Udostępnij za pośrednictwem

Konfigurowanie rejestracji just in time w usłudze Microsoft Intune

  • Artykuł

Dotyczy systemu iOS/iPadOS

Skonfiguruj rejestrację just in time (JIT) w usłudze Microsoft Intune, aby umożliwić użytkownikom urządzeń inicjowanie i ukończenie rejestracji urządzeń z poziomu aplikacji służbowej. Portal firmy usługi Intune nie jest wymagany podczas korzystania z rejestracji JIT. Zamiast tego rejestracja JIT korzysta z rozszerzenia logowania jednokrotnego (SSO) firmy Apple, aby ukończyć kontrole rejestracji i zgodności w usłudze Microsoft Entra. Kontrole rejestracji i zgodności można w pełni zintegrować w wyznaczonej aplikacji firmy Microsoft lub innej firmy, która jest skonfigurowana przy użyciu rozszerzenia aplikacji logowania jednokrotnego firmy Apple. Rozszerzenie zmniejsza liczbę monitów uwierzytelniania podczas sesji użytkownika urządzenia i ustanawia logowanie jednokrotne na całym urządzeniu.

Korygowanie zgodności JIT, funkcja inicjująca sprawdzanie zgodności, jest włączana automatycznie na urządzeniach korzystających z rejestracji JIT i objętych zasadami zgodności. Korygowanie zgodności odbywa się w osadzonym przepływie w ramach rejestracji użytkowników aplikacji. Mogą oni zobaczyć swój stan zgodności i podjąć kroki umożliwiające podjęcie działań w celu rozwiązania problemów po ukończeniu rejestracji JIT. Jeśli na przykład ich urządzenie jest niezgodne, witryna internetowa Portal firmy zostanie otwarta w aplikacji i wyświetli przyczynę niezgodności.

W tym artykule opisano sposób włączania rejestracji JIT przez utworzenie zasad rozszerzenia aplikacji logowania jednokrotnego w centrum administracyjnym usługi Microsoft Intune.

Wymagania wstępne

Usługa Microsoft Intune obsługuje korygowanie rejestracji JIT i zgodności dla wszystkich rejestracji w systemach iOS i iPadOS, w tym:

  • Rejestracja użytkowników firmy Apple: rejestracja użytkowników oparta na koncie i rejestracja użytkowników w aplikacji Portal firmy
  • Rejestracja urządzeń firmy Apple: rejestracja urządzeń internetowych i rejestrowanie urządzeń w portalu firmy
  • Automatyczna rejestracja urządzeń firmy Apple: w przypadku rejestracji korzystających z Asystenta ustawień z nowoczesnym uwierzytelnianiem jako metody uwierzytelniania

Aby skorzystać z korygowania zgodności JIT, należy przypisać zasady zgodności do urządzeń.

Najlepsze rozwiązania dotyczące konfiguracji logowania jednokrotnego

  • Pierwsze logowanie użytkownika po dotarciu do ekranu głównego musi nastąpić w aplikacji służbowej skonfigurowanej przy użyciu rozszerzenia logowania jednokrotnego. W przeciwnym razie nie można ukończyć kontroli rejestracji i zgodności w usłudze Microsoft Entra. Zalecamy skierowanie pracowników do aplikacji Microsoft Teams. Aplikacja jest zintegrowana z najnowszymi bibliotekami tożsamości i zapewnia najbardziej usprawnione środowisko na ekranie głównym użytkownika.

  • Rozszerzenie logowania jednokrotnego jest automatycznie stosowane do wszystkich aplikacji firmy Microsoft, więc aby uniknąć problemów z uwierzytelnianiem, nie należy dodawać identyfikatorów pakietów dla aplikacji firmy Microsoft do zasad. Wystarczy dodać aplikacje spoza firmy Microsoft.

  • Nie dodawać identyfikatora pakietu dla aplikacji Microsoft Authenticator do zasad rozszerzenia logowania jednokrotnego. Ponieważ jest to aplikacja firmy Microsoft, rozszerzenie logowania jednokrotnego będzie z nim automatycznie współpracować.

Konfigurowanie rejestracji JIT

Utwórz zasady rozszerzenia aplikacji do logowania jednokrotnego, które używają rozszerzenia logowania jednokrotnego firmy Apple w celu włączenia rejestracji just in time (JIT).

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

  2. Utwórz zasady konfiguracji urządzeń z systemem iOS/iPadOS w obszarze Funkcje> urządzeniaKategoria>Rozszerzenie aplikacji do logowania jednokrotnego.

  3. W polu Typ rozszerzenia aplikacji logowania jednokrotnego wybierz pozycję Microsoft Entra ID.

  4. Dodaj identyfikatory pakietu aplikacji dla wszystkich aplikacji innych niż Microsoft przy użyciu logowania jednokrotnego. Rozszerzenie logowania jednokrotnego jest automatycznie stosowane do wszystkich aplikacji firmy Microsoft, więc aby uniknąć problemów z uwierzytelnianiem, nie należy dodawać aplikacji firmy Microsoft do zasad.

    Nie należy dodawać aplikacji Microsoft Authenticator do rozszerzenia logowania jednokrotnego. Ta aplikacja zostanie dodana w dalszej części zasad aplikacji.

    Aby uzyskać identyfikator pakietu aplikacji dodany do usługi Intune, możesz użyć centrum administracyjnego usługi Intune.

  5. W obszarze Dodatkowa konfiguracja dodaj wymaganą parę klucz-wartość. Usuń końcowe spacje przed i po wartości i kluczu. W przeciwnym razie rejestracja just in time nie będzie działać.

    • Klucz: device_registration
    • Typ: Ciąg
    • Wartość: {{DEVICEREGISTRATION}}

  6. (Zalecane) Dodaj parę klucz-wartość, która włącza logowanie jednokrotne w przeglądarce Safari dla wszystkich aplikacji w zasadach. Usuń końcowe spacje przed i po wartości i kluczu. W przeciwnym razie rejestracja just in time nie będzie działać.

    • Klucz: browser_sso_interaction_enabled
    • Typ: Liczba całkowita
    • Wartość: 1

  7. Wybierz pozycję Dalej.

  8. W obszarze Przypisania przypisz profil do wszystkich użytkowników lub wybierz określone grupy.

  9. Wybierz pozycję Dalej.

  10. Na stronie Przeglądanie i tworzenie przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz , aby zakończyć tworzenie profilu.

  11. Przejdź do pozycji Aplikacje>Wszystkie aplikacje i przypisz aplikację Microsoft Authenticator do grup jako wymaganą aplikację. Aby uzyskać więcej informacji, zobacz Dodawanie aplikacji do usługi Microsoft Intune i Przypisywanie aplikacji do grup.

Następne kroki

Utwórz profil rejestracji na potrzeby rejestrowania urządzeń. Profil rejestracji wyzwala środowisko rejestracji użytkownika urządzenia i umożliwia mu inicjowanie rejestracji. Aby uzyskać informacje o sposobie tworzenia profilu dla obsługiwanych typów rejestracji, zobacz następujące zasoby: