登录控制台

您必须先登录到控制台ONEUEM，然后才能在 Workspace ONE UEM 中执行任何操作。

在登录到 Workspace ONE UEM Console 之前，您必须具有环境 URL 和登录凭证。如何获得这些信息取决于您的部署类型。

• SaaS 部署 – 您的客户经理将为您提供环境 URL 和用户名/密码。该 URL 不可自定义，通常采用 awmdm.com 格式。
• 本地部署 – 本地部署 URL 可以自定义，通常采用 awmdm.<YourCompany>.com 格式。

您的客户经理负责为您的环境提供最初的设置凭证。为委派管理职责而创建更多帐户的管理员也可以为其所在环境创建和分发凭证。

您的浏览器成功加载了控制台环境 URL 后，您就可以使用 Workspace ONE UEM 管理员提供的用户名和密码进行登录。

1. 输入您的用户名。
   • Workspace ONE UEM Console 将用户名和用户类型（SAML 或非 SAML）保存在浏览器缓存中。
     • 如果是 SAML 用户，管理员将定向到 SAML 登录。
     • 如果是非 SAML 用户，管理员必须输入密码。
   • 如果记住复选框处于启用状态，则下次您访问环境 URL 时，用户名文本框中将预填充上次登录的用户。
2. 输入您的密码。
   • 如果您是首次登录，系统会提示您输入登录密码。输入密码以继续。
   • 如果您之前已登录，并且您允许默认浏览器记住用户名和密码，则密码文本框将自动填充浏览器缓存中保存的密码。
3. 选择登录按钮。
   • 登录后，将打开您的默认主屏幕（可自定义）。通过访问管理控制台中标题为标头菜单的部分，了解如何自定义主屏幕。

密码过期

基本管理员会在密码过期前 5 天收到电子邮件通知，并在密码过期前一天收到另一封电子邮件通知。本地部署管理员可以通过在全局组织组中导航到组与设置 > 所有设置 > 管理员 > 控制台安全 > 密码，更改此默认的 5 天时间段。专用 SaaS 管理员必须联系支持人员以对此设置进行更改。

您可以通过下列方式为管理员创建自定义密码过期通知：导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 消息模板，然后选择“管理员”作为类别，选择“管理员密码到期通知”作为类型。

有关注册用户密码设置（从“管理员控制台密码”单独管理）的信息，请参阅系统设置页面，方法是导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 密码。

会话超时和注销

Workspace ONE UEM Console 会在两种基本场景中注销您。

1. 显式注销（包括关闭浏览器）。
   • 如果您已将默认浏览器配置为记住您的用户名和密码，则在下次登录时，浏览器将在用户名文本框中预填充上次成功登录的用户。
   • 如果您已将浏览器配置为忘记用户名和密码，则将从浏览器缓存中擦除用户名和用户类型（SAML/非 SAML）。
2. 由于会话处于非活动状态的时间超过在会话管理设置中的强制会话超时限制或空闲会话超时选项中配置的分钟数而导致的会话超时（此时间段包括负载均衡器问题）。
   • 非 SAML 用户使用已保存的用户名并选择登录按钮重新登录。
   • SAML 用户无需单击即可重新登录到控制台。

高级故障排除通常意味着在同一管理员帐户下打开多个会话，即在同一浏览器中打开多个标签页或在多个设备上登录。此场景意味着在会话管理设置中启用允许多个会话选项。为了促进此类故障排除会话，同时保持最低安全级别，以下规则适用。

• 所有活动的管理员会话（无论是位于多个浏览器选项卡还是多个设备中）都会扩展，只要其中一个会话被主动维护。
• 但是，如果经过的时间超过所有管理员会话的会话管理设置中的空闲会话超时选项中配置的分钟数，则所有会话都可以保持活动状态，与该管理员帐户关联的所有会话都将终止。

如果您从事此类需要多个活动会话的高级故障排除，请考虑配置 受限操作设置。

登录锁定

系统管理员和 AirWatch 管理员可以通过导航到组与设置 > 所有设置 > 管理员 > 控制台安全性 > 密码，配置在对管理员锁定 UEM Console 之前允许的无效登录尝试次数上限。

在以下两种场景中，您将被锁定在 UEM Console 中：1) 如果失败的登录尝试次数超过无效登录尝试的最大次数，则 2) 在尝试重置密码时，三次错误地回答密码恢复问题。

发生这种情况时，您必须使用登录页面上的故障排除链接重置密码，否则您必须在管理员的协助下，使用“管理员列表视图”解锁您的帐户。当您的帐户被锁定，以及其被解除锁定时，您都会收到相应的电邮通知。

调查帐户锁定控制台事件

当基本管理员帐户在 Workspace ONE UEM 中被锁定或解锁时ONEUEM，系统会生成控制台事件。这两种事件都会生成一个日志记录级别 5（警告）事件。除了从帐户设置直接查看基本登录历史记录之外，您还可以通过执行以下步骤来调查管理员帐户锁定或解锁控制台事件。

1. 导航到监控 > 报表与分析 > 事件 > 控制台事件。

   

2. 从控制台事件列表顶部的严重程度下拉筛选器中选择“警告及更高”。

3. 从类别下拉筛选器中选择“登录”。
4. 从模块下拉筛选器中选择“管理”。
5. 根据需要应用更多筛选器，包括日期范围。

管理帐户设置

Workspace ONE UEM 的管理员具有特定于控制台的帐户设置，允许您配置用户联系人信息、通知首选项、登录历史记录和安全配置（包括密码恢复）。

管理帐户设置：用户

在用户标签页中输入您的个人信息（包括电子邮件、最多四个不同的电话号码、时区和区域设置），以确保可以联系到您。

管理帐户设置：通知

使用帐户设置页面上的“通知”设置，启用或停用 APNs 过期警报，选择接收警报的方式，以及更改用于接收警报的电子邮件。有关更多信息，请参阅控制台通知中标题为配置通知设置的部分。

管理帐户设置：登录

查看您的整个登录历史记录，包括登录日期和时间、源 IP 地址、登录类型、源应用程序、浏览器品牌和版本、操作系统平台以及登录状态（包括成功登录和失败登录）。

管理帐户设置：安全性

您可以重置您的登录密码、密码恢复问题以及您的四位数安全 PIN 码。

管理帐户设置：密码

登录到 UEM Console 时，密码会随您的帐户用户名一起显示。

您随时可以重置该密码。重置Workspace ONE UEM密码后，用于重置密码的会话将继续，但您会自动从任何其他可能正在运行的活动会话中注销。重置其他管理员的密码时，具有重置密码的管理员会从所有活动会话中注销，以防止对系统进行未经授权的访问。此功能仅适用于基本管理员帐户;当前不支持 AD 凭据或 IDP 凭据等第三方身份验证。有关密码最小长度和最大长度的详细信息，请参见密码设置。

管理帐户设置：密码恢复问题

密码恢复问题是用来重置密码的方法。首次登录到 UEM Console 时，您必须定义此问题及其答案。您可以通过选择重置按钮来选择新的密码恢复问题。此操作会自动注销用户。在重新登录后，系统会显示安全设置屏幕，要求用户从“密码恢复问题”列表中进行选择并提供答案。

如果管理员从未选择密码恢复问题并且密码恢复问题旁边也没有重置按钮，则管理员必须删除其帐户并重新创建。在重新创建其帐户后首次登录时，管理员需要定义密码恢复问题和答案。

当您错误回答密码恢复问题的次数超过三次时，系统会对您锁定登录页面。如果出现此情况，您必须使用登录页面上的故障排除链接重置密码。或者，您可以从管理员那里获得帮助以使用管理员列表视图来解锁帐户。当您的帐户被锁定，以及其被解除锁定时，您都会收到相应的电邮通知。

管理帐户设置：安全 PIN 码

创建安全 PIN 码可以确保 UEM Console 的安全性。PIN 码可以起到防止意外擦除设备或删除环境重要内容（例如用户和组织组）等防护作用。安全 PIN 码还可用作第二道安全防护层。它可以通过阻止未授权用户执行的操作来提供额外的身份验证点。

当第一次登录 UEM Console 时，系统会要求您创建安全 PIN 码。

经常重置您的安全 PIN 码可以最大限度降低安全风险。

Cookie 使用情况（仅供 VMware Cloud Services 管理员查看）

您可以通过启用对基于浏览器 Cookie 的产品指南和分析的访问权限，参与改进服务（包括支持、建议和用户体验）的过程。您可以选择退出，方法是选择 Cookie 使用情况并停用滑块以便在 Pendo 信息卡下启用分析和启用产品指南。

UEM 管理员帐户的 Pendo 跟踪（仅适用于 VMware Cloud Services 管理员）

作为 VMware Cloud Services 管理员，您只能在 Workspace ONE UEM 的客户类型组织组中跟踪管理员帐户活动。通过此跟踪，您可以更广泛地了解产品使用情况。

• 跟踪所有本地 UEM 管理员以及 CSP 管理员。
• 在访客级别启用或禁用跟踪。默认情况下，将启用跟踪。
• 在客户类型 OG 和访客级别跟踪数据。
• 在客户类型 OG 以上级别的 OG 没有跟踪。
• 一个访客可以访问多个客户 OG，所有这些 OG 都会被跟踪。

受限制的 UEM Console 操作

在 Workspace ONE UEM Consol 控制台处于解锁状态且无人看管的情况下，您需要提供额外的防护措施，来应对可能对其造成破坏的恶意操作。在这种情况下，您可以将这些操作隐藏起来，防止未经授权的用户使用。

1. 导航到组与设置 > 所有设置 > 系统 > 安全 > 受限制的操作。

   

2. 配置向所有设备发送消息设置。启用此设置以便让系统管理员能够从设备列表视图页面向您部署中的所有设备发送消息。还可用于向特定组发送消息。

3. 您可以规定某些 UEM Console 操作需要管理员输入一个 PIN 码才能执行。通过启用或禁用以下操作来配置密码保护操作。

   注意：有些操作始终要求输入 PIN 码，因此无法停用，下面通过 * 表示。

   设置	说明
   管理员帐户删除	防止在账户 > 管理员 > 列表视图页面删除管理员用户账户。
   *重新生成 VMware Enterprise Systems Connector 证书	防止在组与设置 > 所有设置 > 系统 > 企业集成 > VMware 企业系统连接器中重新生成 VMware 企业系统连接器证书。
   *APNs 证书更改	防止在组与设置 > 所有设置 > 设备与用户 > Apple > MDM 的 APNs 中禁用 MDM 的 APNs。
   应用程序删除/停用/淘汰	防止在应用与图书 > 应用程序 > 列表视图页面删除、停用或淘汰应用程序。
   内容删除/停用	防止在内容 > 列表视图页面删除或停用内容文件。
   *数据加密切换	防止在组与设置 > 所有设置 > 系统 > 安全性 > 数据安全页面加密用户信息设置。
   设备删除	防止在设备 > 列表视图页面删除设备。即使停用了此设置，批处理操作仍然需要管理员安全 PIN 码。
   *设备擦除	防止从设备列表视图或设备详细信息屏幕尝试执行设备擦除。
   企业重置	防止从 Windows 强固型设备、强固型 Android 设备，或者 QNX 设备的设备详细信息页面尝试对设备进行企业重置。
   企业擦除	防止从设备的设备详细信息页面尝试对设备执行企业擦除。
   企业擦除（基于用户组成员资格切换）	防止从设备的设备详细信息页面尝试对设备执行企业擦除。此设置为可选设置，您可以在组与设置 > 所有设置 > 设备与用户 > 常规 > 注册项下的限制标签页进行配置。如果您在此标签页内选择仅限已配置的组注册，则会添加对从某一组被移除设备执行企业擦除的选项。
   *组织组删除	防止从组与设置 > 组 > 组织组 > 组织组详细信息页面尝试删除当前的组织组。
   配置文件删除/停用	防止从设备 > 配置文件与资源 > 配置文件页面尝试删除或停用配置文件。
   预置产品删除	防止从设备 > 注册置备 > 产品列表视图页面尝试删除置备产品。
   吊销证书	防止从设备 > 证书 > 列表视图页面尝试吊销证书。
   *安全通道证书清除	防止从组与设置 > 所有设置 > 系统 > 高级 > 安全通道证书页面尝试清除现有的安全通道证书。
   用户帐户删除	防止从账户 > 用户 > 列表视图页面尝试删除用户账户。
   隐私设置中的变化	防止尝试在组与设置 > 所有设置 > 设备与用户 > 常规 > 隐私中更改隐私设置。
   删除电信计划	防止在电信 > 计划列表中删除电信计划。
   覆盖作业日志级别	防止从组与设置 > 管理员 > 诊断 > 日志记录尝试覆盖当前已选的作业日志级别。当设备或设备组有问题时，覆盖作业日志级别会很有用。在这种情况下，管理员可以通过强制将日志级别升为“详细”来覆盖这些设备的设置，以记录最高级别的控制台活动，从而更好地进行故障排查。
   *应用扫描供应商重置/切换	防止您的应用扫描集成设置被重置（以及随后被擦除）。在组与设置 > 所有设置 > 应用 > 应用扫描中执行这项操作。
   关机	防止尝试在设备 > 列表视图 > 设备详细信息中关闭设备。
   无效 PIN 码尝试次数的上限	定义控制台锁定前，允许输入无效 PIN 码的尝试次数上限。此设置必须在 1 到 5 之间。

选择密码保护操作

对控制台操作施加限制可以提供额外保护，以防出现对 Workspace ONE UEM Console 有潜在危害的恶意操作。

1. 导航到组与设置 > 所有设置 > 系统 > 安全性 > 受限制的操作，为受限制的操作配置设置。

   

2. 对于您通过要求管理员输入 PIN 来保护的每个操作，请选择适当的密码保护操作按钮，以根据需要启用或停用。

   此要求使您能够对想要保护其安全的操作进行粒度控制。

   注意：有些操作始终要求输入 PIN 码，因此无法停用。由后面的 * 标记。

3. 设置系统在自动注销会话前所能接受的失败尝试次数上限。如果尝试次数已达设置的数值，您必须重新登录 Workspace ONE UEM Console 并设置一个新的安全 PIN 码。

   设置	说明
   管理员帐户删除	防止在账户 > 管理员 > 列表视图页面删除管理员用户账户。
   重新生成 VMware Enterprise Systems Connector 证书	防止在组与设置 > 所有设置 > 系统 > 企业集成 > VMware 企业系统连接器中重新生成 VMware 企业系统连接器证书。
   *APNs 证书更改	防止在组与设置 > 所有设置 > 设备与用户 > Apple > MDM 的 APNs 中禁用 MDM 的 APNs。
   应用程序删除/停用/淘汰	防止在应用与图书 > 应用程序 > 列表视图页面删除、停用或淘汰应用程序。
   内容删除/停用	防止在内容 > 列表视图页面删除或停用内容文件。
   *数据加密切换	防止在组与设置 > 所有设置 > 系统 > 安全性 > 数据安全页面加密用户信息设置。
   设备删除	防止在设备 > 列表视图页面删除设备。即使停用了此设置，批处理操作仍然需要管理员安全 PIN 码。
   *设备擦除	防止从设备列表视图或设备详细信息屏幕尝试执行设备擦除。
   企业重置	防止从 Windows 强固型设备、强固型 Android 设备，或者 QNX 设备的设备详细信息页面尝试对设备进行企业重置。
   &gt；企业擦除	防止从设备的设备详细信息页面尝试对设备执行企业擦除。
   企业擦除（基于用户组成员资格切换）	防止从设备的设备详细信息页面尝试对设备执行企业擦除。此设置为可选设置，您可以在组与设置 > 所有设置 > 设备与用户 > 常规 > 注册项下的限制标签页进行配置。如果您在此标签页内选择仅限已配置的组注册，则会添加对从某一组被移除设备执行企业擦除的选项。
   *组织组删除	防止从组与设置 > 组 > 组织组 > 组织组详细信息页面尝试删除当前的组织组。
   配置文件删除/停用	防止从设备 > 配置文件与资源 > 配置文件页面尝试删除或停用配置文件。
   预置产品删除	防止从设备 > 注册置备 > 产品列表视图页面尝试删除置备产品。
   吊销证书	防止从设备 > 证书 > 列表视图页面尝试吊销证书。
   *安全通道证书清除	防止从组与设置 > 所有设置 > 系统 > 高级 > 安全通道证书页面尝试清除现有的安全通道证书。
   用户帐户删除	防止从账户 > 用户 > 列表视图页面尝试删除用户账户。
   隐私设置中的变化	防止尝试在组与设置 > 所有设置 > 设备与用户 > 常规 > 隐私中更改隐私设置。
   删除电信计划	防止在电信 > 计划列表中删除电信计划。
   覆盖作业日志级别	防止从组与设置 > 管理员 > 诊断 > 日志记录尝试覆盖当前已选的作业日志级别。当设备或设备组有问题时，覆盖作业日志级别会很有用。在这种情况下，管理员可以通过强制将日志级别升为“详细”来覆盖这些设备的设置，以记录最高级别的控制台活动，从而更好地进行故障排查。
   *应用扫描供应商重置/切换	防止您的应用扫描集成设置被重置（以及随后被擦除）。在组与设置 > 所有设置 > 应用 > 应用扫描中执行这项操作。
   关机	防止尝试在设备 > 列表视图 > 设备详细信息中关闭设备。
   无效 PIN 码尝试次数的上限	定义控制台锁定前，允许输入无效 PIN 码的尝试次数上限。此设置必须在 1 到 5 之间。

配置操作的必要注释

您可以通过需要注释复选框来要求管理员输入注释，说明执行某些 Workspace ONE UEM Console 操作的理由。

1. 导航到组与设置 > 所有设置 > 系统 > 安全 > 受限制的操作。

   

2. 如果您需要管理员在采取下列任一操作之前输入注释，请确保修改具有添加注释资源（权限）的角色。

   有关详细信息，请参阅基于角色的访问中标题为创建管理员角色的部分。

   设置	说明
   锁定设备	需要对任何从设备列表视图或设备详细信息锁定设备的尝试进行注释。
   锁定 SSO	需要对任何从设备列表视图或设备详细信息锁定 SSO 会话的尝试进行注释。
   设备擦除	需要对任何从设备列表视图或设备详细信息执行设备擦除的尝试进行注释。
   企业重置	要求对任何从 Windows 强固型设备或强固型 Android 设备的设备详细信息页面执行设备企业重置的尝试加以注释。
   企业擦除	需要对任何从设备详细信息执行企业擦除的尝试进行注释。
   覆盖作业日志级别	从组与设置 > 管理员 > 诊断 > 日志记录尝试覆盖默认作业日志级别前需要加以注释。
   重启设备	需要在重新引导尝试之前从设备 > 列表视图 > 设备详细信息进行注释。
   关机	需要在关机尝试之前从设备 > 列表视图 > 设备详细信息进行注释。