Microsoft Intune 中 Apple 设备的单一登录 (SSO) 概述和选项

Apple 设备可以使用单一登录 (SSO) 使用其Microsoft Entra ID 访问设备、应用和网站。 SSO 允许用户每次登录并获取访问权限,而无需每次输入其凭据。

此功能适用于:

  • iOS/iPadOS
  • macOS

设备和大多数应用(包括业务线 (LOB) 应用)都需要一定程度的用户身份验证。 在许多情况下,此类身份验证要求用户重复输入相同凭据。

管理员可以使用 Microsoft Intune 来创建和部署 SSO 策略。 开发人员可以创建支持并使用单一登录的应用, (SSO) 。 将 Intune SSO 策略与支持 SSO 的应用组合在一起时,应用和网站的凭据提示数会减少。

若要在 Intune 中为 Apple 设备配置 SSO,可以使用以下选项:

本文概述了 Intune 中适用于 Apple 设备的 SSO 选项及其支持的平台。

平台 SSO

此功能适用于:

  • macOS

Microsoft企业 SSO 插件包括两个 SSO 功能 - 平台 SSOSSO 应用扩展。 本部分重点介绍 平台 SSO

在 macOS 设备上,用户通常使用本地帐户登录。 然后,他们使用其Microsoft Entra ID 登录到应用和网站。

使用平台 SSO:

  • 组织可以:

    • 选择满足业务需求的身份验证方法。 选项包括安全 Enclave 无密码密钥身份验证、Microsoft Entra 用户帐户 & 密码或智能卡身份验证。

    • 使用 SSO 应用扩展,因为 SSO 应用扩展是平台 SSO 的一部分。 具体而言,你将:

      • 使用 SSO 应用扩展使用 entra ID Microsoft登录到应用和网站。
      • 使用平台 SSO 增强 SSO 配置。 可以配置不同的身份验证方法,在登录时创建新的组织用户,并为用户分配授权模式。
  • 最终用户:

    • Microsoft Entra ID 与 Microsoft Enterprise SSO 插件集成后,获得更安全的登录体验。
    • 与 SSO 应用扩展结合使用时,获取单一登录体验。 SSO 应用扩展允许将 Touch ID 和密钥与 Microsoft Entra ID 一起使用。
    • 可以使用其 Microsoft Entra 用户帐户登录,并尽量减少在 macOS 设备上输入Microsoft Entra 凭据所需的次数。

有关平台 SSO 和入门的详细信息,请转到 在 Intune 中为 macOS 设备配置平台 SSO

平台 SSO 功能摘要

下表总结了 Intune 中的平台 SSO 功能。 使用此信息来确定平台 SSO 是否适合你的组织。

功能 详细信息
平台支持 ❌ iOS/iPadOS
✅ macOS 13.0 及更新版本
支持的注册类型 ✅ 设备注册
✅ 自动化设备注册 (监督)
❌ 用户注册
✅ 直接注册 (Apple Configurator)
支持的身份验证类型 ✅ 保护 Enclave (UserSecureEnclaveKey)
✅ 密码 (Microsoft Entra ID)
✅ 智能卡
支持的应用类型 ✅ Microsoft 365 个应用
✅ 与 Microsoft Entra ID 集成的应用、网站或服务
✅ 支持 Apple Enterprise SSO 并与本地 Active Directory 集成的应用、网站或服务
Intune 管理中心策略类型 设置目录 策略位于:

设备>管理设备>配置>创造>新策略>macOS for platform > 配置文件类型的>设置目录身份验证>可扩展单一登录 (SSO)
建议 ✅ 推荐。

使用平台 SSO,因为它还包括 SSO 应用扩展。 可以自行使用 SSO 应用扩展,但这不是首选。

若要使用平台 SSO,必须仅使用平台 SSO。 不要创建单独的 SSO 应用扩展策略。

SSO 应用扩展

此功能适用于:

  • iOS/iPadOS
  • macOS

Microsoft企业 SSO 插件包括两个 SSO 功能 - 平台 SSOSSO 应用扩展。 本部分重点介绍 SSO 应用扩展

SSO 应用扩展为使用 Microsoft Entra ID 进行身份验证的应用、网站和帐户提供 SSO,包括:

  • Microsoft 365 应用
  • 开发用于在设备上的单一登录中查找用户凭据存储的应用
  • 支持 Apple 企业 SSO 功能的所有应用中的本地 Active Directory 帐户

对于 iOS/iPadOS 设备,SSO 应用扩展本身可用。 因此,可以为应用配置和使用 SSO 应用扩展,& 网站。

对于 macOS 设备,SSO 应用扩展本身可用,并且也包含在平台 SSO 中。 因此,如果不想使用平台 SSO,则只能配置和使用 SSO 应用扩展。 如果使用平台 SSO,则仅配置平台 SSO,因为它包括 SSO 应用扩展。

SSO 应用扩展是重定向类型的 SSO 应用扩展。 它适用于 Intune、Jamf Pro 和其他 MDM 解决方案。 在 Intune 中,SSO 应用扩展使用设备配置策略,Microsoft Entra ID 作为 SSO 应用扩展类型。

这些设置可配置重定向类型和凭据类型 SSO 应用扩展。 具体来说:

  • 重定向类型设计用于新式身份验证协议,例如 OpenID Connect、OAuth 和 SAML2。 可以选择Microsoft Entra SSO 扩展 (Microsoft Enterprise SSO 插件 和通用重定向扩展。

