Konfigurowanie rejestracji just in time w Microsoft Intune
Dotyczy systemu iOS/iPadOS
Skonfiguruj rejestrację just in time (JIT) w Microsoft Intune, aby umożliwić użytkownikom urządzeń inicjowanie i ukończenie rejestracji urządzeń z poziomu aplikacji służbowej. Intune — Portal firmy nie jest wymagana podczas korzystania z rejestracji JIT. Zamiast tego rejestracja JIT korzysta z rozszerzenia logowania jednokrotnego (SSO) firmy Apple, aby ukończyć Microsoft Entra kontrole rejestracji i zgodności. Kontrole rejestracji i zgodności można w pełni zintegrować w wyznaczonej aplikacji firmy Microsoft lub innej firmy, która jest skonfigurowana przy użyciu rozszerzenia aplikacji logowania jednokrotnego firmy Apple. Rozszerzenie zmniejsza liczbę monitów uwierzytelniania podczas sesji użytkownika urządzenia i ustanawia logowanie jednokrotne na całym urządzeniu.
W tym artykule opisano sposób włączania rejestracji JIT przez utworzenie zasad rozszerzenia aplikacji logowania jednokrotnego w centrum administracyjnym Microsoft Intune.
Wymagania wstępne
Rejestracja JIT jest obsługiwana w przypadku następujących typów rejestracji:
- Rejestracja użytkowników firmy Apple: rejestracja użytkowników oparta na kontach
- Rejestracja urządzeń firmy Apple: rejestracja urządzeń internetowych
- Automatyczna rejestracja urządzeń firmy Apple: w przypadku rejestracji korzystających z Asystenta ustawień z nowoczesnym uwierzytelnianiem jako metody uwierzytelniania.
Najlepsze rozwiązania dotyczące konfiguracji logowania jednokrotnego
Pierwsze logowanie użytkownika po dotarciu do ekranu głównego musi nastąpić w aplikacji służbowej skonfigurowanej przy użyciu rozszerzenia logowania jednokrotnego. W przeciwnym razie nie można ukończyć Microsoft Entra sprawdzania rejestracji i zgodności. Zalecamy skierowanie pracowników do aplikacji Microsoft Teams. Aplikacja jest zintegrowana z najnowszymi bibliotekami tożsamości i zapewnia najbardziej usprawnione środowisko na ekranie głównym użytkownika.
Rozszerzenie logowania jednokrotnego jest automatycznie stosowane do wszystkich aplikacji firmy Microsoft, więc aby uniknąć problemów z uwierzytelnianiem, nie należy dodawać identyfikatorów pakietów dla aplikacji firmy Microsoft do zasad. Wystarczy dodać aplikacje spoza firmy Microsoft.
Nie dodawać identyfikatora pakietu dla aplikacji Microsoft Authenticator do zasad rozszerzenia logowania jednokrotnego. Ponieważ jest to aplikacja firmy Microsoft, rozszerzenie logowania jednokrotnego będzie z nim automatycznie współpracować.
Konfigurowanie rejestracji JIT
Twórca zasad rozszerzenia aplikacji logowania jednokrotnego, które używają rozszerzenia logowania jednokrotnego firmy Apple w celu włączenia rejestracji just in time (JIT).
Zaloguj się do centrum administracyjnego Microsoft Intune.
Twórca zasad konfiguracji urządzeń z systemem iOS/iPadOS w obszarze Funkcje> urządzenia —rozszerzenie aplikacji do logowania jednokrotnegokategorii>.
W polu Typ rozszerzenia aplikacji logowania jednokrotnego wybierz pozycję Tożsamość Microsoft Entra.
Dodaj identyfikatory pakietu aplikacji dla wszystkich aplikacji innych niż Microsoft przy użyciu logowania jednokrotnego. Rozszerzenie logowania jednokrotnego jest automatycznie stosowane do wszystkich aplikacji firmy Microsoft, więc aby uniknąć problemów z uwierzytelnianiem, nie należy dodawać aplikacji firmy Microsoft do zasad.
Nie należy dodawać aplikacji Microsoft Authenticator do rozszerzenia logowania jednokrotnego. Ta aplikacja zostanie dodana w dalszej części zasad aplikacji.
Aby uzyskać identyfikator pakietu aplikacji dodanej do Intune, możesz użyć centrum administracyjnego Intune.
W obszarze Dodatkowa konfiguracja dodaj wymaganą parę klucz-wartość. Usuń końcowe spacje przed i po wartości i kluczu. W przeciwnym razie rejestracja just in time nie będzie działać.
- Klucz: device_registration
- Typ: Ciąg
- Wartość: {{DEVICEREGISTRATION}}
(Zalecane) Dodaj parę klucz-wartość, która włącza logowanie jednokrotne w przeglądarce Safari dla wszystkich aplikacji w zasadach. Usuń końcowe spacje przed i po wartości i kluczu. W przeciwnym razie rejestracja just in time nie będzie działać.
- Klucz: browser_sso_interaction_enabled
- Typ: Liczba całkowita
- Wartość: 1
Wybierz pozycję Dalej.
W obszarze Przypisania przypisz profil do wszystkich użytkowników lub wybierz określone grupy.
Wybierz pozycję Dalej.
Na stronie Przeglądanie i tworzenie przejrzyj wybrane opcje, a następnie wybierz pozycję Twórca, aby zakończyć tworzenie profilu.
Przejdź do pozycji Aplikacje>Wszystkie aplikacje i przypisz aplikację Microsoft Authenticator do grup jako wymaganą aplikację. Aby uzyskać więcej informacji, zobacz Dodawanie aplikacji do Microsoft Intune i Przypisywanie aplikacji do grup.
Następne kroki
Twórca profilu rejestracji na potrzeby rejestrowania urządzeń. Profil rejestracji wyzwala środowisko rejestracji użytkownika urządzenia i umożliwia mu inicjowanie rejestracji. Aby uzyskać informacje o sposobie tworzenia profilu dla obsługiwanych typów rejestracji, zobacz następujące zasoby:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla