Configuración del registro Just-In-Time en Microsoft Intune

Se aplica a iOS/iPadOS

Configure el registro Just-In-Time (JIT) en Microsoft Intune para permitir que los usuarios del dispositivo inicien y completen la inscripción de dispositivos desde una aplicación profesional o educativa. El Portal de empresa de Intune no es necesario cuando se usa el registro JIT. En su lugar, el registro JIT usa la extensión de inicio de sesión único (SSO) de Apple para completar Microsoft Entra comprobaciones de registro y cumplimiento. Las comprobaciones de registro y cumplimiento se pueden integrar completamente en una aplicación designada de Microsoft o que no sea de Microsoft configurada con la extensión de aplicación de inicio de sesión único (SSO) de Apple. La extensión reduce los mensajes de autenticación durante la sesión del usuario del dispositivo y establece el inicio de sesión único en todo el dispositivo.

En este artículo se describe cómo habilitar el registro JIT mediante la creación de una directiva de extensión de aplicación de SSO en el centro de administración de Microsoft Intune.

Requisitos previos

El registro JIT se admite con los siguientes tipos de inscripción:

• Inscripción de usuarios de Apple: inscripción de usuarios controlada por la cuenta
• Inscripción de dispositivos de Apple: inscripción de dispositivos basada en web
• Inscripción de dispositivos automatizada de Apple: para las inscripciones que usan el Asistente para la instalación con autenticación moderna como método de autenticación.

Procedimientos recomendados para la configuración del inicio de sesión único

• El primer inicio de sesión del usuario después de llegar a la pantalla principal tiene que producirse en una aplicación profesional o educativa configurada con la extensión sso. De lo contrario, no se pueden completar Microsoft Entra comprobaciones de registro y cumplimiento. Se recomienda que apunte a los empleados a la aplicación Microsoft Teams. La aplicación se integra con las bibliotecas de identidades más recientes y proporciona la experiencia más simplificada desde la pantalla principal del usuario.

• La extensión sso se aplica automáticamente a todas las aplicaciones de Microsoft, por lo que, para evitar problemas de autenticación, no agregue los identificadores de agrupación de las aplicaciones de Microsoft a la directiva. Solo tiene que agregar aplicaciones que no sean de Microsoft.

• No agregue el identificador de agrupación de la aplicación Microsoft Authenticator a la directiva de extensión sso. Dado que se trata de una aplicación de Microsoft, la extensión sso funcionará automáticamente con ella.

Configuración del registro JIT

Create una directiva de extensión de aplicación de inicio de sesión único que usa la extensión de INICIO de sesión único de Apple para habilitar el registro Just-In-Time (JIT).

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Create una directiva de configuración de dispositivos iOS/iPadOS en Características> del dispositivoCategoría>Extensión de aplicación de inicio de sesión único.

3. En Tipo de extensión de aplicación sso, seleccione Microsoft Entra ID.

4. Agregue los identificadores de agrupación de aplicaciones para cualquier aplicación que no sea de Microsoft mediante el inicio de sesión único (SSO). La extensión sso se aplica automáticamente a todas las aplicaciones de Microsoft, por lo que, para evitar problemas de autenticación, no agregue aplicaciones de Microsoft a la directiva.

   Tampoco agregue la aplicación Microsoft Authenticator a la extensión sso. Esa aplicación se agrega más adelante en una directiva de aplicación.

   Para obtener el identificador de agrupación de una aplicación agregada a Intune, puede usar el centro de administración de Intune.

5. En Configuración adicional, agregue el par clave-valor necesario. Quite los espacios finales antes y después del valor y la clave. De lo contrario, el registro Just-In-Time no funcionará.

   • Clave: device_registration
   • Tipo: String
   • Valor: {{DEVICEREGISTRATION}}

6. (Recomendado) Agregue el par clave-valor que habilita el inicio de sesión único en el explorador Safari para todas las aplicaciones de la directiva. Quite los espacios finales antes y después del valor y la clave. De lo contrario, el registro Just-In-Time no funcionará.

   • Clave: browser_sso_interaction_enabled
   • Tipo: Integer
   • Valor: 1

7. Seleccione Siguiente.

8. En Asignaciones, asigne el perfil a todos los usuarios o seleccione grupos específicos.

9. Seleccione Siguiente.

10. En la página Revisar y crear, revise las opciones y, a continuación, seleccione Create para terminar de crear el perfil.

11. Vaya a Aplicaciones>Todas las aplicaciones y asigne Microsoft Authenticator a grupos como una aplicación necesaria. Para obtener más información, vea Agregar aplicaciones a Microsoft Intune y Asignar aplicaciones a grupos.

Pasos siguientes

Create un perfil de inscripción para inscribir dispositivos. El perfil de inscripción desencadena la experiencia de inscripción del usuario del dispositivo y le permite iniciar la inscripción. Para obtener información sobre cómo crear un perfil para los tipos de inscripción admitidos, consulte los siguientes recursos:

• Inscripción de usuario controlada por cuentas
• Inscripción de dispositivos automatizada de Apple para el Asistente para la instalación con autenticación moderna
• Inscripción de dispositivos basada en web