如何在 Workspace ONE UEM 中注册设备?

对于寻求在 Workspace ONE UEM 保护下将最终用户设备引入其环境中的新客户,通常会批量注册设备。这些详细用例显示了以三种最常用的路径批量注册设备、自带设备 (BYOD)、企业拥有设备、个人启用 (COPE) 设备和共享设备的每一步。

自带设备 (BYOD)

隐私问题

您可以采取主动措施来解决设备最终用户可能遇到的隐私问题。有关在 Workspace ONE UEM 中配置隐私设置的详细说明,请参见适用于 BYOD 部署的隐私

1.与目录服务集成

使用向导设置目录服务

Workspace ONE UEM Console 提供了简化的向导,简化了目录服务设置过程。该向导包括集成安全断言标记语言 (SAML)、轻型目录访问协议 (Lightweight Directory Access Protocol,LDAP) 或同时集成这两种语言的步骤。该向导还会自动将 Workspace ONE UEM 应用程序置备到 VMware Identity Manager,从而大大简化该过程。

有关将 Workspace ONE UEM 与 Workspace ONE Access 集成以及通过单点登录将 Workspace ONE 部署到设备的详细信息,请参见 Workspace ONE UEM 与 Workspace ONE Access 集成

注意:如果您已在目录服务服务器上配置 SAML 或 LDAP 设置,UEM Console 会自动检测到该设置。

  1. 从两个位置访问目录服务设置向导。

    • UEM Console 入门向导

    • 导航到“组与设置”>“所有设置”>“系统”>“企业集成”>“目录服务”,并选择“启动设置向导”

      此屏幕截图显示目录服务系统设置的高级部分下拉菜单,您可以在其中为身份服务启用 Azure AD 并启用 SAML 以进行身份验证。

  2. 启动向导后,选择配置以执行以下步骤。

手动设置目录服务

或者,也可以跳过向导并手动配置目录服务以自行配置设置。

2.配置注册选项

  1. 更改为要从中管理所有 BYOD 设备的客户类型 OG。当您处于正确的 OG 时,可以更轻松地配置注册选项。有关详细信息,请参见更改组织组

  2. 导航到组与设置 > 所有设置 > 设备与用户 > 注册。如果第一个选项卡下的选项身份验证灰显且不可选择,请在当前设置中选择覆盖选项以启用所有这些选项。此部分屏幕截图显示了注册设置的身份验证选项卡

    1. 身份验证选项卡下,选择添加电子邮件域按钮。此时将显示添加电子邮件域屏幕。
    2. 输入您的业务电子邮件域,例如 acme.com 和确认电子邮件地址,例如 [email protected]。如果您操作多个域,请对员工使用的每个域重复步骤 1 和 2。您在此处输入的电子邮件地址会收到注册确认。
    3. 身份验证模式下,取消选择目录,然后选择目录。不选中身份验证代理
    4. Intelligent Hub 的身份验证源下,启用 Workspace ONE UEM。如果使用 vRA、vShield、NSX 等其他 VMware 产品,请选择 Workspace ONE Access
    5. 设备注册模式下,选择打开注册。此设置意味着您不会列出允许注册的设备,也不需要登记令牌。
    6. 对于接下来的三个 iOS 和 macOS 选项,请检查每个选项旁的信息标志,以确定哪些选项最适合您的用户群。
    7. 选择保存
  3. 组与设置 > 所有设置 > 设备与用户 > 注册中,选择管理模式选项卡。如果选项灰显且不可选择,请在当前设置中选择替代选项以启用所有这些选项。此部分屏幕截图显示了注册设置的管理模式选项卡

    通过 Intelligent Hub 注册的设备默认受 MDM 管理。对于要在 Workspace ONE UEM 中注册以支持备用管理机制(如基于应用、已注册模式或未受管)的每个平台的设备,您可以通过管理模式选项卡基于每个平台选择退出 MDM 管理。启用平台并选择相应的智能组,以允许这些设备在没有 MDM 管理的情况下注册。使用智能组时,可以根据以下条件启用注册:操作系统版本、所有权类型和用户组。使用自适应管理应用策略控制进行非受管注册的 iOS 设备的设备管理级别。如果要保持 MDM 管理,请跳过此注册选项卡并继续执行步骤 4(Hub 集成)。

    1. 对于您希望退出 MDM 管理以支持备用管理机制的每个平台,请为该平台选择已启用按钮。
    2. 如果您希望在此 OG 中注册的所有设备都选择退出 MDM 管理,请在此组织组中的所有 [平台] 设备下选择已启用。这些设备可以在注册模式下进行管理,也可以在应用程序级别进行管理。它们也可以保持未受管状态。选择已禁用,然后单击文本框以激活下拉菜单。选择智能组的名称,将内容分配给这些设备。在该 OG 中注册但不包含在智能组中的任何类似平台设备都将作为受 MDM 管理进行注册。

      如果您尚未创建此智能组,请选择下拉菜单底部的创建智能组按钮。然后按照创建智能组中的说明进行操作,确保采用条件路径并确保您的平台匹配:为 iOS 管理模式创建一个 iOS 智能组,为 Android 管理模式创建一个 Android 智能组,等等。

    3. 选择保存

  4. 组与设置 > 所有设置 > 设备与用户 > 注册中,选择 Hub 集成选项卡。如果选项灰显且不可选择,请在当前设置中选择替代选项以启用所有这些选项。此部分屏幕截图显示了注册设置的 Hub 集成选项卡

    1. 在 Intelligent Hub 中使用 Hub 服务功能下,选择“已启用”以允许此组织组中的设备连接到应用目录和人员等功能的 Workspace ONE Hub 服务。选择已禁用以退出这些 Hub 服务功能。
    2. 选择保存
  5. 组与设置 > 所有设置 > 设备与用户 > 注册中,选择使用条款选项卡。如果选项灰显且不可选择,请在当前设置中选择替代选项以启用所有这些选项。此部分屏幕截图显示注册设置的使用条款选项卡

    1. 要求接受注册使用条款中,选择已启用以要求您的最终用户在允许他们注册之前同意您指定的使用条款。选择已禁用以选择接受使用条款以进行注册。
    2. (可选)选择添加新的注册使用条款按钮,然后显示创建新使用条款屏幕,以便您输入使用条款协议。您可以指定选项,包括平台设备所有权注册类型语言。与您的法律团队协商,以制定有效的使用条款协议。选择保存以保存协议。
    3. 选择保存以保存您的使用条款选项卡选项。
  6. 设备与用户 > 所有设置 > 设备与用户 > 注册中,仍选择选项卡。如果选项灰显且不可选择,请在当前设置中选择替代选项以启用所有这些选项。此部分屏幕截图显示了注册设置的分组选项卡

    1. 组 ID 分配模式下,选择默认
    2. 默认部分下,对于默认设备所有权,选择员工所有,这是 BYOD 部署的主要特征。
    3. 默认部分下,对于默认角色,选择基本访问权、完全访问权限,或者选择您准备的角色。
    4. 默认部分下,对于非活跃用户的默认操作,选择企业擦除当前已注册的设备。在设备被盗或设备丢失的情况下,此选项可最大程度地防止知识/企业数据丢失。
    5. 用户组同步部分下,对于 Workspace ONE 的实时同步用户组,选择已禁用。启用后,Workspace ONE 会在给定用户向 UEM Console 注册时同步用户组。由于对 Workspace ONE UEM 性能的影响,请仅在用户组频繁更改时才启用此选项,因为它们会影响是否应允许设备注册。
    6. 用户角色映射部分中,对于启用基于目录组的映射,请取消选中此处的复选框以选择不根据目录服务中的用户组应用角色。启用该复选框以考虑目录服务中的所有用户组,并使用该信息分配特定角色。例如,您可以将“角色 x”应用于目录服务用户组“经理”中的每个人,同时将“角色 y”应用于另一个用户组中的所有人
  7. 组与设置 > 所有设置 > 设备与用户 > 注册中,请选择限制选项卡。如果这些选项灰显且不可选择,请在当前设置中选择替代选项以启用所有这些选项。

    此部分屏幕截图显示了注册设置的限制选项卡1.如果您的设备最终用户尚未作为用户添加到 Workspace ONE UEM,并且他们是首次注册设备,则在用户访问控制下,保持将注册限制为已知用户的复选框留空(取消选中)。但是,如果您已批量导入用户或将其发送到自助服务门户进行添加,则可以考虑启用此复选框。2.如果您尚未将目录服务与用户组集成在一起,则在用户访问控制下,将限制注册到已配置组的复选框留空(取消选中)。但是,如果您有意将目录服务与在 UEM 中创建用户组的 Workspace ONE UEM 集成在目录服务中,则考虑启用此复选框以仅将注册限制为属于其中一个目录服务用户组的用户。

    此部分屏幕截图显示了注册设置的限制选项卡3.在策略设置部分下,您可以选择添加策略按钮,以根据您决定的因素手动限制注册。这些因素包括所有权类型、注册类型、设备平台、设备型号和操作系统。

    此屏幕显示“添加/编辑注册限制策略”屏幕,这可以使您轻松限制注册。

    您可以定义多个策略,例如每个平台一个策略,指定最低型号或操作系统版本,并仅允许这些设备注册。该可能是一个强大的工具,您可以在步骤 5 中稍后查看。

    此部分屏幕截图显示了注册设置的限制选项卡4.在 Workspace ONE 的管理要求部分下,当启用需要 Workspace ONE 的 MDM 时,将提示符合分配条件的设备在登录到 Workspace ONE 时立即注册。允许不符合分配条件的设备以非受管状态登录。稍后可能会使用自适应管理对其进行管理。此选项需要 Workspace ONE 应用程序 3.2 或更高版本。

    此部分屏幕截图显示了注册设置的限制选项卡5.在组分配设置部分下,您可以应用在步骤 3 中定义的策略,并将合格设备发送到您选择的用户组。

    例如,如果您制定的限制策略仅允许员工所有 (BYOD) Android 设备版本 10 或更高版本,而第二个限制策略仅允许员工所有 (BYOD) iPhone 版本 15 或更高版本,则可以对其进行配置,以便将 Android 用户添加到另一个用户组,将 iPhone 用户组添加到另一个用户组。此类组织将来在内容管理方面非常有用。

  8. 其余选项卡(可选提示自定义)是对 BYOD 功能不太重要的设备最终用户友好选项。有关每个可用选项的详细说明,请参见可选提示自定义

3.使用 Intelligent Hub 注册

在 Workspace ONE Express 和 Workspace ONE UEM 中通过 Workspace ONE Intelligent Hub 注册设备是 Android、iOS 和 Windows 设备的主要选项。

  1. 从 Google Play Store(对于 Android 设备)或从 App Store(对于 Apple 设备)下载并安装 Workspace ONE Intelligent Hub。

    从公共应用程序商店下载 Workspace ONE Intelligent Hub 需要 Apple ID 或 Google 帐户。

    Windows 10 设备必须将设备上的默认浏览器指向 https://getwsone.com 以下载 Hub。

  2. 下载完成后运行 Workspace ONE Intelligent Hub,或者返回到浏览器会话。

    重要提示:要确保在 Android 设备上成功安装和运行 Workspace ONE Intelligent Hub,设备需要具有最少 60 MB 的可用空间。您可以在 Android 平台上为每个应用分配 CPU 和运行时内存。如果某个应用使用的资源量超过分配的数量,Android 设备将通过停止此类应用来进行自我优化。

  3. 出现提示时,请输入您的电子邮件地址。Workspace ONE Console 会检查您的地址是否已添加到环境中。如果是的话,那么您已被配置为最终用户,而且您的组织组也已经分配完成。

    如果 Workspace ONE console 无法根据您的电子邮件地址确定您为最终用户,则会提示您输入服务器组 ID凭证。您的管理员可以提供环境 URL 和组 ID。

  4. 遵循所有的剩余提示,完成注册。您可以使用您的电子邮件地址来替代用户名。如果两个用户的电子邮件相同,则注册将失败。

设备现在已通过 Workspace ONE Intelligent Hub 应用注册。在此设备的设备详细信息视图摘要标签页中,安全面板会显示“已注册 Hub”以反映此注册方法。

企业拥有、个人启用 (COPE) Workspace ONE Direct 注册

直接注册是注册企业拥有、个人启用 (COPE) 设备的最顺畅的方式。COPE 模式为企业提供了一种在设备的使用与 IT 要求的安全和控制之间取得平衡的途径。

作为管理员,您可以使用所需选项配置直接注册。这些选项包括可选提示、按设备类型限制、按用户组限制以及推迟将应用安装给用户。

默认停用直接注册。要启用 Workspace ONE 直接注册,请执行以下步骤。

  1. 切换到您要为其启用 Workspace ONE 直接注册的组织组。您要移动到的 OG 是您计划包含注册的所有 COPE 设备的组织组。此 OG 是您近期选择用来管理智能组的组织组,这些智能组用于为 COPE 提供设备配置文件、COPE 合规策略、COPE 应用和其他 COPE 内容。
  2. 导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册,然后选择限制标签页。
  3. 向下滚动到 Workspace ONE 管理要求,然后选择配置选项。如有必要,请选择覆盖父级组织组的设置。

    此部分屏幕截图显示了注册设置的限制选项卡

    设置 说明
    需要 Workspace ONE 的移动设备管理 (MDM) 提示符合条件的设备和用户一登录 Workspace ONE 便立即注册。
    允许不符合定义的条件的设备以未受管状态注册,稍后再接受管理(自适应管理)。
    分配的用户组 此设置指定要包括在直接注册过程中的用户组。启用需要 Workspace ONE 的 MDM 后,您还可以选择默认选项所有用户
    iOS 启用此设置可包含 iOS 设备。如果停用,iOS 设备将无法直接注册,但仍能以未受管状态注册到 Workspace ONE UEM。
    Android 旧版 启用此选项可包含旧版 Android 设备。如果停用,旧版 Android 设备将无法直接注册,但仍能以未受管状态注册到 Workspace ONE UEM。
    Android Enterprise 启用此设置可包含 Android 企业版设备。如果停用,Android 企业版设备将无法直接注册,但仍能以未受管状态注册到 Workspace ONE UEM。

其余步骤是供最终用户执行的。通常,向最终用户发送包含详细注册步骤的电子邮件就是完成此操作的方法。

  1. 指示最终用户从平台特定的应用商店或存储库下载、安装和运行 Workspace ONE 应用。
  2. 输入服务器 URL 或电子邮件地址。您可以将此信息包含在最终用户的注册电子邮件中。
  3. 输入您的目录服务用户名和密码。
  4. 通过选择特定于您的平台的确认步骤来安装或启用 Workspace Services
    1. iOS – 允许服务器打开设置,输入设备密码,安装未签名的设备配置文件,并在 Workspace 中打开一个屏幕。
    2. Android 旧版 - 安装 Workspace ONE Intelligent Hub,允许其打电话和管理通话,使用设备资产编号输入选项选择您设备的所有权,激活设备管理应用程序,然后登录到 Workspace ONE。
    3. Android 企业版 – 接受(或拒绝)使用条款协议,设置工作配置文件,并创建 Workspace ONE 密码。
  5. Workspace ONE 完成安装例程后,用户可以继续安装应用
  6. 最终用户可以安装从列表中选择的个别应用、安装全部或彻底跳过此步骤。

Workspace ONE 直接注册支持的选项

导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册,选择每个适用的标签页,然后根据与 Workspace ONE 直接注册的兼容性进行选择。

身份验证

以下身份验证选项与 Workspace ONE 直接注册兼容。

  • 目录用户。
  • “自动同步”支持 SAML + Active Directory 用户。只要在首次登录时用户记录预先存在于 Workspace ONE UEM 中,就支持 SAML without LDAP 用户。
  • 当前不支持基本用户、注册预备用户、SAML without Directory 用户和身份验证代理用户。
  • 开放注册。
  • Workspace ONE 不会审核“iOS 或 macOS 需要 Workspace ONE Intelligent Hub”设置,这些设置用来阻止各自平台上的 Web 注册。

使用条款

所有使用条款选项都与 Workspace ONE 直接注册兼容。

分组

所有分组选项都与 Workspace ONE 直接注册兼容。

限制

以下限制选项与 Workspace ONE 直接注册兼容。

  • 已知用户和已配置的组。
  • 注册设备数量上限。
  • 部分支持策略设置。
    • 允许的所有权类型 – Workspace ONE 仅会提示员工自有设备和企业专用设备。如果不希望这两种设备收到提示,请停用可选提示并使用默认所有权类型。
    • 允许的注册类型不受支持。
  • 支持设备平台、设备型号和操作系统限制。
  • 用户组限制。

可选提示

以下可选提示选项与 Workspace ONE 直接注册兼容。

  • 提示设备所有权。
  • 资产编号提示(仅当启用“设备所有权的提示”时受支持)。
  • 不支持所有其他可选提示。

自定义

以下自定义选项与 Workspace ONE 直接注册兼容。

  • 针对每种平台使用特定消息模板。
  • 注册后登陆 URL(仅适用于 iOS)。
  • MDM 配置文件消息(仅限 iOS)。
  • 使用自定义 MDM 应用程序。
  • 不支持“注册支持电子邮箱”和“注册支持热线”。

注册预备

不支持使用直接注册流程在此 COPE 模式下进行设备注册预备。如果必须为单个或多个用户进行设备注册预备,则必须使用 Workspace ONE Intelligent Hub 注册设备,如果提供以下平台特定配置:

共享设备

check-circle-line exclamation-circle-line close-line
Scroll to top icon