Passer la navigation
  1. BlackBerry Docs
  2. 12.19
  3. Gestion des administrateurs, des utilisateurs et des groupes
  4. Configuration des options de connexion à la console
  5. Configurer l‘authentification unique pour BlackBerry UEM

Configurer l‘authentification unique pour
BlackBerry UEM

Si vous connectez
BlackBerry UEM
 à
Microsoft Active Directory
, vous pouvez configurer l‘authentification unique pour permettre aux administrateurs ou aux utilisateurs de contourner la page Web de connexion et d‘accéder directement à la console de gestion ou à
BlackBerry UEM Self-Service
. Lorsque des administrateurs ou des utilisateurs se connectent à
Windows
, le navigateur utilise leurs informations d‘identification pour les authentifier automatiquement auprès de
UEM
. Les informations de connexion
Windows
 peuvent inclure les informations d‘identification
Active Directory
 ou les informations d‘identification dérivées (par exemple, à partir de lecteurs CAC ou de jetons numériques).
Cette fonction n‘est pas prise en charge par 
UEM Cloud
.
  • Procédez comme suit afin de configurer la délégation contrainte pour le compte
    Active Directory
     utilisé par
    UEM
     pour la connexion à l‘annuaire :
    1. Utilisez l‘outil Éditeur ADSI de
      Windows Server
       ou l‘outil de ligne de commande setspn pour ajouter les SPN (noms principaux de services) suivants de
      UEM
       au compte
      Active Directory
       :
      HTTP/
      <host_FQDN_or_pool_name>
       (par exemple, HTTP/domaine123.exemple.com)
      BASPLUGIN111/
      <host_FQDN_or_pool_name>
       (par exemple, BASPLUGIN111/domaine123.exemple.com)
    2. Dans
      Microsoft Active Directory Users and Computers
      , accédez aux propriétés du compte
      Microsoft Active Directory
       et, sous l‘onglet
      Délégation
      , activez les options
      N‘approuver cet utilisateur que pour la délégation aux services spécifiés
       et
      Utiliser Kerberos uniquement
      .
    3. Ajoutez les SPN à la liste des services.
  • Si vous activez l‘authentification unique pour plusieurs connexions
    Active Directory
    , vérifiez qu‘aucune relation de confiance n‘existe entre les forêts
    Active Directory
    .
  1. Sur la barre de menus de la console de gestion
    UEM
    , cliquez sur
    Paramètres > Intégration externe > Annuaire d‘entreprise
    .
  2. Dans la section 
    Connexions au répertoire configurées
    , cliquez sur une connexion
    Active Directory
    .
  3. Dans l‘onglet
    Authentification
    , cochez la case
    Activer l‘authentification unique Windows
    .
  4. Cliquez sur
    Enregistrer
    .
  5. Cliquez à nouveau sur
    Enregistrer
    .
  6. Cliquez sur
    Fermer
    .
  • Redémarrez les services
    UEM
     sur tous les ordinateurs qui hébergent une instance de
    UEM
    .
  • Demandez aux administrateurs et aux utilisateurs d‘utiliser les URL suivantes :
    • Console de gestion : https://
      <host_FQDN_or_pool_name>
      :
      <port>
      /admin
    • UEM Self-Service
       : https://
      <host_FQDN_or_pool_name>
      :
      <port>
      /mydevice
    L‘authentification unique est prioritaire sur les autres méthodes d‘authentification. Si les normes de sécurité de votre organisation exigent que les administrateurs ou les utilisateurs aient recours à une autre méthode d‘authentification, la méthode d‘authentification unique peut être contournée en ajoutant ?sso=n à la fin des URL ci-dessus.
  • Demandez aux administrateurs et aux utilisateurs d‘
    UEM Self-Service
     de configurer leur navigateur afin qu‘il prenne en charge l‘authentification unique d‘
    UEM
     :
    • Microsoft Edge
       : les URL de la console de gestion et d‘
      UEM Self-Service
       doivent être attribuées à la zone Intranet locale. Activez le protocole Integrated
      Windows
       Authentication.
    • Mozilla Firefox
       : dans la liste about:config, ajoutez https://,
      <host_FQDN_or_pool_name>
       à la préférence « network.negotiate-auth.trusted-uris ».
    • Google Chrome
       : les URL de la console de gestion et d‘
      UEM Self-Service
       doivent être attribuées à la zone Intranet locale.