Konfigurieren der eingeschränkten Delegierung für das Microsoft Active
Directory-Konto zur Unterstützung der einmaligen Anmeldung
Microsoft Active
Directory
-Konto zur Unterstützung der einmaligen AnmeldungDamit die einmalige Anmeldung für
BlackBerry UEM
unterstützt wird, müssen Sie die eingeschränkte Delegierung für das Microsoft Active
Directory
-Konto konfigurieren, das von BlackBerry UEM
für die Verzeichnisverbindung verwendet wird. Die eingeschränkte Delegierung ermöglicht eine Authentifizierung von Administratoren oder Benutzern bei BlackBerry UEM
über den Browser, wenn diese auf die Verwaltungskonsole oder BlackBerry UEM Self-Service
zugreifen.- Fügen Sie demWindows Server-Konto mithilfe vonBlackBerry UEMADSI Edit oder dem Befehlszeilentool „setspn“ die folgenden SPN fürMicrosoft Active Directoryhinzu:
- HTTP/<Host-FQDN oder Pool-Name>(zum Beispiel HTTP/domäne123.beispiel.com)
- BASPLUGIN111/<Host-FQDN oder Pool-Name>(z. B. BASPLUGIN111/domäne123.beispiel.com)
Wenn Sie hohe Verfügbarkeit für die Verwaltungskonsolen in einerBlackBerry UEM-Domäne konfiguriert haben, geben Sie den Poolnamen ein. Geben Sie andernfalls den FQDN des Computers an, der die Verwaltungskonsole hostet.Stellen Sie sicher, dass keine anderen Konten in derMicrosoft Active Directory-Gesamtstruktur die gleichen SPNs haben. - Öffnen SieMicrosoft Active Directory Users and Computers.
- Wählen Sie für dieMicrosoft Active Directory-Kontoeigenschaften auf der RegisterkarteDelegierungdie folgenden Optionen aus:
- Benutzer bei Delegierungen angegebener Dienste vertrauen
- NurKerberosverwenden
- Fügen Sie der Liste der Dienste die SPN aus Schritt 1 hinzu.