Skip Navigation
  1. BlackBerry Docs
  2. 12.19
  3. Verwalten von Administratoren, Benutzern und Gruppen
  4. Konfigurieren der Konsolenanmeldeoptionen
  5. Einmalige Anmeldung für BlackBerry UEM einrichten

Einmalige Anmeldung für
BlackBerry UEM
 einrichten

Wenn Sie eine Verbindung zwischen
BlackBerry UEM
 und
Microsoft Active Directory
 herstellen, können Sie die Authentifizierung per einmaliger Anmeldung konfigurieren, damit Administratoren bzw. Benutzer die Webseite für die Anmeldung umgehen und direkt auf die Verwaltungskonsole bzw.
BlackBerry UEM Self-Service
 zugreifen können. Wenn Administratoren oder Benutzer sich bei
Windows
 anmelden, verwendet der Browser ihre Anmeldeinformationen zur automatischen Authentifizierung bei
UEM
.
Windows
-Anmeldeinformationen können
Active Directory
-Anmeldeinformationen oder abgeleitete Anmeldeinformationen (z. B. von CAC-Lesern oder digitalen Tokens) umfassen.
Diese Funktion wird von
UEM Cloud
 nicht unterstützt.
  • Führen Sie die folgenden Schritte aus, um die eingeschränkte Delegierung für das
    Active Directory
    -Konto zu konfigurieren, das von
    UEM
     für die Verzeichnisverbindung verwendet wird:
    1. Fügen Sie dem
      Windows Server
      -Konto mithilfe von
      UEM
       ADSI Edit oder dem Befehlszeilentool „setspn“ die folgenden SPN für
      Active Directory
       hinzu:
      HTTP/
      <host_FQDN_or_pool_name>
       (z. B. HTTP/domäne123.beispiel.com)
      BASPLUGIN111/
      <host_FQDN_or_pool_name>
       (z. B. BASPLUGIN111/domäne123.beispiel.com)
    2. Aktivieren Sie in den
      Microsoft Active Directory
      -Kontoeigenschaften von
      Microsoft Active Directory Users and Computers
       auf der Registerkarte
      Delegierung
       die Option
      Benutzer nur bei Delegierungen angegebener Dienste vertrauen
       und
      Nur Kerberos verwenden
      .
    3. Fügen Sie zur Liste der Dienste die SPN hinzu.
  • Wenn Sie die einmalige Anmeldung für mehrere
    Active Directory
    -Verbindungen aktivieren, stellen Sie sicher, dass es keine Vertrauensbeziehungen zwischen den
    Active Directory
    -Gesamtstrukturen gibt.
  1. Klicken Sie in der Menüleiste der
    UEM
    -Verwaltungskonsole auf
    Einstellungen > Externe Integration > Unternehmensverzeichnis
    .
  2. Klicken Sie im Abschnitt
    Konfigurierte Verzeichnisverbindungen
     auf eine
    Active Directory
    -Verbindung.
  3. Markieren Sie auf der Registerkarte
    Authentifizierung
     das Kontrollkästchen
    Windows Single Sign-On aktivieren
    .
  4. Klicken Sie auf
    Speichern
    .
  5. Klicken Sie erneut auf
    Speichern
    .
  6. Klicken Sie auf
    Schließen
    .
  • Starten Sie die
    UEM
    -Dienste auf jedem Computer, der eine
    UEM
    -Instanz hostet, neu.
  • Weisen Sie Administratoren und Benutzer an, die folgenden URLs zu verwenden:
    • Verwaltungskonsole: https://
      <host_FQDN_or_pool_name>
      :
      <port>
      /admin
    • UEM Self-Service
      : https://
      <host_FQDN_or_pool_name>
      :
      <port>
      /mydevice
    Die Authentifizierung per einmaliger Anmeldung hat Vorrang vor anderen Authentifizierungsmethoden. Wenn die Sicherheitsstandards Ihres Unternehmens erfordern, dass Administratoren oder Benutzer eine andere Authentifizierungsmethode verwenden, kann die Single Sign-On-Methode umgangen werden, indem Sie an das Ende der oben genannten URLs „?sso=n“ anhängen.
  • Weisen Sie Administratoren und
    UEM Self-Service
    -Benutzer an, ihre Browser für die einmalige Anmeldung an
    UEM
     zu konfigurieren:
    • Microsoft Edge
      : Die URLs von Verwaltungskonsole und
      UEM Self-Service
       müssen der lokalen Intranetzone zugewiesen sein. Aktivieren Sie die integrierte
      Windows
      -Authentifizierung.
    • Mozilla Firefox
      : Fügen Sie in der Liste „about:config“ „https://,
      <host_FQDN_or_pool_name>
      “ zur Einstellung „network.negotiate-auth.trusted-uris“ hinzu.
    • Google Chrome
      : Die URLs von Verwaltungskonsole und
      UEM Self-Service
       müssen der lokalen Intranetzone zugewiesen sein.