Плагин единого входа Microsoft Enterprise для устройств Apple

Плагин Microsoft Enterprise SSO для устройств Apple предоставляет единый вход (SSO) для учетных записей Microsoft Entra в macOS, iOS и iPadOS во всех приложениях, поддерживающих корпоративную функцию единого входа Apple. Подключаемый модуль обеспечивает единый вход даже для старых приложений, необходимых для бизнеса, но не поддерживающих новейшие библиотеки удостоверений и протоколы. Корпорация Майкрософт и компания Apple работали в тесном сотрудничестве над разработкой этого подключаемого модуля, чтобы повысить удобство работы с приложениями и обеспечить наивысший уровень защиты.

В настоящее время плагин Enterprise SSO является встроенной функцией следующих приложений.

• Microsoft Authenticator: iOS, iPadOS
• Корпоративный портал Microsoft Intune: macOS

Функции

Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple предоставляет преимущества, описанные ниже.

• Он предоставляет единый вход для учетных записей Microsoft Entra во всех приложениях, поддерживающих функцию единого входа Apple Enterprise.
• Его можно включить любым решением для управления мобильными устройствами (MDM) и поддерживается как в регистрации устройств, так и пользователей.
• Он расширяет единый вход в приложения, которые еще не используют библиотеку проверки подлинности Майкрософт (MSAL).
• Распространение возможности единого входа на приложения, использующие OAuth 2, OpenID Connect и SAML.
• Он изначально интегрирован с MSAL, обеспечивающим плавный естественный опыт для конечного пользователя при включении плагина единого входа в систему Microsoft Enterprise.

Требования

Чтобы использовать подключаемый модуль единого входа Microsoft Enterprise на устройствах Apple:

• На устройстве должно быть установлено поддерживаемое им приложение с подключаемым модулем единого входа Microsoft Enterprise для устройств Apple:

  • iOS 13.0 и более поздние версии: приложение Microsoft Authenticator;
  • iPadOS 13.0 и более поздние версии: приложение Microsoft Authenticator;
  • macOS 10.15 и более поздние версии: приложение Корпоративный портал Intune.

• Устройство должно быть зарегистрировано в MDM, например с помощью Microsoft Intune.

• Чтобы включить подключаемый модуль единого входа Enterprise, необходимо отправить конфигурацию на устройство. Этого ограничения безопасности требует компания Apple.

• Устройства Apple должны быть разрешены для доступа как к URL-адресам поставщика удостоверений, так и к собственным URL-адресам без дополнительного перехвата. Это означает, что эти URL-адреса необходимо исключить из обработки сетевыми прокси-серверами, системами перехвата и другими корпоративными системами.

  Ниже приведен минимальный набор URL-адресов, которые должны быть разрешены, чтобы плагин SSO функционировал:

  • app-site-association.cdn-apple.com
  • app-site-association.networking.apple
  • login.microsoftonline.com(*)
  • login.microsoft.com(*)
  • sts.windows.net(*)
  • login.partner.microsoftonline.cn(*)(**)
  • login.chinacloudapi.cn(*)(**)
  • login.microsoftonline.us(*)(**)
  • login-us.microsoftonline.com(*)(**)
  • config.edge.skype.com(***)

  (*) Разрешение доменов Майкрософт требуется только в версиях операционной системы, выпущенных до 2022 года. В последних версиях операционной системы Apple полностью зависит от своего CDN.

  (**) Необходимо разрешить только домены национальных облачных служб, если они используются в вашей среде.

  (***) Поддержание связи со службой конфигурации экспериментов (ECS) гарантирует, что корпорация Майкрософт может своевременно реагировать на серьезную ошибку.

  Подключаемый модуль единого входа Microsoft Enterprise использует корпоративную платформу единого входа Apple. Корпоративный фреймворк единого входа Apple гарантирует, что только утвержденный плагин единого входа может работать для каждого поставщика удостоверений, используя технологию, называемую связанными доменами. Чтобы проверить удостоверение подключаемого модуля единого входа (SSO), каждое устройство Apple отправляет сетевой запрос к конечной точке, принадлежащей поставщику удостоверений, и считывает информацию об утвержденных SSO модулях. Помимо обращения напрямую к поставщику удостоверений, Apple также реализовала дополнительное кэширование этой информации.

  Предупреждение

  Если в организации используются прокси-серверы, которые перехватывают SSL-трафик для таких сценариев, как защита от потери данных или ограничения клиента, убедитесь, что трафик к этим URL-адресам исключен из прерывания и проверки TLS. Сбой в исключении этих URL-адресов приводит к помехам при проведении проверки подлинности сертификата клиента, возникновению проблем с регистрацией устройства и условным доступом на основе устройств. Подключаемый модуль единого входа не будет работать надёжно, если полностью не исключить домены Apple CDN из перехвата; до этого момента вы будете сталкиваться с периодическими проблемами.

  Если ваша организация блокирует эти URL-адреса, пользователи могут видеть такие ошибки, как 1012 NSURLErrorDomain error, 1000 com.apple.AuthenticationServices.AuthorizationError или 1001 Unexpected.

  Другие URL-адреса Apple, которые могут быть разрешены, описаны в своей статье поддержки, используйте продукты Apple в корпоративных сетях.

Требования к iOS

• На устройстве должна быть установлена ОС iOS 13.0 или более поздняя версия.
• На устройстве должно быть установлено приложение Microsoft, которое предоставляет плагин Microsoft Enterprise SSO для устройств Apple. Это приложение является Microsoft Authenticator app.

Требования к macOS

• На устройстве должна быть установлена macOS 10.15 или более поздняя версия.
• Приложение Майкрософт, которое предоставляет подключаемый модуль Microsoft Enterprise SSO для устройств Apple, должно быть установлено на устройстве. Это приложение Корпоративный портал Intune.

Включите подключаемый модуль единого входа

Используйте следующую информацию, чтобы включить плагин единого входа с помощью MDM.

Конфигурация Microsoft Intune

Если вы используете Microsoft Intune как службу MDM, вы можете использовать встроенные параметры профиля конфигурации, чтобы включить плагин Microsoft Enterprise SSO.

1. Настройте параметры подключаемого модуля SSO приложения в профиле конфигурации.
2. Если профиль еще не назначен, назначьте профиль группе пользователей или группе устройств.

Параметры профиля, активирующие плагин SSO, автоматически применяются к устройствам группы при следующей регистрации каждого устройства в Intune.

Настройка других служб MDM в ручном режиме

Если вы не используете Intune для MDM, можно настроить расширяемую полезную нагрузку профиля единого входа для устройств Apple. Используйте следующие параметры для настройки плагина Microsoft Enterprise SSO и его вариантов конфигурации.

Параметры iOS:

• Идентификатор расширения: com.microsoft.azureauthenticator.ssoextension
• Идентификатор команды: для iOS это поле не требуется.

Параметры macOS:

• Идентификатор расширения: com.microsoft.CompanyPortalMac.ssoextension
• Идентификатор команды: UBF8T346G9

Общие параметры:

• Тип: перенаправление
  • https://login.microsoftonline.com
  • https://login.microsoft.com
  • https://sts.windows.net
  • https://login.partner.microsoftonline.cn
  • https://login.chinacloudapi.cn
  • https://login.microsoftonline.us
  • https://login-us.microsoftonline.com

Руководства по развертыванию

Используйте следующие руководства по развертыванию, чтобы включить плагин единого входа Microsoft Enterprise, используя выбранное решение MDM:

Intune:

• Руководство по iOS
• Руководство по macOS

Jamf Pro:

• Руководство по iOS
• Руководство по macOS

Другие MDM:

• Руководство по iOS
• Руководство по macOS

Дополнительные параметры конфигурации

Дополнительные параметры конфигурации можно добавить, чтобы расширить функциональность единого входа для других приложений.

Включение единого входа для приложений, которые не используют MSAL

Любое приложение, даже не разработанное с помощью пакета Microsoft SDK (например, библиотека проверки подлинности Microsoft Authentication Library (MSAL)), может участвовать в процессе единого входа.

Подключаемый модуль единого входа устанавливается автоматически устройствами, отвечающими нижеуказанным условиям.

• Загружено приложение Microsoft Authenticator на iOS или iPadOS или приложение Intune Company Portal на macOS.
• MDM зарегистрировал свое устройство в вашей организации.

Скорее всего, ваша организация использует приложение Authenticator для таких сценариев, как многофакторная проверка подлинности, проверка подлинности без пароля и условный доступ. Используя поставщика MDM, вы можете включить плагин SSO для ваших приложений. Корпорация Майкрософт упрощает настройку подключаемого модуля с помощью Microsoft Intune. Для настройки этих приложений на использование подключаемого модуля единого входа используется список разрешений.

Используйте следующие параметры, чтобы настроить подключаемый модуль единого входа Microsoft Enterprise для приложений, которые не используют MSAL.

Включить единый вход для всех управляемых приложений

• Ключ: Enable_SSO_On_All_ManagedApps
• Тип: Integer
• Значение: 1 или 0. Это значение по умолчанию равно 0.

Когда этот флажок установлен (его значение равно 1), все приложения, управляемые MDM, не входящие в AppBlockList, могут участвовать в системе единого входа.

Включение SSO для конкретных приложений

• Ключ: AppAllowList
• Тип: String
• Значение: перечисленный через запятую список идентификаторов пакетов приложений для приложений, которым разрешено участвовать в процессе единого входа.
• Пример:com.contoso.workapp, com.contoso.travelapp

Включите SSO для всех приложений с заданным префиксом идентификатора пакета

• Ключ: AppPrefixAllowList
• Тип: String
• Значение: разделенный запятыми список идентификаторов пакетов приложений для приложений, которые могут участвовать в процессе единого входа. Этот параметр позволяет всем приложениям, начинающимся с определенного префикса, участвовать в процессе единого входа. Для iOS значение по умолчанию будет установлено на com.apple., что позволит включить единый вход для всех приложений Apple. Для macOS значение по умолчанию будет установлено на com.apple. и com.microsoft., что позволит включить единый вход для всех приложений Apple и Майкрософт. Администраторы могут переопределить значение по умолчанию или добавить приложения в AppBlockList, чтобы предотвратить их участие в едином входе.
• Пример:com.contoso., com.fabrikam.

Отключение единого входа для конкретных приложений

• Ключ: AppBlockList
• Тип: String
• Значение: список идентификаторов пакетов приложений, разделенный запятыми, для приложений, которым разрешено не участвовать в Едином Входе.
• Пример:com.contoso.studyapp, com.contoso.travelapp

Чтобы отключить единый вход для Safari или Safari View Service, необходимо явно добавить идентификаторы пакетов в AppBlockList:

• iOS: com.apple.mobilesafari, com.apple.SafariViewService
• macOS: com.apple.Safari

Включение единого входа для определенного приложения с помощью файлов cookie

Некоторые приложения iOS с расширенными параметрами сети могут столкнуться с непредвиденными проблемами при включении единого входа. Например, может появиться сообщение об ошибке, указывающее на отмену или прерывание сетевого запроса.

Если у пользователей возникают проблемы при входе в приложение, даже если вы включили его через другие настройки, попробуйте добавить его в AppCookieSSOAllowList.

• Ключ: AppCookieSSOAllowList
• Тип: String
• Значение: разделенный запятыми список префиксов идентификаторов пакетов приложений, которые могут участвовать в процессе единого входа. Все приложения, начинающиеся с указанных префиксов, будут допущены к участию в процессе единого входа.
• Пример:com.contoso.myapp1, com.fabrikam.myapp2

Другие требования: чтобы включить SSO для приложений с помощью AppCookieSSOAllowList, необходимо также добавить их префиксы идентификаторов пакетов AppPrefixAllowList.

Используйте эту конфигурацию только для приложений, у которых возникают непредвиденные ошибки при входе. Этот ключ следует использовать только для приложений iOS, а не для приложений macOS.

Сводка ключей

Ключ	Тип	значение
Enable_SSO_On_All_ManagedApps	Целое	1, чтобы включить единый вход для всех управляемых приложений; 0, чтобы отключить единый вход для всех управляемых приложений.
AppAllowList	Строка (список, разделенный запятыми)	Идентификаторы пакетов приложений, которым разрешено участвовать в единой аутентификации.
AppBlockList	Строка (список, разделенный запятыми)	Идентификаторы пакетов приложений, которые не могут участвовать в SSO.
AppPrefixAllowList	Строка (список, разделенный запятыми)	Префиксы идентификаторов пакетов для приложений, которым разрешено участвовать в процессе единого входа. Для iOS значение по умолчанию установлено на com.apple., что позволяет использовать единую систему входа для всех приложений Apple. Для macOS значение по умолчанию будет установлено на com.apple. и com.microsoft., что позволит включить единый вход для всех приложений Apple и Майкрософт. Разработчики, клиенты или администраторы могут переопределить значение по умолчанию или добавить приложения в AppBlockList, чтобы предотвратить их участие в едином входе.
AppCookieSSOAllowList	Строка (список, разделенный запятыми)	Префиксы идентификаторов пакетов приложений, которые разрешены для участия в процессе единого входа, но используют специальные параметры сети и имеют проблемы с использованием единого входа при применении других настроек. Приложения, добавленные в AppCookieSSOAllowList, также необходимо добавить в AppPrefixAllowList. Обратите внимание, что этот ключ следует использовать только для приложений iOS, а не для приложений macOS.

Настройки для распространенных сценариев

• Сценарий: я хочу включить однофакторную аутентификацию для большинства управляемых приложений, но не для всех.

  Ключ	значение
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	Идентификаторы пакетов приложений (список, разделенный запятыми) приложений, для которых вы хотите отключить единый вход в систему.

• Сценарий: я хочу отключить единый вход для Safari, который включен по умолчанию, но включить единый вход для всех управляемых приложений.

  Ключ	значение
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	Идентификаторы пакетов (список, разделённый запятыми) приложений Safari, для которых вы хотите отключить функцию единого входа. Для iOS: com.apple.mobilesafari, com.apple.SafariViewService Для macOS: com.apple.Safari

• Сценарий: я хочу включить единый вход для всех управляемых приложений и нескольких неуправляемых приложений, но отключить единый вход для некоторых других приложений.

  Ключ	значение
  Enable_SSO_On_All_ManagedApps	1
  AppAllowList	Идентификаторы пакетов приложений (список, разделенный запятыми), которые вы хотите включить для участия в едином входе.
  AppBlockList	Идентификаторы пакетов (список, разделенный запятыми) приложений, которые вы хотите исключить из участия в едином входе.

Поиск идентификаторов пакетов приложений на устройствах iOS

Компания Apple не предоставляет простого способа получения идентификаторов пакетов из App Store. Простейший способ получения идентификаторов пакета приложений, для которых надо использовать единый вход, — обратиться к поставщику или разработчику приложений. Если это невозможно, следует использовать конфигурацию MDM для поиска идентификаторов пакетов.

1. Временно активируйте следующий флаг в конфигурации MDM:

   • Ключ: admin_debug_mode_enabled
   • Тип: Integer
   • Значение: 1 или 0

2. Если этот флаг активирован, войдите в приложения iOS на устройстве, для которого необходимо получить идентификатор пакета.

3. В приложении Authenticator выберите Справка>Отправить журналы>Просмотреть журналы.

4. В файле журнала найдите строку [ADMIN MODE] SSO extension has captured following app bundle identifiers. В этой строке должны быть указаны все идентификаторы пакетов приложений, видимые для расширения единого входа.

Используйте идентификаторы пакетов, чтобы настроить единый вход для приложений. Отключите режим администратора после завершения.

Разрешить пользователям входить из приложений, которые не используют MSAL и браузер Safari

По умолчанию подключаемый модуль единого входа Microsoft Enterprise получает общие учетные данные, когда его вызывает другое приложение, которое использует MSAL для приобретения нового токена. В зависимости от конфигурации подключаемый модуль единого входа Microsoft Enterprise также может получить общие учетные данные, когда он вызывается приложениями, которые не используют MSAL.

При включении флага browser_sso_interaction_enabled приложения, которые не используют MSAL, могут выполнять начальную загрузку и получать общие учетные данные. Браузер Safari также может выполнять начальную загрузку и получать общие учетные данные.

