Microsoft Intune 中 Apple 设备的单一登录 (SSO) 概述和选项
Apple 设备可以使用单一登录 (SSO) 使用其Microsoft Entra ID 访问设备、应用和网站。 SSO 允许用户每次登录并获取访问权限,而无需每次输入其凭据。
此功能适用于:
- iOS/iPadOS
- macOS
设备和大多数应用(包括业务线 (LOB) 应用)都需要一定程度的用户身份验证。 在许多情况下,此类身份验证要求用户重复输入相同凭据。
管理员可以使用 Microsoft Intune 来创建和部署 SSO 策略。 开发人员可以创建支持并使用单一登录的应用, (SSO) 。 将 Intune SSO 策略与支持 SSO 的应用组合在一起时,应用和网站的凭据提示数会减少。
若要在 Intune 中为 Apple 设备配置 SSO,可以使用以下选项:
平台 SSO - Microsoft Entra ID 中 Microsoft Enterprise SSO 插件 的一部分,包括 SSO 应用扩展。 适用于 macOS 设备。
SSO 应用扩展 - Microsoft Entra ID Microsoft Enterprise SSO 插件 的一部分。 适用于 iOS/iPadOS 和 macOS 设备。
单一登录模板 - Intune 中的模板。 适用于 iOS/iPadOS 设备。
本文概述了 Intune 中适用于 Apple 设备的 SSO 选项及其支持的平台。
平台 SSO
此功能适用于:
- macOS
Microsoft企业 SSO 插件包括两个 SSO 功能 - 平台 SSO 和 SSO 应用扩展。 本部分重点介绍 平台 SSO。
在 macOS 设备上,用户通常使用本地帐户登录。 然后,他们使用其Microsoft Entra ID 登录到应用和网站。
使用平台 SSO:
组织可以:
选择满足业务需求的身份验证方法。 选项包括安全 Enclave 无密码密钥身份验证、Microsoft Entra 用户帐户 & 密码或智能卡身份验证。
使用 SSO 应用扩展,因为 SSO 应用扩展是平台 SSO 的一部分。 具体而言,你将:
- 使用 SSO 应用扩展使用 entra ID Microsoft登录到应用和网站。
- 使用平台 SSO 增强 SSO 配置。 可以配置不同的身份验证方法,在登录时创建新的组织用户,并为用户分配授权模式。
最终用户:
- Microsoft Entra ID 与 Microsoft Enterprise SSO 插件集成后,获得更安全的登录体验。
- 与 SSO 应用扩展结合使用时,获取单一登录体验。 SSO 应用扩展允许将 Touch ID 和密钥与 Microsoft Entra ID 一起使用。
- 可以使用其 Microsoft Entra 用户帐户登录,并尽量减少在 macOS 设备上输入Microsoft Entra 凭据所需的次数。
有关平台 SSO 和入门的详细信息,请转到 在 Intune 中为 macOS 设备配置平台 SSO。
平台 SSO 功能摘要
下表总结了 Intune 中的平台 SSO 功能。 使用此信息来确定平台 SSO 是否适合你的组织。
功能 | 详细信息 |
---|---|
平台支持 |
❌ iOS/iPadOS ✅ macOS 13.0 及更新版本 |
支持的注册类型 |
✅ 设备注册 ✅ 自动化设备注册 (监督) ❌ 用户注册 ✅ 直接注册 (Apple Configurator) |
支持的身份验证类型 |
✅ 保护 Enclave (UserSecureEnclaveKey) ✅ 密码 (Microsoft Entra ID) ✅ 智能卡 |
支持的应用类型 |
✅ Microsoft 365 个应用 ✅ 与 Microsoft Entra ID 集成的应用、网站或服务 ✅ 支持 Apple Enterprise SSO 并与本地 Active Directory 集成的应用、网站或服务 |
Intune 管理中心策略类型 |
设置目录 策略位于: 设备>管理设备>配置>创造>新策略>macOS for platform > 配置文件类型的>设置目录身份验证>可扩展单一登录 (SSO) |
建议 |
✅ 推荐。 使用平台 SSO,因为它还包括 SSO 应用扩展。 可以自行使用 SSO 应用扩展,但这不是首选。 若要使用平台 SSO,必须仅使用平台 SSO。 不要创建单独的 SSO 应用扩展策略。 |
SSO 应用扩展
此功能适用于:
- iOS/iPadOS
- macOS
Microsoft企业 SSO 插件包括两个 SSO 功能 - 平台 SSO 和 SSO 应用扩展。 本部分重点介绍 SSO 应用扩展。
SSO 应用扩展为使用 Microsoft Entra ID 进行身份验证的应用、网站和帐户提供 SSO,包括:
- Microsoft 365 应用
- 开发用于在设备上的单一登录中查找用户凭据存储的应用
- 支持 Apple 企业 SSO 功能的所有应用中的本地 Active Directory 帐户
✅ 对于 iOS/iPadOS 设备,SSO 应用扩展本身可用。 因此,可以为应用配置和使用 SSO 应用扩展,& 网站。
✅ 对于 macOS 设备,SSO 应用扩展本身可用,并且也包含在平台 SSO 中。 因此,如果不想使用平台 SSO,则只能配置和使用 SSO 应用扩展。 如果使用平台 SSO,则仅配置平台 SSO,因为它包括 SSO 应用扩展。
SSO 应用扩展是重定向类型的 SSO 应用扩展。 它适用于 Intune、Jamf Pro 和其他 MDM 解决方案。 在 Intune 中,SSO 应用扩展使用设备配置策略,Microsoft Entra ID 作为 SSO 应用扩展类型。
这些设置可配置重定向类型和凭据类型 SSO 应用扩展。 具体来说:
重定向类型设计用于新式身份验证协议,例如 OpenID Connect、OAuth 和 SAML2。 可以选择Microsoft Entra SSO 扩展 (Microsoft Enterprise SSO 插件 和通用重定向扩展。
凭据类型设计用于质询和响应身份验证流。 可选择通用凭据扩展或者 Apple 提供的 Kerberos 专属凭据扩展。
SSO 应用扩展应适用于任何非Microsoft或合作伙伴 MDM。 必须将扩展部署为 kerberos SSO 扩展,或将其部署为配置了所有必需属性的自定义配置文件。
有关 SSO 应用扩展的详细信息,请转到:
iOS/iPadOS:
macOS:
SSO 应用扩展功能摘要
下表汇总了 Intune 中的 SSO 应用扩展功能。 使用此信息来确定此 SSO 选项是否适合你的组织。
功能 | 详细信息 |
---|---|
平台支持 |
✅ iOS/iPadOS 13.0 及更新 ✅ macOS 10.15 及更新版本 |
支持的注册类型 | iOS/iPadOS: ✅ 设备注册 ✅ 自动化设备注册 (监督) ✅ 用户注册 ✅ 直接注册 (Apple Configurator) macOS: ✅ 用户批准的设备注册 ✅ 自动化设备注册 (监督) ✅ 直接注册 (Apple Configurator) |
支持的身份验证类型 |
✅ 重定向类型 SSO 应用扩展,包括Microsoft Entra ID ✅ 凭据应用扩展 ✅ Apple 的内置 Kerberos 扩展 |
支持的应用类型 |
✅ Microsoft 365 个应用 ✅ 与 Microsoft Entra ID 集成的应用、网站或服务 ✅ 支持 Apple 企业 SSO 并与本地 Active Directory 集成的应用、网站或服务 |
Intune 管理中心策略类型 |
设备功能 模板位于: 设备>管理设备>配置>创造>新策略>iOS/iPadOS 或 macOS 平台>模板> 配置文件类型的>设备功能单一登录应用扩展 |
建议 |
✅ 建议在 iOS/iPadOS 上使用。 ❌ 在 macOS 设备上不首选。 在 macOS 设备上,可以单独使用 SSO 应用扩展。 但是,建议改用平台 SSO。 如果还使用适用于 macOS 的平台 SSO,请不要创建单独的 SSO 应用扩展策略。 SSO 应用扩展包含在平台 SSO 配置中。 |
