ナビゲーションをスキップする
  1. BlackBerry Docs
  2. 12.20
  3. 管理者、ユーザー、グループの管理
  4. コンソールログインオプションの設定
  5. BlackBerry UEM のシングルサインオンの設定

BlackBerry UEM
 のシングルサインオンの設定

BlackBerry UEM
Microsoft Active Directory
 に接続する場合は、シングルサインオン認証を設定すると、管理者またはユーザーがログイン Web ページをバイパスし、管理コンソールまたは
BlackBerry UEM Self-Service
 に直接アクセスできるようになります。管理者またはユーザーが
Windows
 にログインした場合、ブラウザーは資格情報を使用して、
UEM
 で自動的に認証を行います。
Windows
 のログイン情報は、
Active Directory
 の資格情報または派生した資格情報を含めることができます(たとえば、CAC リーダーやデジタルトークンから)。
この機能は
UEM Cloud
 ではサポートされていません。
  • 次の操作を実行して、
    Active Directory
     がディレクトリ接続に使用する
    UEM
     アカウントの制約付き委任を設定します。
    1. Windows Server
       の ADSI Edit ツールまたは setspn コマンドラインツールを使用して、
      UEM
       の次の SPN を
      Active Directory
       アカウントに追加します。
      HTTP/
      <host_FQDN_or_pool_name>
      (HTTP/domain123.example.com など)
      BASPLUGIN111/
      <host_FQDN_or_pool_name>
      (BASPLUGIN111/domain123.example.com など)
    2. Microsoft Active Directory Users and Computers
      Microsoft Active Directory
       アカウントプロパティの
      [委任]
      タブで、
      [指定されたサービスへの委任でのみこのユーザーを信頼する]
      および
      [Kerberos のみを使用]
      を有効にします。
    3. SPN をサービスリストに追加します。
  • 複数の
    Active Directory
     接続用にシングルサインオンを有効にする場合は、
    Active Directory
     フォレスト間に信頼関係がないことを確認します。
  1. UEM
     管理コンソールのメニューバーで、
    [設定] > [外部統合] > [会社のディレクトリ]
    の順にクリックします。
  2. [設定されたディレクトリ接続]
    セクションで、
    Active Directory
     接続をクリックします。
  3. [認証]
    タブで、
    [Windows シングルサインオンを有効にする]
    チェックボックスをオンにします。
  4. [保存]
    をクリックします。
  5. [保存]
    を再度クリックします。
  6. [閉じる]
    をクリックします。
  • UEM
     インスタンスをホストする各コンピューターで、
    UEM
     サービスを再起動します。
  • 管理者とユーザーに次の URL を使用するように指示します。
    • 管理コンソール:https://
      <host_FQDN_or_pool_name>
      :
      <port>
      /admin/index.jsp?tenant=
      <tenant_ID>
      &redirect=no
    • UEM Self-Service
       :https://
      <host_FQDN_or_pool_name>
      :
      <port>
      /mydevice/index.jsp?tenant=
      <tenant_ID>
      &redirect=no
    UEM を Entra ID と統合すると、
    UEM
     コンソール URL は次のように変更されます(URL の末尾から「&redirect=no」が削除されます)。
    • 管理コンソール:https://
      <server_name>
      :
      <port>
      /admin/index.jsp?tenant=
      <tenant_ID>
    • セルフサービスコンソール:https://
      <server_name>
      :
      <port>
      /mydevice/index.jsp?tenant=
      <tenant_ID>
    シングルサインオン認証は、他の認証方式よりも優先されます。組織のセキュリティ標準で、管理者またはユーザーが別の認証方法を使用する必要がある場合は、上記の URL の末尾に「?sso=n」を追加することで、シングルサインオン方式を回避できます。
  • 管理者および
    UEM Self-Service
     ユーザーに、
    UEM
     のシングルサインオンをサポートするようにブラウザを設定するよう指示します。
    • Microsoft Edge
       :管理コンソールおよび
      UEM Self-Service
       の URL は、ローカルイントラネットゾーンに割り当てられる必要があります。統合
      Windows
       認証を有効にします。
    • Mozilla Firefox
       :about:config リストで、https://、
      <host_FQDN_or_pool_name>
       を「network.negotiate-auth.trusted-uris」設定に追加します。
    • Google Chrome
       :管理コンソールおよび
      UEM Self-Service
       の URL は、ローカルイントラネットゾーンに割り当てられる必要があります。