Sdílet prostřednictvím


Kurz: Integrace jednotného přihlašování (SSO) Microsoft Entra s mobilní aplikací Workday

V tomto kurzu se dozvíte, jak integrovat ID Microsoft Entra, podmíněný přístup a Intune s mobilní aplikací Workday. Když integrujete mobilní aplikaci Workday s Microsoftem, můžete:

  • Před přihlášením se ujistěte, že zařízení vyhovují vašim zásadám.
  • Přidejte ovládací prvky do mobilní aplikace Workday, abyste zajistili, že uživatelé bezpečně přistupují k podnikovým datům.
  • Řízení v Microsoft Entra ID, který má přístup k Workday.
  • Povolte uživatelům automatické přihlášení k Workday pomocí svých účtů Microsoft Entra.
  • Správa účtů v jednom centrálním umístění: na webu Azure Portal.

Požadavky

Jak začít:

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete zásady podmíněného přístupu Microsoft Entra a Intune pomocí mobilní aplikace Workday.

Pro povolení jednotného přihlašování (SSO) můžete nakonfigurovat federovanou aplikaci Workday s ID Microsoft Entra. Další informace najdete v tématu Integrace jednotného přihlašování (SSO) Microsoft Entra s Workday.

Poznámka:

Workday nepodporuje zásady ochrany aplikací Intune. Abyste mohli používat podmíněný přístup, musíte použít správu mobilních zařízení.

Zajištění přístupu uživatelů k mobilní aplikaci Workday

Nakonfigurujte Workday tak, aby povolovaly přístup k mobilním aplikacím. Musíte nakonfigurovat následující zásady pro Workday Mobile:

  1. Přístup k zásadám zabezpečení domény pro sestavu funkční oblasti
  2. Vyberte příslušné zásady zabezpečení:
    • Mobilní využití – Android
    • Mobilní využití – iPad
    • Mobilní využití – iPhone
  3. Vyberte Upravit oprávnění.
  4. Zaškrtněte políčko Zobrazit nebo Upravit a udělte skupinám zabezpečení přístup k zabezpečitelným položkám sestavy nebo úkolu.
  5. Zaškrtnutím políčka Získat nebo Vložit udělte skupinám zabezpečení přístup k integraci a sestavě nebo zabezpečitelným akcím úlohy.

Aktivujte čekající změny zásad zabezpečení spuštěním aktivace čekajících změn zásad zabezpečení.

Otevření přihlašovací stránky Workday v mobilním prohlížeči Workday

Pokud chcete použít podmíněný přístup pro mobilní aplikaci Workday, musíte aplikaci otevřít v externím prohlížeči. V okně Upravit nastavení tenanta – Zabezpečení vyberte Povolit jednotné přihlašování mobilního prohlížeče pro nativní aplikace. To vyžaduje, aby byl na zařízení pro iOS nainstalovaný prohlížeč schválený intune a v pracovním profilu pro Android.

Snímek obrazovky s přihlášením k mobilnímu prohlížeči Workday

Nastavení zásad podmíněného přístupu

Tato zásada má vliv jenom na přihlášení na zařízení s iOSem nebo Androidem. Pokud ho chcete rozšířit na všechny platformy, vyberte Libovolné zařízení. Tato zásada vyžaduje, aby zařízení vyhovovalo zásadám a ověřuje ho prostřednictvím Intune. Vzhledem k tomu, že Android má pracovní profily, blokuje to všem uživatelům přihlášení k Aplikaci Workday, pokud se nepřihlašují přes svůj pracovní profil a nenainstalovali aplikaci prostřednictvím portálu společnosti Intune. Existuje ještě jeden krok pro iOS, abyste měli jistotu, že platí stejná situace.

Workday podporuje následující řízení přístupu:

  • Vyžadovat vícefaktorové ověřování
  • Vyžadovat, aby zařízení bylo označeno jako vyhovující

Aplikace Workday nepodporuje následující funkce:

  • Vyžadovat schválenou klientskou aplikaci
  • Vyžadování zásad ochrany aplikací (Preview)

Pokud chcete nastavit Workday jako spravované zařízení, proveďte následující kroky:

Snímek obrazovky jenom se spravovanými zařízeními a cloudovými aplikacemi nebo akcemi

  1. Vyberte domovské stránky>zásad podmíněného přístupu k Microsoft Intune.> Pak vyberte Jenom spravovaná zařízení.

  2. V části Pouze spravovaná zařízení v části Název vyberte Pouze spravovaná zařízení a pak vyberte Cloudové aplikace nebo akce.

  3. V cloudových aplikacích nebo akcích:

    1. Přepnout vyberte, na co se tato zásada vztahuje na cloudové aplikace.

    2. V části Zahrnout zvolte Vybrat prostředky.

    3. V seznamu Vybrat zvolte Workday.

    4. Vyberte Hotovo.

  4. Přepněte povolit zásadu na Zapnuto.

  5. Zvolte Uložit.

V případě udělení přístupu proveďte následující kroky:

  1. Vyberte domovské stránky>zásad podmíněného přístupu k Microsoft Intune.> Pak vyberte Jenom spravovaná zařízení.

  2. V části Pouze spravovaná zařízení v části Název vyberte Pouze spravovaná zařízení. V části Řízení přístupu vyberte Udělit.

