Megosztás a következőn keresztül:

Microsoft Enterprise egyszeri bejelentkezéses beépülő modul Apple-eszközökhöz

  • Cikk

Az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul egyszeri bejelentkezést (SSO) biztosít a MacOS, iOS és iPadOS rendszerű Microsoft Entra-fiókokhoz minden olyan alkalmazáshoz, amely támogatja az Apple nagyvállalati egyszeri bejelentkezési funkcióját. A beépülő modul SSO-t biztosít még olyan régi alkalmazásokhoz is, amelyektől a vállalat függhet, de amelyek még nem támogatják a legújabb identitástárakat vagy protokollokat. A Microsoft szorosan együttműködve dolgozott az Apple-lel ennek a beépülő modulnak a fejlesztésén, hogy növelje az alkalmazás használhatóságát, miközben a lehető legjobb védelmet nyújtja.

A Vállalati egyszeri bejelentkezés beépülő modul jelenleg az alábbi alkalmazások beépített funkciója:

Funkciók

Az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul a következő előnyöket kínálja:

  • SSO-t biztosít a Microsoft Entra-fiókokhoz minden olyan alkalmazáshoz, amely támogatja az Apple Enterprise SSO funkciót.
  • Bármilyen mobileszköz-kezelési (MDM-) megoldással engedélyezhető, és az eszköz- és a felhasználóregisztráció is támogatja.
  • Kiterjeszti az egyszeri bejelentkezést azokra az alkalmazásokra, amelyek még nem használják a Microsoft Authentication Libraryt (MSAL).
  • Kiterjeszti az egyszeri bejelentkezést az OAuth 2-t, az OpenID Connectet és az SAML-t használó alkalmazásokra.
  • Natív módon integrálva van az MSAL-jal, amely zökkenőmentes natív élményt nyújt a végfelhasználónak, ha engedélyezve van a Microsoft Enterprise SSO beépülő modul.

Feljegyzés

2024 májusában a Microsoft bejelentette, hogy a macOS-eszközök platformszintű egyszeri bejelentkezése nyilvános előzetes verzióban érhető el a Microsoft Entra ID.-hoz.

További információt a macOS platform egyszeri bejelentkezésének áttekintésében (előzetes verzió) talál.

Követelmények

A Microsoft Enterprise SSO beépülő modul használata Apple-eszközökhöz:

  • Az eszköznek támogatnia kell és rendelkeznie kell egy telepített alkalmazással, amely rendelkezik a Microsoft Enterprise SSO beépülő modullal apple-eszközökhöz:

  • Az eszközt regisztrálni kell az MDM-ben, például a Microsoft Intune-on keresztül.

  • A konfigurációt le kell küldeni az eszközre a vállalati egyszeri bejelentkezés beépülő modul engedélyezéséhez. Az Apple megköveteli ezt a biztonsági korlátozást.

  • Az Apple-eszközöknek lehetővé kell tenni, hogy további elfogás nélkül elérjék az identitásszolgáltatói URL-címeket és a saját URL-címeiket is. Ez azt jelenti, hogy ezeket az URL-címeket ki kell zárni a hálózati proxykból, az elfogásból és más vállalati rendszerekből.

    Íme az SSO beépülő modul működéséhez engedélyezni kívánt URL-címek minimális készlete:

    • app-site-association.cdn-apple.com
    • app-site-association.networking.apple
    • login.microsoftonline.com(*)
    • login.microsoft.com(*)
    • sts.windows.net(*)
    • login.partner.microsoftonline.cn(*)(**)
    • login.chinacloudapi.cn(*)(**)
    • login.microsoftonline.us(*)(**)
    • login-us.microsoftonline.com(*)(**)
    • config.edge.skype.com(***)

    (*) A Microsoft-tartományok engedélyezése csak a 2022 előtt kiadott operációsrendszer-verziók esetén szükséges. A legújabb operációsrendszer-verziókban az Apple teljes mértékben a CDN-re támaszkodik.

    (**) Csak akkor kell engedélyeznie a független felhőtartományokat, ha a környezetében lévőkre támaszkodik.

    (***) A Kísérletezési konfigurációs szolgáltatással (ECS) folytatott kommunikáció fenntartása biztosítja, hogy a Microsoft időben reagáljon egy súlyos hibára.

    A Microsoft Enterprise SSO beépülő modul az Apple nagyvállalati SSO-keretrendszerére támaszkodik. Az Apple nagyvállalati SSO-keretrendszere biztosítja, hogy csak egy jóváhagyott SSO-beépülő modul működjön az egyes identitásszolgáltatóknál egy társított tartományoknak nevezett technológia használatával. Az SSO beépülő modul identitásának ellenőrzéséhez minden Apple-eszköz hálózati kérelmet küld az identitásszolgáltató tulajdonában lévő végpontnak, és olvassa el a jóváhagyott SSO-beépülő modulokra vonatkozó információkat. Amellett, hogy közvetlenül az identitásszolgáltatóhoz fordul, az Apple egy másik gyorsítótárazást is implementált ehhez az információhoz.

    Figyelmeztetés

    Ha a szervezet olyan proxykiszolgálókat használ, amelyek ssl-forgalmat észlelnek olyan helyzetekben, mint az adatveszteség-megelőzés vagy a bérlői korlátozások, győződjön meg arról, hogy az ezen URL-címek felé irányuló forgalom ki van zárva a TLS törés- és vizsgálatából. Ezeknek az URL-címeknek a kizárása interferenciát okoz az ügyféltanúsítvány-hitelesítésben, problémákat okoz az eszközregisztrációval és az eszközalapú feltételes hozzáféréssel kapcsolatban. SSO plugin nem működik megbízhatóan anélkül, hogy teljesen kizárná az Apple CDN tartományait a figyelésből. Időszakos problémákat tapasztalhat, amíg ezt meg nem teszi.

