Omitir navegación

Configuración de registro único de
BlackBerry UEM

Si conecta
BlackBerry UEM
a
Microsoft Active Directory
, puede configurar la autenticación de registro único para permitir a los administradores o a los usuarios omitir la página de inicio de sesión y acceder directamente a la consola de administración o a
BlackBerry UEM Self-Service
. Cuando los administradores o los usuarios inician sesión en
Windows
, el navegador utiliza sus credenciales para autenticarlas con
UEM
automáticamente. La información de inicio de sesión de
Windows
puede incluir los credenciales de
Active Directory
o los credenciales derivados (por ejemplo, de lectores CAC o tokens digitales).
UEM Cloud
no es compatible con esta función.
  • Para configurar la delegación restringida para la cuenta de
    Active Directory
    que
    UEM
    utiliza para la conexión de directorio, haga lo siguiente:
    1. Utilice la herramienta Editor ADSI de
      Windows Server
      o la herramienta de línea de comandos para agregar los siguientes SPN de
      UEM
      a la cuenta de
      Active Directory
      :
      HTTP/
      <host_FQDN_or_pool_name>
      (por ejemplo, HTTP/domain123.example.com)
      BASPLUGIN111/
      <host_FQDN_or_pool_name>
      (por ejemplo, BASPLUGIN111/domain123.example.com)
    2. En
      Microsoft Active Directory Users and Computers
      , en las propiedades de la cuenta de
      Microsoft Active Directory
      , en la pestaña
      Delegación
      , active
      Confiar en este usuario para la delegación solo a los servicios especificados
      y
      Utilizar solo Kerberos
      .
    3. Añada los SPN a la lista de servicios.
  • Si activa el registro único para varias conexiones de
    Active Directory
    , verifique que no haya relaciones de confianza entre los bosques de
    Active Directory
    .
  1. En la barra de menús de la consola de administración de
    UEM
    , haga clic en
    Configuración > Integración externa > Directorio de empresa
    .
  2. En la sección
    Conexiones de directorio configuradas
    , haga clic en una conexión de
    Active Directory
    .
  3. En la pestaña
    Autenticación
    , seleccione la casilla de verificación
    Activar registro único de Windows
    .
  4. Haga clic en
    Guardar
    .
  5. Vuelva a hacer clic en
    Guardar
    .
  6. Haga clic en
    Cerrar
    .
  • Reinicie los servicios de
    UEM
    en cada equipo que aloje una instancia de
    UEM
    .
  • Indique a los administradores y usuarios que utilicen las siguientes URL:
    • Consola de administración: https://
      <host_FQDN_or_pool_name>
      :
      <port>
      /admin/index.jsp?tenant=
      <tenant_ID>
      &redirect=no
    • UEM Self-Service
      : https://
      <host_FQDN_or_pool_name>
      :
      <port>
      /mydevice/index.jsp?tenant=
      <tenant_ID>
      &redirect=no
    Si integra UEM en Entra ID, las URL de las consolas de
    UEM
    cambian a lo siguiente ("&redirect=no" se elimina del final de la URL):
    • Consola de administración: https://
      <server_name>
      :
      <port>
      /admin/index.jsp?tenant=
      <tenant_ID>
    • Consola de autoservicio: https://
      <server_name>
      :
      <port>
      /mydevice/index.jsp?tenant=
      <tenant_ID>
    La autenticación de registro único tiene prioridad sobre otros métodos de autenticación. Si los estándares de seguridad de su organización requieren que los administradores o usuarios utilicen otro método de autenticación, el método de registro único se puede eludir añadiendo ?sso=n al final de las URL anteriores.
  • Indique a los administradores y a los usuarios de
    UEM Self-Service
    que configuren los navegadores para que admitan el registro único de
    UEM
    :
    • Microsoft Edge
      : la consola de administración y las direcciones URL de
      UEM Self-Service
      deben estar asignadas a la zona de intranet local. Active la autenticación integrada de
      Windows
      .
    • Mozilla Firefox
      : en la lista about:config, https://,
      <host_FQDN_or_pool_name>
      se añade a la preferencia "network.negotiate-auth.trusted-uris".
    • Google Chrome
      : la consola de administración y las direcciones URL de
      UEM Self-Service
      deben estar asignadas a la zona de intranet local.