Tutorial: Integration des einmaligen Anmeldens (SSO) von Microsoft Entra in MobileIron

In diesem Tutorial erfahren Sie, wie Sie MobileIron in Microsoft Entra ID integrieren. Die Integration von MobileIron in Microsoft Entra ID ermöglicht Folgendes:

• Steuern Sie in Microsoft Entra ID, wer Zugriff auf MobileIron hat.
• Ermöglichen Sie es Ihren Benutzer*innen, sich mit ihren Microsoft Entra-Konten automatisch bei MobileIron anzumelden.
• Verwalten Sie Ihre Konten zentral im Azure-Portal.

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

• Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
• MobileIron-Abonnement, für das einmaliges Anmelden (SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

• MobileIron unterstützt SP- und IDP-initiiertes einmaliges Anmelden.

Hinzufügen von MobileIron aus dem Katalog

Um die Integration von MobileIron in Microsoft Entra ID zu konfigurieren, müssen Sie MobileIron aus dem Katalog Ihrer Liste mit verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff MobileIron in das Suchfeld ein.
4. Wählen Sie im Ergebnisbereich MobileIron aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für MobileIron

Konfigurieren und testen Sie das einmalige Anmelden (SSO) von Microsoft Entra mit MobileIron mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in MobileIron eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit MobileIron die folgenden Schritte aus:

1. Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
   1. Erstellen von Microsoft Entra-Testbenutzer*in, um das einmalige Anmelden von Microsoft Entra mit der Testbenutzerin Britta Simon zu testen.
   2. Zuweisen von Microsoft Entra-Testbenutzerin, um Britta Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
2. Konfigurieren des einmaligen Anmeldens für MobileIron , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
   1. Erstellen einer MobileIron-Testbenutzerin, um ein Pedant von Britta Simon in MobileIron zu erhalten, das mit der Benutzerdarstellung in Microsoft Entra verknüpft ist.
3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

In diesem Abschnitt aktivieren Sie das einmalige Anmelden (SSO) von Microsoft Entra.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zur Anwendungsintegrationsseite Identität>Anwendungen>Unternehmensanwendungen>MobileIron, finden Sie den Abschnitt Verwalten, und wählen Sie Einmaliges Anmelden aus.

3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

4. Wählen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten das Stiftsymbol für Grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus, wenn Sie die Anwendung im IDP-initiierten Modus konfigurieren möchten:

   a. Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein: https://www.MobileIron.com/<key>

   b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://<host>.MobileIron.com/saml/SSO/alias/<key>

   c. Klicken Sie auf Zusätzliche URLs festlegen, und führen Sie den folgenden Schritt aus, wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten:

   Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://<host>.MobileIron.com/user/login.html

   Hinweis

   Hierbei handelt es sich um Beispielwerte. Ersetzen Sie diese Werte durch den tatsächlichen Bezeichner, die Antwort-URL und die Anmelde-URL. Sie erhalten die Werte des Schlüssels und des Hosts aus dem Verwaltungsportal von MobileIron, das später in diesem Tutorial beschrieben wird.

6. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat auf Herunterladen, um den Ihren Anforderungen entsprechenden Verbundmetadaten-XML-Code aus den verfügbaren Optionen herunterzuladen und auf Ihrem Computer zu speichern.

   

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt wird eine Testbenutzerin namens B.Simon erstellt.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
   1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
   2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
   3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
   4. Klicken Sie auf Überprüfen + erstellen.
5. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt ermöglichen Sie B. Simon die Verwendung des einmaligen Anmeldens von Azure, indem Sie ihr Zugriff auf MobileIron gewähren.

1. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
2. Wählen Sie in der Anwendungsliste MobileIron aus.
3. Navigieren Sie auf der Übersichtsseite der App zum Abschnitt Verwalten, und wählen Sie Benutzer und Gruppen aus.
4. Klicken Sie auf Benutzer hinzufügen. Wählen Sie dann im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
5. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste der Benutzer die Option B.Simon aus. Wählen Sie anschließend am unteren Bildschirmrand Auswählen aus.
6. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
7. Wählen Sie im Dialogfeld Zuweisung hinzufügen die Option Zuweisen aus.

Konfigurieren des einmaligen Anmeldens für MobileIron

1. Melden Sie sich in einem anderen Webbrowserfenster bei der MobileIron-Unternehmenswebsite als Administrator an.

2. Navigieren Sie zu Admin>Identity (Identität), und wählen Sie im Feld Info on Cloud IDP Setup (Info zum Cloud-IDP-Setup) die Option Microsoft Entra ID aus.

   

3. Kopieren Sie die Werte von Key (Schlüssel) und Host, und fügen Sie sie zum Ausfüllen der URLs im Azure-Portal in den Abschnitt Grundlegende SAML-Konfiguration ein.

   

4. Klicken Sie in Metadatendatei aus AAD exportieren und in MobileIron-Cloudfeld importieren auf Datei auswählen, um die heruntergeladenen Metadaten vom Azure-Portal hochzuladen. Klicken Sie nach dem Hochladen auf Fertig.

   

Erstellen eines MobileIron-Testbenutzers

Damit sich Microsoft Entra-Benutzer*innen bei MobileIron anmelden können, müssen sie in MobileIron bereitgestellt werden.
Im Fall von MobileIron ist die Bereitstellung eine manuelle Aufgabe.

Führen Sie zum Bereitstellen eines Benutzerkontos die folgenden Schritte aus:

1. Melden Sie sich bei der MobileIron-Unternehmenswebsite als Administrator an.

2. Wechseln Sie zu Users, und klicken Sie auf Add>Single User.

   

3. Führen Sie auf der Dialogfeldseite Single User die folgenden Schritte aus:

   

   a. Geben Sie im Textfeld E-mail adress die E-Mail-Adresse des Benutzers ein, z.B. brittasimon@contoso.com.

   b. Geben Sie im Textfeld First Name den Vornamen des Benutzers ein, z.B. „Britta“.

   c. Geben Sie im Textfeld Last Name den Nachnamen des Benutzers ein, z.B. „Simon“.

   d. Klicken Sie auf Fertig.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

• Klicken Sie auf Anwendung testen, werden Sie zur Anmelde-URL von MobileIron weitergeleitet, wo Sie den Anmeldevorgang starten können.

• Rufen Sie direkt die MobileIron-Anmelde-URL auf, und initiieren Sie den Anmeldeflow.

IDP-initiiert:

• Klicken Sie auf Diese Anwendung testen. Dadurch sollten Sie automatisch bei der MobileIron-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Beim Klicken auf die Kachel „MobileIron“ in „Meine Apps“ geschieht Folgendes: Wenn Sie die Anwendung im SP-Modus konfiguriert haben, werden Sie zum Initiieren des Anmeldeflows zur Anmeldeseite der Anwendung weitergeleitet. Wenn Sie die Anwendung im IDP-Modus konfiguriert haben, sollten Sie automatisch bei der MobileIron-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von MobileIron können Sie Sitzungssteuerungen erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützen. Sitzungssteuerungen basieren auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.