Configurer l’inscription juste-à-temps dans Microsoft Intune
S’applique à iOS/iPadOS
Configurez l’inscription juste-à-temps (JIT) dans Microsoft Intune pour permettre aux utilisateurs d’appareils de lancer et d’effectuer l’inscription des appareils à partir d’une application professionnelle ou scolaire. Le Portail d'entreprise Intune n’est pas requis lors de l’utilisation de l’inscription JIT. Au lieu de cela, l’inscription JIT utilise l’extension de l’authentification unique (SSO) Apple pour effectuer Microsoft Entra vérifications d’inscription et de conformité. Les vérifications d’inscription et de conformité peuvent être entièrement intégrées dans une application Microsoft désignée ou non Microsoft configurée avec l’extension d’application d’authentification unique (SSO) Apple. L’extension réduit les invites d’authentification pendant la session de l’utilisateur de l’appareil et établit l’authentification unique sur l’ensemble de l’appareil.
La correction de la conformité JIT, la fonctionnalité qui lance les vérifications de conformité, est activée automatiquement sur les appareils utilisant l’inscription JIT et ciblée par des stratégies de conformité. La correction de la conformité se produit dans un flux incorporé au sein de l’application que les utilisateurs inscrivent. Ils peuvent voir leurs status de conformité et prendre des mesures actionnables pour corriger les problèmes à mesure qu’ils terminent l’inscription JIT. Si leur appareil n’est pas conforme, par exemple, le site web Portail d'entreprise s’ouvre dans l’application et leur indique la raison de la non-conformité.
Cet article explique comment activer l’inscription JIT en créant une stratégie d’extension d’application SSO dans le centre d’administration Microsoft Intune.
Configuration requise
Microsoft Intune prend en charge l’inscription JIT et la correction de conformité pour toutes les inscriptions iOS et iPadOS, notamment :
- Inscription des utilisateurs Apple : inscription utilisateur basée sur un compte et inscription d’utilisateur avec Portail d'entreprise
- Inscription d’appareils Apple : inscription d’appareils web et inscription d’appareils avec Portail d'entreprise
- Inscription automatisée des appareils Apple : pour les inscriptions qui utilisent l’Assistant Configuration avec l’authentification moderne comme méthode d’authentification
Pour tirer parti de la correction de conformité JIT, vous devez attribuer des stratégies de conformité aux appareils.
Bonnes pratiques pour la configuration de l’authentification unique
La première connexion de l’utilisateur après avoir atteint l’écran d’accueil doit se produire dans une application professionnelle ou scolaire configurée avec l’extension SSO. Sinon, Microsoft Entra vérifications d’inscription et de conformité ne peuvent pas être effectuées. Nous vous recommandons de diriger les employés vers l’application Microsoft Teams. L’application est intégrée aux bibliothèques d’identités les plus récentes et offre l’expérience la plus rationalisée à partir de l’écran d’accueil de l’utilisateur.
L’extension SSO s’applique automatiquement à toutes les applications Microsoft. Par conséquent, pour éviter les problèmes d’authentification, n’ajoutez pas les ID de bundle pour vos applications Microsoft à votre stratégie. Vous devez uniquement ajouter des applications non-Microsoft.
N’ajoutez pas l’ID de bundle pour l’application Microsoft Authenticator à votre stratégie d’extension SSO. Étant donné qu’il s’agit d’une application Microsoft, l’extension SSO fonctionne automatiquement avec elle.
Configurer l’inscription JIT
Créez une stratégie d’extension d’application d’authentification unique qui utilise l’extension Apple SSO pour activer l’inscription juste-à-temps (JIT).
Connectez-vous au Centre d’administration Microsoft Intune.
Créez une stratégie de configuration d’appareil iOS/iPadOS sous Fonctionnalités de l’appareil>Catégorie Extension>d’application d’authentification unique.
Pour le type d’extension d’application SSO, sélectionnez Microsoft Entra ID.
Ajoutez les ID de bundle d’applications pour toutes les applications non-Microsoft à l’aide de l’authentification unique (SSO). L’extension SSO s’applique automatiquement à toutes les applications Microsoft. Par conséquent, pour éviter les problèmes d’authentification, n’ajoutez pas d’applications Microsoft à votre stratégie.
N’ajoutez pas non plus l’application Microsoft Authenticator à l’extension SSO. Cette application est ajoutée ultérieurement dans une stratégie d’application.
Pour obtenir l’ID de bundle d’une application ajouté à Intune, vous pouvez utiliser le centre d’administration Intune.
Sous Configuration supplémentaire, ajoutez la paire clé-valeur requise. Supprimez les espaces de fin avant et après la valeur et la clé. Sinon, l’inscription juste-à-temps ne fonctionnera pas.
- Clé : device_registration
- Type : Chaîne
- Valeur : {{DEVICEREGISTRATION}}
(Recommandé) Ajoutez la paire clé-valeur qui active l’authentification unique dans le navigateur Safari pour toutes les applications de la stratégie. Supprimez les espaces de fin avant et après la valeur et la clé. Sinon, l’inscription juste-à-temps ne fonctionnera pas.
- Clé : browser_sso_interaction_enabled
- Type : Entier
- Valeur : 1
Sélectionnez Suivant.
Pour Affectations, attribuez le profil à tous les utilisateurs ou sélectionnez des groupes spécifiques.
Sélectionnez Suivant.
Dans la page Vérifier + créer , passez en revue vos choix, puis sélectionnez Créer pour terminer la création du profil.
Accédez à Applications>Toutes les applications et affectez Microsoft Authenticator à des groupes en tant qu’application requise. Pour plus d’informations, consultez Ajouter des applications à Microsoft Intune et Affecter des applications à des groupes.
Étapes suivantes
Créez un profil d’inscription pour l’inscription des appareils. Le profil d’inscription déclenche l’expérience d’inscription de l’utilisateur de l’appareil et lui permet de lancer l’inscription. Pour plus d’informations sur la création d’un profil pour les types d’inscription pris en charge, consultez les ressources suivantes :