Share via

Just-In-Time-registratie instellen in Microsoft Intune

  • Artikel

Van toepassing op iOS/iPadOS

Jit-registratie (Just In Time) instellen in Microsoft Intune om apparaatgebruikers in staat te stellen de apparaatinschrijving te initiëren en te voltooien vanuit een werk- of school-app. De Intune-bedrijfsportal is niet vereist bij het gebruik van JIT-registratie. In plaats daarvan maakt JIT-registratie gebruik van de Apple-extensie voor eenmalige aanmelding (SSO) om Microsoft Entra registratie- en nalevingscontroles te voltooien. Registratie- en nalevingscontroles kunnen volledig worden geïntegreerd in een aangewezen Microsoft- of niet-Microsoft-app die is geconfigureerd met de App-extensie voor eenmalige aanmelding (SSO) van Apple. De extensie vermindert verificatieprompts tijdens de sessie van de apparaatgebruiker en stelt eenmalige aanmelding op het hele apparaat tot stand.

In dit artikel wordt beschreven hoe u JIT-registratie inschakelt door een app-extensiebeleid voor eenmalige aanmelding te maken in het Microsoft Intune-beheercentrum.

Vereisten

JIT-registratie wordt ondersteund met de volgende inschrijvingstypen:

  • Inschrijving van Apple-gebruikers: Inschrijving van accountgestuurde gebruikers
  • Apple-apparaatinschrijving: apparaatinschrijving via het web
  • Automatische apparaatinschrijving van Apple: voor inschrijvingen die gebruikmaken van Configuratieassistent met moderne verificatie als verificatiemethode.

Aanbevolen procedures voor configuratie van eenmalige aanmelding

  • De eerste aanmelding van de gebruiker nadat deze het startscherm heeft bereikt, moet plaatsvinden in een werk- of school-app die is geconfigureerd met de SSO-extensie. Anders kunnen Microsoft Entra registratie- en nalevingscontroles niet worden voltooid. We raden u aan werknemers te verwijzen naar de Microsoft Teams-app. De app is geïntegreerd met de nieuwste identiteitsbibliotheken en biedt de meest gestroomlijnde ervaring vanuit het startscherm van de gebruiker.

  • De SSO-extensie is automatisch van toepassing op alle Microsoft-apps, dus voeg de bundel-id's voor uw Microsoft-apps niet toe aan uw beleid om verificatieproblemen te voorkomen. U hoeft alleen niet-Microsoft-apps toe te voegen.

  • Voeg de bundel-id voor de Microsoft Authenticator-app niet toe aan uw SSO-extensiebeleid. Omdat het een Microsoft-app is, werkt de SSO-extensie er automatisch mee.

JIT-registratie instellen

Creatie een app-extensiebeleid voor eenmalige aanmelding dat gebruikmaakt van de Apple SSO-extensie om Just-In-Time-registratie (JIT) in te schakelen.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Creatie een iOS-/iPadOS-apparaatconfiguratiebeleid onder Apparaatfuncties>Categorie>App-extensie voor eenmalige aanmelding.

  3. Selecteer Microsoft Entra ID voor type app-extensie voor eenmalige aanmelding.

  4. Voeg de app-bundel-id's toe voor niet-Microsoft-apps met behulp van eenmalige aanmelding (SSO). De SSO-extensie is automatisch van toepassing op alle Microsoft-apps, dus voeg geen Microsoft-apps toe aan uw beleid om verificatieproblemen te voorkomen.

    Voeg de Microsoft Authenticator-app ook niet toe aan de SSO-extensie. Deze app wordt later toegevoegd in een app-beleid.

    Als u de bundel-id van een app wilt ophalen die is toegevoegd aan Intune, kunt u het Intune-beheercentrum gebruiken.

  5. Voeg onder Aanvullende configuratie het vereiste sleutel-waardepaar toe. Verwijder volgspaties voor en na de waarde en sleutel. Anders werkt Just-In-Time-registratie niet.

    • Sleutel: device_registration
    • Type: Tekenreeks
    • Waarde: {{DEVICEREGISTRATION}}

  6. (Aanbevolen) Voeg het sleutel-waardepaar toe waarmee eenmalige aanmelding in de Safari-browser wordt ingeschakeld voor alle apps in het beleid. Verwijder volgspaties voor en na de waarde en sleutel. Anders werkt Just-In-Time-registratie niet.

    • Sleutel: browser_sso_interaction_enabled
    • Type: Geheel getal
    • Waarde: 1

  7. Selecteer Volgende.

  8. Wijs voor Toewijzingen het profiel toe aan alle gebruikers of selecteer specifieke groepen.

  9. Selecteer Volgende.

  10. Controleer op de pagina Controleren en maken uw keuzes en selecteer vervolgens Creatie om het maken van het profiel te voltooien.

  11. Ga naar Apps>Alle apps en wijs Microsoft Authenticator toe aan groepen als een vereiste app. Zie Apps toevoegen aan Microsoft Intune en Apps toewijzen aan groepen voor meer informatie.

Volgende stappen

Creatie een inschrijvingsprofiel voor het inschrijven van apparaten. Het inschrijvingsprofiel activeert de inschrijvingservaring van de apparaatgebruiker en stelt deze in staat om de inschrijving te starten. Zie de volgende bronnen voor informatie over het maken van een profiel voor ondersteunde inschrijvingstypen: