自行注册与设备注册预备

Workspace ONE UEM 支持两种企业设备注册方法。您可以让用户自行注册设备，或者管理员可以通过一个名为设备注册预备的流程代表用户注册设备。

在设备注册预备流程中，管理员先注册设备，然后再分配并分发给最终用户。这种方法对必须在整个组织中为最终用户配置设备的管理员非常有用。

可对 Android、iOS 和 macOS 设备进行注册预备。

注意事项 1：设备所有权

您的最终用户是否已经分配有企业设备？在这种情形中，收集每一台设备并执行注册预备或许不切实际，而应让用户自行注册。
您的最终用户将共享设备还是将拥有自己的专用设备？如果最终用户不共享设备，那么您可以让其所有者来负责进行自行注册。

此外，设备注册预备也特别适合新预置的设备，因为它发生在员工收到设备之前。如果您的最终用户已经持有企业设备，则最适合让他们进行自行注册。如果设备总数过多，使得管理员执行设备注册预备不切实际，则让用户自行注册自己的设备也非常有益。

注意事项 2：自动发现

您是否将电子邮件域与 Workspace ONE UEM 环境相关联？此过程称为自动发现，意味着最终用户只需要输入电子邮件地址和凭证。系统将自动输入注册 URL 和组 ID。

另请参阅自动发现注册。

注意事项 3：Workspace ONE 直接注册

不支持通过 Workspace ONE 直接注册进行设备注册预备。如果必须为单个或多个用户进行设备注册预备，则必须使用 orkspace ONE Intelligent Hub 而非 Workspace ONE 直接注册进行设备注册。

Workspace ONE 直接注册是一项非常适合自行注册的功能。启用后，登录到注册组织组的所有符合条件的设备都将立即注册。完全安装后，最终用户可以同意安装公司选择的应用或退出应用安装。

有关详细信息，请参阅 Workspace ONE 直接注册。

注意事项 4：是否参加 Apple 设备注册计划？

为了能够充分地体现在移动设备管理(MDM) 计划注册后给 Apple 设备带来的种种好处，Apple 特地推出了设备注册计划 (DEP)。借助 DEP，您可以执行以下操作：

在设备上安装不可卸载的 MDM 配置文件，防止最终用户将其删除。
在受监督模式下预置设备（仅限 iOS）。监督模式下的设备可以访问其他安全和配置设置。
强制所有最终用户进行注册。
定制并精简注册流程以满足您的需求。
生成 DEP 配置文件时，通过阻止用户使用其 Apple ID 登录来阻止 iCloud 备份。
强制所有最终用户更新操作系统。

注意事项 5：使用 Apple Configurator

借助 Apple Configurator，IT 管理员可以有效部署和管理 Apple iOS 设备。对于需要预先注册由多位最终用户共享的设备的组织（如零售店、教室或医院等）而言，这特别有用。

支持使用 Configurator 注册由单一用户专用的预先登记设备，只需在控制台将序列号/IMEI 信息添加到用户的已登记设备。Apple Configurator 的一大优点就是，您可以使用 USB 集线器或 iOS 设备购物车快速预置多台设备。

注意事项 6：单用户注册预备还是登记？

如果您正在考虑单用户设备注册预备，登记可能是首选。单用户注册预备与设备登记之间的差异虽然不大但很重要。

登记 – 在登记设备时，您为各个指定用户执行此操作。这意味着，设备要求首个登录的用户与对其进行登记的用户为同一用户。如果另一个用户尝试登录已登记设备，设备会因安全原因被锁定，并且不能注册。

单用户注册预备 – 如果是设备注册预备，您是为符合 Workspace ONE UEM 注册条件的任何用户执行此操作。从理论上讲，您可以将注册预备设备交给任何符合条件的用户，该用户可以成功登录该设备并在 Workspace ONE UEM 中注册。

注册预备工作流有助于您准备设备，然后启动 Workspace ONE Intelligent Hub，以便任何符合条件的注册用户均可登录。Workspace ONE UEM 之后会执行一次性重新分配，将设备与该用户相关联。