  3. V grantu:

    1. Vyberte ovládací prvky, které se mají vynutit jako udělení přístupu.

    2. Vyberte Vyžadovat, aby zařízení bylo označené jako vyhovující.

    3. Vyberte Vyžadovat jeden z vybraných ovládacích prvků.

    4. Zvolte Vybrat.

  4. Přepněte povolit zásadu na Zapnuto.

  5. Zvolte Uložit.

Nastavení zásad dodržování předpisů pro zařízení

Pokud chcete zajistit, aby se zařízení s iOSem mohla přihlásit jenom přes Aplikaci Workday spravovanou správou mobilních zařízení, musíte aplikaci z App Storu zablokovat přidáním aplikace com.workday.workdayapp do seznamu aplikací s omezeným přístupem. Tím se zajistí, že k Workday budou mít přístup jenom zařízení, která mají aplikaci Workday nainstalovanou prostřednictvím portálu společnosti. V prohlížeči mají zařízení přístup jenom v případě, že zařízení spravuje Intune a používá spravovaný prohlížeč.

Snímek obrazovky se zásadami dodržování předpisů pro zařízení s iOSem

Nastavení zásad konfigurace aplikací Intune

Scénář Páry klíč-hodnota
Automaticky vyplňte pole tenanta a webové adresy pro:
● Workday na Androidu, když povolíte Android pro pracovní profily.
● Workday na iPadu a iPhonu.
Ke konfiguraci tenanta použijte tyto hodnoty:
● Konfigurační klíč = UserGroupCode
● Typ hodnoty = Řetězec
● Hodnota konfigurace = název vašeho tenanta. Příklad: gms
Ke konfiguraci webové adresy použijte tyto hodnoty:
● Konfigurační klíč = AppServiceHost
● Typ hodnoty = Řetězec
● Hodnota konfigurace = základní adresa URL vašeho tenanta. Příklad: https://www.myworkday.com
Zakažte tyto akce pro Workday na iPadu a iPhonu:
● Vyjmutí, kopírování a vložení
● Tisk
Nastavte hodnotu (logická hodnota) na False tyto klíče a zakažte funkčnost:
AllowCutCopyPaste
AllowPrint
Zakažte snímky obrazovky pro Workday v Androidu. Nastavte hodnotu (logická hodnota) na False AllowScreenshots klíč, aby se zakázala funkce.
Zakažte navrhované aktualizace pro uživatele. Nastavte hodnotu (logická hodnota) na False AllowSuggestedUpdates klíč, aby se zakázala funkce.
Přizpůsobte si adresu URL obchodu s aplikacemi tak, aby nasměrovávejte mobilní uživatele do obchodu s aplikacemi podle vašeho výběru. Pomocí těchto hodnot změňte adresu URL obchodu s aplikacemi:
● Konfigurační klíč = AppUpdateURL
● Typ hodnoty = Řetězec
● Hodnota konfigurace = adresa URL obchodu s aplikacemi

Zásady konfigurace pro iOS

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte Intune nebo vyberte widget ze seznamu.

  3. Přejděte do zásad konfigurace aplikací klientských aplikací>>. Pak vyberte + Přidat>spravovaná zařízení.

  4. Zadejte název.

  5. V části Platforma zvolte iOS/iPadOS.

  6. V části Přidružená aplikace zvolte aplikaci Workday pro iOS, kterou jste přidali.

  7. Vyberte Nastavení konfigurace. V části Formát nastavení konfigurace vyberte Zadat data XML.

  8. Tady je ukázkový soubor XML. Přidejte konfigurace, které chcete použít. Nahraďte STRING_VALUE řetězcem, který chcete použít. Nahradit <true /> or <false /> za <true /> nebo <false />. Pokud konfiguraci nepřidáte, bude tato ukázková funkce nastavená na Truehodnotu .

    <dict>
    <key>UserGroupCode</key>
    <string>STRING_VALUE</string>
    <key>AppServiceHost</key>
    <string>STRING_VALUE</string>
    <key>AllowCutCopyPaste</key>
    <true /> or <false />
    <key>AllowPrint</key>
    <true /> or <false />
    <key>AllowSuggestedUpdates</key>
    <true /> or <false />
    <key>AppUpdateURL</key>
    <string>STRING_VALUE</string>
    </dict>
    
    
  9. Vyberte Přidat.

  10. Aktualizujte stránku a vyberte nově vytvořenou zásadu.

  11. Vyberte Zadání a zvolte, na koho se má aplikace vztahovat.

  12. Zvolte Uložit.

Zásady konfigurace Pro Android

  1. Přihlaste se k portálu Azure.
  2. Vyhledejte Intune nebo vyberte widget ze seznamu.
  3. Přejděte do zásad konfigurace aplikací klientských aplikací>>. Pak vyberte + Přidat>spravovaná zařízení.
  4. Zadejte název.
  5. V části Platforma zvolte Android.
  6. V části Přidružená aplikace zvolte aplikaci Workday pro Android, kterou jste přidali.
  7. Vyberte Nastavení konfigurace. V části Formát nastavení konfigurace vyberte Zadat data JSON.