Como Inscrever Dispositivos no Workspace ONE UEM?

A inscrição de dispositivos em massa normalmente acontece para novos clientes que buscam trazer os dispositivos dos usuários para o ambiente sob o Workspace ONE UEM. Esses casos de uso detalhados mostram cada etapa para inscrever em massa seus dispositivos em três dos caminhos mais populares, traga seu próprio dispositivo (BYOD), propriedade corporativa ativada pessoalmente (COPE) e dispositivos compartilhados.

Traga seu próprio dispositivo (BYOD)

Preocupações com a Privacidade

Você pode tomar medidas preventivas para resolver preocupações com a privacidade dos usuários finais do dispositivo. Para obter instruções detalhadas sobre como definir as configurações de privacidade no Workspace ONE UEM, consulte Privacidade para Implantações de BYOD.

1. Integrar com Serviços de Diretório

Configurar os Serviços de Diretório com um Assistente

O Workspace ONE UEM console fornece um assistente simplificado que facilita o processo de configuração dos serviços de diretório. O assistente inclui etapas que integram Security Assertion Markup Language (SAML), Lightweight Directory Access Protocol (LDAP) ou ambas. O assistente também automatiza o provisionamento de aplicativos do Workspace ONE UEM para VMware Identity Manager, simplificando muito o processo.

Para obter mais informações sobre a integração do Workspace ONE UEM com o Workspace ONE Access e a implementação do Workspace ONE com o single sign-on em dispositivos, consulte Integração do Workspace ONE UEM com o Workspace ONE Access.

Observação: Se você já definiu as configurações de SAML ou LDAP no seu servidor de serviços de diretório, o console do UEM as detectará automaticamente.

  1. Acesse o assistente de configuração de serviços de diretório em dois locais.

    • O principal Assistente de Introdução do UEM console.

    • Vá para Grupos e Configurações > Todas as Configurações > Sistema > Integração Empresarial > Serviços de Diretório e selecione Iniciar Assistente de Instalação.

      Essa captura de tela exibe a lista suspensa da seção Avançado das configurações do sistema de Serviços de Diretório, onde você pode ativar o Azure AD para serviços de identidade e ativar o SAML para autenticação.

  2. Ao iniciar o assistente, selecione Configurar para seguir as etapas.

Configurar os serviços de diretório manualmente

Alternativamente, você pode Ignorar o assistente e configurar os serviços de diretório manualmente para definir as configurações por conta própria.

2. Configurar opções de inscrição

  1. Mude para o GO de tipo de cliente a partir do qual você deseja gerenciar todos os seus dispositivos BYOD. A configuração de opções de inscrição é mais fácil quando você está no GO correto. Para obter mais informações, consulte Mudando Grupos Organizacionais.

  2. Vá para Grupos e Configurações > Todas as Configurações > Dispositivos e Usuários > Inscrição. Se as opções na primeira aba, Autenticação estiverem esmaecidas e não puderem ser selecionadas, selecione a opção Substituir na Configuração Atual para ativar todas essas opções. esta captura de tela parcial mostra a aba Autenticação das configurações de Inscrição

    1. Na aba Autenticação, selecione o botão Adicionar Domínio de E-mail. A tela Adicionar Domínio de E-mail é exibida.
    2. Digite seu domínio de e-mail corporativo, por exemplo acme.com, e um endereço de e-mail de confirmação, por exemplo [email protected]. "Se você operar vários domínios, repita as etapas 1 e 2 para cada domínio usado por seus funcionários." O endereço de e-mail digitado aqui recebe as confirmações de inscrição.
    3. Em Modo(s) de Autenticação desmarque Básico e selecione Diretório. Deixe Proxy de Autenticação desmarcado.
    4. Em Fonte de Autenticação para Intelligent Hub, ative Workspace ONE UEM. Se você usar outros produtos da VMware, como vRA, vShield, NSX, etc., selecione Workspace ONE Access.
    5. Em Modo de Inscrição de Dispositivos, selecione Abrir Inscrição. Essa configuração significa que você não está fazendo uma lista de dispositivos que têm permissão para se inscrever e você não está exigindo um token de registro.
    6. Para as próximas três opções do iOS e do macOS, inspecione os selos de informações ao lado de cada opção para determinar quais opções fazem mais sentido para o seu banco de usuários.
    7. Selecione Salvar.

  3. Enquanto ainda estiver na aba Grupos e Configurações > Todas as Configurações > Dispositivos e Usuários > Inscrição, selecione a aba Modo de Gerenciamento. Se as opções estiverem esmaecidas e não puderem ser selecionadas, selecione a opção Substituir em Configuração Atual para ativar todas essas opções. esta captura de tela parcial mostra a aba Modo de Gerenciamento das configurações de Inscrição

    Dispositivos inscritos no Intelligent Hub são gerenciados pelo MDM por padrão. A aba Modo de Gerenciamento permite que você desative o gerenciamento de MDM, por plataforma, para dispositivos que você deseja inscrever no Workspace ONE UEM em favor de um mecanismo de gerenciamento alternativo, como baseado em aplicativo, modo registrado ou não gerenciado. Ative a plataforma e selecione o Grupo Inteligente apropriado para permitir que esses dispositivos se inscrevam sem o gerenciamento de MDM. Ao usar grupos inteligentes, a inscrição pode ser ativada com base nos seguintes critérios: Versão do Sistema Operacional, Tipo de Propriedade e Grupo de Usuários. Use as políticas de aplicativo de Gerenciamento Adaptativo para controlar os níveis de gerenciamento de dispositivo para dispositivos iOS inscritos sem gerenciamento. Se você quiser manter o Gerenciamento de MDM, pule essa aba de inscrição e prossiga para a etapa 4 (Integração do Hub).

    1. Para cada plataforma que você deseja desativar o gerenciamento de MDM em favor de um mecanismo de gerenciamento alternativo, selecione o botão Ativado para essa plataforma.

    2. Em Todos os Dispositivos [da plataforma] deste Grupo Organizacional, selecione Ativado, se quiser que todos os dispositivos inscritos neste GO saiam do gerenciamento de MDM. Esses dispositivos podem ser gerenciados no modo registrado ou podem ser gerenciados no nível do aplicativo. Eles também podem permanecer não gerenciados. Selecione Desativado e clique na caixa de texto para ativar o menu suspenso. Selecione o nome do grupo inteligente para atribuir conteúdo a esses dispositivos. Todos os dispositivos da plataforma semelhante que se inscrevem neste GO, mas não estão incluídos no grupo inteligente, serão inscritos como gerenciados pelo MDM.

      Se você ainda não criou esse grupo inteligente, selecione Criar Grupo Inteligente na parte inferior do menu suspenso. Em seguida, siga as instruções em Criar um Grupo Inteligente, certificando-se de escolher o caminho Critérios e também certificando-se de que suas plataformas correspondam: crie um grupo inteligente para iOS para o Modo de Gerenciamento do iOS, crie um grupo inteligente para Android para o Modo de Gerenciamento do Android e assim por diante.

    3. Selecione Salvar.

  4. Enquanto ainda estiver na aba Grupos e Configurações > Todas as Configurações > Dispositivos e Usuários > Inscrição, selecione a aba Integração do Hub. Se as opções estiverem esmaecidas e não puderem ser selecionadas, selecione a opção Substituir em Configuração Atual para ativar todas essas opções. esta captura de tela parcial mostra a aba Integração do Hub para as configurações de Inscrição

    1. Em Usar Recursos dos Serviços do Hub no Intelligent Hub, selecione Ativado para permitir que os dispositivos neste Grupo Organizacional se conectem aos Serviços do Workspace ONE Hub para recursos como Catálogo de Aplicativos e Pessoas. Selecione Desativado para desativar esses recursos dos Serviços do Hub.
    2. Selecione Salvar.

  5. Enquanto ainda estiver na aba Grupos e Configurações > Todas as Configurações > Dispositivos e Usuários > Inscrição, selecione a aba Termos de Uso. Se as opções estiverem esmaecidas e não puderem ser selecionadas, selecione a opção Substituir em Configuração Atual para ativar todas essas opções. esta captura de tela parcial mostra a aba Termos de Uso para as configurações de Inscrição

    1. Em Exigir Aceitação dos Termos de Uso de Inscrição selecione Ativado para exigir que seus usuários finais concordem com os termos de uso que você especificar antes de serem autorizados a se inscreverem. Selecione Desativado para tornar a aceitação dos Termos de Uso opcional para a inscrição.
    2. (Opcional) Selecione o botão Adicionar Novos Termos de Uso para a Inscrição e a tela Criar Novos Termos de Uso é exibida, permitindo que você digite um acordo de termos de uso. Você pode especificar opções, incluindo Plataformas, Propriedade do Dispositivo, Tipo de Inscrição e Idioma. Entre em contato com sua equipe jurídica com a finalidade de criar um acordo de termos de uso eficaz. Selecione Salvar para salvar o acordo.
    3. Selecione Salvar para salvar as seleções da aba Termos de Uso.

  6. Enquanto ainda estiver na aba Grupos e Configurações > Todas as Configurações > Dispositivos e Usuários > Inscrição, selecione a aba Agrupamento. Se as opções estiverem esmaecidas e não puderem ser selecionadas, selecione a opção Substituir em Configuração Atual para ativar todas essas opções. esta captura de tela parcial mostra a aba Agrupamento das configurações de Inscrição

    1. Em Modo de Atribuição de ID de Grupo, selecione Padrão.
    2. Na seção Padrão, para Propriedade de Dispositivo Padrão, selecione Propriedade do Funcionário, que é a principal característica de uma implementação de BYOD.
    3. Na seção Padrão, para Função Padrão, selecione Acesso Básico, Acesso Total ou selecione uma função que você preparou.
    4. Na seção Padrão, para Ação Padrão para Usuários Inativos selecione Apagar Dados Corporativos de Dispositivos Inscritos Atualmente. Essa opção aplica a maior proteção contra perda de dados intelectuais/corporativos em caso de roubo de dispositivo ou quando um dispositivo for perdido.
    5. Na seção Sincronização do Grupo de Usuários, para Sincronizar Grupos de Usuários em Tempo Real para o Workspace ONE, selecione Desativado. Quando ativado, o Workspace ONE pode sincronizar grupos de usuários para determinados usuários conforme eles se registram com o UEM Console. Devido ao seu impacto no desempenho do Workspace ONE UEM, ative essa opção somente se os grupos de usuários mudarem com frequência, já que eles afetam se um dispositivo deve ter permissão para ser registrado.
    6. Na seção Mapeamento de Função de Usuário, para Ativar o Mapeamento Baseado em Grupo do Diretório, desmarque a caixa de seleção aqui para desativar a aplicação de funções com base nos grupos de usuários nos seus serviços de diretório. Ative a caixa de seleção para contabilizar todos os grupos de usuários nos seus serviços de diretório e use essas informações para atribuir funções específicas. Por exemplo, você pode aplicar "Função x" a todos os usuários do seu grupo de usuários de serviços de diretório "Gerentes", enquanto aplica "Função y" a todos os usuários em outro grupo de usuários.

  7. Enquanto ainda estiver na aba Grupos e Configurações > Todas as Configurações > Dispositivos e Usuários > Inscrição, selecione a aba Restrições. Se as opções estiverem esmaecidas e não puderem ser selecionadas, selecione a opção Substituir em Configuração Atual para ativar todas essas opções.

    esta captura de tela parcial mostra a aba Restrições das configurações de Inscrição1. Se os usuários do seu dispositivo não tiverem sido adicionados como usuários ao Workspace ONE UEM e estiverem inscrevendo os dispositivos pela primeira vez, então, em Controle de Acesso do Usuário, deixe a caixa de seleção em branco (desmarcada) para Restringir Inscrição a Usuários Conhecidos. No entanto, se você tiver usuários importados em massa ou os enviou ao Self Service Portal para que adicionem a si mesmos, talvez você deva considerar ativar essa caixa de seleção. 2. Se você não integrou seu serviço de diretório com grupos de usuários, então, em Controle de Acesso do Usuário, deixe a caixa de seleção em branco (desmarcada) para Restringir a Inscrição a Grupos Configurados. No entanto, se você tiver integrado propositalmente seus serviços de diretório ao Workspace ONE UEM que cria grupos de usuários no UEM com base em seus grupos de usuários em serviços de diretório, considere ativar esta caixa de seleção para limitar a inscrição apenas aos usuários que fazem parte de um desses grupos de usuários dos serviços de diretório.

