教學課程:Microsoft Entra 單一登入 (SSO) 與 Workday 行動應用程式整合
在本教學課程中,您將了解如何整合 Microsoft Entra ID、條件式存取和 Intune 與 Workday 行動應用程式。 當您將 Workday 行動應用程式與 Microsoft 整合時,您可以:
- 在登入之前就確定裝置符合您的原則。
- 在 Workday 行動應用程式中新增控制項,以確保使用者能安全地存取公司資料。
- 在 Microsoft Entra ID 中控制可存取 Workday 的人員。
- 讓使用者使用其 Microsoft Entra 帳戶自動登入 Workday。
- 在 Azure 入口網站中集中管理您的帳戶。
必要條件
開始進行之前:
- 將 Workday 與 Microsoft Entra ID 進行整合。
- 請閱讀 Microsoft Entra 單一登入 (SSO) 與 Workday 整合。
案例描述
在本教學課程中,您會使用 Workday 的行動應用程式來設定及測試 Microsoft Entra 的條件式存取原則和 Intune。
若要啟用單一登入 (SSO),您可以使用 Microsoft Entra ID 設定 Workday 同盟應用程式。 如需詳細資訊,請參閱 Microsoft Entra 單一登入 (SSO) 與 Workday 整合。
注意
Workday 不支援 Intune 的應用程式防護原則。 您必須使用行動裝置管理來利用條件式存取功能。
確保使用者可以存取 Workday 行動應用程式
設定 Workday 以允許存取其行動應用程式。 您需要為 Workday 行動設定下列原則:
- 存取功能區域報告的網域安全性原則。
- 選取適當的安全性原則:
- 行動使用量 - Android
- 行動使用量 - iPad
- 行動使用量 - iPhone
- 選取編輯權限。
- 選取 [檢視或修改] 核取方塊,向安全性群組授與報告或工作安全性實體項目的存取權。
- 選取 [取得或放置] 核取方塊,向安全性群組授與整合的存取權以及報告或工作安全性實體動作的存取權。
藉由執行啟用擱置安全性原則變更來啟用擱置安全性原則變更。
在 Workday 行動瀏覽器中開啟 Workday 登入頁面
若要將條件式存取套用至 Workday 行動應用程式,您必須在外部瀏覽器中開啟應用程式。 在 [編輯租用戶設定 - 安全性] 中,選取 [啟用原生應用程式的行動瀏覽器 SSO]。 這需要您已在 iOS 的裝置上和 Android 的工作設定檔中安裝 Intune 核准的瀏覽器。
設定條件式存取原則
此原則只會影響 iOS 或 Android 裝置上的登入。 如果您想要將其延伸至所有平台,請選取 [任何裝置]。 此原則會要求裝置必須符合原則,而且會透過 Intune 來確認這一點。 因為 Android 有工作設定檔,所以會封鎖任何使用者登入 Workday,除非他們是透過其工作設定檔登入,並已透過 Intune 公司入口網站安裝應用程式。 iOS 則還要進行一個步驟才能確保會套用相同的情況。
Workday 支援下列存取控制:
- 需要多重要素驗證
- [裝置需要標記為合規]
Workday 應用程式不支援下列各項:
- [需要已核准的用戶端應用程式]
- 需要應用程式保護原則 (預覽)
若要將 Workday 設定為受控裝置,請執行下列步驟:
選取 [首頁] > [Microsoft Intune] > [條件式存取原則]。 然後選取 [僅限受控裝置]。
在 [僅限受控裝置] 的 [名稱] 底下,選取 [僅限受控裝置],然後選取 [雲端應用程式或動作]。
在 [雲端應用程式或動作] 中:
將 [選取此原則的套用對象] 切換為 [雲端應用程式]。
在 [包含] 中,選擇 [選取資源]。
從 [選取] 清單中選擇 [Workday]。
選取完成。
將 [啟用原則] 切換為 [開啟]。
選取 [儲存]。
針對 [授與] 存取權,請執行下列步驟:
選取 [首頁] > [Microsoft Intune] > [條件式存取原則]。 然後選取 [僅限受控裝置]。
在 [僅限受控裝置] 的 [名稱] 底下,選取 [僅僅限受控裝置]。 在 [存取控制] 下,選取 [授與]。
在 [授與] 中:
選取要強制執行的控制項作為 [授與存取權]。
選取 [裝置需要標記為合規]。
選取 [要求採用其中一個選取的控制項]。
選擇選取。
將 [啟用原則] 切換為 [開啟]。
選取 [儲存]。
設定裝置合規性政策
若要確保 iOS 裝置只能透過行動裝置管理所管理的 Workday 來登入,您必須將 com.workday.workdayapp 新增至受限制的應用程式清單,以封鎖 App Store 應用程式。 這樣可確保只有透過公司入口網站安裝 Workday 的裝置才能存取 Workday。 至於瀏覽器,則只有由 Intune 管理且使用受控瀏覽器的裝置才能存取 Workday。
設定 Intune 應用程式組態原則
| 案例 | 索引鍵/值組 |
|---|---|
| 自動為下列項目填入 [租用戶] 和 [網址] 欄位: ● Android 上的 Workday (當您啟用 Android 的工作設定檔時)。 ● IPad 和 iPhone 上的 Workday。 |
使用這些值來設定您的租用戶: ● 設定機碼 = UserGroupCode● 值類型 = 字串 ● 設定值 = 您的租用戶名稱。 範例: gms使用這些值來設定您的網址: ● 設定機碼 = AppServiceHost● 值類型 = 字串 ● 設定值 = 租用戶的基底 URL。 範例: https://www.myworkday.com |
| 在 iPad 和 iPhone 上停用 Workday 的這些動作: ● 剪下、複製和貼上 ● 列印 |
將這些索引鍵上的值 (布林值) 設定為 False 以停用功能:● AllowCutCopyPaste● AllowPrint |
| 停用 Android 上 Workday 的螢幕擷取畫面。 | 將 AllowScreenshots 索引鍵上的值 (布林值) 設定為 False 以停用功能。 |
| 為您的使用者停用建議的更新。 | 將 AllowSuggestedUpdates 索引鍵上的值 (布林值) 設定為 False 以停用功能。 |
| 自訂 App Store URL,以將行動使用者導向至您選擇的 App Store。 | 使用這些值來變更 App Store URL: ● 設定機碼 = AppUpdateURL● 值類型 = 字串 ● 設定值 = App Store URL |
iOS 設定原則
登入 Azure 入口網站。
搜尋 Intune 或選取清單中的小工具。
前往 [用戶端應用程式] > [應用程式] > [應用程式組態原則]。 然後選取 [+ 新增] > [受控裝置]。
輸入名稱。
在 [平台] 下,選擇 [iOS/iPadOS]。
在 [相關聯的應用程式] 下,選擇您新增的 Workday iOS 版應用程式。
選取 [組態設定]。 在 [組態設定] 底下,選取 [輸入 XML 資料]。
以下是範例 XML 檔案。 新增您想要套用的組態。 以您要使用的字串取代
STRING_VALUE。 以<true />或<false />取代<true /> or <false />。 如果您未新增組態,此範例的類似功能就會設為True。<dict> <key>UserGroupCode</key> <string>STRING_VALUE</string> <key>AppServiceHost</key> <string>STRING_VALUE</string> <key>AllowCutCopyPaste</key> <true /> or <false /> <key>AllowPrint</key> <true /> or <false /> <key>AllowSuggestedUpdates</key> <true /> or <false /> <key>AppUpdateURL</key> <string>STRING_VALUE</string> </dict>選取 [新增]。
重新整理頁面,然後選取新建立的原則。
選取 [指派],然後選擇您想要作為應用程式套用對象的使用者。
選取 [儲存]。
Android 設定原則
- 登入 Azure 入口網站。
- 搜尋 Intune 或選取清單中的小工具。
- 前往 [用戶端應用程式] > [應用程式] > [應用程式組態原則]。 然後選取 [+ 新增] > [受控裝置]。
- 輸入名稱。
- 在 [平台] 下,選擇 [Android]。
- 在 [相關聯的應用程式] 下,選擇您新增的 Workday Android 版應用程式。
- 選取 [組態設定]。 在 [組態設定] 底下,選取 [輸入 JSON 資料]。