Comparteix a través de


Configuración del registro Just-In-Time en Microsoft Intune

Se aplica a iOS/iPadOS

Configure el registro Just-In-Time (JIT) en Microsoft Intune para permitir que los usuarios del dispositivo inicien y completen la inscripción de dispositivos desde una aplicación profesional o educativa. El Portal de empresa de Intune no es necesario cuando se usa el registro JIT. En su lugar, el registro JIT usa la extensión de inicio de sesión único (SSO) de Apple para completar las comprobaciones de cumplimiento y registro de Microsoft Entra. Las comprobaciones de registro y cumplimiento se pueden integrar completamente en una aplicación designada de Microsoft o que no sea de Microsoft configurada con la extensión de aplicación de inicio de sesión único (SSO) de Apple. La extensión reduce los mensajes de autenticación durante la sesión del usuario del dispositivo y establece el inicio de sesión único en todo el dispositivo.

La corrección de cumplimiento JIT, la característica que inicia las comprobaciones de cumplimiento, se habilita automáticamente en los dispositivos que usan el registro JIT y se dirige a las directivas de cumplimiento. La corrección de cumplimiento se produce en un flujo incrustado dentro de la aplicación que los usuarios están registrando. Pueden ver su estado de cumplimiento y realizar pasos accionables para corregir los problemas a medida que completan el registro JIT. Si su dispositivo no es compatible, por ejemplo, el sitio web del Portal de empresa se abre en la aplicación y muestra el motivo del incumplimiento.

En este artículo se describe cómo habilitar el registro JIT mediante la creación de una directiva de extensión de aplicación sso en el Centro de administración de Microsoft Intune.

Requisitos previos

Microsoft Intune admite la corrección de cumplimiento y registro JIT para todas las inscripciones de iOS e iPadOS, entre las que se incluyen:

  • Inscripción de usuarios de Apple: inscripción de usuarios controlada por cuentas e inscripción de usuarios con el Portal de empresa
  • Inscripción de dispositivos de Apple: inscripción de dispositivos basada en web e inscripción de dispositivos con el Portal de empresa
  • Inscripción de dispositivos automatizada de Apple: para las inscripciones que usan el Asistente para la instalación con autenticación moderna como método de autenticación

Para aprovechar las ventajas de la corrección de cumplimiento JIT, debe asignar directivas de cumplimiento a los dispositivos.

Procedimientos recomendados para la configuración del inicio de sesión único

  • El primer inicio de sesión del usuario después de llegar a la pantalla principal tiene que producirse en una aplicación profesional o educativa configurada con la extensión sso. De lo contrario, no se pueden completar las comprobaciones de registro y cumplimiento de Microsoft Entra. Se recomienda que apunte a los empleados a la aplicación Microsoft Teams. La aplicación se integra con las bibliotecas de identidades más recientes y proporciona la experiencia más simplificada desde la pantalla principal del usuario.

  • La extensión sso se aplica automáticamente a todas las aplicaciones de Microsoft, por lo que, para evitar problemas de autenticación, no agregue los identificadores de agrupación de las aplicaciones de Microsoft a la directiva. Solo tiene que agregar aplicaciones que no sean de Microsoft.

  • No agregue el identificador de agrupación de la aplicación Microsoft Authenticator a la directiva de extensión sso. Dado que se trata de una aplicación de Microsoft, la extensión sso funcionará automáticamente con ella.

Configuración del registro JIT

Cree una directiva de extensión de aplicación de inicio de sesión único que use la extensión sso de Apple para habilitar el registro Just-In-Time (JIT).

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Cree una directiva de configuración de dispositivos iOS/iPadOS en Características> del dispositivoCategoría>Extensión de aplicación de inicio de sesión único.

  3. En Tipo de extensión de aplicación sso, seleccione Microsoft Entra ID.

  4. Agregue los identificadores de agrupación de aplicaciones para cualquier aplicación que no sea de Microsoft mediante el inicio de sesión único (SSO). La extensión sso se aplica automáticamente a todas las aplicaciones de Microsoft, por lo que, para evitar problemas de autenticación, no agregue aplicaciones de Microsoft a la directiva.

    Tampoco agregue la aplicación Microsoft Authenticator a la extensión sso. Esa aplicación se agrega más adelante en una directiva de aplicación.

    Para obtener el identificador de agrupación de una aplicación agregada a Intune, puede usar el Centro de administración de Intune.

  5. En Configuración adicional, agregue el par clave-valor necesario. Quite los espacios finales antes y después del valor y la clave. De lo contrario, el registro Just-In-Time no funcionará.

    • Clave: device_registration
    • Tipo: String
    • Valor: {{DEVICEREGISTRATION}}
  6. (Recomendado) Agregue el par clave-valor que habilita el inicio de sesión único en el explorador Safari para todas las aplicaciones de la directiva. Quite los espacios finales antes y después del valor y la clave. De lo contrario, el registro Just-In-Time no funcionará.

    • Clave: browser_sso_interaction_enabled
    • Tipo: Integer
    • Valor: 1
  7. Seleccione Siguiente.

  8. En Asignaciones, asigne el perfil a todos los usuarios o seleccione grupos específicos.

  9. Seleccione Siguiente.

  10. En la página Revisar y crear , revise las opciones y, a continuación, seleccione Crear para terminar de crear el perfil.

  11. Vaya a Aplicaciones>Todas las aplicaciones y asigne Microsoft Authenticator a grupos como una aplicación necesaria. Para obtener más información, vea Agregar aplicaciones a Microsoft Intune y Asignar aplicaciones a grupos.

Siguientes pasos

Cree un perfil de inscripción para inscribir dispositivos. El perfil de inscripción desencadena la experiencia de inscripción del usuario del dispositivo y le permite iniciar la inscripción. Para obtener información sobre cómo crear un perfil para los tipos de inscripción admitidos, consulte los siguientes recursos: