Warehouse Management 行動裝置應用程式的使用者型驗證
Warehouse Management 行動裝置應用程式支援以下類型的使用者型驗證:
- 裝置代碼流程驗證
- 使用者名稱和密碼認證
重要
所有用來登入的 Microsoft Entra 識別碼帳戶都必須僅被授權執行其倉儲任務所需的最低權限集。 應嚴格限制倉儲行動裝置使用者活動的權限。 切勿使用管理帳戶登入裝置。
管理裝置的情境, Microsoft Entra 識別碼使用者和行動裝置使用者
出於安全目的,Warehouse Management 行動裝置應用程式使用 Microsoft Entra 識別碼來驗證應用程式與 Dynamics 365 Supply Chain Management 之間的連線。 管理各種設備和使用者的 Microsoft Entra ID 使用者帳戶有兩種基本方案:一種是每個 Microsoft Entra ID 使用者帳戶代表一個唯一的設備,另一種是每個 Microsoft Entra ID 使用者代表唯一的人類工作者。 在每種情況下,每個工作人員都會倉儲管理模組中設定一個倉儲工作人員記錄,以及對於每個倉儲工作人員記錄有一或多個行動裝置使用者帳戶。 對於擁有多個行動裝置使用者帳戶的倉儲工作人員帳戶,可以將其中一個設為預設行動裝置使用者帳戶。 這兩種情境為:
- 為每台行動裝置使用一個 Microsoft Entra 識別碼使用者帳戶 - 在此情境中,管理員將 Warehouse Management 行動裝置應用程式設定為使用裝置代碼流程驗證或使用者名稱/密碼驗證以透過裝置的 Microsoft Entra 識別碼帳戶連接到 Supply Chain Management。 (在此情境中,真人工作人員不需要 Microsoft Entra 識別碼使用者帳戶。) 然後,該應用程式會顯示一個登入頁面,供真人工作人員登入該應用程式,以便他們可以存取其所在位置適用於他們的工作和其他記錄。 真人工作人員使用指派給其倉儲工作人員記錄的其中一個行動裝置使用者帳戶的使用者識別碼和密碼來登入。 因為真人工作人員必須一律輸入使用者識別碼,因此其中哪一個行動裝置使用者帳戶是設定為倉儲工作人員記錄的預設帳號並不重要。 當真人工作人員登出時,應用程式仍會透過 Supply Chain Management 進行驗證,但會再次顯示登入頁面,以便下一位真人工作人員可以使用其行動裝置使用者帳戶登入。
- 為每位真人工作人員使用一個 Microsoft Entra 識別碼使用者帳戶 - 在此情境中,每位真人工作人員都有一個在 Supply Chain Management 中連結到與其倉儲工作人員帳戶的 Microsoft Entra 識別碼使用者帳戶。 因此,Microsoft Entra 識別碼使用者登入可能是真人工作人員透過 Supply Chain Management 驗證應用程式並登入應用程式所需的全部內容,前提是已經設定好倉儲工作人員帳號的預設使用者識別碼。 此情境也支援單一登入 (SSO),因為相同的 Microsoft Entra 識別碼工作階段可以在裝置上的其他應用程式之間共用 (例如 Microsoft Teams 或 Outlook),直到真人工作人員登出 Microsoft Entra 識別碼使用者帳號。
裝置代碼流程驗證
當您使用裝置代碼驗證時,Warehouse Management 行動裝置應用程式會產生並顯示唯一的裝置代碼。 然後,設定裝置的管理員必須將此裝置代碼以及 Microsoft Entra 識別碼使用者帳戶的憑證 (名稱和密碼) 輸入到線上表單中,該識別碼使用者帳戶代表裝置本身或正在登入的 真人工作人員 (取決於管理員如何實施系統)。 在某些情況下,根據 Microsoft Entra 識別碼使用者帳戶的設定方式,管理員可能還必須核准登入。 除了唯一的裝置代碼之外,行動裝置應用程式還會顯示管理員必須在其中輸入代碼的 URL 以及 Microsoft Entra 識別碼使用者帳戶的憑證。
裝置代碼驗證簡化了驗證流程,因為使用者無需管理憑證或用戶端密碼。 但是,它引入了一些額外的要求和限制:
- 您應該為每個裝置或真人工作人員建立一個唯一的 Microsoft Entra 識別碼使用者帳戶。 此外,應嚴格限制這些帳戶,使其只能執行倉儲行動裝置使用者活動。
- 當工作人員使用倉庫管理行動應用程式登入時,系統會向他們顯示產生的裝置代碼。 此代碼將在 15 分鐘後過期,然後被應用程式隱藏。 如果程式碼在登入完成之前過期,工作人員必須透過在應用程式中再次選擇 連線 來產生新程式碼。
- 如果裝置閒置 90 天,它會自動登出。
- 當您將裝置程式碼流驗證與行動大規模部署 (MDM) 系統(例如 Intune)一起使用來分發 Warehouse Management 行動應用程式時,不支援單一登入 (SSO)。 您仍然可以使用 MDM 系統將應用程式交付到每個行動設備,並交付使用設備代碼設定連接的
connections.json檔案。 唯一的區別是,工作人員在開始使用該應用程式時必須手動登入。 (此步驟只需執行一次。)
使用者名稱/密碼驗證
當您使用使用者名稱/密碼驗證時,每位真人工作人員都必須輸入與裝置或自己本身有關的 Microsoft Entra 識別碼使用者名稱和密碼 (取決於你使用的驗證情境)。 他們可能還需要輸入行動裝置使用者帳號識別碼和密碼,這取決於他們的倉儲工作人員記錄設定。 此驗證方法支援 單一登入 (SSO),這也增強了行動大規模部署(MDM)的便利性。
在 Microsoft Entra ID 中註冊應用程式(可選)
倉庫管理行動應用程式使用 Microsoft Entra ID 應用程式對您的連線進行身份驗證和供應鏈管理環境。 您可以使用 Microsoft 提供和維護的全域應用程序,也可以按照本節中的程序在 Microsoft Entra ID 中註冊您自己的應用程式。
重要
在大多數情況下,我們建議您使用全域 Microsoft Entra ID 應用程序,因為它更易於設定、使用和維護。 (有關詳細信息,請參閱 安裝倉庫管理行動應用程式。)在這種情況下,您可以跳過此部分。 但是,如果您有全域應用程式無法滿足的特定要求(例如某些本機環境的要求),您可以按照此處所述註冊您自己的應用程式。
以下過程顯示了在 Microsoft Entra ID 中註冊應用程式的一種方法。 有關詳細資訊和替代方案,請使用該過程後面的連結。
在 Web 瀏覽器中,前往 https://portal.azure.com。
輸入有權存取 Azure 訂閱的使用者名稱和密碼。
請在 Azure 入口網站左側的瀏覽窗格中選取 Microsoft Entra 識別碼。
確認您正在使用由 Supply Chain Management 使用的 Microsoft Entra 識別碼執行個體。
請在管理清單中選擇應用程式註冊。
在工具列上,選擇新註冊以打開註冊應用程式精靈。
輸入應用程式的名稱,選擇僅限此組織目錄中的帳戶選項,然後選擇註冊。
您的新應用程式註冊已打開。 記下應用程式 (用戶端) 識別碼值,因為您之後將需要它。 此識別碼在本文後面將被稱為用戶端識別碼。
請在管理清單中選取驗證。
在新應用程式的驗證頁面上,將啟用以下行動裝置和桌面流程選項設為是以啟用應用程式的裝置代碼流程。 然後選取儲存。
選取新增平台。
在設定平台對話方塊中,選取行動裝置和桌面應用程式。
在設定桌機+裝置對話方塊中,將自訂重新導向 URI欄位設定為以下值:
ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333選取設定以儲存您的設定並關閉對話方塊。
您會返回驗證頁面,該頁面現在顯示您的新平台設定。 再次選取新增平台。
在設定平台對話方塊中,選取 Android。
在設定您的 Android 應用程式對話方塊中,設定以下欄位:
封裝名稱 – 輸入以下值:
com.microsoft.warehousemanagement簽章雜湊 – 輸入以下值:
hpavxC1xAIAr5u39m1waWrUbsO8=
選取設定以儲存您的設定並關閉對話方塊。 然後選取完成以返回驗證頁面,該頁面現在顯示您的新平台設定。
再次選取新增平台。
在設定平台對話方塊中,選取 iOS / macOS。
在設定您的 iOS 或 macOS 應用程式對話方塊中,將搭售方案識別碼欄位設為 com.microsoft.WarehouseManagement。
選取設定以儲存您的設定並關閉對話方塊。 然後選取完成以返回驗證頁面,該頁面現在顯示您的新平台設定。
在進階設定區段中,將允許公共用戶端流程設定為是。
請在管理清單中選取 API 權限。
選擇新增權限。
在請求 API 權限對話方塊中的 Microsoft API 索引標籤上,選取 Dynamics ERP 圖格,然後是委派權限圖格。 在 CustomService 下,選取 CustomService.FullAccess 核取方塊。 最後,選取新增權限以儲存變更。