单一登录模板
注意
Apple 建议使用本文) 中的 SSO 应用扩展 (,而不是这些 SSO 设置。
应用于:
- iOS 7.0 及更高版本
- iPadOS 13.0 及更高版本
此单一登录策略基于 Kerberos。 Kerberos 是一种网络身份验证协议,它使用密钥加密来对客户端-服务器应用程序进行身份验证。 Intune 策略设置在访问服务器或特定应用时定义 Kerberos 帐户信息,并处理网页和本机应用的 Kerberos 挑战。
有关可在 Intune 中配置的设置列表,请转到 iOS/iPadOS 上的单一登录。
若要使用单一登录,请务必确保:
- 开发用于在设备上的单一登录中查找用户凭据存储的应用。
- Intune 配置有 iOS/iPadOS 设备单一登录。
单一登录功能摘要
下表汇总了 Intune 中的单一登录功能。 使用此信息来确定此 SSO 选项是否适合你的组织。
功能 | 详细信息 |
---|---|
平台支持 |
✅ iOS 7.0 及更新版 ✅ iPadOS 13.0 及更新版 ❌ macOS |
支持的注册类型 |
✅ 设备注册 ✅ 自动化设备注册 (监督) ❌ 用户注册 ❌ 直接注册 (Apple Configurator) |
支持的身份验证类型 | 只能使用 Kerberos SSO 身份验证。 - 在用户访问服务器或应用时输入 Kerberos 帐户信息。 - 不是 Kerberos 的 Apple 实现。 - 处理网页和应用的 Kerberos 挑战 |
支持的应用类型 | 支持 Kerberos 身份验证的网站和本机应用。 必须对应用进行编码才能在设备上的单一登录中查找用户凭据存储。 |
Intune 管理中心策略类型 |
设备功能 模板位于: 设备>管理设备>配置>创造>新策略>适用于平台>模板>的 iOS/iPadOS 配置文件类型的>设备功能单一登录 |
建议 | ❌ 不建议这样做。 相反,Microsoft建议使用本文) 中的 SSO 应用扩展 (。 |
SSO 应用扩展与 SSO 模板
单一登录应用扩展功能不同于单一登录功能。 使用下表进行比较。
单一登录应用扩展 | 单一登录 | |
---|---|---|
支持的平台 |
✅ iOS/iPadOS 13.0 及更新 ✅ macOS 10.15 及更新版本 |
✅ iOS 7.0 及更新版 ✅ iPadOS 13.0 及更新版 ❌ macOS |
说明 | 定义标识提供者或组织用于提供无缝企业登录体验的扩展。 它使用 Apple 操作系统进行身份验证。 | 为用户访问服务器或应用时定义 Kerberos 帐户信息。 |
身份验证 | 从应用开发的角度来看,可以使用任何类型的重定向 SSO 或凭据 SSO 身份验证。 | 从应用开发的角度来看,只能使用 Kerberos SSO 身份验证。 |
Apple 实现 | 由 Apple 开发,内置于 iOS/iPadOS 13.0+ 和 macOS 10.15+ 平台中。 内置的 Kerberos 扩展可用于将用户登录到支持 Kerberos 身份验证的本机应用和网站。 | 不是 Kerberos 的 Apple 实现。 |
建议 | 推荐。 提供改进的最终用户体验。 它处理网页的 Kerberos 挑战,支持密码更改,并在企业网络中表现更好。 在决定在 SSO 应用扩展 或 单一登录 模板中使用 Kerberos 时,我们建议使用 SSO 应用扩展,因为性能和功能有所提高。 |
不建议。 它确实处理网页的 Kerberos 质询。 |
相关文章
有关 Microsoft Enterprise SSO 插件和 Microsoft Entra ID 的信息,请转到 Microsoft Apple 设备的 Enterprise SSO 插件。
有关 Apple 关于单一登录扩展有效负载的信息,请转到 单一登录扩展有效负载设置 , (打开 Apple 网站) 。
有关对 Microsoft Enterprise SSO 扩展进行故障排除的信息,请转到 对 Apple 设备上的 Microsoft Enterprise SSO 扩展插件进行故障排除。