共用方式為

在 Microsoft Intune 中設定 Just-In-Time 註冊

  • 發行項

適用於 iOS/iPadOS

Microsoft Intune 中設定 JUST-In-Time (JIT) 註冊,讓裝置用戶能夠從公司或學校應用程式起始和完成裝置註冊。 使用 JIT 註冊時不需要 Intune 公司入口網站。 相反地,JIT 註冊會利用Apple單一登錄 (SSO) 擴充功能來完成 Microsoft Entra 註冊和合規性檢查。 註冊和合規性檢查可以完全整合在使用Apple單一登錄 (SSO) 應用程式延伸模組設定的指定Microsoft或非Microsoft應用程式中。 擴充功能可減少裝置使用者會話期間的驗證提示,並在整個裝置上建立 SSO。

JIT 合規性補救是起始合規性檢查的功能,會在使用 JIT 註冊的裝置上自動啟用,並以合規性政策為目標。 合規性補救會在使用者正在註冊的應用程式內的內嵌流程中進行。 他們可以查看其合規性狀態,並在完成 JIT 註冊時採取可採取動作的步驟來補救問題。 例如,如果裝置不符合規範,公司入口網站 網站會在應用程式中開啟,並顯示不符合規範的原因。

本文說明如何在 Microsoft Intune 系統管理中心建立 SSO 應用程式擴充原則來啟用 JIT 註冊。

必要條件

Microsoft Intune 支援所有 iOS 和 iPadOS 註冊的 JIT 註冊和合規性補救,包括:

  • Apple 用戶註冊:帳戶驅動的用戶註冊和使用 公司入口網站 的用戶註冊
  • Apple 裝置註冊:Web 型裝置註冊和裝置註冊與 公司入口網站
  • Apple 自動化裝置註冊:適用於使用 Setup Assistant 搭配新式驗證作為驗證方法的註冊

若要利用 JIT 合規性補救,您必須將合規性原則指派給裝置。

SSO 設定的最佳做法

  • 用戶在到達主畫面之後的第一次登入,必須發生在使用SSO擴充功能設定的公司或學校應用程式中。 否則,Microsoft Entra 無法完成註冊和合規性檢查。 建議您將員工指向Microsoft Teams 應用程式。 應用程式與最新的身分識別連結庫整合,並從使用者的首頁畫面提供最簡化的體驗。

  • SSO 擴充功能會自動套用至所有Microsoft應用程式,以避免發生驗證問題,請勿將Microsoft應用程式的套件組合標識元新增至您的原則。 您只需要新增非Microsoft應用程式。

  • 請勿將 Microsoft Authenticator 應用程式的套件組合標識碼新增至 SSO 擴充原則。 因為它是Microsoft應用程式,所以 SSO 擴充功能會自動使用它。

設定 JIT 註冊

建立單一登錄應用程式擴充原則,以使用Apple SSO擴充功能來啟用JUST-In-Time (JIT) 註冊。

  1. 登入 Microsoft Intune 系統管理中心

  2. 在 [裝置功能類別單一登錄應用程式擴充功能>>] 下建立 iOS/iPadOS 裝置設定原則。

  3. 針對 [SSO 應用程式延伸模組類型],選取 [Microsoft Entra ID]。

  4. 使用單一登錄 (SSO) ,為任何非Microsoft應用程式新增 應用程式 套件組合標識符。 SSO 擴充功能會自動套用至所有Microsoft應用程式,因此若要避免驗證問題,請勿將Microsoft應用程式新增至您的原則。

    請勿將 Microsoft Authenticator 應用程式新增至 SSO 擴充功能。 稍後會在應用程式原則中新增該應用程式。

    若要取得新增至 Intune 的應用程式套件組合識別碼,您可以使用 Intune 系統管理中心

  5. 在 [ 其他組態] 底下,新增必要的索引鍵/值組。 拿掉值和索引鍵前後的尾端空格。 否則,Just-In-Time 註冊將無法運作。

    • 索引鍵:d evice_registration
    • 類型:字串
    • : {{DEVICEREGISTRATION}}

  6. (建議的) 新增在 Safari 瀏覽器中為原則中的所有應用程式啟用 SSO 的索引鍵/值組。 拿掉值和索引鍵前後的尾端空格。 否則,Just-In-Time 註冊將無法運作。

    • 索引鍵:browser_sso_interaction_enabled
    • 類型:整數
    • :1

  7. 選取 [下一步]

  8. 針對 [指派],將配置檔指派給所有使用者,或選取特定群組。

  9. 選取 [下一步]

  10. 在 [ 檢閱 + 建立] 頁面上,檢閱您的選擇,然後選取 [ 建立 ] 以完成配置檔的建立。

  11. 移至 [應用程式>][所有應用程式] ,並將 Microsoft Authenticator 指派給群組作為必要應用程式。 如需詳細資訊,請參閱將應用程式新增至 Microsoft Intune將應用程式指派給群組

後續步驟

建立註冊裝置的註冊配置檔。 註冊配置檔會觸發裝置用戶的註冊體驗,並可讓他們起始註冊。 如需如何為支持的註冊類型建立配置檔的相關信息,請參閱下列資源: