您可以为现有用户和组注册目录服务,如 Active Directory (AD)、Lotus Domino 和 Novell e-Directory。如果您还没有此类基础架构,或者选择不与它集成,则必须在 Workspace ONE UEM 中执行基本注册。

基本注册指的是为您组织的每个用户手动创建用户账户和用户组的过程。如果您的组织没有将 Workspace ONE UEM 与目录服务集成,您将利用基本注册来创建用户帐户。

如果您有几个基本帐户需要创建,请一次创建一个,如创建基本用户帐户中所述。

对于涉及较大最终用户数的基本注册,您可以通过填写和上传 CSV(逗号分隔值)模板文件来节省时间。这些文件包含您添加的通过批量导入功能引入 UEM 的全部用户信息。有关更多信息,请参阅主题批量导入用户或设备

**注意:**尽管 Workspace ONE UEM 支持混合使用基本注册用户和基于目录注册的用户,您在首次注册用户和设备时通常只会选择其一。

优点和缺点

优点 缺点
基本注册 - 可用于任何部署方法。

- 不需要技术集成。

- 不需要企业基础架构。

- 可以注册到潜在的多个组织组。
- 凭证仅存在于 Workspace ONE UEM 中,不一定与现有企业凭证相匹配。

- 不提供联合安全。

- 不支持单点登录。

- Workspace ONE UEM 存储所有用户名和密码。

- 不能用于 Workspace ONE 直接注册。
目录服务注册 - 最终用户可以使用现有企业凭证进行身份验证。

- 自动检测目录系统更改并将其同步到 Workspace ONE UEM。例如,当您在 AD 中停用用户时,Workspace ONE UEM console 中相应的用户帐户会被标记为非活动状态。

- 与您现有的目录服务集成的安全方法。

- 标准集成实践。

- 可用于 Workspace ONE 直接注册。

- 使用 AirWatch Cloud Connector 的 SaaS 部署不需要进行防火墙更改,也能为 Microsoft ADCS、SCEP 和 SMTP 服务器等其他基础架构提供安全配置。
- 需要现有的目录服务基础结构。

- 由于安装在防火墙后或 DMZ 中的 AirWatch Cloud Connector,SaaS 部署需要进行其他配置。

注册注意事项,基本与目录

考虑最终用户注册时,除了基本用户与目录用户的现有优缺点之外,还有其他需要考虑的问题。

注意事项 1:谁能注册?

在回答此问题时,请考虑以下事项。

  • 您的 MDM 部署意图是否为管理组织内处于您配置的基本 DN * 级别或以下的所有用户的设备?如果是,达成此安排的最简单方法是确保“限制注册”复选框已清除,从而允许所有用户进行注册。

    您可以在实施初始部署期间允许所有用户进行注册,之后再限制注册以防止未知用户进行注册。您的组织添加新的员工或成员到现有用户组时,这些更改会进行同步及合并。

  • 是否有特定的用户或组不会包含在 MDM 内?若有,您必须逐一添加用户或批量导入仅包含符合条件的用户的 CSV(逗号分隔值)文件。

  • 基本 DN(标识名)是服务器从其搜索用户的位置。标识名是唯一标识目录中的条目的名称。目录中的每个条目都有一个 DN。

注意事项 2:用户将被分配到何处?

在将 Workspace ONE UEM 环境与目录服务集成时还要思考一个问题,即在注册期间如何将目录用户分配到组织组中。在回答此问题时,请考虑以下事项。

  • 是否已创建了在逻辑上映射到您的目录服务组的组织组结构?您必须先完成此任务,然后才能编辑用户组分配。
  • 如果用户要注册自己的设备,则从列表中选择组 ID 的选项将非常简便。人为错误是此简单方法中存在的一个因素,可能导致不正确的组分配。

您可以根据用户组自动选择组 ID,或者允许用户从列表中选择组 ID。导航至设备 > 设备设置 > 设备与用户 > 常规 > 注册并选择分组标签页,即可使用这些组 ID 分配模式选项。

启用基于目录服务的注册

目录服务注册是指将 Workspace ONE UEM 与您组织的目录服务基础架构集成的过程。以这种方式集成您的目录服务意味着您可以自动导入用户,也可以选择导入用户组,如安全组和分发列表。

与 Active Directory (AD) 等目录服务集成时,您可以选择导入用户的方式。

  • 允许所有目录用户注册 – 您可以允许所有的目录服务用户进行注册。此外,您还可以设置您的环境以根据用户的电子邮件自动发现他们。然后,在他们执行注册时为其创建 Workspace ONE UEM 用户帐户。
  • 逐一添加用户 – 与目录服务集成后,您可以像创建基本 Workspace ONE UEM 用户帐户一样逐一添加用户。唯一的差别在于,您必须输入其用户名,再选择检查用户以从您的目录服务自动填充剩余的信息。
  • 批量上传 CSV 文件 – 通过此选项,您可以使用 CSV(逗号分隔值)模板文件导入目录服务账户列表。此文件包含具体的列,其中一些不可留空。
  • 与用户组集成(可选)– 通过此方法,您可以使用现有用户组成员资格来分配配置文件、应用以及合规策略等。

**注意:**有关如何将 Workspace ONE UEM 环境与目录服务(包括 SAML 提供程序集成)集成的信息,请参阅集成目录服务指南

目录服务集成与注册限制

在 Workspace ONE UEM 上配置目录服务集成后,目录服务帐户将从配置目录服务所使用的组织组 (OG) 继承注册设置。但是,基本帐户将遵循本地设置(包括覆盖设置)。

该图显示了父级和子级 OG 的简单组织组模型。

以上述组织组模型为例,假定在名为“客户”的 OG 中启用对从已配置组中移除的用户设备执行企业擦除选项。

如果是这种情况,尽管已在该 OG 中配置了注册限制覆盖,Sales01 子 OG 中离开已配置组的目录注册用户仍会看到他们的设备已被擦除。即使这些帐户中的设备是在其他 OG 中注册的,但由于注册设置是以用户为中心,而不是以设备为中心的,因此情况依然如此。

但是,在此相同场景中,属于 Sales01 OG 中离开了已配置组的基本注册用户的设备将不会被擦除。这是因为 Sales01 中的基本注册用户不属于集成了目录服务的 OG,故而能够识别并遵循注册限制覆盖。

父主题:设备注册

check-circle-line exclamation-circle-line close-line
Scroll to top icon