z lokalną usługą Active Directory |
Typ zasad centrum administracyjnego usługi Intune |
Szablon funkcji urządzenia pod adresem: Urządzeń>Zarządzanie urządzeniami>Konfiguracja>Tworzyć>Nowe zasady>iOS/iPadOS lub macOS for platform >Templates>Funkcje urządzenia dla typu > profilu Rozszerzenie aplikacji do logowania jednokrotnego |
Zalecenie |
✅ Zalecane w systemie iOS/iPadOS. ❌ Nie preferowane na urządzeniach z systemem macOS. Na urządzeniach z systemem macOS możesz samodzielnie użyć rozszerzenia aplikacji logowania jednokrotnego. Zalecamy jednak użycie logowania jednokrotnego platformy. Jeśli używasz również logowania jednokrotnego platformy dla systemu macOS, nie należy tworzyć oddzielnych zasad rozszerzenia aplikacji logowania jednokrotnego. Rozszerzenie aplikacji logowania jednokrotnego jest zawarte w konfiguracji logowania jednokrotnego platformy. |
Szablon logowania jednokrotnego
Uwaga
Zamiast tych ustawień logowania jednokrotnego firma Apple zaleca użycie rozszerzenia aplikacji logowania jednokrotnego (w tym artykule).
Dotyczy:
- System iOS 7.0 i nowsze
- System iPadOS 13.0 i nowsze
Te zasady logowania jednokrotnego są oparte na protokole Kerberos. Kerberos to protokół uwierzytelniania sieciowego, który używa kryptografii klucza tajnego do uwierzytelniania aplikacji klient-serwer. Ustawienia zasad usługi Intune definiują informacje o koncie protokołu Kerberos podczas uzyskiwania dostępu do serwerów lub określonych aplikacji oraz obsługują wyzwania protokołu Kerberos dla stron internetowych i aplikacji natywnych.
Aby uzyskać listę ustawień, które można skonfigurować w usłudze Intune, przejdź do pozycji Logowanie jednokrotne w systemie iOS/iPadOS.
Aby korzystać z logowania jednokrotnego, upewnij się, że masz następujące elementy:
- Aplikacja opracowana w celu wyszukiwania magazynu poświadczeń użytkownika w logowaniu jednokrotnym na urządzeniu.
- Usługa Intune skonfigurowana dla logowania jednokrotnego urządzenia z systemem iOS/iPadOS.
Podsumowanie funkcji logowania jednokrotnego
Poniższa tabela zawiera podsumowanie funkcji logowania jednokrotnego w usłudze Intune. Te informacje umożliwiają określenie, czy ta opcja logowania jednokrotnego jest odpowiednia dla Twojej organizacji.
Funkcja | Szczegóły |
---|---|
Obsługa platformy |
✅ System iOS 7.0 i nowsze ✅ iPadOS 13.0 i nowsze ❌ macOS |
Obsługiwane typy rejestracji |
✅ Rejestrowanie urządzeń ✅ Automatyczna rejestracja urządzeń (nadzorowana) ❌ Rejestracja użytkownika ❌ Rejestracja bezpośrednia (Apple Configurator) |
Obsługiwane typy uwierzytelniania | Może używać tylko uwierzytelniania logowania jednokrotnego protokołu Kerberos. — Wprowadź informacje o koncie protokołu Kerberos, gdy użytkownicy uzyskują dostęp do serwerów lub aplikacji. — Nie jest implementacją protokołu Kerberos firmy Apple. — Obsługuje wyzwania protokołu Kerberos dla stron internetowych i aplikacji |
Obsługiwane typy aplikacji | Witryna internetowa i natywne aplikacje obsługujące uwierzytelnianie Kerberos. Aby wyszukać magazyn poświadczeń użytkownika w logowaniu jednokrotnym na urządzeniu, należy zakodować aplikację. |
Typ zasad centrum administracyjnego usługi Intune |
Szablon funkcji urządzenia pod adresem: Urządzeń>Zarządzanie urządzeniami>Konfiguracja>Tworzyć>Nowe zasady>iOS/iPadOS for platform >Templates>Funkcje urządzenia dla typu > profilu Logowanie jednokrotne |
Zalecenie | ❌ Niezalecane. Zamiast tego firma Microsoft zaleca korzystanie z rozszerzenia aplikacji logowania jednokrotnego (w tym artykule). |
Rozszerzenie aplikacji logowania jednokrotnego a szablon logowania jednokrotnego
Funkcja rozszerzenia aplikacji do logowania jednokrotnego jest inna niż funkcja logowania jednokrotnego . Użyj poniższej tabeli do porównania.
Rozszerzenie aplikacji do logowania jednokrotnego | Logowanie jednokrotne | |
---|---|---|
Obsługiwane platformy |
✅ System iOS/iPadOS 13.0 i nowsze ✅ System macOS 10.15 i nowsze |
✅ System iOS 7.0 i nowsze ✅ iPadOS 13.0 i nowsze ❌ macOS |
Opis | Definiowanie rozszerzeń do użycia przez dostawców tożsamości lub organizacje w celu zapewnienia bezproblemowego logowania w przedsiębiorstwie. Używa systemu operacyjnego Firmy Apple do uwierzytelniania. | Zdefiniuj informacje o koncie protokołu Kerberos, gdy użytkownicy uzyskują dostęp do serwerów lub aplikacji. |
Uwierzytelnianie | Z perspektywy tworzenia aplikacji można użyć dowolnego typu przekierowania logowania jednokrotnego lub uwierzytelniania logowania jednokrotnego poświadczeń. | Z perspektywy tworzenia aplikacji można używać tylko uwierzytelniania logowania jednokrotnego protokołu Kerberos. |
Implementacja firmy Apple | Opracowana przez firmę Apple i wbudowana w platformy iOS/iPadOS 13.0+ i macOS 10.15+. Wbudowane rozszerzenie Kerberos może służyć do logowania użytkowników do natywnych aplikacji i witryn internetowych, które obsługują uwierzytelnianie Kerberos. | Nie implementacja protokołu Kerberos firmy Apple. |
Zalecenie | Zalecane. Zapewnia ulepszone środowisko użytkownika końcowego. Obsługuje ona wyzwania protokołu Kerberos dla stron internetowych, obsługuje zmiany haseł i działa lepiej w sieciach przedsiębiorstwa. Podejmując decyzję o użyciu protokołu Kerberos w rozszerzeniu aplikacji logowania jednokrotnego lub szablonie logowania jednokrotnego , zalecamy korzystanie z rozszerzenia aplikacji logowania jednokrotnego ze względu na lepszą wydajność i możliwości. |
Niezalecane. Obsługuje ona wyzwania protokołu Kerberos dla stron internetowych. |
Artykuły pokrewne
Aby uzyskać informacje o wtyczce logowania jednokrotnego przedsiębiorstwa firmy Microsoft i identyfikatorze Entra firmy Microsoft, przejdź do wtyczki logowania jednokrotnego przedsiębiorstwa firmy Microsoft dla urządzeń firmy Apple.
Aby uzyskać informacje od firmy Apple dotyczące ładunku rozszerzenia logowania jednokrotnego, przejdź do ustawień ładunku rozszerzeń logowania jednokrotnego (otwiera witrynę internetową firmy Apple).
Aby uzyskać informacje na temat rozwiązywania problemów z rozszerzeniem logowania jednokrotnego przedsiębiorstwa firmy Microsoft, przejdź do tematu Rozwiązywanie problemów z wtyczką Rozszerzenia logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach firmy Apple.