    Ha a szervezet letiltja ezeket az URL-címeket, a felhasználók olyan hibákat láthatnak, mint az 1012 NSURLErrorDomain error, 1000 com.apple.AuthenticationServices.AuthorizationError vagy 1001 Unexpected.

    Az egyéb, esetleg engedélyezni kívánt Apple URL-címeket a támogatási cikkben, az Apple-termékek nagyvállalati hálózatokon való használata című cikkben dokumentáljuk.

iOS-követelmények

  • Az iOS 13.0-s vagy újabb verzióját telepíteni kell az eszközön.
  • Az eszközön telepíteni kell egy Microsoft-alkalmazást, amely a Microsoft Enterprise SSO beépülő modult biztosítja az Apple-eszközökhöz. Ez az alkalmazás a Microsoft Authenticator alkalmazás.

macOS-követelmények

  • a macOS 10.15-ös vagy újabb verzióját telepíteni kell az eszközön.
  • Az eszközön telepíteni kell egy Microsoft-alkalmazást, amely a Microsoft Enterprise SSO beépülő modult biztosítja az Apple-eszközökhöz. Ez az alkalmazás az Intune Céges portál alkalmazás.

Az SSO beépülő modul engedélyezése

Az SSO beépülő modul MDM használatával történő engedélyezéséhez használja az alábbi információkat.

Microsoft Intune-konfiguráció

Ha MDM-szolgáltatásként a Microsoft Intune-t használja, a beépített konfigurációs profilbeállítások segítségével engedélyezheti a Microsoft Enterprise SSO beépülő modult:

  1. Konfigurálja a konfigurációs profil SSO-alkalmazás beépülő moduljának beállításait.
  2. Ha a profil még nincs hozzárendelve, rendelje hozzá a profilt egy felhasználóhoz vagy eszközcsoporthoz.

Az SSO beépülő modult engedélyező profilbeállításokat a rendszer automatikusan alkalmazza a csoport eszközeire, amikor minden eszköz legközelebb bejelentkezik az Intune-ban.

Manuális konfiguráció más MDM-szolgáltatásokhoz

Ha nem használja az Intune-t az MDM-hez, akkor konfigurálhat egy Kiterjeszthető Egyszeri Bejelentkezés profilt Apple-eszközökhöz. Az alábbi paraméterekkel konfigurálhatja a Microsoft Enterprise SSO beépülő modult és annak konfigurációs beállításait.

iOS-beállítások:

  • Bővítmény azonosítója: com.microsoft.azureauthenticator.ssoextension
  • Csapatazonosító: Ez a mező nem szükséges az iOS-hez.

macOS-beállítások:

  • Bővítmény azonosítója: com.microsoft.CompanyPortalMac.ssoextension
  • Csapatazonosító: UBF8T346G9

Gyakori beállítások:

  • Típus: Átirányítás
    • https://login.microsoftonline.com
    • https://login.microsoft.com
    • https://sts.windows.net
    • https://login.partner.microsoftonline.cn
    • https://login.chinacloudapi.cn
    • https://login.microsoftonline.us
    • https://login-us.microsoftonline.com

Üzembe helyezési útmutatók

Az alábbi telepítési útmutatók segítségével engedélyezheti a Microsoft Enterprise SSO beépülő modult a választott MDM-megoldással:

Intune:

Jamf Pro:

Egyéb MDM:

További konfigurációs beállítások

További konfigurációs beállításokat is hozzáadhat az egyszeri bejelentkezés funkcióinak más alkalmazásokra való kiterjesztéséhez.

Egyszeri bejelentkezés engedélyezése olyan alkalmazásokhoz, amelyek nem használnak MSAL-t

Az SSO beépülő modul lehetővé teszi, hogy bármely alkalmazás részt vegyen az SSO-ban, még akkor is, ha nem a Microsoft SDK-val, például a Microsoft Authentication Library (MSAL) használatával fejlesztették ki.

Az SSO beépülő modult az alábbi eszközök automatikusan telepítik:

  • Letöltötte az Authenticator alkalmazást iOS-en vagy iPadOS-en, vagy letöltötte a Intune Céges portál alkalmazást macOS rendszeren.
  • Az MDM regisztrálta az eszközét a szervezeténél.

A szervezet valószínűleg az Authenticator alkalmazást használja olyan helyzetekben, mint a többtényezős hitelesítés, a jelszó nélküli hitelesítés és a feltételes hozzáférés. MDM-szolgáltató használatával bekapcsolhatja az SSO beépülő modult az alkalmazásokhoz. A Microsoft megkönnyíti a beépülő modul konfigurálását a Microsoft Intune használatával. Egy engedélyezési lista használatával konfigurálhatja ezeket az alkalmazásokat az SSO beépülő modul használatára.

Fontos

A Microsoft Enterprise SSO beépülő modul csak a natív Apple hálózati technológiákat vagy webnézeteket használó alkalmazásokat támogatja. Nem támogatja a saját hálózati réteg implementációját szállító alkalmazásokat.

Az alábbi paraméterekkel konfigurálhatja a Microsoft Enterprise SSO beépülő modult az MSAL-t nem használó alkalmazásokhoz.

Fontos

Ehhez az engedélyezési listához nem kell microsoftos hitelesítési kódtárat használó alkalmazásokat hozzáadnia. Ezek az alkalmazások alapértelmezés szerint részt vesznek az egyszeri bejelentkezésben. A Microsoft által készített alkalmazások többsége microsoftos hitelesítési kódtárat használ.

Egyszeri bejelentkezés engedélyezése az összes felügyelt alkalmazáshoz

  • Kulcs: Enable_SSO_On_All_ManagedApps
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.

Ha ez a jelző be van kapcsolva (az értéke a következőre 1 van állítva), az összes MDM által felügyelt alkalmazás, amely nem a AppBlockList-ben van, részt vehet az egyszeri bejelentkezésben.

Egyszeri bejelentkezés engedélyezése adott alkalmazásokhoz

  • Kulcs: AppAllowList
  • Típus: String
  • Érték: Az egyszeri bejelentkezésben részt vevő alkalmazások alkalmazáscsomag-azonosítóinak vesszőkkel tagolt listája.
  • Példa: com.contoso.workapp, com.contoso.travelapp

Feljegyzés

A Safari és a Safari View Service alapértelmezés szerint részt vehet az egyszeri bejelentkezésben. Beállítható úgy, hogy ne vegyen részt az SSÓ-ban, ha hozzáadja a Safari és a Safari View Service csomagazonosítóit az AppBlockList-ben. iOS-csomagazonosítók: [com.apple.mobilesafari, com.apple.SafariViewService] macOS BundleID: [com.apple.Safari]

Egyszeri bejelentkezés engedélyezése minden adott csomagazonosító-előtaggal rendelkező alkalmazáshoz

  • Kulcs: AppPrefixAllowList
  • Típus: String
  • Érték: Az egyszeri bejelentkezésben részt vevő alkalmazások alkalmazáscsomag-azonosító előtagjainak vessző által tagolt listája. Ez a paraméter lehetővé teszi, hogy az adott előtaggal kezdődő alkalmazások részt vehessenek az egyszeri bejelentkezésben. iOS esetén az alapértelmezett érték lesz beállítva com.apple. , és ez minden Apple-alkalmazás esetében engedélyezi az egyszeri bejelentkezést. MacOS esetén az alapértelmezett érték a com.apple. és a com.microsoft. lesz, és ez engedélyezi az SSO-t az összes Apple- és Microsoft-alkalmazás esetében. A rendszergazdák felülbírálhatják az alapértelmezett értéket, vagy alkalmazásokat adhatnak a AppBlockList-hoz, hogy megakadályozzák az egyszeri bejelentkezésben való részvételt.
  • Példa: com.contoso., com.fabrikam.

Egyszeri bejelentkezés letiltása adott alkalmazásokhoz

  • Kulcs: AppBlockList
  • Típus: String
  • Érték: Az egyszeri bejelentkezésben nem részt vevő alkalmazások alkalmazáscsomag-azonosítóinak vesszőkkel tagolt listája.
  • Példa: com.contoso.studyapp, com.contoso.travelapp

Az SSO letiltásához a Safari vagy a Safari View Service esetében ezt kifejezetten meg kell tenni úgy, hogy hozzáadja a bundle ID-kat a AppBlockList mezőhöz.

  • iOS: com.apple.mobilesafari, com.apple.SafariViewService
  • macOS: com.apple.Safari

Feljegyzés

Az egyszeri bejelentkezés nem tiltható le az olyan alkalmazások esetében, amelyek microsoftos hitelesítési kódtárat használnak ezzel a beállítással.

Egyszeri bejelentkezés engedélyezése cookie-kon keresztül egy adott alkalmazáshoz

Egyes speciális hálózati beállításokkal rendelkező iOS-alkalmazások váratlan problémákat tapasztalhatnak, ha engedélyezve vannak az egyszeri bejelentkezéshez. Előfordulhat például, hogy hiba jelenik meg, amely azt jelzi, hogy egy hálózati kérés törölve lett vagy megszakadt.

Ha a felhasználók akkor is problémát tapasztalnak az alkalmazásba való bejelentkezéskor, ha az összes többi beállításon keresztül engedélyezte azt, próbálja meg hozzáadni a AppCookieSSOAllowList-hoz a problémák megoldása érdekében.

Feljegyzés

Az egyszeri bejelentkezés cookie-mechanizmuson keresztül történő használata súlyos korlátozásokkal rendelkezik. Például nem kompatibilis a Microsoft Entra ID feltételes hozzáférési szabályzataival, és csak egyetlen fiókot támogat. Ezt a funkciót csak akkor érdemes használnia, ha a Microsoft mérnöki vagy támogatási csapata kifejezetten javasolja olyan alkalmazások korlátozott csoportjának használatát, amelyek nem kompatibilisek a normál egyszeri bejelentkezéssel.

  • Kulcs: AppCookieSSOAllowList
  • Típus: String
  • Érték: Az egyszeri bejelentkezésben részt vevő alkalmazások alkalmazáscsomag-azonosító előtagjainak vessző által tagolt listája. A felsorolt előtagokkal kezdődő összes alkalmazás részt vehet az egyszeri bejelentkezésben.
  • Példa: com.contoso.myapp1, com.fabrikam.myapp2

Egyéb követelmények: Az egyszeri bejelentkezés alkalmazásokhoz való engedélyezéséhez AppCookieSSOAllowList használatával a csomagazonosító előtagokat AppPrefixAllowList is hozzá kell adni.

Ezt a konfigurációt csak olyan alkalmazások esetében próbálja ki, amelyek nem várt bejelentkezési hibákat észleltek. Ez a kulcs csak iOS-alkalmazásokhoz használható, macOS-alkalmazásokhoz nem.

Kulcsok összegzése

Megjegyzés

Az ebben a szakaszban ismertetett kulcsok csak olyan alkalmazásokra vonatkoznak, amelyek nem microsoftos hitelesítési kódtárat használnak.

Kulcs Típus Érték
Enable_SSO_On_All_ManagedApps Egész szám 1 az összes felügyelt alkalmazás egyszeri bejelentkezésének engedélyezéséhez, 0 az összes felügyelt alkalmazás egyszeri bejelentkezésének letiltásához.
AppAllowList Sztring
(vesszőből tagolt lista)		 Az egyszeri bejelentkezésben való részvételre jogosult alkalmazások kötegazonosítói.
AppBlockList Sztring
(vesszővel elválasztott lista)		 Olyan alkalmazások kötegazonosítói, amelyek nem vehetnek részt az egyszeri bejelentkezésben.
AppPrefixAllowList Sztring
(vesszővel elválasztott lista)		 Az egyszeri bejelentkezésben való részvételre jogosult alkalmazások csomagazonosító-előtagja. iOS esetén az alapértelmezett érték lesz beállítva com.apple. , és ez minden Apple-alkalmazás esetében engedélyezi az egyszeri bejelentkezést. MacOS esetén az alapértelmezett érték com.apple. és com.microsoft. lesz, amely engedélyezi az egyszeri bejelentkezést az összes Apple és Microsoft alkalmazás esetében. A fejlesztők, ügyfelek vagy rendszergazdák felülbírálhatják az alapértelmezett értéket, vagy alkalmazásokat adhatnak hozzá a AppBlockList-hez, hogy ne vegyenek részt az egyszeri bejelentkezésben.
AppCookieSSOAllowList Sztring
(vesszővel elválasztott lista)		 Az egyszeri bejelentkezésben részt vevő, de speciális hálózati beállításokat használó alkalmazások számára engedélyezett csomagazonosító-előtagok, amelyek a többi beállítás használatával problémát okoznak az egyszeri bejelentkezéssel kapcsolatban. Azokat az alkalmazásokat, amelyeket hozzáadsz a AppCookieSSOAllowList, hozzá kell adni a AppPrefixAllowList is. Vegye figyelembe, hogy ez a kulcs csak iOS-alkalmazásokhoz használható, macOS-alkalmazásokhoz nem.

Gyakori forgatókönyvek beállításai

  • Forgatókönyv: Szeretném engedélyezni az egyszeri bejelentkezést a legtöbb felügyelt alkalmazáshoz, de nem mindegyikhez.

    Kulcs Érték
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList Azon alkalmazások kötegazonosítói (vesszőkkel tagolt listája), amelyeket meg szeretne akadályozni az egyszeri bejelentkezésben való részvételben.

  • Forgatókönyv: Le szeretném tiltani az SSO-t a Safari böngészőhöz, amely alapértelmezés szerint engedélyezett, de engedélyezni szeretném az SSO-t minden felügyelt alkalmazás esetében.

    Kulcs Érték
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList Azon Safari-alkalmazások csomagazonosítói (vesszőkkel tagolt listája), amelyeket meg szeretne akadályozni az egyszeri bejelentkezésben való részvételben.
    • iOS esetén: com.apple.mobilesafari, com.apple.SafariViewService
    • MacOS esetén: com.apple.Safari

  • Forgatókönyv: Szeretném engedélyezni az egyszeri bejelentkezést az összes felügyelt és néhány nem felügyelt alkalmazásban, de letiltom az egyszeri bejelentkezést néhány más alkalmazás esetében.

    Kulcs Érték
    Enable_SSO_On_All_ManagedApps 1
    AppAllowList Az egyszeri bejelentkezésben való részvételhez engedélyezni kívánt alkalmazások kötegazonosítói (vesszőkkel tagolt listája).
    AppBlockList Azon alkalmazások kötegazonosítói (vesszőkkel tagolt listája), amelyeket meg szeretne akadályozni az egyszeri bejelentkezésben való részvételben.
Alkalmazáscsomag-azonosítók keresése iOS-eszközökön

Az Apple nem biztosít egyszerű módot a csomagazonosítók beszerzésére az App Store-ból. Az egyszeri bejelentkezéshez használni kívánt alkalmazások csomagazonosítóinak beszerzésének legegyszerűbb módja, ha megkérdezi a szállítót vagy az alkalmazás fejlesztőjét. Ha ez a lehetőség nem érhető el, az MDM-konfigurációval megkeresheti a csomagazonosítókat:

  1. Ideiglenesen engedélyezze a következő jelzőt az MDM-konfigurációban:

    • Kulcs: admin_debug_mode_enabled
    • Típus: Integer
    • Érték: 1 vagy 0

  2. Ha ez a jelző be van kapcsolva, jelentkezzen be az iOS-alkalmazásokba azon az eszközön, amelyhez tudni szeretné a csomagazonosítót.

  3. Az Authenticator alkalmazásban válassza a Segítség>Naplók küldése>Naplók megtekintése lehetőséget.

  4. A naplófájlban keresse meg a következő sort: [ADMIN MODE] SSO extension has captured following app bundle identifiers. Ennek a sornak rögzítenie kell az SSO-bővítmény számára látható összes alkalmazáscsomag-azonosítót.

A csomagazonosítókkal konfigurálhatja az SSO-t az alkalmazásokhoz. Ha végzett, tiltsa le a rendszergazdai módot.

Az MSAL-t és a Safari böngészőt nem használó alkalmazásokból való bejelentkezés engedélyezése a felhasználóknak

Alapértelmezés szerint a Microsoft Enterprise SSO beépülő modul egy megosztott hitelesítő adatot szerez be, amikor egy másik alkalmazás hívja meg, amely MSAL-t használ egy új jogkivonat beszerzése során. A konfigurációtól függően a Microsoft Enterprise SSO beépülő modul megosztott hitelesítő adatokat is beszerezhet, ha az MSAL-t nem használó alkalmazások hívják meg.

A jelző engedélyezésekor az browser_sso_interaction_enabled MSAL-t nem használó alkalmazások elvégezhetik a kezdeti rendszerindítást, és megkaphatják a megosztott hitelesítő adatokat. A Safari böngésző a kezdeti rendszerindítást is elvégezheti, és lekérheti a megosztott hitelesítő adatokat.

Ha a Microsoft Enterprise SSO beépülő modul még nem rendelkezik megosztott hitelesítő adatok használatával, akkor minden alkalommal megpróbál bekérni egyet, amikor bejelentkezést kér egy Microsoft Entra URL-címről a Safari böngészőben, az ASWebAuthenticationSession, a SafariViewController vagy egy másik engedélyezett natív alkalmazásból.

A jelző engedélyezéséhez használja az alábbi paramétereket:

  • Kulcs: browser_sso_interaction_enabled
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 1.

Az iOS és a macOS egyaránt megköveteli ezt a beállítást, hogy a Microsoft Enterprise SSO beépülő modul konzisztens élményt biztosítson az összes alkalmazás számára. Ez a beállítás alapértelmezés szerint engedélyezve van, és csak akkor tiltható le, ha a végfelhasználó nem tud bejelentkezni a hitelesítő adataival.

OAuth 2 alkalmazáskérések letiltása

Ha egy alkalmazás arra kéri a felhasználókat, hogy jelentkezzenek be, annak ellenére, hogy a Microsoft Enterprise SSO beépülő modul más alkalmazásokhoz is működik az eszközön, előfordulhat, hogy az alkalmazás megkerüli az egyszeri bejelentkezést a protokollrétegen. A megosztott hitelesítő adatokat az ilyen alkalmazások is figyelmen kívül hagyják, mert a beépülő modul egyszeri bejelentkezést biztosít a hitelesítő adatoknak az engedélyezett alkalmazások által küldött hálózati kérelmekhez való hozzáfűzésével.

Ezek a paraméterek határozzák meg, hogy az SSO-bővítmény megakadályozza-e, hogy a natív és webes alkalmazások megkerüljék az egyszeri bejelentkezést a protokollrétegen, és kényszerítsék a bejelentkezési kérés megjelenítését a felhasználóra.

Az eszközön található összes alkalmazás egységes egyszeri bejelentkezéshez javasoljuk, hogy engedélyezze az egyik beállítást az MSAL-t nem használó alkalmazásokhoz. Ezt csak akkor engedélyezze az MSAL-t használó alkalmazások esetében, ha a felhasználók váratlan kéréseket tapasztalnak.

Olyan alkalmazások, amelyek nem használnak Microsoft Hitelesítési kódtárat:

Tiltsa le az alkalmazáskérést, és jelenítse meg a fiókválasztót:

  • Kulcs: disable_explicit_app_prompt
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 1 értékre van állítva, és ez az alapértelmezett beállítás csökkenti a kéréseket.

Tiltsa le az alkalmazáskérést, és válasszon ki egy fiókot az egyező SSO-fiókok listájából:

  • Kulcs: disable_explicit_app_prompt_and_autologin
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.
Microsoft Authentication Library-t használó alkalmazások:

A következő beállítások nem ajánlottak, ha alkalmazásvédelmi szabályzatok vannak használatban.

Tiltsa le az alkalmazáskérést, és jelenítse meg a fiókválasztót:

  • Kulcs: disable_explicit_native_app_prompt
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.

Tiltsa le az alkalmazáskérést, és válasszon ki egy fiókot az egyező SSO-fiókok listájából:

  • Kulcs: disable_explicit_native_app_prompt_and_autologin
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.

Váratlan SAML-alkalmazáskérések

Ha egy alkalmazás arra kéri a felhasználókat, hogy jelentkezzenek be, annak ellenére, hogy a Microsoft Enterprise SSO beépülő modul más alkalmazásokhoz is működik az eszközön, előfordulhat, hogy az alkalmazás megkerüli az egyszeri bejelentkezést a protokollrétegen. Ha az alkalmazás az SAML protokollt használja, a Microsoft Enterprise SSO beépülő modul nem tudja biztosítani az egyszeri bejelentkezést az alkalmazásnak. Az alkalmazás gyártójának értesítést kell kapnia erről a viselkedésről, és módosítania kell az alkalmazását, hogy ne kerülhesse meg az egyszeri bejelentkezést.

IOS-élmény módosítása MSAL-kompatibilis alkalmazásokhoz

Az MSAL-t használó alkalmazások mindig natív módon fogják meghívni az SSO-bővítményt az interaktív kérelmekhez. Egyes iOS-eszközökön ez nem feltétlenül kívánatos. Pontosabban, ha a felhasználónak a Microsoft Authenticator alkalmazásban is el kell végeznie a többtényezős hitelesítést, az alkalmazásra való interaktív átirányítás jobb felhasználói élményt biztosíthat.

Ez a viselkedés a disable_inapp_sso_signin jelölő használatával konfigurálható. Ha ez a jelző engedélyezve van, az MSAL-t használó alkalmazások az összes interaktív kéréshez átirányítják a Microsoft Authenticator alkalmazást. Ez a jelző nem befolyásolja az alkalmazások csendes jogkivonat-kéréseit, az MSAL-t vagy macOS-alkalmazásokat nem használó alkalmazások viselkedését. Ez a jelző alapértelmezés szerint le van tiltva.

  • Kulcs: disable_inapp_sso_signin
  • Típus: Integer
  • Érték: 1 vagy 0. Ez az érték alapértelmezés szerint 0.

A Microsoft Entra eszközregisztráció konfigurálása

Az Intune által felügyelt eszközök esetében a Microsoft Enterprise SSO beépülő modul a Microsoft Entra eszközregisztrációját hajthatja végre, amikor egy felhasználó megpróbál hozzáférni az erőforrásokhoz. Ez egyszerűbb végfelhasználói élményt tesz lehetővé.

Az alábbi konfigurációval engedélyezheti a Just in Time regisztrációt iOS/iPadOS rendszeren a Microsoft Intune-nal:

  • Kulcs: device_registration
  • Típus: String
  • Érték: {{DEVICEREGISTRATION}}

A Just in Time regisztrációról itt olvashat bővebben.

Feltételes hozzáférési szabályzatok és jelszómódosítások

Az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul kompatibilis a Microsoft Entra feltételes hozzáférési szabályzataival és jelszóváltoztatási eseményeivel. browser_sso_interaction_enabled a kompatibilitás eléréséhez engedélyezni kell.

A kompatibilis eseményeket és szabályzatokat a következő szakaszokban dokumentáljuk:

Jelszó módosítása és jogkivonat visszavonása

Amikor egy felhasználó visszaállítja a jelszavát, az előtte kiadott összes token visszavonásra kerül. Ha egy felhasználó jelszó-visszaállítási esemény után próbál hozzáférni egy erőforráshoz, a felhasználónak általában újra be kell jelentkeznie az egyes alkalmazásokba. Ha engedélyezve van a Microsoft Enterprise SSO beépülő modul, a rendszer felkéri a felhasználót, hogy jelentkezzen be az SSO-ban részt vevő első alkalmazásba. A Microsoft Enterprise SSO beépülő modul a saját felhasználói felületét jeleníti meg az aktuálisan aktív alkalmazáson felül.

Microsoft Entra többtényezős hitelesítés

A többtényezős hitelesítés olyan folyamat, amelyben a felhasználók a bejelentkezési folyamat során további azonosítási formát kérnek, például egy kódot a mobiltelefonjukon, vagy ujjlenyomat-vizsgálatot. A többtényezős hitelesítés adott erőforrásokhoz engedélyezhető. Ha a Microsoft Enterprise SSO beépülő modul engedélyezve van, a rendszer arra kéri a felhasználót, hogy végezzen többtényezős hitelesítést az első olyan alkalmazásban, amely megköveteli. A Microsoft Enterprise SSO beépülő modul a saját felhasználói felületét jeleníti meg az aktuálisan aktív alkalmazáson felül.

Felhasználói bejelentkezés gyakorisága

A bejelentkezési gyakoriság határozza meg azt az időtartamot, amely után a felhasználónak újra be kell jelentkeznie egy erőforráshoz való hozzáféréskor. Ha egy felhasználó az idő leteltét követően próbál hozzáférni egy erőforráshoz különböző alkalmazásokban, a felhasználónak általában újra be kell jelentkeznie az egyes alkalmazásokba. Ha engedélyezve van a Microsoft Enterprise SSO beépülő modul, a rendszer felkéri a felhasználót, hogy jelentkezzen be az SSO-ban részt vevő első alkalmazásba. A Microsoft Enterprise SSO beépülő modul a saját felhasználói felületét jeleníti meg az aktuálisan aktív alkalmazáson felül.

Az Intune használata az egyszerűsített konfigurációhoz

Az Intune-t MDM-szolgáltatásként használhatja a Microsoft Enterprise SSO beépülő modul konfigurálásának megkönnyítéséhez. Az Intune használatával például engedélyezheti a beépülő modult, és hozzáadhat régi alkalmazásokat egy engedélyezési listához, hogy SSO-t kaphassanak.

További információ: A Microsoft Enterprise SSO beépülő modul üzembe helyezése Apple-eszközökhöz az Intune használatával.

Az SSO beépülő modul használata az alkalmazásban

Az Apple-eszközökhöz készült MSAL 1.1.0-s és újabb verziói támogatják a Microsoft Enterprise SSO beépülő modult Apple-eszközökhöz. Ez az ajánlott módja annak, hogy támogatást adjon a Microsoft Enterprise SSO beépülő modulhoz. Ez biztosítja a Microsoft Identitásplatform teljes képességeit.

Ha az előtérbeli feldolgozói forgatókönyvekhez készít alkalmazást, a beállítási információkért tekintse meg az iOS-eszközök megosztott eszközmódját.

Az egyszeri bejelentkezés beépülő modul működésének ismertetése

A Microsoft Enterprise SSO beépülő modul az Apple Enterprise SSO-keretrendszerre támaszkodik. A keretrendszerhez csatlakozó identitásszolgáltatók elfoghatják a tartományaik hálózati forgalmát, és javíthatják vagy módosíthatják a kérések kezelését. Az SSO beépülő modul például megjeleníthet több felhasználói felületet, hogy biztonságosan összegyűjtse a végfelhasználói hitelesítő adatokat, megkövetelje az MFA-t, vagy csendben biztosítson tokeneket az alkalmazás számára.

A natív alkalmazások egyéni műveleteket is implementálhatnak, és közvetlenül kommunikálhatnak az SSO beépülő modullal. További információkért tekintse meg az Apple 2019-ben készült World Developer Conference videóját.

Tipp.

További információ az egyszeri bejelentkezés beépülő modul működéséről és a Microsoft Enterprise SSO-bővítmény hibaelhárításáról az Apple-eszközök egyszeri bejelentkezéssel kapcsolatos hibaelhárítási útmutatójával.

MSAL-t használó alkalmazások

Az Apple-eszközökhöz készült MSAL 1.1.0-s és újabb verziói támogatják a Microsoft Enterprise SSO beépülő modult az Apple-eszközökhöz natív módon munkahelyi és iskolai fiókokhoz.

Nincs szükség speciális konfigurációra, ha követte az összes javasolt lépést , és az alapértelmezett átirányítási URI-formátumot használta. Az SSO beépülő modult használó eszközökön az MSAL automatikusan meghívja az összes interaktív és csendes jogkivonat-kéréshez. Emellett meghívja a fiókfelsorolási és a fiókeltávolítási műveletekhez is. Mivel az MSAL egy egyéni műveletekre támaszkodó natív SSO beépülő protokollt implementál, ez a beállítás biztosítja a leggördülékenyebb natív élményt a végfelhasználó számára.

iOS- és iPadOS-eszközökön, ha az SSO beépülő modult nem engedélyezi az MDM, de a Microsoft Authenticator alkalmazás megtalálható az eszközön, az MSAL ehelyett az Authenticator alkalmazást használja az interaktív jogkivonat-kérelmekhez. A Microsoft Enterprise SSO beépülő modul megosztja az SSO szolgáltatást az Authenticator alkalmazással.

Nem MSAL-t használó alkalmazások

Az MSAL-t nem használó alkalmazások továbbra is megkaphatják az egyszeri bejelentkezést, ha egy rendszergazda hozzáadja ezeket az alkalmazásokat az engedélyezési listához.

Nem kell módosítania a kódot ezekben az alkalmazásokban, amíg az alábbi feltételek teljesülnek:

  • Az alkalmazás Apple-keretrendszereket használ a hálózati kérések futtatásához. Ilyen keretrendszer például a WKWebView és az NSURLSession.
  • Az alkalmazás szabványos protokollokat használ a Microsoft Entra-azonosítóval való kommunikációhoz. Ilyen protokoll például az OAuth 2, az SAML és a WS-Federation.
  • Az alkalmazás nem gyűjt egyszerű szöveges felhasználóneveket és jelszavakat a natív felhasználói felületen.

Ebben az esetben az egyszeri bejelentkezés akkor érhető el, ha az alkalmazás létrehoz egy hálózati kérést, és megnyit egy webböngészőt a felhasználó bejelentkezéséhez. Amikor a rendszer átirányít egy felhasználót egy Microsoft Entra bejelentkezési URL-címre, az egyszeri bejelentkezés beépülő modul ellenőrzi az URL-címet, és ellenőrzi az adott URL-címhez tartozó SSO-hitelesítő adatokat. Ha megtalálta a hitelesítő adatokat, az SSO beépülő modul átadja azt a Microsoft Entra-azonosítónak, amely engedélyezi az alkalmazásnak a hálózati kérés teljesítését anélkül, hogy a felhasználótól hitelesítő adatokat kérne. Ezenkívül, ha az eszköz ismert a Microsoft Entra ID rendszerben, az egyszeri bejelentkezés modul átadja az eszköztanúsítványt az eszközalapú feltételes hozzáférés ellenőrzésének érvényesítéséhez.

Nem MSAL-alkalmazások egyszeri bejelentkezésének támogatásához az SSO beépülő modul egy, a Windows böngésző beépülő moduljában megvalósított protokollhoz hasonló protokollt implementál, ahogyan az a Mi az elsődleges frissítési jogkivonat? című részben le van írva.

Az MSAL-alapú alkalmazásokhoz képest az SSO beépülő modul transzparensebben működik a nem MSAL-alkalmazások esetében. Integrálható az alkalmazások által biztosított meglévő böngészőbeli bejelentkezési felülettel.

A végfelhasználó látja a megszokott felületet, és nem kell újra bejelentkeznie az egyes alkalmazásokba. A natív fiókválasztó helyett például az SSO beépülő modul SSO-munkameneteket ad hozzá a webes fiókválasztó felülethez.

Az eszközidentitáskulcs-tároló közelgő változásai

2024 márciusában bejelentették, hogy a Microsoft Entra ID távolodik az Apple kulcskarikától az eszköz identitáskulcsainak tárolásához. 2025 harmadik negyedévétől kezdve minden új eszközregisztráció az Apple Secure Enklávéját fogja használni. Nem lesz lehetőség kilépni ebből a tárolási helyből.

Azoknak az alkalmazásoknak és MDM-integrációknak, amelyek függenek a munkahelyi csatlakozás kulcsainak kulcsláncon keresztüli eléréséről, el kell kezdeniük az MSAL és a Vállalati egyszeri bejelentkezés beépülő modul használatát a Microsoft Identitásplatform való kompatibilitás biztosításához.

Eszközidentitási kulcsok biztonságos enklávéalapú tárolásának engedélyezése

Ha engedélyezni szeretné az eszközidentitás-kulcsok Biztonságos enklávéalapú tárolását, mielőtt kötelezővé válik, a következő Extension Data attribútumot hozzáadhatja az Apple-eszközök MDM-konfigurációs profiljához.

Feljegyzés

Ahhoz, hogy ez a jelző érvénybe lépjen, új regisztrációra kell alkalmazni. Ez csak akkor lesz hatással a már regisztrált eszközökre, ha újra regisztrálják őket.

  • Kulcs: use_most_secure_storage
  • Típus: Boolean
  • Érték: Igaz

Az alábbi képernyőképen látható a Microsoft Intune-ban a Biztonságos enklávé engedélyezésének konfigurációs oldala és beállításai.

Képernyőkép a Microsoft Entra felügyeleti központról, amelyen az Intune konfigurációs profillapja látható, amelyen a Biztonságos Enklávé engedélyezésének beállításai láthatók.

Alkalmazás inkompatibilitásának felismerése Biztonságos Enklávé-alapú eszközidentitással

A Secure Enclave-alapú tárolás engedélyezése után hibaüzenet jelenhet meg, amely arra figyelmezteti, hogy állítsa be az eszközt a hozzáféréshez. Ez a hibaüzenet azt jelzi, hogy az alkalmazás nem tudta felismerni az eszköz felügyelt állapotát, ami azt jelzi, hogy nem kompatibilis az új kulcstároló helyével.

Képernyőkép egy feltételes hozzáférésről szóló hibaüzenetről, amely arról tájékoztatja a felhasználót, hogy az eszközt az erőforrás elérése előtt kell felügyelni.

Ez a hiba a Microsoft Entra ID bejelentkezési naplóiban jelenik meg az alábbi részletekkel:

  • Bejelentkezési hibakód:530003
  • Hiba oka:Device is required to be managed to access this resource.

Ha ezt a hibaüzenetet a tesztelés során látja, először győződjön meg arról, hogy sikeresen engedélyezte az SSO-bővítményt, valamint telepítette a szükséges alkalmazásspecifikus bővítményeket (például a Chrome-hoz készült Microsoft Egyszeri bejelentkezés). Ha továbbra is látja ezt az üzenetet, javasoljuk, hogy forduljon az alkalmazás gyártójához, hogy értesítse őket az új tárhellyel való összeegyeztethetetlenségről.

Érintett forgatókönyvek

Az alábbi lista néhány olyan gyakori forgatókönyvet tartalmaz, amelyeket érintenek ezek a változások. Ökölszabály szerint minden olyan alkalmazásra hatással lesz, amely függ az eszközazonosító-összetevők Apple kulcskarikáján keresztüli elérésétől.

Ez nem teljes lista, és azt tanácsoljuk a felhasználóknak és az alkalmazások gyártóinak is, hogy teszteljék szoftvereiket az új adattárral való kompatibilitás érdekében.

Regisztrált/beiratkozott eszközök feltételes hozzáférési szabályzatának támogatása a Chrome-ban

Ha engedélyezni szeretné az eszköz feltételes hozzáférési szabályzatát a Google Chrome-ban a Secure Enclave-alapú tárolás engedélyezésével, telepítenie kell és engedélyeznie kell a Microsoft Egyszeri bejelentkezés bővítményt.

Fontos frissítés macOS 15.3-on és iOS 18.1.1-en, amely hatással van a vállalati egyszeri bejelentkezésre

Áttekintés

A macOS 15.3 és az iOS 18.1.1 legújabb frissítése megakadályozza, hogy a nagyvállalati egyszeri bejelentkezés bővítmény keretrendszere megfelelően működjön, ami váratlan hitelesítési hibákhoz vezet az Entra ID-val integrált összes alkalmazás esetében. Az érintett felhasználók "4s8qh" címkével ellátott hibaüzenetet is tapasztalhatnak.

Gyökér ok

A probléma kiváltó oka a mögöttes PluginKit-réteg potenciális regressziója, amely megakadályozza, hogy a Microsoft Enterprise SSO-bővítményt az operációs rendszer elindítsa. Az Apple vizsgálja a problémát, és velünk együtt dolgozik egy megoldáson.

Érintett felhasználók azonosítása

Annak megállapításához, hogy a felhasználók érintettek-e, gyűjthet egy sysdiagnose-t, és megkeresheti a következő hibainformációkat:

Error Domain=PlugInKit Code=16 másik verzió van használatban

Íme egy példa a hiba megjelenésére:

Request for extension <EXConcreteExtension: 0x60000112d080> {id = com.microsoft.CompanyPortalMac.ssoextension} failed with error Error Domain=PlugInKit Code=16 "other version in use: <id<PKPlugIn>: 0x1526066c0; core = <[...] [com.microsoft.CompanyPortalMac.ssoextension(5.2412.0)],[...] [/Applications/Company Portal.app/Contents/PlugIns/Mac SSO Extension.appex]>, instance = [(null)], state = 1, useCount = 1>" UserInfo={NSLocalizedDescription=other version in use: <id<PKPlugIn>: 0x1526066c0; core = <[...] [com.microsoft.CompanyPortalMac.ssoextension(5.2412.0)],[...] [/Applications/Company Portal.app/Contents/PlugIns/Mac SSO Extension.appex]>, instance = [(null)], state = 1, useCount = 1>}

Helyreállítási lépések

Ha a felhasználókat érinti ez a probléma, újraindíthatják az eszközüket a helyreállításhoz.

Lásd még

Tudnivalók az iOS-eszközök megosztott eszközmódjáról.

További információ a Microsoft Enterprise SSO-bővítmény hibaelhárításáról.