教程:Microsoft Entra 单一登录 (SSO) 与 Workday 移动应用程序的集成
本教程介绍如何将 Microsoft Entra ID、条件访问和 Intune 与 Workday 移动应用程序集成。 将 Workday 移动应用程序与 Microsoft 集成后,可以:
- 登录之前,请确保设备符合策略。
- 向 Workday 移动应用程序中添加控件,以确保用户安全地访问公司数据。
- 在 Microsoft Entra ID 中控制谁有权访问 Workday。
- 让用户能够使用其 Microsoft Entra 帐户自动登录到 Workday。
- 在一个中心位置(Azure 门户)管理帐户。
先决条件
开始操作:
- 将 Workday 与 Microsoft Entra ID 集成。
- 请阅读 Microsoft Entra 单一登录 (SSO) 与 Workday 的集成。
方案描述
在本教程中,你将为 Workday 移动应用程序配置并测试 Microsoft Entra 条件访问策略和 Intune。
若要启用单一登录 (SSO),可以使用 Microsoft Entra ID 配置 Workday 联合应用程序。 有关详细信息,请参阅 Microsoft Entra 单一登录 (SSO) 与 Workday 集成。
注意
Workday 不支持 Intune 的应用保护策略。 必须使用移动设备管理来使用条件访问。
确保用户能够访问 Workday 移动应用程序
配置 Workday 以允许访问其移动应用。 需要为 Workday 移动设备配置以下策略:
- 访问功能区域报表的域安全策略。
- 选择相应的安全策略:
- 移动设备使用情况 - Android
- 移动设备使用情况 - iPad
- 移动设备使用情况 - iPhone
- 选择“编辑权限”。
- 选择“查看或修改”复选框,授权安全组访问应保护的报告或任务对象项。
- 选择“获取或放置”复选框,授予安全组访问集成和报表或任务安全对象操作的权限。
通过运行“激活挂起的安全策略更改”来激活挂起的安全策略更改。
在 Workday 移动浏览器中打开 Workday 登录页
若要将条件访问应用于 Workday 移动应用程序,必须在外部浏览器中打开该应用。 在“编辑租户设置 - 安全性”中,选择“为本机应用启用移动浏览器 SSO” 。 这要求在 iOS 设备上和用于 Android 的工作配置文件中安装 Intune 批准的浏览器。
设置条件访问策略
此策略只会影响在 iOS 或 Android 设备上的登录。 如果想将其扩展到所有平台,请选择“任何设备”。 此策略要求设备符合策略,将通过 Intune 验证其合规性。 由于 Android 具有工作配置文件,这会阻止任何用户登录到 Workday,除非他们通过其工作配置文件登录并通过 Intune 公司门户安装了该应用。 对于 iOS,需要执行一个额外的步骤,确保同样的情况适用。
Workday 支持以下访问控制:
- 要求多重身份验证
- 要求将设备标记为合规
Workday 应用不支持以下功能:
- 需要批准的客户端应用
- 需要应用保护策略(预览版)
若要将 Workday 设置为受管理设备,请执行以下步骤:
选择“主页”“Microsoft Intune”“条件访问策略”。 然后选择“仅限受管理设备”。
在“仅限受管理设备”中的“名称”下,选择“仅限受管理设备”,然后选择“云应用或操作” 。
在“云应用或操作”中:
将“选择此策略适用的对象”切换到“云应用” 。
在 “包括”中,选择“ 选择资源”。
从“选择”列表中选择“Workday” 。
选择“完成”。
将“启用策略”切换为“打开” 。
选择“保存”。
若要“授权”访问,请执行以下步骤:
选择“主页”“Microsoft Intune”“条件访问策略”。 然后选择“仅限受管理设备”。
在“仅限受管理设备”中的“名称”下,选择“仅限受管理设备” 。 在“访问控制” 下,选择“授予” 。
在“授权”中:
为要强制执行的控件选择“授予访问权限”。
选择“需要将设备标记为兼容” 。
选择“需要所选控件之一”。
选择“选择”。
将“启用策略”切换为“打开” 。
选择“保存”。
设置设备合规性策略
若要确保 iOS 设备只能通过“移动设备管理”管理的 Workday 登录,必须通过在受限应用列表中添加 com.workday.workdayapp 来阻止 App Store 应用。 这可确保只有通过公司门户安装 Workday 的设备才能访问 Workday。 对于浏览器,仅当设备由 Intune 管理,且用户使用托管浏览器时,设备才能访问 Workday。
设置 Intune 应用配置策略
| 方案 | 键值对 |
|---|---|
| 自动为以下应用填充“租户”和“Web 地址”字段: ● Android 上的 Workday(为工作配置文件启用 Android 时)。 ● iPad 和 iPhone 上的 Workday。 |
使用以下值来配置租户: ● 配置键 = UserGroupCode● 值类型 = 字符串 ● 配置值 = 租户名称。 示例: gms使用以下值来配置 Web 地址: ● 配置键 = AppServiceHost● 值类型 = 字符串 ● 配置值 = 租户的基 URL。 示例: https://www.myworkday.com |
| 在 iPad 和 iPhone 上为 Workday 禁用以下操作: ● 剪切、复制和粘贴 ● 打印 |
在这些键上将值(布尔值)设置为 False 以禁用功能:● AllowCutCopyPaste● AllowPrint |
| 在 Android 上禁用 Workday 的屏幕截图功能。 | 将 AllowScreenshots 键上的值(布尔值)设置为 False 以禁用功能。 |
| 为用户禁用建议的更新。 | 将 AllowSuggestedUpdates 键上的值(布尔值)设置为 False 以禁用功能。 |
| 自定义应用商店 URL,以将移动用户定向到所选的应用商店。 | 使用以下值更改应用商店的 URL: ● 配置键 = AppUpdateURL● 值类型 = 字符串 ● 配置值 = 应用商店 URL |
iOS 配置策略
登录 Azure 门户。
搜索“Intune”或选择列表中的小组件。
转到“客户端应用”“应用”“应用配置策略”。 然后选择“+ 添加”“仅限受管理设备”。
输入名称。
在“平台”下,选择“iOS/iPadOS” 。
在“关联的应用”下,选择你添加的适用于 iOS 的 Workday 应用。
选择“配置设置”。 在“配置设置格式”下,选择“输入 XML 数据” 。
下面是示例 XML 文件。 添加要应用的配置。 将
STRING_VALUE替换为要使用的字符串。 将<true /> or <false />替换为<true />或<false />。 如果未添加配置,则此示例功能就像它一样设置为True。<dict> <key>UserGroupCode</key> <string>STRING_VALUE</string> <key>AppServiceHost</key> <string>STRING_VALUE</string> <key>AllowCutCopyPaste</key> <true /> or <false /> <key>AllowPrint</key> <true /> or <false /> <key>AllowSuggestedUpdates</key> <true /> or <false /> <key>AppUpdateURL</key> <string>STRING_VALUE</string> </dict>选择 添加 。
刷新页面,然后选择新创建的策略。
选择“分配”,然后选择该应用适用于的用户。
选择“保存”。
Android 配置策略
- 登录 Azure 门户。
- 搜索“Intune”或选择列表中的小组件。
- 转到“客户端应用”“应用”“应用配置策略”。 然后选择“+ 添加”“仅限受管理设备”。
- 输入名称。
- 在“平台”下,选择“Android” 。
- 在“关联的应用”下,选择你添加的适用于 Android 的 Workday 应用。
- 选择“配置设置”。 在“配置设置格式”下,选择“输入 JSON 数据” 。