Использование подключаемого модуля единого входа Microsoft Enterprise на устройствах iOS/iPadOS

• Устройством управляет Intune.

• Устройство должно поддерживать подключаемый модуль:

  • iOS и iPadOS версии 13.0 и более поздних версий;

• На устройстве должно быть установлено приложение Microsoft Authenticator.

  Пользователи могут установить приложение Microsoft Authenticator вручную. Кроме того, администраторы могут развернуть приложение с помощью Intune. Сведения об установке приложения Microsoft Authenticator см. в статье Управление приложениями Apple, приобретенными томами.

• Настроены требования к подключаемым модулям единого входа enterprise, включая URL-адреса конфигурации сети Apple.

• Устройством управляет Jamf Pro.

• Устройство должно поддерживать подключаемый модуль:

  • iOS и iPadOS версии 13.0 и более поздних версий;

• На устройстве должно быть установлено приложение Microsoft Authenticator.

  Пользователи могут установить приложение Microsoft Authenticator вручную. Кроме того, администраторы могут развернуть приложение с помощью Jamf Pro. Список вариантов установки приложения Microsoft Authenticator см. в статье Управление установщиками macOS с помощью Jamf Pro (откроется веб-сайт Jamf Pro).

• Настроены требования к подключаемым модулям единого входа enterprise, включая URL-адреса конфигурации сети Apple.

• От интеграции Jamf Pro и Intune для обеспечения соответствия устройств требованиям не требуется использовать расширение приложения SSO.

• Устройство управляется решением поставщика управления мобильными устройствами (MDM).
• Решение MDM должно поддерживать настройку параметров полезных данных MDM единого входа для устройств Apple с политикой устройств.
• Устройство должно поддерживать подключаемый модуль:
  • iOS и iPadOS версии 13.0 и более поздних версий;
• На устройстве должно быть установлено приложение Microsoft Authenticator. Пользователи могут установить приложение Microsoft Authenticator вручную. Кроме того, администраторы могут развернуть приложение с помощью политики MDM.
• Настроены требования к подключаемым модулям единого входа enterprise, включая URL-адреса конфигурации сети Apple.

В Центре администрирования Microsoft Intune создайте профиль конфигурации устройства. Этот профиль включает параметры для настройки расширения приложения единого входа на устройствах.

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.

3. Укажите следующие свойства:

   • Платформа. Выберите iOS/iPadOS.
   • Тип профиля: выберите Шаблоны>Функции устройства.

4. Выберите Создать.

   

5. В разделе Основные укажите следующие свойства.

   • Имя: введите понятное имя для политики. Назначьте имена политикам, чтобы можно было легко различать их. Например, хорошее имя политики — iOS: расширение приложения единого входа.
   • Описание: введите описание политики. Этот необязательный параметр, но мы рекомендуем его использовать.

6. Нажмите кнопку Далее.

7. В окне Параметры конфигурации выберите Расширение приложения единого входа и настройте следующие свойства:

   • Тип расширения приложения единого входа. Выберите Идентификатор Microsoft Entra.

     

   • Включите режим общего устройства:

     • Не настроено: Intune не изменяет или не обновляет этот параметр.

       Для большинства сценариев, включая общее устройство iPad, личные устройства и устройства с сопоставлением пользователей или без него, выберите этот параметр.

     • Да. Выберите этот параметр , только если целевые устройства используют режим общего устройства Microsoft Entra. Дополнительные сведения см. в статье Общие сведения о режиме общего устройства.

   • Идентификатор пакета приложений: введите список идентификаторов пакетов для приложений, которые не поддерживают MSAL и которым разрешено использовать единый вход. Дополнительные сведения см. в разделе Приложения, которые не используют MSAL.

   • Дополнительная конфигурация: для настройки взаимодействия с пользователем можно добавить следующие свойства. Эти свойства являются значениями по умолчанию, используемыми расширением единого входа Майкрософт, но их можно настроить в соответствии с потребностями вашей организации:

     Key	Тип	Описание
     AppPrefixAllowList	Строка	Рекомендуемое значение: com.apple. Введите список префиксов для приложений, которые не поддерживают MSAL и которым разрешено использовать единый вход. Например, введите com.microsoft.,com.apple. , чтобы разрешить все приложения Майкрософт и Apple. Убедитесь, что эти приложения соответствуют требованиям списка разрешений.
     browser_sso_interaction_enabled	Целое число	Рекомендуемое значение: 1 Если задано значение 1, пользователи смогут входить в браузер Safari из приложений, которые не поддерживают MSAL. Включение этого параметра позволяет пользователям выполнять начальную загрузку расширения из Safari или других приложений.
     disable_explicit_app_prompt	Целое число	Рекомендуемое значение: 1 Некоторые приложения могут неправильно применять запросы пользователя на уровне протокола. Если вы столкнулись с этой проблемой, пользователи получат запрос на вход, даже если подключаемый модуль единого входа Microsoft Enterprise работает для других приложений. Если задано значение 1 (один), количество этих запросов сокращается.

     Совет

     Дополнительные сведения об этих свойствах и других свойствах, которые можно настроить, см. в статье Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple.

     Когда вы закончите настройку параметров и разрешаете microsoft & приложениям Apple, параметры будут выглядеть так, как в профиле конфигурации Intune:

     

8. Продолжайте создание профиля и назначьте профиль пользователям или группам, которые будут принимать эти параметры. Конкретные шаги см. в разделе Создание профиля.

   Инструкции по назначению профилей см. в статье Назначение профилей пользователей и устройств.

Когда устройство регистрируется в службе Intune, оно получает этот профиль. Дополнительные сведения см. в разделе Интервалы обновления политики.

Чтобы проверить правильность развертывания профиля, в Центре администрирования Intune перейдите в раздел Управление>устройствами>Конфигурация> выберите созданный профиль и создайте отчет:

На портале Jamf Pro вы создадите профиль конфигурации компьютера или устройства. Этот профиль включает параметры для настройки расширения приложения единого входа на устройствах.

1. Войдите на портал Jamf Pro.

2. Чтобы создать профиль iOS/iPadOS, выберитеПрофили> конфигурации устройств>Создать:

   

3. В поле Имя введите описательное имя политики. Назначьте имена политикам, чтобы можно было легко различать их. Например, хорошее имя политики: iOS/iPadOS: подключаемый модуль единого входа Microsoft Enterprise.

4. В столбце Параметры прокрутите вниз и выберите Одно Sign-On Расширения>Добавить:

   

5. Укажите следующие свойства:

   • Тип полезных данных: выберите единый вход.
   • Идентификатор расширения: введите com.microsoft.azureauthenticator.ssoextension.
   • Идентификатор команды: значение не требуется. Оставьте поле пустым.
   • Тип входа: выберите Перенаправление.
   • URL-адреса. Введите следующие URL-адреса по одному:
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. В пользовательской конфигурации определяются другие необходимые свойства. Jamf Pro требует, чтобы эти свойства были настроены с помощью загруженного PLIST-файла. Полный список настраиваемых свойств см. в документации по подключаемому модулу единого входа Microsoft Enterprise для устройств Apple.

   В следующем примере используется рекомендуемый PLIST-файл, отвечающий потребностям большинства организаций.

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   Эти параметры PLIST настраивают следующие параметры расширения единого входа. Эти свойства являются значениями по умолчанию, используемыми расширением единого входа Майкрософт, но их можно настроить в соответствии с потребностями вашей организации:

   Key	Тип	Описание
   AppPrefixAllowList	Строка	Рекомендуемое значение: com.apple.,com.jamf.,com.jamfsoftware. Введите список префиксов для приложений, которые не поддерживают MSAL и которым разрешено использовать единый вход. Например, введите com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. , чтобы разрешить все приложения Microsoft, Apple и Jamf Pro. Убедитесь, что эти приложения соответствуют требованиям списка разрешений.
   disable_explicit_app_prompt	Целое число	Рекомендуемое значение: 1 Некоторые приложения могут неправильно применять запросы пользователя на уровне протокола. Если вы столкнулись с этой проблемой, пользователи получат запрос на вход, даже если подключаемый модуль единого входа Microsoft Enterprise работает для других приложений. Если задано значение 1 (один), количество этих запросов сокращается.

   Совет

   Дополнительные сведения об этих свойствах и других свойствах, которые можно настроить, см. в статье Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple.

7. Выберите вкладку Область. Укажите компьютеры или устройства для получения профиля MDM расширения SSO.

8. Нажмите кнопку Сохранить.

Когда устройство регистрируется в службе Jamf Pro, оно получает профиль.

На портале MDM создайте профиль конфигурации устройства. Этот профиль включает параметры для настройки расширения приложения единого входа на устройствах.

1. Войдите на портал MDM.

2. Создайте новый профиль конфигурации устройства.

3. Выберите один Sign-On расширения или расширение единого входа . Имя зависит от используемого решения MDM.

4. Укажите следующие свойства:

   Ключ	Значение
   Тип полезных данных	Единый вход
   Идентификатор расширения	com.microsoft.azureauthenticator.ssoextension
   Тип Sign-On	Redirect
   URL-адреса	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. При необходимости можно настроить другие свойства. Эти свойства являются значениями по умолчанию, используемыми расширением единого входа Майкрософт, но их можно настроить в соответствии с потребностями вашей организации:

   Key	Тип	Описание
   AppPrefixAllowList	Строка	Рекомендуемое значение: com.apple. Введите список префиксов для приложений, которые не поддерживают MSAL и которым разрешено использовать единый вход. Например, введите com.microsoft.,com.apple. , чтобы разрешить все приложения Майкрософт и Apple. Убедитесь, что эти приложения соответствуют требованиям списка разрешений.
   browser_sso_interaction_enabled	Целое число	Рекомендуемое значение: 1 Если задано значение 1, пользователи смогут входить в браузер Safari из приложений, которые не поддерживают MSAL. Включение этого параметра позволяет пользователям выполнять начальную загрузку расширения из Safari или других приложений.
   disable_explicit_app_prompt	Целое число	Рекомендуемое значение: 1 Некоторые приложения могут неправильно применять запросы пользователя на уровне протокола. Если вы столкнулись с этой проблемой, пользователи получат запрос на вход, даже если подключаемый модуль единого входа Microsoft Enterprise работает для других приложений. Если задано значение 1 (один), количество этих запросов сокращается.

   Совет

   Дополнительные сведения об этих свойствах и других свойствах, которые можно настроить, см. в статье Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple.

6. Назначьте новую политику устройствам, которые должны быть предназначены для получения профиля MDM расширения единого входа.

Когда устройство регистрируется в службе MDM, оно получает этот профиль.