将 Windows 设备注册到 Workspace ONE UEM

Workspace ONE UEM 支持多种不同的方法来注册您的 Windows 设备。根据 Workspace ONE UEM 部署、企业集成和设备操作系统,了解哪种注册工作流最符合您的需求。

注册基础知识

通过在 Workspace ONE UEM 环境中设置 Windows 自动发现服务 (WADS),简化最终用户的注册过程。WADS 支持内部部署解决方案和基于云的 WADS。

注册方法使用 Windows 操作系统的本机 MDM 功能、适用于 Windows 的 Workspace ONE Intelligent Hub 或 Azure AD 集成。

  • 适用于 Windows 的 Workspace ONE Intelligent Hub 注册

    最简单的注册工作流使用适用于 Windows 的 Workspace ONE Intelligent Hub 来注册设备。最终用户可以直接从 getwsone.com 下载 Workspace ONE Intelligent Hub,然后按照提示进行注册。

    请考虑使用适用于 Windows 的 Workspace ONE Intelligent Hub 注册工作流。Workspace ONE UEM 支持满足特定用例的其他注册流程。

  • Azure AD 集成注册

    通过与 Microsoft Azure Active Directory 集成,Windows 设备可以自动注册到 Workspace ONE UEM,尽可能减少最终用户交互。Azure AD 集成注册同时为用户和管理员简化了注册流程。Azure AD 集成注册支持三种不同的注册流程:加入 Azure Ad、全新体验注册和 Office 365 注册。所有方法都需要配置 Azure AD 与 Workspace ONE UEM 的集成。

    在使用 Azure AD 集成注册设备前,您必须先配置 Workspace ONE UEM 和 Azure AD。

  • 本机 MDM 注册

    Workspace ONE UEM 支持使用本机 MDM 注册工作流来注册 Windows 桌面设备。本机 MDM 解决方案的名称因 Windows 版本而异。此注册流程会根据 Windows 版本和您是否使用 WADS 而变化。

    只有拥有设备本地管理员权限的用户才能将设备注册到 Workspace ONE UEM 并启用 MDM。

  • 设备注册代办

    如果想在将设备发运给最终用户之前在 Windows 设备上配置设备管理,请考虑使用 Windows 桌面设备注册预备。使用此注册工作流,您可以通过 Workspace ONE Intelligent Hub 注册设备,安装设备级配置文件,然后将设备发运给最终用户。设备注册预备的两种方法是手动安装和命令行安装。手动安装需要将设备所在的域加入到 Azure AD 集成中。命令行安装适用于所有 Windows 设备。

  • Windows 桌面自动注册

    Workspace ONE UEM 支持自动注册从 Dell 购买的特定 Windows 桌面设备。自动注册可按照“全新体验”自动注册设备,从而简化注册流程。

    VMware 的 Windows 置备服务仅适用于使用正确的 Windows 映像选择 Dell 企业设备。在购买 Dell 设备时,订单中必须包含购买自动注册功能。

  • 批量预置和注册

    批量置备会创建一个预配置的包,用来对 Windows 设备进行注册预备,并将它们注册到 Workspace ONE UEM。批量预置需要下载 Microsoft 评估和开发工具包,并安装映像和配置设计器工具。此工具将创建用来制作设备映像的预置包。

    借助批量预置工作流,您可以将 Workspace ONE UEM 的设置包括在预置包内,以便在初始开箱体验期间自动注册预置的设备。

  • 注册模式 - 注册时不进行设备管理

    要允许某些 Windows 设备在没有设备管理服务的情况下注册到 Workspace ONE UEM,您可以启用注册模式。将此模式分配给整个组织组或智能组。

适用于 Windows 的 Workspace ONE Intelligent Hub 注册

Workspace ONE Intelligent Hub 提供了单一注册资源,可促进设备与 Workspace ONE UEM console 之间的通信。使用 Workspace ONE Intelligent Hub 注册 Windows 设备。Workspace ONE Intelligent Hub 为最终用户提供一种简化的注册流程,让他们能够快速、轻松地完成注册。

请考虑使用适用于 Windows 的 Workspace ONE Intelligent Hub 来注册 Windows 桌面设备,因为它为用户提供了最简单的注册流程。如果已配置 Workspace ONE,则从 https://getwsone.com/ 下载 Workspace ONE Intelligent Hub 时还会下载 Workspace ONE 应用。使用 Workspace ONE Intelligent Hub 完成注册后,Workspace ONE 应用会自动启动,并根据 Workspace ONE UEM 部署进行配置。

Workspace ONE Intelligent Hub 为 Windows 桌面设备提供包括位置服务在内的额外功能。

您可以通过使用 Windows 自动发现为您的最终用户简化注册过程。使用 Windows 自动发现时,最终用户只需输入他们的电子邮件地址,系统就能根据他们的注册凭证自动填充文本框。

AirWatch Cloud Messaging (AWCM) 支持将实时策略和命令传递到 Workspace ONE Intelligent Hub。如果不使用 AWCM,则 Workspace ONE Intelligent Hub 仅在 Workspace ONE UEM console 中设置的正常签入间隔内接收策略和命令传递。请考虑使用 AWCM 向 Windows 桌面设备实时传输策略和命令。

使用 VMware Workspace ONE Intelligent Hub 进行注册的过程

  1. 在 Windows 桌面设备上,导航到 https://getwsone.com
  2. 安装 Workspace ONE Intelligent Hub。安装完成后,启动 Workspace ONE Intelligent Hub。
  3. 输入电子邮件地址并选择下一步
  4. 如果您没有使用 Windows 自动发现功能,则完成下列设置。
    1. 输入服务器 URL,然后选择下一步
    2. 输入组 ID,然后选择下一步
    3. 输入您的用户名密码
  5. 接受使用条款。
  6. 选择完成
  7. 打开 Workspace ONE Intelligent Hub 并完成注册。

Windows 桌面设备的本机 MDM 注册

Windows 桌面注册方法均使用“工作单位访问”的本机 MDM 客户端。您可以使用本机 MDM 客户端通过同一注册流程来注册企业所有设备和 BYOD 设备。无论是否使用 Windows 自动发现,都可以进行注册。

当选择连接,并且未自动完成注册工作流时,工作单位访问将首先处理连接到 Office 365 或 Azure AD 的域的 Azure AD 工作流。如果使用无高级许可证的 Office 365 或 Azure AD,则请考虑使用 Workspace ONE Intelligent Hub 来注册 Windows 设备,而不是使用本机 MDM 注册。要使用本机 MDM 注册完成注册工作流,请选择连接两次。如果拥有 Azure AD 高级许可证,您可以在 Azure 实例中启用需要管理,使本机 MDM 注册在完成 Azure 工作流后完成注册流程。如果未使用 Office 365 或 Azure AD,您可以使用本机 MDM 注册,不会产生问题。

只有拥有设备本地管理员权限的用户才能将设备注册到 Workspace ONE UEM 并启用 MDM。域管理员权限在注册设备时不起作用。若要以标准用户身份注册设备,您必须使用适用于 Windows 设备的批量置备。

使用 Windows 自动发现服务,您可以减少注册期间需要的交互操作,从而简化最终用户的注册。

已加入某个域的设备可以使用本机工作区注册方法进行注册。已在设置中输入的电子邮件地址将使用 Active Directory UPN 属性自动填充。如果最终用户想要使用其他电子邮件地址,则必须下载可选更新。

通过使用 Windows 自动发现的工作单位访问进行注册

“工作单位访问”是 Windows 设备的本机 MDM 注册方法。通过“工作单位访问”并使用 Windows 自动发现进行注册,有助于最终用户轻松快速地完成注册流程。

必备条件

事先在 Workspace ONE UEM 注册您的域,可以省去在登记期间输入组 ID 的操作。

注意:考虑使用适用于 Windows 的 Workspace ONE Intelligent Hub 来注册 Windows 设备,而不是使用本机 MDM 注册。如果您在同一域中使用 Office 365 或 Azure,本机 MDM 注册流程不会将设备注册到 MDM。

过程

  1. 在设备上导航到设置 > 帐户 > 工作单位访问,然后选择注册设备管理此时将显示“工作单位访问”菜单,其中显示了“注册设备管理”选项
  2. 首先在电子邮件文本框中输入您为最终用户提供的用户名,然后以 [email protected] 格式输入环境的域(例如 [email protected])。选择继续
  3. 输入组 ID,然后选择下一步
  4. 输入您的用户名密码,然后选择下一步。这些凭证可以是您的目录服务凭证,也可以是特定于您的 Workspace ONE UEM 环境的专用凭证。
  5. 可选:查看最终用户许可协议并选择接受,以同意使用条款。
  6. 可选:选择以保存登录信息。

结果

然后,设备将尝试连接到 Workspace ONE UEM。如果连接成功,您会发现 Workspace ONE UEM 的旁边有一个公文包图标。该图标表示您已成功连接到 Workspace ONE UEM。

“工作单位访问”菜单显示带有公文包图标的成功连接

通过工作单位访问而不使用 Windows 自动发现进行注册

“工作单位访问”是 Windows 设备的本机 MDM 注册方法。如果通过工作单位访问而不使用 WADS 进行注册,则需要手动输入最终用户凭证。

考虑使用适用于 Windows 的 Workspace ONE Intelligent Hub 来注册 Windows 设备,而不是使用本机 MDM 注册。如果您在同一域中使用 Office 365 或 Azure,本机 MDM 注册流程不会将设备注册到 MDM。

过程

  1. 在设备上导航到设置 > 帐户 > 工作单位访问,然后选择注册设备管理此时将显示“工作单位访问”菜单,其中显示了“注册设备管理”选项
  2. 首先在电子邮件文本框中输入您为最终用户提供的用户名,然后以 [email protected] 格式输入环境的域(例如 [email protected])。
  3. 输入服务器地址如下:<DeviceServicesURL>/DeviceServices/Discovery.aws。在 URL 中不要包含“https://”。示例ds156.awmdm.com/deviceservices/discovery.aws
  4. 选择继续
  5. 输入组 ID,然后选择下一步
  6. 输入您的用户名密码,然后选择下一步。这些凭证可以是您的目录服务凭证,也可以是特定于您的 Workspace ONE UEM 环境的专用凭证。
  7. 可选:查看最终用户许可协议并选择接受,以同意使用条款。此为可选步骤,只有在您选择启用时才会显示。
  8. 可选:选择以保存登录信息。

结果

然后,设备将尝试连接到 Workspace ONE UEM。如果连接成功,您会发现 Workspace ONE UEM 的旁边有一个公文包图标。该图标表示您已成功连接到 Workspace ONE UEM。

“工作单位访问”菜单显示带有公文包图标的成功连接

Windows 设备注册预备注册

通过设备注册预备,您可以在将设备发运给最终用户之前,通过 Workspace ONE UEM 配置 Windows 设备以进行设备管理。了解如何代表最终用户通过 Workspace ONE Intelligent Hub 注册和配置设备。

通过设备注册预备注册,您可以将 Windows 设备注册到 Workspace ONE UEM。此注册需要启动 Workspace ONE Intelligent Hub。设备注册后,所有已分配的设备级配置文件都将下载到设备上。设备完全注册和配置好后,您可以将设备传送到最终用户。最终用户登录设备后,Workspace ONE Intelligent Hub 会更新 Workspace ONE UEM console 中的设备记录。Workspace ONE UEM 会将设备重新分配给最终用户,并将所有用户级配置文件推送给设备。

两种注册预备方法为:

  • 手动安装 - 下载并安装 Workspace ONE Intelligent Hub,然后输入注册凭证。此方法需要在注册前将设备加入域。
  • 命令行安装 - 下载 Workspace ONE Intelligent Hub,然后使用命令行安装并注册设备。

在用户注册到已加入域的设备时更新 UEM console 设备注册表,或者将已注册的用户名与之前注册的序列号列表进行比较,从而完成注册。

批量导入设备序列号

导入要与注册预备的设备配合使用的设备序列号,可快速向 Workspace ONE UEM Console 添加设备。批量导入要求要导入的 CSV 文件必须包含所有序列号。

过程

  1. 导航到帐户 > 用户 > 列表视图或者设备 > 生命周期 > 注册状态

    显示批量注册的导航路径
  2. 选择添加,然后选择批量导入以显示批量导入屏幕。
  3. 填写以下各个必填选项。批处理名称批处理描述批处理类型
  4. 批处理文件 (.csv) 选项下提供了可以用于批量加载用户及其设备的基于任务的模板列表。
  5. 选择相应的下载模板并以逗号分隔值 (CSV) 文件保存到可访问的其他位置。
  6. 找到保存的 CSV 文件,使用 Excel 打开文件,然后输入您想要导入的每台设备的所有相关信息。每个模板都会用示例项进行预填充以显示每列中要放入的信息类型(及其格式)。CSV 文件中标有星号的字段都是必填字段。
  7. 将已完成的模板保存为 CSV 文件。在 UEM Console,从批量导入屏幕中选择选择文件按钮,然后导航到您保存已完成的 CSV 文件的路径并选择此路径。
  8. 选择保存,完成全部所列用户和相关设备的注册。

Carbon Black 和适用于 Windows 的 Workspace ONE Intelligent Hub

您是否在 Windows 设备上使用 Carbon Black 进行端点保护?安装适用于 Windows 的 Workspace ONE Intelligent Hub 时,您可以在 Windows 设备上安装 Carbon Black。

使用此命令行注册预备过程注册 Windows 设备。输入在 Carbon Black 中生成的特定于 Carbon Black 的无提示注册参数及其相应的 URL 值。输入生成的 URL 可指示 Workspace ONE Intelligent Hub 检索 Carbon Black 传感器套件和 Carbon Black 传感器配置文件的 URL 以进行安装。

安装 Carbon Black 和 Workspace ONE Intelligent Hub 后,将 Carbon Black 公共应用上载到 Workspace ONE UEM console,并将该应用发布到 Windows 设备。

有关如何为 Carbon Black 传感器套件和 Carbon Black 传感器配置文件生成所需的 URL 的详细信息,请访问《Carbon Black Cloud 用户指南》中的内容。您可以登录到 VMware Carbon Black Cloud,然后选择帮助 > 用户指南。在搜索栏中键入 workspace one,然后按 Enter

Carbon Black 参数在哪里?

Carbon Black 参数在本主题的静默注册参数和值部分中列出。您也可以在 Carbon Black Cloud 控制台的以下位置找到它们:清单 > 端点 > 传感器选项 > 配置 Workspace ONE 传感器套件。如果在 Carbon Black Cloud 控制台中未看到此选项,请与 Carbon Black 支持部门联系以启用该功能。

通过命令行注册预备进行注册

使用 Windows 命令行注册预备 Windows 桌面设备,从而简化最终用户的注册。此 Workspace ONE UEM 注册方法将根据所输入的用户凭证注册设备并下载设备级配置文件。

重要提示:请勿更改 AirWatchAgent.msi 文件的名称,因为更改会破坏注册预备命令。此外,如果要使用命令行注册预备,请不要使用批量序列号导入。

注意:请勿使用本产品在 BYOD 设备上以无提示方式安装适用于 Windows 的 Workspace ONE Intelligent Hub。如果以无提示方式安装到 BYOD 设备,您将全权负责为您的设备最终用户提供有关使用无提示安装和从无提示安装的应用收集的数据的任何必要通知。您负责从您的设备最终用户处获取任何法律所需的同意,并以其他方式遵守所有适用法律。

过程

  1. 导航到 https://getwsone.com/ 以下载适用于 Windows 的 Workspace ONE Intelligent Hub。

    仅下载 Workspace ONE Intelligent Hub。请勿启动可执行文件或选择运行,因为这将会启动标准注册流程,从而无法达到静默注册的目的。如果需要,请将 Workspace ONE Intelligent Hub 从下载文件夹移动到本地或网络驱动器文件夹。

  2. 打开命令行或创建 BAT 文件,然后输入所有必要的路径、参数和值:

  3. 运行命令。

结果

运行命令后,设备将注册到 Workspace ONE UEM。如果设备已加入域,Workspace ONE Intelligent Hub 会使用正确的用户更新 Workspace ONE UEM console 设备注册表。

通过手动设备注册预备进行注册

使用 Workspace ONE Intelligent Hub 对 Windows 设备进行注册预备,从而简化最终用户的注册过程。此注册方法会注册设备并下载设备级配置文件,因此最终用户必须登录到设备才能开始使用。

必备条件

这些设备必须加入一个域。

  1. 导航到 https://getwsone.com/ 以下载 Workspace ONE Intelligent Hub 安装程序。
  2. 下载完成后运行安装程序。
  3. 选择运行,可开始安装。
  4. 如果已启用自动发现,则选择电子邮件,否则请选择服务器详细信息
  5. 根据选定的身份验证类型完成所需的设置。
    1. 输入电子邮件地址以自动填充服务器详细信息屏幕。选择下一步,将会输入详细信息。
    2. 如果未使用自动发现来填写服务器名称和组 ID,请输入这些设置。选择下一步
  6. 输入注册预备用户名密码,然后选择下一步
  7. 完成所有可选屏幕。
  8. 选择完成,可完成注册。

结果

Workspace ONE Intelligent Hub 检测到注册预备用户后,Workspace ONE Intelligent Hub 侦听器将运行并侦听下一次 Windows 登录。最终用户登录到设备后,Workspace ONE Intelligent Hub 侦听器将从设备注册表读取用户 UPN 和电子邮件地址。此信息将发送到 Workspace ONE UEM console,并将更新设备注册表,以将设备注册到用户。

静默注册参数和值

无提示注册需要多个命令行条目或一个 BAT 文件来控制在 Windows 设备上下载和安装 Workspace ONE Intelligent Hub 的方式。

注意:请勿使用本产品在 BYOD 设备上以无提示方式安装适用于 Windows 的 Workspace ONE Intelligent Hub。如果以无提示方式安装到 BYOD 设备,您将全权负责为您的设备最终用户提供有关使用无提示安装和从无提示安装的应用收集的数据的任何必要通知。您负责从您的设备最终用户处获取任何法律所需的同意,并以其他方式遵守所有适用法律。

下表列出了您可以在命令行或 BAT 文件中输入的注册参数,以及每个参数的相应值。如果您代表其他用户进行注册 (EOBO),请确保使用 EOBO 参数。

常规参数

注册参数 要添加到参数的值
所有 MSI 参数 这些参数控制应用安装行为。

/quiet - 完全无提示
/q - 控制安装的 UI 级别
passive - 供用户指导应用程序的最低控制
/L - 日志级别和日志路径。有关更多信息,请参阅 https://docs.microsoft.com/en-us/windows/win32/msi/command-line-options。
ASSIGNTOLOGGEDINUSER 选择 Y 以将设备分配给已登录的域用户。在命令行中输入此参数作为最后一个参数。
DEVICEOWNERSHIPTYPE^ 选择 CD 表示企业专用。
选择 CS 表示企业共享。
选择 EO 表示员工所有。
选择 N 表示“无”。
DOWNLOADSBUNDLE 此参数用来控制注册期间的 Workspace ONE 应用程序下载。选择 TRUE,以在安装 Workspace ONE Intelligent Hub 期间下载 Workspace ONE 应用安装程序。如果使用 Workspace ONE Intelligent Hub 来注册设备,则必须安装 Workspace ONE。

如果未将 DOWNLOADSBUNDLE 设置为 TRUE,则无论使用何种 UI 级别,都不会下载 Workspace ONE 应用安装程序。
ENROLL 选择 Y 进行注册。
选择 N 仅创建映像。

仅当此参数设置为 Y 时,代理才会尝试在静默模式下注册。
IMAGE 此标志优先于所有内容,如果将此标记设置为 Y,则代理将进入映像模式。

选择 Y 创建映像。
选择 N 进行注册。
INSTALLDIR^ 如果想更改安装路径,请输入目录路径。

注意:如果此参数不存在,Workspace ONE Intelligent Hub 将使用默认路径:C:\Program Files (x86)\AirWatch
LGName 输入组织组名称。
PASSWORD 输入您注册的用户的密码,或注册预备用户的密码(在代表用户注册预备设备时)。
SERVER 输入注册 URL。
USERNAME 输入您注册的用户的用户名,或注册预备用户的用户名(在代表用户注册预备设备时)。

用脱字号 (^) 表示的项目为可选。

EOBO 参数

注册参数 要添加到参数的值
SECURITYTYPE 仅 EOBO 工作流:如果在注册过程中将用户帐户添加到 Workspace ONE UEM console,请使用此参数。

选择 D 表示目录

选择 B 表示基本用户
STAGEEMAIL^ 仅 EOBO 工作流:输入要注册的用户的电子邮件地址。
STAGEEMAILUSRNAME^ 仅 EOBO 工作流:输入要注册的用户的电子邮件用户名。
STAGEPASSWORD 仅 EOBO 工作流:输入要注册的用户的密码。
STAGEUSERNAME 仅 EOBO 工作流:输入注册用户的用户名。

用脱字号 (^) 表示的项目为可选。

Carbon Black 参数

注册参数 要添加到参数的值
CBSENSORCONFIGURL^ 使用此参数可指示适用于 Windows 的 Workspace ONE Intelligent Hub 检索 Carbon Black 配置文件 URL。

输入在 Carbon Black 中生成的传感器配置文件的 URL。
CBSENSORURL^ 使用此参数可指示适用于 Windows 的 Workspace ONE Intelligent Hub 检索适用的 Carbon Black 传感器套件 URL。

输入在 Carbon Black 中生成的传感器套件的 URL。

用脱字号 (^) 表示的项目为可选。

静默注册的示例

下文举例说明了使用您可以输入到命令行中或用于创建 BAT 文件的注册参数和值的各种用例。启动任一示例都可以静默注册 Windows 设备,并且不会提示用户选择任何确认按钮。

  • 在不进行注册的情况下安装仅适用于映像的 Agent

    下文举例说明了如何使用仅映像模式所需的最少参数,在不进行注册的情况下以仅映像模式安装 Workspace ONE Intelligent Hub。

    AirwatchAgent.msi /quiet ENROLL=N IMAGE=Y

  • 基本用户注册

    下面是使用只有基本注册需要的最基本参数的示例:

    AirwatchAgent.msi /quiet ENROLL=YIMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test

  • Workspace ONE Intelligent Hub 安装在其他位置

    下面是位于不同位置的 AirwatchAgent.msi 的示例:

    C:AirwatchAgent.msi /quiet ENROLL=Y IMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test

  • 网络驱动器上的安装目录和 Workspace ONE Intelligent Hub

    下面是网络驱动器上 Workspace ONE Intelligent Hub 的安装目录参数示例。

    重要提示:如果 INSTALLDIR 参数内仍有空间,请为该参数添加额外的引号。

    Q:AirwatchAgent.msi /quiet INSTALLDIR="E:Install Win32" ENROLL=Y IMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test

  • 可用参数和值

    以下代码段是使用大多数可用参数和值的语法示例。

    msiexec.exe /I “<Path>AirwatchAgent.msi” /quiet ENROLL=<Y/N>IMAGE=<Y/N>SERVER=<CompanyURL>LGNAME=<Location Group ID>USERNAME=<Staging Username>PASSWORD=<Staging Username Password>STAGEUSERNAME=<Enrolling Username>SECURITYTYPE=<D/B>STAGEEMAILUSRNAME=<User Enrolling>STAGEPASSWORD=<Password for User Enrolling>STAGEEMAIL=<Email Address for User Enrolling>DEVICEOWNERSHIPTYPE<CD/CS/EO/N>ASSIGNTOLOGGEDINUSER=<Y/N>

Workspace ONE UEM 和 Azure AD 集成

通过与 Microsoft Azure Active Directory 集成,您可以将 Windows 设备自动注册到 Workspace ONE UEM,从而最大限度减少最终用户交互。了解 Azure AD 集成如何简化 Windows 设备的注册。

在使用 Azure AD 集成注册设备前,您必须先配置 Workspace ONE UEM 和 Azure AD。该配置过程要求将相关信息输入 Azure AD 和 Workspace ONE UEM 部署以促进通信。设置会根据您的环境而有所不同。按照适用于 SaaS 或内部部署的步骤进行操作。

Azure AD 集成注册支持三种不同的注册流程:

  • 加入 Azure AD
  • 全新体验注册
  • Office 365 注册

所有方法都需要配置 Azure AD 与 Workspace ONE UEM 的集成。

重要提示:通过 Azure AD 集成进行注册需要 Windows 和 Azure Active Directory 的高级许可证。

SaaS 环境:Azure AD 用作标识服务

在使用 Azure AD 注册 Windows 设备之前,您必须配置 Workspace ONE UEM,以便将 Azure AD 用作标识服务。启用 Azure AD 需要在 Azure 管理门户和 Workspace ONE UEM 中输入数据。使用浏览器中的选项卡打开两个实例,以帮助在两个控制台中输入数据。

必备条件

  • 您必须具有 Premium Azure AD P1 或 P2 订阅,才能将 Azure AD 与 Workspace ONE UEM 集成。
  • Azure AD 与 Workspace ONE UEM 的集成必须在配置 Active Directory 的租户级别(例如 LDAP)进行配置。-如果您具有与 SaaS 实例关联的自定义域名,请参阅下一节(具有自定义域名的内部部署环境或 SaaS 环境)以了解这些具体说明。

重要提示:首先配置并保存 LDAP
如果要在 Workspace ONE UEM 的目录服务系统设置页面上将当前设置设置为覆盖,则必须先配置并保存 LDAP 设置,然后再为标识服务启用 Azure AD。

过程

  1. 在 Workspace ONE UEM 中,启用与 Azure AD 的集成,输入 Azure AD 租户 ID,然后检索 MDM 注册 URL 以输入到 Azure 中。
    1. 选择适当的组织组。
    2. 导航到组与设置 > 所有设置 > 系统 > 企业集成 > 目录服务
    3. 服务器选项卡上,启用 Azure AD 集成
    4. 在浏览器中的另一个选项卡中,使用您的 Microsoft 帐户或组织帐户登录到 Azure 管理门户,以获取 Azure AD 租户 ID
      1. 选择 Azure Active Directory 以查看概览页面。
      2. 从 Azure AD 概览页面复制 Azure AD 租户 ID
    5. 返回到 Workspace ONE UEM console 实例,然后将 Azure AD 租户 ID 粘贴到 Directory ID 文本框中。
    6. 继续在 Workspace ONE UEM 实例中启用将 Azure AD 作为标识服务
      记录 MDM 发现 URLMDM 使用条款 URL,因为必须在 Azure 中输入这些内容。如果使用多个浏览器选项卡或考虑将它们复制到 PC 上的某处,则可以在选项卡之间复制它们。
  2. 在 Azure AD 中,添加 Workspace ONE UEM 应用并添加 MDM URL。
    1. 在 Azure 管理门户实例中,选择您的目录,然后导航到移动性 (MDM 和 MAM) 选项卡。
    2. 依次选择添加应用程序AirWatch by VMware 应用、添加
    3. 选择刚添加的 AirWatch by VMware 应用,以将 MDM 用户范围更改为所有
    4. 从 PC 或包含 Workspace ONE UEM 实例的浏览器选项卡中复制 MDM 使用条款 URL,然后将其粘贴到 Azure 中的 MDM 使用条款 URL 文本框中。
    5. 从 PC 或包含 Workspace ONE UEM console 实例的浏览器选项卡中复制 MDM 使用条款 URL,然后将其粘贴到 Azure 中的 MDM 发现 URL 文本框中。
    6. 保存您的设置。
  3. 在 Workspace ONE UEM 中,输入 Azure AD 域,然后保存设置。
    1. 在 Azure 管理门户实例中,转到 Azure AD 概览页面,然后从 Azure AD 概览页面复制域。
    2. 在包含 Workspace ONE UEM console 实例的浏览器选项卡上,将域字符串粘贴到租户名称文本框中。
    3. 在 Workspace ONE UEM 目录服务页面上保存设置。
  4. 在 Azure 中,分配高级许可证。
    1. 在 Microsoft Azure 控制台中,选择 Azure Active Directory > 许可证
    2. 选择所有产品,然后在列表中选择正确的许可证。
    3. 选择分配,选择许可证的用户或组,然后选择分配以完成该过程。

具有自定义域名的内部部署环境或 SaaS 环境:Azure AD 用作标识服务

在使用 Azure AD 注册 Windows 设备之前,您必须配置 Workspace ONE UEM,以便将 Azure AD 用作标识服务。启用 Azure AD 需要在 Azure 管理门户和 Workspace ONE UEM 中输入数据。使用浏览器中的选项卡打开两个实例,以帮助在两个控制台中输入数据。

必备条件

  • 您必须具有 Premium Azure AD P1 或 P2 订阅,才能将 Azure AD 与 Workspace ONE UEM 集成。
  • Azure AD 与 Workspace ONE UEM 的集成必须在配置 Active Directory 的租户级别(例如 LDAP)进行配置。
  • 在 Azure Active Directory 门户中,使用 Microsoft Azure 为您的域名添加自定义域。请按照 Microsoft 文档中的使用 Azure Active Directory 门户添加自定义域名操作。

重要提示:首先配置并保存 LDAP
如果要在 Workspace ONE UEM 的目录服务系统设置页面上将当前设置设置为覆盖,则必须先配置并保存 LDAP 设置,然后再为标识服务启用 Azure AD。

过程

  1. 在 Workspace ONE UEM 中,启用与 Azure AD 的集成,输入 Azure AD 租户 ID,然后检索 MDM 注册 URL 以输入到 Azure 中。
    1. 选择适当的组织组。
    2. 导航到组与设置 > 所有设置 > 系统 > 企业集成 > 目录服务
    3. 服务器选项卡上,启用 Azure AD 集成
    4. 在浏览器中的另一个选项卡中,使用您的 Microsoft 帐户或组织帐户登录到 Azure 管理门户,然后获取 Azure AD 租户 ID
      1. 选择 Azure Active Directory 以查看概览页面。
      2. 从 Azure AD 概览页面复制 Azure AD 租户 ID
    5. 转到 Workspace ONE UEM console 实例,然后将 Azure AD 租户 ID 粘贴到 Directory ID 文本框中。
    6. 继续在 Workspace ONE UEM 实例中启用将 Azure AD 作为标识服务
      记录 MDM 发现 URLMDM 使用条款 URL,因为必须在 Azure 中输入这些内容。如果使用多个浏览器选项卡或考虑将它们复制到 PC 上的某处,则可以在选项卡之间复制它们。
  2. 在 Azure AD 中,依次添加 Workspace ONE UEM 应用的内部部署版本和 MDM URL。
    1. 在 Azure 管理门户实例中,选择您的目录,然后导航到移动性 (MDM 和 MAM) 选项卡。
    2. 依次选择添加应用程序内部部署 MDM 应用。然后,选择添加
    3. 选择您刚刚添加的内部部署 MDM 应用,将 MDM 用户范围设置为所有部分
    4. 选择一组用户。
    5. 从 PC 或包含 Workspace ONE UEM 实例的浏览器选项卡中复制 MDM 使用条款 URL,然后将其粘贴到 Azure 中的 MDM 使用条款 URL 文本框中。
    6. 从 PC 或包含 Workspace ONE UEM console 实例的浏览器选项卡中复制 MDM 使用条款 URL,然后将其粘贴到 Azure 中的 MDM 发现 URL 文本框中。
    7. 保存您的设置。
  3. 在 Azure 管理门户中,添加 Workspace ONE UEM 设备服务 URL。
    1. 在 Workspace ONE UEM 实例中,转到组与设置 > 所有设置 > 系统 > 高级 > 站点 URL,然后复制设备服务 URL
    2. 在 Azure 管理门户实例中,选择内部部署 MDM 应用程序设置 > 公开 API
    3. 选择应用程序 ID URI编辑,然后在应用程序 ID URI 文本框中输入您的设备服务 URL。
    4. 保存设置。
      注意:如果执行了添加自定义域名的必备任务,则保存设置有效。如果出现错误,请检查是否已将自定义域添加到 Azure。
  4. 在 Workspace ONE UEM 中,输入 Azure AD 域,然后保存设置。
    1. 在 Azure 管理门户实例中,转到 Azure AD 概览页面,然后从 Azure AD 概览页面复制域。
    2. 在 Workspace ONE UEM console 实例中,将域字符串粘贴到租户名称文本框中。
    3. 在 Workspace ONE UEM 目录服务页面上保存设置。
  5. 在 Azure 中,分配高级许可证。
    1. 在 Microsoft Azure 控制台中,选择 Azure Active Directory > 许可证
    2. 选择所有产品,然后在列表中选择正确的许可证。
    3. 选择分配,选择许可证的用户或组,然后选择分配以完成该过程。

使用 Azure AD 注册设备

使用 Azure AD 集成注册设备可将设备自动注册到 Workspace ONE UEM Console 中的正确组织组中。通过 Azure AD 注册的设备可实现完全加入,意即设备上的所有用户都会加入该域。

此注册流程适用于尚未加入到 Azure AD 的设备。

过程

  1. 在 Windows 设备上导航到设置 > 帐户 > 访问工作单位或学校。选择继续
  2. 输入您的电子邮件地址。选择下一步
  3. 确保显示 Workspace ONE UEM 欢迎页面。选择继续
  4. 如果启用了使用条款,请选择接受
  5. 选择加入,确认您要在 Workspace ONE UEM 中进行注册。
  6. 选择完成以将您的设备加入到 Workspace ONE UEM。您的设备现在将下载适用的策略和配置文件。

向 Workspace ONE UEM 注册 Azure AD 受管设备

加入 Azure AD 的设备与通过 Azure AD 集成注册的设备使用不同注册流程。使用此注册流程将已加入 Azure AD 的设备注册到 Workspace ONE UEM。

必备条件

  • Windows OS 内部版本 14393.82 及以上。
  • KB 更新 KB3176934 已安装。
  • Azure AD 管理门户下未安装任何 MDM 应用程序。
  • 设备中配置的 Azure AD 帐户。

过程

  1. 在设备中,导航到设置 > 帐户 > 工作单位访问或学校,然后选择仅在设备管理中注册。您也可以通过适用于 Windows 的 Workspace ONE Intelligent Hub 进行注册。
  2. 完成注册流程。您必须使用与 Azure AD 帐户不同的域来输入电子邮件地址。
    1. 如果使用 Windows 自动发现,请参阅“通过使用 Windows 自动发现的工作单位访问进行注册”。
    2. 如果未使用 Windows 自动发现,请参阅“通过未使用 Windows 自动发现的工作单位访问进行注册”。

  3. 导航到设置 > 帐户 > 工作单位或学校访问,并确保已添加 Azure AD 帐户和 Workspace ONE UEM MDM 帐户。

    Azure AD 帐户和 Workspace ONE UEM 帐户

通过“全新体验”进行注册

开箱即用体验 (OOBE) 注册会在初次设置和配置 Windows 设备的过程中自动将设备注册到正确的组织组。

重要提示:OOBE 注册流程不支持企业擦除。如果您执行企业擦除,用户将无法登录到设备,因为与 Azure AD 的连接已断开。在发送企业擦除命令之前,您必须先创建一个本地管理员帐户,否则您将无法登录到设备,而只能选择重置设备。

注意:无法在 OOBE 期间跟踪自定义设置配置文件,并且在置备期间不会应用这些自定义配置文件。

必备条件

在最终用户设备上完成 OOBE 过程可能需要一些时间。请考虑为安装状态启用进度显示。此显示能让最终用户了解进度状况。要启用显示,请导航到组与设置 > 所有设置 > 常规 > 注册 > 可选提示。要在注册期间显示配置文件的状态,必须在常规配置文件设置中,启用在 OOBE 置备期间跟踪配置文件状态选项。

动画 GIF 展示了全新体验进度显示

过程

  1. 开启相应设备,并按照屏幕上的步骤配置 Windows,直到看到选择连接方式屏幕。

    选择连接屏幕的方式

  2. 选择加入 Azure AD。选择继续

  3. 输入您的 Azure AD/Workspace ONE UEM 电子邮件地址作为工作单位或学校帐户

    输入您的电子邮件地址

  4. 输入您的密码。选择登录

  5. 确保系统显示欢迎使用 AirWatch 屏幕。选择继续

    确保进入欢迎屏幕

  6. 选择设备所有权类型,然后输入资产编号(如果适用)。选择下一步

  7. 如果启用了使用条款,请选择接受
  8. 选择加入,确认您要在 Workspace ONE UEM 中进行注册。
  9. 选择完成以将您的设备加入到 Workspace ONE UEM。您的设备现在将下载适用的策略和配置文件。

通过 Office 365 应用进行注册

如果您所在组织使用 Office 365 及 Azure AD 集成,则最终用户可在首次打开 Office 365 应用时注册设备。

过程

  1. 首次打开 Office 365 应用程序时,选择添加工作账户
  2. 输入您的电子邮件地址密码。选择登录
  3. 确保显示 Workspace ONE UEM 欢迎页面。选择继续
  4. 如果启用了使用条款,请选择接受
  5. 选择加入,确认您要在 Workspace ONE UEM 中进行注册。
  6. 选择完成以将您的设备加入到 Workspace ONE UEM。您的设备现在将下载适用的策略和配置文件。

Windows 设备的批量置备和注册

通过批量置备,您可以创建一个预配置的包,用来对 Windows 设备进行注册预备,并将它们注册到 Workspace ONE UEM。了解如何使用批量置备通过标准用户帐户注册和配置多台设备。

该注册流程是为标准用户账户设备注册的唯一方式。运行预配包仍需要管理员权限。批量预置仅支持单个用户标准注册预备。

要使用批量预置,首先下载 Microsoft 评估和开发工具包,并安装映像和配置设计器 (ICD) 工具。ICD 将创建用来映像设备的预配包。您可以将 Workspace ONE UEM 配置设置包括在这些预配包内,使被预置的设备在初始全新体验 (OOBE) 期间自动注册到 Workspace ONE UEM。

要将这些设备自动映射到正确的最终用户,需在创建预配包之前按用户或使用批量导入来登记设备。

使用批量置备进行注册

使用 Microsoft 的“映像和配置设计器”工具,可以创建用来将多个 Windows 设备轻松快速地注册到 Workspace ONE UEM 的置备包。一旦安装预配包,设备即可自动注册到 Workspace ONE UEM。

过程

  1. 首先下载适用于 Windows 的 Microsoft 评估和部署工具包,并安装 Windows 映像和配置设计器工具 (ICD)。
  2. 启动 Windows ICD 并选择新建预配包
  3. 输入项目名称,然后选择要查看和配置的设置。典型的选择为通用于所有 Windows 桌面版本选项。
  4. (可选设置) 如果您要根据以前的软件包设置来创建新的预配包,则可导入一个预配包。
  5. 导航到运行时设置 > 工作区 > 注册
  6. 在 Workspace ONE UEM console 中,导航到组与设置 > 所有设置 > 设备与用户 > Windows > Windows 桌面 > 注册预备和置备。当您导航到该设置页面后,系统会创建一个注册预备用户并显示与创建的注册预备用户相关的 URL。您可以创建自己的注册预备用户,以便与批量预置配合使用,但此设置页面上显示的设置不适用于任何已创建的用户。
  7. 复制 UPN 并将其粘贴到 ICD 的 UPN 文本框。

  8. 选择可用自定义项窗口中注册旁的向下箭头。

    此时将显示“可用自定义项”窗口中的“注册”

  9. 配置以下设置:

    1. 选择 AuthPolicy,然后选择 Workspace ONE UEM console 中显示的值。
    2. 选择 DiscoveryServiceFullURL,然后复制 Workspace ONE UEM console 中显示的 URL。
    3. 选择 EnrollmentServiceFullURL,然后复制 Workspace ONE UEM console 中显示的 URL。
    4. 选择 PolicyServiceFullURL,然后复制 Workspace ONE UEM console 中显示的 URL。
    5. 选择 Secret,然后复制 Workspace ONE UEM console 中显示的值。
  10. 选择文件 > 保存,可保存项目。
  11. 选择导出 > 预配包,可创建一个与批量预置配合使用的软件包,然后选择下一步
  12. 如选择对软件包进行加密,则保存加密密码以供日后使用,然后选择下一步
  13. 将软件包保存到 USB 硬盘,以便传输到您要预置的每个设备中。您还可以通过电子邮件将该软件包发送到设备。
  14. 选择生成以创建软件包。

安装批量预配包

在使用 Microsoft 映像和配置设计器 (ICD) 工具创建预配包之后,必须将该预配包安装到最终用户的设备。

  1. 在要置备的设备上,导航到设置 > 帐户 > 工作单位访问,然后选择添加或移除用于工作单位或学校的软件包。如果已通过电子邮件发送程序包,则从您的邮件客户端启动该程序包。
  2. 选择添加程序包,然后再选取可移动媒体作为添加程序包的方法。

  3. 从提供的列表中选择正确的程序包。

    如果您已在置备之前将设备添加到 Workspace ONE UEM console 中的用户帐户,则会在注册完成后分配设备。

使用注册模式进行注册

默认情况下,通过 Workspace ONE Intelligent Hub 或 OOBE 注册的 Windows 设备由 MDM 管理。要允许 Windows 设备在没有 MDM 管理的情况下进行注册,您可以为整个组织组或使用智能组和特定条件启用注册模式(非受管)。

注册模式支持列出的注册方法。

  • 注册预备用户
    • 命令行注册预备
    • 手动设备注册预备
    • 静默注册参数和值
  • 使用 SAML 身份验证的适用于 Windows 的 Workspace ONE Intelligent Hub

按组织组或按智能组启用注册模式。使用智能组时,将按操作系统版本、平台、所有权类型或用户对设备进行注册模式分组。

通过注册模式注册,用户可以使用不具有 MDM 管理的一部分 Workspace ONE 服务,包括 Workspace ONE Assist、VMware Workspace ONE Tunnel、数字体验员工管理 (DEEM) 和 Workspace ONE Hub 服务。

过程

  1. 在 Workspace ONE UEM console 中,选择要启用注册模式注册的组织组,然后导航到设备 > 设备设置 > 设备与用户 > 常规 > 注册 > 管理模式页面。
  2. 对于当前设置,选择覆盖
  3. 对于 Windows,选择已启用
  4. 对于此组织组中的所有 Windows 设备,选择已启用
  5. 或者,您可以在 Windows 智能组中添加启用了注册模式注册的智能组。
  6. 保存您的设置。

结果

在配置的智能组或指定的组织组中具有 Windows 设备的用户可在没有 MDM 管理的情况下使用产品功能。控制台中的设备信息和管理功能受到限制。这些设备上只安装了相关的配置文件。

注册后载入设置

管理员已从基于映像的工作流转变为实时无线置备。在这些置备方案中,请务必告知用户其设备注册时发生的情况。适用于 Windows 的 Workspace ONE Intelligent Hub 会显示并通知在 Windows 注册过程中正在主动下载和安装的应用程序的状态。此功能还提供了一种在设置过程中自定义用户消息的方式。

注意事项

  • 默认情况下,在 Workspace ONE UEM 中管理的 Windows 设备上已启用注册后载入设置。
  • 该功能适用于 Workspace ONE UEM 2105 或更高版本。
  • 该功能适用于适用于 Windows 的 Workspace ONE Intelligent Hub 21.05 及更高版本。
  • 不需要通过适用于 Windows 的 Workspace ONE Intelligent Hub 进行注册,因为此功能适用于任何注册方法,包括 Web 注册。但是,您必须在设备上安装应用才能应用配置并显示体验。

Workspace ONE Intelligent Hub 的行为

  • 安装后,适用于 Windows 的 Workspace ONE Intelligent Hub 会检测注册并启动该体验。
    注意:该体验不适用于升级方案。它仅影响新注册。
  • 注册后,Workspace ONE Intelligent Hub 即会启动并显示您的自定义设置,并跟踪设置为自动部署的所有应用。

停用注册后载入体验

  1. 选择适当的组织组。
  2. 在 Workspace ONE UEM console 中,转到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册 > 可选提示 > Windows > 启用注册后载入体验
  3. 停用该设置。

自定义注册后载入体验消息

  1. 选择适当的组织组。
  2. 在 Workspace ONE UEM console 中,转到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册 > 可选提示 > Windows > 启用注册后载入体验
  3. 如果之前停用了此功能,请选择启用。该功能默认情况下启用。
  4. 启用注册后载入后,您可以使用文本和查找值自定义注册后载入体验消息的欢迎标题欢迎副标题以及正文文本字段。

Windows 注册状态

如果在设备 > 设备设置 > 设备与用户 > 常规 > 注册页面上查看注册设置,您会看到三个适用于 Windows 设备的常规注册方案。

  • 开放注册

    允许满足其他注册条件(身份验证模式、限制等)的任何设备进行注册。

  • 仅限登记设备

    允许用户使用您或他们已登记的设备进行注册。设备登记是在注册设备之前将企业设备添加到 Workspace ONE UEM console 的过程。此列表适用于无令牌登记的设备。

  • 需要登记令牌

    如果您将注册限制为仅限登记的设备,也可选择要求提供要用于注册的登记令牌。此选项通过确认特定用户有权进行注册来提高安全性。

设备类型

设备类型可指导 Workspace ONE UEM 系统如何跟踪和显示设备的注册状态。

  • 列入允许列表的设备 - Workspace ONE UEM 管理员添加了预批准注册的设备的列表。
  • 列入拒绝列表的设备 - Workspace ONE UEM 管理员添加了不允许注册的设备的列表。
  • 已登记的设备(无属性)- Workspace ONE UEM 管理员通过将设备信息添加到控制台来登记设备。如果管理员未输入设备属性,系统将使用设备信息,其中包括用户、平台、型号和所有权类型。
  • 已登记的设备(含属性)- Workspace ONE UEM 管理员通过将设备属性添加到控制台来登记设备。设备属性包括 UDID、IMEI 和序列号。

设备的注册生命周期

使用 Workspace ONE UEM 的设备注册具有三个常规阶段。

  1. (可选)管理员登记设备或用户在 Workspace ONE UEM 中自行登记其设备。

    登记有助于限制注册。

  2. 设备用户或管理员使用 Workspace ONE UEM 来注册设备。

  3. 设备用户或管理员使用 Workspace ONE UEM 来取消注册设备。

控制台显示设置状态

注册类型、设备类型和注册阶段在设备 > 生命周期 > 注册状态页面上指示为 Windows 设备显示的注册状态令牌状态

开放注册

类型 已登记的设备 - 注册状态 已登记的设备 - 令牌状态 已注册的设备 - 注册状态 已注册的设备 - 令牌状态 已取消注册的设备 - 注册状态 已取消注册的设备 - 令牌状态
列入允许列表的设备 已登记 合规 已注册 合规 已取消注册 合规
列入拒绝列表的设备 列入拒绝列表 不合规 不适用 不适用 不适用 不适用
不含属性的已登记设备 属性包括序列号、IMEI 和 UDID。 已登记 注册活跃 已注册 注册活跃 已登记 注册活跃
含属性的已登记设备 属性包括序列号、IMEI 和 UDID。 已登记 注册活跃 已注册 注册活跃 已登记 注册活跃

仅限已登记的设备(无令牌)

类型 已登记的设备 - 注册状态 已登记的设备 - 令牌状态 已注册的设备 - 注册状态 已注册的设备 - 令牌状态 已取消注册的设备 - 注册状态 已取消注册的设备 - 令牌状态
列入允许列表的设备 已登记 合规 已注册 合规 已取消注册 合规
列入拒绝列表的设备 列入拒绝列表 不合规 不适用 不适用 不适用 不适用
不含属性的已登记设备 属性包括序列号、IMEI 和 UDID。 已登记 注册活跃 已注册 注册活跃 已登记 注册活跃
含属性的已登记设备 属性包括序列号、IMEI 和 UDID。 已登记 注册活跃 已注册 已过期 已登记 注册活跃

需要登记令牌

类型 已登记的设备 - 注册状态 已登记的设备 - 令牌状态 已注册的设备 - 注册状态 已注册的设备 - 令牌状态 已取消注册的设备 - 注册状态 已取消注册的设备 - 令牌状态
不含属性的已登记设备 属性包括序列号、IMEI 和 UDID。 已登记 注册活跃 已注册 不适用 已取消注册 注册已过期
含属性的已登记设备 属性包括序列号、IMEI 和 UDID。 已登记 注册活跃 已注册 不适用 已取消注册 注册已过期 s
check-circle-line exclamation-circle-line close-line
Scroll to top icon