Tutoriel : Intégration de l'authentification unique (SSO) Microsoft Entra avec l'application mobile Workday
Dans ce didacticiel, vous apprendrez à intégrer Microsoft Entra ID, l'accès conditionnel et Intune à l'application mobile Workday. Quand vous intégrez une application mobile Workday à Microsoft, vous pouvez :
- Garantir que les appareils sont conformes à vos stratégies avant la connexion.
- Ajouter des contrôles à une application mobile Workday pour garantir que les utilisateurs accèdent de manière sécurisée aux données d’entreprise.
- Contrôlez dans Microsoft Entra ID qui a accès à Workday.
- Permettez à vos utilisateurs d'être automatiquement connectés à Workday avec leurs comptes Microsoft Entra.
- gérer vos comptes à un emplacement central : le portail Azure.
Prérequis
Pour commencer :
- Intégrez Workday à Microsoft Entra ID.
- Lisez l'intégration de l'authentification unique (SSO) de Microsoft Entra avec Workday.
Description du scénario
Dans ce didacticiel, vous configurez et testez les stratégies d'accès conditionnel Microsoft Entra et Intune avec l'application mobile Workday.
Pour activer l'authentification unique (SSO), vous pouvez configurer l'application Workday Federated avec Microsoft Entra ID. Pour plus d'informations, consultez Intégration de l'authentification unique (SSO) Microsoft Entra avec Workday.
Remarque
Workday ne prend pas en charge les stratégies de protection de l’application d’Intune. Vous devez utiliser la gestion des appareils mobiles pour avoir recours à l’accès conditionnel.
Vérifier que les utilisateurs ont accès à une application mobile Workday
Configurez Workday pour autoriser l’accès à ses applications mobiles. Vous devez configurer les stratégies suivantes pour l’application mobile Workday :
- Accédez au rapport Stratégies de sécurité de domaine pour la zone fonctionnelle.
- Sélectionnez la stratégie de sécurité appropriée :
- Utilisation mobile - Android
- Utilisation mobile - iPad
- Utilisation mobile - iPhone
- Sélectionnez Modifier les autorisations.
- Cochez la case View ou Modify (Afficher ou modifier) pour accorder aux groupes de sécurité l’accès aux éléments sécurisables de rapport ou de tâche.
- Cochez la case Get ou Put (Obtenir ou Placer) pour accorder aux groupes de sécurité l’accès aux actions sécurisables d’intégration et de rapport ou de tâche.
Activez les changements de stratégie de sécurité en attente en exécutant Activer les changements de stratégie de sécurité en attente.
Ouvrir la page de connexion Workday dans le navigateur mobile Workday
Pour appliquer l’accès conditionnel à une application mobile Workday, vous devez ouvrir cette application dans un navigateur externe. Dans Edit Tenant Setup - Security (Modifier la configuration du locataire - Sécurité), sélectionnez Enable Mobile Browser SSO for Native Apps (Activer l’authentification unique du navigateur mobile pour les applications natives). Cette opération nécessite qu’un navigateur approuvé par Intune soit installé sur l’appareil pour iOS et dans le profil professionnel pour Android.
Configurer la stratégie d’accès conditionnel
Cette stratégie n’affecte que la connexion sur un appareil iOS ou Android. Si vous voulez l’étendre à toutes les plateformes, sélectionnez Any Device (Tout appareil). Cette stratégie nécessite que l’appareil soit conforme à la stratégie et le vérifie par le biais d’Intune. Étant donné qu’Android possède des profils professionnels, cela empêche les utilisateurs de se connecter dans Workday, sauf s’ils se connectent par le biais de leur profil professionnel et qu’ils ont installé l’application avec le portail d’entreprise Intune. Une étape supplémentaire est nécessaire pour iOS afin de garantir que la même situation s’applique.
Workday prend en charge les contrôles d’accès suivants :
- Exiger l’authentification multifacteur
- Exiger que l’appareil soit marqué comme conforme
L’application Workday ne prend pas en charge les opérations suivantes :
- Demander une application cliente approuvée
- Exiger une stratégie de protection des applications (préversion)
Pour configurer Workday en tant qu’appareil géré, effectuez les étapes suivantes :
Sélectionnez Accueil>Microsoft Intune>Stratégies d’accès conditionnel. Sélectionnez ensuite Appareils gérés uniquement.
Dans Appareils gérés uniquement, sous Nom, sélectionnez Appareils gérés uniquement, puis Applications ou actions cloud.
Dans Applications ou actions cloud :
Définissez Sélectionner ce à quoi cette stratégie s’applique sur Applications cloud.
Dans Include, choisissez Sélectionner des ressources.
Dans la liste Sélectionner, choisissez Workday.
Sélectionnez Terminé.
Définissez Appliquer la stratégie sur Activé.
Sélectionnez Enregistrer.
Pour l’accès Octroyer, effectuez les étapes suivantes :
Sélectionnez Accueil>Microsoft Intune>Stratégies d’accès conditionnel. Sélectionnez ensuite Appareils gérés uniquement.
