Esercitazione: Integrazione dell'accesso Single Sign-On (SSO) di Microsoft Entra con Workday Mobile Application

Questa esercitazione descrive come integrare Microsoft Entra ID, Accesso condizionale e Intune con l'applicazione Workday Mobile. Integrando l'applicazione Workday per dispositivi mobili con Microsoft, è possibile:

• Assicurarsi che i dispositivi siano conformi ai propri criteri prima dell'accesso.
• Aggiungere controlli all'applicazione Workday per dispositivi mobili per assicurarsi che gli utenti accedano in modo sicuro ai dati aziendali.
• Controllare in Microsoft Entra ID chi può accedere a Workday.
• Abilitare gli utenti per l'accesso automatico a Workday con gli account Microsoft Entra personali.
• È possibile gestire gli account in un'unica posizione centrale: il portale di Azure.

Prerequisiti

Attività iniziali:

• Integrare Workday con Microsoft Entra ID.
• Leggere Integrazione dell'accesso Single Sign-On (SSO) di Microsoft Entra con Workday.

Descrizione dello scenario

In questa esercitazione vengono configurati e testato i criteri di accesso condizionale di Microsoft Entra e Intune con l'applicazione workday per dispositivi mobili.

Per abilitare l'accesso Single Sign-On (SSO), è possibile configurare l'applicazione Federata Workday con Microsoft Entra ID. Per altre informazioni, vedere Integrazione dell'accesso Single Sign-On (SSO) di Microsoft Entra con Workday.

Nota

Workday non supporta i criteri di protezione delle app di Intune. Per sfruttare l'accesso condizionale, è necessario usare il software per la gestione di dispositivi mobili.

Assicurarsi che gli utenti abbiano accesso all'applicazione Workday per dispositivi mobili

Configurare Workday per consentire l'accesso alle app per dispositivi mobili. È necessario configurare i criteri seguenti per l'applicazione Workday per dispositivi mobili:

1. Accedere al report dei criteri di sicurezza del dominio per area funzionale.
2. Selezionare i criteri di sicurezza appropriati:
   • Utilizzo di dispositivi mobili Android
   • Utilizzo di dispositivi mobili iPad
   • Utilizzo di dispositivi mobili iPhone
3. Selezionare Edit Permissions (Modifica autorizzazioni).
4. Selezionare la casella di controllo View or Edit (Visualizzazione o Modifica) per concedere ai gruppi di sicurezza l'accesso al report o assegnare gli elementi da proteggere.
5. Selezionare la casella di controllo Get or Put (Recupero o Inserimento) per concedere ai gruppi di sicurezza l'accesso all'integrazione e al report o assegnare le azioni da proteggere.

Attivare le modifiche in sospeso ai criteri di sicurezza eseguendo Activate Pending Security Policy Changes (Attiva le modifiche in sospeso ai criteri di sicurezza).

Aprire la pagina di accesso di Workday nel browser di Workday per dispositivi mobili

Per applicare l'accesso condizionale all'applicazione Workday per dispositivi mobili, è necessario aprire l'app in un browser esterno. In Edit Tenant Setup - Security (Modifica la configurazione del tenant - Sicurezza) selezionare Enable Mobile Browser SSO for Native Apps (Abilita SSO nel browser per le app native). È necessario che nel dispositivo per iOS e nel profilo di lavoro per Android sia installato un browser approvato da Intune.

Configurare i criteri di accesso condizionale

Questi criteri influiscono solo sull'accesso ai dispositivi iOS e Android. Per estenderli a tutte le piattaforme, selezionare Any Device (Qualsiasi dispositivo). È necessario che il dispositivo sia conforme a questi criteri ed è possibile verificarlo tramite Intune. In Android i profili di lavoro dovrebbero impedire agli utenti di accedere a Workday a meno che non eseguano l'accesso tramite i profili di lavoro e abbiano installato l'app tramite il Portale aziendale di Intune. Per iOS è necessario eseguire un passaggio aggiuntivo per assicurarsi che venga applicata la stessa situazione.

Workday supporta i controlli di accesso seguenti:

• Richiedere l'autenticazione a più fattori
• Richiedere che il dispositivo sia contrassegnato come conforme

L'app Workday non supporta i criteri seguenti:

• Richiedi app client approvata
• Richiedi criteri di protezione delle app (anteprima)

Per configurare Workday come dispositivo gestito seguire questa procedura:

1. Selezionare Home>Microsoft Intune>Criteri di accesso condizionale. Selezionare quindi Managed Devices Only (Solo dispositivi gestiti).

2. In Managed Devices Only (Solo dispositivi gestiti) selezionare Managed Devices Only in Nome e quindi selezionare Applicazioni cloud o azioni.

3. In Applicazioni o azioni cloud:

   1. Impostare l'interruttore Selezionare a cosa si applicano i criteri su App cloud.

   2. In Includi scegliere Seleziona risorse.

   3. Nell'elenco Seleziona scegliere Workday.

   4. Selezionare Fatto.

4. Impostare Abilita criteri su Sì.

5. Seleziona Salva.

Per Concedi seguire questa procedura:

1. Selezionare Home>Microsoft Intune>Criteri di accesso condizionale. Selezionare quindi Managed Devices Only (Solo dispositivi gestiti).

2. In Managed Devices Only (Solo dispositivi gestiti) selezionare Managed Devices Only in Nome. In Controlli di accesso selezionare Concedi.

3. In Concedi:

   1. Selezionare i controlli da applicare in Concedi accesso.

   2. Selezionare Richiedi che i dispositivi siano contrassegnati come conformi.

   3. Selezionare Richiedi uno dei controlli selezionati.

   4. Scegli Seleziona.

4. Impostare Abilita criteri su Sì.

5. Seleziona Salva.

Configurare i criteri di conformità dei dispositivi

Per assicurarsi che i dispositivi iOS siano in grado di accedere solo tramite Workday controllato da software per la gestione di dispositivi mobili, è necessario bloccare l'app nell'App Store aggiungendo com.workday.workdayapp all'elenco delle app con restrizioni. In questo modo, solo i dispositivi in cui l'app Workday è stata installata tramite il portale aziendale potranno accedere a Workday. Per il browser, i dispositivi potranno accedere a Workday solo se il dispositivo è gestito da Intune e usa un browser gestito.

Configurare i criteri di configurazione app di Intune

Scenario	Coppie chiave-valore
Popolare automaticamente i campi Tenant e Indirizzo Web per: ● Workday in Android quando si abilitano i profili di lavoro di Android. ● Workday in iPad e iPhone.	Usare questi valori per configurare il tenant: ● Chiave di configurazione = UserGroupCode ● Tipo valore = String ● Valore di configurazione = il nome del tenant. Esempio: gms Usare questi valori per configurare l'indirizzo Web: ● Chiave di configurazione = AppServiceHost ● Tipo di valore = stringa ● Valore di configurazione = URL di base per il tenant. Esempio: https://www.myworkday.com
Disabilitare queste azioni per Workday in iPad e iPhone: ● Taglia, Copia e Incolla ● Stampa	Impostare il valore (booleano) su False in queste chiavi per disabilitare la funzionalità: ● AllowCutCopyPaste ● AllowPrint
Disabilitare gli screenshot per Workday in Android.	Impostare il valore (booleano) su False nella chiave AllowScreenshots per disabilitare la funzionalità.
Disabilitare gli aggiornamenti suggeriti per gli utenti.	Impostare il valore (booleano) su False nella chiave AllowSuggestedUpdates per disabilitare la funzionalità.
Personalizzare l'URL dell'App Store per indirizzare gli utenti di dispositivi mobili a uno store specifico.	Usare questi valori per cambiare l'URL dell'Spp Store: ● Chiave di configurazione = AppUpdateURL ● Tipo di valore = stringa ● Valore di configurazione = URL dell'App Store

Criteri di configurazione iOS

1. Accedere al portale di Azure.

2. Cercare Intune oppure fare clic sul widget nell'elenco.

3. Passare a App client>App>Criteri di configurazione dell'app. Selezionare quindi + Aggiungi>Dispositivi gestiti.

4. Immetti un nome.

5. In Piattaforma scegliere iOS/iPadOS.

6. In App associata scegliere l'app Workday per iOS aggiunta.

7. Selezionare Impostazioni di configurazione. In Formato delle impostazioni di configurazione selezionare Immettere i dati XML.

8. Ecco un esempio di file XML. Aggiungere le configurazioni da applicare. Sostituire STRING_VALUE con la stringa da usare. Sostituire <true /> or <false /> con <true /> o <false />. Se non si aggiunge una configurazione, si avrà lo stesso effetto dell'impostazione su True.

   <dict>
   <key>UserGroupCode</key>
   <string>STRING_VALUE</string>
   <key>AppServiceHost</key>
   <string>STRING_VALUE</string>
   <key>AllowCutCopyPaste</key>
   <true /> or <false />
   <key>AllowPrint</key>
   <true /> or <false />
   <key>AllowSuggestedUpdates</key>
   <true /> or <false />
   <key>AppUpdateURL</key>
   <string>STRING_VALUE</string>
   </dict>
   
   

9. Selezionare Aggiungi.

10. Aggiornare la pagina e selezionare i criteri appena creati.

11. Selezionare Assegnazioni e scegliere a chi applicare l'app.

12. Seleziona Salva.

Criteri di configurazione android

1. Accedere al portale di Azure.
2. Cercare Intune oppure fare clic sul widget nell'elenco.
3. Passare a App client>App>Criteri di configurazione dell'app. Selezionare quindi + Aggiungi>Dispositivi gestiti.
4. Immetti un nome.
5. In Piattaforma scegliere Android.
6. In App associata scegliere l'app Workday per Android aggiunta.
7. Selezionare Impostazioni di configurazione. In Formato delle impostazioni di configurazione selezionare Immettere i dati JSON.