Condividi tramite

Plug-in Microsoft Enterprise SSO per dispositivi Apple

  • Articolo

Il plug-in Microsoft Enterprise SSO per i dispositivi Apple fornisce l'accesso Single Sign-On (SSO) per gli account Microsoft Entra in macOS, iOS e iPadOS in tutte le applicazioni che supportano la funzionalità Single Sign-On Enterprise di Apple. Il plug-in fornisce l'accesso SSO ad applicazioni persino precedenti dalle quali l'azienda potrebbe dipendere, ma che non supportano ancora le librerie di identità o i protocolli più recenti. Microsoft ha lavorato a stretto contatto con Apple per sviluppare questo plug-in per aumentare l'usabilità dell'applicazione offrendo al tempo stesso la migliore protezione disponibile.

ll plug-in Enterprise SSO è attualmente una funzionalità predefinita delle app seguenti:

Funzionalità

Il plug-in Microsoft Enterprise SSO per i dispositivi Apple offre i vantaggi seguenti:

  • Fornisce l'accesso SSO agli account Microsoft Entra in tutte le applicazioni che supportano la funzionalità SSO Enterprise per Apple.
  • Può essere abilitato da qualsiasi soluzione di gestione di dispositivi mobili (MDM) ed è supportato sia nella registrazione del dispositivo che dell'utente.
  • Estende l'accesso SSO alle applicazioni che non usano ancora Microsoft Authentication Library (MSAL).
  • Estende l'accesso SSO alle applicazioni che usano OAuth 2, OpenID Connect e SAML.
  • È integrato in modo nativo con MSAL, che offre un'esperienza nativa uniforme all'utente finale quando il plug-in Microsoft Enterprise SSO è abilitato.

Nota

Nel mese di maggio 2024, Microsoft ha annunciato che Platform SSO per i dispositivi macOS era disponibile in anteprima pubblica per Microsoft Entra ID.

Per altre informazioni, consulta Panoramica di Platform Single Sign-On per macOS (anteprima).

Requisiti

Per usare il plug-in Microsoft Enterprise SSO per dispositivi Apple:

  • Il dispositivo deve supportare e avere un'app installata con il plug-in Microsoft Enterprise SSO per i dispositivi Apple:

  • Il dispositivo deve essere registrato in MDM, ad esempio tramite Microsoft Intune.

  • Per abilitare il plug-in Enterprise SSO, è necessario eseguire il push della configurazione nel dispositivo. Apple richiede questo vincolo di sicurezza.

  • I dispositivi Apple devono essere autorizzati a raggiungere sia gli URL del provider di identità che i propri URL senza intercettazioni aggiuntive. Ciò significa che tali URL devono essere esclusi dai proxy di rete, dall'intercettazione e da altri sistemi aziendali.

    Di seguito è riportato il set minimo di URL che devono essere consentiti per il funzionamento del plug-in SSO:

    • app-site-association.cdn-apple.com
    • app-site-association.networking.apple
    • login.microsoftonline.com(*)
    • login.microsoft.com(*)
    • sts.windows.net(*)
    • login.partner.microsoftonline.cn(*)(**)
    • login.chinacloudapi.cn(*)(**)
    • login.microsoftonline.us(*)(**)
    • login-us.microsoftonline.com(*)(**)
    • config.edge.skype.com(***)

    (*) L'autorizzazione dei domini Microsoft è necessaria solo nelle versioni del sistema operativo rilasciate prima del 2022. Nelle versioni più recenti del sistema operativo, Apple si basa completamente sulla sua rete CDN.

    (**) È necessario consentire i domini cloud sovrani solo se si fa affidamento su quelli nell'ambiente.

    (***) La gestione delle comunicazioni con il servizio di sperimentazione e configurazione (ECS) garantisce che Microsoft possa rispondere a un bug grave in modo tempestivo.

    Il plug-in Microsoft Enterprise SSO si basa sul framework SSO Enterprise di Apple. Il framework SSO Enterprise di Apple garantisce che solo un plug-in SSO approvato possa funzionare per ogni provider di identità usando una tecnologia denominata domini associati. Per verificare l'identità del plug-in SSO, ogni dispositivo Apple invierà una richiesta di rete a un endpoint di proprietà del provider di identità e leggerà le informazioni sui plug-in SSO approvati. Oltre a raggiungere direttamente il provider di identità, Apple ha implementato anche un'altra memorizzazione nella cache per queste informazioni.

    Avviso

    Se l'organizzazione usa server proxy che intercettano il traffico SSL per scenari come la prevenzione della perdita dei dati o le restrizioni del tenant, assicurarsi che il traffico verso questi URL sia escluso dall'interruzione e dall'ispezione TLS. La mancata esclusione di questi URL può determinare interferenze con l'autenticazione dei certificati client, causando problemi con la registrazione dei dispositivi e l'accesso condizionale basato su dispositivo. Il plug-in SSO non funzionerà in modo affidabile senza escludere completamente i domini della rete CDN Apple dall'intercettazione e si verificheranno problemi intermittenti fino a quando non si eseguirà questa operazione.

    Se l'organizzazione blocca questi URL, gli utenti possono visualizzare errori come 1012 NSURLErrorDomain error, 1000 com.apple.AuthenticationServices.AuthorizationError o 1001 Unexpected.

    Altri URL Apple che potrebbero richiedere l'autorizzazione sono documentati nel relativo articolo di supporto, Usare prodotti Apple nelle reti aziendali.

Requisiti di iOS

  • È necessario installare sul dispositivo iOS 13.0 o una versione successiva.
  • È necessario installare sul dispositivo un'applicazione Microsoft che fornisce il plug-in Microsoft Enterprise SSO per i dispositivi Apple. Questa è l'app Microsoft Authenticator.

Requisiti macOS

  • È necessario installare sul dispositivo macOS 10.15 o una versione successiva.
  • È necessario installare sul dispositivo un'applicazione Microsoft che fornisce il plug-in Microsoft Enterprise SSO per i dispositivi Apple. Questa è l'app Portale aziendale Intune.

Abilitare il plug-in SSO

Usare le informazioni seguenti per abilitare il plug-in SSO usando MDM.

Configurazione di Microsoft Intune

Se si usa Microsoft Intune come servizio MDM, è possibile usare le impostazioni del profilo di configurazione predefinite per abilitare il plug-in Microsoft Enterprise SSO:

  1. Configurare le impostazioni del plug-in dell'app SSO di un profilo di configurazione.
  2. Se il profilo non è già stato assegnato, assegnare il profilo a un utente o a un gruppo di dispositivi.

Le impostazioni del profilo che abilitano il plug-in SSO vengono applicate automaticamente ai dispositivi del gruppo alla successiva sincronizzazione di ogni dispositivo con Intune.

Configurazione manuale per altri servizi MDM

Se non si usa Intune per MDM, è possibile configurare un payload del profilo Extensible Single Sign-On per i dispositivi Apple. Usare i parametri seguenti per configurare il plug-in Microsoft Enterprise SSO e le relative opzioni di configurazione.

Impostazioni iOS:

  • ID estensione: com.microsoft.azureauthenticator.ssoextension
  • ID team: questo campo non è necessario per iOS.

Impostazioni macOS:

  • ID estensione: com.microsoft.CompanyPortalMac.ssoextension
  • ID team: UBF8T346G9

Impostazioni comuni:

  • Tipo: reindirizzamento
    • https://login.microsoftonline.com
    • https://login.microsoft.com
    • https://sts.windows.net
    • https://login.partner.microsoftonline.cn
    • https://login.chinacloudapi.cn
    • https://login.microsoftonline.us
    • https://login-us.microsoftonline.com

Guide alla distribuzione

Usare le guide alla distribuzione seguenti per abilitare il plug-in Microsoft Enterprise SSO usando la soluzione MDM scelta:

Intune:

Jamf Pro:

Altro MDM:

Altre opzioni di configurazione

È possibile aggiungere altre opzioni di configurazione per estendere la funzionalità SSO ad altre app.

Abilitare l'accesso SSO per le app che non usano MSAL

Il plug-in SSO consente a qualsiasi applicazione di partecipare all'accesso SSO anche se non è stata sviluppato usando un Microsoft SDK come Microsoft Authentication Library (MSAL).

Il plug-in SSO viene installato automaticamente dai dispositivi che dispongono di:

  • App Authenticator scaricata in iOS o iPadOS o app del Portale aziendale Intune scaricata in macOS.
  • Registrazione MDM del dispositivo con l'organizzazione.

L'organizzazione probabilmente usa l'app Authenticator per scenari come l'autenticazione a più fattori, l'autenticazione senza password e l'accesso condizionale. Usando un provider MDM, è possibile attivare il plug-in SSO per le applicazioni. Microsoft ha semplificato la configurazione del plug-in con Microsoft Intune. Viene usato un elenco di elementi consentiti per configurare queste applicazioni per l'uso del plug-in SSO.

Importante

Il plug-in Microsoft Enterprise SSO supporta solo le app che usano tecnologie di rete Apple native o webview. Non supporta le applicazioni che spediscono la propria implementazione del livello di rete.

Usare i parametri seguenti per configurare il plug-in Microsoft Enterprise SSO per le app che non usano MSAL.

Importante

Non è necessario aggiungere app che usano Microsoft Authentication Library a questo elenco di elementi consentiti. Queste app partecipano all'accesso SSO per impostazione predefinita. La maggior parte delle app compilate da Microsoft usa Microsoft Authentication Library.

Abilitare l'accesso SSO per tutte le app gestite

  • Chiave: Enable_SSO_On_All_ManagedApps
  • Tipo: Integer
  • Valore: 1 o 0. Per impostazione predefinita, questo valore è impostato su 0.

Quando questo flag è attivato (il relativo valore è impostato su 1), tutte le app gestite da MDM non in AppBlockList possono partecipare all'accesso SSO.

Abilitare l'accesso Single Sign-On per app specifiche

  • Chiave: AppAllowList
  • Tipo: String
  • Valore: elenco delimitato da virgole di ID bundle dell'applicazione per le applicazioni a cui è consentito partecipare all'accesso SSO.
  • Esempio: com.contoso.workapp, com.contoso.travelapp

Nota

Safari e Safari View Service sono autorizzati a partecipare all'accesso SSO per impostazione predefinita. Può essere configurato per non partecipare all'accesso SSO aggiungendo gli ID bundle di Safari e Safari View Service in AppBlockList. ID bundle iOS : [com.apple.mobilesafari, com.apple.SafariViewService] macOS BundleID : [com.apple.Safari]

Abilitare l'accesso SSO per tutte le app con un prefisso ID bundle specifico

  • Chiave: AppPrefixAllowList
  • Tipo: String
  • Valore: elenco delimitato da virgole di prefissi ID bundle dell'applicazione per le applicazioni a cui è consentito partecipare all'accesso SSO. Questo parametro consente a tutte le app che iniziano con un prefisso specifico di partecipare all'accesso SSO. Per iOS, il valore predefinito sarebbe impostato su com.apple. e abiliterebbe l'accesso SSO per tutte le app Apple. Per macOS, il valore predefinito sarebbe impostato su com.apple. e com.microsoft. che abiliterebbe l'accesso SSO per tutte le app Apple e Microsoft. Gli amministratori possono eseguire l'override del valore predefinito o aggiungere app a AppBlockList per impedire loro di partecipare all'accesso SSO.
  • Esempio: com.contoso., com.fabrikam.

Disabilitare l'accesso Single Sign-On per app specifiche

  • Chiave: AppBlockList
  • Tipo: String
  • Valore: elenco delimitato da virgole di ID bundle dell'applicazione per le applicazioni che non possono partecipare all'accesso SSO.
  • Esempio: com.contoso.studyapp, com.contoso.travelapp

Per disabilitare l'accesso SSO per Safari o Safari View Service, è necessario farlo in modo esplicito aggiungendo gli ID bundle a AppBlockList:

  • iOS: com.apple.mobilesafari, com.apple.SafariViewService
  • macOS: com.apple.Safari

Abilitare l'accesso Single Sign-On tramite cookie per un'applicazione specifica

Alcune app iOS con impostazioni di rete avanzate potrebbero riscontrare problemi imprevisti quando sono abilitate per l'accesso SSO. Ad esempio, è possibile che venga visualizzato un errore che indica che una richiesta di rete è stata annullata o interrotta.

Se gli utenti hanno problemi di accesso a un'applicazione anche dopo averlo abilitato tramite le altre impostazioni, provare ad aggiungerlo a AppCookieSSOAllowList per risolvere i problemi.

Nota

L'uso dell'accesso Single Sign-On tramite il meccanismo di cookie presenta limitazioni gravi. Ad esempio, non è compatibile con i criteri di accesso condizionale di Microsoft Entra ID e supporta solo un singolo account. È consigliabile non usare questa funzionalità, a meno che non venga esplicitamente consigliata dai team di progettazione o supporto Microsoft per un set limitato di applicazioni che sono determinate per essere incompatibili con l'accesso SSO normale.

  • Chiave: AppCookieSSOAllowList
  • Tipo: String
  • Valore: elenco delimitato da virgole di prefissi ID bundle dell'applicazione per le applicazioni a cui è consentito partecipare all'accesso SSO. Tutte le app che iniziano con i prefissi elencati potranno partecipare all'accesso SSO.
  • Esempio: com.contoso.myapp1, com.fabrikam.myapp2

Altri requisiti: per abilitare l'accesso SSO per le applicazioni usando AppCookieSSOAllowList, è necessario aggiungere anche i prefissi ID bundle AppPrefixAllowList.

Provare questa configurazione solo per le applicazioni con errori di accesso imprevisti. Questa chiave deve essere usata solo per le app iOS e non per le app macOS.

Riepilogo delle chiavi

Chiave Type Valore
Enable_SSO_On_All_ManagedApps Intero 1 per abilitare l'accesso SSO per tutte le app gestite, 0 per disabilitare l'accesso SSO per tutte le app gestite.
AppAllowList String
(elenco delimitato da virgole)		 ID bundle delle applicazioni autorizzate a partecipare all'accesso SSO.
AppBlockList String
(elenco delimitato da virgole)		 ID bundle delle applicazioni che non possono partecipare all'accesso SSO.
AppPrefixAllowList String
(elenco delimitato da virgole)		 Prefissi ID bundle delle applicazioni autorizzate a partecipare all'accesso SSO. Per iOS, il valore predefinito sarebbe impostato su com.apple. e abiliterebbe l'accesso SSO per tutte le app Apple. Per macOS, il valore predefinito sarebbe impostato su com.apple. e com.microsoft. che abiliterebbe l'accesso SSO per tutte le app Apple e Microsoft. Gli sviluppatori, i clienti o gli amministratori possono sostituire il valore predefinito o aggiungere app a AppBlockList per impedire loro di partecipare all'accesso SSO.
AppCookieSSOAllowList String
(elenco delimitato da virgole)		 I prefissi ID bundle delle applicazioni autorizzate a partecipare all'accesso SSO, ma che usano impostazioni di rete speciali e hanno problemi con l'accesso SSO usando le altre impostazioni. Anche le app aggiunte a AppCookieSSOAllowList devono essere aggiunte a AppPrefixAllowList. Si noti che questa chiave deve essere usata solo per le app iOS e non per le app macOS.

Impostazioni per scenari comuni

  • Scenario: si vuole abilitare l'accesso SSO per la maggior parte delle applicazioni gestite, ma non per tutte.

    Chiave valore
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList ID bundle (elenco delimitato da virgole) delle app a cui si desidera impedire di partecipare all'accesso SSO.

  • Scenario in cui si vuole disabilitare l'accesso SSO per Safari, che è abilitato per impostazione predefinita, ma abilitare l'accesso SSO per tutte le app gestite.

    Chiave valore
    Enable_SSO_On_All_ManagedApps 1
    AppBlockList ID bundle (elenco delimitato da virgole) delle app Safari a cui si desidera impedire di partecipare all'accesso SSO.
    • Per iOS: com.apple.mobilesafari, com.apple.SafariViewService
    • Per macOS: com.apple.Safari

  • Scenario: si vuole abilitare l'accesso SSO in tutte le app gestite e in alcune app non gestite, ma disabilitare l'accesso SSO per alcune altre app.

    Chiave valore
    Enable_SSO_On_All_ManagedApps 1
    AppAllowList ID bundle (elenco delimitato da virgole) delle app che si desidera abilitare per la partecipazione all'accesso SSO.
    AppBlockList ID bundle (elenco delimitato da virgole) delle app a cui si desidera impedire di partecipare all'accesso SSO.
Trovare gli identificatori del bundle dell'app nei dispositivi iOS

Apple non offre un modo semplice per ottenere gli ID bundle dall'App Store. Il modo più semplice per ottenere gli ID bundle delle app da usare per l'accesso SSO consiste nel chiedere al fornitore o allo sviluppatore di app. Se questa opzione non è disponibile, è possibile usare la configurazione MDM per trovare gli ID bundle:

  1. Abilitare temporaneamente il flag seguente nella configurazione MDM:

    • Chiave: admin_debug_mode_enabled
    • Tipo: Integer
    • Valore:1 o 0

  2. Quando questo flag è attivato, accedere alle app iOS nel dispositivo di cui si vuole conoscere l'ID bundle.

  3. Nell'app Authenticator selezionare Guida>Invia log>Visualizza log.

  4. Nel file di log cercare la riga seguente: [ADMIN MODE] SSO extension has captured following app bundle identifiers. Questa riga deve acquisire tutti gli ID bundle dell'applicazione visibili all'estensione SSO.

Usare gli ID bundle per configurare l'accesso SSO per le app. Disabilitare la modalità amministratore al termine.

Consentire agli utenti di accedere dalle applicazioni che non usano MSAL e il browser Safari

Per impostazione predefinita, il plug-in Microsoft Enterprise SSO acquisirà una credenziale condivisa quando viene chiamato da un'altra app che usa MSAL durante una nuova acquisizione di token. A seconda della configurazione, il plug-in Microsoft Enterprise SSO può anche acquisire credenziali condivise quando viene chiamato dalle app che non usano MSAL.

Quando si abilita il flag browser_sso_interaction_enabled, le app che non usano MSAL possono eseguire il bootstrap iniziale e ottenere credenziali condivise. Il browser Safari può anche eseguire il bootstrap iniziale e ottenere credenziali condivise.

Se il plug-in Microsoft Enterprise SSO non dispone ancora di credenziali condivise, tenterà di ottenerlo ogni volta che viene richiesto un accesso da un URL di Microsoft Entra all'interno del browser Safari, ASWebAuthenticationSession, SafariViewController o un'altra applicazione nativa consentita.

Usare questi parametri per abilitare il flag:

  • Chiave: browser_sso_interaction_enabled
  • Tipo: Integer
  • Valore: 1 o 0. Il valore predefinito di questa impostazione è 1.

Sia iOS che macOS richiedono questa impostazione in modo che il plug-in Microsoft Enterprise SSO possa offrire un'esperienza coerente in tutte le app. Questa impostazione è abilitata per impostazione predefinita e deve essere disabilitata solo se l'utente finale non è in grado di accedere con le proprie credenziali.

Disabilitare le richieste dell'applicazione OAuth 2

Se un'applicazione richiede agli utenti di accedere anche se il plug-in Microsoft Enterprise SSO funziona per altre applicazioni nel dispositivo, l'app potrebbe ignorare l'accesso SSO a livello di protocollo. Le credenziali condivise vengono ignorate anche da tali applicazioni perché il plug-in fornisce l'accesso SSO aggiungendo le credenziali alle richieste di rete effettuate dalle applicazioni consentite.

Questi parametri specificano se l'estensione SSO deve impedire alle applicazioni native e Web di ignorare SSO a livello di protocollo e forzare la visualizzazione di una richiesta di accesso all'utente.

Per un'esperienza SSO coerente in tutte le app nel dispositivo, è consigliabile abilitare una di queste impostazioni per le app che non usano MSAL. È consigliabile abilitare questa opzione solo per le app che usano MSAL se gli utenti riscontrano richieste impreviste.

App che non usano Microsoft Authentication Library:

Disabilitare la richiesta dell'app e visualizzare la selezione account:

  • Chiave: disable_explicit_app_prompt
  • Tipo: Integer
  • Valore: 1 o 0. Questo valore è configurato su 1 per impostazione predefinita e questa riduce le richieste.

Disabilitare la richiesta dell'app e selezionare automaticamente un account dall'elenco degli account SSO corrispondenti:

  • Chiave: disable_explicit_app_prompt_and_autologin
  • Tipo: Integer
  • Valore: 1 o 0. Per impostazione predefinita, questo valore è impostato su 0.
App che usano Microsoft Authentication Library:

Le impostazioni seguenti non sono consigliate se sono in uso criteri di protezione delle app.

Disabilitare la richiesta dell'app e visualizzare la selezione account:

  • Chiave: disable_explicit_native_app_prompt
  • Tipo: Integer
  • Valore: 1 o 0. Per impostazione predefinita, questo valore è impostato su 0.

Disabilitare la richiesta dell'app e selezionare automaticamente un account dall'elenco degli account SSO corrispondenti:

  • Chiave: disable_explicit_native_app_prompt_and_autologin
  • Tipo: Integer
  • Valore: 1 o 0. Per impostazione predefinita, questo valore è impostato su 0.

Richieste impreviste dell'applicazione SAML

Se un'applicazione richiede agli utenti di accedere anche se il plug-in Microsoft Enterprise SSO funziona per altre applicazioni nel dispositivo, l'app potrebbe ignorare l'accesso SSO a livello di protocollo. Se l'applicazione usa il protocollo SAML, il plug-in Microsoft Enterprise SSO non sarà in grado di fornire l'accesso SSO all'app. Il fornitore dell'applicazione deve ricevere una notifica su questo comportamento e apportare una modifica nell'app affinché l'accesso SSO non venga ignorato.

Modificare l'esperienza iOS per le applicazioni abilitate per MSAL

Le app che usano MSAL richiamano sempre l'estensione SSO in modo nativo per le richieste interattive. Su alcuni dispositivi iOS, ciò potrebbe non essere auspicabile. In particolare, se l'utente deve anche completare l'autenticazione a più fattori all'interno dell'app Microsoft Authenticator, un reindirizzamento interattivo a tale app potrebbe offrire un'esperienza utente migliore.

Questo comportamento può essere configurato usando il flag disable_inapp_sso_signin. Se questo flag è abilitato, le app che usano MSAL verranno reindirizzate all'app Microsoft Authenticator per tutte le richieste interattive. Questo flag non influisce sulle richieste di token invisibile da tali app, sul comportamento delle app che non usano MSAL o sulle app macOS. Questo flag è disabilitato per impostazione predefinita.

  • Chiave: disable_inapp_sso_signin
  • Tipo: Integer
  • Valore: 1 o 0. Per impostazione predefinita, questo valore è impostato su 0.

Configurare la registrazione del dispositivo Microsoft Entra

Per i dispositivi gestiti da Intune, il plug-in Microsoft Enterprise SSO può eseguire la registrazione del dispositivo Microsoft Entra quando un utente tenta di accedere alle risorse. Ciò consente un'esperienza utente finale più semplificata.

Usare la configurazione seguente per abilitare la registrazione JIT per iOS/iPadOS con Microsoft Intune:

  • Chiave: device_registration
  • Tipo: String
  • Valore: {{DEVICEREGISTRATION}}

Altre informazioni sulla registrazione JIT sono disponibili qui.

Criteri di accesso condizionale e modifiche della password

Il plug-in Microsoft Enterprise SSO per dispositivi Apple è compatibile con vari criteri di accesso condizionale di Microsoft Entra ed eventi di modifica della password. browser_sso_interaction_enabled deve essere abilitato per ottenere la compatibilità.

Gli eventi e i criteri compatibili sono documentati nelle sezioni seguenti:

Modifica della password e revoca dei token

Quando un utente reimposta la password, tutti i token rilasciati in precedenza verranno revocati. Se un utente sta tentando di accedere a una risorsa dopo un evento di reimpostazione della password, in genere l'utente dovrà accedere di nuovo a ciascuna app. Quando il plug-in Microsoft Enterprise SSO è abilitato, all'utente verrà chiesto di accedere alla prima applicazione che partecipa all'accesso SSO. Il plug-in Microsoft Enterprise SSO mostrerà la propria interfaccia utente sull'applicazione attualmente attiva.

Autenticazione a più fattori Microsoft Entra

L'autenticazione a più fattori è un processo in cui agli utenti viene richiesta una forma aggiuntiva di identificazione durante il processo di accesso, ad esempio un codice inviato sul cellulare o la scansione dell'impronta digitale. L'autenticazione a più fattori può essere abilitata per risorse specifiche. Quando il plug-in Microsoft Enterprise SSO è abilitato, all'utente verrà chiesto di eseguire l'autenticazione a più fattori nella prima applicazione che la richiede. Il plug-in Microsoft Enterprise SSO mostrerà la propria interfaccia utente sull'applicazione attualmente attiva.

Frequenza di accesso utente

La frequenza di accesso definisce il periodo di tempo prima che all'utente venga richiesto di ripetere l'accesso quando tenta di accedere a una risorsa. Se un utente tenta di accedere a una risorsa dopo aver trascorso tale periodo di tempo in varie app, in genere l'utente dovrà accedere di nuovo a ognuna di queste app. Quando il plug-in Microsoft Enterprise SSO è abilitato, all'utente verrà chiesto di accedere alla prima applicazione che partecipa all'accesso SSO. Il plug-in Microsoft Enterprise SSO mostrerà la propria interfaccia utente sull'applicazione attualmente attiva.

Usare Intune per la configurazione semplificata

È possibile usare Intune come servizio MDM per semplificare la configurazione del plug-in Microsoft Enterprise SSO. Ad esempio, è possibile usare Intune per abilitare il plug-in e aggiungere app precedenti a un elenco di elementi consentiti in modo che ottengano l'accesso SSO.

