Verwenden von Microsoft Entra Conditional Access mit der mobilen Warehouse Management-App

Die mobile Warehouse Management-App unterstützt brokered authentication, eine Anmeldemethode, bei der ein Identitätsbroker auf Betriebssystemebene, z. B. Microsoft Authenticator oder Intune-Unternehmensportal, die Authentifizierung und die Tokenverwaltung im Auftrag der App verarbeitet. Wenn Sie die vermittelte Authentifizierung verwenden, stellt der Broker während jeder Authentifizierungsanforderung Microsoft Entra ID Geräteidentität, Compliancestatus und Sicherheitssignale bereit.

Die vermittelte Authentifizierung macht die App mit Microsoft Entra Conditional Access-Richtlinien kompatibel. Bedingter Zugriff ist ein optionales, Opt-In-Richtlinienmodul in Microsoft Entra ID, das die IT-Administratoren Ihrer Organisation konfigurieren können, um den Zugriff basierend auf Bedingungen wie Benutzeridentität, Gerätekompatibilität, Standort und Risikostufe zu steuern. Sie können z. B. bedingten Zugriff verwenden, um mehrstufige Authentifizierung (MFA) zu erfordern oder den Zugriff von nicht verwalteten Geräten zu blockieren. Bedingter Zugriff ist nicht erforderlich, um die mobile Warehouse Management-App auszuführen. Aktivieren Sie sie nur, wenn Ihre Organisation diese Richtlinien erzwingt.

In diesem Artikel wird erläutert, wie Sie die vermittelte Authentifizierung in der mobilen Warehouse Management-App aktivieren, damit Ihre Organisation Richtlinien für bedingten Zugriff erzwingen kann.

Funktionsweise der brokerierten Authentifizierung

Wenn Sie die vermittelte Authentifizierung verwenden, tritt der folgende Ablauf während der Anmeldung auf:

1. Die mobile Warehouse Management-App delegiert die Authentifizierung an die Broker-App (Microsoft Authenticator oder Intune Unternehmensportal), die auf dem Gerät installiert ist.
2. Der Broker überprüft die Identität der App und ruft das primäre Aktualisierungstoken (PRT) des Geräts ab, bei dem es sich um ein gerätegebundenes Token handelt, das Geräteidentitäts- und Complianceansprüche enthält.
3. Der Broker sendet die Authentifizierungsanforderung an Microsoft Entra ID, einschließlich der Gerätesignale.
4. Microsoft Entra ID wertet alle Richtlinien für den bedingten Zugriff aus, die für den Benutzer, das Gerät oder die App gelten, und gewährt oder verweigert den Zugriff.
5. Wenn der Zugriff gewährt wird, gibt der Broker das Authentifizierungstoken an die mobile Warehouse Management-App zurück.

Dieser Prozess ermöglicht Features wie einmaliges Anmelden (Single Sign-On, SSO) für Apps, MFA-Erzwingung und gerätegebundenen Tokenschutz – alles, ohne dass die mobile Warehouse Management-App diese Sicherheitsbedenken direkt verwalten muss.

Geräteanforderungen

Um die brokerierte Authentifizierung zu verwenden, muss Ihr Gerät die folgenden Anforderungen erfüllen:

• Sie müssen die mobile Warehouse Management-App Version 4.0.28 oder höher ausführen.
• Ihr Gerät muss eine unterstützte Version von Windows, Android oder iOS nutzen.
• Das Gerät muss bei Microsoft Entra ID registriert werden (über Workplace Join oder Entra ID Registrierung).
• Eine Broker-App muss auf dem Gerät installiert sein (siehe folgende Tabelle).

Einrichten von Microsoft Authenticator (Android und iOS)

Führen Sie die folgenden Schritte aus, um Microsoft Authenticator einzurichten. Das Verfahren ist für Android und iOS identisch.

1. Installieren Sie Microsoft Authenticator aus dem App Store des Geräts (Google Play für Android, App Store für iOS).
2. Öffnen Sie die App, und wählen Sie die Menüschaltfläche aus.
3. Wählen Sie "Einstellungen" aus.
4. Wählen Sie "Geräteregistrierung" aus.
5. Geben Sie Ihr E-Mail- oder Organisationskonto ein.
6. Wählen Sie "Gerät registrieren" aus.

App-Registrierung

Die vermittelte Authentifizierung funktioniert mit der globalen Microsoft Entra ID-Anwendung– Sie benötigen keine manuelle App-Registrierung. Wir empfehlen die globale Anwendung, da sie einfacher eingerichtet und verwaltet werden kann.

Die globale Anwendung wird als Microsoft Erstanbieteranwendung (First Party Application, FPA) bereitgestellt und ist in der Azure kommerziellen Cloud verfügbar. Wenn Ihre Umgebung in einer US Government Cloud (z. B. US Government Community Cloud (GCC) oder GCC High bereitgestellt wird, ist die globale Anwendung nicht verfügbar, und Sie müssen stattdessen eine manuelle App-Registrierung verwenden.

Wenn Sie bereits aus anderen Gründen eine manuelle App-Registrierung verwenden (z. B. lokale Umgebungsanforderungen oder eine Cloudbereitstellung für Behörden), funktioniert sie auch mit vermittelter Authentifizierung. Weitere Informationen finden Sie in Manual erstellen Sie eine Anwendungsregistrierung in Microsoft Entra ID.

Konfigurieren von Geräten für die Verwendung der brokerierten Authentifizierung

Wenn Sie die globale Anwendung verwenden, ist die vermittelte Authentifizierung auf allen Plattformen standardmäßig aktiviert. Sie können Geräte manuell über die App-UI oder automatisch konfigurieren, indem Sie eine JSON-Datei über QR-Code oder MDM verteilen.

Wenn Sie die brokerierte Authentifizierung nicht verwenden möchten, legen Sie die Option " Brokered authentication " auf " Nein " auf der Seite "Verbindung bearbeiten" fest (oder legen Sie sie in der JSON-Konfiguration fest "UseBroker": false ). Wenn das Gerät nicht Microsoft Authenticator installiert hat, greift die App auf eine standardmäßige Benutzernamen- und Kennwortverbindung zurück.

Manuelles Konfigurieren der Verbindung

Führen Sie die folgenden Schritte auf jedem Gerät aus, um eine Verbindung manuell einzurichten:

1. Öffnen Sie die mobile Warehouse Management-App, und öffnen Sie die Seite "Verbindung bearbeiten ", indem Sie einen der folgenden Schritte ausführen:

   • Wenn Ihr Gerät noch keine definierten Verbindungen aufweist, wählen Sie "Verbinden" aus, um eine neue Verbindung zu erstellen.
   • Um eine vorhandene Verbindung zu bearbeiten, wählen Sie zum Ändern tippen, die Zielverbindung und dann " Verbindungseinstellungen bearbeiten" aus.
   • Wenn Sie eine neue Verbindung hinzufügen möchten, wählen Sie " Verbindung einrichten " und dann manuell "Eingabe" aus.

2. Nehmen Sie die folgenden Einstellungen auf der Seite "Verbindung bearbeiten" vor :

   • Authentifizierungsmethode – Auf Benutzername und Kennwort festgelegt.
   • Cloud – Auf Azure Global festgelegt (empfohlen). Wenn Sie eine manuelle App-Registrierung verwenden, legen Sie sie auf Manual fest, und stellen Sie außerdem die werte Microsoft Entra ID client und Microsoft Entra ID tenant bereit.

   Konfigurieren Sie alle anderen Einstellungen, wie in der manuellen Konfiguration der Anwendung beschrieben.

3. Wählen Sie Speichern aus.

4. Melden Sie sich mit den Microsoft Entra Anmeldeinformationen des Mitarbeiters an.

Konfigurieren der Verbindung mithilfe eines QR-Codes oder MDM-Systems

Um sich auf automatische Verbindungskonfigurationen vorzubereiten, die mithilfe eines QR-Codes oder MDM-Systems verteilt werden, erstellen Sie eine JSON-Datei, die die Verbindungsdetails enthält. Weitere Informationen finden Sie unter Konfigurieren der Anwendung durch Importieren von Verbindungseinstellungen.

Für alle Plattformen muss die Verbindung die Benutzernamen-/Kennwortauthentifizierung verwenden, die Sie wie folgt in der JSON-Datei angeben:

• "ConnectionType": "UsernamePassword"

Wenn Sie die globale Anwendung ("AuthCloud": "AzureGlobal") verwenden, ist die vermittelte Authentifizierung standardmäßig aktiviert, sodass Sie "UseBroker" oder "AuthCloud" nicht explizit festlegen müssen.

Das folgende Beispiel zeigt eine JSON-Konfiguration, die die globale Anwendung mit aktivierter Brokerauthentifizierung verwendet:

{
    "ConnectionName": "Connection1",
    "ActiveDirectoryResource": "https://yourenvironment.cloudax.dynamics.com",
    "Company": "USMF",
    "IsEditable": true,
    "IsDefaultConnection": true,
    "ConnectionType": "UsernamePassword",
    "AuthCloud": "AzureGlobal"
}

Weitere Informationen zum Verteilen der JSON-Datei an Ihre Geräte finden Sie unter Verwenden eines QR-Codes, um die mobile App mit Supply Chain Management zu verbinden und Massendeployment der mobilen App mit benutzerbasierter Authentifizierung.

Konfiguration der Richtlinie für bedingten Zugriff

Nachdem Sie die brokerierte Authentifizierung auf Ihren Geräten aktiviert haben, können die IT-Administratoren Ihrer Organisation Richtlinien für den bedingten Zugriff in der mobilen App Microsoft Entra Admin Center konfigurieren, um den Zugriff auf die mobile Warehouse Management-App zu steuern. Zu den allgemeinen Richtlinien gehören:

• MFA erforderlich – Erfordern der mehrstufigen Authentifizierung für alle Benutzer oder bestimmte Gruppen.
• Erfordern eines kompatiblen Geräts – Zugriff von Geräten blockieren, die die Complianceanforderungen Ihrer Organisation nicht erfüllen.
• Standortbasierter Zugriff – Zugriff auf bestimmte Netzwerkstandorte oder IP-Bereiche einschränken.
• Risk-basierter Zugriff – Blockieren oder Herausfordern von Anmeldungen, die von Microsoft Entra ID als riskant erkannt werden.

Die mobile Warehouse Management-App benötigt keine zusätzliche Konfiguration, um mit diesen Richtlinien zu arbeiten. Wenn Sie die vermittelte Authentifizierung verwenden, übergibt der Broker die erforderlichen Geräte- und Benutzersignale an Microsoft Entra ID, welches die Richtlinien auswertet und den Zugriff entsprechend gewährt oder verweigert.

Weitere Informationen finden Sie in der dokumentation Microsoft Entra Conditional Access.

Verwandte Informationen

• Übersicht über Microsoft Entra Conditional Access
• Installieren und Konfigurieren der mobilen Warehouse Management-App
• Benutzerbasierte Authentifizierung für die Warehouse-App
• Massenbereitstellung der mobilen App mit benutzerbasierter Authentifizierung
• Häufig gestellte Fragen zur benutzerbasierten Authentifizierung