O Workspace ONE UEM oferece suporte a dois métodos para inscrever dispositivos corporativos. Você pode permitir que os usuários inscrevam seus próprios dispositivos ou que administradores inscrevam dispositivos em nome dos usuários em um processo chamado validação de dispositivo.

Na validação do dispositivo, um administrador inscreve os dispositivos antes de atribuí-los e distribuí-los aos usuários finais. Esse método é útil para administradores que precisam configurar dispositivos para os usuários em toda a organização.

A validação de dispositivos pode ser realizada em dispositivos Android, iOS e macOS.

Consideração nº 1: Proprietário do dispositivo

  • Seus usuários já têm dispositivos corporativos atribuídos? Nesse caso, pode não ser prático coletar cada dispositivo e validá-lo e deixar os usuários fazerem a inscrição.

  • Seus usuários compartilharão dispositivos ou terão seus dispositivos dedicados? Se os usuários não vão compartilhar os dispositivos, você pode torná-los responsáveis pela inscrição dos seus próprios dispositivos.

    Além disso, a validação de dispositivo funciona bem para dispositivos recentemente provisionados, pois ela acontece antes de um funcionário receber o dispositivo. Se os seus usuários já têm dispositivos corporativos, faz mais sentido permitir que eles façam a autoinscrição. Permitir que os usuários inscrevam seus próprios dispositivos também é útil quando o número total de dispositivos tornar inviável para os administradores realizar a validação de dispositivos.

Consideração nº 2: Descoberta automática

Você associará o domínio de e-mail da sua organização ao ambiente do Workspace ONE UEM? Esse processo, conhecido como detecção automática, significa que os usuários precisam apenas inserir seu endereço de e-mail e credenciais. A URL de inscrição e a ID do grupo são automaticamente inseridas.

Consulte também Inscrição por detecção automática.

Consideração nº 3: Inscrição direta do Workspace ONE

Não há suporte para a preparação de dispositivos por meio da inscrição direta do Workspace ONE. Se você precisa preparar um dispositivo, para um ou vários usuários, será preciso inscrever o dispositivo usando o Workspace ONE Intelligent Hub em vez da inscrição direta do Workspace ONE.

A inscrição direta do Workspace ONE é um recurso adequado para a autoinscrição. Uma vez ativado, todos os dispositivos qualificados que efetuarem login no grupo organizacional de inscrição são imediatamente inscritos. E depois de totalmente instalado, o usuário pode concordar em instalar aplicativos selecionados pela empresa ou optar por sair da instalação de aplicativos.

Para obter mais informações, consulte Inscrição direta do Workspace ONE.

Consideração nº 4: Você está participando de um Programa de inscrição de dispositivos da Apple?

Para maximizar os benefícios dos dispositivos Apple inscritos no programa de Gerenciamento de dispositivos móveis (MDM), a Apple introduziu o Programa de registro de dispositivo (DEP). Com o DEP, você pode fazer as ações a seguir.

  • Instale um perfil não removível de MDM em um dispositivo para impedir que os usuários consigam removê-lo.
  • Provisione dispositivos no modo Supervisionado (apenas iOS). Dispositivos no modo Supervisionado podem acessar definições adicionais de segurança e configuração.
  • Exija a inscrição de todos os usuários.
  • Atenda às necessidades da sua organização personalizando e agilizando o processo de inscrição.
  • Evite o backup do iCloud impedindo que os usuários façam login com o ID Apple ao gerar um perfil DEP.
  • Exija atualizações do SO para todos os usuários.

Consideração nº 5: Uso do Apple Configurator

O Apple Configurator permite que os administradores de TI implementem e gerenciem dispositivos Apple iOS com eficiência. Organizações como lojas de varejo, salas de aula e hospitais acham especialmente útil fazer a pré-inscrição dos dispositivos para vários usuários compartilharem.

É possível usar o Configurator para inscrever dispositivos dedicados pré-registrados destinados a um único usuário adicionando dados do número de série/IMEI a um dispositivo registrado do usuário no console. Um grande benefício do Apple Configurator é que você pode usar um hub USB ou carrinho de dispositivo iOS para provisionar vários dispositivos em minutos.

Consideração nº 6: Validação ou registro de usuário único?

Se você estiver considerando validar dispositivos para um único usuário, o registro pode ser preferível. A diferença entre validar um único usuário e registrar um dispositivo é sutil, mas importante.

Registro – quando você registra um dispositivo, você faz isso para um usuário individual, denominado. Esse procedimento significa que o dispositivo espera que o primeiro usuário que faz login seja o mesmo usuário ao qual ele foi registrado. Se outro usuário tentar efetuar login em um dispositivo registrado, a premissa de segurança determina que o dispositivo está bloqueado e não pode ser inscrito.

Validação de usuário único – quando você prepara um dispositivo, faz isso para que qualquer usuário qualificado se inscreva no Workspace ONE UEM. Na teoria, você pode entregar um dispositivo validado para qualquer usuário qualificado e ele poderá efetuar login no dispositivo e se inscrever no Workspace ONE UEM com êxito.

O fluxo de trabalho de validação permite que você prepare o dispositivo e, em seguida, inicie o Workspace ONE Intelligent Hub, onde qualquer usuário de inscrição qualificado poderá fazer login. O Workspace ONE UEM executa então uma única reatribuição para associar o dispositivo a esse usuário.

Consideração nº 7: Uso de validação do dispositivo

A menos que estejam usando o Apple Configurator, os administradores devem validar os dispositivos individualmente. Para grandes implementações, considere o tempo e o pessoal exigidos para a tarefa.

Embora administradores possam preparar novos dispositivos facilmente, os funcionários que já usam dispositivos da empresa devem enviar os dispositivos ou coletá-los no local para que eles sejam preparados.

Se você tiver milhares de dispositivos para fazer a pré-inscrição, a validação de dispositivos pode levar tempo. Portanto, é melhor realizá-la quando um novo lote de dispositivos é provisionado. Assim, você tem acesso aos dispositivos antes de os funcionários os receberem.

A validação de dispositivo pode ser realizada em dispositivos Android e iOS das seguintes formas.

  • Usuário único (Padrão) – Utilizado quando você está validando um dispositivo que qualquer usuário pode inscrever.

    Observação: Conforme indicado, esse fluxo de inscrição é destinado a dispositivos autônomos. Se estiver usando esse fluxo para inscrição de usuários sem necessidade de intervenção, você será responsável por garantir que os dispositivos preparados sejam entregues ao usuário pretendido.

  • Usuário único (Avançada) – Utilizada quando você está preparando e inscrevendo um dispositivo para um usuário em particular.

    Observação: O usuário/administrador de validação deve garantir que haja o check-out do dispositivo para o usuário registrado.

  • Múltiplos usuários – Utilizada quando você está preparando um dispositivo cujo uso será compartilhado por vários usuários.

    Para obter instruções detalhadas, consulte Criar uma conta de validação de vários usuários para inscrição.

Preparar um dispositivo de usuário único

A preparação de dispositivo para usuário único no Workspace ONE UEM Console permite que um único administrador prepare os dispositivos para outros usuários em seu nome, o que pode ser útil para administradores de TI encarregados de distribuir uma frota de dispositivos.

Não há suporte para a preparação de dispositivos por meio da inscrição direta do Workspace ONE. Se você precisa preparar um dispositivo, para um ou vários usuários, será preciso inscrever o dispositivo usando o Workspace ONE Intelligent Hub em vez da inscrição direta do Workspace ONE.

Importante:

A criação de usuários de validação é um privilégio de administrador elevado. A permissão para criar um usuário de validação deve ser limitada apenas a administradores confiáveis específicos. Além disso, trate as credenciais do usuário de validação da mesma forma que qualquer outro privilégio de administrador e não as divulgue.

Atualmente, qualquer administrador com a permissão para criar um usuário também pode criar um usuário de validação. Limite essa capacidade editando as funções atribuídas aos seus administradores. Vá para Contas > Administradores > Funções. Identifique apenas as funções que você deseja limitar e, em seguida, a Edite () cada uma dessas funções no caminho da categoria Todos > Contas > Usuários > Contas limpando a caixa de seleção a Editar na permissão "Adicionar/Editar".

Observação: A conexão LDAP é obrigatória ao validar dispositivos. Para criar esse payload, consulte Conectando um dispositivo aos Serviços de diretório, neste guia.

  1. Vá até Contas > Usuários > Modo de exibição de lista e selecione Editar para a conta de usuário na qual você deseja ativar a validação do dispositivo.

  2. Na página Adicionar/Editar usuário, selecione a aba Avançado.

    1. Role para baixo até a seção Validação.

    2. Para Habilitar preparação do dispositivo, selecione o controle deslizante Habilitar. As opções de validação são exibidas.

    3. Para Dispositivos para um único usuário, selecione o controle deslizante Habilitar .

    4. Alterne o modo de validação para um único usuário do dispositivo como Padrão ou Avançada.

      O modo de validação padrão exige que um usuário digite informações de login após a validação, enquanto o modo Avançado permite que o usuário da validação inscreva o dispositivo em nome de outro usuário.

    5. Verifique se a opção Dispositivo para múltiplos usuários está definida como Desativada.

    6. Para Modo de dispositivo compartilhado Android, selecione Nativo ou Launcher para o modo de check-in e check-out. O Android nativo é compatível com casos de uso mais simples que não precisam de personalização. O Launcher é compatível com a personalização da interface de usuário para casos de uso complexos.

    7. Para Aplicativos do sistema,você pode permitir o acesso do usuário final nos aplicativos do sistema.

    8. Para Código de acesso do modo administrador, especifique um código de acesso alfanumérico para solucionar problemas de um dispositivo no modo admin. Toque no ícone Hub na tela de login cinco vezes para acessar o modo admin.

      Resultado: Dispositivos para um único usuário valida dispositivos para um único usuário.

  3. Inscrever o dispositivo. Escolha uma das opções.

    • Inscreva usando o Workspace ONE Intelligent Hub inserindo o URL do servidor e o ID do grupo.
    • Abra o navegador Web do dispositivo, vá para a URL de inscrição e digite a ID de grupo apropriada.
  4. Digite as suas credenciais para validação do dispositivo durante a inscrição.

    1. Se necessário, especifique que você está validando para Dispositivos para um único usuário.

      Você só precisará fazer isso se a validação do dispositivo para múltiplos usuários também estiver ativada em modo de validação.

  5. Conclua a inscrição para validação Avançada ou Padrão.

    1. Se estiver fazendo a validação Avançada, você precisará inserir o nome de usuário do usuário final proprietário do dispositivo que o utilizará. Continue com o processo de inscrição instalando o perfil do gerenciamento de dispositivos móveis (MDM) e aceitando todos os avisos e mensagens que surgirem na tela.
    2. Se estiver realizando a validação padrão, o usuário deverá digitar as suas próprias credenciais na janela de login quando concluir a inscrição.

Resultados: O dispositivo já se encontra validado e pronto para ser utilizado pelo novo usuário. Se um contrato de termos de uso de inscrição estiver em vigor, o usuário único de validação não verá esse prompt de contrato de TOU até fazer login em sua conta do SSP.

Preparar um dispositivo para múltiplos usuários

A validação de dispositivo multiusuário/de uso compartilhado permite que um administrador de TI provisione dispositivos destinados ao uso por mais de um usuário. A validação de múltiplos usuários permite que o dispositivo faça a alteração do usuário atribuído dinamicamente, à medida que outros usuários da rede fazem login no dispositivo.

Não há suporte para a preparação de dispositivos por meio da inscrição direta do Workspace ONE. Se você precisa preparar um dispositivo, para um ou vários usuários, será preciso inscrever o dispositivo usando o Workspace ONE Intelligent Hub em vez da inscrição direta do Workspace ONE.

  1. Vá até Contas > Usuários > Modo de exibição de lista e selecione Editar para a conta de usuário na qual você deseja ativar a validação do dispositivo.

  2. Na página Adicionar/Editar usuário, selecione a aba Avançado.

    1. Role para baixo até a seção Validação.
    2. Para Habilitar preparação do dispositivo, selecione o controle deslizante Habilitar. As opções de validação são exibidas.
    3. Verifique se a opção Dispositivo para múltiplos usuários está definida como Ativada.
    4. Para Modo de dispositivo compartilhado Android, selecione Nativo ou Launcher para o modo de check-in e check-out. O Android nativo é compatível com casos de uso mais simples que não precisam de personalização. O Launcher é compatível com a personalização da interface de usuário para casos de uso complexos.
    5. Para Aplicativos do sistema,você pode permitir o acesso do usuário final nos aplicativos do sistema.
    6. Para Código de acesso do modo administrador, especifique um código de acesso alfanumérico para solucionar problemas de um dispositivo no modo admin. Toque no ícone Hub na tela de login cinco vezes para acessar o modo admin.
  3. Inscreva o dispositivo usando um dos dois métodos a seguir.

    • Inscreva usando o Workspace ONE Intelligent Hub inserindo o URL do servidor e o ID do grupo.
    • Abra o navegador Web do dispositivo, vá para a URL de inscrição e digite a ID de grupo apropriada.
  4. Digite as suas credenciais para validação do dispositivo durante a inscrição. Se necessário, especifique que você está validando para Dispositivos para um único usuário.

    Você deve fazer isso apenas se a validação do dispositivo para múltiplos usuários também estiver habilitada para o usuário da validação.

Resultado: O dispositivo agora está validado e pronto para uso pelos novos usuários.

Processo padrão de autoinscrição

A autoinscrição pode exigir que os usuários finais saibam a ID do grupo apropriado e as credenciais de login. Se você tiver feito a integração com os serviços de diretório, essas credenciais serão as mesmas que as do serviço de diretório do usuário.

Você também pode associar o domínio de e-mail da sua organização com o ambiente do Workspace ONE UEM em um processo conhecido como detecção automática. Com a detecção automática ativada, os dispositivos de plataformas compatíveis solicitam que os usuários insiram seu endereço de e-mail. Esses dispositivos preencherão automaticamente a inscrição se o domínio de e-mail deles (texto depois de corresponder @), sem a necessidade de digitar um ID do grupo ou URL de inscrição. Para obter mais informações, consulte Inscrição por Detecção Automática.

