Microsoft Intune에서 Just-In-Time 등록 설정

iOS/iPadOS에 적용

Microsoft Intune 에서 JIT(Just-In-Time) 등록 을 설정하여 디바이스 사용자가 회사 또는 학교 앱에서 디바이스 등록을 시작하고 완료할 수 있도록 합니다. JIT 등록을 사용할 때는 Intune 회사 포털이 필요하지 않습니다. 대신 JIT 등록은 Apple SSO(Single Sign-On) 확장을 활용하여 Microsoft Entra 등록 및 규정 준수 검사를 완료합니다. 등록 및 규정 준수 검사는 Apple SSO(Single Sign-On) 앱 확장으로 구성된 지정된 Microsoft 또는 비 Microsoft 앱에 완전히 통합될 수 있습니다. 확장은 디바이스 사용자 세션 중에 인증 프롬프트를 줄이고 전체 디바이스에서 SSO를 설정합니다.

규정 준수 검사를 시작하는 기능인 JIT 규정 준수 수정은 JIT 등록을 활용하는 디바이스에서 자동으로 사용하도록 설정되며 규정 준수 정책을 대상으로 합니다. 규정 준수 수정은 사용자가 등록하는 앱 내의 포함된 흐름에서 발생합니다. 규정 준수 상태를 확인하고 JIT 등록을 완료할 때 문제를 해결하기 위한 실행 가능한 단계를 수행할 수 있습니다. 예를 들어 디바이스가 비준수인 경우 회사 포털 웹 사이트가 앱에서 열리고 비준수 이유를 표시합니다.

이 문서에서는 Microsoft Intune 관리 센터에서 SSO 앱 확장 정책을 만들어 JIT 등록을 사용하도록 설정하는 방법을 설명합니다.

필수 조건

Microsoft Intune은 다음을 포함하여 모든 iOS 및 iPadOS 등록에 대한 JIT 등록 및 규정 준수 수정을 지원합니다.

• Apple 사용자 등록: 회사 포털을 사용하여 계정 기반 사용자 등록 및 사용자 등록
• Apple 디바이스 등록: 회사 포털을 사용하여 웹 기반 디바이스 등록 및 디바이스 등록
• Apple 자동화된 디바이스 등록: 최신 인증과 함께 설치 도우미를 인증 방법으로 사용하는 등록의 경우

JIT 규정 준수 수정을 활용하려면 디바이스에 준수 정책을 할당해야 합니다.

SSO 구성에 대한 모범 사례

• 홈 화면에 도달한 후 사용자의 첫 번째 로그인은 SSO 확장으로 구성된 회사 또는 학교 앱에서 발생해야 합니다. 그렇지 않으면 Microsoft Entra 등록 및 규정 준수 검사를 완료할 수 없습니다. 직원을 Microsoft Teams 앱으로 가리키는 것이 좋습니다. 앱은 최신 ID 라이브러리와 통합되며 사용자의 홈 화면에서 가장 간소화된 환경을 제공합니다.

• SSO 확장은 모든 Microsoft 앱에 자동으로 적용되므로 인증 문제를 방지하려면 Microsoft 앱에 대한 번들 ID를 정책에 추가하지 마세요. Microsoft 이외의 앱만 추가하면 됩니다.

• Microsoft Authenticator 앱의 번들 ID를 SSO 확장 정책에 추가하지 마세요. Microsoft 앱이므로 SSO 확장은 자동으로 작동합니다.

JIT 등록 설정

Apple SSO 확장을 사용하여 JIT(Just-In-Time) 등록을 사용하도록 설정하는 Single Sign-On 앱 확장 정책을 만듭니다.

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 디바이스 기능>범주>Single Sign-On 앱 확장에서 iOS/iPadOS 디바이스 구성 정책을 만듭니다.

3. SSO 앱 확장 유형에 대해 Microsoft Entra ID를 선택합니다.

4. SSO(Single Sign-On)를 사용하여 비 Microsoft 앱에 대한 앱 번들 ID 를 추가합니다. SSO 확장은 모든 Microsoft 앱에 자동으로 적용되므로 인증 문제를 방지하려면 정책에 Microsoft 앱을 추가하지 마세요.

   Microsoft Authenticator 앱을 SSO 확장에 추가하지 마세요. 해당 앱은 앱 정책의 뒷부분에서 추가됩니다.

   Intune에 추가된 앱의 번들 ID를 가져오려면 Intune 관리 센터를 사용할 수 있습니다.

5. 추가 구성에서 필요한 키-값 쌍을 추가합니다. 값 및 키 앞과 뒤의 후행 공백을 제거합니다. 그렇지 않으면 Just-In-Time 등록이 작동하지 않습니다.

   • 키: device_registration
   • 형식: 문자열
   • 값: {{DEVICEREGISTRATION}}

6. (권장) 정책의 모든 앱에 대해 Safari 브라우저에서 SSO를 사용하도록 설정하는 키-값 쌍을 추가합니다. 값 및 키 앞과 뒤의 후행 공백을 제거합니다. 그렇지 않으면 Just-In-Time 등록이 작동하지 않습니다.

   • 키: browser_sso_interaction_enabled
   • 형식: 정수
   • 값: 1

7. 다음을 선택합니다.

8. 할당의 경우 모든 사용자에게 프로필을 할당하거나 특정 그룹을 선택합니다.

9. 다음을 선택합니다.

10. 검토 + 만들기 페이지에서 선택 항목을 검토한 다음 만들기를 선택하여 프로필 만들기를 완료합니다.

11. 앱모든 앱>으로 이동하여 Microsoft Authenticator를 필수 앱으로 그룹에 할당합니다. 자세한 내용은 Microsoft Intune에 앱 추가 및 그룹에 앱 할당을 참조하세요.

다음 단계

디바이스 등록을 위한 등록 프로필을 만듭니다. 등록 프로필은 디바이스 사용자의 등록 환경을 트리거하고 등록을 시작할 수 있도록 합니다. 지원되는 등록 유형에 대한 프로필을 만드는 방법에 대한 자세한 내용은 다음 리소스를 참조하세요.

• 계정 기반 사용자 등록
• 회사 포털을 사용하여 사용자 등록
• 최신 인증을 사용하여 설치 도우미에 대한 Apple 자동화된 디바이스 등록
• 웹 기반 디바이스 등록
• 회사 포털을 사용하여 디바이스 등록