Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten

De Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten biedt eenmalige aanmelding (SSO) voor Microsoft Entra-accounts in macOS, iOS en iPadOS voor alle toepassingen die ondersteuning bieden voor de functie voor eenmalige aanmelding van Apple. De invoegtoepassing biedt zelfs eenmalige aanmelding voor oude toepassingen waarvan uw bedrijf mogelijk afhankelijk is, maar die nog geen ondersteuning bieden voor de nieuwste identiteitsbibliotheken of -protocollen. Microsoft heeft nauw samengewerkt met Apple om deze invoegtoepassing te ontwikkelen om de bruikbaarheid van uw toepassing te verbeteren en tegelijkertijd de beste beveiliging te bieden.

De SSO-invoegtoepassing voor Enterprise is momenteel een ingebouwde functie van de volgende apps:

• Microsoft Authenticator: iOS, iPadOS
• Microsoft Intune-bedrijfsportal: macOS

Features

De Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten biedt de volgende voordelen:

• Het biedt eenmalige aanmelding voor Microsoft Entra-accounts voor alle toepassingen die ondersteuning bieden voor de functie Apple Enterprise SSO.
• Het kan worden ingeschakeld door elke MDM-oplossing (Mobile Device Management) en wordt ondersteund in zowel apparaat- als gebruikersinschrijving.
• Het breidt SSO uit naar toepassingen die nog niet gebruikmaken van de Microsoft Authentication Library (MSAL).
• Het breidt SSO uit naar toepassingen die gebruikmaken van OAuth 2, OpenID Connect en SAML.
• Het is systeemeigen geïntegreerd met MSAL, dat een soepele systeemeigen ervaring biedt aan de eindgebruiker wanneer de invoegtoepassing microsoft Enterprise SSO is ingeschakeld.

Requirements

Voor het gebruik van de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten gelden de volgende vereisten:

• Het apparaat moet een geïnstalleerde app met de invoegtoepassing Microsoft Enterprise SSO voor Apple-apparaten ondersteunen en hebben:
  • iOS 13.0 en hoger: Microsoft Authenticator-app
  • iPadOS 13.0 en hoger: Microsoft Authenticator-app
  • macOS 10.15 en hoger: Intune-bedrijfsportal-app
• Het apparaat moet zijn ingeschreven bij MDM, bijvoorbeeld via Microsoft Intune.
• De configuratie moet naar het apparaat worden doorgestuurd om de Enterprise SSO-invoegtoepassing in te schakelen. Apple vereist deze beveiligingsbeperking.
• Apple-apparaten moeten toegang hebben tot url's van id-providers en hun eigen URL's zonder extra interceptie. Dit betekent dat deze URL's moeten worden uitgesloten van netwerkproxy's, interceptie en andere bedrijfssystemen.

De minimale set URL's die moeten worden toegestaan voor de SSO-invoegtoepassing om te kunnen functioneren op besturingssysteemversies die na 2022 zijn uitgebracht en die niet zijn gericht op Platform SSO zijn als volgt: (In de nieuwste versies van het besturingssysteem is Apple volledig afhankelijk van de CDN):

• app-site-association.cdn-apple.com
• app-site-association.networking.apple
• config.edge.skype.com - Het onderhouden van communicatie met de ECS (Experimentation Configuration Service) zorgt ervoor dat Microsoft tijdig op een ernstige fout kan reageren.

De minimale set URL's die moeten worden toegestaan voor de SSO-invoegtoepassing om te kunnen functioneren op op Platform SSO gerichte apparaten of op besturingssysteemversies die vóór 2022 zijn uitgebracht:

• app-site-association.cdn-apple.com
• app-site-association.networking.apple
• login.microsoftonline.com
• login.microsoft.com
• sts.windows.net
• login.partner.microsoftonline.cn(**)
• login.chinacloudapi.cn(**)
• login.microsoftonline.us(**)
• login-us.microsoftonline.com(**)
• config.edge.skype.com(***)

( * ) Het toestaan van Microsoft-domeinen is alleen vereist voor besturingssysteemversies die vóór 2022 zijn uitgebracht. Op de nieuwste versies van het besturingssysteem is Apple volledig afhankelijk van het CDN. ( ** ) U hoeft alleen soevereine clouddomeinen toe te staan als u afhankelijk bent van die in uw omgeving. ( *** ) Het onderhouden van communicatie met de ECS (Experimentation Configuration Service) zorgt ervoor dat Microsoft tijdig op een ernstige fout kan reageren.

URL's die moeten worden toegestaan voor apparaatregistratiestromen

Zorg ervoor dat verkeer naar de HIER vermelde URL's standaard is toegestaan en expliciet is uitgesloten van TLS-interceptie of inspectie. Dit is essentieel voor registratiestromen die afhankelijk zijn van TLS-uitdagingen om succesvol af te ronden.