Если подключаемый модуль единого входа в систему Microsoft Enterprise еще не имеет общих учетных данных, он пытается получить их при каждом запросе входа с URL-адреса Microsoft Entra в браузере Safari, ASWebAuthenticationSession, SafariViewController или другом разрешённом нативном приложении.

Используйте нижеуказанные параметры, чтобы активировать флаг.

• Ключ: browser_sso_interaction_enabled
• Тип: Integer
• Значение: 1 или 0. Это значение по умолчанию равно 1.

Для iOS и macOS требуется этот параметр, чтобы подключаемый модуль единого входа Microsoft Enterprise предоставлял согласованный интерфейс для всех приложений. Этот параметр включен по умолчанию, и он должен быть отключен только в том случае, если конечный пользователь не может войти с помощью учетных данных.

Отключение запросов приложения OAuth 2

Если приложение просит пользователей войти в систему, даже если плагин SSO Microsoft Enterprise работает для других приложений на устройстве, приложение может обходить SSO на уровне протокола. Общие учетные данные также игнорируются этими приложениями, поскольку подключаемый модуль обеспечивает единый вход, добавляя учетные данные к сетевым запросам, выполняемым разрешенными приложениями.

Эти параметры указывают, должно ли расширение единого входа предотвращать обход собственными и веб-приложениями единого входа на уровне протокола и принудительно отображать запрос на вход пользователю.

Для согласованного единого входа в систему во всех приложениях на устройстве рекомендуется включить один из этих параметров для приложений, которые не используют MSAL. Это следует включить только для приложений, использующих MSAL, если у пользователей возникают непредвиденные запросы.

Приложения, которые не используют библиотеку проверки подлинности Майкрософт:

Отключите запрос приложения и отобразите средство выбора учетной записи:

• Ключ: disable_explicit_app_prompt
• Тип: Integer
• Значение: 1 или 0. Это значение по умолчанию имеет значение 1, и этот параметр по умолчанию уменьшает запросы.

Отключите запрос приложения и автоматически выберите учетную запись в списке соответствующих учетных записей единого входа.

• Ключ: disable_explicit_app_prompt_and_autologin
• Тип: Integer
• Значение: 1 или 0. Это значение по умолчанию равно 0.

Приложения, использующие библиотеку проверки подлинности Майкрософт:

Следующие параметры не рекомендуется применять, если политики защиты приложений используются.

Отключите запрос приложения и отобразите средство выбора учетной записи:

• Ключ: disable_explicit_native_app_prompt
• Тип: Integer
• Значение: 1 или 0. Это значение по умолчанию равно 0.

Отключите запрос приложения и автоматически выберите учетную запись в списке соответствующих учетных записей единого входа.

• Ключ: disable_explicit_native_app_prompt_and_autologin
• Тип: Integer
• Значение: 1 или 0. Это значение по умолчанию равно 0.

Непредвиденные запросы приложения SAML

Если приложение запрашивает у пользователей вход, даже если плагин Microsoft Enterprise SSO работает с другими приложениями на устройстве, возможно, приложение обходит SSO на уровне протокола. Если приложение использует протокол SAML, плагин Microsoft Enterprise SSO не сможет предоставить единый вход этому приложению. Поставщика приложений следует уведомить об этом поведении и внести изменения в их приложение, чтобы не обходить единую систему входа.

Изменение интерфейса iOS для приложений с поддержкой MSAL

Приложения, использующие MSAL, всегда вызывают расширение единого входа в своей среде для интерактивных запросов. На некоторых устройствах iOS это может быть нежелательным. В частности, если пользователю также требуется выполнить многофакторную проверку подлинности в приложении Microsoft Authenticator, интерактивный перенаправление в это приложение может обеспечить лучший пользовательский интерфейс.

Это поведение можно настроить с помощью флага disable_inapp_sso_signin . Если этот флаг включен, приложения, использующие MSAL, перенаправляются в приложение Microsoft Authenticator для всех интерактивных запросов. Этот флаг не влияет на запросы тихих токенов от таких приложений, на поведение программ, которые не используют MSAL или macOS. Этот флаг отключен по умолчанию.

• Ключ: disable_inapp_sso_signin
• Тип: Integer
• Значение: 1 или 0. Это значение по умолчанию равно 0.

