Habilite o plug-in Microsoft Enterprise SSO para dispositivos Apple por meio do Intune
O Microsoft Enterprise Single Sign-On, também conhecido exclusivamente como SSO, até agora era limitado em dispositivos Apple iOS / macOS. Mas com o novo plug-in SSO para o aplicativo Microsoft Authenticator, tudo isso muda.
O plug-in Microsoft Enterprise SSO para dispositivos Apple fornece logon único (SSO) para contas do Azure Active Directory (Azure AD) em todos os aplicativos que oferecem suporte ao recurso Enterprise Single Sign-On da Apple .
–
Microsoft Docs
Esta postagem de blog explicará como habilitar o recurso por meio do Microsoft Endpoint Manager Intune, facilitando a implementação.
ATUALIZAÇÃO: agora funciona na visualização do macOS; direcionar macOS em vez de iOS / iPadOS.
Visão geral
O plug-in SSO corporativo que acompanha o aplicativo Microsoft Authenticator tem alguns requisitos que devem ser levados em consideração.
-
iOS 13 é a versão mínima do sistema operacional compatível.
-
A versão mais recente do aplicativo Microsoft Authenticator com sua identidade configurada.
-
O dispositivo deve ser registrado com o Intune ou outro MDM.
-
O recurso SSO deve ser habilitado por meio de uma política de recurso do dispositivo enviada da organização em que o dispositivo está inscrito.
Como habilitar a extensão SSO
Para habilitar o plug-in usando o Microsoft Endpoint Manager Intune, você irá para o portal MEM em https://endpoint.microsoft.com .
Suponha que você queira direcionar a plataforma macOS . Você pode substituir as menções de iOS por macOS ao longo das etapas abaixo, e alguns dos dados que você precisa inserir são diferentes, mas você pode obter instruções sobre isso neste link:
https://docs.microsoft.com/en-us / mem / intune / configuration / macos-device-features-settings # single-sign-on-app-extension
-
Clique em ” Dispositivos ”
-
Clique em ” iOS / iPadOS ”
Como obter a lista de dispositivos iOS no Microsoft Endpoint Manager Intune
-
Clique em ” Perfis de configuração “.
-
Clique em ” + Criar perfil “.
-
Selecione a plataforma ” iOS / iPadOS “.
-
Selecione o perfil ” Recursos do dispositivo “.
-
Clique em ” Criar ”
Como criar um novo perfil de recursos do dispositivo
-
Preencha o campo ” Nome “.
Meu exemplo usa: Habilitar o plug-in SSO do Microsoft Enterprise para Apple iOS.
-
(Opcionalmente) preencha o campo ” Descrição “.
Meu exemplo usa: Configurado de acordo com a postagem do blog de Michael Mardahl (e, em seguida, o link para este artigo.)
-
Clique em ” Próximo ”
Configurando um perfil de recursos de dispositivo com o Microsoft Endpoint Manager Intune
Preste atenção especial ao fato de que estamos configurando o recurso ” Single sign-on app extension ” e não o recurso “Single Sign On”.
-
Expanda o item de acordeão ” Extensão de aplicativo de logon único “.
-
Selecione o tipo de extensão de aplicativo SSO ” Redirecionar “.
-
Preencha o campo Extension ID com ” com.microsoft.azureauthenticator.ssoextension ”
-
Adicione o URL do SSO da Microsoft à lista ” URLs “. Você pode precisar apenas de alguns dos URLs se não estiver em um locatário especial, mas pode adicionar todos eles, se desejar.
https://login.microsoftonline.com
https://login.microsoft.com
https://sts.windows.net
https://login.partner.microsoftonline.cn
https://login.chinacloudapi.cn
https: / /login.microsoftonline.de
https://login.microsoftonline.us
https://login.usgovcloudapi.net
https://login-us.microsoftonline.com -
Adicione a chave ” browser_sso_interaction_enabled ” como tipo ” Integer ” com um valor de ” 1 ” na área de configuração adicional para habilitar o plug-in para todas as páginas da web.
-
Adicione a chave ” disable_explicit_app_prompt ” como tipo ” Integer ” com um valor de ” 1 ” na área de configuração adicional para suprimir prompts de credencial em alguns aplicativos.
NB: Copiar e colar pode não agradar ao validador do Intune, então, se ele reclamar, digite uma letra após o texto que você colou e exclua-o novamente.
Configurando a “extensão de aplicativo de logon único” para recursos de dispositivos Apple no Microsoft Endpoint Manager Intune
-
Selecione a quem atribuir este perfil. Se você selecionar qualquer coisa diferente de ” Grupos selecionados “, poderá pular para a próxima seção.
-
Clique em ” + Selecionar grupos para incluir “.
-
Pesquise e selecione os grupos aos quais deseja atribuir o perfil.
-
Verifique se os grupos selecionados estão na área ” Itens selecionados “.
-
Clique em ” Selecionar “.
-
Clique em ” Avançar “.
Atribuindo um perfil a grupos selecionados usando MEM Intune
-
Revise a seção Resumo para confirmar se todos os detalhes que você acabou de inserir estão lá.
-
Clique em ” Criar ”
Analisando a configuração do perfil no Microsoft Endpoint Manager Intune
Você concluiu todas as etapas necessárias para habilitar o plug-in SSO do Microsoft Enterprise para dispositivos Apple por meio do Intune!
Agora, você terá que esperar que seu dispositivo faça uma atualização de política ou usar uma das muitas opções para forçar uma sincronização , que não é o assunto desta postagem do blog.
Testando a experiência de logon único
Testar isso deve ser simples, certo? Portanto, neste exemplo, você usará o bom e velho portal do Office 365: http://portal.office.com no Safari para iOS para testar se o Single Sing-On está funcionando.
Mas antes de sair correndo para testar, certifique-se de que não possui nenhuma credencial armazenada em cache, pois isso simplesmente anularia o propósito! Este guia do suporte da Apple deve ajudá-lo a se organizar.
Então, agora se você confirmou que seu dispositivo recebeu o perfil de configuração e o cache no Safari foi apagado. Você deve ver o seguinte tipo de prompt de logon SSO ao acessar o Portal do Office 365.
Experiência de login SSO usando o plug-in Microsoft Enterprise para o aplicativo Authenticator no Apple iOS
Eu simplesmente adoro o texto “Conectado ao Windows”.
Consulte Mais informação
Para uma leitura aprofundada sobre o assunto do plug-in SSO da Microsoft Enterprise para Apple iOS e macOS, sugiro os seguintes documentos:
Dúvidas entre em contato através do meu blog e redes sociais
Último vídeo
Novidades via inbox
Fique por dentro no meu Boletim digital toda semana um conteúdo novo