  • 凭据类型设计用于质询和响应身份验证流。 可选择通用凭据扩展或者 Apple 提供的 Kerberos 专属凭据扩展。

    SSO 应用扩展应适用于任何非Microsoft或合作伙伴 MDM。 必须将扩展部署为 kerberos SSO 扩展,或将其部署为配置了所有必需属性的自定义配置文件。

有关 SSO 应用扩展的详细信息,请转到:

SSO 应用扩展功能摘要

下表汇总了 Intune 中的 SSO 应用扩展功能。 使用此信息来确定此 SSO 选项是否适合你的组织。

功能 详细信息
平台支持 ✅ iOS/iPadOS 13.0 及更新
✅ macOS 10.15 及更新版本
支持的注册类型 iOS/iPadOS:
✅ 设备注册
✅ 自动化设备注册 (监督)
✅ 用户注册
✅ 直接注册 (Apple Configurator)

macOS:
✅ 用户批准的设备注册
✅ 自动化设备注册 (监督)
✅ 直接注册 (Apple Configurator)
支持的身份验证类型 ✅ 重定向类型 SSO 应用扩展,包括Microsoft Entra ID
✅ 凭据应用扩展
✅ Apple 的内置 Kerberos 扩展
支持的应用类型 ✅ Microsoft 365 个应用
✅ 与 Microsoft Entra ID 集成的应用、网站或服务
✅ 支持 Apple 企业 SSO 并与本地 Active Directory 集成的应用、网站或服务
Intune 管理中心策略类型 设备功能 模板位于:

设备>管理设备>配置>创造>新策略>iOS/iPadOSmacOS 平台>模板> 配置文件类型的>设备功能单一登录应用扩展
建议 ✅ 建议在 iOS/iPadOS 上使用。

❌ 在 macOS 设备上不首选。

在 macOS 设备上,可以单独使用 SSO 应用扩展。 但是,建议改用平台 SSO。 如果还使用适用于 macOS 的平台 SSO,请不要创建单独的 SSO 应用扩展策略。 SSO 应用扩展包含在平台 SSO 配置中。

单一登录模板

注意

Apple 建议使用本文) 中的 SSO 应用扩展 (,而不是这些 SSO 设置。

应用于:

  • iOS 7.0 及更高版本
  • iPadOS 13.0 及更高版本

此单一登录策略基于 Kerberos。 Kerberos 是一种网络身份验证协议,它使用密钥加密来对客户端-服务器应用程序进行身份验证。 Intune 策略设置在访问服务器或特定应用时定义 Kerberos 帐户信息,并处理网页和本机应用的 Kerberos 挑战。

有关可在 Intune 中配置的设置列表,请转到 iOS/iPadOS 上的单一登录

若要使用单一登录,请务必确保:

  • 开发用于在设备上的单一登录中查找用户凭据存储的应用。
  • Intune 配置有 iOS/iPadOS 设备单一登录。

单一登录功能摘要

下表汇总了 Intune 中的单一登录功能。 使用此信息来确定此 SSO 选项是否适合你的组织。

功能 详细信息
平台支持 ✅ iOS 7.0 及更新版
✅ iPadOS 13.0 及更新版
❌ macOS
支持的注册类型 ✅ 设备注册
✅ 自动化设备注册 (监督)
❌ 用户注册
❌ 直接注册 (Apple Configurator)
支持的身份验证类型 只能使用 Kerberos SSO 身份验证。
- 在用户访问服务器或应用时输入 Kerberos 帐户信息。
- 不是 Kerberos 的 Apple 实现。
- 处理网页和应用的 Kerberos 挑战
支持的应用类型 支持 Kerberos 身份验证的网站和本机应用。 必须对应用进行编码才能在设备上的单一登录中查找用户凭据存储。
Intune 管理中心策略类型 设备功能 模板位于:

设备>管理设备>配置>创造>新策略>适用于平台>模板>的 iOS/iPadOS 配置文件类型的>设备功能单一登录
建议 ❌ 不建议这样做。 相反,Microsoft建议使用本文) 中的 SSO 应用扩展 (。

SSO 应用扩展与 SSO 模板

单一登录应用扩展功能不同于单一登录功能。 使用下表进行比较。

单一登录应用扩展 单一登录
支持的平台 ✅ iOS/iPadOS 13.0 及更新
✅ macOS 10.15 及更新版本
✅ iOS 7.0 及更新版
✅ iPadOS 13.0 及更新版
❌ macOS
说明 定义标识提供者或组织用于提供无缝企业登录体验的扩展。 它使用 Apple 操作系统进行身份验证。 为用户访问服务器或应用时定义 Kerberos 帐户信息。
身份验证 从应用开发的角度来看,可以使用任何类型的重定向 SSO 或凭据 SSO 身份验证。 从应用开发的角度来看,只能使用 Kerberos SSO 身份验证。
Apple 实现 由 Apple 开发,内置于 iOS/iPadOS 13.0+ 和 macOS 10.15+ 平台中。 内置的 Kerberos 扩展可用于将用户登录到支持 Kerberos 身份验证的本机应用和网站。 不是 Kerberos 的 Apple 实现。
建议 推荐。

提供改进的最终用户体验。 它处理网页的 Kerberos 挑战,支持密码更改,并在企业网络中表现更好。

在决定在 SSO 应用扩展单一登录 模板中使用 Kerberos 时,我们建议使用 SSO 应用扩展,因为性能和功能有所提高。
不建议。

它确实处理网页的 Kerberos 质询。