Microsoft Intune 中 Apple 裝置的單一登入 (SSO) 概觀和選項
Apple 裝置可以使用單一登錄 (SSO) ,使用其Microsoft Entra ID 來存取裝置、應用程式和網站。 SSO 可讓使用者登入並取得存取權,而不需要每次輸入其認證。
本功能適用於:
- iOS/iPadOS
- macOS
裝置和大部分的應用程式,包括企業營運 (LOB) 應用程式,都需要某種層級的用戶驗證。 在許多情況下,驗證會要求使用者重複輸入相同的認證。
系統管理員可以使用 Microsoft Intune 來建立和部署 SSO 原則。 開發人員可以建立支援及使用單一登錄 (SSO) 的應用程式。 當您將 Intune SSO 原則與支援 SSO 的應用程式結合時,會減少應用程式和網站的認證提示數目。
若要在 Intune 中設定 Apple 裝置的 SSO,您有下列選項:
平臺 SSO - Microsoft Entra ID 中 Microsoft Enterprise SSO 外掛程式 的一部分,並包含 SSO 應用程式延伸模組。 適用於macOS裝置。
SSO 應用程式延伸 模組 - Microsoft Entra ID 中 Microsoft Enterprise SSO 外掛程式 的一部分。 適用於 iOS/iPadOS 和 macOS 裝置。
單一登錄範本 - Intune 中的範本。 適用於 iOS/iPadOS 裝置。
本文提供 Intune 中 Apple 裝置可用的 SSO 選項及其支援平臺的概觀。
平臺 SSO
本功能適用於:
- macOS
Microsoft Enterprise SSO 外掛程式包含兩個 SSO 功能 - 平臺 SSO 和 SSO 應用程式延伸模組。 本節著重於 平臺 SSO。
在macOS裝置上,使用者通常會使用本機帳戶登入。 然後,他們使用其Microsoft Entra ID 登入應用程式和網站。
使用平臺 SSO:
組織可以:
選擇符合您業務需求的驗證方法。 您的選項包括安全記憶體保護區無密碼密碼密碼驗證、Microsoft Entra 使用者帳戶 & 密碼或智慧卡驗證。
使用 SSO 應用程式延伸模組,因為 SSO 應用程式延伸模組是平臺 SSO 的一部分。 具體而言,您:
- 使用 SSO 應用程式擴充功能,以 Microsoft Entra ID 登入應用程式和網站。
- 使用平臺 SSO 來增強 SSO 設定。 您可以設定不同的驗證方法、在登入時建立新的組織使用者,以及為使用者指派授權模式。
終端使用者:
- 取得更安全的登入體驗,因為 Microsoft Entra ID 與 Microsoft Enterprise SSO 外掛程式整合。
- 與 SSO 應用程式擴充功能結合時,取得單一登錄體驗。 SSO 應用程式擴充功能允許搭配使用 Touch ID 和 passkeys 與 Microsoft Entra ID。
- 可以使用其 Microsoft Entra 使用者帳戶登入,並將在 macOS 裝置上輸入其 Microsoft Entra 認證所需的次數降至最低。
如需平臺 SSO 和入門的詳細資訊,請移至 在 Intune 中設定 macOS 裝置的平臺 SSO。
平臺 SSO 功能摘要
下表摘要說明 Intune 中的平臺 SSO 功能。 使用此資訊來判斷平臺 SSO 是否適合您的組織。
| 功能 | 詳細資料 |
|---|---|
| 平台支援 |
❌ iOS/iPadOS ✅ macOS 13.0 和更新版本 |
| 支援的註冊類型 |
✅ 裝置註冊 ✅ 自動化裝置註冊 (受監督) ❌ 用戶註冊 ✅ 直接註冊 (Apple Configurator) |
| 支援的驗證類型 |
✅ Secure Enclave (UserSecureEnclaveKey) ✅ 密碼 (Microsoft 識別碼) ✅ 智慧卡 |
| 支援的應用程式類型 |
✅ Microsoft 365 應用程式 ✅ 與 Microsoft Entra ID 整合的應用程式、網站或服務 ✅ 支援 Apple Enterprise SSO 並與內部部署 Active Directory 整合的應用程式、網站或服務 |
| Intune 系統管理中心原則類型 |
設定目錄 原則,位於: 設備>管理裝置>配置>創造>新原則>macOS for platform >Settings catalog for profile type >Authentication>Extensible Single Sign On (SSO) |
| 建議 |
✅ 推薦。 使用平臺 SSO,因為它也包含 SSO 應用程式延伸模組。 您可以自行使用 SSO 應用程式擴充功能,但不建議使用。 若要使用平臺 SSO,您必須只使用平臺 SSO。 請勿建立個別的 SSO 應用程式擴充原則。 |
SSO 應用程式延伸模組
本功能適用於:
- iOS/iPadOS
- macOS
Microsoft Enterprise SSO 外掛程式包含兩個 SSO 功能 - 平臺 SSO 和 SSO 應用程式延伸模組。 本節著重於 SSO 應用程式延伸模組。
SSO 應用程式延伸模組為使用 Microsoft Entra ID 進行驗證的應用程式、網站和帳戶提供 SSO,包括:
- Microsoft 365 應用程式
- 開發以在裝置上單一登錄中尋找使用者認證存放區的應用程式
- 支援 Apple 企業 SSO 功能的所有應用程式的內部部署 Active Directory 帳戶
✅ 針對 iOS/iPadOS 裝置,SSO 應用程式擴充功能可自行使用。 因此,您可以 & 網站設定及使用應用程式的 SSO 應用程式延伸模組。
✅ 針對 macOS 裝置,SSO 應用程式擴充功能可單獨使用,而且也包含在平臺 SSO 中。 因此,如果您不想使用平臺 SSO,則只能設定和使用 SSO 應用程式延伸模組。 如果您使用平臺 SSO,則只會設定平臺 SSO,因為它包含 SSO 應用程式延伸模組。
SSO 應用程式延伸模組是重新導向類型的 SSO 應用程式延伸模組。 它適用於 Intune、Jamf Pro 和其他 MDM 解決方案。 在 Intune 中,SSO 應用程式延伸模組會使用裝置設定原則,並以 Microsoft Entra ID 作為 SSO 應用程式延伸模組類型。
這些設定會設定 redirect-type 和 credential-type SSO 應用程式延伸模組。 特別是:
重新導向類型是針對新式驗證通訊協議所設計,例如 OpenID Connect、OAuth 和 SAML2。 您可以選擇 Microsoft Entra SSO 延伸模組 (Microsoft Enterprise SSO 外掛程式 和一般重新導向延伸模組。
認證類型是針對挑戰和響應驗證流程所設計。 您可以在 Apple 提供的 Kerberos 特定認證延伸模組與一般認證延伸模組之間進行選擇。
SSO 應用程式延伸模組應該與任何非Microsoft或合作夥伴 MDM 搭配使用。 延伸模組必須部署為 kerberos SSO 擴充功能,或部署為自定義組態配置檔,並已設定所有必要的屬性。
如需 SSO 應用程式延伸模組的詳細資訊,請移至:
iOS/iPadOS:
macOS:
SSO 應用程式延伸模組功能摘要
下表摘要說明 Intune 中的 SSO 應用程式延伸模組功能。 使用此資訊來判斷此 SSO 選項是否適合您的組織。
| 功能 | 詳細資料 |
|---|---|
| 平台支援 |
✅ iOS/iPadOS 13.0 和更新版本 ✅ macOS 10.15 和更新版本 |
| 支援的註冊類型 | iOS/iPadOS: ✅ 裝置註冊 ✅ 自動化裝置註冊 (受監督) ✅ 用戶註冊 ✅ 直接註冊 (Apple Configurator) macOS: ✅ 使用者核准的裝置註冊 ✅ 自動化裝置註冊 (受監督) ✅ 直接註冊 (Apple Configurator) |
| 支援的驗證類型 |
✅ 重新導向類型 SSO 應用程式延伸模組,包括 Microsoft Entra ID ✅ 認證應用程式延伸模組 ✅ Apple 的內建 Kerberos 擴充功能 |
| 支援的應用程式類型 |
✅ Microsoft 365 應用程式 ✅ 與 Microsoft Entra ID 整合的應用程式、網站或服務 ✅ 支援 Apple 企業 SSO 並與內部部署 Active Directory 整合的應用程式、網站或服務 |
| Intune 系統管理中心原則類型 |
裝置功能 範本位於: 設備>管理裝置>配置>創造>新原則>適用於平台>範>本的 iOS/iPadOS 或 macOS 配置檔類型的>裝置功能單一登錄應用程式延伸模組 |
| 建議 |
✅ 建議在 iOS/iPadOS 上使用。 ❌ 在macOS裝置上不建議使用。 在macOS裝置上,您可以單獨使用 SSO 應用程式擴充功能。 但是,我們建議您改用平臺 SSO。 如果您也使用適用於 macOS 的平臺 SSO,請勿建立個別的 SSO 應用程式擴充原則。 SSO 應用程式延伸模組包含在平臺 SSO 組態中。 |
