Настройка JIT-регистрации в Microsoft Intune
Применимо к iOS/iPadOS
Настройте JIT-регистрацию в Microsoft Intune, чтобы пользователи устройств могли инициировать и завершить регистрацию устройств из рабочего или учебного приложения. При использовании JIT-регистрации Корпоративный портал Intune не требуется. Вместо этого регистрация JIT использует расширение единого входа (SSO) Apple для выполнения Microsoft Entra регистрации и проверок соответствия требованиям. Проверки регистрации и соответствия требованиям можно полностью интегрировать в указанное приложение Майкрософт или другое приложение, настроенное с помощью расширения приложения единого входа (SSO) Apple. Расширение сокращает количество запросов проверки подлинности во время сеанса пользователя устройства и устанавливает единый вход на всем устройстве.
В этой статье описывается, как включить регистрацию JIT путем создания политики расширения приложения единого входа в Центре администрирования Microsoft Intune.
Предварительные условия
JIT-регистрация поддерживается для следующих типов регистрации:
- Регистрация пользователей Apple: регистрация пользователей на основе учетной записи
- Регистрация устройств Apple: регистрация устройств через Интернет
- Автоматическая регистрация устройств Apple. Для регистраций, использующих помощник по настройке с современной проверкой подлинности в качестве метода проверки подлинности.
Рекомендации по настройке единого входа
Первый вход пользователя после того, как он достигнет начального экрана, должен произойти в рабочем или учебном приложении, настроенном с помощью расширения единого входа. В противном случае Microsoft Entra проверки регистрации и соответствия не удастся выполнить. Рекомендуется указать сотрудникам приложение Microsoft Teams. Приложение интегрировано с новейшими библиотеками удостоверений и обеспечивает максимально удобный интерфейс на начальном экране пользователя.
Расширение единого входа автоматически применяется ко всем приложениям Майкрософт, поэтому, чтобы избежать проблем с проверкой подлинности, не добавляйте идентификаторы пакетов для приложений Майкрософт в политику. Вам нужно только добавить приложения, отличные от Майкрософт.
Не добавляйте идентификатор пакета для приложения Microsoft Authenticator в политику расширения единого входа. Так как это приложение Майкрософт, расширение единого входа будет автоматически работать с ним.
Настройка JIT-регистрации
Create политику расширения приложений для единого входа, которая использует расширение единого входа Apple для включения JIT-регистрации.
Войдите в Центр администрирования Microsoft Intune.
Create политику конфигурации устройств iOS/iPadOS в разделе Расширение приложения "Функции> устройствакатегории>единый вход".
В поле Тип расширения приложения единого входа выберите Microsoft Entra ID.
Добавьте идентификаторы пакетов приложений для приложений сторонних разработчиков с помощью единого входа. Расширение единого входа автоматически применяется ко всем приложениям Майкрософт, поэтому, чтобы избежать проблем с проверкой подлинности, не добавляйте приложения Майкрософт в политику.
Не добавляйте приложение Microsoft Authenticator в расширение единого входа. Это приложение добавляется позже в политику приложения.
Чтобы получить идентификатор пакета приложения, добавленного в Intune, можно использовать центр администрирования Intune.
В разделе Дополнительная конфигурация добавьте требуемую пару "ключ—значение". Удалите конечные пробелы до и после значения и ключа. В противном случае JIT-регистрация не будет работать.
- Ключ: device_registration
- Тип: String
- Значение: {{DEVICEREGISTRATION}}
(Рекомендуется) Добавьте пару "ключ—значение", которая включает единый вход в браузере Safari для всех приложений в политике. Удалите конечные пробелы до и после значения и ключа. В противном случае JIT-регистрация не будет работать.
- Ключ: browser_sso_interaction_enabled
- Тип: Целое число
- Значение : 1
Нажмите кнопку Далее.
Для параметра Назначения назначьте профиль всем пользователям или выберите определенные группы.
Нажмите кнопку Далее.
На странице Просмотр и создание просмотрите выбранные варианты, а затем выберите Create, чтобы завершить создание профиля.
Перейдите в раздел Приложения>Все приложения и назначьте Microsoft Authenticator группам в качестве обязательного приложения. Дополнительные сведения см. в разделах Добавление приложений в Microsoft Intune и Назначение приложений группам.
Дальнейшие действия
Create профиль регистрации для регистрации устройств. Профиль регистрации активирует процесс регистрации пользователя устройства и позволяет ему инициировать регистрацию. Сведения о создании профиля для поддерживаемых типов регистрации см. в следующих ресурсах:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по