    esta captura de tela parcial mostra a aba Restrições das configurações de Inscrição 3. Na seção Configurações de Política, você pode selecionar o botão Adicionar Política para limitar manualmente a inscrição com base nos fatores que decidir. Esses fatores incluem tipo de propriedade, tipo de inscrição, plataforma do dispositivo, modelo do dispositivo e sistema operacional.

    Esta captura de tela mostra a tela Adicionar/Editar Política de Restrição de Inscrição, que permite limitar a inscrição facilmente

    Você pode definir várias políticas, por exemplo, uma política por plataforma, especificando um modelo mínimo ou versão do sistema operacional, e permitir que apenas esses dispositivos se inscrevam. Essa pode ser uma ferramenta poderosa, como você poderá ver mais tarde na etapa 5.

    esta captura de tela parcial mostra a aba Restrições das configurações de Inscrição 4. Na seção Requisitos de Gerenciamento para o Workspace ONE, quando a opção Exigir MDM para o Workspace ONE estiver ativada, os dispositivos que atenderem aos critérios atribuídos serão solicitados a se inscreverem imediatamente após o login no Workspace ONE. Os dispositivos que não atendem aos critérios atribuídos têm permissão para fazer login com um estado não gerenciado. Eles podem ficar sob gerenciamento posteriormente usando o Adaptive Management. Essa opção requer o aplicativo Workspace ONE 3.2 ou posterior.

    esta captura de tela parcial mostra a aba Restrições das configurações de Inscrição 5. Na seção Configurações de Atribuição de Grupo, você pode aplicar políticas definidas na etapa 3 e enviar dispositivos de qualificação para o grupo de usuários de sua escolha.

    Por exemplo, se você tiver feito uma política de restrição que permite apenas dispositivos Android de Propriedade do Funcionário (BYOD) versão 10 ou posterior e uma segunda política de restrição que permite apenas os iPhones de Propriedade do Funcionário (BYOD) versão 15 ou posterior, você pode configurá-la de forma que os usuários do Android sejam adicionados a um grupo de usuários e os usuários do iPhone sejam adicionados a outro grupo de usuários. Essa organização pode ser útil no futuro para o gerenciamento de conteúdo.

  8. As abas restantes, Solicitação Opcional e Personalização, são as opções mais amigáveis para o usuário final do dispositivo que são menos essenciais para a funcionalidade de BYOD. Para obter instruções detalhadas sobre cada opção disponível, consulte Solicitação Opcional e Personalização.

3. Inscrever com o Intelligent Hub

Inscrever um dispositivo com o Workspace ONE Intelligent Hub é a opção principal para dispositivos Android, iOS e Windows no Workspace ONE Express e no Workspace ONE UEM.

  1. Baixe e instale o Workspace ONE Intelligent Hub no Google Play (para dispositivos Android) ou na App Store (para dispositivos Apple).

    Para baixar o Workspace ONE Intelligent Hub de uma loja de aplicativos pública é necessário ter uma Apple ID ou uma conta do Google.

    Os dispositivos Windows 10 devem apontar o navegador padrão no dispositivo para https://getwsone.com para baixar o Hub.

  2. Execute o Workspace ONE Intelligent Hub ao concluir o download ou volte para sua sessão do navegador.

    Importante: Para assegurar uma instalação bem-sucedida e o funcionamento do Workspace ONE Intelligent Hub no seu dispositivo Android, ele precisa ter um mínimo de 60 MB de espaço disponível. Você pode alocar a CPU e a Memória de tempo de execução por aplicativo na plataforma Android. Se um aplicativo usar mais recursos do que os que foram alocados, os dispositivos Android se otimizam encerrando o aplicativo.

  3. Insira seu endereço de e-mail quando solicitado. O Workspace ONE Console verifica se o endereço foi adicionado ao ambiente. Nesse caso, você já está configurado como usuário e seu grupo organizacional já está atribuído.

