Configurer l‘authentification unique pour BlackBerry UEM
BlackBerry UEM
Si vous connectez
BlackBerry UEM
à Microsoft Active
Directory
, vous pouvez configurer l‘authentification unique pour permettre aux administrateurs ou aux utilisateurs de contourner la page Web de connexion et d‘accéder directement à la console de gestion ou à BlackBerry UEM Self-Service
. Lorsque des administrateurs ou des utilisateurs se connectent à Windows
, le navigateur utilise leurs informations d‘identification pour les authentifier automatiquement auprès de UEM
. Les informations de connexion Windows
peuvent inclure les informations d‘identification Active
Directory
ou les informations d‘identification dérivées (par exemple, à partir de lecteurs CAC ou de jetons numériques).Cette fonction n‘est pas prise en charge par
UEM Cloud
.- Procédez comme suit afin de configurer la délégation contrainte pour le compteActive Directoryutilisé parUEMpour la connexion à l‘annuaire :
- Utilisez l‘outil Éditeur ADSI deWindows Serverou l‘outil de ligne de commande setspn pour ajouter les SPN (noms principaux de services) suivants deUEMau compteActive Directory:HTTP/<host_FQDN_or_pool_name>(par exemple, HTTP/domaine123.exemple.com)BASPLUGIN111/<host_FQDN_or_pool_name>(par exemple, BASPLUGIN111/domaine123.exemple.com)
- DansMicrosoft Active Directory Users and Computers, accédez aux propriétés du compteMicrosoft Active Directoryet, sous l‘ongletDélégation, activez les optionsN‘approuver cet utilisateur que pour la délégation aux services spécifiésetUtiliser Kerberos uniquement.
- Ajoutez les SPN à la liste des services.
- Si vous activez l‘authentification unique pour plusieurs connexionsActive Directory, vérifiez qu‘aucune relation de confiance n‘existe entre les forêtsActive Directory.
- Sur la barre de menus de la console de gestionUEM, cliquez surParamètres > Intégration externe > Annuaire d‘entreprise.
- Dans la sectionConnexions au répertoire configurées, cliquez sur une connexionActive Directory.
- Dans l‘ongletAuthentification, cochez la caseActiver l‘authentification unique Windows.
- Cliquez surEnregistrer.
- Cliquez à nouveau surEnregistrer.
- Cliquez surFermer.
- Redémarrez les servicesUEMsur tous les ordinateurs qui hébergent une instance deUEM.
- Demandez aux administrateurs et aux utilisateurs d‘utiliser les URL suivantes :
- Console de gestion : https://<host_FQDN_or_pool_name>:<port>/admin/index.jsp?tenant=<tenant_ID>&redirect=no
- UEM Self-Service: https://<host_FQDN_or_pool_name>:<port>/mydevice/index.jsp?tenant=<tenant_ID>&redirect=no
Si vous intégrez UEM avec Entra ID, les URL de la consoleUEMsont modifiées comme suit (« &redirect=no » est supprimé à la fin de l‘URL) :- Console de gestion : https://<server_name>:<port>/admin/index.jsp?tenant=<tenant_ID>
- Console Self-Service : https://<server_name>:<port>/monpériphérique/index.jsp?tenant=<tenant_ID>
L‘authentification unique est prioritaire sur les autres méthodes d‘authentification. Si les normes de sécurité de votre organisation exigent que les administrateurs ou les utilisateurs aient recours à une autre méthode d‘authentification, la méthode d‘authentification unique peut être contournée en ajoutant ?sso=n à la fin des URL ci-dessus. - Demandez aux administrateurs et aux utilisateurs d‘UEM Self-Servicede configurer leur navigateur afin qu‘il prenne en charge l‘authentification unique d‘UEM:
- Microsoft Edge: les URL de la console de gestion et d‘UEM Self-Servicedoivent être attribuées à la zone Intranet locale. Activez le protocole IntegratedWindowsAuthentication.
- Mozilla Firefox: dans la liste about:config, ajoutez https://,<host_FQDN_or_pool_name>à la préférence « network.negotiate-auth.trusted-uris ».
- Google Chrome: les URL de la console de gestion et d‘UEM Self-Servicedoivent être attribuées à la zone Intranet locale.