Compartilhar via


Utilizar o plug-in SSO do Microsoft Enterprise em dispositivos macOS

O plug-in SSO do Microsoft Enterprise é uma funcionalidade no Microsoft Entra ID que fornece funcionalidades de início de sessão único (SSO) para dispositivos Apple. Esse plug-in usa a estrutura de extensão de aplicativo de logon único da Apple.

A extensão da aplicação SSO fornece início de sessão único em aplicações e sites que utilizam o Microsoft Entra ID para autenticação, incluindo aplicações do Microsoft 365. Reduz o número de pedidos de autenticação que os utilizadores recebem quando utilizam dispositivos geridos pela Gestão de Dispositivos Móveis (MDM), incluindo qualquer MDM que suporte a configuração de perfis SSO.

Esse recurso aplica-se a:

Em dispositivos macOS, pode configurar as definições da extensão da aplicação SSO em dois locais no Intune:

  • Modelo de funcionalidades do dispositivo (este artigo) – esta opção configura apenas a extensão da aplicação SSO e utiliza o seu fornecedor de MDM, como o Intune, para implementar as definições nos dispositivos.

    Utilize este artigo se apenas quiser configurar as definições da extensão da aplicação SSO e não quiser configurar também o SSO da Plataforma.

  • Catálogo de Definições – esta opção configura o SSO da Plataforma e a extensão da aplicação SSO em conjunto. Utilize o Intune para implementar as definições nos seus dispositivos.

    Utilize as definições do catálogo de definições se pretender configurar as definições do SSO da Plataforma e da extensão da aplicação SSO. Para obter mais informações, aceda a Configurar o SSO da plataforma para dispositivos macOS no Microsoft Intune.

Para obter uma descrição geral das suas opções de SSO em dispositivos Apple, aceda a Descrição geral do SSO e opções para dispositivos Apple no Microsoft Intune.

Este artigo mostra como criar uma política de configuração de extensão de aplicação SSO para dispositivos MacOS Apple com o Intune, Jamf Pro e outras soluções mdm.

Se pretender configurar as definições da extensão da aplicação SSO e SSO da Plataforma em conjunto, aceda a Configurar o SSO da plataforma para dispositivos macOS no Microsoft Intune.

Suporte de aplicações

Para que as suas aplicações utilizem o plug-in SSO do Microsoft Enterprise, tem duas opções:

  • Opção 1 – MSAL: as aplicações que suportam a Biblioteca de Autenticação da Microsoft (MSAL) tiram partido automaticamente do plug-in SSO do Microsoft Enterprise. Por exemplo, as aplicações do Microsoft 365 suportam a MSAL. Por isso, utilizam automaticamente o plug-in.

    Se a sua organização criar as suas próprias aplicações, o programador da sua aplicação pode adicionar uma dependência à MSAL. Esta dependência permite que a sua aplicação utilize o plug-in SSO do Microsoft Enterprise.

    Para obter um tutorial de exemplo, aceda a Tutorial: Iniciar sessão de utilizadores e chamar o Microsoft Graph a partir de uma aplicação iOS ou macOS.

  • Opção 2 – AllowList: as aplicações que não suportam ou não foram desenvolvidas com a MSAL podem utilizar a extensão da aplicação SSO. Estas aplicações incluem browsers como o Safari e aplicações que utilizam APIs de vista Web do Safari.

    Para estas aplicações não MSAL, adicione o ID ou prefixo do pacote de aplicação à configuração da extensão na política de extensão da aplicação SSO do Intune (neste artigo).

    Por exemplo, para permitir uma aplicação Microsoft que não suporta MSAL, adicione com.microsoft. à propriedade AppPrefixAllowList na sua política do Intune. Tenha cuidado com as aplicações que permite, pois podem ignorar pedidos de início de sessão interativos para o utilizador com sessão iniciada.

    Para obter mais informações, aceda ao plug-in SSO do Microsoft Enterprise para dispositivos Apple – aplicações que não utilizam MSAL.

