在 Microsoft Intune 中设置实时注册

适用于 iOS/iPadOS

在 Microsoft Intune 中设置 实时 (JIT) 注册 ,使设备用户能够从工作或学校应用启动和完成设备注册。 使用 JIT 注册时,不需要 Intune 公司门户。 相反,JIT 注册利用 Apple 单一登录 (SSO) 扩展来完成Microsoft Entra 注册和合规性检查。 注册和符合性检查可以完全集成到配置了 Apple 单一登录 (SSO) 应用扩展的指定Microsoft或非Microsoft应用中。 该扩展可在设备用户的会话期间减少身份验证提示,并跨整个设备建立 SSO。

JIT 合规性修正是启动合规性检查的功能,在利用 JIT 注册并针对符合性策略的设备上自动启用。 合规性修正发生在用户正在注册的应用内的嵌入流中。 他们可以在完成 JIT 注册时查看其符合性状态并采取可操作的步骤来修正问题。 例如,如果他们的设备不符合要求,公司门户网站将在应用中打开,并向他们显示不符合的原因。

本文介绍如何通过在 Microsoft Intune 管理中心中创建 SSO 应用扩展策略来启用 JIT 注册。

先决条件

Microsoft Intune 支持所有 iOS 和 iPadOS 注册的 JIT 注册和合规性修正,包括:

  • Apple 用户注册:使用公司门户进行帐户驱动的用户注册和用户注册
  • Apple 设备注册:使用公司门户进行基于 Web 的设备注册和设备注册
  • Apple 自动设备注册:适用于使用新式身份验证的设置助理作为 身份验证方法的注册

若要利用 JIT 合规性修正,必须将符合性策略分配给设备。

SSO 配置的最佳做法

  • 用户到达主屏幕后的第一次登录必须发生在配置了 SSO 扩展的工作或学校应用中。 否则,Microsoft无法完成 Entra 注册和合规性检查。 建议将员工指向 Microsoft Teams 应用。 该应用与最新的标识库集成,并提供最简化的用户主屏幕体验。

  • SSO 扩展会自动应用于所有Microsoft应用,因此为了避免身份验证问题,请不要将Microsoft应用的捆绑 ID 添加到策略中。 只需添加非Microsoft应用。

  • 不要将 Microsoft Authenticator 应用的捆绑 ID 添加到 SSO 扩展策略。 由于它是Microsoft应用,SSO 扩展将自动使用它。

设置 JIT 注册

创建单一登录应用扩展策略,该策略使用 Apple SSO 扩展启用实时 (JIT) 注册。

  1. 登录到 Microsoft Intune 管理中心

  2. “设备功能>类别>单一登录应用扩展”下创建 iOS/iPadOS 设备配置策略

  3. 对于 “SSO 应用扩展类型”,请选择“ Microsoft Entra ID”。

  4. 使用单一登录 (SSO) 为任何非Microsoft应用添加 应用捆绑 ID 。 SSO 扩展会自动应用于所有Microsoft应用,因此为了避免身份验证问题,请不要向策略添加Microsoft应用。

    也不要将 Microsoft Authenticator 应用添加到 SSO 扩展。 稍后将在应用策略中添加该应用。

    若要获取添加到 Intune 的应用的捆绑 ID, 可以使用 Intune 管理中心

  5. 在“ 其他配置”下,添加所需的键值对。 删除值和键前后的尾随空格。 否则,实时注册将不起作用。

    • :device_registration
    • 类型:字符串
    • :{{DEVICEREGISTRATION}}
  6. (建议) 添加在 Safari 浏览器中为策略中的所有应用启用 SSO 的键值对。 删除值和键前后的尾随空格。 否则,实时注册将不起作用。

    • :browser_sso_interaction_enabled
    • 类型:整数
    • :1
  7. 选择 下一步

  8. 对于 “分配”,请将配置文件分配给所有用户,或选择特定组。

  9. 选择 下一步

  10. 在“ 查看 + 创建 ”页上,查看你的选择,然后选择“ 创建 ”以完成配置文件的创建。

  11. 转到 “应用>”“所有应用 ”,并将Microsoft Authenticator 作为必需应用分配给组。 有关详细信息,请参阅 将应用添加到 Microsoft Intune将应用分配到组

后续步骤

创建用于注册设备的注册配置文件。 注册配置文件会触发设备用户的注册体验,并使他们能够启动注册。 有关如何为支持的注册类型创建配置文件的信息,请参阅以下资源: