在 macOS 裝置上使用 Microsoft Enterprise SSO 外掛程式

• 裝置是由 Intune 管理的 MDM。
• 裝置必須支援外掛程式：
  • macOS 10.15 及更新版本
• 必須在裝置上安裝並設定 Microsoft 公司入口網站應用程式。
• 已設定企業 SSO 外掛程式需求，包括 Apple 網路組態 URL。

• 裝置由 Jamf Pro 管理。

• 裝置必須支援外掛程式：

  • macOS 10.15 及更新版本

• 裝置上必須安裝 Microsoft 公司入口網站應用程式。

  使用者可以手動安裝公司入口網站應用程式。 或者，管理員可以使用 Jamf Pro 部署應用程式。 如需如何安裝 公司入口網站 應用程式的選項清單，請移至 套件管理 - 將套件新增至 Jamf 管理員 (開啟 Jamf Pro 的網站) 。

  注意事項

  在 macOS 裝置上，Apple 需要安裝公司入口網站應用程式。 使用者不需要使用或設定公司入口網站應用程式，只需要安裝在裝置上即可。

• 已設定企業 SSO 外掛程式需求，包括 Apple 網路組態 URL。

• 裝置由行動裝置管理 (MDM) 提供者解決方案管理。

• MDM 解決方案必須支援設定 Apple 裝置的單一登入 MDM 承載資料設定 (才能開啟 Apple 的網站) 使用裝置原則。

• 裝置必須支援外掛程式：

  • macOS 10.15 及更新版本

• 裝置上必須安裝 Microsoft 公司入口網站應用程式。

  使用者可以手動安裝公司入口網站應用程式。 或者，系統管理員可以使用 MDM 原則來部署應用程式。 您可以下載公司入口網站應用程式安裝程式套件。

  注意事項

  在 macOS 裝置上，Apple 需要安裝公司入口網站應用程式。 使用者不需要使用或設定公司入口網站應用程式，只需要安裝在裝置上即可。

• 已設定企業 SSO 外掛程式需求，包括 Apple 網路組態 URL。

在 Microsoft Intune 系統管理中心中，建立裝置組態配置檔。 此設定檔包含在裝置上設定 SSO 應用程式延伸模組的設定。

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。

3. 輸入下列內容：

   • 平台：選取 macOS。
   • 設定檔類型：選取 範本裝置>功能。

4. 選取 建立：

   

5. 在 [基本資訊] 中，輸入下列內容：

   • 名稱: 輸入原則的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，一個好的政策名稱是 macOS-SSO 應用程式延伸模組。
   • 描述：輸入原則的描述。 這是選擇性設定，但建議進行。

6. 選取[下一步]。

7. 在 [組態設定] 中，選取 [單一登入應用程式延伸模組]，然後設定下列屬性：

   • SSO 應用程式延伸模組類型：選取 Microsoft Entra ID：

     

   • 應用程式套件組合識別碼：輸入不支援 MSAL 且 允許使用 SSO 之應用程式的套件組合識別碼清單。 如需詳細資訊，請移至 不使用 MSAL 的應用程式。

   • 其他設定：若要自訂使用者體驗，您可以新增下列屬性。 這些屬性是 SSO 應用程式延伸模組所使用的預設值，但可以根據您的組織需求進行自訂：

     機碼	類型	描述
     AppPrefixAllowList	字串	推薦值： com.microsoft.,com.apple. 輸入不支援 MSAL 且 允許使用 SSO 的應用程式前置詞清單。 例如，輸入 com.microsoft.,com.apple. 以允許所有 Microsoft 和 Apple 應用程式。 請確定這些應用程式 符合許可清單要求。
     browser_sso_interaction_enabled	整數	推薦值： 1 設定為 1時，使用者可以從 Safari 瀏覽器登入，以及從不支援 MSAL 的應用程式登入。 啟用此設定可讓使用者從 Safari 或其他應用程式啟動擴充功能。
     disable_explicit_app_prompt	整數	推薦值： 1 某些應用程式可能會錯誤地在通訊協定層強制執行使用者提示。 如果您看到此問題，系統會提示使用者登入，即使 Microsoft Enterprise SSO 外掛程式適用於其他應用程式。 當設定為 1 (一個) 時，您可以減少這些提示。

     提示

     如需這些屬性以及您可以設定的其他屬性的詳細資訊，請移至 Apple 裝置的 Microsoft Enterprise SSO 外掛程式。

     當您完成設定建議的設定時，設定看起來類似於 Intune 組態配置檔中的下列值：

     

8. 繼續建立設定檔，並將設定檔指派給接收這些設定的使用者或群組。 如需特定步驟，請移至 建立設定檔。

   如需指派設定檔的指引，請移至 指派使用者和裝置設定檔。

當原則準備就緒時，您可以將原則指派給使用者。 Microsoft 建議您在裝置註冊 Intune 時指派原則。 但是，它可以隨時分配，包括在現有設備上。 當裝置簽入 Intune 服務時，它會收到此配置檔。 如需詳細資訊，請移至 原則重新整理間隔。

若要檢查配置檔是否已正確部署，請在 Intune 系統管理中心移至 [裝置>管理裝置>設定> ]，選取您建立的配置檔，然後產生報告：

在 Jamf Pro 入口網站中，您可以建立電腦組態描述檔。 此設定檔包含在裝置上設定 SSO 應用程式延伸模組的設定。

1. 登入 Jamf Pro 入口網站。

2. 若要建立 macOS 設定檔，請選取 電腦>設定設定檔>新增：

   

3. 在 [名稱] 中，輸入原則的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，一個好的政策名稱是： macOS-Microsoft Enterprise SSO 插件。

4. 在 選項 欄中，向下捲動並選取 單一 Sign-On 擴充功能>新增：

   

5. 輸入下列內容：

   • 承載類型：選取 SSO。
   • 擴充功能識別碼：輸入 com.microsoft.CompanyPortalMac.ssoextension。
   • 團隊識別碼：輸入 UBF8T346G9。
   • 登入類型：選取重新導向。
   • 網址：一次輸入一個以下網址：
     • https://login.microsoftonline.com
     • https://login.microsoft.com
     • https://sts.windows.net
     • https://login.partner.microsoftonline.cn
     • https://login.chinacloudapi.cn
     • https://login.microsoftonline.us
     • https://login-us.microsoftonline.com

   

   

6. 在 「自訂組態」中，您可以定義其他必要的內容。 Jamf Pro 要求使用上傳的 PLIST 檔案來設定這些屬性。 若要查看可設定屬性的完整清單，請移至適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式文件。

   以下範例是建議的PLIST檔案，可滿足大多數組織的需求：

   <?xml version="1.0" encoding="UTF-8"?>
   <plist version="1.0">
   <dict>
       <key>AppPrefixAllowList</key>
       <string>com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware.</string>
       <key>browser_sso_interaction_enabled</key>
       <integer>1</integer>
       <key>disable_explicit_app_prompt</key>
       <integer>1</integer>
   </dict>
   </plist>
   

   

   這些 PLIST 設定會設定下列 SSO 延伸模組選項。 這些屬性是 SSO 應用程式延伸模組所使用的預設值，但可以根據您的組織需求進行自訂：

   機碼	類型	描述
   AppPrefixAllowList	字串	推薦值： com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. 輸入不支援 MSAL 且 允許使用 SSO 的應用程式前置詞清單。 例如，輸入 com.microsoft.,com.apple.,com.jamf.,com.jamfsoftware. 以允許所有 Microsoft、Apple 和 Jamf Pro 應用程式。 請確定這些應用程式 符合許可清單要求。
   disable_explicit_app_prompt	整數	推薦值： 1 某些應用程式可能會錯誤地在通訊協定層強制執行使用者提示。 如果您看到此問題，系統會提示使用者登入，即使 Microsoft Enterprise SSO 外掛程式適用於其他應用程式。 當設定為 1 (一個) 時，您可以減少這些提示。

   提示

   如需這些屬性以及您可以設定的其他屬性的詳細資訊，請移至 Apple 裝置的 Microsoft Enterprise SSO 外掛程式。

7. 選取 [範圍] 索引標籤。輸入應該接收 SSO 延伸模組 MDM 設定檔的目標電腦或裝置。

8. 選取 [儲存]。

當裝置使用 Jamf Pro 服務簽入時，它會收到此設定檔。

在 MDM 入口網站中，建立裝置組態配置檔。 此設定檔包含在裝置上設定 SSO 應用程式延伸模組的設定。

1. 登入 MDM 入口網站。

2. 建立新的裝置組態設定檔。

3. 選取名為「 單一 Sign-On 擴充功能 」或「 SSO 擴充功能」的選項。 名稱可能會因您的 MDM 服務而異。

4. 輸入下列內容：

   機碼	值
   有效載荷類型	單一登入
   延伸模組識別碼	com.microsoft.CompanyPortalMac.ssoextension
   團隊識別碼	UBF8T346G9
   Sign-On 類型	重新導向
   URL	- https://login.microsoftonline.com - https://login.microsoft.com - https://sts.windows.net - https://login.partner.microsoftonline.cn - https://login.chinacloudapi.cn - https://login.microsoftonline.us - https://login-us.microsoftonline.com

5. 您可以選擇性地設定其他內容。 這些屬性是 SSO 應用程式延伸模組所使用的預設值，但可以根據您的組織需求進行自訂：

   機碼	類型	描述
   AppPrefixAllowList	字串	推薦值： com.microsoft.,com.apple. 輸入不支援 MSAL 且 允許使用 SSO 的應用程式前置詞清單。 例如，輸入 com.microsoft.,com.apple. 以允許所有 Microsoft 和 Apple 應用程式。 請確定這些應用程式 符合許可清單要求。
   browser_sso_interaction_enabled	整數	推薦值： 1 設定為 1時，使用者可以從 Safari 瀏覽器登入，以及從不支援 MSAL 的應用程式登入。 啟用此設定可讓使用者從 Safari 或其他應用程式啟動擴充功能。
   disable_explicit_app_prompt	整數	推薦值： 1 某些應用程式可能會錯誤地在通訊協定層強制執行使用者提示。 如果您看到此問題，系統會提示使用者登入，即使 Microsoft Enterprise SSO 外掛程式適用於其他應用程式。 當設定為 1 (一個) 時，您可以減少這些提示。

   提示

   如需這些屬性以及您可以設定的其他屬性的詳細資訊，請移至 Apple 裝置的 Microsoft Enterprise SSO 外掛程式。

6. 將新原則指派給應該接收 SSO 延伸模組 MDM 配置檔的目標裝置。

當裝置簽入 MDM 服務時，它會收到此配置檔。