注意事项 7：使用设备注册预备

除非您使用 Apple Configurator，否则管理员必须逐一对设备进行注册预备。对于大型部署，请考虑这项工作需要的时间和人员。

虽然管理员可以轻松对新设备进行注册预备，但如果员工已在使用企业所有的设备，则必须引入设备或进行现场收集以对其进行注册预备。

如果要预先注册成千上万台设备，设备注册预备可能非常费时。因此，当您有一批新的设备需要预置时，最适合使用此方法，因为您可以在员工接收设备前获得设备的访问权。

可以通过下列方式对 Android 和 iOS 设备进行注册预备。

单用户（标准）– 对可供任何用户注册的设备进行注册预备时使用。

注意：如上所述，此注册流程适用于无人参与的设备。如果将此流程用于零接触用户注册，您需要负责确保将已注册预备的设备交付给目标用户。
单用户（高级）（iOS 中不提供）- 为特定用户进行注册预备和注册设备时使用。

注意：注册预备用户/管理员必须确保已将设备签出到已登记用户。
多用户 – 对多个用户共享的设备进行注册预备时使用。

有关详细说明，请参阅创建用于注册的多用户注册预备帐户。

单用户设备注册预备

Workspace ONE UEM console 上的“单用户设备注册预备”功能可使管理员代表其他用户配备他们的设备，这对那些需要预置大量设备的 IT 管理员非常有用。

重要提示：

创建注册预备用户的能力是一种提升的管理员特权。创建注册预备用户的权限仅限于特定的受信任管理员。此外，您也可以像对待任何其他管理员特权那样对待注册预备用户凭据，并且不会泄露用户凭据。

目前，拥有创建用户权限的任何管理员也可以创建注册预备用户。通过编辑分配给管理员的角色来限制此能力。导航到账户 > 管理员 > 角色。仅识别要限制的角色，然后通过清除“添加/编辑”权限中的编辑复选框，在类别路径所有 > 帐户 > 用户 > 帐户中编辑 ( 这是铅笔形状的编辑图标 ) 每个角色。

注意：对设备进行注册预备时，必须进行 LDAP 绑定。要进行此绑定，请参阅此指南中的“将设备绑定到目录服务”。

导航到账户 > 用户 > 列表视图，然后选择要为其启用设备注册预备的用户账户对应的编辑。
在添加/编辑用户页中，选择高级选项卡。
1. 向下滚动到注册预备部分。
2. 对于启用设备注册预备，请选择已启用滑块。将显示注册预备选项。
3. 对于单用户设备，请选择已启用滑块。
4. 可将单用户设备注册预备模式的类型切换为标准或高级。
  
  标准预备要求最终用户在注册预备完成后登录，而高级预备意味着预备用户可以代表另一位用户注册设备。
5. 确保将多用户设备设置为停用。
6. 对于 Android 共享设备模式，请对签入和签出模式选择本机或 Launcher。本机 Android 支持更简单的无需自定义的用例。Launcher 支持针对复杂用例进行 UI 自定义。
7. 对于系统应用，您可以允许最终用户访问系统应用程序。
8. 对于管理员模式密码，请指定一个字母数字密码，对管理员模式下的设备进行故障排除。点击登录屏幕上的 Hub 图标 5 次以访问管理员模式。
  
  结果: 单用户设备为单用户预备设备。
注册设备。
- 使用 Workspace ONE Intelligent Hub 输入服务器 URL 和组 ID，以进行注册。
- 打开设备 Internet 浏览器，导航到注册 URL，然后输入正确的组 ID。
注册过程中输入您的注册预备用户凭证。
1. 必要时具体说明您是在为单用户设备预备注册。
  
  只有在同时为注册预备用户启用了多用户设备注册预备的情况下，您才需要这样做。
完成“高级”或“标准”注册预备的注册流程。
1. 如果您正在执行高级注册预备，则系统会提示您输入将要使用该设备的最终用户设备所有者的用户名。安装移动设备管理 (MDM) 配置文件并接受所有提示和消息，继续完成注册。
2. 如果您正在执行标准注册预备，则当最终用户完成注册时，系统会提示他们登录。