Dans Appareils gérés uniquement, sous Nom, sélectionnez Appareils gérés uniquement. Sous Contrôles d’accès, sélectionnez Accorder.
Dans Accorder :
Pour la sélection des contrôles à appliquer, choisissez Accorder l’accès.
Sélectionnez Exiger que l'appareil soit marqué comme conforme.
Sélectionnez Demander un des contrôles sélectionnés.
Choisissez Sélectionner.
Définissez Appliquer la stratégie sur Activé.
Sélectionnez Enregistrer.
Configurer la stratégie de conformité de l’appareil
Pour garantir que les appareils iOS ne peuvent se connecter que par le biais d’une application Workday managée par la gestion des appareils mobiles, vous devez bloquer l’application App Store en ajoutant com.workday.workdayapp à la liste des applications restreintes. Ainsi, seuls les appareils sur lesquels Workday est installé par le biais du portail d’entreprise peuvent accéder à Workday. Dans le cas d’un navigateur, les appareils peuvent uniquement accéder à Workday s’ils sont gérés par Intune et qu’ils utilisent un navigateur géré.
Configurer des stratégies de configuration d’application Intune
Scénario | Paires clé-valeur |
---|---|
Renseigner automatiquement les champs Locataire et Adresse web pour : ● Workday sur Android quand vous activez les profils Android for Work. ● Workday sur iPad et iPhone. |
Utilisez ces valeurs pour configurer votre locataire : ● Clé de configuration = UserGroupCode ● Type de valeur = Chaîne ● Valeur de configuration = nom de votre locataire. Exemple : gms Utilisez ces valeurs pour configurer votre adresse web : ● Clé de configuration = AppServiceHost ● Type de valeur = Chaîne ● Valeur de configuration = URL de base de votre locataire. Exemple : https://www.myworkday.com |
Désactiver ces actions pour Workday sur iPad et iPhone : ● Couper, copier et coller ● Imprimer |
Définissez la valeur (booléenne) sur False sur ces clés pour désactiver la fonctionnalité :● AllowCutCopyPaste ● AllowPrint |
Désactiver les captures d’écran pour Workday sur Android. | Définissez la valeur (booléenne) sur False sur la clé AllowScreenshots pour désactiver la fonctionnalité. |
Désactiver les mises à jour suggérées pour vos utilisateurs. | Définissez la valeur (booléenne) sur False sur la clé AllowSuggestedUpdates pour désactiver la fonctionnalité. |
Personnaliser l’URL de l’App Store pour diriger les utilisateurs mobiles vers l’App Store de votre choix. | Utilisez ces valeurs pour changer l’URL de l’App Store : ● Clé de configuration = AppUpdateURL ● Type de valeur = Chaîne ● Valeur de configuration = URL de l’App Store |
Stratégies de configuration iOS
Connectez-vous au portail Azure.
Recherchez Intune ou sélectionnez le widget dans la liste.
Accédez à Applications clientes>Applications>Stratégies de configuration des applications. Sélectionnez ensuite + Ajouter>Appareils gérés.
Entrez un nom.
Sous Plateforme, choisissez iOS/iPadOS.
Sous Application associée, choisissez l’application Workday pour iOS que vous avez ajoutée.
Sélectionnez Paramètres de configuration. Sous Format des paramètres de configuration, sélectionnez Entrer des données XML.
Voici un exemple de fichier XML. Ajoutez les configurations que vous voulez appliquer. Remplacez
STRING_VALUE
par la chaîne que vous voulez utiliser. Remplacez<true /> or <false />
par<true />
ou<false />
. Si vous n’ajoutez pas de configuration, cet exemple fonctionne comme s’il avait la valeurTrue
.<dict> <key>UserGroupCode</key> <string>STRING_VALUE</string> <key>AppServiceHost</key> <string>STRING_VALUE</string> <key>AllowCutCopyPaste</key> <true /> or <false /> <key>AllowPrint</key> <true /> or <false /> <key>AllowSuggestedUpdates</key> <true /> or <false /> <key>AppUpdateURL</key> <string>STRING_VALUE</string> </dict>
Sélectionnez Ajouter.
Actualisez la page, puis sélectionnez la stratégie nouvellement créée.
Sélectionnez Affectations, puis choisissez à qui vous voulez que l’application s’applique.
Sélectionnez Enregistrer.
Stratégies de configuration Android
- Connectez-vous au portail Azure.
- Recherchez Intune ou sélectionnez le widget dans la liste.
- Accédez à Applications clientes>Applications>Stratégies de configuration des applications. Sélectionnez ensuite + Ajouter>Appareils gérés.
- Entrez un nom.
- Sous Plateforme, choisissez Android.
- Sous Application associée, choisissez l’application Workday pour Android que vous avez ajoutée.
- Sélectionnez Paramètres de configuration. Sous Format des paramètres de configuration, sélectionnez Entrer des données JSON.