Utiliser l’accès conditionnel de Microsoft Entra avec l'application mobile de gestion des entrepôts

L’application mobile Warehouse Management prend en charge l’authentification intermédiée, une méthode de connexion où un répartiteur d’identité au niveau du système d’exploitation, tel que Microsoft Authenticator ou Intune Portail d'entreprise, gère l’authentification et la gestion des jetons pour le compte de l’application. Lorsque vous utilisez l’authentification répartie, le répartiteur fournit Microsoft Entra ID avec l’identité de l’appareil, l’état de conformité et les signaux de sécurité pendant chaque demande d’authentification.

L’authentification répartie rend l’application compatible avec les stratégies Accès conditionnel Microsoft Entra. L'accès conditionnel est un moteur de stratégie facultatif d'adhésion dans Microsoft Entra ID que les administrateurs informatiques de votre organisation peuvent configurer pour contrôler l'accès en fonction des conditions telles que l'identité de l'utilisateur, la conformité des appareils, l'emplacement et le niveau de risque. Par exemple, vous pouvez utiliser l’accès conditionnel pour exiger l’authentification multifacteur (MFA) ou bloquer l’accès à partir d’appareils non gérés. L’accès conditionnel n’est pas nécessaire pour exécuter l’application mobile Warehouse Management. Activez-la uniquement si votre organisation choisit d’appliquer ces stratégies.

Cet article explique comment activer l’authentification répartie sur l’application mobile Warehouse Management afin que votre organisation puisse appliquer des stratégies d’accès conditionnel.

Fonctionnement de l’authentification répartie

Lorsque vous utilisez l’authentification répartie, le flux suivant se produit lors de la connexion :

1. L’application mobile Warehouse Management délègue l’authentification à l’application broker (Microsoft Authenticator ou Intune Portail d'entreprise) installée sur l’appareil.
2. Le répartiteur valide l’identité de l’application et récupère le jeton d’actualisation principal (PRT) de l’appareil, qui est un jeton lié à l’appareil qui porte les revendications d’identité et de conformité de l’appareil.
3. Le répartiteur envoie la demande d’authentification à Microsoft Entra ID, y compris les signaux de l’appareil.
4. Microsoft Entra ID évalue toutes les stratégies d’accès conditionnel qui s’appliquent à l’utilisateur, à l’appareil ou à l’application, et accorde ou refuse l’accès.
5. Si l’accès est accordé, le répartiteur retourne le jeton d’authentification à l’application mobile Warehouse Management.

Ce processus permet des fonctionnalités telles que l’authentification unique (SSO) entre les applications, l’application de l’authentification multifacteur et la protection des jetons liés à l’appareil, sans exiger que l’application mobile Warehouse Management gère directement ces problèmes de sécurité.

Configuration requise pour l'appareil

Pour utiliser l’authentification répartie, votre appareil doit répondre aux exigences suivantes :

• Vous devez exécuter l’application mobile Warehouse Management version 4.0.28 ou ultérieure.
• Votre appareil doit exécuter une version prise en charge de Windows, Android ou iOS.
• L’appareil doit être inscrit auprès de Microsoft Entra ID (via Workplace Join ou Entra ID inscription).
• Une application broker doit être installée sur l’appareil (voir le tableau suivant).

Configurer Microsoft Authenticator (Android et iOS)

Suivez ces étapes pour configurer Microsoft Authenticator. La procédure est la même pour Android et iOS.

1. Installez Microsoft Authenticator à partir de l'App Store de l'appareil (Google Play pour Android, App Store pour iOS).
2. Ouvrez l’application et sélectionnez le bouton Menu .
3. Sélectionnez Paramètres.
4. Sélectionnez Enregistrement de l'appareil.
5. Entrez votre e-mail ou votre compte professionnel.
6. Sélectionnez Inscrire un appareil.

Inscription d’application

L'authentification répartie fonctionne avec l'application globale Microsoft Entra ID : vous n'avez pas besoin d'une inscription manuelle d'application. Nous vous recommandons l’application globale, car il est plus simple de configurer et de gérer.

L’application globale est fournie en tant qu’application Microsoft première partie (FPA) et est disponible sur le cloud commercial Azure. Si votre environnement est déployé sur un cloud du gouvernement des États-Unis( par exemple, GCC (US Government Community Cloud) ou GCC High, l’application globale n’est pas disponible et vous devez utiliser une inscription manuelle de l’application à la place.

Si vous utilisez déjà une inscription manuelle d’application pour d’autres raisons (telles que les exigences d’environnement local ou un déploiement cloud gouvernemental), elle fonctionne également avec l’authentification répartie. En savoir plus dans Créer manuellement un enregistrement d’application dans Microsoft Entra ID.

Configurer des appareils pour utiliser l’authentification répartie

Lorsque vous utilisez l’application globale, l’authentification répartie est activée par défaut sur toutes les plateformes. Vous pouvez configurer manuellement des appareils via l’interface utilisateur de l’application ou automatiquement en distribuant un fichier JSON via du code QR ou GPM.

Si vous ne souhaitez pas utiliser l’authentification répartie, définissez l’option d’authentification répartie sur Non sur la page Modifier la connexion (ou définie "UseBroker": false dans la configuration JSON). Si l'appareil n'a pas Microsoft Authenticator installé, l'application revient à une connexion de nom d'utilisateur et de mot de passe standard.

Configurer la connexion manuellement

Pour configurer manuellement une connexion, procédez comme suit sur chaque appareil :

1. Ouvrez l’application mobile Warehouse Management et ouvrez la page Modifier la connexion en effectuant l’une des étapes suivantes :

   • Si votre appareil n’a pas encore de connexions définies, sélectionnez Se connecter pour en créer un nouveau.
   • Pour modifier une connexion existante, sélectionnez Appuyez pour modifier, choisissez la connexion cible, puis modifiez les paramètres de connexion.
   • Pour ajouter une nouvelle connexion, sélectionnez Configurer la connexion , puis sélectionnez Entrée manuellement.

2. Définissez les paramètres suivants dans la page Modifier la connexion :

   • Méthode d’authentification : définie sur Nom d’utilisateur et Mot de passe.
   • Cloud : défini sur Azure Global (recommandé). Si vous utilisez un enregistrement manuel de l'application, définissez la valeur sur Manual et fournissez également les valeurs Microsoft Entra ID client et Microsoft Entra ID locataire.

   Configurez tous les autres paramètres, comme décrit dans La configuration manuelle de l’application.

3. Sélectionnez Enregistrer.

4. Connectez-vous avec les identifiants Microsoft Entra du travailleur.

Configurer la connexion à l’aide d’un code QR ou d’un système MDM

Pour préparer les configurations de connexion automatiques distribuées à l’aide d’un code QR ou d’un système MDM, créez un fichier JSON qui contient les détails de connexion. Pour en savoir plus, consultez Configurer l’application en important les paramètres de connexion.

Pour toutes les plateformes, la connexion doit utiliser l’authentification par nom d’utilisateur/mot de passe, que vous spécifiez comme suit dans le fichier JSON :

• "ConnectionType": "UsernamePassword"

Lorsque vous utilisez l’application globale ("AuthCloud": "AzureGlobal"), l’authentification répartie est activée par défaut. Vous n’avez donc pas besoin de définir "UseBroker" ou "AuthCloud" explicitement.

L’exemple suivant montre une configuration JSON qui utilise l’application globale avec l’authentification répartie activée :

{
    "ConnectionName": "Connection1",
    "ActiveDirectoryResource": "https://yourenvironment.cloudax.dynamics.com",
    "Company": "USMF",
    "IsEditable": true,
    "IsDefaultConnection": true,
    "ConnectionType": "UsernamePassword",
    "AuthCloud": "AzureGlobal"
}

Pour plus d’informations sur la distribution du fichier JSON sur vos appareils, consultez Utiliser un code QR pour connecter l’application mobile à Gestion de la chaîne logistique et déployer massivement l’application mobile avec l’authentification basée sur l’utilisateur.

Configuration de la stratégie d’accès conditionnel

Après avoir activé l'authentification répartie sur vos appareils, les administrateurs informatiques de votre organisation peuvent configurer des stratégies d'accès conditionnel dans le centre d’administration Microsoft Entra pour contrôler l'accès à l'application mobile Warehouse Management. Les stratégies courantes sont les suivantes :

• Exiger l’authentification multifacteur : exiger l’authentification multifacteur pour tous les utilisateurs ou groupes spécifiques.
• Exiger un appareil conforme : bloquez l’accès à partir d’appareils qui ne répondent pas aux exigences de conformité de votre organisation.
• Accès basé sur l’emplacement : restreindre l’accès à des emplacements réseau spécifiques ou à des plages d’adresses IP.
• Accès basé sur le risque : bloquez ou défiez les connexions que Microsoft Entra ID détecte comme risquées.

L’application mobile Warehouse Management n’a pas besoin d’une configuration supplémentaire pour fonctionner avec ces stratégies. Lorsque vous utilisez l’authentification répartie, le répartiteur transmet l’appareil requis et les signaux utilisateur à Microsoft Entra ID, ce qui évalue les stratégies et accorde ou refuse l’accès en conséquence.

Pour plus d'informations, voir la documentation de Accès conditionnel Microsoft Entra.

Informations associées

• Vue d’ensemble Accès conditionnel Microsoft Entra
• Installer et configurer l’application mobile Warehouse Management
• Authentification basée sur l’utilisateur pour l’application Warehouse
• Déployer en masse l’application mobile avec l’authentification basée sur l’utilisateur
• FAQ sur l’authentification basée sur l’utilisateur