共享设备

Workspace ONE UEM中的共享设备/多用户设备功能可确保为每个独特的最终用户提供安全和身份验证。共享设备也可以仅允许特定的最终用户访问敏感信息。

在某些组织中，向每位员工发放设备可能会导致高昂的费用。Workspace ONE UEM 让您能够使用两种方式与最终用户一起共享一台移动设备：使用针对所有最终用户的单一固定配置，或者使用针对单独最终用户的独特配置设置。

在管理共享设备的时候，您必须在将其部署给最终用户之前，先使用适用的设置和限制对设备进行预置。部署完成后，Workspace ONE UEM 可利用一种针对共享设备的简单登录/注销程序，让最终用户只要输入他们的目录服务或专用凭证即可登录。最终用户的角色决定了其访问企业资源（例如内容、功能和应用程序）的级别。此角色可以确保用户登录后能够自动配置可用的功能和资源。

登录或注销功能是 VMware Workspace ONE Intelligent Hub 中的自带功能。自带功能可确保注册状态永远不受影响，并且无论设备是否正在使用，都在管理设备。

也可以在与 Apple 商务管理集成的 Apple iPad 上本地使用共享设备功能。此名为商用共享 iPad 功能利用用户的受管 Apple ID 进行登录，而不会在 VMware Workspace ONE Intelligent Hub 中进行登录和注销。要了解有关使用 Apple 商务管理配置商用共享 iPad 的更多信息以及实现此功能的步骤，请参阅 docs.vmware.com 上提供的 Apple 商务管理指南简介中的商用共享 iPad。

共享设备功能

围绕设备的功能性和安全性有一些跨多用户之间共享的基本功能。这些功能为共享设备作为一种经济高效的解决方案使企业移动化发挥其最大作用提供了具有说服力的原因。

功能性

在无失企业设置的情况下，对每一位最终用户的体验进行个性化处理。
通过登录设备，可采用企业访问权限以及特定的设置、应用程序和基于最终用户角色和组织组 (OG) 的内容对设备进行配置。
允许登录/注销流程，这是 VMware Workspace ONE Intelligent Hub 或 Workspace ONE Access 中的自带功能。
最终用户注销设备后，系统将擦除此会话的配置设置。然后，设备将可以由另一位最终用户进行登录。

安全性

在向最终用户提供设备前使用共享设备设置对设备进行预置。
在不影响 Workspace ONE UEM 注册的条件下，登录和注销设备。
在登录期间使用目录服务或专用的 Workspace ONE UEM 凭证对最终用户进行身份验证。
使用 Workspace ONE Access 对最终用户进行身份验证。
即使设备尚未登录，也能够对设备进行管理。

支持共享设备的平台

以下设备支持共享设备/多用户设备功能。

Android 4.3 或更高版本
使用 VMware Workspace ONE Intelligent Hub 4.2 或更高版本的 iOS 设备。
- 有关 iOS 共享设备的登录与注销的详细信息，请参阅 docs.vmware.com 上提供的《iOS 平台指南》中的主题 iOS 共享设备的登录与注销。
使用 VMware Workspace ONE Intelligent Hub 2.1 或更高版本的 MacOS 设备。

定义共享设备层次结构

虽然完全是可选的，但由于多租户和继承的设备设置，通过使组织组 (OG) 特定于共享设备可提供许多优势。

如果您的设备库中有大量共享设备，并且您希望除单个用户设备之外还管理这些设备，则可以创建特定于共享设备的 OG。可根据需要在 OG 结构中创建共享设备层次结构。智能组和用户组等功能意味着您不必严格依赖 OG 层次结构设计来简化设备管理。

但是，具有共享设备 OG（或嵌套 OG）后，您可以通过配置文件、策略和设备继承来标准化设备功能，而无需应对智能组或用户组所需的处理开销，从而简化了设备管理。

导航到组与设置 > 组 > 组织组 > 组织组详细信息。

在这里，可以看到代表您公司的 OG。
确保所显示的组织组详细信息准确无误，然后使用所提供的设置进行必要的修改。如果您作了更改，请选择保存。
选择添加子组织组。

为顶级 OG 下面的第一个 OG 输入以下信息。

设置	说明
名称	输入要显示的子组织组 (OG) 的名称。仅使用字母数字字符。请勿使用奇数个字符。
组 ID	输入组织组的识别符，供最终用户在设备登录期间使用。组 ID 用于在注册时将设备划归到相应的组织组。

确保共享设备的用户收到组 ID，因为根据“共享设备”配置，设备可能需要此 ID 才能登录。如果不在内部部署环境中，则组 ID 可用于在整个共享 SaaS 环境中标识您的组织组。因此，所有组 Id 的名称都必须是唯一的。

设置	说明
名称	输入要显示的子组织组 (OG) 的名称。仅使用字母数字字符。请勿使用奇数个字符。
GroupID	输入组织组的识别符，供最终用户在设备登录期间使用。在向相应的组织组注册组设备的过程中，将使用组 ID。确保共享设备的用户收到组 ID，因为根据“共享设备”配置，设备可能需要此 ID 才能登录。如果不在内部部署环境中，则组 ID 可用于在整个共享 SaaS 环境中识别您的组织组。因此，所有组 Id 的名称都必须是唯一的。
类型	选择预先配置的组织组类型，该类型要反映子组织组的类别。
国家/地区	选择组织组所在的国家/地区。
区域设置	选择所选国家/地区的语言分类。
客户行业	此设置仅在类型为“客户”时才可用。从“客户行业”列表中选择行业。
时区	选择组织组所在位置的时区。

通过以相同方式创建更多组群和子组来构建您所在企业的分级结构。

a. 如果您要配置固定组织组，则确保创建单个组织组供最终用户用于登录或注销。

b. 如果配置提示用户输入组织组，则确保已创建多个组织组供最终用户角色用于登录或注销。有关详细信息，请参见配置共享设备。
选择保存。

配置共享设备

与单用户设备注册预备一样，多用户注册预备（“共享设备”）允许 IT 管理员对旨在供多个用户使用的设备进行预置。

导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 共享设备。

选择覆盖，完成分组部分。

设置	说明
组分配模式	使用三种方式中的一种方式对设备进行配置：选择提示用户输入组织组以使最终用户登录时输入一个组织组的组 ID。使用这种方法之后，您就掌握了访问输入的组织组的设置、应用程序和内容的灵活性。使用这种方法，不会限制最终用户只能访问其注册到的组织组的设置、应用程序和内容。选择固定组织组，可限制受管设备只能访问适用于单个组织组的设置和内容。登录到设备的每个最终用户都可以访问相同的设置、应用程序和内容。例如，这种方法会让员工为核查库存等类似目的而使用共享设备的零售用例受益匪浅。选择用户组组织组以启用基于用户组和组织组跨层次结构的功能。最终用户登录到设备后，他们可以根据其在层次结构中所分配的角色访问特定的设置、应用程序和内容。例如，最终用户是“销售”用户组的成员，而该用户组被映射到“标准访问”组织组。在该最终用户登录设备时，会使用“标准访问”组织组可用的设置、应用程序和内容来配置设备。您可以在 UEM console 上将用户组映射到组织组。导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册。选择分组标签页，填写要求的详细信息。
始终提示接受“使用条款”	在最终用户登录设备前提示他们接受使用条款协议。

设置

说明

组分配模式

使用三种方式中的一种方式对设备进行配置：

选择提示用户输入组织组以使最终用户登录时输入一个组织组的组 ID。

使用这种方法之后，您就掌握了访问输入的组织组的设置、应用程序和内容的灵活性。使用这种方法，不会限制最终用户只能访问其注册到的组织组的设置、应用程序和内容。

选择固定组织组，可限制受管设备只能访问适用于单个组织组的设置和内容。

登录到设备的每个最终用户都可以访问相同的设置、应用程序和内容。例如，这种方法会让员工为核查库存等类似目的而使用共享设备的零售用例受益匪浅。

选择用户组组织组以启用基于用户组和组织组跨层次结构的功能。

最终用户登录到设备后，他们可以根据其在层次结构中所分配的角色访问特定的设置、应用程序和内容。例如，最终用户是“销售”用户组的成员，而该用户组被映射到“标准访问”组织组。在该最终用户登录设备时，会使用“标准访问”组织组可用的设置、应用程序和内容来配置设备。

您可以在 UEM console 上将用户组映射到组织组。导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册。选择分组标签页，填写要求的详细信息。

始终提示接受“使用条款”

在最终用户登录设备前提示他们接受 使用条款 协议。

视情况完成安全性部分。

设置	说明
需要共享设备密码	（仅限 iOS 设备）需要用户在自助门户中创建共享设备密码，以签出设备。此密码应与单点登录密码或设备级密码有所区别。
需要特殊字符	要求在共享设备密码中使用特殊字符，其中包括 @、%、& 等字符。
共享设备密码长度上限	设置共享密码的最低字符长度。
共享设备密码过期时间（天数）	设置共享密码过期的时间长度（天数）。
保留共享设备密码的时间下限（天数）	设置最短多少天后必须更改共享设备密码。
提示用户于过期前 X 天变更起共享设备的密码	（仅限 iOS 设备）设置在密码过期前提醒用户更改其共享设备密码的天数。为达到最佳效果，设置的值应小于到期时间与您可以使用共享设备密码的最短时间之间的时间差。
密码历史记录	设置系统记住的密码数，这可以防止用户重复使用旧密码，从而提供更安全的环境。
自动注销	配置在特定时间段后自动注销。
以下时间后自动注销	设置自动注销功能激活前必须经过的时间长度，以分钟、小时或天为单位。
iOS 单应用模式	选中此复选框可配置单应用模式，该模式会在最终用户登录设备时限制设备只能运行一个应用程序。若要在单应用模式中签出 iOS 设备，最终用户要使用他们的凭证登录。当设备再次签入时，它会返回至单应用模式。启用单应用模式也会停用设备上的 Home 键。注意：“单应用模式”仅适用于受监督的 iOS 设备。

配置注销设置（如果适用）。

设置	说明
清除 Android 应用数据	在用户注销共享设备（签入该设备）时清除应用数据。
重新安装 Android 应用	使用下拉菜单选择是始终在用户之间重新安装应用，还是从不在用户之间重新安装应用。对于 Android（旧版））部署，如果 Hub 无法清除用户之间的应用数据，您可以选择重新安装应用。
清除 Android 设备密码	此设置用来控制用户注销（签入）多用户共享设备时是否要清除当前 Android 设备密码。
启动时允许 PIN	激活或停用 Android 安全启动，其要求输入初始 PIN 来引导设备。如果停用，则用户无法在密码设置过程中启用安全启动。如果已在设备上停用安全启动，则必须进行出厂重置才能启用该设备。此功能仅适用于不具有基于文件的加密的 Android 设备。
清除 iOS 设备密码	此设置用来控制用户注销（签入）多用户共享设备时是否要清除当前 iOS 设备密码。

选择保存。

有关为单用户和多用户设备注册预备置备设备的特定信息，请参阅自行注册与设备注册预备中的主题单用户设备注册预备和多用户设备注册预备。

iOS 共享设备的登录与注销

您可以登录和注销跨多用户共享的 iOS 设备。

在设备上运行 VMware Workspace ONE Intelligent Hub。
输入最终用户凭据。

如果设备已登录到 VMware Workspace ONE Intelligent Hub，系统将提示用户输入 SSO 密码。如果设备未登录，系统将提示用户输入用户名和密码。分配给每位用户的配置文件将根据智能组和用户组关联进行推送。

注意：如果启用了提示用户输入组织组，则最终用户需要输入组 ID 才能登录设备。
选择登录，并接受使用条款。

注意：如果被提示输入密码，用户可以在自助服务门户里创建一个密码。这些密码会有失效期。当失效期临近时，VMware Workspace ONE Intelligent Hub 会提示用户更改设备的密码。如果用户没有在密码失效前更改密码，那么用户必须返回自助服务门户来创建一个新密码。

要注销 iOS 设备，请运行 VMware Workspace ONE Intelligent Hub 并选择底部的注销。