    Se o console Workspace ONE não for capaz de identificar você como usuário final com base no seu endereço de e-mail, será solicitado que você insira o seu Servidor, ID de grupo e Credenciais. O administrador pode fornecer a URL do ambiente e a ID de grupo.

  4. Finalize a inscrição seguindo todas as mensagens restantes. Você pode usar seu endereço de e-mail no lugar do nome de usuário. Se dois usuários tiverem o mesmo e-mail, ocorrerá uma falha na inscrição.

O dispositivo agora está inscrito no Workspace ONE Intelligent Hub aplicativo. Na guia Resumo da Exibição de Detalhes do Dispositivo para este dispositivo, o painel de segurança exibe "Hub Registrado" para refletir esse método de inscrição.

Inscrição Direta do Workspace ONE de Propriedade Corporativa e Pessoalmente Ativado (COPE)

A inscrição direta representa a maneira mais fácil de inscrever dispositivos que são de propriedade corporativa e pessoalmente ativadas (COPE). O modelo COPE oferece às empresas uma maneira de alcançar o equilíbrio entre o consumo de dispositivos e a segurança e o controle exigidos pela departamento de TI.

Como administrador, você pode configurar a inscrição direta com as opções desejadas. As opções incluem uma solicitação opcional, restringir por tipo de dispositivo, limitar por grupo de usuários e adiar a instalação de aplicativos para o usuário.

A inscrição direta é desativada por padrão. Para ativar a inscrição direta para o Workspace ONE, siga estas etapas.

  1. Alterne para o grupo organizacional para o qual você deseja ativar a inscrição direta para o Workspace ONE. O GO para o qual você deseja mover é aquele no qual você pretende manter todos os dispositivos COPE inscritos. Esse mesmo GO é aquele que você selecionará no futuro próximo para gerenciar grupos inteligentes que você usa para fornecer perfis de dispositivo para COPE, políticas de conformidade para COPE, aplicativos para COPE e outros conteúdos para COPE.
  2. Vá para Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Inscrição e selecione a aba Restrições.

  3. Role para baixo até Requisitos de gerenciamento para o Workspace ONE e selecione as opções de configuração. Se necessário, selecione Substituir as configurações do GO principal.

    esta captura de tela parcial mostra a aba Restrições das configurações de Inscrição

    Configuração Descrição
    Exigir o MDM para o Workspace ONE Solicitar a inscrição de dispositivos e usuários qualificados imediatamente após o Log no Workspace ONE.
    Dispositivos fora dos critérios definidos têm permissão para se inscrever em um estado não gerenciado e podem passam por gerenciamento mais tarde (Gerenciamento adaptativo).
    Grupo de usuário atribuído Esta configuração especifica o grupo de usuários que você deseja incluir no processo de inscrição direta. Você também pode selecionar Todos os Usuários, que é a seleção padrão quando você ativa Exigir o MDM para o Workspace ONE.
    iOS Ative essa configuração para incluir dispositivos iOS. O status desativado torna os dispositivos iOS não elegíveis para a inscrição direta, embora eles ainda possam se inscrever no Workspace ONE UEM em um estado não gerenciado.
    Android herdado Ative esta opção para incluir os dispositivos Android herdados. O status desativado torna os dispositivos Android Legados não elegíveis para a inscrição direta, embora eles ainda possam se inscrever no Workspace ONE UEM em um estado não gerenciado.
    Android empresarial Ative essa configuração para incluir dispositivos Android empresariais. O status desativado torna os dispositivos Android Enterprise não elegíveis para a inscrição direta, embora eles ainda possam se inscrever no Workspace ONE UEM em um estado não gerenciado.

As etapas restantes são destinadas a serem executadas pelo usuário final. O envio de um e-mail com as etapas de inscrição detalhadas para seus usuários finais geralmente é a maneira recomendada de fazer isso.

  1. Oriente o usuário final a baixar, instalar e executar o aplicativo Workspace ONE na app store ou repositório específico da plataforma.
  2. Insira o endereço de e-mail ou URL do servidor. Você pode incluir essas informações no e-mail de inscrição para os usuários finais.
  3. Digite seu nome de usuário e senha dos serviços de diretório.
  4. Instale ou habilite Workspace Services selecionando etapas específicas para a sua plataforma.
    1. iOS – permita que o servidor abra as Configurações, digite seu código de acesso ao dispositivo, instale um perfil de dispositivo não assinado e abra uma tela no Workspace.
    2. Android legado – instale o Workspace ONE Intelligent Hub, permita que ele faça e gerencie chamadas telefônicas e selecione a propriedade do seu dispositivo com uma opção para inserir o número de ativo do dispositivo. Ative o aplicativo de administrador do dispositivo e, em seguida, faça o login no Workspace ONE.
    3. Corporativo Android – aceite (ou recuse) o acordo de termos de uso, configure o perfil de trabalho e crie o código de acesso do Workspace ONE.
  5. Quando o Workspace ONE terminar a rotina de instalação, você os usuários finais podem Continuar a instalar aplicativos.
  6. Os usuários finais podem instalar aplicativos individuais selecionados a partir de uma lista, Instalar todos ou Ignorar essa etapa inteiramente.

Opções compatíveis de inscrição direta do Workspace ONE

Vá para Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Inscrição, selecione cada aba aplicável e faça as seleções de acordo com a compatibilidade com a inscrição direta do Workspace ONE.

Autenticação

As seguintes opções de autenticação são compatíveis com a inscrição direta do Workspace ONE.

  • Usuários do diretório.
  • Usuários do Active Directory SAML plus são compatíveis "imediatamente". O SAML sem usuários LDAP é compatível desde que o registro de usuário já exista no Workspace ONE UEM no momento do login inicial
  • Usuários básicos, usuários de validação, SAML sem usuários de diretório e usuários de Proxy de autenticação não são compatíveis no momento.
  • Inscrição aberta.
  • O Workspace ONE não audita as configurações de Exigir o Workspace ONE Intelligent Hub para iOS ou macOS, que são usadas para bloquear inscrições na web em suas respectivas plataformas.

Termos de uso

Todas as opções dos termos de uso são compatíveis com a inscrição direta do Workspace ONE.

Agrupamento

Todas as opções de agrupamento são compatíveis com a inscrição direta do Workspace ONE.

Restrições

As seguintes opções de restrições são compatíveis com a inscrição direta do Workspace ONE.

  • Usuários conhecidos e grupos configurados.
  • Limite máximo de dispositivos inscritos.
  • Configurações de políticas são parcialmente compatíveis.
    • Tipos de proprietário permitidos – O Workspace ONE apenas solicitará para propriedade do funcionário e corporativo dedicado. Caso não queira nenhum tipo, desative a solicitação opcional e use o tipo de propriedade padrão.
    • Tipos de inscrição permitidos não são compatíveis.
  • Plataforma do dispositivo, modelo do dispositivo e restrições de sistema operacional são compatíveis.
  • Restrições de grupo de usuários.

Prompts opcionais

As seguintes opções de prompts opcionais são compatíveis com a inscrição direta do Workspace ONE.

  • Solicitação de proprietário do dispositivo.
  • Solicitar número do ativo (compatível apenas quando a opção Solicitação de proprietário do dispositivo estiver ativada).
  • Todas as outras solicitações opcionais não são compatíveis.

Personalização

As seguintes opções de personalização são compatíveis com a inscrição direta do Workspace ONE.

  • Uso de modelo de mensagem específico para cada plataforma.
  • URL para redirecionamento após a inscrição (somente iOS).
  • Mensagem de perfil de MDM (somente iOS).
  • Usar aplicativos de MDM personalizados.
  • E-mail de suporte para a inscrição e Telefone de suporte para a inscrição não são compatíveis.

Método de

Não há suporte para a validação de dispositivos neste modelo de COPE usando o processo de Inscrição Direta. Se você precisa preparar um dispositivo, para um ou vários usuários, será preciso inscrever o dispositivo usando o Workspace ONE Intelligent Hub, de acordo com as seguintes configurações específicas da plataforma:

Dispositivos compartilhados

check-circle-line exclamation-circle-line close-line
Scroll to top icon