Pré-requisitos

Para utilizar o plug-in SSO do Microsoft Enterprise em dispositivos macOS:

  • O dispositivo é gerido pela MDM pelo Intune.
  • O dispositivo deve oferecer suporte ao plug-in:
    • macOS 10.15 e mais recente
  • A aplicação Portal da Empresa da Microsoft tem de estar instalada e configurada no dispositivo.
  • Os requisitos de plug-in do SSO Empresarial estão configurados, incluindo os URLs de configuração de rede da Apple.

Plug-in SSO do Microsoft Enterprise em comparação com a extensão de SSO do Kerberos

Quando utiliza a extensão da aplicação SSO, utiliza o Tipo de Payload SSO ou Kerberos para autenticação. A extensão do aplicativo SSO foi projetada para melhorar a experiência de entrada para aplicativos e sites que usam esses métodos de autenticação.

O plug-in SSO do Microsoft Enterprise usa o Tipo de Conteúdo SSO com a autenticação do Redirecionamento. Os tipos de extensão SSO Redirect e Kerberos podem ser usados em um dispositivo ao mesmo tempo. Não deixe de criar perfis de dispositivo separados para cada tipo de extensão que você planeja usar em seus dispositivos.

Para determinar o tipo de extensão de SSO correta para seu cenário, use a seguinte tabela:


Plug-in SSO do Microsoft Enterprise para dispositivos Apple Extensão de aplicativo de logon único com Kerberos
Utiliza o tipo de extensão da aplicação SSO do Microsoft Entra ID Usa o tipo de extensão do aplicativo SSO do Kerberos
Dá suporte aos seguintes aplicativos:
– Microsoft 365
- Aplicações, sites ou serviços integrados com o Microsoft Entra ID
Dá suporte aos seguintes aplicativos:
– Aplicativos, sites ou serviços integrados ao AD

Para obter mais informações sobre a extensão da aplicação SSO, aceda a Descrição geral do SSO e opções para dispositivos Apple no Microsoft Intune.

Criar uma política de configuração da extensão de aplicação de início de sessão único

Esta secção mostra como criar uma política de extensão de aplicação SSO. Para obter informações sobre o SSO da plataforma, aceda a Configurar o SSO da plataforma para dispositivos macOS no Microsoft Intune.

No centro de administração do Microsoft Intune, crie um perfil de configuração de dispositivo. Esse perfil inclui as configurações para definir a extensão do aplicativo SSO em dispositivos.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Dispositivos gerenciados>Configuração>Criar>Nova política.

  3. Insira as seguintes propriedades:

    • Plataforma: selecione macOS.
    • Tipo de perfil: selecione Modelos Funcionalidades>do dispositivo.
  4. Selecione Criar:

    Captura de ecrã que mostra como criar um perfil de configuração de funcionalidades do dispositivo para macOS no Intune.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é a extensão da aplicação macOS-SSO.
    • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.
  6. Selecione Avançar.

  7. Em Definições de configuração, selecione Extensão de aplicativo de logon único e configure as seguintes propriedades:

    • Tipo de extensão da aplicação SSO: selecione Microsoft Entra ID:

      Captura de ecrã que mostra o tipo de extensão da aplicação SSO e o ID do Microsoft Entra para macOS no Intune

    • ID do lote de aplicativo: insira uma lista de IDs de pacote para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Para obter mais informações, aceda a Aplicações que não utilizam MSAL.

    • Configuração adicional: para personalizar a experiência do usuário final, você pode adicionar as propriedades a seguir. Estas propriedades são os valores predefinidos utilizados pela extensão da aplicação SSO, mas podem ser personalizadas para as necessidades da sua organização:

      Chave Tipo Descrição
      AppPrefixAllowList Cadeia de Caracteres Valor recomendado: com.microsoft.,com.apple.

      Insira uma lista de prefixos para aplicativos que não dão suporte à MSAL e que têm permissão para usar o SSO. Por exemplo, introduza com.microsoft.,com.apple. para permitir todas as aplicações Microsoft e Apple.

      Certifique-se de que esses aplicativos atendam aos requisitos da lista de permitidos.
      browser_sso_interaction_enabled Inteiro Valor recomendado: 1

      Quando definido como 1, os usuários podem entrar por meio do navegador Safari e por meio de aplicativos que não dão suporte à MSAL. Habilitar essa configuração permite que os usuários inicializem a extensão por meio do Safari ou de outros aplicativos.
      disable_explicit_app_prompt Inteiro Valor recomendado: 1

      Alguns aplicativos podem impor incorretamente solicitações ao usuário final na camada de protocolo. Se você vir esse problema, os usuários serão solicitados a entrar, mesmo que o plug-in SSO do Microsoft Enterprise funcione para outros aplicativos.

      Quando definido como 1 (um), você reduz essas solicitações.

      Dica

      Para obter mais informações sobre estas propriedades e outras propriedades que pode configurar, aceda ao plug-in SSO do Microsoft Enterprise para dispositivos Apple.

      Quando terminar de configurar as definições recomendadas, as definições têm um aspeto semelhante aos seguintes valores no perfil de configuração do Intune:

      Captura de ecrã que mostra as opções de configuração da experiência do utilizador final para o plug-in da extensão da aplicação SSO Empresarial em dispositivos macOS no Microsoft Intune.

  8. Continue a criar o perfil e atribua o perfil aos utilizadores ou grupos que recebem estas definições. Para obter os passos específicos, aceda a Criar o perfil.

    Para obter orientações sobre a atribuição de perfis, aceda a Atribuir perfis de utilizador e de dispositivo.

Quando a política estiver pronta, atribua a política aos seus utilizadores. A Microsoft recomenda que atribua a política quando o dispositivo for inscrito no Intune. No entanto, pode ser atribuído a qualquer momento, incluindo em dispositivos existentes. Quando o dispositivo faz o check-in com o serviço do Intune, recebe este perfil. Para obter mais informações, aceda a Intervalos de atualização de políticas.

Para verificar se o perfil foi implementado corretamente, no centro de administração do Intune, aceda a Dispositivos>Gerir dispositivos>Configuração> selecione o perfil que criou e gere um relatório:

Captura de ecrã que mostra o relatório de implementação do perfil de configuração de dispositivos macOS no Microsoft Intune.

Experiência do usuário final

Fluxograma de utilizador final ao instalar a extensão da aplicação SSO em dispositivos macOS no Microsoft Intune.

  • Se não estiver a implementar a aplicação Portal da Empresa com uma política de aplicação, os utilizadores têm de instalá-la manualmente. Os utilizadores não precisam de utilizar a aplicação Portal da Empresa, apenas precisam de ser instalados no dispositivo.

  • Os usuários entrarão em qualquer aplicativo ou site com suporte para inicializar a extensão. A inicialização é o processo de entrar pela primeira vez, que configura a extensão.

  • Depois que os usuários entrarem com êxito, a extensão será usada automaticamente para entrar em qualquer outro aplicativo ou site com suporte.

Pode testar o início de sessão único ao abrir o Safari no modo privado (abre o site da Apple) e ao abrir o https://portal.office.com site. Não será necessário nenhum nome de utilizador e palavra-passe.

Os usuários entrarão no aplicativo ou site para inicializar a extensão do aplicativo SSO em dispositivos iOS/iPadOS e macOS no Microsoft Intune.

No macOS, quando os utilizadores iniciam sessão numa aplicação escolar ou profissional, é-lhes pedido que optem ativamente por participar ou não no SSO. Podem selecionar Não voltar a pedir-me para optar ativamente por não participar no SSO e bloquear pedidos futuros.

Os usuários também podem gerenciar as preferências de SSO no aplicativo Portal da Empresa para macOS. Para editar preferências, aceda à barra > de menus da aplicação Portal da EmpresaDefinições do Portal> da Empresa. Podem selecionar ou desselecionar Não me peça para iniciar sessão com o início de sessão único para este dispositivo.

Não me peça para iniciar sessão com o início de sessão único para este dispositivo.

Dica

Saiba mais sobre como funciona o plug-in SSO e como resolver problemas da Extensão SSO do Microsoft Enterprise com o guia de resolução de problemas do SSO para dispositivos Apple.