Per altre informazioni, vedere Distribuire il plug-in Microsoft Enterprise SSO per dispositivi Apple con Intune.

Usare il plug-in SSO nell'applicazione

MSAL per dispositivi Apple versioni 1.1.0 e successive supporta il plug-in Microsoft Enterprise SSO per dispositivi Apple. È il modo consigliato per aggiungere il supporto per il plug-in Microsoft Enterprise SSO. Garantisce di ottenere le funzionalità complete di Microsoft Identity Platform.

Se si sta creando un'applicazione per scenari di lavoro in prima linea, vedere Modalità dispositivo condiviso per i dispositivi iOS per informazioni sull'installazione.

Informazioni sul funzionamento del plug-in SSO

Il plug-in Microsoft Enterprise SSO si basa sul framework Apple Enterprise SSO. I provider di identità che accedono al framework possono intercettare il traffico di rete per i domini e migliorare o modificare la modalità di gestione di tali richieste. Ad esempio, il plug-in SSO può mostrare più interfacce utente per raccogliere le credenziali dell'utente finale in modo sicuro, richiedere l'autenticazione a più fattori o fornire automaticamente token all'applicazione.

Le applicazioni native possono anche implementare operazioni personalizzate e comunicare direttamente con il plug-in SSO. Per altre informazioni, vedere questo video della Conferenza per sviluppatori in tutto il mondo 2019 di Apple.

Suggerimento

Altre informazioni sul funzionamento del plug-in SSO e su come risolvere i problemi dell'estensione Microsoft Enterprise SSO con la guida alla risoluzione dei problemi SSO per i dispositivi Apple.

Applicazioni che usano MSAL

MSAL per dispositivi Apple versioni 1.1.0 e successive supporta il plug-in Microsoft Enterprise SSO per i dispositivi Apple in modo nativo per gli account aziendali e dell'istituto di istruzione.

Non è necessaria alcuna configurazione speciale se sono stati seguiti tutti i passaggi consigliati e si è usato il formato URI di reindirizzamento predefinito. Nei dispositivi che dispongono del plug-in SSO, MSAL lo richiama automaticamente per tutte le richieste di token interattive e invisibili all'utente. Lo richiama anche per le operazioni di enumerazione e rimozione dell'account. Poiché MSAL implementa un protocollo plug-in SSO nativo che si basa su operazioni personalizzate, questa configurazione offre l'esperienza nativa più fluida per l'utente finale.

Nei dispositivi iOS e iPadOS, se il plug-in SSO non è abilitato da MDM, ma l'app Microsoft Authenticator è presente nel dispositivo, MSAL usa invece l'app Authenticator per eventuali richieste di token interattive. Il plug-in Microsoft Enterprise SSO condivide l'accesso SSO con l'app Authenticator.

Applicazioni che non usano MSAL

Le applicazioni che non usano MSAL possono comunque ottenere l'accesso SSO se un amministratore aggiunge queste applicazioni all'elenco consenti.

Non è necessario modificare il codice in tali app, purché siano soddisfatte le condizioni seguenti:

  • L'applicazione usa framework Apple per eseguire richieste di rete. Questi framework includono ad esempio WKWebView e NSURLSession.
  • L'applicazione usa protocolli standard per comunicare con Microsoft Entra ID. Questi protocolli includono, ad esempio, OAuth 2, SAML e WS-Federation.
  • L'applicazione non raccoglie nomi utente e password in testo non crittografato nell'interfaccia utente nativa.

In questo caso, l'accesso SSO viene fornito quando l'applicazione crea una richiesta di rete e apre un Web browser per l'accesso dell'utente. Quando un utente viene reindirizzato a un URL di accesso di Microsoft Entra, il plug-in SSO convalida l'URL e verifica la presenza di credenziali SSO per tale URL. Se trova le credenziali, il plug-in SSO le passa a Microsoft Entra ID, che autorizza l'applicazione a completare la richiesta di rete senza chiedere all'utente di immettere le credenziali. Inoltre, se il dispositivo è noto all'ID Microsoft Entra, il plug-in SSO passa il certificato del dispositivo per soddisfare il controllo dell'accesso condizionale basato su dispositivo.

Per supportare l'accesso SSO per le app non MSAL, il plug-in SSO implementa un protocollo simile al plug-in del browser di Windows descritto in Che cos'è un token di aggiornamento primario?.

