Microsoft Intune で Just-In-Time 登録を設定する

iOS/iPadOS に適用されます

Microsoft Intune で Just-In-Time (JIT) 登録 を設定して、デバイス ユーザーが職場または学校アプリからデバイス登録を開始して完了できるようにします。 JIT 登録を使用する場合、Intune ポータル サイトは必要ありません。 代わりに、JIT 登録では、Apple シングル サインオン (SSO) 拡張機能を使用して、Microsoft Entra の登録とコンプライアンスチェックを完了します。 登録とコンプライアンスのチェックは、Apple シングル サインオン (SSO) アプリ拡張機能で構成されている指定された Microsoft または Microsoft 以外のアプリに完全に統合できます。 この拡張機能は、デバイス ユーザーのセッション中の認証プロンプトを減らし、デバイス全体で SSO を確立します。

コンプライアンス チェックを開始する機能である JIT コンプライアンス修復は、JIT 登録を利用し、コンプライアンス ポリシーを対象とするデバイスで自動的に有効になります。 コンプライアンスの修復は、ユーザーが登録しているアプリ内の埋め込みフローで発生します。 コンプライアンスの状態を確認し、JIT 登録を完了すると問題を修復するための実行可能な手順を実行できます。 たとえば、デバイスが準拠していない場合は、ポータル サイト Web サイトがアプリで開き、準拠していない理由が表示されます。

この記事では、Microsoft Intune 管理センターで SSO アプリ拡張機能ポリシーを作成して JIT 登録を有効にする方法について説明します。

前提条件

Microsoft Intune では、次を含むすべての iOS および iPadOS 登録に対して JIT 登録とコンプライアンスの修復がサポートされています。

  • Apple ユーザー登録: アカウント駆動型のユーザー登録とポータル サイトでのユーザー登録
  • Apple デバイス登録: ポータル サイトでの Web ベースのデバイス登録とデバイスの登録
  • Apple 自動デバイス登録: 認証方法として先進認証でセットアップ アシスタントを使用する登録の場合

JIT コンプライアンス修復を利用するには、コンプライアンス ポリシーをデバイスに割り当てる必要があります。

SSO 構成のベスト プラクティス

  • ユーザーがホーム画面に到達した後の最初のサインインは、SSO 拡張機能で構成された職場または学校アプリで行う必要があります。 そうしないと、Microsoft Entra の登録とコンプライアンスチェックを完了できません。 従業員を Microsoft Teams アプリにポイントすることをお勧めします。 アプリは最新の ID ライブラリと統合されており、ユーザーのホーム画面から最も合理化されたエクスペリエンスを提供します。

  • SSO 拡張機能はすべての Microsoft アプリに自動的に適用されるため、認証の問題を回避するために、Microsoft アプリのバンドル ID をポリシーに追加しないでください。 Microsoft 以外のアプリのみを追加する必要があります。

  • Microsoft Authenticator アプリのバンドル ID を SSO 拡張機能ポリシーに追加しないでください。 これは Microsoft アプリであるため、SSO 拡張機能は自動的に動作します。

JIT 登録を設定する

Apple SSO 拡張機能を使用して Just-In-Time (JIT) 登録を有効にするシングル サインオン アプリ拡張機能ポリシーを作成します。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス機能>Category>Single サインオン アプリ拡張機能] で、iOS/iPadOS デバイス構成ポリシーを作成します。

  3. [SSO アプリ拡張機能の種類] で、[Microsoft Entra ID] を選択します。

  4. シングル サインオン (SSO) を使用して、Microsoft 以外のアプリのアプリ バンドル ID を追加します。 SSO 拡張機能はすべての Microsoft アプリに自動的に適用されるため、認証の問題を回避するために、ポリシーに Microsoft アプリを追加しないでください。

    SSO 拡張機能にも Microsoft Authenticator アプリを追加しないでください。 そのアプリは、後でアプリ ポリシーに追加されます。

    Intune に追加されたアプリのバンドル ID を取得するには、 Intune 管理センターを使用します

  5. [ 追加の構成] で、必要なキーと値のペアを追加します。 値とキーの前後にある末尾のスペースを削除します。 そうしないと、Just-In-Time 登録は機能しません。

    • キー: device_registration
    • : 文字列
    • : {{DEVICEREGISTRATION}}
  6. (推奨)ポリシー内のすべてのアプリに対して Safari ブラウザーで SSO を有効にするキーと値のペアを追加します。 値とキーの前後にある末尾のスペースを削除します。 そうしないと、Just-In-Time 登録は機能しません。

    • キー: browser_sso_interaction_enabled
    • : 整数
    • : 1
  7. [次へ] を選択します。

  8. [ 割り当て] で、プロファイルをすべてのユーザーに割り当てるか、特定のグループを選択します。

  9. [次へ] を選択します。

  10. [ 確認と作成 ] ページで、選択内容を確認し、[ 作成 ] を選択してプロファイルの作成を完了します。

  11. [アプリ>すべてのアプリに移動し、Microsoft Authenticator を必要なアプリとしてグループに割り当てます。 詳細については、「 Microsoft Intune にアプリを追加する 」および「 アプリをグループに割り当てる」を参照してください。

次の手順

デバイスを登録するための登録プロファイルを作成します。 登録プロファイルは、デバイス ユーザーの登録エクスペリエンスをトリガーし、登録を開始できるようにします。 サポートされている登録の種類のプロファイルを作成する方法については、次のリソースを参照してください。