在 Microsoft Intune 中设置实时注册

适用于 iOS/iPadOS

在 Microsoft Intune 中设置实时 (JIT) 注册,使设备用户能够从工作或学校应用启动和完成设备注册。 使用 JIT 注册时不需要Intune 公司门户。 相反,JIT 注册利用 Apple 单一登录 (SSO) 扩展来完成Microsoft Entra注册和合规性检查。 注册和合规性检查可以完全集成到配置了 Apple 单一登录 (SSO) 应用扩展的指定 Microsoft 或非 Microsoft 应用中。 该扩展可在设备用户的会话期间减少身份验证提示,并跨整个设备建立 SSO。

本文介绍如何通过在 Microsoft Intune 管理中心创建 SSO 应用扩展策略来启用 JIT 注册。

先决条件

以下注册类型支持 JIT 注册:

  • Apple 用户注册:帐户驱动用户注册
  • Apple 设备注册:基于 Web 的设备注册
  • Apple 自动设备注册:适用于使用具有新式身份验证作为 身份验证方法的设置助手的注册。

SSO 配置的最佳做法

  • 用户到达主屏幕后的第一次登录必须发生在配置了 SSO 扩展的工作或学校应用中。 否则,无法完成Microsoft Entra注册和合规性检查。 建议将员工指向 Microsoft Teams 应用。 该应用与最新的标识库集成,并提供最简化的用户主屏幕体验。

  • SSO 扩展会自动应用于所有 Microsoft 应用,因此为了避免身份验证问题,请不要将 Microsoft 应用的捆绑 ID 添加到策略中。 只需添加非 Microsoft 应用。

  • 不要将 Microsoft Authenticator 应用的捆绑 ID 添加到 SSO 扩展策略。 由于它是 Microsoft 应用,SSO 扩展将自动使用它。

设置 JIT 注册

创建单一登录应用扩展策略,该策略使用 Apple SSO 扩展启用实时 (JIT) 注册。

  1. 登录到Microsoft Intune管理中心

  2. “设备功能>类别>单一登录应用扩展”下创建 iOS/iPadOS 设备配置策略

  3. 对于“SSO 应用扩展类型”,请选择“Microsoft Entra ID”。

  4. 使用单一登录 (SSO) 为任何非 Microsoft 应用添加 应用捆绑 ID 。 SSO 扩展会自动应用于所有 Microsoft 应用,因此为了避免身份验证问题,请不要将 Microsoft 应用添加到策略。

    也不要将 Microsoft Authenticator 应用添加到 SSO 扩展。 稍后将在应用策略中添加该应用。

  5. 在“ 其他配置”下,添加所需的键值对。 删除值和键前后的尾随空格。 否则,实时注册将不起作用。

    • :device_registration
    • 类型:字符串
    • :{{DEVICEREGISTRATION}}
  6. (建议) 添加在 Safari 浏览器中为策略中的所有应用启用 SSO 的键值对。 删除值和键前后的尾随空格。 否则,实时注册将不起作用。

    • :browser_sso_interaction_enabled
    • 类型:整数
    • :1
  7. 选择“下一步”。

  8. 对于 “分配”,请将配置文件分配给所有用户,或选择特定组。

  9. 选择“下一步”。

  10. 在“ 查看 + 创建 ”页上,查看你的选择,然后选择“ 创建 ”以完成配置文件的创建。

  11. 转到 “应用>”“所有应用” ,并将 Microsoft Authenticator 作为所需应用分配到组。 有关详细信息,请参阅将应用添加到Microsoft Intune将应用分配到组

后续步骤

创建用于注册设备的注册配置文件。 注册配置文件会触发设备用户的注册体验,并使他们能够启动注册。 有关如何为支持的注册类型创建配置文件的信息,请参阅以下资源: