与现有目录服务集成使您能够自动引入用户,而无需再手动将用户添加到 Workspace ONE UEM

您想要通过Workspace ONE UEM管理的每个目录用户必须在 UEM Console 中具有相应的用户帐户。

您可以使用以下任一方法直接将您现有的目录服务用户添加到 Workspace ONE UEM

  • 批量上传含有您的所有目录服务用户的文件。批量导入操作会自动创建用户帐户。
  • 通过输入目录用户名并选择检查用户以自动填充其余详细信息,来逐个创建用户帐户。
  • 不批量导入或手动创建用户帐户,而是允许所有目录用户在注册时自行注册。

优点

  • 最终用户可以使用现有企业凭证进行身份验证。
  • 自动检测目录系统中的更改并将其同步到 Workspace ONE UEM。例如,当您在 AD 中禁用用户时,Workspace ONE UEM console 中相应的用户帐户被标记为非活动状态。
  • 与您的现有目录服务集成的安全方法。
  • 标准的集成做法。
  • 可用于 Workspace ONE 直接注册。
  • 使用 AirWatch Cloud Connector 的 SaaS 部署不需要进行防火墙更改,也能为 Microsoft ADCS、SCEP 和 SMTP 服务器等其他基础架构提供安全配置。

有关同步帐户状态的更多信息,请参阅下方标题为目录用户状态同步的部分。

缺点

  • 需要现有的目录服务基础结构。
  • 由于安装在防火墙后或 DMZ 中的 AirWatch Cloud Connector,SaaS 部署需要进行其他配置。

目录用户状态同步

当您在目录服务中使用户处于非活动状态时,它会以类似方式影响相应的 Workspace ONE UEMWorkspace ONE Express 帐户,但仅假设满足这些必备条件。

  • 同步已移除的用户仅适用于 Active Directory。
  • 您在绑定用户名选项中输入的用户名必须具有 Active Directory 管理员权限。
    • 导航到组与设置 > 所有设置 > 系统 > 企业集成 > 目录服务,在服务器标签页中查找绑定用户名文本框以检查此用户名。
    • Workspace ONE Express 客户可以导航到组与设置,在同一服务器标签页中找到绑定用户名文本框,然后从名称列中选择目录服务
  • 只要您按照以下 Microsoft 支持文章中所述的步骤进行操作,便可允许 Active Directory 中的非管理员访问已删除的对象容器:https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object
  • 此外,必须使用 Active Directory 管理中心启用回收站,但仅当您删除 AD 中的用户时才如此。
    1. 打开 Active Directory 管理中心
    2. 选择域,然后右键单击域。
    3. 选择启用回收站。启用回收站后,将无法禁用回收站。

创建基于目录的用户帐户

您必须使用现有企业凭证为 Workspace ONE UEM系统中的每个用户创建帐户,并针对目录用户身份验证创建帐户。

本主题详细阐述如何逐个创建用户帐户。要批量创建用户帐户,请参阅批量导入用户和设备

  1. 导航到帐户 > 用户 > 列表视图,然后选择添加,再选择添加用户。随即会显示添加/编辑用户页面。
  2. 常规标签页,完成下列设置以添加目录用户。
    设置 说明
    安全类型 通过选择目录作为安全类型来添加 Active Directory 用户。
    目录名称 此预填充的设置标识 Active Directory 名称。
    从下拉菜单中选择域名。
    用户名

    输入用户的目录用户名并选择检查用户。如果系统找到匹配的用户名,该用户的信息将被自动填充。此部分中的剩余设置仅在您使用检查用户按钮成功查找到活动目录用户之后才可用。

    全名

    使用编辑属性,可对任何用于从目录中同步空白值的选项进行编辑。“编辑属性”也使您能够自动填充匹配的用户信息。

    如果某个设置从目录同步实际值,则必须在目录本身内对该设置进行编辑。所做更改将在下次目录同步时生效。使用全名填充任何从目录反馈的空白选项,并选择编辑属性以保存添加。

    显示名称 输入将在管理控制台上显示的名称。
    电子邮件地址 输入或编辑用户的电子邮件地址。
    电子邮件用户名 输入或编辑用户的电子邮件用户名。
    (电子邮件) 从下拉菜单中选择电子邮件域。
    电话号码 输入用户的包含 + 号、国别代码和地区代码在内的电话号码。如果您希望通过短信发送通知,则必须提供电话号码。
    注册
    注册组织组 选择用户将要注册到的组织组。
    允许用户注册到其他组织组 选择是否允许用户注册到多个组织组。如果您选择启用,请填写其他组织组
    用户角色 从此下拉菜单中为您要添加的用户选择角色。
    通知
    消息类型 选择您将向用户发送的邮件类型,即电子邮件短信如果选择短信,则必须在电话号码文本框中输入一个有效条目。
    消息模板 从此下拉设置中选择电子邮件或短信消息的模板。(可选)选择消息预览来预览模板,并选择配置消息模板链接来创建一个模板。
  3. (可选)您可以选择高级标签页并完成下面的设置。
    设置 说明
    高级信息章节
    电子邮件密码 输入您要添加的用户的电子邮件密码。
    确认电子邮件密码 确认您要添加的用户的电子邮件密码。
    可分辨名称 对于 Workspace ONE UEM 认可的目录用户,此文本框会预填充用户的可分辨名称。可分辨名称是表示与 Active Directory 用户关联的用户名及所有授权代码的字符串。
    管理者可分辨名称 输入用户的管理者的可分辨名称。此文本框是可选的。
    类别 为添加的用户选择用户类别。
    部门 输入公司行政管理用的用户部门。
    员工 ID 输入公司行政管理用的用户员工 ID。
    成本中心 输入公司行政管理用的用户成本中心。
    自定义属性 1–5(仅适用于目录用户)

    根据适用情况,输入您先前配置的自定义属性。您可以导航到组与设置 > 所有设置 > 设备与用户 > 高级 > 自定义属性来定义这些自定义属性。

    注: 只能在客户组织组级别配置自定义属性。
    证书部分
    使用 S/MIME

    启用或禁用安全/多用途 Internet 邮件扩展 (S/MIME)。如果启用,您必须拥有启用了 S/MIME 的配置文件,还必须通过选择上传按钮上传一个 S/MIME 证书。

    单独的加密证书

    启用或禁用单独加密证书的使用。如果启用,您必须使用上传按钮上传一个加密证书。通常会将同一 S/MIME 证书用于签名和加密,除非明确使用了不同的证书。

    旧的加密证书

    启用或禁用一个传统版本的加密证书。如果启用,您必须上传一个加密证书。

    注册预备章节
    启用设备注册预备

    启用或禁用设备的注册预备。

    如果启用,您必须在单一用户设备多用户设备之间选择。

    如果是单用户设备,您必须在标准(指用户自己登录)和高级(指代表另外一个用户进行注册设备)之间选择其一。

    详见设备注册预备

  4. 选择保存仅保存新用户或选择保存并添加设备以保存新用户,然后前往添加设备页面。