單一登錄範本
注意事項
除了這些 SSO 設定,Apple 建議您使用本文) 中的 SSO 應用程式延伸 模組 (。
適用於:
- iOS 7.0 和更新版本
- iPadOS 13.0 及更新版本
此單一登錄原則是以 Kerberos 為基礎。 Kerberos 是使用秘密密鑰密碼編譯來驗證客戶端-伺服器應用程式的網路驗證通訊協定。 Intune 原則設定會在存取伺服器或特定應用程式時定義 Kerberos 帳戶資訊,並處理網頁和原生應用程式的 Kerberos 挑戰。
如需您可以在 Intune 中設定的設定清單,請移至 iOS/iPadOS 上的單一登錄。
若要使用單一登錄,請確定您有:
- 開發為在裝置上單一登錄中尋找使用者認證存放區的應用程式。
- 針對 iOS/iPadOS 裝置單一登入設定的 Intune。
單一登錄功能摘要
下表摘要說明 Intune 中的單一登錄功能。 使用此資訊來判斷此 SSO 選項是否適合您的組織。
| 功能 | 詳細資料 |
|---|---|
| 平台支援 |
✅ iOS 7.0 和更新版本 ✅ iPadOS 13.0 和更新版本 ❌ macOS |
| 支援的註冊類型 |
✅ 裝置註冊 ✅ 自動化裝置註冊 (受監督) ❌ 用戶註冊 ❌ 直接註冊 (Apple Configurator) |
| 支援的驗證類型 | 只能使用 Kerberos SSO 驗證。 - 輸入使用者存取伺服器或應用程式時的 Kerberos 帳戶資訊。 - 不是 Kerberos 的 Apple 實作。 - 處理網頁和應用程式的 Kerberos 挑戰 |
| 支援的應用程式類型 | 支援 Kerberos 驗證的網站和原生應用程式。 應用程式必須編碼,才能在裝置上的單一登錄中尋找使用者認證存放區。 |
| Intune 系統管理中心原則類型 |
裝置功能 範本位於: 設備>管理裝置>配置>創造>新原則>適用於平台>範>本的 iOS/iPadOS 配置檔類型的>裝置功能單一登錄 |
| 建議 | ❌ 不建議使用。 相反地,Microsoft建議使用本文) 中的 SSO 應用程式延伸 模組 (。 |
SSO 應用程式延伸模組與 SSO 範本
單一登錄應用程式擴充功能與單一登錄功能不同。 使用下表進行比較。
| 單一登錄應用程式擴充功能 | 單一登入 | |
|---|---|---|
| 支援的平台 |
✅ iOS/iPadOS 13.0 和更新版本 ✅ macOS 10.15 和更新版本 |
✅ iOS 7.0 和更新版本 ✅ iPadOS 13.0 和更新版本 ❌ macOS |
| 描述 | 定義可供識別提供者或組織使用的延伸模組,以提供順暢的企業登入體驗。 它會使用Apple作業系統進行驗證。 | 定義使用者存取伺服器或應用程式時的 Kerberos 帳戶資訊。 |
| 驗證 | 從應用程式開發的觀點來看, 可以使用任何類型的重新導向 SSO 或認證 SSO 驗證。 | 從應用程式開發的觀點來看, 只能使用 Kerberos SSO 驗證。 |
| Apple 實作 | 由 Apple 開發,並內建於 iOS/iPadOS 13.0+ 和 macOS 10.15+ 平臺。 內建的 Kerberos 擴充功能可用來將使用者登入支援 Kerberos 驗證的原生應用程式和網站。 | 不是 Kerberos 的 Apple 實作。 |
| 建議 | 推薦。 提供改良的用戶體驗。 它會處理網頁的 Kerberos 挑戰、支援密碼變更,以及在企業網路中表現得更好。 在決定在 SSO 應用程式延伸 模組或 單一登錄 範本中使用 Kerberos 時,建議您使用 SSO 應用程式延伸模組,因為效能和功能已改善。 |
不建議。 它確實會處理網頁的 Kerberos 挑戰。 |
相關文章
如需 Microsoft Enterprise SSO 外掛程式和 Microsoft Entra ID 的相關信息,請移至 適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式。
如需 Apple 關於單一登錄延伸模組承載的資訊,請移至 單一登錄擴充功能承載設定 (開啟 Apple 的網站) 。
如需針對 Microsoft Enterprise SSO 擴充功能進行疑難解答的詳細資訊,請移至針對 Apple 裝置上的 Microsoft Enterprise SSO 擴充功能外掛程式進行疑難解答。