De Microsoft Enterprise SSO-invoegtoepassing is afhankelijk van het Enterprise SSO-framework van Apple. Het Enterprise SSO-framework van Apple zorgt ervoor dat alleen een goedgekeurde SSO-invoegtoepassing voor elke id-provider kan werken door gebruik te maken van een technologie die gekoppelde domeinen wordt genoemd. Als u de identiteit van de SSO-invoegtoepassing wilt controleren, verzendt elk Apple-apparaat een netwerkaanvraag naar een eindpunt dat eigendom is van de id-provider en leest u informatie over goedgekeurde SSO-invoegtoepassingen. Naast het rechtstreeks contact opnemen met de id-provider, heeft Apple ook een andere caching geïmplementeerd voor deze informatie.

Als uw organisatie deze URL's blokkeert, kunnen er fouten optreden zoals 1012 NSURLErrorDomain error, 1000 com.apple.AuthenticationServices.AuthorizationError of 1001 Unexpected.

Andere Apple-URL's die mogelijk moeten worden toegestaan, worden beschreven in hun ondersteuningsartikel, Apple-producten gebruiken op bedrijfsnetwerken.

Vereisten voor iOS

• iOS 13.0 of hoger moet op het apparaat zijn geïnstalleerd.
• Er moet een Microsoft-toepassing die de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten biedt op het apparaat zijn geïnstalleerd. Deze app is de Microsoft Authenticator-app.

Vereisten voor macOS

• macOS 10.15 of hoger moet op het apparaat zijn geïnstalleerd.
• Er moet een Microsoft-toepassing die de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten biedt op het apparaat zijn geïnstalleerd. Deze app is de Intune-bedrijfsportal-app.

De SSO-invoegtoepassing inschakelen

Gebruik de volgende informatie om de SSO-invoegtoepassing in te schakelen met behulp van MDM.

Configuratie van Microsoft Intune

Als u Microsoft Intune gebruikt als uw MDM-service, kunt u ingebouwde configuratieprofielinstellingen gebruiken om de SSO-invoegtoepassing van Microsoft Enterprise in te schakelen:

1. Configureer de SSO-app-invoegtoepassingsinstellingen van een configuratieprofiel.
2. Als het profiel nog niet is toegewezen, wijst u het profiel toe aan een gebruiker of apparaatgroep.

De profielinstellingen waarmee de SSO-invoegtoepassing wordt ingeschakeld, worden automatisch toegepast op de apparaten van de groep wanneer elk apparaat de volgende keer wordt ingecheckt met Intune.

Handmatige configuratie voor andere MDM-services

Als u Intune niet gebruikt voor MDM, kunt u een payload van een Extensible Single Sign On-profiel configureren voor Apple-apparaten. Gebruik de volgende parameters om de SSO-invoegtoepassing van Microsoft Enterprise en de configuratieopties te configureren.

iOS-instellingen:

• Extensie-id: com.microsoft.azureauthenticator.ssoextension
• Team-id: dit veld is niet nodig voor iOS.

macOS-instellingen:

• Extensie-id: com.microsoft.CompanyPortalMac.ssoextension
• Team-id: UBF8T346G9

Algemene instellingen:

• Type: Doorverwijzing
  • https://login.microsoftonline.com
  • https://login.microsoft.com
  • https://sts.windows.net
  • https://login.partner.microsoftonline.cn
  • https://login.chinacloudapi.cn
  • https://login.microsoftonline.us
  • https://login-us.microsoftonline.com

Implementatiehandleidingen

Gebruik de volgende implementatiehandleidingen om de Microsoft Enterprise SSO-invoegtoepassing in te schakelen met behulp van uw gekozen MDM-oplossing:

Intune:

• iOS-handleiding
• macOS-handleiding

Jamf Pro:

• iOS-handleiding
• macOS-handleiding

Andere MDM:

• iOS-handleiding
• macOS-handleiding

Meer configuratieopties

U kunt meer configuratieopties toevoegen om de functionaliteit voor eenmalige aanmelding uit te breiden naar andere apps.

SSO inschakelen voor apps die geen MSAL gebruiken

Met de SSO-invoegtoepassing kan elke toepassing deelnemen aan Single Sign-On, zelfs als deze niet is ontwikkeld met een Microsoft SDK zoals de Microsoft Authentication Library (MSAL).

De SSO-invoegtoepassing wordt automatisch geïnstalleerd door apparaten die:

• De Authenticator-app op iOS of iPadOS hebben gedownload of de Intune-bedrijfsportal-app op macOS hebben gedownload.
• Mdm heeft hun apparaat ingeschreven bij uw organisatie.

Uw organisatie maakt waarschijnlijk gebruik van de Authenticator-app voor scenario's zoals meervoudige verificatie, verificatie zonder wachtwoord en voorwaardelijke toegang. Door gebruik te maken van een MDM-provider kunt u de SSO-invoegtoepassing inschakelen voor uw toepassingen. Microsoft heeft het eenvoudig gemaakt om de invoegtoepassing te configureren met Behulp van Microsoft Intune. Er wordt een acceptatielijst gebruikt om deze toepassingen te configureren voor het gebruik van de SSO-invoegtoepassing.

Gebruik de volgende parameters om de invoegtoepassing microsoft Enterprise SSO te configureren voor apps die geen MSAL gebruiken.

Eenmalige aanmelding inschakelen voor alle beheerde apps

• Sleutel: Enable_SSO_On_All_ManagedApps
• Typ: Integer
• Waarde: 1 of 0. Deze waarde is standaard ingesteld op 0.

Wanneer deze vlag is ingeschakeld (de waarde is ingesteld op 1), kunnen alle door MDM beheerde apps die niet onder AppBlockList vallen, deelnemen aan SSO.

Single Sign-On (SSO) inschakelen voor specifieke apps

• Sleutel: AppAllowList
• Typ: String
• Waarde: door komma's gescheiden lijst met toepassingsbundel-id's voor de toepassingen die mogen deelnemen aan eenmalige aanmelding.
• Voorbeeld:com.contoso.workapp, com.contoso.travelapp

Schakel Single Sign-On (SSO) in voor alle apps met een specifiek bundel-ID-voorvoegsel

• Sleutel: AppPrefixAllowList
• Typ: String
• Waarde: Door komma's gescheiden lijst met app-bundel-ID-voorvoegsels voor de toepassingen die mogen deelnemen aan SSO. Met deze parameter kunnen alle apps die met een bepaald voorvoegsel beginnen deelnemen aan SSO. Voor iOS is de standaardwaarde ingesteld op com.apple. en wordt SSO ingeschakeld voor alle Apple-apps. Voor macOS zou de standaardwaarde worden ingesteld op com.apple. en com.microsoft., en dat zou SSO voor alle Apple- en Microsoft-apps inschakelen. Beheerders kunnen de standaardwaarde overschrijven of apps toevoegen aan AppBlockList om te voorkomen dat ze deelnemen aan eenmalige aanmelding.
• Voorbeeld:com.contoso., com.fabrikam.

SSO uitschakelen voor specifieke apps

• Sleutel: AppBlockList
• Typ: String
• Waarde: door komma's gescheiden lijst met toepassingsbundel-id's voor de toepassingen die niet mogen deelnemen aan eenmalige aanmelding.
• Voorbeeld:com.contoso.studyapp, com.contoso.travelapp

Om Single Sign-On (SSO) voor Safari of Safari View Service uit te schakelen, moet u dit expliciet doen door hun bundel-id's toe te voegen aan de AppBlockList.

• iOS: com.apple.mobilesafari, com.apple.SafariViewService
• macOS: com.apple.Safari

Eenmalige aanmelding via cookies inschakelen voor een specifieke toepassing

Sommige iOS-apps met geavanceerde netwerkinstellingen kunnen onverwachte problemen ondervinden wanneer ze zijn ingeschakeld voor eenmalige aanmelding. U ziet bijvoorbeeld een fout die aangeeft dat een netwerkaanvraag is geannuleerd of onderbroken.

Als uw gebruikers problemen ondervinden bij het aanmelden bij een toepassing, zelfs nadat u deze hebt ingeschakeld via de andere instellingen, kunt u proberen deze toe te voegen aan de AppCookieSSOAllowList om de problemen op te lossen.

• Sleutel: AppCookieSSOAllowList
• Typ: String
• Waarde: door komma's gescheiden lijst met application bundle-ID-voorvoegsels voor de toepassingen die mogen deelnemen aan de SSO. Alle apps die beginnen met de aangegeven voorvoegsels, mogen deelnemen aan Single Sign-On.
• Voorbeeld:com.contoso.myapp1, com.fabrikam.myapp2

Andere vereisten: Om eenmalige aanmelding voor toepassingen in te schakelen met behulp van AppCookieSSOAllowList, moet u ook hun bundle-ID-voorvoegsels toevoegen aan de AppPrefixAllowList.

Gebruik deze configuratie alleen voor toepassingen met onverwachte aanmeldingsfouten. Deze sleutel moet alleen worden gebruikt voor iOS-apps en niet voor macOS-apps.

Overzicht van sleutels

Instellingen voor algemene scenario's

• Scenario: ik wil eenmalige aanmelding inschakelen voor de meeste beheerde toepassingen, maar niet voor alle toepassingen.

  Key	Value
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	De bundel-id's (een door komma's gescheiden lijst) van de apps die u wilt verhinderen deel te nemen aan SSO (Single Sign-On).

• Scenario: ik wil eenmalige aanmelding voor Safari uitschakelen, wat standaard is ingeschakeld, maar eenmalige aanmelding inschakelen voor alle beheerde apps.

  Key	Value
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	De bundel-ID's (door komma's gescheiden lijst) van de Safari-apps die u wilt verhinderen deel te nemen aan SSO. Voor iOS: com.apple.mobilesafari, com.apple.SafariViewService Voor macOS: com.apple.Safari

• Scenario: ik wil eenmalige aanmelding inschakelen voor alle beheerde apps en enkele niet-beheerde apps, maar eenmalige aanmelding uitschakelen voor enkele andere apps.

  Key	Value
  Enable_SSO_On_All_ManagedApps	1
  AppAllowList	De bundel-ID's (door komma's gescheiden lijst) van de apps die u wilt activeren voor deelname aan Single Sign-On (SSO).
  AppBlockList	De bundel-id's (een door komma's gescheiden lijst) van de apps die u wilt verhinderen deel te nemen aan SSO (Single Sign-On).

