Einrichten der Just-In-Time-Registrierung in Microsoft Intune
Gilt für iOS/iPadOS
Richten Sie die Just-In-Time-Registrierung (JIT) in Microsoft Intune ein, damit Gerätebenutzer die Geräteregistrierung über eine Geschäfts-, Schul- oder Uni-App initiieren und abschließen können. Die Intune-Unternehmensportal ist bei Verwendung der JIT-Registrierung nicht erforderlich. Stattdessen verwendet die JIT-Registrierung die Apple-Erweiterung für einmaliges Anmelden (Single Sign-On, SSO), um Microsoft Entra Registrierungs- und Konformitätsprüfungen abzuschließen. Registrierungs- und Konformitätsprüfungen können vollständig in eine bestimmte Microsoft- oder Nicht-Microsoft-App integriert werden, die mit der Apple-App-Erweiterung für einmaliges Anmelden (Single Sign-On, SSO) konfiguriert ist. Die Erweiterung reduziert die Authentifizierungsaufforderungen während der Sitzung des Gerätebenutzers und richtet einmaliges Anmelden für das gesamte Gerät ein.
Die JIT-Compliance-Korrektur, das Feature, das Konformitätsprüfungen initiiert, wird automatisch auf Geräten aktiviert, die DIE JIT-Registrierung verwenden und auf Die Compliancerichtlinien ausgerichtet sind. Die Compliancekorrektur erfolgt in einem eingebetteten Flow innerhalb der App, die Benutzer registrieren. Sie können ihre Compliance-status sehen und umsetzbare Schritte unternehmen, um die Probleme zu beheben, während sie die JIT-Registrierung abschließen. Wenn ihr Gerät beispielsweise nicht konform ist, wird die Unternehmensportal Website in der App geöffnet und zeigt den Grund für die Nichtkonformität an.
In diesem Artikel wird beschrieben, wie Sie die JIT-Registrierung aktivieren, indem Sie eine SSO-App-Erweiterungsrichtlinie im Microsoft Intune Admin Center erstellen.
Voraussetzungen
Microsoft Intune unterstützt JIT-Registrierung und Compliance-Korrektur für alle iOS- und iPadOS-Registrierungen, einschließlich:
- Apple-Benutzerregistrierung: Kontogesteuerte Benutzerregistrierung und Benutzerregistrierung mit Unternehmensportal
- Apple-Geräteregistrierung: Webbasierte Geräteregistrierung und Geräteregistrierung mit Unternehmensportal
- Automatisierte Apple-Geräteregistrierung: Für Registrierungen, die den Setup-Assistenten mit moderner Authentifizierung als Authentifizierungsmethode verwenden
Um die JIT-Compliancewartung nutzen zu können, müssen Sie Geräten Konformitätsrichtlinien zuweisen.
Bewährte Methoden für die SSO-Konfiguration
Die erste Anmeldung des Benutzers, nachdem er den Startbildschirm erreicht hat, muss in einer Geschäfts-, Schul- oder Uni-App erfolgen, die mit der SSO-Erweiterung konfiguriert ist. Andernfalls können Microsoft Entra Registrierungs- und Konformitätsprüfungen nicht abgeschlossen werden. Es wird empfohlen, Mitarbeiter auf die Microsoft Teams-App zu verweisen. Die App ist in die neuesten Identitätsbibliotheken integriert und bietet die optimiertste Benutzeroberfläche auf dem Startbildschirm des Benutzers.
Die SSO-Erweiterung gilt automatisch für alle Microsoft-Apps. Um Authentifizierungsprobleme zu vermeiden, fügen Sie die Bündel-IDs für Ihre Microsoft-Apps ihrer Richtlinie nicht hinzu. Sie müssen nur Nicht-Microsoft-Apps hinzufügen.
Fügen Sie die Bündel-ID für die Microsoft Authenticator-App nicht zu Ihrer SSO-Erweiterungsrichtlinie hinzu. Da es sich um eine Microsoft-App handelt, funktioniert die SSO-Erweiterung automatisch mit ihr.
Einrichten der JIT-Registrierung
Erstellen Sie eine App-Erweiterungsrichtlinie für einmaliges Anmelden, die die Apple SSO-Erweiterung verwendet, um die Just-In-Time-Registrierung (JIT) zu aktivieren.
Melden Sie sich beim Microsoft Intune Admin Center an.
Erstellen Sie unter Gerätefeatures>Kategorie>App-Erweiterung für einmaliges Anmeldeneine iOS-/iPadOS-Gerätekonfigurationsrichtlinie.
Wählen Sie für SSO-App-Erweiterungstypdie Option Microsoft Entra ID aus.
Fügen Sie die App-Bündel-IDs für alle Nicht-Microsoft-Apps mithilfe des einmaligen Anmeldens (Single Sign-On, SSO) hinzu. Die SSO-Erweiterung gilt automatisch für alle Microsoft-Apps. Um Authentifizierungsprobleme zu vermeiden, fügen Sie Ihrer Richtlinie daher keine Microsoft-Apps hinzu.
Fügen Sie die Microsoft Authenticator-App auch nicht zur SSO-Erweiterung hinzu. Diese App wird später in einer App-Richtlinie hinzugefügt.
Um die Bündel-ID einer App abzurufen, die Intune hinzugefügt wurde, können Sie das Intune Admin Center verwenden.
Fügen Sie unter Zusätzliche Konfiguration das erforderliche Schlüssel-Wert-Paar hinzu. Entfernen Sie nachfolgende Leerzeichen vor und nach dem Wert und schlüssel. Andernfalls funktioniert die Just-In-Time-Registrierung nicht.
- Schlüssel: device_registration
- Typ: Zeichenfolge
- Wert: {{DEVICEREGISTRATION}}
(Empfohlen) Fügen Sie das Schlüssel-Wert-Paar hinzu, das einmaliges Anmelden im Safari-Browser für alle Apps in der Richtlinie aktiviert. Entfernen Sie nachfolgende Leerzeichen vor und nach dem Wert und schlüssel. Andernfalls funktioniert die Just-In-Time-Registrierung nicht.
- Schlüssel: browser_sso_interaction_enabled
- Typ: Integer
- Wert: 1
Wählen Sie Weiter aus.
Weisen Sie für Zuweisungen das Profil allen Benutzern zu, oder wählen Sie bestimmte Gruppen aus.
Wählen Sie Weiter aus.
Überprüfen Sie auf der Seite Überprüfen + erstellen Ihre Auswahl, und wählen Sie dann Erstellen aus, um die Erstellung des Profils abzuschließen.
Wechseln Sie zu Apps>Alle Apps , und weisen Sie Microsoft Authenticator Gruppen als erforderliche App zu. Weitere Informationen finden Sie unter Hinzufügen von Apps zu Microsoft Intune und Zuweisen von Apps zu Gruppen.
Nächste Schritte
Erstellen Sie ein Registrierungsprofil für die Registrierung von Geräten. Das Registrierungsprofil löst die Registrierung des Gerätebenutzers aus und ermöglicht es dem Benutzer, die Registrierung zu initiieren. Informationen zum Erstellen eines Profils für unterstützte Registrierungstypen finden Sie in den folgenden Ressourcen: