Настройка JIT-регистрации в Microsoft Intune

Применимо к iOS/iPadOS

Настройте JIT-регистрацию в Microsoft Intune, чтобы пользователи устройств могли инициировать и завершить регистрацию устройств из рабочего или учебного приложения. Корпоративный портал Intune не требуется при использовании JIT-регистрации. Вместо этого JIT-регистрация использует расширение единого входа (SSO) Apple для выполнения проверок регистрации и соответствия требованиям Microsoft Entra. Проверки регистрации и соответствия требованиям можно полностью интегрировать в указанное приложение Майкрософт или другое приложение, настроенное с помощью расширения приложения единого входа (SSO) Apple. Расширение сокращает количество запросов проверки подлинности во время сеанса пользователя устройства и устанавливает единый вход на всем устройстве.

Исправление JIT-соответствия , функция, которая инициирует проверки соответствия требованиям, включается автоматически на устройствах, использующих JIT-регистрацию, и ориентирована на политики соответствия. Исправление соответствия выполняется во внедренном потоке во время регистрации пользователей приложения. Они могут просматривать состояние соответствия требованиям и предпринимать действия по устранению проблем по мере завершения JIT-регистрации. Например, если устройство не соответствует требованиям, в приложении откроется веб-сайт корпоративного портала и отобразится причина несоответствия.

В этой статье описывается, как включить JIT-регистрацию путем создания политики расширения приложения единого входа в Центре администрирования Microsoft Intune.

Предварительные условия

Microsoft Intune поддерживает JIT-регистрацию и исправление соответствия для всех регистраций iOS и iPadOS, в том числе:

• Регистрация пользователей Apple: регистрация пользователей на основе учетной записи и регистрация пользователей на корпоративном портале
• Регистрация устройств Apple: регистрация устройств через Интернет и регистрация устройств с помощью корпоративного портала
• Автоматическая регистрация устройств Apple: для регистраций, использующих помощник по настройке с современной проверкой подлинности в качестве метода проверки подлинности.

Чтобы воспользоваться преимуществами исправления JIT-соответствия, необходимо назначить политики соответствия устройствам.

Рекомендации по настройке единого входа

• Первый вход пользователя после того, как он достигнет начального экрана, должен произойти в рабочем или учебном приложении, настроенном с помощью расширения единого входа. В противном случае не удастся выполнить проверку регистрации и соответствия требованиям Microsoft Entra. Рекомендуется указать сотрудникам приложение Microsoft Teams. Приложение интегрировано с новейшими библиотеками удостоверений и обеспечивает максимально удобный интерфейс на начальном экране пользователя.

• Расширение единого входа автоматически применяется ко всем приложениям Майкрософт, поэтому, чтобы избежать проблем с проверкой подлинности, не добавляйте идентификаторы пакетов для приложений Майкрософт в политику. Вам нужно только добавить приложения, отличные от Майкрософт.

• Не добавляйте идентификатор пакета для приложения Microsoft Authenticator в политику расширения единого входа. Так как это приложение Майкрософт, расширение единого входа будет автоматически работать с ним.

Настройка JIT-регистрации

Создайте политику расширения приложений единого входа, которая использует расширение единого входа Apple для включения JIT-регистрации.

1. Войдите в Центр администрирования Microsoft Intune.

2. Создайте политику конфигурации устройств iOS/iPadOS в разделе Расширение приложения "Функции> устройствакатегории>единый вход".

3. В поле Тип расширения приложения единого входа выберите Идентификатор Microsoft Entra.

4. Добавьте идентификаторы пакетов приложений для приложений сторонних разработчиков с помощью единого входа. Расширение единого входа автоматически применяется ко всем приложениям Майкрософт, поэтому, чтобы избежать проблем с проверкой подлинности, не добавляйте приложения Майкрософт в политику.

   Не добавляйте приложение Microsoft Authenticator в расширение единого входа. Это приложение добавляется позже в политику приложения.

   Чтобы получить идентификатор пакета приложения, добавленного в Intune, можно использовать Центр администрирования Intune.

5. В разделе Дополнительная конфигурация добавьте требуемую пару "ключ—значение". Удалите конечные пробелы до и после значения и ключа. В противном случае JIT-регистрация не будет работать.

   • Ключ: device_registration
   • Тип: String
   • Значение: {{DEVICEREGISTRATION}}

6. (Рекомендуется) Добавьте пару "ключ—значение", которая включает единый вход в браузере Safari для всех приложений в политике. Удалите конечные пробелы до и после значения и ключа. В противном случае JIT-регистрация не будет работать.

   • Ключ: browser_sso_interaction_enabled
   • Тип: Целое число
   • Значение : 1

7. Нажмите кнопку Далее.

8. Для параметра Назначения назначьте профиль всем пользователям или выберите определенные группы.

9. Нажмите кнопку Далее.

10. На странице Просмотр и создание просмотрите выбранные варианты и нажмите кнопку Создать , чтобы завершить создание профиля.

11. Перейдите в раздел Приложения>Все приложения и назначьте Microsoft Authenticator группам в качестве обязательного приложения. Дополнительные сведения см. в разделах Добавление приложений в Microsoft Intune и Назначение приложений группам.

Дальнейшие действия

Создайте профиль регистрации для регистрации устройств. Профиль регистрации активирует процесс регистрации пользователя устройства и позволяет ему инициировать регистрацию. Сведения о создании профиля для поддерживаемых типов регистрации см. в следующих ресурсах:

• Регистрация пользователей на основе учетной записи
• Регистрация пользователей с помощью корпоративного портала
• Автоматическая регистрация устройств Apple для помощника по настройке с современной проверкой подлинности
• Регистрация устройств через Интернет
• Регистрация устройств с помощью корпоративного портала