App-bundel-id's zoeken op iOS-apparaten

Apple biedt geen eenvoudige manier om bundel-id's uit de App Store op te halen. De eenvoudigste manier om de bundel-id's op te halen van de apps die u voor eenmalige aanmelding wilt gebruiken, is door dit aan uw leverancier of app-ontwikkelaar te vragen. Als deze optie niet beschikbaar is, kunt u uw MDM-configuratie gebruiken om de bundel-id's te vinden:

1. Schakel tijdelijk de volgende vlag in uw MDM-configuratie in:

   • Sleutel: admin_debug_mode_enabled
   • Typ: Integer
   • Waarde: 1 of 0

2. Wanneer deze vlag is ingeschakeld, meldt u zich aan bij iOS-apps op het apparaat waarvan u de bundel-id wilt weten.

3. Selecteer in de Authenticator-app achtereenvolgens Help>Logboeken verzenden>Logboeken weergeven.

4. Zoek in het logboekbestand naar de volgende regel: [ADMIN MODE] SSO extension has captured following app bundle identifiers. Op deze regel moeten alle toepassingsbundel-id's zijn vastgelegd die zichtbaar zijn voor de SSO-extensie.

Gebruik de bundle-ID's om SSO voor de apps te configureren. Schakel de beheermodus uit nadat u klaar bent.

Gebruikers toestaan zich aan te melden vanuit toepassingen die geen MSAL en de Safari-browser gebruiken

De Microsoft Enterprise SSO plug-in verkrijgt standaard een gedeelde referentie wanneer deze door een andere app die MSAL gebruikt wordt aangeroepen tijdens het verkrijgen van een nieuw token. Afhankelijk van de configuratie kan de invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise ook een gedeelde referentie verkrijgen wanneer deze wordt aangeroepen door apps die msal niet gebruiken.

Wanneer u de browser_sso_interaction_enabled vlag inschakelt, kunnen apps die msal niet gebruiken, de eerste bootstrapping uitvoeren en een gedeelde referentie ophalen. De Safari-browser kan ook de initiële bootstrapping uitvoeren en een gedeelde inloggegevens ophalen.

Als de Microsoft Enterprise SSO-plug-in nog geen gedeelde referentie heeft, probeert het deze te verkrijgen wanneer een aanmelding wordt aangevraagd via een Microsoft Entra-URL in de Safari-browser, ASWebAuthenticationSession, SafariViewController of een andere toegestane systeemeigen toepassing.

Gebruik deze parameters om de vlag in te schakelen:

• Sleutel: browser_sso_interaction_enabled
• Typ: Integer
• Waarde: 1 of 0. Deze waarde is standaard ingesteld op 1.

Voor zowel iOS als macOS is deze instelling vereist, zodat de Microsoft Enterprise SSO-invoegtoepassing een consistente ervaring kan bieden voor alle apps. Deze instelling is standaard ingeschakeld en moet alleen worden uitgeschakeld als de eindgebruiker zich niet kan aanmelden met zijn referenties.

OAuth 2-toepassingsprompts uitschakelen

Als een toepassing uw gebruikers vraagt om zich aan te melden, zelfs als de SSO-invoegtoepassing van Microsoft Enterprise voor andere toepassingen op het apparaat werkt, omzeilt de app mogelijk SSO op het niveau van de protocollaag. Gedeelde referenties worden ook genegeerd door dergelijke toepassingen, omdat de invoegtoepassing eenmalige aanmelding biedt door de referenties toe te voegen aan netwerkaanvragen die door toegestane toepassingen zijn gedaan.

Deze parameters geven aan of de SSO-extensie moet voorkomen dat systeemeigen en webtoepassingen eenmalige aanmelding op het niveau van de protocollaag omzeilen en de weergave van een aanmeldingsprompt aan de gebruiker afdwingen.

Voor een consistente SSO-ervaring voor alle apps op het apparaat raden we u aan een van deze instellingen in te schakelen voor apps die geen MSAL gebruiken. Schakel dit alleen in voor apps die MSAL gebruiken als uw gebruikers onverwachte prompts ondervinden.

Apps die geen Microsoft Authentication Library gebruiken:

Schakel de app-prompt uit en toon de accountkiezer.

• Sleutel: disable_explicit_app_prompt
• Typ: Integer
• Waarde: 1 of 0. Deze waarde is standaard ingesteld op 1 en deze standaardinstelling vermindert de prompts.

Schakel de app-prompt uit en selecteer automatisch een account in de lijst met overeenkomende SSO-accounts:

• Sleutel: disable_explicit_app_prompt_and_autologin
• Typ: Integer
• Waarde: 1 of 0. Deze waarde is standaard ingesteld op 0.

Apps die gebruikmaken van een Microsoft Authentication Library:

De volgende instellingen worden niet aanbevolen als app-beveiligingsbeleid wordt gebruikt.

Schakel de app-prompt uit en toon de accountkiezer.

