Dienstbasierte Authentifizierung für die mobile Warehouse Management-App

Die mobile Warehouse Management-App unterstützt die folgenden Arten der benutzerbasierten Authentifizierung:

• Gerätecodeflowauthentifizierung
• Benutzername und Kennwortauthentifizierung

Wichtig

Allen Microsoft Entra ID-Konten, die zur Anmeldung verwendet werden, dürfen nur die Mindestberechtigungen gewährt werden, die sie zum Ausführen ihrer Lageraufgaben benötigen. Berechtigungen sollten strikt auf Benutzeraktivitäten mobiler Lagerortgeräte beschränkt sein. Verwenden Sie niemals ein Administratorkonto, um sich auf Geräten anzumelden.

Szenarien zur Geräteverwaltung, Microsoft Entra ID-Benutzende und Benutzende mobiler Geräte

Aus Sicherheitsgründen verwendet die mobile Warehouse Management-App Microsoft Entra ID zur Authentifizierung der Verbindung zwischen der App und Dynamics 365 Supply Chain Management. Für die Verwaltung von Microsoft Entra ID-Benutzerkonten für Ihre verschiedenen Geräte und Benutzer gibt es zwei grundlegende Szenarios: eines, bei dem jedes Microsoft Entra ID-Benutzerkonto ein eindeutiges Gerät darstellt, und eines, bei dem jeder Microsoft Entra ID-Benutzer einen eindeutigen menschlichen Mitarbeiter darstellt. In jedem Fall wird jede menschliche Arbeitskraft einen Lagerortarbeitskraft-Datensatz haben, der im Warehouse Management-Modul eingerichtet wurde, plus einen oder mehrere Benutzerkonten für mobile Geräte für jeden Lagerortarbeitskraft-Datensatz. Für Lagerortarbeitskraft-Konten, die über mehr als ein Benutzerkonto für mobile Geräte verfügen, ist es möglich, eines davon zum Standardbenutzerkonto für mobile Geräte zu machen. Die beiden Szenarien sind:

• Ein Microsoft Entra ID-Benutzerkonto für jedes mobile Gerät verwenden – In diesem Szenario richten Administrierende die mobile Warehouse Management-App für die Verwendung von entweder der Authentifizierung des Gerätecode-Flows oder der Benutzername/Kennwortauthentifizierung zur Verbindung mit dem Supply Chain Management über das Geräte-Microsoft Entra ID-Konto ein. (In diesem Szenario benötigen menschliche Arbeitskräfte kein Microsoft Entra ID-Benutzerkonto.) Die App zeigt dann eine Anmeldeseite an, über die sich menschliche Arbeitskräfte in der App anmelden können, damit sie Zugriff auf die Arbeit und andere Datensätze erhalten, die für sie an ihrem Standort gelten. Menschliche Arbeitskräfte melden sich mithilfe der Benutzer-ID und dem Kennwort eines der Benutzerkonten für mobile Geräte an, die ihrem Lagerortarbeitskraft-Datensatz zugewiesen sind. Da menschliche Arbeitskräfte immer eine Benutzer-ID eingeben müssen, spielt es keine Rolle, ob eines der Benutzerkonten für mobile Geräte als Standardkonto für den Lagerortarbeitskraft-Datensatz festgelegt ist. Wenn sich eine menschliche Arbeitskraft abmeldet, bleibt die App bei Supply Chain Management authentifiziert, zeigt jedoch erneut die Anmeldeseite an, sodass sich die nächste menschliche Arbeitskraft mithilfe ihres Benutzerkontos für mobile Geräte anmelden kann.
• Microsoft Entra ID-Benutzerkonto für jede menschliche Arbeitskraft verwenden – In diesem Szenario verfügt jeder menschliche Benutzende über ein Microsoft Entra ID-Benutzerkonto, das mit seinem Lagerortarbeitskraftkonto im Supply Chain Management verknüpft ist. Deshalb kann die Microsoft Entra ID-Benutzeranmeldung alles sein, was die menschliche Arbeitskraft braucht, um die App bei Supply Chain Management zu authentifizieren und sich bei der App anzumelden, vorausgesetzt, dass eine Standardbenutzer-ID ist für das Lagerortarbeitskraft-Konto festgelegt ist. Dieses Szenario unterstützt auch das einmalige Anmelden (SSO), da dieselbe Microsoft Entra ID-Sitzung von anderen Apps auf dem Gerät (z. B. Microsoft Teams oder Outlook) gemeinsam genutzt werden kann, bis sich die menschliche Arbeitskraft vom Microsoft Entra ID-Benutzerkonto abmeldet.

Gerätecodeflowauthentifizierung

Wenn Sie die Gerätecode-Authentifizierung verwenden, generiert die mobile Warehouse Management-App einen eindeutigen Gerätecode und zeigt ihn an. Der Administrierende, der das Gerät einrichtet, muss dann diesen Gerätecode zusammen mit den Anmeldeinformationen (Name und Kennwort) für ein Microsoft Entra ID-Benutzerkonto, das entweder das Gerät selbst oder die menschliche Arbeitskraft darstellt, die sich anmeldet, in ein Onlineformular eingeben (abhängig davon, wie die Administration das System implementiert hat). In einigen Fällen muss je nach Konfiguration des Microsoft Entra ID-Benutzerkontos möglicherweise auch die Administration die Anmeldedaten genehmigen. Zusätzlich zum eindeutigen Gerätecode zeigt die mobile App die URL an, unter welcher der Administrierende den Code und die Anmeldeinformationen für das Microsoft Entra ID-Benutzerkonto eingeben muss.

Die Gerätecode-Authentifizierung vereinfacht den Authentifizierungsprozess, da Benutzende keine Zertifikate oder geheime Clientschlüssel haben. Es werden jedoch einige zusätzliche Anforderungen und Einschränkungen eingeführt:

• Sie sollten für jedes Gerät oder jede menschliche Arbeitskraft ein eindeutiges Microsoft Entra ID-Benutzerkonto erstellen. Darüber hinaus sollten diese Konten streng begrenzt sein, sodass sie nur Benutzeraktivitäten für mobile Lagergeräte ausführen können.
• Während sich ein Mitarbeiter mithilfe der mobilen Warehouse Management-App anmeldet, wird ihm ein generierter Gerätecode angezeigt. Dieser Code verliert nach 15 Minuten seine Gültigkeit und wird anschließend von der App ausgeblendet. Wenn der Code abläuft, bevor die Anmeldung abgeschlossen ist, muss der Mitarbeiter einen neuen Code generieren, indem er in der App erneut Verbinden auswählt.
• Wenn ein Gerät 90 Tage lang inaktiv bleibt, wird es automatisch abgemeldet.
• Single Sign-On (SSO) wird nicht unterstützt, wenn Sie die Gerätecodeflussauthentifizierung zusammen mit einem mobilen Massenbereitstellungssystem (MDM) (wie z. B. Intune) verwenden, um die mobile Warehouse Management-App zu verteilen. Sie können weiterhin ein MDM-System verwenden, um die App an jedes Mobilgerät zu liefern und eine connections.json Datei bereitzustellen, die Verbindungen mithilfe von Gerätecode einrichtet. Der einzige Unterschied besteht darin, dass sich die Mitarbeiter manuell anmelden müssen, wenn sie die App verwenden. (Dieses Schritt wird nur einmal benötigt.)

Benutzername/Kennwortauthentifizierung

Wenn Sie die Benutzername/Kennwortauthentifizierung verwenden, muss jede menschliche Arbeitskraft den Microsoft Entra ID-Benutzernamen und das Kennwort eingeben, die entweder mit dem Gerät oder mit sich selbst verknüpft sind (abhängig vom Authentifizierungsszenario, das Sie verwenden). Abhängig von der Einrichtung des Lagerortarbeitskraft-Datensatzes müssen sie möglicherweise auch eine Benutzerkonto-ID und ein Kennwort für ein mobiles Gerät eingeben. Diese Authentifizierungsmethode unterstützt Single Sign-On (SSO), was auch den Komfort der mobilen Massenbereitstellung (MDM) erhöht.

Registrieren Sie eine Anwendung in Microsoft Entra ID (optional)

Die mobile App „Warehouse Management“ verwendet eine Microsoft Entra ID-Anwendung zur Authentifizierung und Verbinden bei Ihrem Lieferkette Management Umgebung. Sie können eine globale Anwendung verwenden, die von Microsoft bereitgestellt und verwaltet wird, oder Sie können Ihre eigene Anwendung in Microsoft Entra ID registrieren, indem Sie das Verfahren in diesem Abschnitt befolgen.

Wichtig

In den meisten Situationen empfehlen wir die Verwendung der Global Microsoft Entra ID-Anwendung, da diese einfacher einzurichten, zu verwenden und zu verwalten ist. (Weitere Informationen finden Sie unter Installieren der mobilen Warehouse Management-App.) In diesem Fall können Sie diesen Abschnitt überspringen. Wenn Sie jedoch spezielle Anforderungen haben, die die globale Anwendung nicht erfüllt (z. B. die Anforderungen für einige lokale Umgebungen), können Sie Ihre eigene Anwendung wie hier beschrieben registrieren.

Das folgende Verfahren zeigt eine Möglichkeit, eine Anwendung in Microsoft Entra ID zu registrieren. Für ausführlichere Informationen und Alternativen nutzen Sie die Links nach dem Verfahren.

1. Navigieren Sie in einem Webbrowser zu https://portal.azure.com.

2. Geben Sie den Namen und das Kennwort des Benutzers ein, der Zugriff auf das Azure-Abonnement hat.

3. Wählen Sie im linken Navigationsbereich des Azure-Portals Microsoft Entra ID aus.

4. Stellen Sie sicher, dass Sie mit der Microsoft Entra ID-Instanz arbeiten, die von Supply Chain Management verwendet wird.

5. Wählen Sie in der Liste Verwalten die Option App-Registrierungen aus.

6. Wählen Sie auf der Symbolleiste Neue Registrierung aus, um den Assistenten Anwendung registrieren zu öffnen.

7. Geben Sie einen Namen für die Anwendung ein, wählen Sie die Option Nur Konten in diesem organisatorischen Verzeichnis und dann Registrieren aus.

8. Die neue App-Registrierung wird geöffnet. Notieren Sie sich den Wert der Anwendungs-(Client-)ID, da Sie ihn zu einem späteren Zeitpunkt benötigen. Dies ID wird später in diesem Artikel als Client-ID bezeichnet.

9. Wählen Sie in der Liste Verwalten die Option Authentifizierung aus.

10. Legen Sie auf der Seite Authentifizierung für die neue App die Option Folgende Mobil- und Desktop-Flows aktivieren auf Ja fest, um den Gerätecodeflow für Ihre Anwendung zu aktivieren. Wählen Sie dann Speichern aus.

11. Wählen Sie Plattform hinzufügen aus.

12. Wählen Sie im Dialogfeld Plattform konfigurieren die Option Mobile und Desktop-Anwendungen aus.

13. Legen Sie im Dialogfeld Desktop und Geräte konfigurieren das Feld Benutzerdefinierte Weiterleitungs-URIs auf den folgenden Wert fest:

    ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333
    

14. Wählen Sie Konfigurieren aus, um Ihre Einstellungen zu speichern und die Dialogfelder zu schließen.

15. Sie kehren zur Seite Authentifizierung zurück, auf der nun Ihre neue Plattformkonfiguration angezeigt wird. Wählen Sie Plattform hinzufügen erneut aus.

16. Wählen Sie im Dialogfeld Plattform konfigurieren die Option Android aus.

17. Im Dialogfeld Android-App konfigurieren legen Sie die folgenden Felder fest:

    • Paketname: Geben Sie den folgenden Wert ein:

      com.microsoft.warehousemanagement
      

    • Signaturhash: Geben Sie den folgenden Wert ein:

      hpavxC1xAIAr5u39m1waWrUbsO8=
      

18. Wählen Sie Konfigurieren aus, um Ihre Einstellungen zu speichern und das Dialogfeld zu schließen. Wählen Sie dann Fertig aus, um zur Seite Authentifizierung zurückzukehren, auf der nun Ihre neue Plattformkonfigurationen angezeigt werden.

19. Wählen Sie Plattform hinzufügen erneut aus.

20. Wählen Sie im Dialogfeld Plattform konfigurieren die Option iOS/macOS aus.

21. Legen Sie im Dialogfeld iOS- oder macOS-App konfigurieren das Feld Bündel-ID auf com.microsoft.WarehouseManagement fest.

22. Wählen Sie Konfigurieren aus, um Ihre Einstellungen zu speichern und das Dialogfeld zu schließen. Wählen Sie dann Fertig aus, um zur Seite Authentifizierung zurückzukehren, auf der nun Ihre neue Plattformkonfigurationen angezeigt werden.

23. Im Abschnitt Erweiterte Einstellungen legen Sie Öffentliche Client-Flows zulassen auf Ja fest.

24. Wählen Sie in der Liste Verwalten die Option API-Berechtigungen aus.

25. Wählen Sie Eine Berechtigung hinzufügen.

26. Wählen Sie im Dialogfeld API-Berechtigungen anfordern auf der Registerkarte Microsoft-APIs die Kachel Dynamics ERP und dann die Kachel Delegierte Berechtigungen aus. Aktivieren Sie unter CustomService das Kontrollkästchen CustomService.FullAccess. Wählen Sie abschließend Berechtigungen hinzufügen aus, um Ihre Änderungen zu speichern.

27. Wählen Sie im linken Navigationsbereich die Microsoft Entra ID aus.

28. Wählen Sie in der Liste Verwalten Unternehmensanwendungen aus. Wählen Sie dann in der neuen Liste Verwalten die Option Alle Anwendungen aus.

29. Geben Sie im Suchformular den Namen ein, den Sie zuvor in diesem Verfahren für die App eingegeben haben. Bestätigen Sie, dass der Wert Anwendungs-ID für die gefundene App mit der Client-ID übereinstimmt, die Sie zuvor kopiert haben. Wählen Sie dann in der Spalte Name den Link aus, um die Eigenschaften für die App zu öffnen.

30. Wählen Sie in der Liste Verwalten die Option Eigenschaften aus.

31. Setzen Sie die Option Zuweisung erforderlich? auf Ja und die Option Für Benutzer sichtbar? auf Nein. Wählen Sie dann in der Symbolleiste Speichern aus.

32. Wählen Sie in der Liste Verwalten die Option Benutzer und Gruppen aus.

33. Wählen Sie in der Symbolleiste Benutzer/Gruppe hinzufügen aus.

34. Wählen Sie auf der Seite Zuweisung hinzufügen den Link unter der Überschrift Benutzer aus.

35. Wählen Sie im Dialogfeld Benutzer jeden Benutzer aus, den Sie zur Authentifizierung von Geräten mit Supply Chain Management verwenden möchten.

36. Wählen Sie Auswählen, um Ihre Einstellungen zu übernehmen und das Dialogfeld zu schließen. Wählen Sie dann Zuweisen aus, um Ihre Einstellungen anzuwenden, und schließen Sie die Seite Zuordnung hinzufügen.

37. Wählen Sie in der Liste Sicherheit die Option Berechtigungen aus.

38. Wählen Sie Administratoreinwilligung gewähren für <Ihren Mandanten> aus, und erteilen Sie die Administratoreinwilligung im Namen Ihrer Benutzenden. Wenn Ihnen die erforderlichen Berechtigungen fehlen, kehren Sie zur Liste Verwalten zurück, öffnen Sie die Eigenschaften und legen Sie die Option Zuweisung erforderlich? auf Falsch fest. Jeder Benutzer kann dann individuell seine Einwilligung erteilen.

Weitere Informationen zum Registrieren einer Anwendung in Microsoft Entra ID finden Sie in den folgenden Ressourcen:

• Anweisungen zum Registrieren einer Anwendung in Microsoft Entra ID mit Windows PowerShell finden Sie unter Vorgehensweise: Erstellen eines Dienstprinzipals mit einem Zertifikat mithilfe von Azure PowerShell.

• Ausführliche Informationen zum manuellen registrieren einer Anwendung in Microsoft Entra ID finden Sie in den folgenden Artikeln:

  • Schnellstart: Eine Anwendung bei der Microsoft Identity Platform registrieren
  • Vorgehensweise: Das Portal verwenden, um eine Microsoft Entra ID-Anwendung- und einen -Dienstprinzipal zu erstellen, die auf Ressourcen zugreifen können

Richten Sie Mitarbeiter-, Benutzer- und Lagerortarbeitskraft-Datensätze für das Supply Chain Management ein

Bevor sich Mitarbeiter über die mobile App anmelden können, muss jedes Microsoft Entra ID-Konto, das Sie der Unternehmens-App in Azure zugewiesen haben, über einen entsprechenden Mitarbeiterdatensatz, Benutzerdatensatz und Lagerortarbeitskraft-Datensatz in Supply Chain Management verfügen. Informationen zum Einrichten dieser Datensätze finden Sie unter Benutzerkonten für mobile Geräte.

Einmaliges Anmelden

Um das einmalige Anmelden (SSO) verwenden zu können, müssen Sie die mobile Warehouse Management-App Version 2.1.23.0 oder höher ausführen.

Mit SSO können sich Benutzende anmelden, ohne ein Kennwort eingeben zu müssen. Dies funktioniert durch die Wiederverwendung von Anmeldeinformationen aus dem Intune Company Portal (Android nur), Microsoft Authenticator (Android und iOS) oder anderen Apps auf dem Gerät.

Notiz

Für SSO ist die Authentifizierung mit Benutzername/Kennwort erforderlich.

Um SSO zu verwenden, folgen Sie einen dieser Schritte, je nachdem, wie Sie die Verbindung konfigurieren.

• Wenn Sie in der mobilen Warehouse Management-App die Verbindung manuell konfigurieren, müssen Sie die Option Vermittelte Authentifizierung auf der Seite Verbindung bearbeiten der mobilen App aktivieren.
• Wenn Sie die Verbindung mithilfe einer JavaScript Object Notation(JSON)-Datei oder eines QR-Codes konfigurieren, müssen Sie "UseBroker": true in Ihre JSON-Datei oder Ihren QR-Code einfügen.

Wichtig

• Um die mobile Massenbereitstellung (MDM) nutzen zu können, müssen Sie SSO aktivieren.
• Die mobile Warehouse Management-App unterstützt nicht den gemeinsamen Gerätemodus.

Zugriff für ein Gerät entfernen, das die benutzerbasierte Authentifizierung verwendet

Im Fall von verlorenen oder beeinträchtigten Geräten müssen Sie die Fähigkeit zum Zugriff des Geräts auf Supply Chain Management entfernen. Wenn ein Gerät mithilfe des Gerätecodeflows authentifiziert wird, ist es wichtig, dass Sie den zugehörigen Benutzerkonto in Microsoft Entra ID deaktivieren, um den Zugriff für dieses Gerät zu widerrufen, falls es jemals verloren geht oder kompromittiert wird. Durch Deaktivieren des Benutzerkontos in Microsoft Entra ID widerrufen Sie effektiv den Zugriff für jedes Gerät, das den mit diesem Benutzerkonto verknüpften Gerätecode verwendet. Aus diesem Grund empfehlen wir Ihnen, ein Microsoft Entra ID-Benutzerkonto pro Gerät zu haben.

Um ein Benutzerkonto in Microsoft Entra ID zu deaktivieren, führen Sie folgende Schritte aus.

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie im linken Navigationsbereich Microsoft Entra ID aus, und stellen Sie sicher, dass Sie sich im richtigen Verzeichnis befinden.
3. Wählen Sie in der Liste Verwalten die Option Benutzer aus.
4. Suchen Sie das Benutzerkonto, das dem Gerätecode zugeordnet ist, und wählen Sie den Namen aus, um das Profil des Benutzenden zu öffnen.
5. Wählen Sie in der Symbolleiste Sitzungen widerrufen aus, um die Sitzungen des Benutzerkontos zu widerrufen.

Hinweis

Abhängig davon, wie Sie Ihr Authentifizierungssystem einrichten, möchten Sie möglicherweise auch das Kennwort des Benutzerkontos ändern oder das Benutzerkonto vollständig deaktivieren.

Zusätzliche Ressourcen

• Häufig gestellte Fragen zur benutzerbasierten Authentifizierung
• Mobile Warehouse Management-App installieren
• Dienstbasierte Authentifizierung für die mobile Warehouse Management-App