教學課程:Microsoft Entra 單一登入 (SSO) 與 Workday Mobile Application 整合
在本教學課程中,您將瞭解如何整合 Microsoft Entra ID、條件式存取和 Intune 與 Workday 行動應用程式。 在整合 Workday 行動應用程式與 Microsoft 時,您可以..
- 在登入之前,請確定裝置符合您的原則。
- 將控制項新增至 Workday 行動應用程式,以確保使用者能夠安全地存取公司資料。
- 在 Microsoft Entra 識別碼中控制可存取 Workday 的人員。
- 讓使用者使用其 Microsoft Entra 帳戶自動登入 Workday。
- 在一個中央位置管理您的帳戶:Azure 入口網站。
必要條件
開始進行之前:
- 整合 Workday 與 Microsoft Entra ID。
- 閱讀 Microsoft Entra 單一登入 (SSO) 與 Workday 整合。
案例描述
在本教學課程中,您會使用 Workday 行動應用程式來設定及測試 Microsoft Entra 條件式存取原則和 Intune。
若要啟用單一登入 (SSO),您可以使用 Microsoft Entra ID 設定 Workday Federated 應用程式。 如需詳細資訊,請參閱 Microsoft Entra 單一登入 (SSO) 與 Workday 整合。
注意
Workday 不支援 Intune 的應用程式保護原則。 您必須使用行動裝置管理來使用條件式存取。
確保使用者可以存取 Workday 行動應用程式
設定 Workday 以允許存取其行動應用程式。 您必須為 Workday Mobile 設定下列原則:
- 存取功能區域報告的網域安全性原則。
- 選取適當的安全性原則:
- 行動裝置使用方式 - Android
- 行動裝置使用方式 - iPad
- 行動裝置使用量 - i電話
- 選取 [ 編輯許可權 ]。
- 選取 [ 檢視或修改] 核取方塊,將報表或工作安全性實體專案的存取權授與安全性群組。
- 選取 [ 取得] 或 [放置 ] 核取方塊,將整合和報告或工作安全性實體動作的存取權授與安全性群組。
執行 [啟動擱置的安全性原則變更] 來啟用擱置的安全性原則變更 。
在 Workday Mobile Browser 中開啟 Workday 登入頁面
若要將條件式存取套用至 Workday 行動應用程式,您必須在外部瀏覽器中開啟應用程式。 在 [編輯租使用者設定 - 安全性 ] 中,選取 [ 啟用 Native Apps 的行動瀏覽器 SSO]。 這需要 Intune 核准的瀏覽器必須安裝在 iOS 的裝置上,以及 Android 的工作設定檔中。
設定條件式存取原則
此原則只會影響 iOS 或 Android 裝置上的登入。 如果您想要將其擴充至所有平臺,請選取 [ 任何裝置 ]。 此原則要求裝置符合原則規範,並透過 Intune 驗證此原則。 因為 Android 有工作設定檔,所以這會封鎖任何使用者登入 Workday,除非他們正透過其工作設定檔登入,並已透過 Intune 公司入口網站安裝應用程式。 iOS 還有一個額外的步驟,以確保適用相同的情況。
Workday 支援下列存取控制:
- 需要多重要素驗證
- [裝置需要標記為合規]
Workday 應用程式不支援下列專案:
- [需要已核准的用戶端應用程式]
- 需要應用程式保護原則 (預覽)
若要將 Workday 設定為受控裝置,請執行下列步驟:
選取 [ 首頁 > Microsoft Intune > 條件式存取原則]。 然後選取 [ 僅限 受控裝置]。
在 [僅限 受控裝置] 的 [名稱 ] 下 ,選取 [僅限 受控裝置],然後選取 [ 雲端應用程式或動作 ]。
在 雲端應用程式或動作 中:
切換 選取此原則適用于 雲端應用程式 的內容。
在 [包含] 中 ,選擇 [ 選取應用程式 ]。
從 [ 選取 ] 清單中,選擇 [Workday ]。
選取完成。
將 [啟用原則 ] 切換 為 [開啟 ]。
選取 [儲存]。
針對 [授與 存取權],請執行下列步驟:
選取 [ 首頁 > Microsoft Intune > 條件式存取原則]。 然後選取 [ 僅限 受控裝置]。
在 [僅限 受管理裝置] 的 [名稱 ] 底下 ,選取 [ 僅限 受控裝置]。 在 [存取控制] 下,選取 [授與]。
在 [授與 ] 中 :
選取要強制執行為 授與存取 權的控制項。
選取 [要求裝置標示為相容 ]。
選取 [需要其中一個選取的控制項 ]。
選擇選取。
將 [啟用原則 ] 切換 為 [開啟 ]。
選取 [儲存]。
設定裝置合規性政策
若要確保 iOS 裝置只能透過行動裝置管理所管理的 Workday 登入,您必須將 com.workday.workdayapp 新增 至受限制的應用程式清單來封鎖 App Store 應用程式。 這可確保只有透過公司入口網站安裝 Workday 的裝置才能存取 Workday。 針對瀏覽器,如果裝置是由 Intune 管理並使用受管理的瀏覽器,則裝置只能存取 Workday。
設定 Intune 應用程式設定原則
案例 | 索引鍵值組 |
---|---|
自動填入下列專案的 [租使用者] 和 [網址] 欄位: • 當您為工作設定檔啟用 Android 時,Android 上的 Workday。 • iPad 和 i電話 上的 Workday。 |
使用這些值來設定您的租使用者: • 組態索引鍵 = UserGroupCode • 實數值型別 = 字串 • 組態值 = 您的租使用者名稱。 範例: gms 使用這些值來設定您的網址: • 組態索引鍵 = AppServiceHost • 實數值型別 = 字串 • 組態值 = 租使用者的基底 URL。 範例: https://www.myworkday.com |
在 iPad 和 i 上停用 Workday 的這些動作電話: • 剪下、複製和貼上 • 列印 |
將這些索引鍵上的值 (Boolean) 設定為 False ,以停用功能:● AllowCutCopyPaste ● AllowPrint |
停用 Android 上 Workday 的螢幕擷取畫面。 | 將機碼上的 AllowScreenshots 值 (Boolean) 設定為 False ,以停用功能。 |
停用使用者的建議更新。 | 將機碼上的 AllowSuggestedUpdates 值 (Boolean) 設定為 False ,以停用功能。 |
自訂應用程式市集 URL,將行動使用者導向您選擇的應用程式市集。 | 使用這些值來變更應用程式市集 URL: • 組態索引鍵 = AppUpdateURL • 實數值型別 = 字串 • 組態值 = App Store URL |
iOS 設定原則
登入 Azure 入口網站。
搜尋 Intune ,或從清單中選取小工具。
移至 [用戶端應用程式應用程式 >> 應用程式組態原則]。 然後選取 [ + 新增 > 受管理的裝置]。
輸入名稱。
在 [平臺] 下 ,選擇 [iOS/iPadOS ]。
在 [相關聯的應用程式 ] 下 ,選擇您新增的 iOS 應用程式 Workday。
選取 [ 組態] 設定 。 在 [組態設定格式 ] 底下 ,選取 [ 輸入 XML 資料 ]。
以下是 XML 檔案範例。 新增您想要套用的組態。 將 取代
STRING_VALUE
為您要使用的字串。 將 取代<true /> or <false />
為<true />
或<false />
。 如果您未新增組態,此範例函式會像它設定為True
一樣。<dict> <key>UserGroupCode</key> <string>STRING_VALUE</string> <key>AppServiceHost</key> <string>STRING_VALUE</string> <key>AllowCutCopyPaste</key> <true /> or <false /> <key>AllowPrint</key> <true /> or <false /> <key>AllowSuggestedUpdates</key> <true /> or <false /> <key>AppUpdateURL</key> <string>STRING_VALUE</string> </dict>
選取新增。
重新整理頁面,然後選取新建立的原則。
選取 [ 指派 ],然後選擇您要套用應用程式的人員。
選取 [儲存]。
Android 設定原則
- 登入 Azure 入口網站。
- 搜尋 Intune ,或從清單中選取小工具。
- 移至 [用戶端應用程式應用程式 >> 應用程式組態原則]。 然後選取 [ + 新增 > 受管理的裝置]。
- 輸入名稱。
- 在 [平臺] 底下 ,選擇 [Android ]。
- 在 [相關聯的應用程式 ] 下 ,選擇您新增的 Android 應用程式 Workday。
- 選取 [ 組態] 設定 。 在 [組態設定格式 ] 底下 ,選取 [ 輸入 JSON 資料 ]。
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: