Configurar o registo just-in-time no Microsoft Intune

Aplica-se ao iOS/iPadOS

Configure o registo just-in-time (JIT) no Microsoft Intune para permitir que os utilizadores do dispositivo iniciem e concluam a inscrição de dispositivos a partir de uma aplicação escolar ou profissional. O Portal da Empresa do Intune não é necessário ao utilizar o registo JIT. Em vez disso, o registo JIT utiliza a extensão de início de sessão único (SSO) da Apple para concluir as verificações de registo e conformidade do Microsoft Entra. As verificações de registo e conformidade podem ser totalmente integradas numa aplicação designada da Microsoft ou não microsoft configurada com a extensão de aplicação de início de sessão único (SSO) da Apple. A extensão reduz os pedidos de autenticação durante a sessão do utilizador do dispositivo e estabelece o SSO em todo o dispositivo.

A remediação de conformidade do JIT, a funcionalidade que inicia as verificações de conformidade, é ativada automaticamente nos dispositivos que utilizam o registo JIT e direcionada para as políticas de conformidade. A remediação de compatibilidade ocorre num fluxo incorporado dentro da aplicação que os utilizadores estão a registar. Podem ver o respetivo estado de conformidade e efetuar passos acionáveis para remediar os problemas à medida que completam o registo JIT. Se o dispositivo não estiver em conformidade, por exemplo, o site do Portal da Empresa é aberto na aplicação e mostra-lhes o motivo da não conformidade.

Este artigo descreve como ativar o registo JIT ao criar uma política de extensão de aplicação SSO no centro de administração do Microsoft Intune.

Pré-requisitos

O Microsoft Intune suporta o registo JIT e a remediação de conformidade para todas as inscrições iOS e iPadOS, incluindo:

• Inscrição de Utilizadores da Apple: inscrição de utilizadores orientada por conta e inscrição de utilizadores com o Portal da Empresa
• Inscrição de Dispositivos Apple: inscrição de dispositivos baseada na Web e inscrição de dispositivos com o Portal da Empresa
• Inscrição de dispositivos automatizada da Apple: para inscrições que utilizam o Assistente de Configuração com autenticação moderna como método de autenticação

Para tirar partido da remediação de conformidade do JIT, tem de atribuir políticas de conformidade aos dispositivos.

Melhores práticas para a configuração do SSO

• O primeiro início de sessão do utilizador depois de chegar ao ecrã principal tem de ocorrer numa aplicação escolar ou profissional configurada com a extensão SSO. Caso contrário, não é possível concluir as verificações de registo e conformidade do Microsoft Entra. Recomendamos que aponte os funcionários para a aplicação Microsoft Teams. A aplicação está integrada nas bibliotecas de identidade mais recentes e proporciona a experiência mais simplificada do ecrã principal do utilizador.

• A extensão de SSO aplica-se automaticamente a todas as aplicações Microsoft, pelo que, para evitar problemas de autenticação, não adicione os IDs do pacote das suas aplicações Microsoft à sua política. Só precisa de adicionar aplicações que não sejam da Microsoft.

• Não adicione o ID do pacote da aplicação Microsoft Authenticator à sua política de extensão SSO. Uma vez que é uma aplicação da Microsoft, a extensão SSO funcionará automaticamente com a mesma.

Configurar o registo JIT

Crie uma política de extensão de aplicação de início de sessão único que utilize a extensão SSO da Apple para ativar o registo just-in-time (JIT).

1. Entre no Centro de administração do Microsoft Intune.

2. Crie uma política de configuração de dispositivos iOS/iPadOS em Funcionalidades> do dispositivoExtensão> deaplicação de início de sessão único.

3. Para o tipo de extensão da aplicação SSO, selecione Microsoft Entra ID.

4. Adicione os IDs do pacote de aplicações para quaisquer aplicações que não sejam da Microsoft que utilizem o início de sessão único (SSO). A extensão de SSO aplica-se automaticamente a todas as aplicações Microsoft, pelo que, para evitar problemas de autenticação, não adicione aplicações Microsoft à sua política.

   Também não adicione a aplicação Microsoft Authenticator à extensão SSO. Essa aplicação é adicionada mais tarde numa política de aplicações.

   Para obter o ID do pacote de uma aplicação adicionada ao Intune, pode utilizar o centro de administração do Intune.

5. Em Configuração adicional, adicione o par chave-valor necessário. Remova os espaços à direita antes e depois do valor e da chave. Caso contrário, o registo just-in-time não funcionará.

   • Chave: device_registration
   • Tipo: Cadeia
   • Valor: {{DEVICEREGISTRATION}}

6. (Recomendado) Adicione o par chave-valor que ativa o SSO no browser Safari para todas as aplicações na política. Remova os espaços à direita antes e depois do valor e da chave. Caso contrário, o registo just-in-time não funcionará.

   • Chave: browser_sso_interaction_enabled
   • Tipo: Número inteiro
   • Valor: 1

7. Selecione Avançar.

8. Para Atribuições, atribua o perfil a todos os utilizadores ou selecione grupos específicos.

9. Selecione Avançar.

10. Na página Rever + criar , reveja as suas escolhas e, em seguida, selecione Criar para concluir a criação do perfil.

11. Aceda a Aplicações>Todas as aplicações e atribua o Microsoft Authenticator a grupos como uma aplicação necessária. Para obter mais informações, veja Adicionar aplicações ao Microsoft Intune e Atribuir aplicações a grupos.

Próximas etapas

Crie um perfil de inscrição para inscrever dispositivos. O perfil de inscrição aciona a experiência de inscrição do utilizador do dispositivo e permite-lhe iniciar a inscrição. Para obter informações sobre como criar um perfil para tipos de inscrição suportados, veja os seguintes recursos:

• Inscrição de utilizadores condicionada por conta
• Inscrição de utilizadores com o Portal da Empresa
• Inscrição de dispositivos automatizada da Apple para o Assistente de Configuração com autenticação moderna
• Inscrição de dispositivos baseada na Web
• Inscrição de dispositivos com o Portal da Empresa