Configurare la registrazione just-in-time in Microsoft Intune

  • Articolo

Si applica a iOS/iPadOS

Configurare la registrazione JIT in Microsoft Intune per consentire agli utenti del dispositivo di avviare e completare la registrazione dei dispositivi da un'app aziendale o dell'istituto di istruzione. Il Portale aziendale Intune non è necessario quando si usa la registrazione JIT. La registrazione JIT usa invece l'estensione Apple Single Sign-On (SSO) per completare i controlli di registrazione e conformità Microsoft Entra. I controlli di registrazione e conformità possono essere completamente integrati in un'app Microsoft o non Microsoft designata configurata con l'estensione dell'app Apple Single Sign-On (SSO). L'estensione riduce le richieste di autenticazione durante la sessione dell'utente del dispositivo e stabilisce l'accesso SSO nell'intero dispositivo.

Questo articolo descrive come abilitare la registrazione JIT creando un criterio di estensione dell'app SSO nell'interfaccia di amministrazione di Microsoft Intune.

Prerequisiti

La registrazione JIT è supportata con i tipi di registrazione seguenti:

  • Registrazione utente Apple: registrazione utente guidata dall'account
  • Registrazione di dispositivi Apple: registrazione di dispositivi basata sul Web
  • Registrazione automatica dei dispositivi Apple: per le registrazioni che usano Setup Assistant con l'autenticazione moderna come metodo di autenticazione.

Procedure consigliate per la configurazione SSO

  • Il primo accesso dell'utente dopo aver raggiunto la schermata iniziale deve avvenire in un'app aziendale o dell'istituto di istruzione configurata con l'estensione SSO. In caso contrario, non è possibile completare i controlli di registrazione e conformità Microsoft Entra. È consigliabile indirizzare i dipendenti all'app Microsoft Teams. L'app è integrata con le librerie di identità più recenti e offre l'esperienza più semplificata dalla schermata iniziale dell'utente.

  • L'estensione SSO si applica automaticamente a tutte le app Microsoft, in modo da evitare problemi di autenticazione, non aggiungere gli ID bundle per le app Microsoft ai criteri. È sufficiente aggiungere app non Microsoft.

  • Non aggiungere l'ID bundle per l'app Microsoft Authenticator ai criteri di estensione SSO. Poiché si tratta di un'app Microsoft, l'estensione SSO funzionerà automaticamente con essa.

Configurare la registrazione JIT

Creare un criterio di estensione dell'app Single Sign-On che usa l'estensione Apple SSO per abilitare la registrazione JIT (Just-In-Time).

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Creare un criterio di configurazione del dispositivo iOS/iPadOSnell'estensione dell'app Per le funzionalità> del dispositivocategoria> Single Sign-On.

  3. Per Tipo di estensione dell'app SSO selezionare Microsoft Entra ID.

  4. Aggiungere gli ID bundle dell'app per qualsiasi app non Microsoft usando l'accesso Single Sign-On (SSO). L'estensione SSO si applica automaticamente a tutte le app Microsoft, quindi per evitare problemi di autenticazione, non aggiungere app Microsoft ai criteri.

    Non aggiungere l'app Microsoft Authenticator all'estensione SSO. L'app viene aggiunta più avanti in un criterio dell'app.

  5. In Configurazione aggiuntiva aggiungere la coppia chiave-valore richiesta. Rimuovere gli spazi finali prima e dopo il valore e la chiave. In caso contrario, la registrazione just-in-time non funzionerà.

    • Chiave: device_registration
    • Tipo: Stringa
    • Valore: {{DEVICEREGISTRATION}}

  6. (Scelta consigliata) Aggiungere la coppia chiave-valore che abilita l'accesso SSO nel browser Safari per tutte le app nei criteri. Rimuovere gli spazi finali prima e dopo il valore e la chiave. In caso contrario, la registrazione just-in-time non funzionerà.

    • Chiave: browser_sso_interaction_enabled
    • Tipo: Integer
    • Valore: 1

  7. Seleziona Avanti.

  8. In Assegnazioni assegnare il profilo a tutti gli utenti o selezionare gruppi specifici.

  9. Seleziona Avanti.

  10. Nella pagina Rivedi e crea esaminare le scelte e quindi selezionare Crea per completare la creazione del profilo.

  11. Passare ad App>Tutte le app e assegnare Microsoft Authenticator ai gruppi come app obbligatoria. Per altre informazioni, vedere Aggiungere app a Microsoft Intune e Assegnare app ai gruppi.

Passaggi successivi

Creare un profilo di registrazione per la registrazione dei dispositivi. Il profilo di registrazione attiva l'esperienza di registrazione dell'utente del dispositivo e consente di avviare la registrazione. Per informazioni su come creare un profilo per i tipi di registrazione supportati, vedere le risorse seguenti: