您必须先登录到控制台,然后才能在 Workspace ONE UEM 中执行任何操作。

在登录 Workspace ONE UEM console 之前,您必须具有环境 URL登录凭证。如何获得这些信息取决于您的部署类型。

  • SaaS 部署 – 您的客户经理将为您提供环境 URL 和用户名/密码。该 URL 不可自定义,通常采用 awmdm.com 格式。
  • 本地部署 – 本地部署 URL 可自定义,且通常采用 awmdm.<YourCompany>.com 格式。

您的客户经理负责为您的环境提供最初的设置凭证。为委派管理职责而创建更多帐户的管理员也可以为其所在环境创建和分发凭证。

在您的浏览器成功加载了 UEM console 环境 URL 后,您就可以使用 Workspace ONE UEM 管理员提供的用户名密码进行登录。

  1. 输入您的用户名
    • Workspace ONE UEM console 将用户名和用户类型(SAML 或非 SAML)保存在浏览器缓存中。
      • 如果是 SAML 用户,管理员将定向到 SAML 登录。
      • 如果是非 SAML 用户,管理员必须输入密码。
    • 如果记住复选框处于启用状态,则下次您访问环境 URL 时,用户名文本框中将预填充上次登录的用户。
  2. 输入您的密码
    • 如果您是首次登录,系统会提示您输入登录密码。输入密码以继续。
    • 如果您之前已登录,并且您允许默认浏览器记住用户名和密码,则密码文本框将自动填充浏览器缓存中保存的密码。
  3. 选择登录按钮。
    • 登录后,将打开您的默认主屏幕(可自定义)。了解如何通过访问 标题菜单 来自定义主屏幕。

密码过期

基本管理员会在密码过期前 5 天收到电子邮件通知,并在密码过期前一天收到另一封电子邮件通知。本地部署管理员可以通过在全局组织组中导航到组与设置 > 所有设置 > 管理员 > 控制台安全 > 密码,更改此默认的 5 天时间段。专用 SaaS 管理员必须联系支持人员以对此设置进行更改。

您可以通过下列方式为管理员创建自定义密码过期通知:导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 消息模板,然后选择“管理员”作为类别,选择“管理员密码到期通知”作为类型

有关注册用户密码设置(从“管理员控制台密码”单独管理)的信息,请参阅系统设置页面,方法是导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 密码

会话超时和注销

在两种基本情况下,您可以注销 Workspace ONE UEM console
  1. 显式注销(包括关闭浏览器窗口和非活动注销。)
    • 如果您已将默认浏览器配置为记住您的用户名和密码,则在下次登录时,浏览器将在用户名文本框中预填充上次成功登录的用户。
    • 如果您已将浏览器配置为忘记用户名和密码,则将从浏览器缓存中擦除用户名和用户类型(SAML/非 SAML)。
  2. 会话失效(包括负载均衡器问题和由于管理员设置导致的会话超时。)
    • 非 SAML 用户使用已保存的用户名并选择登录按钮重新登录。
    • SAML 用户无需单击即可重新登录到控制台。

登录锁定

系统管理员和 AirWatch 管理员可以通过导航到组与设置 > 所有设置 > 管理员 > 控制台安全性 > 密码,配置在对管理员锁定控制台之前允许的无效登录尝试次数上限

在以下两种情况下,您会在 UEM Console 中被锁定:1) 当您登录尝试失败的次数大于无效登录尝试的最大次数时,以及 2) 在尝试重置密码时,您回答密码恢复问题的错误次数达三次时。

发生这种情况时,您必须使用登录页面上的故障排除链接重置密码,否则您必须在管理员的协助下,使用“管理员列表视图”解锁您的帐户。当您的帐户被锁定,以及其被解除锁定时,您都会收到相应的电邮通知。

调查帐户锁定控制台事件

当基本管理员帐户在 Workspace ONE UEM 中被锁定或解锁时,系统会生成控制台事件。这两种事件都会生成一个日志记录级别 5(警告)事件。除了从帐户设置直接查看基本登录历史记录之外,您还可以通过执行以下步骤来调查管理员帐户锁定或解锁控制台事件。

  1. 导航到监控 > 报表与分析 > 事件 > 控制台事件
  2. 控制台事件列表顶部的严重程度下拉筛选器中选择“警告及更高”。
  3. 类别下拉筛选器中选择“登录”。
  4. 模块下拉筛选器中选择“管理”。
  5. 根据需要应用更多筛选器,包括日期范围

管理帐户设置

Workspace ONE UEM 的管理员具有特定于控制台的帐户设置,允许您配置用户联系人信息、通知首选项、登录历史记录和安全配置(包括密码恢复)。

管理帐户设置:用户

用户标签页中输入您的个人信息(包括电子邮件、最多四个不同的电话号码、时区和区域设置),以确保可以联系到您。

管理帐户设置:通知

使用帐户设置页面上的“通知”设置,启用或禁用 APNs 过期警示,选择接收警示的方式,以及更改用于接收警示的电子邮件。有关更多信息,请参阅配置通知设置

管理帐户设置:登录

查看您的整个登录历史记录,包括登录日期和时间、源 IP 地址、登录类型、源应用程序、浏览器品牌和版本、操作系统平台以及登录状态。

管理帐户设置:安全

您可以重置您的登录密码、密码恢复问题以及您的四位数安全 PIN 码。

管理帐户设置:密码

登录到 UEM Console 时,密码会随您的帐户用户名一起显示。您随时可以重置该密码。

管理帐户设置:密码恢复问题

密码恢复问题是用来重置密码的方法。首次登录到 UEM Console 时,您必须定义此问题及其答案。您可以通过选择重置按钮来选择新的密码恢复问题。此操作会自动注销用户。在重新登录后,系统会显示安全设置屏幕,要求用户从“密码恢复问题”列表中进行选择并提供答案。

如果管理员从未选择密码恢复问题并且密码恢复问题旁边也没有重置按钮,则管理员必须删除其帐户并重新创建。在重新创建其帐户后首次登录时,管理员需要定义密码恢复问题和答案。

当您错误回答密码恢复问题的次数超过三次时,系统会对您锁定登录页面。如果出现此情况,您必须使用登录页面上的故障排除链接重置密码。或者,您可以从管理员那里获得帮助以使用管理员列表视图来解锁帐户。当您的帐户被锁定,以及其被解除锁定时,您都会收到相应的电邮通知。

管理帐户设置:安全 PIN 码

创建安全 PIN 码可以确保 UEM Console 的安全性。PIN 码可以起到防止意外擦除设备或删除环境重要内容(例如用户和组织组)等防护作用。安全 PIN 码还可用作第二道安全防护层。它可以通过阻止未授权用户执行的操作来提供额外的身份验证点。

当第一次登录 UEM Console 时,系统会要求您创建安全 PIN 码。

经常重置您的安全 PIN 码可以最大限度降低安全风险。

受限制的 UEM Console 操作

Workspace ONE UEM console 控制台处于解锁状态且无人看管的情况下,您需要提供额外的防护措施,来应对可能对其造成破坏的恶意操作。在这种情况下,您可以将这些操作隐藏起来,防止未经授权的用户使用。

