Zelfstudie: Integratie van eenmalige aanmelding van Microsoft Entra met Workday Mobile Application

In deze zelfstudie leert u hoe u Microsoft Entra ID, voorwaardelijke toegang en Intune integreert met workday Mobile Application. Wanneer u de mobiele Workday-app integreert met Microsoft, kunt u het volgende doen:

• Garanderen dat apparaten voldoen aan uw beleid voordat ze worden aangemeld.
• Besturingselementen toevoegen aan de mobiele Workday-app om ervoor te zorgen dat gebruikers veilig toegang krijgen tot bedrijfsgegevens.
• In Microsoft Entra-id beheren wie toegang heeft tot Workday.
• Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Workday.
• Uw accounts op één centrale locatie beheren: de Azure-portal.

Vereisten

Ga als volgt aan de slag:

• Integreer Workday met Microsoft Entra ID.
• Integratie van eenmalige aanmelding van Microsoft Entra met Workday.

Beschrijving van scenario

In deze zelfstudie configureert en test u het beleid voor voorwaardelijke toegang van Microsoft Entra en Intune met de mobiele Workday-toepassing.

Voor het inschakelen van eenmalige aanmelding (SSO) kunt u de Federatieve Toepassing van Workday configureren met Microsoft Entra-id. Zie Integratie van eenmalige aanmelding (SSO) van Microsoft Entra met Workday voor meer informatie.

Notitie

Workday biedt geen ondersteuning voor app-beveiligingsbeleid van Intune. U moet Mobile Device Management gebruiken om gebruik te maken van voorwaardelijke toegang.

Zorg ervoor dat gebruikers toegang hebben tot de mobiele Workday-app

Configureer Workday om toegang tot hun mobiele apps toe te staan. U moet de onderstaande beleidsregels configureren voor de mobiele Workday-app:

1. Open het rapport Domain Security Policies for Functional Area.
2. Selecteer het juiste beveiligingsbeleid:
   • Mobile Usage - Android
   • Mobile Usage - iPad
   • Mobile Usage - iPhone
3. Selecteer Machtigingen bewerken.
4. Schakel het selectievakje Weergeven of wijzigen in om de beveiligingsgroepen toegang te geven tot beveiligbare items van het rapport of de taak.
5. Schakel het selectievakje Ophalen of Plaatsen in om de beveiligingsgroepen toegang te geven tot integratieacties en acties waarmee rapporten of taken worden beveiligd.

Activeer wijzigingen van het beveiligingsbeleid die in behandeling zijn door de taak Activate Pending Security Policy Changes uit te voeren.

De aanmeldingspagina openen in de browser van de mobiele Workday-app

Als u voorwaardelijke toegang wilt toepassen op de mobiele Workday-app, moet u de app openen in een externe browser. Schakel in Configuratie tenant bewerken - Beveiliging het selectievakje Eenmalige aanmelding mobiele bedrijfseigen apps via een browser inschakelen in. Hiervoor moet een door Intune goedgekeurde browser worden geïnstalleerd op het apparaat voor iOS en in het werkprofiel voor Android.

Het beleid voor voorwaardelijke toegang instellen

Dit beleid is alleen van invloed op aanmelding bij een iOS- of Android-apparaat. Als u het beleid wilt uitbreiden naar alle platforms, selecteert u Elk apparaat. Voor dit beleid is het vereist dat het apparaat compatibel is met het beleid. Dit wordt gecontroleerd via Intune. Omdat Android werkprofielen heeft, kunnen gebruikers zich pas aanmelden bij Workday als ze zich aanmelden via hun werkprofiel en de app hebben geïnstalleerd via de Intune-bedrijfsportal. Voor iOS is een stap extra nodig om ervoor te zorgen dat dezelfde situatie van toepassing is.

Workday ondersteunt de volgende besturingselementen voor toegang:

• Meervoudige verificatie vereisen
• Vereisen dat het apparaat moet worden gemarkeerd als compatibel

De Workday-app biedt geen ondersteuning voor het volgende:

• Goedgekeurde client-apps vereisen
• Beleid voor app-beveiliging vereisen (preview)

Als u Workday wilt instellen als een beheerd apparaat, voert u de volgende stappen uit:

1. Selecteer Start>Microsoft Intune>Beleid voor voorwaardelijke toegang. Selecteer vervolgens Alleen beheerde apparaten.

2. Selecteer in Alleen beheerde apparaten onder NaamAlleen beheerde apparaten en selecteer vervolgens Cloud-apps of -acties.

3. Doe het volgende in Cloud-apps of acties:

   1. Schakel Selecteer waarop dit beleid van toepassing is over naar Cloud-apps.

   2. Kies bij InvoegenApps selecteren.

   3. Kies Workday uit de lijst Selecteren.

   4. Selecteer Gereed.

4. Schakel Beleid inschakelen over naar Aan.

5. Selecteer Opslaan.

Voer in het deelvenster Verlenen de volgende stappen uit:

1. Selecteer Start>Microsoft Intune>Beleid voor voorwaardelijke toegang. Selecteer vervolgens Alleen beheerde apparaten.

2. Selecteer op de Alleen beheerde apparaten onder NaamAlleen beheerde apparaten. Selecteer Verlenen onder Besturingselementen voor toegang.