结果：设备的注册预备到此完毕，随时可供新用户使用。如果注册使用条款协议已就位，则在登录到其 SSP 帐户之前，注册预备单用户看不到此 TOU 协议提示。

多用户设备注册预备

多用户设备/共享设备的注册预备对旨在供多个用户使用的设备进行预置。多用户注册预备允许设备在其他网络用户登录该设备时动态更改其已分配的用户。

导航到账户 > 用户 > 列表视图，然后选择要为其启用设备注册预备的用户账户对应的编辑。
在添加/编辑用户页中，选择高级选项卡。
1. 向下滚动到注册预备部分。
2. 对于启用设备注册预备，请选择已启用滑块。将显示注册预备选项。
3. 确保将多用户设备设置为启用。
4. 对于 Android 共享设备模式，请对签入和签出模式选择本机或 Launcher。本机 Android 支持更简单的无需自定义的用例。Launcher 支持针对复杂用例进行 UI 自定义。
5. 对于系统应用，您可以允许最终用户访问系统应用程序。
6. 对于管理员模式密码，请指定一个字母数字密码，对管理员模式下的设备进行故障排除。点击登录屏幕上的 Hub 图标 5 次以访问管理员模式。
使用以下两种方式之一注册设备：
- 使用 Workspace ONE Intelligent Hub 输入服务器 URL 和组 ID，以进行注册。
- 打开设备的 Internet 浏览器，导航到注册 URL，再输入正确的组 ID。
注册过程中输入您的注册预备用户凭证。必要时具体说明您是在为单用户设备预备注册。

只有在同时为注册预备用户启用了多用户设备注册预备的情况下，您才需要这样做。

结果: 设备的注册预备现已完成，随时可供新用户使用。

自行注册流程

自行注册可能需要最终用户知道其相应的组 ID 和登录凭证。如果您已与目录服务集成，这些凭证将与用户的目录服务凭证相同。

您也可以通过名为自动发现的流程，将电子邮件域与 Workspace ONE UEM 环境关联。启用自动发现后，受支持平台的设备会提示最终用户输入其电子邮件地址。如果设备的电子邮件域（@ 之后的文本）匹配，无需输入组 ID 或注册 URL，这些设备会自动完成注册。有关详细信息，请参阅自动发现注册。

最终用户导航到 getwsone.com，系统会自动检测是否已安装 Workspace ONE Intelligent Hub。

如果未安装 Workspace ONE Intelligent Hub，该网站会重新定向到相应的移动应用商店。
在启动 Workspace ONE Intelligent Hub 后，用户输入其凭证以及电子邮件地址或 URL/组 ID，然后继续注册。

受监督模式

管理员可以选择为通过 Apple Configurator 注册的设备启用受监督模式，从而启用额外的增强安全功能。不过，这种模式也会给设备带来一些限制。

启用受监督模式

有关启用设备以在受监督模式下运行的更多信息，请参阅与 Apple Configurator 2 集成指南。

优势

设备受到监督并在 Workspace ONE UEM 中注册后，与普通设备相比，管理员可以配置以下增强功能。

通过 MDM 增强限制
- 防止用户移除应用程序。也可以通过“系统配置”下的限制，在设备本地对应用程序移除作出限制。
- 禁止 AirDrop。
- 禁止用户修改 iCloud 和邮件帐户设置，从而防止修改帐户。
- 停用 iMessage。
- 设置 iBookstore 内容评级限制。
- 停用 Game Center 和 iBookstore。
增强安全性
- 防止最终用户在 Safari 中访问含有成人内容的网站。
- 限制可以连接指定 AirPlay 目标（如 Apple TV）的设备。
- 防止安装证书或未纳管配置文件。
- 强制所有设备网络流量经由全局 HTTP 代理。
Kiosk 模式
- 利用单应用模式将设备锁定到一个应用，同时停用主屏幕按钮。
自定义设备上的墙纸和文本
启用或清除激活锁

限制

对受监督设备的 USB 访问仅限于监督的 Mac。
除非设备上安装了 Apple Configurator 标识证书，否则无法使用 iTunes 将数据复制到设备或从设备复制数据。
- 照片和视频等媒体无法从设备复制到 PC 或 Mac 上。若要传输此类数据，请使用 VMware Content Locker 将该内容与用户的“个人文档”部分同步。此外，也可以选择使用文件共享应用程序通过 WLAN/WWAN 将数据传输到服务器。
受监督模式禁止使用 iPhone 配置实用工具 (IPCU) 访问设备端的日志。
- 这种模式加大了对任何应用程序或设备问题进行故障排查的难度。之所以困难是因为，只有在设备连接到监督的 Mac 时才能从该设备获取日志。要克服其中的一些难题，请使用 Workspace ONE SDK 将日志和后勤信息从应用程序发送到 UEM console。
无法通过出厂设置轻松重置设备。
- 一旦设备执行了出厂重置，则必须将它带回到监督的 Mac，以恢复为受监督模式。如果 Mac 不在设备附近，则该过程可能会出现问题。

在决定是否要启用受监督模式时，请考虑以下事项。虽然它可以启用额外的功能以提升设备的安全性，但也必须考虑 USB 限制。

设备与监督的 Mac 的距离是决策过程中的一个重要因素。因为 USB 限制会阻止访问设备端日志，遇到问题的设备必须被送回到某个维修点并经过重新注册预备后才能恢复功能。