Uso del acceso condicional de Microsoft Entra con la aplicación móvil Warehouse Management

La aplicación móvil de gestión de almacén admite autenticación intermediada, un método de inicio de sesión en el que un intermediario de identidad a nivel del sistema operativo, como Microsoft Authenticator o Intune Portal de empresa, gestiona la autenticación y la administración de tokens en nombre de la aplicación. Cuando se usa la autenticación intermediada, el intermediario proporciona a Microsoft Entra ID la identidad del dispositivo, el estado de cumplimiento y las señales de seguridad durante cada solicitud de autenticación.

La autenticación intermediada hace que la aplicación sea compatible con las directivas Acceso condicional de Microsoft Entra. Acceso condicional es un motor de políticas opcional de suscripción en Microsoft Entra ID que los administradores de TI de su organización pueden configurar para controlar el acceso en función de condiciones como la identidad del usuario, la conformidad del dispositivo, la ubicación y el nivel de riesgo. Por ejemplo, puede usar el acceso condicional para requerir autenticación multifactor (MFA) o bloquear el acceso desde dispositivos no administrados. El acceso condicional no es necesario para ejecutar la aplicación móvil Administración de almacenamiento: habilite solo si su organización decide aplicar estas directivas.

En este artículo se explica cómo habilitar la autenticación asincrónica en la aplicación móvil Administración de almacenamiento para que su organización pueda aplicar directivas de acceso condicional.

Funcionamiento de la autenticación mediada

Cuando se usa la autenticación intermediada, se produce el siguiente flujo durante el inicio de sesión:

1. La aplicación móvil de Gestión de Almacenes delega la autenticación a la aplicación intermediaria (Microsoft Authenticator o Intune Portal de empresa) instalada en el dispositivo.
2. El broker valida la identidad de la aplicación y recupera el token de actualización principal (PRT) del dispositivo, que es un token vinculado al dispositivo que contiene afirmaciones de identidad y cumplimiento del dispositivo.
3. El agente envía la solicitud de autenticación a Microsoft Entra ID, incluidas las señales del dispositivo.
4. Microsoft Entra ID evalúa las directivas de acceso condicional que se aplican al usuario, el dispositivo o la aplicación, y concede o deniega el acceso.
5. Si se concede acceso, el agente devuelve el token de autenticación a la aplicación móvil Administración de almacenamiento.

Este proceso habilita características como el inicio de sesión único (SSO) entre aplicaciones, cumplimiento de MFA y protección de tokens enlazados al dispositivo, todo ello sin necesidad de que la aplicación móvil Warehouse Management administre estos problemas de seguridad directamente.

Requisitos del dispositivo

Para usar la autenticación intermediada, tu dispositivo debe cumplir los siguientes requisitos:

• Debe ejecutar la aplicación móvil Administración de almacenamiento versión 4.0.28 o posterior.
• El dispositivo debe ejecutar una versión compatible de Windows, Android o iOS.
• El dispositivo debe registrarse con Microsoft Entra ID (a través de Workplace Join o Entra ID registro).
• Se debe instalar una aplicación de agente en el dispositivo (consulte la tabla siguiente).

Configuración de Microsoft Authenticator (Android e iOS)

Siga estos pasos para configurar Microsoft Authenticator. El procedimiento es el mismo para Android e iOS.

1. Instale Microsoft Authenticator desde la tienda de aplicaciones del dispositivo (Google Play para Android, App Store para iOS).
2. Abra la aplicación y seleccione el botón Menú .
3. Haga clic en Configuración.
4. Seleccione Registro de dispositivos.
5. Escriba el correo electrónico o la cuenta de la organización.
6. Seleccione Registrar dispositivo.

Registro de la aplicación

La autenticación intermediada funciona con la aplicación global Microsoft Entra ID: no necesita un registro manual de la aplicación. Se recomienda la aplicación global porque es más fácil de configurar y mantener.

La aplicación global se proporciona como una aplicación de primera parte de Microsoft (FPA) y está disponible en la nube comercial de Azure. Si el entorno se implementa en una nube de administración pública de EE. UU., como US Government Community Cloud (GCC) o GCC High, la aplicación global no está disponible y debe usar en su lugar un registro manual de aplicaciones.

Si ya usa un registro manual de aplicaciones por otras razones (como los requisitos de entorno local o una implementación en la nube gubernamental), también funciona con la autenticación intermediada. Obtenga más información en Crear manualmente un registro de aplicación en Microsoft Entra ID.

Configuración de dispositivos para usar la autenticación intermediada

Cuando utilizas la aplicación global, la autenticación intermediada está habilitada de forma predeterminada en todas las plataformas. Puede configurar los dispositivos manualmente a través de la interfaz de usuario de la aplicación o distribuir automáticamente un archivo JSON mediante código QR o MDM.

Si no desea usar la autenticación asincrónica, establezca la opción Autenticación asincrónica en No en la página Editar conexión (o establezca "UseBroker": false en la configuración JSON). Si el dispositivo no tiene Microsoft Authenticator instalado, la aplicación vuelve a una conexión estándar de nombre de usuario y contraseña.

Configuración manual de la conexión

Para configurar manualmente una conexión, siga estos pasos en cada dispositivo:

1. Abra la aplicación móvil Administración de almacenes y abra la página Editar conexión siguiendo uno de los pasos siguientes:

   • Si el dispositivo aún no tiene ninguna conexión definida, seleccione Conectar para crear una nueva.
   • Para editar una conexión existente, seleccione Pulsar para cambiar, elija la conexión de destino y, a continuación, seleccione Editar configuración de conexión.
   • Para agregar una nueva conexión, seleccione Configurar conexión y, a continuación, seleccione Entrada manualmente.

2. Realice la siguiente configuración en la página Editar conexión :

   • Método de autenticación : se establece en Nombre de usuario y Contraseña.
   • Cloud : se establece en Azure Global (recomendado). Si usa un registro manual de aplicaciones, establezca en Manual y proporcione también los valores Microsoft Entra ID client y Microsoft Entra ID tenant.

   Configure todas las demás opciones como se describe en Configuración manual de la aplicación.

3. Haga clic en Guardar.

4. Inicie sesión con las credenciales de Microsoft Entra del trabajador.

Configuración de la conexión mediante un código QR o un sistema MDM

Para prepararse para las configuraciones de conexión automáticas distribuidas mediante un código QR o un sistema MDM, cree un archivo JSON que contenga los detalles de conexión. Obtenga más información en Configuración de la aplicación mediante la importación de la configuración de conexión.

Para todas las plataformas, la conexión debe usar la autenticación de nombre de usuario y contraseña, que especifique como se indica a continuación en el archivo JSON:

• "ConnectionType": "UsernamePassword"

Cuando utilizas la aplicación global ("AuthCloud": "AzureGlobal"), la autenticación delegada está habilitada de forma predeterminada, por lo que no necesitas establecer "UseBroker" o "AuthCloud" explícitamente.

En el ejemplo siguiente se muestra una configuración JSON que usa la aplicación global con la autenticación intermediada habilitada.

{
    "ConnectionName": "Connection1",
    "ActiveDirectoryResource": "https://yourenvironment.cloudax.dynamics.com",
    "Company": "USMF",
    "IsEditable": true,
    "IsDefaultConnection": true,
    "ConnectionType": "UsernamePassword",
    "AuthCloud": "AzureGlobal"
}

Para obtener más información sobre cómo distribuir el archivo JSON a los dispositivos, consulte Uso de un código QR para conectar la aplicación móvil a administración de cadenas de suministros e implementar masivamente la aplicación móvil con autenticación basada en el usuario.

Configuración de directivas de acceso condicional

Después de habilitar la autenticación intermediada en los dispositivos, los administradores de TI de la organización pueden configurar directivas de acceso condicional en el centro de administración de Microsoft Entra para controlar el acceso a la aplicación móvil Gestión de Almacenes. Entre las directivas comunes se incluyen:

• Requerir MFA : requerir autenticación multifactor para todos los usuarios o grupos específicos.
• Requerir dispositivo compatible : bloquee el acceso desde dispositivos que no cumplan los requisitos de cumplimiento de su organización.
• Acceso basado en ubicación: restrinja el acceso a ubicaciones de red específicas o intervalos IP.
• El acceso basado en riesgos: bloquear o cuestionar los inicios de sesión que Microsoft Entra ID detecta como riesgosos.

La aplicación móvil Warehouse Management no necesita ninguna configuración adicional para trabajar con estas directivas. Cuando se usa la autenticación intermediada, el intermediario pasa las señales necesarias del dispositivo y del usuario a Microsoft Entra ID, que evalúa las directivas y concede o deniega el acceso en consecuencia.

Para obtener más información, consulta Documentación sobre el acceso condicional de Microsoft Entra.

Información relacionada

• Información general sobre Acceso condicional de Microsoft Entra
• Instalación y configuración de la aplicación móvil Administración de almacenamiento
• Autenticación basada en el usuario para la aplicación Warehouse
• Implementación masiva de la aplicación móvil con la autenticación basada en usuario
• Preguntas frecuentes de autenticación basada en usuario