• Sleutel: disable_explicit_native_app_prompt
• Typ: Integer
• Waarde: 1 of 0. Deze waarde is standaard ingesteld op 0.

Schakel de app-prompt uit en selecteer automatisch een account in de lijst met overeenkomende SSO-accounts:

• Sleutel: disable_explicit_native_app_prompt_and_autologin
• Typ: Integer
• Waarde: 1 of 0. Deze waarde is standaard ingesteld op 0.

Onverwachte prompts voor SAML-toepassingen

Als een toepassing uw gebruikers vraagt om zich aan te melden, zelfs als de SSO-invoegtoepassing van Microsoft Enterprise voor andere toepassingen op het apparaat werkt, omzeilt de app mogelijk SSO op het niveau van de protocollaag. Als de toepassing gebruikmaakt van het SAML-protocol, kan de Microsoft Enterprise SSO-invoegtoepassing geen SSO voor de app bieden. De leverancier van de toepassing moet op de hoogte worden gesteld van dit gedrag en een wijziging aanbrengen in de app om eenmalige aanmelding niet te omzeilen.

iOS-ervaring wijzigen voor MSAL-toepassingen

Apps die MSAL gebruiken, roepen altijd systeemeigen SSO-extensie aan voor interactieve aanvragen. Op sommige iOS-apparaten is het mogelijk niet wenselijk. Als de gebruiker ook de meervoudige verificatie in de Microsoft Authenticator-app moet voltooien, kan een interactieve omleiding naar die app een betere gebruikerservaring bieden.

Dit gedrag kan worden geconfigureerd met behulp van de disable_inapp_sso_signin vlag. Als deze vlag is ingeschakeld, worden apps die MSAL gebruiken omgeleid naar de Microsoft Authenticator-app voor alle interactieve aanvragen. Deze vlag heeft geen invloed op stille tokenaanvragen van deze apps, het gedrag van apps die geen MSAL- of macOS-apps gebruiken. Deze vlag is standaard uitgeschakeld.

• Sleutel: disable_inapp_sso_signin
• Typ: Integer
• Waarde: 1 of 0. Deze waarde is standaard ingesteld op 0.

Microsoft Entra-apparaatregistratie configureren

Voor door Intune beheerde apparaten kan de Microsoft Enterprise SSO-invoegtoepassing Microsoft Entra-apparaatregistratie uitvoeren wanneer een gebruiker toegang probeert te krijgen tot resources. Dit maakt een gestroomlijndere eindgebruikerservaring mogelijk.

Gebruik de volgende configuratie om Just-In-Time-registratie in te schakelen voor iOS/iPadOS met Microsoft Intune:

• Sleutel: device_registration
• Typ: String
• Waarde: {{DEVICEREGISTRATION}}

Hier vindt u meer informatie over Just-In-Time-registratie.

Beleid voor voorwaardelijke toegang en wachtwoordwijzigingen

Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten is compatibel met verschillende beleidsregels voor voorwaardelijke toegang van Microsoft Entra en gebeurtenissen voor wachtwoordwijziging. browser_sso_interaction_enabled moet zijn ingeschakeld om compatibiliteit te bereiken.

Compatibele gebeurtenissen en beleidsregels worden beschreven in de volgende secties:

Wachtwoordwijziging en tokenintrekking

Wanneer een gebruiker het wachtwoord opnieuw instelt, worden alle tokens die eerder zijn uitgegeven, ingetrokken. Als een gebruiker na een gebeurtenis voor het opnieuw instellen van een wachtwoord toegang probeert te krijgen tot een resource, moet de gebruiker zich normaal gesproken opnieuw aanmelden bij elk van de apps. Wanneer de Microsoft Enterprise SSO-invoegtoepassing is ingeschakeld, wordt de gebruiker gevraagd zich aan te melden bij de eerste toepassing die deelneemt aan SSO. De invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise toont een eigen gebruikersinterface boven op de toepassing die momenteel actief is.

Meervoudige verificatie van Microsoft Entra

Meervoudige verificatie is een proces waarbij gebruikers tijdens het aanmeldingsproces worden gevraagd om een extra vorm van identificatie, zoals een code op hun mobiele telefoon of een vingerafdrukscan. Meervoudige verificatie kan worden ingeschakeld voor specifieke resources. Wanneer de invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise is ingeschakeld, wordt de gebruiker gevraagd meervoudige verificatie uit te voeren in de eerste toepassing waarvoor deze is vereist. De invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise toont een eigen gebruikersinterface boven op de toepassing die momenteel actief is.

Aanmeldingsfrequentie van gebruikers

De aanmeldingsfrequentie definieert de periode voordat een gebruiker wordt gevraagd zich opnieuw aan te melden bij een poging om toegang te krijgen tot een resource. Als een gebruiker na het verstrijken van de tijdsperiode toegang probeert te krijgen tot een resource in verschillende apps, moet de gebruiker zich normaal gesproken opnieuw aanmelden in elke van deze apps. Wanneer de Microsoft Enterprise SSO-plug-in is ingeschakeld, moet de gebruiker zich aanmelden bij de eerste toepassing die aan SSO deelneemt. De invoegtoepassing voor eenmalige aanmelding van Microsoft Enterprise toont een eigen gebruikersinterface boven op de toepassing die momenteel actief is.

Intune gebruiken voor vereenvoudigde configuratie

U kunt Intune als uw MDM-service gebruiken om de configuratie van de SSO-invoegtoepassing van Microsoft Enterprise te vereenvoudigen. U kunt Intune bijvoorbeeld gebruiken om de invoegtoepassing in te schakelen en oude apps toe te voegen aan een acceptatielijst, zodat ze voor eenmalige aanmelding worden ingesteld.

Voor meer informatie, zie de Microsoft Enterprise SSO-invoegtoepassing implementeren voor Apple-apparaten met Intune.

De SSO-invoegtoepassing gebruiken in uw toepassing

MSAL voor Apple-apparaten versie 1.1.0 en hoger ondersteunen de invoegtoepassing Microsoft Enterprise SSO voor Apple-apparaten. Het is de aanbevolen manier om ondersteuning toe te voegen voor de SSO-invoegtoepassing van Microsoft Enterprise. Het zorgt ervoor dat u de volledige mogelijkheden van het Microsoft Identity Platform krijgt.

Als u een toepassing bouwt voor frontline-workerscenario's, raadpleegt u de Modus Gedeeld apparaat voor iOS-apparaten voor informatie over de installatie.

Begrijp hoe de SSO-invoegtoepassing werkt

De SSO-invoegtoepassing van Microsoft Enterprise is afhankelijk van het SSO-framework van Apple Enterprise. Id-providers die lid worden van het framework kunnen netwerkverkeer voor hun domeinen onderscheppen en verbeteren of wijzigen hoe deze aanvragen worden verwerkt. De SSO-invoegtoepassing kan bijvoorbeeld meer gebruikersinterfaces tonen om de referenties van eindgebruikers veilig te verzamelen, meervoudige verificatie vereisen of stilletjes tokens aan de toepassing geven.

Systeemeigen toepassingen kunnen ook aangepaste bewerkingen implementeren en rechtstreeks met de SSO-invoegtoepassing communiceren. Zie deze video van de Worldwide Developer Conference van 2019 van Apple voor meer informatie.

Toepassingen die gebruikmaken van MSAL

MSAL voor Apple-apparaten versie 1.1.0 en hoger biedt ondersteuning voor de SSO-invoegtoepassing van Microsoft Enterprise voor Apple-apparaten voor werk- en schoolaccounts.

U hebt geen speciale configuratie nodig als u alle aanbevolen stappen hebt gevolgd en de standaardomleidings-URI-indeling hebt gebruikt. Op apparaten met de SSO-invoegtoepassing roept MSAL deze automatisch aan voor alle interactieve en stille tokenaanvragen. Het roept het ook aan voor accountumeratie- en accountverwijderingsbewerkingen. Omdat MSAL een systeemeigen SSO-invoegtoepassing implementeert die afhankelijk is van aangepaste bewerkingen, biedt deze installatie de soepelste systeemeigen ervaring voor de eindgebruiker.

Als op iOS- en iPadOS-apparaten de SSO-invoegtoepassing niet is ingeschakeld door MDM, maar de Microsoft Authenticator-app aanwezig is op het apparaat, gebruikt MSAL in plaats daarvan de Authenticator-app voor interactieve tokenaanvragen. De Microsoft Enterprise SSO-invoegtoepassing deelt SSO met de Authenticator-app.

Toepassingen die geen MSAL gebruiken

Toepassingen die geen MSAL gebruiken, kunnen nog steeds SSO (eenmalige aanmelding) krijgen als een beheerder deze toepassingen toevoegt aan de toegestane lijst.

U hoeft de code in deze apps niet te wijzigen zolang aan de volgende voorwaarden wordt voldaan:

• De toepassing maakt gebruik van Apple-frameworks om netwerkaanvragen uit te voeren. Deze frameworks omvatten bijvoorbeeld WKWebView en NSURLSession.
• De toepassing maakt gebruik van standaardprotocollen om te communiceren met Microsoft Entra ID. Deze protocollen omvatten bijvoorbeeld OAuth 2, SAML en WS-Federation.
• De toepassing verzamelt geen platte-tekstgebruikersnamen en -wachtwoorden in de systeemeigen gebruikersinterface.

In dit geval wordt SSO aangeboden wanneer de applicatie een netwerkverzoek doet en een webbrowser opent om de gebruiker aan te melden. Wanneer een gebruiker wordt omgeleid naar een aanmeldings-URL van Microsoft Entra, valideert de SSO-invoegtoepassing de URL en wordt gecontroleerd op een SSO-referentie voor die URL. Als de referentie wordt gevonden, geeft de SSO-invoegtoepassing deze door aan Microsoft Entra-id, waarmee de toepassing de netwerkaanvraag kan voltooien zonder de gebruiker te vragen referenties in te voeren. Als het apparaat bekend is bij Microsoft Entra ID, geeft de SSO-invoegtoepassing het apparaatcertificaat door om te voldoen aan de controle van voorwaardelijke toegang op basis van het apparaat.

Om Single Sign-On (SSO) voor niet-MSAL-apps te ondersteunen, implementeert de SSO-invoegtoepassing een protocol dat vergelijkbaar is met de Windows-browserinvoegtoepassing, zoals beschreven in Wat is een primair vernieuwingstoken?.

In vergelijking met MSAL-apps fungeert de SSO-invoegtoepassing transparanter voor niet-MSAL-apps. Deze kan worden geïntegreerd met de bestaande browseraanmeldingservaring die apps bieden.

De eindgebruiker ziet de vertrouwde weergave en hoeft zich niet opnieuw aan te melden in elke toepassing. In plaats van de systeemeigen accountkiezer weer te geven, voegt de SSO-invoegtoepassing SSO-sessies toe aan de webgebaseerde accountkiezer.

Opslag van apparaat-id-sleutel

In maart 2024 kondigde Microsoft aan dat Microsoft Entra ID zal overstappen van de Sleutelhanger van Apple naar de Beveiligde Enclave van Apple voor het opslaan van apparaatidentiteitssleutels. Vanaf augustus 2025 maakt de implementatie van Secure Storage Secure Enclave de standaardsleutelopslag voor alle nieuwe apparaatregistraties. Nieuwe apparaatregistraties maken standaard gebruik van het beveiligde opslagmodel. Bestaande apparaten die geen ondersteuning bieden voor Secure Enclave, bevatten registratiesleutels die zijn opgeslagen in de sleutelhanger van de gebruiker (maar niet in de verouderde aanmeldingssleutelhanger). De bestaande functionaliteit voor apparaten zonder Secure Storage blijft hetzelfde.

Als uw toepassingen of MDM-oplossingen afhankelijk zijn van toegang tot Microsoft Entra-apparaatregistratiesleutels via sleutelhanger, moet u deze bijwerken om de MICROSOFT Authentication Library (MSAL) en de invoegtoepassing enterprise-SSO te gebruiken om de compatibiliteit met het Microsoft Identity Platform te behouden.

Microsoft Authentication Library (MSAL) gebruiken om apparaatgegevens voor registratie te lezen

U kunt deze beschikbare MSAL-API aanroepen om gedetailleerde apparaatregistratie te lezen:

- (void)getWPJMetaDataDeviceWithParameters:(nullable MSALParameters *)parameters
                               forTenantId:(nullable NSString *)tenantId
                           completionBlock:
                               (nonnull MSALWPJMetaDataCompletionBlock)
                                   completionBlock;

Meer informatie over deze API-documentatie vindt u hier.

Problemen met op Secure Enclave gebaseerde apparaatidentiteit oplossen

Nadat u opslag op basis van Secure Enclave hebt ingeschakeld, kan er een foutbericht worden weergegeven waarin u wordt geadviseerd uw apparaat in te stellen om toegang te krijgen. Dit foutbericht geeft aan dat de toepassing de beheerde status van het apparaat niet kan herkennen, wat een incompatibiliteit met de nieuwe sleutelopslaglocatie voorstelt.

Deze fout wordt weergegeven in aanmeldingslogboeken van Microsoft Entra ID met de volgende details:

• Foutcode voor aanmelden:530003
• Reden van fout:Device is required to be managed to access this resource.

Als u dit foutbericht ziet tijdens het testen, controleert u eerst of u de SSO-extensie hebt ingeschakeld en eventuele vereiste toepassingsspecifieke extensies (bijvoorbeeld Microsoft Single sign-on voor Chrome) hebt geïnstalleerd. Als u dit bericht blijft zien, kunt u het beste contact opnemen met de leverancier van de toepassing om hen te waarschuwen voor de incompatibiliteit met de nieuwe opslaglocatie.

Problemen met beveiligde enclave oplossen

In gevallen waarin u problemen met Secure Enclave moet oplossen, kan deze worden uitgeschakeld door de volgende sleutel bij te werken in de MDM-configuratie van uw Apple-apparaat:

• Sleutel: use_most_secure_storage
• Typ: Integer
• Waarde: 0

Problemen oplossen: Secure Enclave uitschakelen voor testen

Als Secure Enclave om welke reden dan ook moet worden uitgeschakeld, volgt u deze aanbevolen stappen:

1. Werk de configuratie bij: Schakel deze uit use_most_secure_storage door de vlag in te 0 stellen voor het type Geheel getal in uw MDM-configuratie.

2. Registratie van het apparaat ongedaan maken: verwijder de apparaatregistratie met behulp van een van de volgende methoden:

• Microsoft Authenticator: navigeer naar het menu apparaatregistratie en volg de stappen voor het ongedaan maken van de registratie:
  1. Selecteer het menu ... in het startscherm linksboven
  2. Druk op Instellingen, Apparaatregistratie.
  3. Druk op de bedrijfsnaam van de registratie onder uw apparaat is momenteel geregistreerd bij.
  4. Druk op De registratie van het apparaat opheffen.
• Intune-bedrijfsportal: meld u aan bij de bedrijfsportal en selecteer het tabblad Apparaten:
  1. Selecteer uw apparaat in de lijst met apparaten.
  2. Druk onder de naam op ...een menu.
  3. Selecteer Apparaat verwijderen.

