Einmalige Anmeldung für BlackBerry UEM einrichten
BlackBerry UEM
einrichtenWenn Sie eine Verbindung zwischen
BlackBerry UEM
und Microsoft Active
Directory
herstellen, können Sie die Authentifizierung per einmaliger Anmeldung konfigurieren, damit Administratoren bzw. Benutzer die Webseite für die Anmeldung umgehen und direkt auf die Verwaltungskonsole bzw. BlackBerry UEM Self-Service
zugreifen können. Wenn Administratoren oder Benutzer sich bei Windows
anmelden, verwendet der Browser ihre Anmeldeinformationen zur automatischen Authentifizierung bei UEM
. Windows
-Anmeldeinformationen können Active
Directory
-Anmeldeinformationen oder abgeleitete Anmeldeinformationen (z. B. von CAC-Lesern oder digitalen Tokens) umfassen.Diese Funktion wird von
UEM Cloud
nicht unterstützt.- Führen Sie die folgenden Schritte aus, um die eingeschränkte Delegierung für dasActive Directory-Konto zu konfigurieren, das vonUEMfür die Verzeichnisverbindung verwendet wird:
- Fügen Sie demWindows Server-Konto mithilfe vonUEMADSI Edit oder dem Befehlszeilentool „setspn“ die folgenden SPN fürActive Directoryhinzu:HTTP/<host_FQDN_or_pool_name>(z. B. HTTP/domäne123.beispiel.com)BASPLUGIN111/<host_FQDN_or_pool_name>(z. B. BASPLUGIN111/domäne123.beispiel.com)
- Aktivieren Sie in denMicrosoft Active Directory-Kontoeigenschaften vonMicrosoft Active Directory Users and Computersauf der RegisterkarteDelegierungdie OptionBenutzer nur bei Delegierungen angegebener Dienste vertrauenundNur Kerberos verwenden.
- Fügen Sie zur Liste der Dienste die SPN hinzu.
- Wenn Sie die einmalige Anmeldung für mehrereActive Directory-Verbindungen aktivieren, stellen Sie sicher, dass es keine Vertrauensbeziehungen zwischen denActive Directory-Gesamtstrukturen gibt.
- Klicken Sie in der Menüleiste derUEM-Verwaltungskonsole aufEinstellungen > Externe Integration > Unternehmensverzeichnis.
- Klicken Sie im AbschnittKonfigurierte Verzeichnisverbindungenauf eineActive Directory-Verbindung.
- Markieren Sie auf der RegisterkarteAuthentifizierungdas KontrollkästchenWindows Single Sign-On aktivieren.
- Klicken Sie aufSpeichern.
- Klicken Sie erneut aufSpeichern.
- Klicken Sie aufSchließen.
- Starten Sie dieUEM-Dienste auf jedem Computer, der eineUEM-Instanz hostet, neu.
- Weisen Sie Administratoren und Benutzer an, die folgenden URLs zu verwenden:
- Verwaltungskonsole: https://<host_FQDN_or_pool_name>:<port>/admin
- UEM Self-Service: https://<host_FQDN_or_pool_name>:<port>/mydevice
Die Authentifizierung per einmaliger Anmeldung hat Vorrang vor anderen Authentifizierungsmethoden. Wenn die Sicherheitsstandards Ihres Unternehmens erfordern, dass Administratoren oder Benutzer eine andere Authentifizierungsmethode verwenden, kann die Single Sign-On-Methode umgangen werden, indem Sie an das Ende der oben genannten URLs „?sso=n“ anhängen. - Weisen Sie Administratoren undUEM Self-Service-Benutzer an, ihre Browser für die einmalige Anmeldung anUEMzu konfigurieren:
- Microsoft Edge: Die URLs von Verwaltungskonsole undUEM Self-Servicemüssen der lokalen Intranetzone zugewiesen sein. Aktivieren Sie die integrierteWindows-Authentifizierung.
- Mozilla Firefox: Fügen Sie in der Liste „about:config“ „https://,<host_FQDN_or_pool_name>“ zur Einstellung „network.negotiate-auth.trusted-uris“ hinzu.
- Google Chrome: Die URLs von Verwaltungskonsole undUEM Self-Servicemüssen der lokalen Intranetzone zugewiesen sein.