Skip Navigation

Einmalige Anmeldung für
BlackBerry UEM
einrichten

Wenn Sie eine Verbindung zwischen
BlackBerry UEM
und
Microsoft Active Directory
herstellen, können Sie die Authentifizierung per einmaliger Anmeldung konfigurieren, damit Administratoren bzw. Benutzer die Webseite für die Anmeldung umgehen und direkt auf die Verwaltungskonsole bzw.
BlackBerry UEM Self-Service
zugreifen können. Wenn Administratoren oder Benutzer sich bei
Windows
anmelden, verwendet der Browser ihre Anmeldeinformationen zur automatischen Authentifizierung bei
UEM
.
Windows
-Anmeldeinformationen können
Active Directory
-Anmeldeinformationen oder abgeleitete Anmeldeinformationen (z. B. von CAC-Lesern oder digitalen Tokens) umfassen.
Diese Funktion wird von
UEM Cloud
nicht unterstützt.
  • Führen Sie die folgenden Schritte aus, um die eingeschränkte Delegierung für das
    Active Directory
    -Konto zu konfigurieren, das von
    UEM
    für die Verzeichnisverbindung verwendet wird:
    1. Fügen Sie dem
      Windows Server
      -Konto mithilfe von
      UEM
      ADSI Edit oder dem Befehlszeilentool „setspn“ die folgenden SPN für
      Active Directory
      hinzu:
      HTTP/
      <host_FQDN_or_pool_name>
      (z. B. HTTP/domäne123.beispiel.com)
      BASPLUGIN111/
      <host_FQDN_or_pool_name>
      (z. B. BASPLUGIN111/domäne123.beispiel.com)
    2. Aktivieren Sie in den
      Microsoft Active Directory
      -Kontoeigenschaften von
      Microsoft Active Directory Users and Computers
      auf der Registerkarte
      Delegierung
      die Option
      Benutzer nur bei Delegierungen angegebener Dienste vertrauen
      und
      Nur Kerberos verwenden
      .
    3. Fügen Sie zur Liste der Dienste die SPN hinzu.
  • Wenn Sie die einmalige Anmeldung für mehrere
    Active Directory
    -Verbindungen aktivieren, stellen Sie sicher, dass es keine Vertrauensbeziehungen zwischen den
    Active Directory
    -Gesamtstrukturen gibt.
  1. Klicken Sie in der Menüleiste der
    UEM
    -Verwaltungskonsole auf
    Einstellungen > Externe Integration > Unternehmensverzeichnis
    .
  2. Klicken Sie im Abschnitt
    Konfigurierte Verzeichnisverbindungen
    auf eine
    Active Directory
    -Verbindung.
  3. Markieren Sie auf der Registerkarte
    Authentifizierung
    das Kontrollkästchen
    Windows Single Sign-On aktivieren
    .
  4. Klicken Sie auf
    Speichern
    .
  5. Klicken Sie erneut auf
    Speichern
    .
  6. Klicken Sie auf
    Schließen
    .
  • Starten Sie die
    UEM
    -Dienste auf jedem Computer, der eine
    UEM
    -Instanz hostet, neu.
  • Weisen Sie Administratoren und Benutzer an, die folgenden URLs zu verwenden:
    • Verwaltungskonsole: https://
      <host_FQDN_or_pool_name>
      :
      <port>
      /admin
    • UEM Self-Service
      : https://
      <host_FQDN_or_pool_name>
      :
      <port>
      /mydevice
    Die Authentifizierung per einmaliger Anmeldung hat Vorrang vor anderen Authentifizierungsmethoden. Wenn die Sicherheitsstandards Ihres Unternehmens erfordern, dass Administratoren oder Benutzer eine andere Authentifizierungsmethode verwenden, kann die Single Sign-On-Methode umgangen werden, indem Sie an das Ende der oben genannten URLs „?sso=n“ anhängen.
  • Weisen Sie Administratoren und
    UEM Self-Service
    -Benutzer an, ihre Browser für die einmalige Anmeldung an
    UEM
    zu konfigurieren:
    • Microsoft Edge
      : Die URLs von Verwaltungskonsole und
      UEM Self-Service
      müssen der lokalen Intranetzone zugewiesen sein. Aktivieren Sie die integrierte
      Windows
      -Authentifizierung.
    • Mozilla Firefox
      : Fügen Sie in der Liste „about:config“ „https://,
      <host_FQDN_or_pool_name>
      “ zur Einstellung „network.negotiate-auth.trusted-uris“ hinzu.
    • Google Chrome
      : Die URLs von Verwaltungskonsole und
      UEM Self-Service
      müssen der lokalen Intranetzone zugewiesen sein.