Настройка регистрации устройств Microsoft Entra

Для устройств, управляемых Intune, подключаемый модуль единого входа Microsoft Enterprise может выполнять регистрацию устройства Microsoft Entra, когда пользователь пытается получить доступ к ресурсам. Это обеспечивает более упрощенное взаимодействие с конечным пользователем.

Используйте следующую конфигурацию, чтобы включить JIT-регистрацию для iOS/iPadOS с помощью Microsoft Intune:

• Ключ: device_registration
• Тип: String
• Значение: {{DEVICEREGISTRATION}}

Дополнительные сведения об JIT-регистрации см. здесь.

Политики условного доступа и изменения паролей

Плагин единого входа Microsoft Enterprise для устройств Apple совместим с различными политиками условного доступа Microsoft Entra и событиями изменения пароля. browser_sso_interaction_enabled требуется включить для обеспечения совместимости.

Совместимые события и политики описаны в следующих разделах:

Изменение пароля и аннулирование токена

Когда пользователь сбрасывает пароль, все токены, выданные до этого, будут аннулированы. Если пользователь пытается получить доступ к ресурсу после события сброса пароля, пользователю обычно потребуется снова войти в каждое из приложений. Когда включен подключаемый модуль единого входа Microsoft Enterprise, пользователю будет предложено войти в первое приложение, которое участвует в едином входе. Подключаемый модуль единого входа Microsoft Enterprise будет отображать собственный пользовательский интерфейс поверх приложения, которое сейчас активно.

Многофакторная проверка подлинности Microsoft Entra

Многофакторная проверка подлинности — это процесс, в котором пользователи запрашиваются во время входа в систему для дополнительной формы идентификации, например код на своем мобильном телефоне или сканирование отпечатков пальцев. Многофакторная проверка подлинности может быть включена для определенных ресурсов. Когда подключаемый модуль единого входа Microsoft Enterprise включен, пользователю будет предложено выполнить многофакторную проверку подлинности в первом приложении, которое требует его. Подключаемый модуль единого входа Microsoft Enterprise будет отображать собственный пользовательский интерфейс поверх активного приложения.

Частота входа пользователя

Частота входа определяет период времени, прежде чем пользователю будет предложено повторно войти при попытке доступа к ресурсу. Если пользователь пытается получить доступ к ресурсу после того, как период времени прошел в различных приложениях, пользователю обычно потребуется снова войти в каждое из этих приложений. Когда включен подключаемый модуль единого входа Microsoft Enterprise, пользователю будет предложено войти в первое приложение, которое участвует в едином входе. Подключаемый модуль единого входа Microsoft Enterprise будет отображать собственный пользовательский интерфейс поверх текущего активного приложения.

Использование Microsoft Intune для упрощения настройки

Вы можете использовать Microsoft Intune в качестве вашей службы MDM для упрощения настройки плагина единого входа Microsoft Enterprise. Например, с помощью Intune можно включить подключаемый модуль и добавить старые приложения в белый список, чтобы обеспечить для них возможность единого входа (SSO).

Дополнительные сведения см. в статье Развертывание подключаемого модуля Microsoft Enterprise единого входа для устройств Apple через Intune.

Используйте плагин единого входа в вашем приложении

MSAL для устройств Apple версии 1.1.0 и более поздних поддерживает модуль Microsoft Enterprise для единого входа на устройствах Apple. Это рекомендуемый способ добавления поддержки для подключаемого модуля Microsoft Enterprise для единого входа (SSO). Он гарантирует получение всех возможностей платформы Microsoft Identity.

Если вы разрабатываете приложение для сценариев фронтовых рабочих, см. информацию по настройке в статье Режим совместной работы для устройств iOS.

Узнать, как работает подключаемый модуль единого входа

Подключаемый модуль Microsoft Enterprise SSO использует фреймворк SSO Apple Enterprise. Поставщики удостоверений, которые присоединяются к платформе, могут перехватывать сетевой трафик для своих доменов, а также улучшать или изменять способ обработки этих запросов. Например, подключаемый модуль единого входа может показывать больше пользовательских интерфейсов для безопасного получения учетных данных конечных пользователей, требовать выполнения многофакторной аутентификации или автоматически предоставлять токены для приложения.

Собственные приложения также могут реализовывать пользовательские операции и напрямую взаимодействовать с плагином единого входа. Дополнительные сведения см. в видеоролике от Apple о Всемирной конференции для разработчиков 2019 г.

Приложения, использующие MSAL

MSAL для устройств Apple версии 1.1.0 и более новых поддерживает плагин Microsoft Enterprise SSO для рабочих и учебных учетных записей.

При соблюдении всех рекомендаций и использовании заданного по умолчанию формата перенаправления URI специальная настройка не требуется. На устройствах с плагином единого входа MSAL автоматически вызывает его для всех интерактивных и тихих запросов токенов. Кроме того, модуль вызывается для операций перечисления и удаления учетных записей. Поскольку MSAL реализует собственный протокол встроенного подключаемого модуля SSO, основанный на настраиваемых операциях, эта конфигурация обеспечивает наиболее плавный и интегрированный исходный опыт для конечного пользователя.

На устройствах iOS и iPadOS, если плагин SSO не включен УДО, но приложение Microsoft Authenticator присутствует на устройстве, MSAL вместо этого использует приложение Authenticator для любых интерактивных токен-запросов. Подключаемый модуль Microsoft Enterprise SSO делится функцией единого входа с приложением Authenticator.

Приложения, не использующие MSAL

Приложения, которые не используют MSAL, по-прежнему могут получить единый вход, если администратор добавляет эти приложения в список разрешений.

Изменение кода в этих приложениях не требуется, если выполняются условия, указанные ниже.

• Это приложение использует платформы Apple для выполнения сетевых запросов. К таким платформам относятся, например WKWebView и NSURLSession.
• Приложение использует стандартные протоколы для взаимодействия с идентификатором Microsoft Entra. К таким протоколам относятся, к примеру, OAuth 2, SAML и WS-Federation.
• Это приложение не собирает незашифрованные имена пользователей и пароли в собственном пользовательском интерфейсе.

В этом случае SSO (единый вход) предоставляется, когда приложение создает сетевой запрос и открывает веб-браузер для входа пользователя. Когда пользователь перенаправляется на URL-адрес входа Microsoft Entra, подключаемый модуль единого входа проверяет URL-адрес и проверяет учетные данные единого входа для этого URL-адреса. Если он находит учетные данные, подключаемый модуль единого входа передает его в идентификатор Microsoft Entra, который разрешает приложению завершить сетевой запрос, не запрашивая у пользователя ввод учетных данных. Кроме того, если устройство известно идентификатору Microsoft Entra, подключаемый модуль единого входа передает сертификат устройства для проверки условного доступа на основе устройства.

Чтобы поддержать единый вход для приложений, не использующих MSAL, модуль SSO реализует протокол, аналогичный протоколу плагина для браузера Windows, описанному в разделе Что такое основной маркер обновления?

По сравнению с приложениями на основе MSAL, подключаемый модуль единого входа работает более прозрачно для приложений, не использующих MSAL. Он интегрируется с существующим интерфейсом входа в браузер, предоставляемым приложениями.

Конечный пользователь видит знакомый интерфейс, и ему не надо повторно входить в каждое приложение. Например, вместо отображения встроенного механизма выбора учетной записи, подключаемый модуль единого входа добавляет сеансы единого входа к веб-интерфейсу выбора учетных записей.

Предстоящие изменения в хранилище ключей идентификации устройства

Объявлено в марте 2024 года, Microsoft Entra ID будет отходить от Apple Keychain для хранения ключей идентификации устройств. Начиная с 3 квартала 2025 года, все новые регистрации устройств будут использовать Secure Enclave Apple. У вас не будет возможности отказаться от этого места хранения.

Приложения и интеграции MDM, которые зависят от доступа к ключам регистрации в корпоративной сети через цепочку ключей, должны начать использовать MSAL и плагин корпоративного SSO, чтобы обеспечить совместимость с платформой удостоверений Microsoft.