在左側瀏覽窗格中選取 Microsoft Entra 識別碼。
請在管理清單中選取企業應用程式。 然後,在新的管理清單中,選取所有應用程式。
在搜尋表單中,輸入您先前在此程序中為應用程式輸入的名稱。 確認找到的應用程式的應用程式識別碼值與您先前複製的用戶端識別碼相符。 然後選取名稱欄中的連結以開啟應用程式的屬性。
請在管理清單中選取屬性。
將需要指派?選項設定為是並將對使用者顯示?選項設定為否。 然後選取工具列上的儲存。
請在管理清單中選取使用者和群組。
在工具列上,選取新增使用者/群組。
在新增指派頁面上,選取使用者標題下的連結。
在使用者對話方塊中,選取將用於透過 Supply Chain Management 驗證裝置的每個使用者。
選取選取來套用您的設定並關閉對話方塊。 然後選取 指派來套用您的設定並關閉新增指派頁面。
在安全性清單中,選取權限。
選取授予<您的租用戶>的管理員同意,並代表您的使用者授予管理員同意。 如果您缺少必要的權限,請返回管理列表,打開屬性,並將需要指派嗎?選項設為 False。 然後,每個使用者都可以單獨表示同意。
有關如何在 Microsoft Entra ID 中註冊應用程式的更多信息,請參閱以下資源:
有關如何使用 Windows PowerShell 在 Microsoft Entra ID 中註冊應用程式的說明,請參閱 如何:使用 Azure PowerShell 建立帶有憑證的服務主體.
有關如何在 Microsoft Entra ID 中手動註冊應用程式的完整詳細信息,請參閱以下文章:
設定員工、使用者和倉儲工作人員記錄 Supply Chain Management
在工作人員可以開始使用行動裝置應用程式登入之前,您在 Azure 中指派給企業應用程式的每個 Microsoft Entra 識別碼帳戶都必須在 Supply Chain Management 中具有相應的員工記錄、使用者記錄和倉儲工作人員記錄。 有關如何設定這些記錄的資訊,請參閱行動裝置使用者帳戶。
單一登入
若要使用單一登入 (SSO),您必須執行 Warehouse Management 行動裝置應用程式版本 2.1.23.0 或更新版本。
SSO 使用戶無需輸入密碼即可登入。 它的工作原理是重複使用 Intune 公司入口網站(僅限Android )、Microsoft Authenticator(Android 和 iOS)或裝置上其他應用程式的憑證。
附註
SSO 需要您使用 使用者名稱/密碼驗證。
若要使用 SSO,請執行跟隨這些步驟之一,取決於您設定連線的方式。
- 如果您在 Warehouse Management 行動裝置應用程式中手動設定連接,則必須在行動裝置應用程式的編輯連接頁面啟用代理程式驗證選項 。
- 如果您使用 JavaScript 物件標記法 (JSON) 檔案或 QR 代碼設定連接,則必須在您的 JSON 文件或 QR 代碼中包含
"UseBroker": true。
重要
- 若要使用行動裝置大規模部署 (MDM),您必須啟用 SSO。
- Warehouse Management 行動裝置使用者不支援共用裝置模式。
移除對使用使用者型驗證裝置的存取
如果裝置遺失或遭損害,您必須移除對 Supply Chain Management 的存取權限。 使用裝置代碼流程驗證裝置時,您必須停用 Microsoft Entra 識別碼中的關聯使用者帳戶,以便在該裝置遺失或受到威脅時,撤銷對該裝置的存取。 透過停用 Microsoft Entra 識別碼中的使用者帳戶,您可以有效地撤銷對使用與該使用者帳戶有關之裝置代碼的任何裝置存取。 因此,我們建議您為每台裝置配置一個 Microsoft Entra 識別碼使用者帳戶。
若要停用 Microsoft Entra 識別碼帳戶中的使用者,請按照以下步驟操作。
- 登入 Azure 入口網站。
- 在左側功能窗格中,選取 Microsoft Entra 識別碼,並確認您位於正確的目錄中。
- 請在管理清單中選取使用者。
- 找到與裝置代碼有關的使用者帳戶,然後選取名稱以開啟使用者的設定檔。
- 在工具列上,選取撤銷工作階段以撤銷使用者帳戶的工作階段。
附註
根據您設定驗證系統的方式,您可能還需要變更使用者帳戶的密碼或完全停用使用者帳戶。