Einrichten der Just-in-Time-Registrierung in Microsoft Intune

  • Artikel

Gilt für iOS/iPadOS

Richten Sie die JiT-Registrierung (Just-in-Time) in Microsoft Intune ein, damit Gerätebenutzer die Geräteregistrierung über eine Geschäfts-, Schul- oder Uni-App initiieren und abschließen können. Die Intune-Unternehmensportal ist bei Verwendung der JIT-Registrierung nicht erforderlich. Stattdessen verwendet die JIT-Registrierung die Apple-Erweiterung für einmaliges Anmelden (Single Sign-On, SSO), um Microsoft Entra Registrierungs- und Konformitätsprüfungen abzuschließen. Registrierungs- und Konformitätsprüfungen können vollständig in eine bestimmte Microsoft- oder Nicht-Microsoft-App integriert werden, die mit der Apple-App-Erweiterung für einmaliges Anmelden (Single Sign-On, SSO) konfiguriert ist. Die Erweiterung reduziert die Authentifizierungsaufforderungen während der Sitzung des Gerätebenutzers und richtet einmaliges Anmelden für das gesamte Gerät ein.

In diesem Artikel wird beschrieben, wie Sie die JIT-Registrierung aktivieren, indem Sie eine SSO-App-Erweiterungsrichtlinie im Microsoft Intune Admin Center erstellen.

Voraussetzungen

Die JIT-Registrierung wird mit den folgenden Registrierungstypen unterstützt:

  • Apple-Benutzerregistrierung: Kontogesteuerte Benutzerregistrierung
  • Apple-Geräteregistrierung: Webbasierte Geräteregistrierung
  • Automatisierte Apple-Geräteregistrierung: Für Registrierungen, die den Setup-Assistenten mit moderner Authentifizierung als Authentifizierungsmethode verwenden.

Bewährte Methoden für die SSO-Konfiguration

  • Die erste Anmeldung des Benutzers, nachdem er den Startbildschirm erreicht hat, muss in einer Geschäfts-, Schul- oder Uni-App erfolgen, die mit der SSO-Erweiterung konfiguriert ist. Andernfalls können Microsoft Entra Registrierungs- und Konformitätsprüfungen nicht abgeschlossen werden. Es wird empfohlen, Mitarbeiter auf die Microsoft Teams-App zu verweisen. Die App ist in die neuesten Identitätsbibliotheken integriert und bietet die optimiertste Benutzeroberfläche auf dem Startbildschirm des Benutzers.

  • Die SSO-Erweiterung gilt automatisch für alle Microsoft-Apps. Um Authentifizierungsprobleme zu vermeiden, fügen Sie die Bündel-IDs für Ihre Microsoft-Apps ihrer Richtlinie nicht hinzu. Sie müssen nur Nicht-Microsoft-Apps hinzufügen.

  • Fügen Sie die Bündel-ID für die Microsoft Authenticator-App nicht zu Ihrer SSO-Erweiterungsrichtlinie hinzu. Da es sich um eine Microsoft-App handelt, funktioniert die SSO-Erweiterung automatisch mit ihr.

Einrichten der JIT-Registrierung

Erstellen Sie eine App-Erweiterungsrichtlinie für einmaliges Anmelden, die die Apple SSO-Erweiterung verwendet, um die Just-In-Time-Registrierung (JIT) zu aktivieren.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Erstellen Sie unter Gerätefeatures>Kategorie>App-Erweiterung für einmaliges Anmeldeneine iOS-/iPadOS-Gerätekonfigurationsrichtlinie.

  3. Wählen Sie für SSO-App-Erweiterungstypdie Option Microsoft Entra ID aus.

  4. Fügen Sie die App-Bündel-IDs für alle Nicht-Microsoft-Apps mithilfe des einmaligen Anmeldens (Single Sign-On, SSO) hinzu. Die SSO-Erweiterung gilt automatisch für alle Microsoft-Apps. Um Authentifizierungsprobleme zu vermeiden, fügen Sie Ihrer Richtlinie daher keine Microsoft-Apps hinzu.

    Fügen Sie die Microsoft Authenticator-App auch nicht zur SSO-Erweiterung hinzu. Diese App wird später in einer App-Richtlinie hinzugefügt.

  5. Fügen Sie unter Zusätzliche Konfiguration das erforderliche Schlüssel-Wert-Paar hinzu. Entfernen Sie nachfolgende Leerzeichen vor und nach dem Wert und schlüssel. Andernfalls funktioniert die Just-In-Time-Registrierung nicht.

    • Schlüssel: device_registration
    • Typ: Zeichenfolge
    • Wert: {{DEVICEREGISTRATION}}

  6. (Empfohlen) Fügen Sie das Schlüssel-Wert-Paar hinzu, das einmaliges Anmelden im Safari-Browser für alle Apps in der Richtlinie aktiviert. Entfernen Sie nachfolgende Leerzeichen vor und nach dem Wert und schlüssel. Andernfalls funktioniert die Just-In-Time-Registrierung nicht.

    • Schlüssel: browser_sso_interaction_enabled
    • Typ: Integer
    • Wert: 1

  7. Wählen Sie Weiter aus.

  8. Weisen Sie für Zuweisungen das Profil allen Benutzern zu, oder wählen Sie bestimmte Gruppen aus.

  9. Wählen Sie Weiter aus.

  10. Überprüfen Sie auf der Seite Überprüfen + erstellen Ihre Auswahl, und wählen Sie dann Erstellen aus, um die Erstellung des Profils abzuschließen.

  11. Wechseln Sie zu Apps>Alle Apps , und weisen Sie Microsoft Authenticator Gruppen als erforderliche App zu. Weitere Informationen finden Sie unter Hinzufügen von Apps zu Microsoft Intune und Zuweisen von Apps zu Gruppen.

Nächste Schritte

Erstellen Sie ein Registrierungsprofil für die Registrierung von Geräten. Das Registrierungsprofil löst die Registrierung des Gerätebenutzers aus und ermöglicht es dem Benutzer, die Registrierung zu initiieren. Informationen zum Erstellen eines Profils für unterstützte Registrierungstypen finden Sie in den folgenden Ressourcen: