Configurare la registrazione JIT in Microsoft Intune

Si applica a iOS/iPadOS

Configurare la registrazione JIT in Microsoft Intune per consentire agli utenti del dispositivo di avviare e completare la registrazione dei dispositivi da un'app aziendale o dell'istituto di istruzione. Il portale aziendale di Intune non è necessario quando si usa la registrazione JIT. Al contrario, la registrazione JIT usa l'estensione Apple Single Sign-On (SSO) per completare i controlli di conformità e registrazione di Microsoft Entra. I controlli di registrazione e conformità possono essere completamente integrati in un'app Microsoft o non Microsoft designata configurata con l'estensione dell'app Apple Single Sign-On (SSO). L'estensione riduce le richieste di autenticazione durante la sessione dell'utente del dispositivo e stabilisce l'accesso SSO nell'intero dispositivo.

La correzione della conformità JIT, la funzionalità che avvia i controlli di conformità, viene abilitata automaticamente nei dispositivi che usano la registrazione JIT e destinata ai criteri di conformità. La correzione della conformità si verifica in un flusso incorporato all'interno dell'app che gli utenti stanno registrando. Possono visualizzare lo stato di conformità e adottare misure interattive per risolvere i problemi quando completano la registrazione JIT. Se il dispositivo non è conforme, ad esempio, il sito Web del portale aziendale viene aperto nell'app e mostra il motivo della mancata conformità.

Questo articolo descrive come abilitare la registrazione JIT creando un criterio di estensione dell'app SSO nell'interfaccia di amministrazione di Microsoft Intune.

Prerequisiti

Microsoft Intune supporta la registrazione JIT e la correzione della conformità per tutte le registrazioni iOS e iPadOS, tra cui:

• Registrazione utente Apple: registrazione utente guidata dall'account e registrazione degli utenti con portale aziendale
• Registrazione di dispositivi Apple: registrazione dei dispositivi basata sul Web e registrazione dei dispositivi con portale aziendale
• Registrazione automatica dei dispositivi Apple: per le registrazioni che usano Setup Assistant con l'autenticazione moderna come metodo di autenticazione

Per sfruttare i vantaggi della correzione della conformità JIT, è necessario assegnare criteri di conformità ai dispositivi.

Procedure consigliate per la configurazione SSO

• Il primo accesso dell'utente dopo aver raggiunto la schermata iniziale deve avvenire in un'app aziendale o dell'istituto di istruzione configurata con l'estensione SSO. In caso contrario, i controlli di conformità e registrazione di Microsoft Entra non possono essere completati. È consigliabile indirizzare i dipendenti all'app Microsoft Teams. L'app è integrata con le librerie di identità più recenti e offre l'esperienza più semplificata dalla schermata iniziale dell'utente.

• L'estensione SSO si applica automaticamente a tutte le app Microsoft, in modo da evitare problemi di autenticazione, non aggiungere gli ID bundle per le app Microsoft ai criteri. È sufficiente aggiungere app non Microsoft.

• Non aggiungere l'ID bundle per l'app Microsoft Authenticator ai criteri di estensione SSO. Poiché si tratta di un'app Microsoft, l'estensione SSO funzionerà automaticamente con essa.

Configurare la registrazione JIT

Creare un criterio di estensione dell'app Single Sign-On che usa l'estensione Apple SSO per abilitare la registrazione JIT (Just-In-Time).

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Creare un criterio di configurazione del dispositivo iOS/iPadOSnell'estensione dell'app Per le funzionalità> del dispositivocategoria> Single Sign-On.

3. Per Tipo di estensione dell'app SSO selezionare Microsoft Entra ID.

4. Aggiungere gli ID bundle dell'app per qualsiasi app non Microsoft usando l'accesso Single Sign-On (SSO). L'estensione SSO si applica automaticamente a tutte le app Microsoft, quindi per evitare problemi di autenticazione, non aggiungere app Microsoft ai criteri.

   Non aggiungere l'app Microsoft Authenticator all'estensione SSO. L'app viene aggiunta più avanti in un criterio dell'app.

   Per ottenere l'ID bundle di un'app aggiunta a Intune, è possibile usare l'interfaccia di amministrazione di Intune.

5. In Configurazione aggiuntiva aggiungere la coppia chiave-valore richiesta. Rimuovere gli spazi finali prima e dopo il valore e la chiave. In caso contrario, la registrazione just-in-time non funzionerà.

   • Chiave: device_registration
   • Tipo: Stringa
   • Valore: {{DEVICEREGISTRATION}}

6. (Scelta consigliata) Aggiungere la coppia chiave-valore che abilita l'accesso SSO nel browser Safari per tutte le app nei criteri. Rimuovere gli spazi finali prima e dopo il valore e la chiave. In caso contrario, la registrazione just-in-time non funzionerà.

   • Chiave: browser_sso_interaction_enabled
   • Tipo: Integer
   • Valore: 1

7. Seleziona Avanti.

8. In Assegnazioni assegnare il profilo a tutti gli utenti o selezionare gruppi specifici.

9. Seleziona Avanti.

10. Nella pagina Rivedi e crea esaminare le scelte e quindi selezionare Crea per completare la creazione del profilo.

11. Passare ad App>Tutte le app e assegnare Microsoft Authenticator ai gruppi come app obbligatoria. Per altre informazioni, vedere Aggiungere app a Microsoft Intune e Assegnare app ai gruppi.

Passaggi successivi

Creare un profilo di registrazione per la registrazione dei dispositivi. Il profilo di registrazione attiva l'esperienza di registrazione dell'utente del dispositivo e consente di avviare la registrazione. Per informazioni su come creare un profilo per i tipi di registrazione supportati, vedere le risorse seguenti:

• Registrazione utente guidata dall'account
• Registrazione utente con portale aziendale
• Registrazione automatica dei dispositivi Apple per Setup Assistant con l'autenticazione moderna
• Registrazione di dispositivi basata sul Web
• Registrazione del dispositivo con portale aziendale