Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med Workday Mobile Application

I den här självstudien lär du dig att integrera Microsoft Entra-ID, villkorlig åtkomst och Intune med Workday Mobile Application. När du integrerar Workday Mobile Application med Microsoft kan du:

• Se till att enheterna är kompatibla med dina principer innan du loggar in.
• Lägg till kontroller i Workday Mobile Application för att säkerställa att användarna får säker åtkomst till företagsdata.
• Kontroll i Microsoft Entra-ID som har åtkomst till Workday.
• Gör så att dina användare automatiskt loggas in på Workday med sina Microsoft Entra-konton.
• Hantera dina konton på en central plats: Azure-portalen.

Förutsättningar

Så här kommer du i gång:

• Integrera Workday med Microsoft Entra-ID.
• Läs Microsoft Entra-integrering med enkel inloggning (SSO) med Workday.

Beskrivning av scenario

I den här självstudien konfigurerar och testar du Microsoft Entras principer för villkorsstyrd åtkomst och Intune med Workday Mobile Application.

Om du vill aktivera enkel inloggning (SSO) kan du konfigurera Workday Federated-program med Microsoft Entra-ID. Mer information finns i Microsoft Entra-integrering med enkel inloggning (SSO) med Workday.

Kommentar

Workday stöder inte appskyddsprinciperna i Intune. Du måste använda hantering av mobila enheter för att använda villkorsstyrd åtkomst.

Se till att användarna har åtkomst till Workday Mobile Application

Konfigurera Workday för att tillåta åtkomst till deras mobilappar. Du måste konfigurera följande principer för Workday Mobile:

1. Få åtkomst till domänsäkerhetsprinciperna för funktionsområdesrapport.
2. Välj lämplig säkerhetsprincip:
   • Mobil användning – Android
   • Mobil användning – iPad
   • Mobil användning – i Telefon
3. Välj Redigera behörigheter.
4. Markera kryssrutan Visa eller Ändra för att ge säkerhetsgrupperna åtkomst till rapporten eller uppgiftsskyddbara objekt.
5. Markera kryssrutan Hämta eller Lägg till för att ge säkerhetsgrupperna åtkomst till integrerings- och rapport- eller uppgiftsskyddbara åtgärder.

Aktivera väntande ändringar av säkerhetsprinciper genom att köra Aktivera väntande ändringar av säkerhetsprinciper.

Öppna inloggningssidan för Workday i Workday Mobile Browser

Om du vill tillämpa villkorlig åtkomst på Workday Mobile Application måste du öppna appen i en extern webbläsare. I Redigera klientinstallation – Säkerhet väljer du Aktivera enkel inloggning med mobila webbläsare för interna appar. Detta kräver att en webbläsare som godkänts av Intune installeras på enheten för iOS och i arbetsprofilen för Android.

Konfigurera princip för villkorsstyrd åtkomst

Den här principen påverkar endast inloggning på en iOS- eller Android-enhet. Om du vill utöka den till alla plattformar väljer du Valfri enhet. Den här principen kräver att enheten är kompatibel med principen och verifierar detta via Intune. Eftersom Android har arbetsprofiler blockerar detta alla användare från att logga in på Workday, såvida de inte loggar in via sin arbetsprofil och har installerat appen via Intune-företagsportalen. Det finns ytterligare ett steg för iOS för att se till att samma situation gäller.

Workday stöder följande åtkomstkontroller:

• Kräv multifaktorautentisering
• Kräv att enheten är markerad som kompatibel

Workday App stöder inte följande:

• Kräv godkänd klientapp
• Kräv appskyddsprincip (förhandsversion)

Utför följande steg för att konfigurera Workday som en hanterad enhet:

1. Välj Home Microsoft Intune>Conditional Access-Policies (Principer>för villkorlig åtkomst). Välj sedan Endast hanterade enheter.

2. I Endast hanterade enheter under Namn väljer du Endast hanterade enheter och sedan Molnappar eller åtgärder.

3. I molnappar eller åtgärder:

   1. Växla Välj vad den här principen gäller förmolnappar.

   2. I Inkludera väljer du Välj appar.

   3. I listan Välj väljer du Workday.

   4. Välj Klart.

4. Växla Aktivera princip till På.

5. Välj Spara.

Utför följande steg för Bevilja åtkomst:

1. Välj Home Microsoft Intune>Conditional Access-Policies (Principer>för villkorlig åtkomst). Välj sedan Endast hanterade enheter.

2. I Endast hanterade enheter går du till Namn och väljer Endast hanterade enheter. Under Åtkomstkontroller väljer du Bevilja.

3. I Bevilja:

   1. Välj de kontroller som ska tillämpas som Bevilja åtkomst.

   2. Välj Kräv att enheten ska markeras som kompatibel.

   3. Välj Kräv en av de valda kontrollerna.

   4. Välj Välj.

4. Växla Aktivera princip till På.

5. Välj Spara.

Konfigurera enhetsefterlevnadsprincip

För att säkerställa att iOS-enheter bara kan logga in via Workday som hanteras av hantering av mobila enheter måste du blockera App Store-appen genom att lägga till com.workday.workdayapp i listan över begränsade appar. Detta säkerställer att endast enheter som har Workday installerat via företagsportalen kan komma åt Workday. För webbläsaren kan enheterna bara komma åt Workday om enheten hanteras av Intune och använder en hanterad webbläsare.

Konfigurera konfigurationsprinciper för Intune-appar

Scenario	Nyckelvärdepar
Fyll automatiskt i fälten Klientorganisation och Webbadress för: ● Workday på Android när du aktiverar Android för arbetsprofiler. ● Workday på iPad och i Telefon.	Använd dessa värden för att konfigurera klientorganisationen: ● Konfigurationsnyckel = UserGroupCode ● Värdetyp = Sträng ● Konfigurationsvärde = Ditt klientnamn. Exempel: gms Använd dessa värden för att konfigurera din webbadress: ● Konfigurationsnyckel = AppServiceHost ● Värdetyp = Sträng ● Konfigurationsvärde = bas-URL:en för din klientorganisation. Exempel: https://www.myworkday.com
Inaktivera dessa åtgärder för Workday på iPad och i Telefon: ● Klipp ut, kopiera och klistra in ● Skriv ut	Ange värdet (booleskt) till False på dessa nycklar för att inaktivera funktionen: ● AllowCutCopyPaste ● AllowPrint
Inaktivera skärmbilder för Workday på Android.	Ange värdet (booleskt) till False på AllowScreenshots nyckeln för att inaktivera funktioner.
Inaktivera föreslagna uppdateringar för dina användare.	Ange värdet (booleskt) till False på AllowSuggestedUpdates nyckeln för att inaktivera funktioner.
Anpassa appbutikens URL för att dirigera mobila användare till valfri appbutik.	Använd dessa värden för att ändra appbutikens URL: ● Konfigurationsnyckel = AppUpdateURL ● Värdetyp = Sträng ● Konfigurationsvärde = App Store-URL

Konfigurationsprinciper för iOS

1. Logga in på Azure-portalen.

2. Sök efter Intune eller välj widgeten i listan.

3. Gå till Appkonfigurationsprinciper för klientappar>>. Välj sedan + Lägg till>hanterade enheter.

4. Ange ett namn.

5. Under Plattform väljer du iOS/iPadOS.

6. Under Associerad app väljer du den Workday för iOS-app som du lade till.

7. Välj Konfiguration Inställningar. Under Format för konfigurationsinställningar väljer du Ange XML-data.

8. Här är en XML-exempelfil. Lägg till de konfigurationer som du vill använda. Ersätt STRING_VALUE med strängen som du vill använda. Ersätt <true /> or <false /> med <true /> eller <false />. Om du inte lägger till en konfiguration fungerar det här exemplet som om det är inställt på True.

   <dict>
   <key>UserGroupCode</key>
   <string>STRING_VALUE</string>
   <key>AppServiceHost</key>
   <string>STRING_VALUE</string>
   <key>AllowCutCopyPaste</key>
   <true /> or <false />
   <key>AllowPrint</key>
   <true /> or <false />
   <key>AllowSuggestedUpdates</key>
   <true /> or <false />
   <key>AppUpdateURL</key>
   <string>STRING_VALUE</string>
   </dict>
   
   

9. Markera Lägga till.

10. Uppdatera sidan och välj den nyskapade principen.

11. Välj Tilldelningar och välj vem du vill att appen ska gälla för.

12. Välj Spara.

Konfigurationsprinciper för Android

1. Logga in på Azure-portalen.
2. Sök efter Intune eller välj widgeten i listan.
3. Gå till Appkonfigurationsprinciper för klientappar>>. Välj sedan + Lägg till>hanterade enheter.
4. Ange ett namn.
5. Under Plattform väljer du Android.
6. Under Associerad app väljer du den Workday för Android-app som du lade till.
7. Välj Konfiguration Inställningar. Under Format för konfigurationsinställningar väljer du Ange JSON-data.