  1. Os usuários acessam AWAgent.com, que detecta automaticamente se o Workspace ONE Intelligent Hub está instalado.

    Se o Workspace ONE Intelligent Hub não estiver instalado, o site redireciona para a app store móvel adequada.

  2. Os usuários do AirWatch Container baixam o aplicativo AirWatch Container na app store.

  3. Depois de iniciar o aplicativo do Workspace ONE Intelligent Hub ou Container, os usuários digitam suas credenciais, além do endereço de e-mail ou URL/ID do grupo, e continuam com a inscrição.

Modo supervisionado

Os administradores têm a opção de ativar o Modo supervisionado para dispositivos inscritos por meio do Apple Configurator, o que ativa recursos de segurança adicionais aprimorados. No entanto, esse modo não introduz diversas limitações no dispositivo.

Ativação do modo supervisionado

Para obter mais informações sobre como permitir que os dispositivos operem no modo supervisionado, consulte o guia Integrar com o Apple Configurator 2.

Benefícios

Quando o dispositivo está supervisionado e inscrito no Workspace ONE UEM, o administrador tem estes recursos aprimorados disponíveis para configuração em comparação com os dispositivos normais.

  • Restrições elevadas sobre MDM
    • Evitar que o usuário remova aplicativos. A remoção de aplicativos também pode ser restringida localmente no dispositivo usando as restrições na Configuração do sistema.
    • Bloquear AirDrop.
    • Evitar que usuários modifiquem as configurações da conta do iCloud e do e-mail, evitando a modificação da conta.
    • Desativar iMessage.
    • Definir restrições de avaliação de conteúdo da iBookstore.
    • Desativar o Game Center e a iBookstore.
  • Segurança aprimorada
    • Impedir que os usuários visitem sites com conteúdo adulto no Safari.
    • Restringir os dispositivos que podem se conectar aos destinos AirPlay específicos, como Apple TVs.
    • Evitar a instalação de certificados ou perfis de configuração não gerenciados.
    • Forçar todo o tráfego de rede de dispositivos por meio de um proxy de HTTP global.
  • Modo quiosque
    • Bloquear dispositivos para um aplicativo com modo de aplicativo único e desativar o botão Início.
  • Personalização de papel de parede e texto no dispositivo
  • Ative ou elimine o bloqueio de ativação

Limitações

  • O acesso USB aos dispositivos supervisionados é restrito ao Mac de supervisão.
  • Não é possível copiar dados para e do dispositivo usando o iTunes a menos que o certificado de identidade do Apple Configurator esteja instalado no dispositivo.
    • Mídias como fotos e vídeos não podem ser copiadas do dispositivo para um PC ou Mac. Para transferir esse tipo de dados, use o VMware Content Locker para sincronizar o conteúdo com a seção de Documentos pessoais do usuário. Como alternativa, é possível usar um aplicativo de compartilhamento de arquivo para transferir os dados via WLAN/WWAN para um servidor.
  • O modo supervisionado impede o acesso a logs do lado do dispositivo usando o Utilitário de configuração do iPhone (IPCU).
    • Isso dificulta a solução de problemas de qualquer problema do aplicativo ou dispositivo. O motivo da dificuldade é que os logs do dispositivo só podem ser obtidos se o dispositivo estiver conectado ao Mac de supervisão. Para remediar alguns dos desafios, use o Workspace ONE SDK para enviar logs e logística dos aplicativos para o console do UEM.
  • Os dispositivos não podem ser redefinidos com configurações de fábrica facilmente.
    • Quando um dispositivo é retornado à configuração de fábrica, ele deve ser trazido de volta ao Mac de supervisão para restaurá-lo novamente ao modo supervisionado. Esse procedimento pode ser problemático se o Mac não estiver próximo ao dispositivo.

Ao decidir se quer ou não ativar o Modo supervisionado, considere o seguinte. Embora ele ative recursos adicionais que melhoram a segurança no dispositivo, as limitações de USB devem ser consideradas.

A proximidade do dispositivo ao Mac de supervisão desempenha um papel importante nas decisões. Como a limitação USB impede o acesso a logs do lado do dispositivo, um dispositivo com problemas precisa ser enviado de volta a uma estação e reavaliado para restaurar a funcionalidade.

Decidir sobre a supervisão do dispositivo com antecedência é importante porque o processo de supervisionar ou "não supervisionar" exigirá o envio do dispositivo para um local ou estação de TI.

Tópico principal: Inscrição de dispositivo

check-circle-line exclamation-circle-line close-line
Scroll to top icon