Microsoft Intuneでジャストインタイム登録を設定する

  • [アーティクル]

iOS/iPadOS に適用されます

デバイス ユーザーが職場または学校アプリからデバイス登録を開始して完了できるように、Microsoft Intuneで Just-In Time (JIT) 登録を設定します。 JIT 登録を使用する場合、Intune ポータル サイトは必要ありません。 代わりに、JIT 登録では、Apple シングル サインオン (SSO) 拡張機能を使用して、Microsoft Entra登録とコンプライアンスチェックを完了します。 登録とコンプライアンスのチェックは、Apple シングル サインオン (SSO) アプリ拡張機能で構成されている指定された Microsoft または Microsoft 以外のアプリに完全に統合できます。 この拡張機能は、デバイス ユーザーのセッション中の認証プロンプトを減らし、デバイス全体で SSO を確立します。

この記事では、Microsoft Intune管理センターで SSO アプリ拡張機能ポリシーを作成して JIT 登録を有効にする方法について説明します。

前提条件

JIT 登録は、次の登録の種類でサポートされています。

  • Apple ユーザー登録: アカウント 駆動型ユーザー登録
  • Apple デバイス登録: Web ベースのデバイス登録
  • Apple 自動デバイス登録: 認証方法として先進認証でセットアップ アシスタントを使用する登録の場合。

SSO 構成のベスト プラクティス

  • ユーザーがホーム画面に到達した後の最初のサインインは、SSO 拡張機能で構成された職場または学校アプリで行う必要があります。 そうしないと、Microsoft Entra登録とコンプライアンスチェックを完了できません。 Microsoft Teams アプリに従業員をポイントすることをお勧めします。 アプリは最新の ID ライブラリと統合されており、ユーザーのホーム画面から最も合理化されたエクスペリエンスを提供します。

  • SSO 拡張機能はすべての Microsoft アプリに自動的に適用されるため、認証の問題を回避するために、Microsoft アプリのバンドル ID をポリシーに追加しないでください。 Microsoft 以外のアプリのみを追加する必要があります。

  • Microsoft Authenticator アプリのバンドル ID を SSO 拡張機能ポリシーに追加しないでください。 これは Microsoft アプリであるため、SSO 拡張機能は自動的に動作します。

JIT 登録を設定する

Apple SSO 拡張機能を使用して Just-In-Time (JIT) 登録を有効にするシングル サインオン アプリ拡張機能ポリシーを作成します。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス機能>] カテゴリ>の [シングル サインオン アプリ拡張機能] で、iOS/iPadOS デバイス構成ポリシーを作成します。

  3. [SSO アプリ拡張機能の種類] で、[Microsoft Entra ID] を選択します

  4. シングル サインオン (SSO) を使用して、Microsoft 以外のアプリのアプリ バンドル ID を追加します。 SSO 拡張機能はすべての Microsoft アプリに自動的に適用されるため、認証の問題を回避するために、ポリシーに Microsoft アプリを追加しないでください。

    SSO 拡張機能にも Microsoft Authenticator アプリを追加しないでください。 そのアプリは、後でアプリ ポリシーに追加されます。

  5. [ 追加の構成] で、必要なキーと値のペアを追加します。 値とキーの前後にある末尾のスペースを削除します。 そうしないと、Just-In-Time 登録は機能しません。

    • キー: device_registration
    • : 文字列
    • : {{DEVICEREGISTRATION}}

  6. (推奨)ポリシー内のすべてのアプリに対して Safari ブラウザーで SSO を有効にするキーと値のペアを追加します。 値とキーの前後にある末尾のスペースを削除します。 そうしないと、Just-In-Time 登録は機能しません。

    • キー: browser_sso_interaction_enabled
    • : 整数
    • : 1

  7. [次へ] を選択します。

  8. [ 割り当て] で、プロファイルをすべてのユーザーに割り当てるか、特定のグループを選択します。

  9. [次へ] を選択します。

  10. [ 確認と作成 ] ページで、選択内容を確認し、[ 作成 ] を選択してプロファイルの作成を完了します。

  11. [アプリ] [すべてのアプリ] > に移動し、Microsoft Authenticator を必要なアプリとしてグループに割り当てます。 詳細については、「アプリをMicrosoft Intuneに追加する」および「アプリをグループに割り当てる」を参照してください。

次の手順

デバイスを登録するための登録プロファイルを作成します。 登録プロファイルは、デバイス ユーザーの登録エクスペリエンスをトリガーし、登録を開始できるようにします。 サポートされている登録の種類のプロファイルを作成する方法については、次のリソースを参照してください。