Share via


Just-In-Time-registratie instellen in Microsoft Intune

Van toepassing op iOS/iPadOS

Stel JIT-registratie (Just-In-Time) in Microsoft Intune in, zodat apparaatgebruikers de apparaatinschrijving kunnen initiëren en voltooien vanuit een werk- of school-app. De Intune-bedrijfsportal is niet vereist bij het gebruik van JIT-registratie. In plaats daarvan maakt JIT-registratie gebruik van de Apple-extensie voor eenmalige aanmelding (SSO) om microsoft Entra-registratie- en nalevingscontroles te voltooien. Registratie- en nalevingscontroles kunnen volledig worden geïntegreerd in een aangewezen Microsoft- of niet-Microsoft-app die is geconfigureerd met de App-extensie voor eenmalige aanmelding (SSO) van Apple. De extensie vermindert verificatieprompts tijdens de sessie van de apparaatgebruiker en stelt eenmalige aanmelding op het hele apparaat tot stand.

JIT-nalevingsherstel, de functie waarmee nalevingscontroles worden geïnitieerd, wordt automatisch ingeschakeld op apparaten die gebruikmaken van JIT-registratie en is gericht op nalevingsbeleid. Herstel van naleving vindt plaats in een ingesloten stroom binnen de app die gebruikers registreren. Ze kunnen hun nalevingsstatus bekijken en actie ondernemen om de problemen op te lossen terwijl ze de JIT-registratie voltooien. Als hun apparaat bijvoorbeeld niet compatibel is, wordt de bedrijfsportalwebsite geopend in de app en wordt de reden voor niet-naleving weergegeven.

In dit artikel wordt beschreven hoe u JIT-registratie inschakelt door een app-extensiebeleid voor eenmalige aanmelding te maken in het Microsoft Intune-beheercentrum.

Vereisten

Microsoft Intune ondersteunt JIT-registratie en herstel van naleving voor alle iOS- en iPadOS-inschrijvingen, waaronder:

  • Apple-gebruikersinschrijving: accountgestuurde gebruikersinschrijving en gebruikersinschrijving met bedrijfsportal
  • Apple-apparaatinschrijving: apparaatinschrijving via het web en apparaatinschrijving met de bedrijfsportal
  • Automatische apparaatinschrijving van Apple: voor inschrijvingen die gebruikmaken van Configuratieassistent met moderne verificatie als verificatiemethode

Als u wilt profiteren van JIT-nalevingsherstel, moet u nalevingsbeleid toewijzen aan apparaten.

Aanbevolen procedures voor configuratie van eenmalige aanmelding

  • De eerste aanmelding van de gebruiker nadat deze het startscherm heeft bereikt, moet plaatsvinden in een werk- of school-app die is geconfigureerd met de SSO-extensie. Anders kunnen registratie- en nalevingscontroles van Microsoft Entra niet worden voltooid. We raden u aan werknemers te verwijzen naar de Microsoft Teams-app. De app is geïntegreerd met de nieuwste identiteitsbibliotheken en biedt de meest gestroomlijnde ervaring vanuit het startscherm van de gebruiker.

  • De SSO-extensie is automatisch van toepassing op alle Microsoft-apps, dus voeg de bundel-id's voor uw Microsoft-apps niet toe aan uw beleid om verificatieproblemen te voorkomen. U hoeft alleen niet-Microsoft-apps toe te voegen.

  • Voeg de bundel-id voor de Microsoft Authenticator-app niet toe aan uw SSO-extensiebeleid. Omdat het een Microsoft-app is, werkt de SSO-extensie er automatisch mee.

JIT-registratie instellen

Maak een app-extensiebeleid voor eenmalige aanmelding dat gebruikmaakt van de Apple SSO-extensie om Just-In-Time-registratie (JIT) in te schakelen.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Maak een iOS-/iPadOS-apparaatconfiguratiebeleid onder Apparaatfuncties>Categorie>App-extensie voor eenmalige aanmelding.

  3. Selecteer Microsoft Entra ID voor het type app-extensie voor eenmalige aanmelding.

  4. Voeg de app-bundel-id's toe voor niet-Microsoft-apps met behulp van eenmalige aanmelding (SSO). De SSO-extensie is automatisch van toepassing op alle Microsoft-apps, dus voeg geen Microsoft-apps toe aan uw beleid om verificatieproblemen te voorkomen.

    Voeg de Microsoft Authenticator-app ook niet toe aan de SSO-extensie. Deze app wordt later toegevoegd in een app-beleid.

    Als u de bundel-id wilt ophalen van een app die is toegevoegd aan Intune, kunt u het Intune-beheercentrum gebruiken.

  5. Voeg onder Aanvullende configuratie het vereiste sleutel-waardepaar toe. Verwijder volgspaties voor en na de waarde en sleutel. Anders werkt Just-In-Time-registratie niet.

    • Sleutel: device_registration
    • Type: Tekenreeks
    • Waarde: {{DEVICEREGISTRATION}}
  6. (Aanbevolen) Voeg het sleutel-waardepaar toe waarmee eenmalige aanmelding in de Safari-browser wordt ingeschakeld voor alle apps in het beleid. Verwijder volgspaties voor en na de waarde en sleutel. Anders werkt Just-In-Time-registratie niet.

    • Sleutel: browser_sso_interaction_enabled
    • Type: Geheel getal
    • Waarde: 1
  7. Selecteer Volgende.

  8. Wijs voor Toewijzingen het profiel toe aan alle gebruikers of selecteer specifieke groepen.

  9. Selecteer Volgende.

  10. Controleer uw keuzes op de pagina Beoordelen en maken en selecteer vervolgens Maken om het maken van het profiel te voltooien.

  11. Ga naar Apps>Alle apps en wijs Microsoft Authenticator toe aan groepen als een vereiste app. Zie Apps toevoegen aan Microsoft Intune en Apps toewijzen aan groepen voor meer informatie.

Volgende stappen

Maak een inschrijvingsprofiel voor het inschrijven van apparaten. Het inschrijvingsprofiel activeert de inschrijvingservaring van de apparaatgebruiker en stelt deze in staat om de inschrijving te starten. Zie de volgende bronnen voor informatie over het maken van een profiel voor ondersteunde inschrijvingstypen: