Configuración de registro único de BlackBerry UEM
BlackBerry UEM
Si conecta
BlackBerry UEM
a Microsoft Active
Directory
, puede configurar la autenticación de registro único para permitir a los administradores o a los usuarios omitir la página de inicio de sesión y acceder directamente a la consola de administración o a BlackBerry UEM Self-Service
. Cuando los administradores o los usuarios inician sesión en Windows
, el navegador utiliza sus credenciales para autenticarlas con UEM
automáticamente. La información de inicio de sesión de Windows
puede incluir los credenciales de Active
Directory
o los credenciales derivados (por ejemplo, de lectores CAC o tokens digitales).UEM Cloud
no es compatible con esta función.- Para configurar la delegación restringida para la cuenta deActive DirectoryqueUEMutiliza para la conexión de directorio, haga lo siguiente:
- Utilice la herramienta Editor ADSI deWindows Servero la herramienta de línea de comandos para agregar los siguientes SPN deUEMa la cuenta deActive Directory:HTTP/<host_FQDN_or_pool_name>(por ejemplo, HTTP/domain123.example.com)BASPLUGIN111/<host_FQDN_or_pool_name>(por ejemplo, BASPLUGIN111/domain123.example.com)
- EnMicrosoft Active Directory Users and Computers, en las propiedades de la cuenta deMicrosoft Active Directory, en la pestañaDelegación, activeConfiar en este usuario para la delegación solo a los servicios especificadosyUtilizar solo Kerberos.
- Añada los SPN a la lista de servicios.
- Si activa el registro único para varias conexiones deActive Directory, verifique que no haya relaciones de confianza entre los bosques deActive Directory.
- En la barra de menús de la consola de administración deUEM, haga clic enConfiguración > Integración externa > Directorio de empresa.
- En la secciónConexiones de directorio configuradas, haga clic en una conexión deActive Directory.
- En la pestañaAutenticación, seleccione la casilla de verificaciónActivar registro único de Windows.
- Haga clic enGuardar.
- Vuelva a hacer clic enGuardar.
- Haga clic enCerrar.
- Reinicie los servicios deUEMen cada equipo que aloje una instancia deUEM.
- Indique a los administradores y usuarios que utilicen las siguientes URL:
- Consola de administración: https://<host_FQDN_or_pool_name>:<port>/admin/index.jsp?tenant=<tenant_ID>&redirect=no
- UEM Self-Service: https://<host_FQDN_or_pool_name>:<port>/mydevice/index.jsp?tenant=<tenant_ID>&redirect=no
Si integra UEM en Entra ID, las URL de las consolas deUEMcambian a lo siguiente ("&redirect=no" se elimina del final de la URL):- Consola de administración: https://<server_name>:<port>/admin/index.jsp?tenant=<tenant_ID>
- Consola de autoservicio: https://<server_name>:<port>/mydevice/index.jsp?tenant=<tenant_ID>
La autenticación de registro único tiene prioridad sobre otros métodos de autenticación. Si los estándares de seguridad de su organización requieren que los administradores o usuarios utilicen otro método de autenticación, el método de registro único se puede eludir añadiendo ?sso=n al final de las URL anteriores. - Indique a los administradores y a los usuarios deUEM Self-Serviceque configuren los navegadores para que admitan el registro único deUEM:
- Microsoft Edge: la consola de administración y las direcciones URL deUEM Self-Servicedeben estar asignadas a la zona de intranet local. Active la autenticación integrada deWindows.
- Mozilla Firefox: en la lista about:config, https://,<host_FQDN_or_pool_name>se añade a la preferencia "network.negotiate-auth.trusted-uris".
- Google Chrome: la consola de administración y las direcciones URL deUEM Self-Servicedeben estar asignadas a la zona de intranet local.