3. Registreer het apparaat opnieuw: Nadat de registratie ongedaan is gemaakt, registreert u het apparaat opnieuw met behulp van een van de volgende opties:

• Intune-bedrijfsportal: selecteer het apparaat en registreer het opnieuw
• Microsoft Authenticator: Ga naar het menu, selecteer Apparaatregistratie en registreer het apparaat opnieuw (Opmerking: deze methode is niet beschikbaar in macOS)

Afmelden voor Beveiligde opslag

Als u uw tenant wilt afmelden voor de implementatie van beveiligde opslag, neemt u contact op met de klantondersteuning van Microsoft om uitsluiting van de implementatie van beveiligde opslag aan te vragen. Zodra uw tenant is verwerkt, wordt deze gedurende maximaal 6 maanden tijdelijk uitgesloten van deze uitrol. Alle apparaten in uw tenant die eerder zijn geregistreerd bij beveiligde opslag, moeten de vorige richtlijnen volgen voor het verwijderen en opnieuw toevoegen van het apparaat nadat de tijdelijke afmelding is voltooid.

Als u zich op een toekomstige datum wilt aanmelden voor Secure Storage, moet u contact opnemen met de klantondersteuning van Microsoft.

Scenario's die zijn beïnvloed

De onderstaande lijst bevat enkele veelvoorkomende scenario's die worden beïnvloed door deze wijzigingen. Standaard is dit van invloed op elke toepassing die afhankelijk is van het openen van apparaatidentiteitsartefacten via de sleutelhanger van Apple.

Ondersteuning voor beleid voor geregistreerde/geregistreerde apparaten voor voorwaardelijke toegang in browsers

Als beveiligde enclaveopslag is ingeschakeld, vereisen browsers specifieke configuraties om beleid voor voorwaardelijke toegang van apparaten te ondersteunen:

Safari (iOS en macOS)

• Ingebouwde integratie van eenmalige aanmelding - er is geen aanvullende configuratie vereist

Google Chrome (macOS)

• Installeer de Microsoft Single Sign On-extensie of
• Update naar Chrome 135+ voor automatische ondersteuning voor eenmalige aanmelding van Enterprise

Microsoft Edge (iOS en macOS)

• Aanmelden bij uw Edge-profiel voor automatische integratie van Microsoft SSO
• Meer informatie: Microsoft Edge-beveiliging en -identiteit

Firefox (macOS)

• Het MicrosoftEntraSSO-beleid configureren voor browserintegratie
• Zie: Opmerkingen bij de release van FirefoxEnterprise 133 en Firefox Enterprise 133

Belangrijke update voor macOS 15.3 en iOS 18.1.1 met invloed op Enterprise SSO

Overview

Een recente update van macOS 15.3 en iOS 18.1.1 voorkomt dat het Enterprise SSO-extensieframework correct functioneert, wat leidt tot onverwachte verificatiefouten in alle apps die zijn geïntegreerd met Entra-id. Betrokken gebruikers kunnen ook een fout tegenkomen die is getagd als '4s8qh'.

Hoofdoorzaak

De hoofdoorzaak van dit probleem is een mogelijke regressie in de onderliggende PluginKit-laag, waardoor de Microsoft Enterprise SSO-extensie niet kan worden gestart door het besturingssysteem. Apple onderzoekt het probleem en werkt samen met ons aan een oplossing.

Getroffen gebruikers identificeren

Als u wilt bepalen of uw gebruikers worden beïnvloed, kunt u een sysdiagnose verzamelen en de volgende foutinformatie zoeken:

'Error Domain=PlugInKit Code=16 andere versie in gebruik'

Hier volgt een voorbeeld van hoe deze fout eruit zou zien:

Request for extension <EXConcreteExtension: 0x60000112d080> {id = com.microsoft.CompanyPortalMac.ssoextension} failed with error Error Domain=PlugInKit Code=16 "other version in use: <id<PKPlugIn>: 0x1526066c0; core = <[...] [com.microsoft.CompanyPortalMac.ssoextension(5.2412.0)],[...] [/Applications/Company Portal.app/Contents/PlugIns/Mac SSO Extension.appex]>, instance = [(null)], state = 1, useCount = 1>" UserInfo={NSLocalizedDescription=other version in use: <id<PKPlugIn>: 0x1526066c0; core = <[...] [com.microsoft.CompanyPortalMac.ssoextension(5.2412.0)],[...] [/Applications/Company Portal.app/Contents/PlugIns/Mac SSO Extension.appex]>, instance = [(null)], state = 1, useCount = 1>}

Herstelstappen

Als uw gebruikers last hebben van dit probleem, kunnen ze hun apparaat opnieuw opstarten om te herstellen.

Zie ook

Lees meer informatie over de modus voor gedeelde apparaten voor iOS-apparaten.

Meer informatie over het oplossen van problemen met de Microsoft Enterprise SSO-extensie.