  1. 导航到组与设置 > 所有设置 > 系统 > 安全 > 受限制的操作
  2. 配置向所有设备发送消息设置。启用此设置以便让系统管理员能够从设备列表视图页面向您部署中的所有设备发送消息。还可用于向特定组发送消息。
  3. 您可以规定某些 UEM Console 操作需要管理员输入一个 PIN 码才能执行。通过启用或禁用以下操作来配置密码保护操作
    注: 有些操作始终要求输入 PIN 码,因此无法禁用,下面通过 * 表示。
    设置 说明
    管理员帐户删除 防止在帐户 > 管理员 > 列表视图中删除管理员用户帐户。
    *重新生成 VMware Enterprise Systems Connector 证书 防止在组与设置 > 所有设置 > 系统 > 企业集成 > VMware Enterprise Systems Connector 中重新生成 VMware Enterprise Systems Connector 证书。
    *APNs 证书更改 防止在组与设置 > 所有设置 > 设备与用户 > Apple > MDM 的 APNs 中禁用“MDM 的 APNs”。
    应用程序删除/取消激活/淘汰 防止在应用与图书 > 应用程序 > 列表视图中删除、取消激活或停用应用程序。
    内容删除/取消激活 防止在内容 > 列表视图中删除或取消激活内容文件。
    *数据加密切换 防止在组与设置 > 所有设置 > 系统 > 安全性 > 数据安全中更改用户信息加密设置。
    设备删除 防止在设备 > 列表视图中删除设备。即使禁用了此设置,批处理操作仍然要输出管理员安全 PIN 码。
    *设备擦除 防止从设备列表视图或设备详细信息屏幕尝试执行设备擦除。
    企业重置 防止从 Windows 强固型设备、强固型 Android 设备,或者 QNX 设备的设备详细信息页面尝试对设备进行企业重置。
    企业擦除 防止从设备的设备详细信息页面尝试对设备执行企业擦除。
    企业擦除(基于用户组成员资格切换) 防止从设备的设备详细信息页面尝试对设备执行企业擦除。此设置为可选设置,您可以在组与设置 > 所有设置 > 设备与用户 > 常规 > 注册下的限制标签上进行配置。如果您在此标签页内选择仅限已配置的组注册,则会添加对从某一组被移除设备执行企业擦除的选项。
    *组织组删除 防止从组与设置 > > 组织组 > 组织组详细信息尝试删除当前的组织组。
    配置文件删除/取消激活 防止从设备 > 配置文件与资源 > 配置文件尝试删除或取消激活配置文件。
    预置产品删除 防止从设备 > 置备 > 产品列表视图尝试删除置备产品。
    吊销证书 防止从设备 > 证书 > 列表视图尝试吊销证书。
    *安全通道证书清除 防止从组与设置 > 所有设置 > 系统 > 高级 > 安全通道证书尝试清除现有的安全通道证书。
    用户帐户删除 防止从帐户 > 用户 > 列表视图尝试删除用户帐户。
    隐私设置中的变化 防止在组与设置 > 所有设置 > 设备与用户 > 常规 > 隐私中尝试更改隐私设置。
    删除电信计划 防止在电信 > 计划列表中删除电信计划。
    覆盖作业日志级别 防止从组与设置 > 管理员 > 诊断 > 日志记录尝试覆盖当前选择的作业日志级别。当设备或设备组有问题时,覆盖作业日志级别会很有用。在这种情况下,管理员可以通过强制将日志级别升为“详细”来覆盖这些设备的设置,以记录最高级别的控制台活动,从而更好地进行故障排查。
    *应用扫描供应商重置/切换 防止您的应用扫描集成设置被重置(以及随后被擦除)。此操作在组与设置 > 所有设置 > 应用 > 应用扫描中执行。
    关机 防止在设备 > 列表视图 > 设备详细信息中尝试关闭设备。
    无效 PIN 码尝试次数的上限 定义控制台锁定前,允许输入无效 PIN 码的尝试次数上限。此设置必须在 1 到 5 之间。

选择密码保护操作

对控制台操作施加限制可以提供额外保护,以防出现对 Workspace ONE UEM console 有潜在危害的恶意操作。

  1. 导航到组与设置 > 所有设置 > 系统 > 安全性 > 受限制的操作,对受限制的操作进行设置。
  2. 对于您通过要求管理员输入 PIN 来保护的每个操作,请选择适当的密码保护操作按钮,以根据需要启用禁用

    此要求使您能够对想要保护其安全的操作进行粒度控制。

    注: 有些操作始终要求输入 PIN 码,因此无法禁用。由后面的 * 标记。
  3. 设置系统在自动注销会话前所能接受的失败尝试次数上限。如果尝试次数已达到设置的上限,您必须登录 Workspace ONE UEM console并设置一个新的安全 PIN 码。
    设置 说明
    管理员帐户删除 防止在帐户 > 管理员 > 列表视图中删除管理员用户帐户。
    重新生成 VMware Enterprise Systems Connector 证书 防止在组与设置 > 所有设置 > 系统 > 企业集成 > VMware Enterprise Systems Connector 中重新生成 VMware Enterprise Systems Connector 证书。
    *APNs 证书更改 防止在组与设置 > 所有设置 > 设备与用户 > Apple > MDM 的 APNs 中禁用“MDM 的 APNs”。
    应用程序删除/取消激活/淘汰 防止在应用与图书 > 应用程序 > 列表视图中删除、取消激活或停用应用程序。
    内容删除/取消激活 防止在内容 > 列表视图中删除或取消激活内容文件。
    *数据加密切换 防止在组与设置 > 所有设置 > 系统 > 安全性 > 数据安全中更改用户信息加密设置。
    设备删除 防止在设备 > 列表视图中删除设备。即使禁用了此设置,批处理操作仍然要输出管理员安全 PIN 码。
    *设备擦除 防止从设备列表视图或设备详细信息屏幕尝试执行设备擦除。
    企业重置 防止从 Windows 强固型设备、强固型 Android 设备,或者 QNX 设备的设备详细信息页面尝试对设备进行企业重置。
    >企业擦除 防止从设备的设备详细信息页面尝试对设备执行企业擦除。
    企业擦除(基于用户组成员资格切换) 防止从设备的设备详细信息页面尝试对设备执行企业擦除。此设置为可选设置,您可以在组与设置 > 所有设置 > 设备与用户 > 常规 > 注册下的限制标签上进行配置。如果您在此标签页内选择仅限已配置的组注册,则会添加对从某一组被移除设备执行企业擦除的选项。
    *组织组删除 防止从组与设置 > > 组织组 > 组织组详细信息尝试删除当前的组织组。
    配置文件删除/取消激活 防止从设备 > 配置文件与资源 > 配置文件尝试删除或取消激活配置文件。
    预置产品删除 防止从设备 > 置备 > 产品列表视图尝试删除置备产品。
    吊销证书 防止从设备 > 证书 > 列表视图尝试吊销证书。
    *安全通道证书清除 防止从组与设置 > 所有设置 > 系统 > 高级 > 安全通道证书尝试清除现有的安全通道证书。
    用户帐户删除 防止从帐户 > 用户 > 列表视图尝试删除用户帐户。
    隐私设置中的变化 防止在组与设置 > 所有设置 > 设备与用户 > 常规 > 隐私中尝试更改隐私设置。
    删除电信计划 防止在电信 > 计划列表中删除电信计划。
    覆盖作业日志级别 防止从组与设置 > 管理员 > 诊断 > 日志记录尝试覆盖当前选择的作业日志级别。当设备或设备组有问题时,覆盖作业日志级别会很有用。在这种情况下,管理员可以通过强制将日志级别升为“详细”来覆盖这些设备的设置,以记录最高级别的控制台活动,从而更好地进行故障排查。
    *应用扫描供应商重置/切换 防止您的应用扫描集成设置被重置(以及随后被擦除)。此操作在组与设置 > 所有设置 > 应用 > 应用扫描中执行。
    关机 防止在设备 > 列表视图 > 设备详细信息中尝试关闭设备。
    无效 PIN 码尝试次数的上限 定义控制台锁定前,允许输入无效 PIN 码的尝试次数上限。此设置必须在 1 到 5 之间。

配置操作的必要注释

您可以通过需要注释复选框来要求管理员输入注释,说明执行某些 Workspace ONE UEM console 操作的理由。

  1. 导航到组与设置 > 所有设置 > 系统 > 安全 > 受限制的操作
  2. 如果您需要管理员在采取下列任一操作之前输入注释,请确保修改具有添加注释资源(权限)的角色。

    有关更多信息,请参阅创建管理员角色

    设置 说明
    锁定设备 需要对任何从设备列表视图设备详细信息锁定设备的尝试进行注释。
    锁定 SSO 需要对任何从设备列表视图设备详细信息锁定 SSO 会话的尝试进行注释。
    设备擦除 需要对任何从设备列表视图设备详细信息执行设备擦除的尝试进行注释。
    企业重置 要求对任何从 Windows 强固型设备或强固型 Android 设备的设备详细信息页面执行设备企业重置的尝试加以注释。
    企业擦除 需要对任何从设备详细信息执行企业擦除的尝试进行注释。
    覆盖作业日志级别 组与设置 > 管理员 > 诊断 > 日志记录尝试覆盖默认作业日志级别前需要加以注释。
    重启设备 需要在重新引导尝试之前从设备 > 列表视图 > 设备详细信息进行注释。
    关机 需要在关机尝试之前从设备 > 列表视图 > 设备详细信息进行注释。