您组织部署中的每一台设备必须先注册到组织的环境中,然后才能使用移动设备管理 (MDM) 与 Workspace ONE UEM 通信并访问内部内容和功能。使用内置于本机操作系统中的 MDM 功能注册 iOS 设备。
要注册 iOS 设备,您或您的最终用户必须收集特定信息。用户所需的信息取决于您是否已将电子邮件域名关联到其环境,作为自动发现的一部分。
将电子邮件域名与您的环境关联需要最终用户输入一个电子邮件地址和凭证(有时可要求从列表中选择一个组 ID)以完成注册。这一选择可以简化注册流程,因为最终用户可能早已掌握此信息。
此外,如果您不为注册设置电子邮件域名,系统也会另外提示用户输入注册 URL 和组 ID,管理员必须为他们提供这些信息。
有关注册要求的更多信息,请参阅“iOS 设备注册要求”。
适用于注册设备的设备管理功能取决于所选的注册类型。Workspace ONE UEM 提供将基于 Hub 的注册类型和无 Agent 注册类型所支持的功能进行比较的矩阵。此矩阵可用于确定哪种注册类型满足您组织的需求。
有关基于 Hub 的注册和基于浏览器的注册之间的比较列表的详细信息,请参阅 iOS 设备基于注册类型的功能。
基于 Hub 的注册过程通过 VMware Workspace ONE Intelligent Hub 应用保护 iOS 设备与 Workspace ONE UEM 环境之间的连接。使用 VMware Workspace ONE Intelligent Hub 应用程序可以简化注册,然后进行实时管理和访问设备信息。对于用户具有可用 Apple ID 的部署,用户必须从 App Store 下载 VMware Workspace ONE Intelligent Hub,在这种情况下,基于 Hub 的注册最合适。
有关基于 Hub 的注册的更多信息,请参阅适用于 iOS 的应用中的“适用于 iOS 的 VMware Workspace ONE Intelligent Hub”和“向 VMware Workspace ONE Intelligent Hub 注册 iOS 设备”。
您也可以通过 iOS 设备的内置 Safari 浏览器使用基于 Web 的注册流程注册设备。对于用户没有可用 Apple ID 而无法下载 VMware Workspace ONE Intelligent Hub 的部署,此方法最合适。
有关基于浏览器的注册的更多信息,请参阅“使用 Safari 浏览器注册 iOS 设备”。
根据您的部署类型和设备所有权模式,您可能希望批量注册设备。Workspace ONE UEM 利用 Apple Configurator 2 和 Apple Business Manager 的设备注册计划 (DEP) 提供批量注册功能。
使用 Apple Configurator 2 批量注册
Workspace ONE UEM 可帮助企业利用 Apple Configurator 2 提供的特有设置功能,例如强制性 iOS 版本控制和彻底禁止备份等。您可以通过 USB 连接,在 macOS 计算机上使用 Apple Configurator 2 批量注册设备。
有关使用 Apple Configurator 批量注册的详细信息,请参阅使用 Apple Configurator 批量注册 iOS 设备。
根据 Apple 设备注册计划进行批量注册
根据 Apple 设备注册计划 (DEP) 部署批量注册使您可以在设备上安装不可删除的 MDM 配置文件,防止最终用户从其设备上删除配置文件。您可以在监督模式预置设备,以访问其他安全和配置设置。
有关使用 Apple 商务管理进行注册的详细信息,请参阅根据 Apple 商务管理的设备注册计划注册设备。
要注册 iOS 设备,您或您的最终用户所需的信息取决于您在自动发现过程中是否将电子邮件域名关联到他们的环境。如果电子邮件域名与其环境相关联,用户将需要:
电子邮件地址 - 与您所在组织相关联的电子邮件地址。例如:[email protected]。
二维码 - 用户可以扫描由 UEM Console 生成以及通过电子邮件收到的二维码。
Apple ID - 每个执行基于 Hub 的注册的用户都需要此 Apple ID。
如果电子邮件域名与您的环境没有建立关联:如果域名与环境没有关联,最终用户会被提示输入一个电子邮件地址。由于未启用自动发现,因此还会提示最终用户提供以下信息:
注册 URL - 即贵组织的注册环境所独有的 URL,可直接将用户定向到注册屏幕。例如,https://
组 ID - 此组 ID 将用户的设备与其企业角色相关联,可在 UEM console 中为给定的组织组定义此组 ID。指向组织组下拉菜单来查看当前组的组 ID。
Apple ID - 每个执行基于 Hub 的注册的用户都需要此 Apple ID。
功能 | 基于 Hub | 无 Agent |
---|---|---|
注册 | ||
需要 Apple ID | 必需 | 可选 |
强制接受最终用户许可协议/使用条款 | 是 | 是 |
