Nastavení registrace za běhu v Microsoft Intune

Platí pro iOS/iPadOS.

Nastavte registraci za běhu (JIT) v Microsoft Intune, abyste uživatelům zařízení umožnili zahájit a dokončit registraci zařízení z pracovní nebo školní aplikace. Portál společnosti Intune se při registraci JIT nevyžaduje. Registrace JIT místo toho využívá rozšíření Jednotného přihlašování (SSO) Apple k dokončení registrace a kontrol dodržování předpisů Microsoft Entra. Kontroly registrace a dodržování předpisů je možné plně integrovat do určené aplikace od Microsoftu nebo jiné společnosti než Microsoft, která je nakonfigurovaná s rozšířením aplikace jednotného přihlašování (SSO). Rozšíření snižuje počet výzev k ověření během relace uživatele zařízení a vytváří jednotné přihlašování na celém zařízení.

Náprava dodržování předpisů JIT, což je funkce, která iniciuje kontroly dodržování předpisů, je automaticky povolená na zařízeních využívajících registraci JIT a cílených na zásady dodržování předpisů. Náprava dodržování předpisů probíhá ve vloženém toku v rámci aplikace, která se registrují. Po dokončení registrace JIT uvidí svůj stav dodržování předpisů a podniknou kroky k nápravě problémů. Pokud například zařízení nedodržuje předpisy, otevře se v aplikaci web Portál společnosti a zobrazí se důvod nedodržování předpisů.

Tento článek popisuje, jak povolit registraci JIT vytvořením zásady rozšíření aplikace s jednotným přihlašováním v Centru pro správu Microsoft Intune.

Požadavky

Microsoft Intune podporuje registraci JIT a nápravu dodržování předpisů pro všechny registrace iOS a iPadOS, včetně:

• Registrace uživatelů Apple: Registrace uživatelů řízená účtem a registrace uživatelů pomocí Portálu společnosti
• Registrace zařízení Apple: Registrace webových zařízení a registrace zařízení pomocí Portálu společnosti
• Automatická registrace zařízení Apple: Pro registrace, které používají Pomocníka s nastavením s moderním ověřováním jako metodou ověřování

Pokud chcete využít nápravu dodržování předpisů JIT, musíte zařízením přiřadit zásady dodržování předpisů.

Osvědčené postupy pro konfiguraci jednotného přihlašování

• K prvnímu přihlášení uživatele po zobrazení domovské obrazovky musí dojít v pracovní nebo školní aplikaci, která je nakonfigurovaná s rozšířením jednotného přihlašování. V opačném případě se registrace a kontroly dodržování předpisů Microsoft Entra nedají dokončit. Doporučujeme nasměrovat zaměstnance na aplikaci Microsoft Teams. Aplikace je integrovaná s nejnovějšími knihovnami identit a poskytuje nejfektivněnější prostředí z domovské obrazovky uživatele.

• Rozšíření jednotného přihlašování se automaticky vztahuje na všechny aplikace Microsoftu, takže pokud se chcete vyhnout problémům s ověřováním, nepřidávejte do zásad ID sady sad pro vaše aplikace Microsoftu. Stačí přidat jenom aplikace, které nejsou od Microsoftu.

• Nepřidávejte ID sady pro aplikaci Microsoft Authenticator do zásad rozšíření jednotného přihlašování. Vzhledem k tomu, že se jedná o aplikaci Microsoftu, bude s ní rozšíření jednotného přihlašování automaticky fungovat.

Nastavení registrace JIT

Vytvořte zásadu rozšíření aplikace s jednotným přihlašováním, která používá rozšíření Jednotného přihlašování Apple k povolení registrace za běhu (JIT).

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vytvořte zásadu konfigurace zařízení s iOS/iPadOS v části Funkce> zařízeníKategorie>Rozšíření aplikace pro jednotné přihlašování.

3. Jako typ rozšíření aplikace jednotného přihlašování vyberte Microsoft Entra ID.

4. Přidejte ID sady aplikací pro všechny aplikace, které nejsou od Microsoftu, pomocí jednotného přihlašování (SSO). Rozšíření jednotného přihlašování se automaticky vztahuje na všechny aplikace Microsoftu, takže pokud se chcete vyhnout problémům s ověřováním, nepřidávejte do zásad aplikace Microsoftu.

   Do rozšíření jednotného přihlašování nepřidávejte ani aplikaci Microsoft Authenticator. Tato aplikace se přidá později do zásad aplikace.

   Pokud chcete získat ID sady prostředků aplikace přidané do Intune, můžete použít Centrum pro správu Intune.

5. V části Další konfigurace přidejte požadovaný pár klíč-hodnota. Odeberte koncové mezery před a za hodnotou a klíčem. Jinak registrace za běhu nebude fungovat.

   • Klíč: device_registration
   • Typ: Řetězec
   • Hodnota: {{DEVICEREGISTRATION}}

6. (Doporučeno) Přidejte pár klíč-hodnota, který povolí jednotné přihlašování v prohlížeči Safari pro všechny aplikace v zásadách. Odeberte koncové mezery před a za hodnotou a klíčem. Jinak registrace za běhu nebude fungovat.

   • Klíč: browser_sso_interaction_enabled
   • Typ: Celé číslo
   • Hodnota: 1

7. Vyberte Další.

8. V části Přiřazení přiřaďte profil všem uživatelům nebo vyberte konkrétní skupiny.

9. Vyberte Další.

10. Na stránce Zkontrolovat a vytvořit zkontrolujte své volby a pak vyberte Vytvořit a dokončete vytváření profilu.

11. Přejděte na Aplikace>Všechny aplikace a přiřaďte aplikaci Microsoft Authenticator ke skupinám jako požadovanou aplikaci. Další informace najdete v tématech Přidání aplikací do Microsoft Intune a Přiřazení aplikací ke skupinám.

Další kroky

Vytvořte registrační profil pro registraci zařízení. Registrační profil aktivuje prostředí registrace uživatele zařízení a umožní mu zahájit registraci. Informace o tom, jak vytvořit profil pro podporované typy registrací, najdete v následujících zdrojích informací:

• Registrace uživatelů řízená účtem
• Registrace uživatelů pomocí Portálu společnosti
• Automatizovaná registrace zařízení Apple pro Pomocníka s nastavením s moderním ověřováním
• Registrace webových zařízení
• Registrace zařízení pomocí Portálu společnosti