3. Doe het volgende in Verlenen:

   1. Selecteer de besturingselementen die moeten worden afgedwongen voor Toegang verlenen.

   2. Selecteer Vereisen dat het apparaat als compatibel moet worden gemarkeerd.

   3. Selecteer Een van de geselecteerde besturingselementen vereisen.

   4. Kies Selecteren.

4. Schakel Beleid inschakelen over naar Aan.

5. Selecteer Opslaan.

Nalevingsbeleid voor apparaten instellen

Als u ervoor wilt zorgen dat iOS-apparaten alleen kunnen worden aangemeld via Workday onder beheer van Mobile Device Management, moet u de App Store-app blokkeren door com.workday.workdayapp toe te voegen aan de lijst met beperkte apps. Dit zorgt ervoor dat alleen apparaten toegang hebben tot Workday waarop Workday is geïnstalleerd via de bedrijfsportal. Via een browser hebben apparaten alleen toegang tot Workday als het apparaat wordt beheerd door Intune en er een beheerde browser wordt gebruikt.

Configuratiebeleidsregels voor Intune-apps instellen

Scenario	Sleutel-waardeparen
Automatisch de velden Tenant en Webadres invullen voor: ● Workday op Android wanneer u Android inschakelt voor werkprofielen. ● Workday op iPad en iPhone.	Gebruik deze waarden om uw tenant te configureren: ● Configuratiesleutel = UserGroupCode ● Waardetype = Tekenreeks ● Configuratiewaarde = Naam van uw tenant. Voorbeeld: gms Gebruik deze waarden om uw webadres te configureren: ● Configuratiesleutel = AppServiceHost ● Waardetype = Tekenreeks ● Configuratiewaarde = De basis-URL voor uw tenant. Voorbeeld: https://www.myworkday.com
Deze acties uitschakelen voor Workday op iPad en iPhone: ● Knippen, kopiëren en plakken ● Afdrukken	Stel de waarde (Booleaans) in op False voor deze sleutels om de functionaliteit uit te schakelen: ● AllowCutCopyPaste ● AllowPrint
Schermopnamen uitschakelen voor Workday op Android.	Stel de waarde (Booleaans) in op False voor de sleutel AllowScreenshots om de functionaliteit uit te schakelen.
Voorgestelde updates uitschakelen voor uw gebruikers.	Stel de waarde (Booleaans) in op False voor de sleutel AllowSuggestedUpdates om de functionaliteit uit te schakelen.
De URL van de App Store aanpassen om mobiele gebruikers naar de App Store van uw keuze te leiden.	Gebruik deze waarden om de URL van de App Store te wijzigen: ● Configuratiesleutel = AppUpdateURL ● Waardetype = Tekenreeks ● Configuratiewaarde = URL van App Store

Configuratiebeleid voor iOS

1. Meld u aan bij de Azure-portal.

2. Zoek Intune of selecteer de widget in de lijst.

3. Ga naar Client-apps>Apps>App-configuratiebeleid. Selecteer vervolgens + Toevoegen>Beheerde apparaten.

4. Voer een naam in.

5. Kies iOS/iPadOS onder Platform.

6. Kies onder Gekoppelde app de Workday for iOS-app die u hebt toegevoegd.

7. Selecteer Configuratie-instellingen. Selecteer XML-gegevens invoeren onder Indeling van configuratie-instellingen.

8. Hier ziet u een XML-voorbeeldbestand. Voeg de configuraties toe die u wilt toepassen. Vervang STRING_VALUE door de tekenreeks die u wilt gebruiken. Vervang <true /> or <false /> door <true /> of <false />. Als u geen configuratie toevoegt, fungeert dit voorbeeld alsof het is ingesteld op True.

   <dict>
   <key>UserGroupCode</key>
   <string>STRING_VALUE</string>
   <key>AppServiceHost</key>
   <string>STRING_VALUE</string>
   <key>AllowCutCopyPaste</key>
   <true /> or <false />
   <key>AllowPrint</key>
   <true /> or <false />
   <key>AllowSuggestedUpdates</key>
   <true /> or <false />
   <key>AppUpdateURL</key>
   <string>STRING_VALUE</string>
   </dict>
   
   

9. Selecteer Toevoegen.

10. Vernieuw de pagina en selecteer het zojuist gemaakte beleid.

11. Selecteer Toewijzingen en kies op wie u de app wilt toepassen.

12. Selecteer Opslaan.

Configuratiebeleid voor Android

1. Meld u aan bij de Azure-portal.
2. Zoek Intune of selecteer de widget in de lijst.
3. Ga naar Client-apps>Apps>App-configuratiebeleid. Selecteer vervolgens + Toevoegen>Beheerde apparaten.
4. Voer een naam in.
5. Kies onder Platform de optie Android.
6. Kies onder Gekoppelde app de Workday for Android-app die u hebt toegevoegd.
7. Selecteer Configuratie-instellingen. Selecteer JSON-gegevens invoeren onder Indeling van configuratie-instellingen.