您必须先登录到控制台ONEUEM,然后才能在 Workspace ONE UEM 中执行任何操作。
在登录到 Workspace ONE UEM Console 之前,您必须具有环境 URL 和登录凭证。如何获得这些信息取决于您的部署类型。
您的客户经理负责为您的环境提供最初的设置凭证。为委派管理职责而创建更多帐户的管理员也可以为其所在环境创建和分发凭证。
您的浏览器成功加载了控制台环境 URL 后,您就可以使用 Workspace ONE UEM 管理员提供的用户名和密码进行登录。
基本管理员会在密码过期前 5 天收到电子邮件通知,并在密码过期前一天收到另一封电子邮件通知。本地部署管理员可以通过在全局组织组中导航到组与设置 > 所有设置 > 管理员 > 控制台安全 > 密码,更改此默认的 5 天时间段。专用 SaaS 管理员必须联系支持人员以对此设置进行更改。
您可以通过下列方式为管理员创建自定义密码过期通知:导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 消息模板,然后选择“管理员”作为类别,选择“管理员密码到期通知”作为类型。
有关注册用户密码设置(从“管理员控制台密码”单独管理)的信息,请参阅系统设置页面,方法是导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 密码。
Workspace ONE UEM Console 会在两种基本场景中注销您。
系统管理员和 AirWatch 管理员可以通过导航到组与设置 > 所有设置 > 管理员 > 控制台安全性 > 密码,配置在对管理员锁定 UEM Console 之前允许的无效登录尝试次数上限。
在以下两种场景中,您将被锁定在 UEM Console 中:1) 如果失败的登录尝试次数超过无效登录尝试的最大次数,则 2) 在尝试重置密码时,三次错误地回答密码恢复问题。
发生这种情况时,您必须使用登录页面上的故障排除链接重置密码,否则您必须在管理员的协助下,使用“管理员列表视图”解锁您的帐户。当您的帐户被锁定,以及其被解除锁定时,您都会收到相应的电邮通知。
当基本管理员帐户在 Workspace ONE UEM 中被锁定或解锁时ONEUEM,系统会生成控制台事件。这两种事件都会生成一个日志记录级别 5(警告)事件。除了从帐户设置直接查看基本登录历史记录之外,您还可以通过执行以下步骤来调查管理员帐户锁定或解锁控制台事件。
Workspace ONE UEM 的管理员具有特定于控制台的帐户设置,允许您配置用户联系人信息、通知首选项、登录历史记录和安全配置(包括密码恢复)。
在用户标签页中输入您的个人信息(包括电子邮件、最多四个不同的电话号码、时区和区域设置),以确保可以联系到您。
使用帐户设置页面上的“通知”设置,启用或停用 APNs 过期警报,选择接收警报的方式,以及更改用于接收警报的电子邮件。有关更多信息,请参阅控制台通知中标题为配置通知设置的部分。
查看您的整个登录历史记录,包括登录日期和时间、源 IP 地址、登录类型、源应用程序、浏览器品牌和版本、操作系统平台以及登录状态。
您可以重置您的登录密码、密码恢复问题以及您的四位数安全 PIN 码。
登录到 UEM Console 时,密码会随您的帐户用户名一起显示。您随时可以重置该密码。有关密码最小长度和最大长度的详细信息,请参见密码设置。
密码恢复问题是用来重置密码的方法。首次登录到 UEM Console 时,您必须定义此问题及其答案。您可以通过选择重置按钮来选择新的密码恢复问题。此操作会自动注销用户。在重新登录后,系统会显示安全设置屏幕,要求用户从“密码恢复问题”列表中进行选择并提供答案。
如果管理员从未选择密码恢复问题并且密码恢复问题旁边也没有重置按钮,则管理员必须删除其帐户并重新创建。在重新创建其帐户后首次登录时,管理员需要定义密码恢复问题和答案。
当您错误回答密码恢复问题的次数超过三次时,系统会对您锁定登录页面。如果出现此情况,您必须使用登录页面上的故障排除链接重置密码。或者,您可以从管理员那里获得帮助以使用管理员列表视图来解锁帐户。当您的帐户被锁定,以及其被解除锁定时,您都会收到相应的电邮通知。
创建安全 PIN 码可以确保 UEM Console 的安全性。PIN 码可以起到防止意外擦除设备或删除环境重要内容(例如用户和组织组)等防护作用。安全 PIN 码还可用作第二道安全防护层。它可以通过阻止未授权用户执行的操作来提供额外的身份验证点。
当第一次登录 UEM Console 时,系统会要求您创建安全 PIN 码。
经常重置您的安全 PIN 码可以最大限度降低安全风险。
您可以通过启用对基于浏览器 Cookie 的产品指南和分析的访问权限,参与改进服务(包括支持、建议和用户体验)的过程。您可以选择退出,方法是选择 Cookie 使用情况并停用滑块以便在 Pendo 信息卡下启用分析和启用产品指南。
在 Workspace ONE UEM Consol 控制台处于解锁状态且无人看管的情况下,您需要提供额外的防护措施,来应对可能对其造成破坏的恶意操作。在这种情况下,您可以将这些操作隐藏起来,防止未经授权的用户使用。
您可以规定某些 UEM Console 操作需要管理员输入一个 PIN 码才能执行。通过启用或禁用以下操作来配置密码保护操作。
注意:有些操作始终要求输入 PIN 码,因此无法停用,下面通过 * 表示。
| 设置 | 说明 |
|---|---|
| 管理员帐户删除 | 防止在账户 > 管理员 > 列表视图页面删除管理员用户账户。 |
| *重新生成 VMware Enterprise Systems Connector 证书 | 防止在组与设置 > 所有设置 > 系统 > 企业集成 > VMware 企业系统连接器中重新生成 VMware 企业系统连接器证书。 |
| *APNs 证书更改 | 防止在组与设置 > 所有设置 > 设备与用户 > Apple > MDM 的 APNs 中禁用 MDM 的 APNs。 |
| 应用程序删除/停用/淘汰 | 防止在应用与图书 > 应用程序 > 列表视图页面删除、停用或淘汰应用程序。 |
| 内容删除/停用 | 防止在内容 > 列表视图页面删除或停用内容文件。 |
| *数据加密切换 | 防止在组与设置 > 所有设置 > 系统 > 安全性 > 数据安全页面加密用户信息设置。 |
| 设备删除 | 防止在设备 > 列表视图页面删除设备。即使停用了此设置,批处理操作仍然需要管理员安全 PIN 码。 |
| *设备擦除 | 防止从设备列表视图或设备详细信息屏幕尝试执行设备擦除。 |
| 企业重置 | 防止从 Windows 强固型设备、强固型 Android 设备,或者 QNX 设备的设备详细信息页面尝试对设备进行企业重置。 |
| 企业擦除 | 防止从设备的设备详细信息页面尝试对设备执行企业擦除。 |
| 企业擦除(基于用户组成员资格切换) | 防止从设备的设备详细信息页面尝试对设备执行企业擦除。此设置为可选设置,您可以在组与设置 > 所有设置 > 设备与用户 > 常规 > 注册项下的限制标签页进行配置。如果您在此标签页内选择仅限已配置的组注册,则会添加对从某一组被移除设备执行企业擦除的选项。 |
| *组织组删除 | 防止从组与设置 > 组 > 组织组 > 组织组详细信息页面尝试删除当前的组织组。 |
| 配置文件删除/停用 | 防止从设备 > 配置文件与资源 > 配置文件页面尝试删除或停用配置文件。 |
| 预置产品删除 | 防止从设备 > 注册置备 > 产品列表视图页面尝试删除置备产品。 |
| 吊销证书 | 防止从设备 > 证书 > 列表视图页面尝试吊销证书。 |
| *安全通道证书清除 | 防止从组与设置 > 所有设置 > 系统 > 高级 > 安全通道证书页面尝试清除现有的安全通道证书。 |
| 用户帐户删除 | 防止从账户 > 用户 > 列表视图页面尝试删除用户账户。 |
| 隐私设置中的变化 | 防止尝试在组与设置 > 所有设置 > 设备与用户 > 常规 > 隐私中更改隐私设置。 |
| 删除电信计划 | 防止在电信 > 计划列表中删除电信计划。 |
| 覆盖作业日志级别 | 防止从组与设置 > 管理员 > 诊断 > 日志记录尝试覆盖当前已选的作业日志级别。当设备或设备组有问题时,覆盖作业日志级别会很有用。在这种情况下,管理员可以通过强制将日志级别升为“详细”来覆盖这些设备的设置,以记录最高级别的控制台活动,从而更好地进行故障排查。 |
| *应用扫描供应商重置/切换 | 防止您的应用扫描集成设置被重置(以及随后被擦除)。在组与设置 > 所有设置 > 应用 > 应用扫描中执行这项操作。 |
| 关机 | 防止尝试在设备 > 列表视图 > 设备详细信息中关闭设备。 |
| 无效 PIN 码尝试次数的上限 | 定义控制台锁定前,允许输入无效 PIN 码的尝试次数上限。此设置必须在 1 到 5 之间。 |
对控制台操作施加限制可以提供额外保护,以防出现对 Workspace ONE UEM Console 有潜在危害的恶意操作。
对于您通过要求管理员输入 PIN 来保护的每个操作,请选择适当的密码保护操作按钮,以根据需要启用或停用。
此要求使您能够对想要保护其安全的操作进行粒度控制。
注意:有些操作始终要求输入 PIN 码,因此无法停用。由后面的 * 标记。
设置系统在自动注销会话前所能接受的失败尝试次数上限。如果尝试次数已达设置的数值,您必须重新登录 Workspace ONE UEM Console 并设置一个新的安全 PIN 码。
| 设置 | 说明 |
|---|---|
| 管理员帐户删除 | 防止在账户 > 管理员 > 列表视图页面删除管理员用户账户。 |
| 重新生成 VMware Enterprise Systems Connector 证书 | 防止在组与设置 > 所有设置 > 系统 > 企业集成 > VMware 企业系统连接器中重新生成 VMware 企业系统连接器证书。 |
| *APNs 证书更改 | 防止在组与设置 > 所有设置 > 设备与用户 > Apple > MDM 的 APNs 中禁用 MDM 的 APNs。 |
| 应用程序删除/停用/淘汰 | 防止在应用与图书 > 应用程序 > 列表视图页面删除、停用或淘汰应用程序。 |
| 内容删除/停用 | 防止在内容 > 列表视图页面删除或停用内容文件。 |
| *数据加密切换 | 防止在组与设置 > 所有设置 > 系统 > 安全性 > 数据安全页面加密用户信息设置。 |
| 设备删除 | 防止在设备 > 列表视图页面删除设备。即使停用了此设置,批处理操作仍然需要管理员安全 PIN 码。 |
| *设备擦除 | 防止从设备列表视图或设备详细信息屏幕尝试执行设备擦除。 |
| 企业重置 | 防止从 Windows 强固型设备、强固型 Android 设备,或者 QNX 设备的设备详细信息页面尝试对设备进行企业重置。 |
| >;企业擦除 | 防止从设备的设备详细信息页面尝试对设备执行企业擦除。 |
| 企业擦除(基于用户组成员资格切换) | 防止从设备的设备详细信息页面尝试对设备执行企业擦除。此设置为可选设置,您可以在组与设置 > 所有设置 > 设备与用户 > 常规 > 注册项下的限制标签页进行配置。如果您在此标签页内选择仅限已配置的组注册,则会添加对从某一组被移除设备执行企业擦除的选项。 |
| *组织组删除 | 防止从组与设置 > 组 > 组织组 > 组织组详细信息页面尝试删除当前的组织组。 |
| 配置文件删除/停用 | 防止从设备 > 配置文件与资源 > 配置文件页面尝试删除或停用配置文件。 |
| 预置产品删除 | 防止从设备 > 注册置备 > 产品列表视图页面尝试删除置备产品。 |
| 吊销证书 | 防止从设备 > 证书 > 列表视图页面尝试吊销证书。 |
| *安全通道证书清除 | 防止从组与设置 > 所有设置 > 系统 > 高级 > 安全通道证书页面尝试清除现有的安全通道证书。 |
| 用户帐户删除 | 防止从账户 > 用户 > 列表视图页面尝试删除用户账户。 |
| 隐私设置中的变化 | 防止尝试在组与设置 > 所有设置 > 设备与用户 > 常规 > 隐私中更改隐私设置。 |
| 删除电信计划 | 防止在电信 > 计划列表中删除电信计划。 |
| 覆盖作业日志级别 | 防止从组与设置 > 管理员 > 诊断 > 日志记录尝试覆盖当前已选的作业日志级别。当设备或设备组有问题时,覆盖作业日志级别会很有用。在这种情况下,管理员可以通过强制将日志级别升为“详细”来覆盖这些设备的设置,以记录最高级别的控制台活动,从而更好地进行故障排查。 |
| *应用扫描供应商重置/切换 | 防止您的应用扫描集成设置被重置(以及随后被擦除)。在组与设置 > 所有设置 > 应用 > 应用扫描中执行这项操作。 |
| 关机 | 防止尝试在设备 > 列表视图 > 设备详细信息中关闭设备。 |
| 无效 PIN 码尝试次数的上限 | 定义控制台锁定前,允许输入无效 PIN 码的尝试次数上限。此设置必须在 1 到 5 之间。 |
您可以通过需要注释复选框来要求管理员输入注释,说明执行某些 Workspace ONE UEM Console 操作的理由。
如果您需要管理员在采取下列任一操作之前输入注释,请确保修改具有添加注释资源(权限)的角色。
有关详细信息,请参阅基于角色的访问中标题为创建管理员角色的部分。
| 设置 | 说明 |
|---|---|
| 锁定设备 | 需要对任何从设备列表视图或设备详细信息锁定设备的尝试进行注释。 |
| 锁定 SSO | 需要对任何从设备列表视图或设备详细信息锁定 SSO 会话的尝试进行注释。 |
| 设备擦除 | 需要对任何从设备列表视图或设备详细信息执行设备擦除的尝试进行注释。 |
| 企业重置 | 要求对任何从 Windows 强固型设备或强固型 Android 设备的设备详细信息页面执行设备企业重置的尝试加以注释。 |
| 企业擦除 | 需要对任何从设备详细信息执行企业擦除的尝试进行注释。 |
| 覆盖作业日志级别 | 从组与设置 > 管理员 > 诊断 > 日志记录尝试覆盖默认作业日志级别前需要加以注释。 |
| 重启设备 | 需要在重新引导尝试之前从设备 > 列表视图 > 设备详细信息进行注释。 |
| 关机 | 需要在关机尝试之前从设备 > 列表视图 > 设备详细信息进行注释。 |
