在 macOS 设备上使用 Microsoft Enterprise SSO 插件

Microsoft Enterprise SSO 插件是 Microsoft Entra ID 中的一项功能,可为 Apple 设备提供单一登录 (SSO) 功能。 此插件使用 Apple 单一登录应用扩展框架。

SSO 应用扩展提供对使用 Microsoft Entra ID 进行身份验证的应用和网站的单一登录,包括Microsoft 365 应用。 它减少了用户在使用移动设备管理管理 (MDM) 管理的设备(包括支持配置 SSO 配置文件的任何 MDM)时获取的身份验证提示数。

此功能适用于:

在 macOS 设备上,可以在 Intune 中的两个位置配置 SSO 应用扩展设置:

  • 设备功能模板 (本文) - 此选项仅配置 SSO 应用扩展,并使用 MDM 提供程序(如 Intune)将设置部署到设备。

    如果只想配置 SSO 应用扩展设置,而不想也配置平台 SSO,请使用本文。

  • 设置目录 - 此选项将平台 SSO 和 SSO 应用扩展一起配置。 使用 Intune 将设置部署到设备。

    如果要配置平台 SSO 和 SSO 应用扩展设置,请使用设置目录设置。 有关详细信息,请转到在 Microsoft Intune 中为 macOS 设备配置平台 SSO

有关 Apple 设备上的 SSO 选项的概述,请转到 Microsoft Intune 中适用于 Apple 设备的 SSO 概述和选项

本文介绍如何使用 Intune、Jamf Pro 和其他 MDM 解决方案为 macOS Apple 设备创建 SSO 应用扩展配置策略。

如果要同时配置平台 SSO 和 SSO 应用扩展设置,请转到 在 Intune 中配置 macOS 设备的平台 SSO Microsoft

应用支持

若要使应用使用 Microsoft Enterprise SSO 插件,有两个选项:

  • 选项 1 - MSAL:支持 Microsoft 身份验证库 (MSAL) 的应用会自动利用 Microsoft Enterprise SSO 插件。 例如,Microsoft 365 应用支持 MSAL。 因此,它们会自动使用该插件。

    如果组织创建自己的应用,则应用开发人员可以将依赖项添加到 MSAL。 此依赖项使应用能够使用 Microsoft Enterprise SSO 插件。

    有关示例教程,请转到 教程:从 iOS 或 macOS 应用登录用户并调用 Microsoft Graph

  • 选项 2 - AllowList:不支持或未使用 MSAL 开发的应用可以使用 SSO 应用扩展。 这些应用包括 Safari 等浏览器和使用 Safari Web 视图 API 的应用。

    对于这些非 MSAL 应用,请将应用程序捆绑 ID 或前缀添加到 Intune SSO 应用扩展策略 (本文) 中的扩展配置。

    例如,若要允许不支持 MSAL 的Microsoft应用,请将 添加到 com.microsoft. Intune 策略中的 AppPrefixAllowList 属性。 请注意允许的应用,它们可以绕过已登录用户的交互式登录提示。

    有关详细信息,请转到 Microsoft适用于 Apple 设备的企业 SSO 插件 - 不使用 MSAL 的应用

先决条件

若要在 macOS 设备上使用 Microsoft Enterprise SSO 插件,请执行以下操作:

  • 设备由 Intune 管理。
  • 设备必须支持插件:
    • macOS 10.15 及更高版本
  • 必须在设备上安装并配置Microsoft公司门户应用。
  • 配置了企业 SSO 插件要求,包括 Apple 网络配置 URL

Microsoft 企业 SSO 插件与 Kerberos SSO 扩展

使用 SSO 应用扩展时,请使用 SSOKerberos 有效负载类型进行身份验证。 SSO 应用扩展旨在改善使用这些身份验证方法的应用和网站的登录体验。

Microsoft 企业 SSO 插件使用 SSO 有效负载类型和 重定向 身份验证。 SSO 重定向和 Kerberos 扩展类型可以同时在一个设备上使用。 请务必为计划在设备上使用的每个扩展类型创建单独的设备配置文件。

若要为方案确定正确的 SSO 扩展类型,请使用下表:


适用于 Apple 设备的 Microsoft 企业 SSO 插件 使用 Kerberos 的单一登录应用扩展
使用 Microsoft Entra ID SSO 应用扩展类型 使用“Kerberos”SSO 应用扩展类型
支持以下应用:
- Microsoft 365
- 与 Microsoft Entra ID 集成的应用、网站或服务
支持以下应用:
- 与 AD 集成的应用、网站或服务

有关 SSO 应用扩展的详细信息,请转到 Microsoft Intune 中的 Apple 设备的 SSO 概述和选项

创建单一登录应用扩展配置策略

本部分介绍如何创建 SSO 应用扩展策略。 有关平台 SSO 的信息,请转到 在 Microsoft Intune 中为 macOS 设备配置平台 SSO

Microsoft Intune 管理中心,创建设备配置文件。 此配置文件包括用于在设备上配置 SSO 应用扩展的设置。

  1. 登录到Microsoft Intune 管理中心

  2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

  3. 输入以下属性:

    • 平台:选择 macOS
    • 配置文件类型:选择 “模板>”“设备功能”。
  4. 选择“ 创建”:

    显示如何在 Intune 中创建 macOS 的设备功能配置文件的屏幕截图。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入策略的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,一个好的策略名称是 macOS-SSO 应用扩展
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
  6. 选择 下一步

  7. 在“配置设置”中,选择“单一登录应用扩展”,并配置以下属性:

    • SSO 应用扩展类型:选择 “Microsoft Entra ID

      显示 Intune 中适用于 macOS 的 SSO 应用扩展类型和Microsoft Entra ID 的屏幕截图

    • 应用捆绑 ID:输入不支持 MSAL 且允许使用 SSO 的应用的捆绑 ID 列表。 有关详细信息,请转到 不使用 MSAL 的应用程序

    • 其他配置:若要自定义最终用户体验,可以添加以下属性。 这些属性是 SSO 应用扩展使用的默认值,但可以根据组织需要自定义这些属性:

      类型 说明
      AppPrefixAllowList String 建议的值com.microsoft.,com.apple.

      输入不支持 MSAL 且允许使用 SSO 的应用的前缀列表。 例如,输入 com.microsoft.,com.apple. 以允许所有Microsoft和 Apple 应用。

      请确保这些应用满足允许列表要求
      browser_sso_interaction_enabled 整数 建议的值1

      设置为 1 时,用户可以从 Safari 浏览器和不支持 MSAL 的应用登录。 启用此设置允许用户从 Safari 或其他应用启动扩展。
      disable_explicit_app_prompt 整数 建议的值1

      一些应用可能会在协议层上错误地强制执行最终用户提示。 如果看到此问题,系统会提示用户登录,即使 Microsoft 企业 SSO 插件适用于其他应用也是如此。

      如果设置为 1 (1),请减少这些提示。

      提示

      有关这些属性以及可配置的其他属性的详细信息,请转到 Microsoft Apple 设备的 Enterprise SSO 插件

      配置完建议的设置后,设置看起来类似于 Intune 配置文件中的以下值:

      显示 intune 中 macOS 设备上企业 SSO 应用扩展插件的最终用户体验配置选项 Microsoft的屏幕截图。

  8. 继续创建配置文件,并将配置文件分配给接收这些设置的用户或组。 有关具体步骤,请转到 创建配置文件

    有关分配配置文件的指导,请转到 分配用户和设备配置文件

策略准备就绪后,将策略分配给用户。 Microsoft建议在设备在 Intune 中注册时分配策略。 但是,可以随时分配它,包括在现有设备上。 当设备签入 Intune 服务时,它会收到此配置文件。 有关详细信息,请转到 策略刷新间隔

若要检查配置文件是否已正确部署,请在 Intune 管理中心,转到 “设备>管理设备>”“配置> ”,选择创建的配置文件并生成报告:

显示 Microsoft Intune 中的 macOS 设备配置文件部署报告的屏幕截图。

最终用户体验

在 Microsoft Intune 的 macOS 设备上安装 SSO 应用扩展时的最终用户流程图。

  • 如果不使用应用策略部署公司门户应用,则用户必须手动安装它。 用户无需使用公司门户应用,只需在设备上安装即可。

  • 用户需要登录到任何受支持的应用或网站以启动扩展。 启动是首次登录的过程,用于设置扩展。

  • 用户成功登录后,系统会自动使用扩展登录到任何其他受支持的应用或网站。

可以通过 在专用模式下打开 Safari 来测试单一登录, (打开 Apple 网站) 并打开网站 https://portal.office.com 。 不需要用户名和密码。

用户需要登录应用或网站,以在 Microsoft Intune 中的 iOS/iPadOS 和 macOS 设备上启动 SSO 应用扩展。

在 macOS 上,当用户登录到工作或学校应用时,系统会提示他们选择加入或退出 SSO。 他们可以选择“ 不再要求我 ”选择退出 SSO 并阻止将来的请求。

用户还可以在适用于 macOS 的公司门户应用中管理其 SSO 首选项。 若要编辑首选项,请转到公司门户应用菜单栏 >公司门户>设置。 他们可以选择或取消选择 “不要要求我为此设备使用单一登录登录”。

请勿要求我使用此设备的单一登录登录。

提示

使用 Apple 设备的 SSO 故障排除指南详细了解 SSO 插件的工作原理以及如何对 Microsoft Enterprise SSO 扩展进行故障排除。