ナビゲーションをスキップする

BlackBerry UEM
のシングルサインオンの設定

BlackBerry UEM
Microsoft Active Directory
に接続する場合は、シングルサインオン認証を設定すると、管理者またはユーザーがログイン Web ページをバイパスし、管理コンソールまたは
BlackBerry UEM Self-Service
に直接アクセスできるようになります。管理者またはユーザーが
Windows
にログインした場合、ブラウザーは資格情報を使用して、
UEM
で自動的に認証を行います。
Windows
のログイン情報は、
Active Directory
の資格情報または派生した資格情報を含めることができます(たとえば、CAC リーダーやデジタルトークンから)。
この機能は
UEM Cloud
ではサポートされていません。
  • 次の操作を実行して、
    Active Directory
    がディレクトリ接続に使用する
    UEM
    アカウントの制約付き委任を設定します。
    1. Windows Server
      の ADSI Edit ツールまたは setspn コマンドラインツールを使用して、
      UEM
      の次の SPN を
      Active Directory
      アカウントに追加します。
      HTTP/
      <host_FQDN_or_pool_name>
      (HTTP/domain123.example.com など)
      BASPLUGIN111/
      <host_FQDN_or_pool_name>
      (BASPLUGIN111/domain123.example.com など)
    2. Microsoft Active Directory Users and Computers
      Microsoft Active Directory
      アカウントプロパティの
      [委任]
      タブで、
      [指定されたサービスへの委任でのみこのユーザーを信頼する]
      および
      [Kerberos のみを使用]
      を有効にします。
    3. SPN をサービスリストに追加します。
  • 複数の
    Active Directory
    接続用にシングルサインオンを有効にする場合は、
    Active Directory
    フォレスト間に信頼関係がないことを確認します。
  1. UEM
    管理コンソールのメニューバーで、
    [設定] > [外部統合] > [会社のディレクトリ]
    の順にクリックします。
  2. [設定されたディレクトリ接続]
    セクションで、
    Active Directory
    接続をクリックします。
  3. [認証]
    タブで、
    [Windows シングルサインオンを有効にする]
    チェックボックスをオンにします。
  4. [保存]
    をクリックします。
  5. [保存]
    を再度クリックします。
  6. [閉じる]
    をクリックします。
  • UEM
    インスタンスをホストする各コンピューターで、
    UEM
    サービスを再起動します。
  • 管理者とユーザーに次の URL を使用するように指示します。
    • 管理コンソール:https://
      <host_FQDN_or_pool_name>
      :
      <port>
      /admin/index.jsp?tenant=
      <tenant_ID>
      &redirect=no
    • UEM Self-Service
      :https://
      <host_FQDN_or_pool_name>
      :
      <port>
      /mydevice/index.jsp?tenant=
      <tenant_ID>
      &redirect=no
    UEM を Entra ID と統合すると、
    UEM
    コンソール URL は次のように変更されます(URL の末尾から「&redirect=no」が削除されます)。
    • 管理コンソール:https://
      <server_name>
      :
      <port>
      /admin/index.jsp?tenant=
      <tenant_ID>
    • セルフサービスコンソール:https://
      <server_name>
      :
      <port>
      /mydevice/index.jsp?tenant=
      <tenant_ID>
    シングルサインオン認証は、他の認証方式よりも優先されます。組織のセキュリティ標準で、管理者またはユーザーが別の認証方法を使用する必要がある場合は、上記の URL の末尾に「?sso=n」を追加することで、シングルサインオン方式を回避できます。
  • 管理者および
    UEM Self-Service
    ユーザーに、
    UEM
    のシングルサインオンをサポートするようにブラウザを設定するよう指示します。
    • Microsoft Edge
      :管理コンソールおよび
      UEM Self-Service
      の URL は、ローカルイントラネットゾーンに割り当てられる必要があります。統合
      Windows
      認証を有効にします。
    • Mozilla Firefox
      :about:config リストで、https://、
      <host_FQDN_or_pool_name>
      を「network.negotiate-auth.trusted-uris」設定に追加します。
    • Google Chrome
      :管理コンソールおよび
      UEM Self-Service
      の URL は、ローカルイントラネットゾーンに割り当てられる必要があります。