Включить хранилище ключей идентификации устройства, основанное на безопасном анклаве

Если вы хотите включить хранилище ключей удостоверений устройств на основе Secure Enclave до того, как это станет обязательным, вы можете добавить следующий атрибут данных расширения в профиль конфигурации MDM устройств Apple.

• Ключ: use_most_secure_storage
• Тип: Boolean
• Значение: True

На снимке экрана ниже показана страница конфигурации и параметры включения безопасного анклава в Microsoft Intune.

Распознавание несовместимости приложения с удостоверением устройства на основе Secure Enclave

После включения хранилища на основе Безопасного анклава может возникнуть сообщение об ошибке, которое требует настроить устройство для получения доступа. Это сообщение об ошибке указывает, что приложению не удалось распознать управляемое состояние устройства, предлагая несовместимость с новым расположением хранилища ключей.

Эта ошибка отображается в журналах входа в систему Microsoft Entra ID со следующими сведениями:

• Код ошибки входа:530003
• Причина сбоя:Device is required to be managed to access this resource.

Если во время тестирования отображается это сообщение об ошибке, сначала убедитесь, что вы успешно включили расширение единого входа, а также установили все необходимые расширения для конкретного приложения (например, Microsoft Единый вход для Chrome). Если вы продолжаете видеть это сообщение, рекомендуется связаться с поставщиком приложения, чтобы сообщить им о несовместимости с новым расположением хранилища.

Затронутые сценарии

В приведенном ниже списке содержатся некоторые распространенные сценарии, которые будут затронуты этими изменениями. Как правило, любое приложение, которое имеет зависимость от доступа к артефактам удостоверения устройства через ключницу Apple, будет затронуто.

Это не исчерпывающий список, и мы советуем потребителям и поставщикам приложений тестировать программное обеспечение для обеспечения совместимости с этим новым хранилищем данных.

Поддержка политики условного доступа для зарегистрированных и зачисленных устройств в Chrome

Чтобы поддерживать политики условного доступа для устройств в браузере Google Chrome с включенной функцией хранения на основе Secure Enclave, необходимо установить и активировать расширение Единого входа Microsoft.

Важное обновление на macOS 15.3 и iOS 18.1.1, влияющее на корпоративную систему единого входа.

Обзор

Недавнее обновление для macOS 15.3 и iOS 18.1.1 не позволяет фреймворку расширения корпоративного единого входа правильно функционировать, что приводит к непредвиденным сбоям аутентификации во всех приложениях, интегрированных с Entra ID. Затронутые пользователи также могут столкнуться с ошибкой, помеченной как "4s8qh".

Основная причина

Первопричиной этой проблемы является потенциальная регрессия на базовом уровне PluginKit, что предотвращает запуск расширения единого входа Microsoft Enterprise в операционной системе. Apple расследует проблему и работает с нами по решению.

Определение затронутых пользователей

Чтобы определить, затронуты ли ваши пользователи, можно собрать системную диагностику и найти следующие сведения об ошибке:

Ошибка Domain=PlugInKit Код=16 другая версия уже используется

Ниже приведен пример того, как выглядит эта ошибка:

Request for extension <EXConcreteExtension: 0x60000112d080> {id = com.microsoft.CompanyPortalMac.ssoextension} failed with error Error Domain=PlugInKit Code=16 "other version in use: <id<PKPlugIn>: 0x1526066c0; core = <[...] [com.microsoft.CompanyPortalMac.ssoextension(5.2412.0)],[...] [/Applications/Company Portal.app/Contents/PlugIns/Mac SSO Extension.appex]>, instance = [(null)], state = 1, useCount = 1>" UserInfo={NSLocalizedDescription=other version in use: <id<PKPlugIn>: 0x1526066c0; core = <[...] [com.microsoft.CompanyPortalMac.ssoextension(5.2412.0)],[...] [/Applications/Company Portal.app/Contents/PlugIns/Mac SSO Extension.appex]>, instance = [(null)], state = 1, useCount = 1>}

Действия по восстановлению

Если ваши пользователи сталкиваются с этой проблемой, они могут перезагрузить устройство, чтобы восстановить работу.

См. также

См. статью Режим совместной работы для устройств iOS.

Узнайте об устранении неполадок с расширением единого входа Microsoft Enterprise.