Rispetto alle app basate su MSAL, il plug-in SSO agisce in modo più trasparente per le app non MSAL. Si integra con l'esperienza di accesso del browser esistente che le app forniscono.

L'utente finale vede l'esperienza familiare e non deve accedere di nuovo in ogni applicazione. Ad esempio, invece di visualizzare la selezione dell'account nativo, il plug-in SSO aggiunge sessioni SSO all'esperienza di selezione account basata sul Web.

Modifiche imminenti all'archiviazione delle chiavi di identità del dispositivo

Annunciato nel marzo 2024, Microsoft Entra ID si sposterà dal Keychain di Apple per l'archiviazione delle chiavi di identità del dispositivo. A partire dal primo trimestre 2025, tutte le nuove registrazioni dei dispositivi useranno l'enclave sicuro di Apple. Non sarà possibile scegliere di non adottare questo percorso di archiviazione.

Le applicazioni e le integrazioni MDM che hanno una dipendenza dall'accesso alle chiavi Workplace Join tramite keychain dovranno iniziare a usare MSAL e il plug-in Enterprise SSO per garantire la compatibilità con Microsoft Identity Platform.

Abilitare l'archiviazione basata su enclave sicura delle chiavi di identità del dispositivo

Se si desidera abilitare l'archiviazione sicura basata su enclave delle chiavi di identità del dispositivo prima che diventi obbligatoria, è possibile aggiungere l'attributo di estensione per i dati seguente al profilo di configurazione MDM dei dispositivi Apple.

Nota

Affinché questo flag abbia effetto, deve essere applicato a una nuova registrazione. Non influirà sui dispositivi che sono già stati registrati a meno che non vengano registrati nuovamente.

  • Chiave: use_most_secure_storage
  • Tipo: Boolean
  • Valore: true

Lo screenshot seguente mostra la pagina di configurazione e le impostazioni per l'abilitazione dell'enclave sicura in Microsoft Intune.

Screenshot dell'interfaccia di amministrazione di Microsoft Entra che mostra la pagina del profilo di configurazione di Intune con le impostazioni per l'abilitazione dell'Enclave sicura evidenziate.

Riconoscere le incompatibilità delle app con l'identità del dispositivo basata su enclave sicura

Dopo aver abilitato l'archiviazione basata su enclave sicura, è possibile che venga visualizzato un messaggio di errore che informa di configurare il dispositivo per ottenere l'accesso. Questo messaggio di errore indica che l'applicazione non è riuscita a riconoscere lo stato gestito del dispositivo, suggerendo un'incompatibilità con il nuovo percorso di archiviazione delle chiavi.

Screenshot di un messaggio di errore di accesso condizionale che informa l'utente che il dispositivo deve essere gestito prima di poter accedere a questa risorsa.

Questo errore verrà visualizzato nei log di accesso di Microsoft Entra ID con i dettagli seguenti:

  • Codice dell'errore di accesso:530003
  • Motivo dell'errore:Device is required to be managed to access this resource.

Se durante il test viene visualizzato questo messaggio di errore, assicurarsi di aver abilitato correttamente l'estensione SSO e di aver installato tutte le estensioni specifiche dell'applicazione necessarie (ad esempio Microsoft Single Sign On per Chrome). Se si continua a visualizzare questo messaggio, è consigliabile contattare il fornitore dell'applicazione per avvisarlo dell'incompatibilità con il nuovo percorso di archiviazione.

Scenari interessati

L'elenco seguente contiene alcuni scenari comuni che saranno interessati da queste modifiche. Come regola generale, saranno interessate tutte le applicazioni che hanno una dipendenza dall'accesso agli artefatti di identità del dispositivo tramite Keychain di Apple.

L'elenco non è completo e consigliamo sia ai consumatori che ai fornitori di applicazioni di testare il software per la compatibilità con questo nuovo archivio dati.

Supporto dei criteri di accesso condizionale dei dispositivi registrati/registrati in Chrome

Per supportare i criteri di accesso condizionale del dispositivo in Google Chrome con l'archiviazione basata su enclave sicura abilitata, è necessario che l'estensione Microsoft Single Sign-On sia installata e abilitata.

Vedi anche

Informazioni sulla modalità dispositivo condiviso per i dispositivi iOS.

Informazioni sulla risoluzione dei problemi dell'estensione Microsoft Enterprise SSO.