Active Directory/LDAP/SAML 集成 | 是 | 是 |
双因素身份验证 | 是 | 是 |
BYOD 支持 | 是 | 是 |
支持设备注册预备 | 是⁰ | 是 |
品牌化 | 局部 | 是 |
配置配置文件管理 | ||
查看和管理配置文件 | 是 | 是 |
安全设置(数据加密、密码策略等) | 是 | 是 |
设备限制 | 是 | 是 |
证书管理 | 是 | 是 |
电子邮件和 Exchange ActiveSync 管理 | 是 | 是 |
设备信息 | ||
设备信息(型号、序列号、IMEI 编号等) | 是 | 是 |
GPS 跟踪 | 是 | 否 |
电话号码 | 是 | 是 |
内存信息 | 是 | 是 |
电池信息 | 是 | 是 |
UDID | 是 | 是 |
破解/越狱检测 | 是 | 是† |
激活锁状态 | 是 | 是 |
查找我的 iPhone状态 | 是 | 是 |
iCloud 备份状态 | 是 | 是 |
上次备份时间 | 是 | 是 |
网络信息 | ||
蜂窝信息(MCC/MNC、SIM 卡信息等) | 是 | 是 |
电信漫游信息 | 是 | 是 |
电信使用量信息 | 是 | 是† |
IP 地址 | 是 | 是† |
蓝牙 MAC 地址 | 是 | 是 |
Wi-Fi MAC 地址 | 是 | 是 |
管理命令 | ||
全设备擦除 | 是 | 是 |
企业擦除 | 是 | 是 |
锁定设备 | 是 | 是 |
清除密码 | 是 | 是 |
电子邮件消息传送 | 是 | 是 |
短信传递 | 是 | 是 |
APNs 推送消息 | 是 | 是† |
远程查看 | 是 | 否 |
设置设备名称 | 是 | 是 |
清除限制密码 | 是 | 是 |
应用程序管理 | ||
查看和管理应用程序 | 是 | 是 |
批量购买计划 (VPP) | 是 | 是 |
应用程序列表 | 是 | 是 |
应用更新的号码标记 | 是 | 是† |
内容管理 | ||
内容管理 | 是* | 是* |
⁰ 要求最终用户在首次同步时转移所购买的内容。
† 要求设备必须安装内嵌 Workspace ONE UEM SDK 的应用程序。
* 要求 VMware Content Locker 应用来自 iTunes。
基于 Hub 的注册流程可保护 iOS 设备与您的 Workspace ONE UEM 环境之间的连接。使用 VMware Workspace ONE Intelligent Hub 应用程序可以简化注册,然后进行实时管理和访问设备信息。
如果要充分利用 VMware Workspace ONE Intelligent Hub 功能,同时还允许使用 Web 注册过程,则可以允许用户通过 VMware Workspace ONE Intelligent Hub 进行注册。此设置可防止最终用户在未下载 VMware Workspace ONE Intelligent Hub 的情况下进行注册。
导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册 > 身份验证,然后选择要求 iOS 设备使用 Hub 注册。
要向 VMware Workspace ONE Intelligent Hub 注册 iOS 设备,请执行以下步骤:
从 Safari 浏览器导航到 getwsone.com。Workspace ONE UEM 会自动提示最终用户转到 App Store 并下载 VMware Workspace ONE Intelligent Hub 应用程序。按照下载提示操作。需要 Apple ID 才能从 iTunes Store 下载 VMware Workspace ONE Intelligent Hub。
选择 VMware Workspace ONE Intelligent Hub 应用程序,然后选择以下任一身份验证方法:
a. 电子邮件地址 - 如果已在您的环境中配置自动发现,则选择此项。此外,系统可能会提示您从下拉菜单中选择一个组。
b. 服务器详细信息 - 选择使用服务器 URL 进行注册。此服务器 URL 是您所在组织的 Workspace ONE UEM 实例的网络位置,以及与您的设备关联之组的组 ID。
c. 二维码 - 选择此项并使用设备扫描通过电子邮件或“支持”选项卡收到的二维码。
输入凭证,其中可能包含用户名和密码或令牌,或是两者的组合,来对设备进行身份验证。
a. 如果输入的凭证不正确,将显示验证码。输入显示的验证码以完成身份验证。
完成以下由管理员确定的处理流程。完成每一页后,选择下一步。
a. 选择您的设备所有权类型(如果适用)。
b. 接受贵组织的使用条款(如果适用)。
c. 输入设备资产编号(如果适用)。
查看隐私收集信息后,选择下一步。
重定向到 Safari Web 视图后,系统会提示您下载 MDM 配置文件。将显示以下消息:
本网站正在尝试下载配置文件。是否允许此操作?
点击允许,并在下载完成后,点击关闭。
a. 对于 iOS 12.2 及更高版本的设备,点击继续并打开 Hub,按照屏幕上的说明安装 MDM 配置文件,然后选择安装以接受 MDM 警告消息。
b. 对于 iOS 12.2 以下版本的设备,请在出现提示时安装 MDM 配置文件,然后选择安装以接受 MDM 警告消息。
选择允许以下载 MDM 配置文件。
安装 MDM 配置文件。接受任意信任提示(如果适用)。
安装 MDM 配置文件后,导航回 Hub。
选择完成以完成注册。此时会显示一条成功消息。注册到 Workspace ONE UEM 的过程现已完成。
a. 如果出现提示,请设置密码或输入共享设备的更多凭证。要设置密码,请登录到自助服务门户并按说明进行操作。
b.(可选)选择打开以查看 VMware Workspace ONE Intelligent Hub 详细信息。
您可以通过 iOS 设备的内置 Safari 浏览器使用基于 Web 的注册流程注册设备。对于用户没有可用 Apple ID 而无法下载 VMware Workspace ONE Intelligent Hub 的部署,此方法最合适。
要使用基于 Web 的注册流程注册 iOS 设备,请执行以下步骤:
在 iOS 设备上打开 Safari 浏览器。
导航到 https://<Environment_URL>.com/enroll。
选择组 ID 或您的电子邮件地址(如果已为环境设置了自动发现)以注册 iOS 设备。选择下一步。
输入凭证,其中可能包含用户名和密码或令牌,或是两者的组合,来对设备进行身份验证。
a. 如果输入的凭证不正确,将显示验证码。输入显示的验证码以完成身份验证。
完成以下由管理员确定的处理流程。完成每一页后,选择下一步。
a. 选择您的设备所有权类型(如果适用)。
b. 输入设备资产编号(如果适用)。
c. 接受贵组织的使用条款(如果适用)。
出现提示时,下载 MDM 配置文件。将显示以下消息:
本网站正在尝试下载配置文件。是否允许?
点击允许,并在下载完成后,点击关闭。
您已成功安装配置文件。您可以在设置中查看配置文件,然后继续安装。
下载并安装 MDM 配置文件。接受任意信任提示(如果适用)。
您可以在 macOS 计算机上使用 Apple Configurator 批量注册设备,以配置和部署 iOS 设备。通过将 Apple Configurator 与 Workspace ONE UEM 结合使用,在首次配置之后您仍可以受益于持续的设备管理可见性、完整备份防护和持续生命周期管理。
通过 Apple Configurator,您可以执行以下任务:
有关将 Apple Configurator 与 Workspace ONE UEM 结合使用的步骤或更多信息,请参考《VMware Workspace ONE UEM 与 Apple Configurator 集成》文档。
设备注册计划 (DEP) 可最大限度地提高在移动设备管理 (MDM) 中注册的 Apple 设备的优势。
借助 DEP,您可以执行以下操作:
有关详细信息,请参阅以下主题:
用户注册是适用于 iOS 13 及更高版本设备的新注册方法,让您能够在保护用户隐私和个人数据的同时有效管理设置、应用程序和企业数据。通过用户注册,您可以安装应用程序、配置配置文件,并仅向设备上的受管用户容器(而不是整台设备)发出命令。
用户注册是通过 MDM 在注册期间在设备上安装的 MDM 配置文件中提供称为受管 Apple ID 的用户上下文来实现的。用户上下文指示设备提示用户输入其受管 Apple ID 凭证以安装 MDM 配置文件。注册后,将为受管数据创建特定的 Apple 文件系统 (APFS) 卷。无法从受管卷访问个人卷中的数据,这是为了保持用户数据的私密性。
由于创建了新的受管数据卷,一些现有管理功能无法用于保护隐私的目的。例如,如果用户从 App Store 手动安装了任何应用,则该应用将被视为个人应用,无法由 MDM 管理。必须先卸载此类用户安装的应用,然后由 Workspace ONE UEM 重新安装才能进行管理。
因此,Workspace ONE 不允许使用 Intelligent Hub 应用进行用户注册。如果用户已安装 Intelligent Hub,请通过 MDM 卸载并重新安装 Hub,以便其他支持 Workspace ONE SDK 的应用可以访问应用的数据。
用户注册设置
通过访问 Workspace ONE UEM console 上的注册设置页面(组与设置 > 所有设置 > 设备与用户 > 常规 > 注册),为 iOS 设备启用“用户注册”选项。启用该选项后,支持的 iOS 13 及更高版本的设备可使用 Apple 的用户注册方法向组织组注册。用户注册使用用户的受管 Apple ID(而不是注册用户名)来指明设备正在注册的用户。受管 Apple ID 应对应于 Workspace ONE UEM 中的用户电子邮件地址。
在与 Azure AD 联合的 Apple Business Manager 中,使用受管 Apple ID 注册 iOS 13 及更高版本的设备。用户注册设备提供增强的隐私保护功能,可将受管数据与个人数据隔离开来,同时仍提供安装应用、配置 Wi-Fi 和要求密码等核心管理功能。
在执行用户注册之前,请确保您满足以下先决条件:
要注册 iOS 设备,请执行以下操作:
在 iOS 13 或更高版本的设备上打开 Safari 浏览器,然后导航到您的环境的用户注册 URL。URL 是附带 /enroll/user
路径的设备服务主机名。
例如:
完整 URL/注册/用户/
输入注册用户的与受管 Apple ID 匹配的电子邮件地址。
(可选)输入注册用户的组织组中或下方某个组织组的组 ID。否则,将使用用户的注册组织组。
确认下载用户注册 MDM 配置文件。
导航到应用中的设置,然后点击在 {Your Company} 中注册。
点击提示以重定向到 Azure AD 进行身份验证和条件访问提示。
Azure AD 配置、用户类型、设备或组织决定提示的类型和数量。
用户注册现已完成。设备将开始从 UEM console 接收命令。
使用受管 Apple ID 注册 iOS 15 及更高版本的设备。您可以使用 iOS 设备中的设置直接登录。
在执行用户注册之前,请确保您满足以下先决条件:
要注册 iOS 设备,请执行以下操作:
打开设置 > 常规 > VPN 和设备管理 > 登录到工作或学校帐户。
输入注册用户的电子邮件地址(与其受管 Apple ID 对应),然后点击继续。
注意:用户注册当前不支持共享 iPad 的自定义受管 Apple ID 功能。
请继续完成任何身份验证屏幕或提示。此步骤因您组织的 Apple 商务管理设置而异。
点击允许远程管理并等待在 iOS 设备上安装 MDM 配置文件。
用户注册现已完成。
由 Workspace ONE UEM 在用户注册设备上安装的应用程序可进行管理,并且与用于注册设备的受管 Apple ID 相关联。用户通过 App Store 安装的任何应用程序都与用户的个人 Apple ID 相关联,并且无法进行管理。
由于用户注册必须将受管应用程序与受管 Apple ID 相关联,因此仅支持通过在 Apple 商务管理中购买的基于用户的许可证实施管理式分发。例如,在用户注册设备上不支持通过 UEM console 上的资源 > 应用页面下的公共选项卡分配的应用程序。用户注册与设备注册相比,在管理基于用户的许可证方面没有差异。将应用程序分配给用户注册设备后,系统会将 VPP 许可证分配给与设备关联的受管 Apple ID,并安装应用。
有关更多信息,请参阅与 Apple 商务管理集成指南中的按 Apple ID 实施管理式分发。