RSS
 

基本注册与目录服务注册

您可以为现有用户和组注册目录服务,如 Active Directory (AD)、Lotus Domino 和 Novell e-Directory。如果您还没有此类基础架构,或者选择不与它集成,则必须在 Workspace ONE UEM 中执行基本注册。

基本注册指的是为您的每个用户手动创建用户账户和用户组的过程。如果您的组织没有将 Workspace ONE UEM 与目录服务集成,您将利用基本注册来创建用户帐户。

如果您有几个基本帐户需要创建,请一次创建一个,如创建基本用户帐户中所述。

对于涉及较大最终用户数的基本注册,您可以通过填写和上传 CSV(逗号分隔值)模板文件来节省时间。这些文件包含您添加的通过批量导入功能引入 UEM 的全部用户信息。有关更多信息,请参阅主题批量导入用户或设备

注意:尽管 Workspace ONE UEM 支持混合使用基本注册用户和基于目录注册的用户,您在首次注册用户和设备时通常只会选择其一。

优点和缺点

优点 缺点
基本注册 - 可在任何部署方式中使用。

- 不需要技术集成。

- 不需要企业基础架构。

- 可以注册到潜在的多个组织组。		 - 仅能在 Workspace ONE UEM 中找到凭证,而且还不一定会与现有的企业凭证匹配。

- 不提供联合安全。

- 不支持单点登录。

- Workspace ONE UEM 存储所有用户名和密码。

- 不能用于 Workspace ONE 直接注册。
目录服务注册 - 最终用户可以使用现有企业凭证进行身份验证。

- 检测目录系统更改并将其同步到 Workspace ONE UEM。例如,当您在 AD 中停用用户时,Workspace ONE UEM Console 中相应的用户帐户被标记为非活动状态。

- 与您的现有目录服务集成的安全方法。

- 标准的集成做法。

- 可用于 Workspace ONE 直接注册。

- 使用 AirWatch Cloud Connector 的 SaaS 部署不需要进行防火墙更改,也能为 Microsoft ADCS、SCEP 和 SMTP 服务器等其他基础架构提供安全配置。		 - 需要现有的目录服务基础架构。

- 由于安装在防火墙后或 DMZ 中的 AirWatch Cloud Connector,SaaS 部署需要进行其他配置。

注册注意事项,基本与目录

考虑最终用户注册时,除了基本用户与目录用户的现有优缺点之外,还有其他需要考虑的问题。

注意事项 1:谁能注册?

在回答此问题时,请考虑以下事项。

  • 您的 MDM 部署意图是否为管理组织内处于您配置的基本 DN ** 或以下的所有用户的设备?如果是,达成此安排的最简单方法是确保“限制注册”复选框已清除,从而允许所有用户进行注册。

    您可以在实施初始部署期间允许所有用户进行注册,之后再限制注册以防止未知用户进行注册。您的组织添加新的员工或成员到现有用户组时,这些更改会进行同步及合并。

  • 是否有特定的用户或组不会包含在 MDM 内?若有,您必须逐一添加用户或批量导入仅包含符合条件的用户的 CSV(逗号分隔值)文件。

** 基本 DN(标识名)是服务器从其搜索用户的位置。标识名是唯一标识目录中的条目的名称。目录中的每个条目都有一个 DN。

注意事项 2:用户将被分配到何处?

在将 Workspace ONE UEM 环境与目录服务集成时还要思考一个问题,即在注册期间如何将目录用户分配到组织组中。在回答此问题时,请考虑以下事项。

  • 是否已创建了在逻辑上映射到您的目录服务组的组织组结构?您必须先完成此任务,然后才能编辑用户组分配。
  • 如果用户要注册自己的设备,则从列表中选择组 ID 的选项将非常简便。人为错误是此简单方法中存在的一个因素,可能导致不正确的组分配。

您可以根据用户组自动选择组 ID,或者允许用户从列表中选择组 ID。导航至设备 > 设备设置 > 设备与用户 > 常规 > 注册并选择分组标签页,即可使用这些组 ID 分配模式选项。

启用基于目录服务的注册

目录服务注册是指将 Workspace ONE UEM 与您的目录服务基础架构集成的过程。以这种方式集成您的目录服务意味着您可以自动导入用户,也可以选择导入用户组,如安全组和分发列表。

与 Active Directory (AD) 等目录服务集成时,您可以选择导入用户的方式。

  • 允许所有目录用户注册 – 您可以允许所有的目录服务用户进行注册。此外,您还可以设置您的环境以根据用户的电子邮件自动发现他们。然后,在他们执行注册时为其创建 Workspace ONE UEM 用户帐户。
  • 逐一添加用户 – 与目录服务集成后,您可以像创建基本 Workspace ONE UEM 用户帐户一样逐一添加用户。唯一的差别在于,您必须输入其用户名,再选择检查用户以从您的目录服务自动填充剩余的信息。
  • 批量上传 CSV 文件 – 通过此选项,您可以使用 CSV(逗号分隔值)模板文件导入目录服务账户列表。此文件包含具体的列,其中一些不可留空。
  • 与用户组集成(可选)– 通过此方法,您可以使用现有用户组成员资格来分配配置文件、应用以及合规策略等。

注意:有关如何将 Workspace ONE UEM 环境与目录服务(包括 SAML 提供程序集成)集成的信息,请参阅集成目录服务指南

目录服务集成与注册限制

在 Workspace ONE UEM 上配置目录服务集成后,目录服务帐户将从配置目录服务所使用的组织组 (OG) 继承注册设置。但是,基本帐户将遵循本地设置(包括覆盖设置)。

该图显示了父级和子级 OG 的简单组织组模型。

以上述组织组模型为例,假定在名为“客户”的 OG 中启用对从已配置组中移除的用户设备执行企业擦除选项。

如果是这种情况,尽管已在该 OG 中配置了注册限制覆盖,Sales01 子 OG 中离开已配置组的目录注册用户仍会看到他们的设备已被擦除。即使这些帐户中的设备是在其他 OG 中注册的,但由于注册设置是以用户为中心,而不是以设备为中心的,因此情况依然如此。

但是,在此相同场景中,属于 Sales01 OG 中离开了已配置组的基本注册用户的设备将不会被擦除。这是因为 Sales01 中的基本注册用户不属于集成了目录服务的 OG,故而能够识别并遵循注册限制覆盖。

父主题:设备注册

check-circle-line exclamation-circle-line close-line
Scroll to top icon