通过 Workspace ONE Intelligence 中的自动化,您可以在 Workspace ONE 部署中自动执行操作。要使用自动化,请确保满足所需的要求。通过配置与 API 的通信、注册第三方服务和配置工作流来设置自动化。查看可自动化的可用 Workspace ONE UEM 操作列表,并查看如何将 Workspace ONE UEM 组件添加到工作流。最后,使用自定义连接器,以便自动执行内部服务。

Workspace ONE Intelligence 中的自动化功能使用大量参数触发工作流。您可以自定义该工作流以应用于 Workspace ONE 环境中的特有方案。自动化这项功能虽然很强大,但并未计划取代合规策略。

自动化功能使用工作流。工作流是由状态更改或趋势引发的触发器组成的,触发器通过 Workspace ONE 或集成的第三方服务引发引擎采用设定的操作。您可以创建自己的工作流,也可以使用预设的工作流模板。

工作流用于监控入站和现有数据。它们将针对在保存后立即反映其配置的触发器的状态起作用。然后,工作流会监控状态更改数据并按配置进行操作。在工作流中配置触发器,以识别表示所要修复内容的触发器。

自动化包含许多操作,可帮助解决合规性相关的问题,但合规引擎仍有重要用途。

  • 自动化 - 其决策引擎通过设备和应用程序对触发器起作用,以跨数字工作区环境自动执行操作。您可以将决策引擎扩展到第三方服务。使用自动化功能定义设备类别场景(如电池百分比和所有权)的工作流,并在 Workspace ONE 部署中安装应用程序和其他资源。您也可以在包含 Workspace ONE 部署的各个层面的场景中使用。使用它安装或移除应用程序和配置文件以确保安全,通知感兴趣的团队关注工作流,并将这些功能扩展到第三方解决方案。
  • 合规性 - 其引擎将针对在设备再次合规后用户可以返回资源的闭环工作流起作用。合规性用于关注修复和设备状态的方案。使用该选项可强制设备遵守制定的安全策略。移除资源,直到设备遵守使其返回工作状态的已设定的合规规则为止。

FedRAMP 注意事项

NIST 特别出版物 800-47 版本 1:管理信息交换安全将系统互连定义为直接连接两个或多个 IT 系统,用于共享数据和其他信息资源。

连接 IT 系统是客户配置的一项功能。在 Workspace ONE Intelligence 中连接 IT 系统之前,请与您的授权人员讨论连接非 FedRAMP 认可的信息系统的风险。AWS GovCloud 上的 Workspace ONE 以及 Workspace ONE Intelligence 是经过 FedRAMP 认证的中等信息系统。在将信息系统连接到具有不同安全要求和控制的其他系统时,请仔细考虑风险。

请联系联邦支持热线 (877-869-2730 选项 2),或者使用 My Workspace ONE 提交支持请求以获取更多详细信息,并启用客户控制的第三方与其他系统的连接。

要在 Workspace ONE Intelligence 环境中使用自动化功能,请安装报告服务并连接到 Workspace ONE UEM API 服务器。

报告

Workspace ONE Intelligence 使用报告数据仓库中的数据来显示 Workspace ONE 部署中的分析。报告在 Workspace ONE UEM console 中可用。

安装 Workspace ONE Intelligence Connector 服务

使用 Workspace ONE Intelligence 功能之前,必须先将 Workspace ONE Intelligence Connector 服务(又称 ETL 安装程序)安装到 Workspace ONE UEM 环境中的一台独立服务器上。

每个功能都使用从 Workspace ONE Intelligence Connector 安装程序安装的 Workspace ONE Intelligence Connector 服务。Workspace ONE Intelligence Connector 服务从您的 Workspace ONE UEM Console 服务器收集数据,并将其推送到报告云服务。

  • 共享 SaaS - 无需安装。此部署有权访问报告。无需执行任何操作。
  • 专用 SaaS - 请联系支持代表或 SAM 以设置报告和 Workspace ONE Intelligence。
  • 内部部署 - 必须安装 Workspace ONE Intelligence Connector,才能在报告基础架构和仪表板之间进行通信。对于将 Workspace ONE UEM 服务器置于防火墙后面的内部部署,您可以使用自动化和 API 功能。但是,这些部署必须使用 Unified Access Gateway,并将其设置为反向代理。有关详细信息,请访问使用 VMware Workspace ONE UEM API 配置反向代理

  • 具有报告权限的现有管理员角色有权访问 Workspace ONE Intelligence 角色。
  • 对于新的管理员角色,请包括 Workspace ONE Intelligence 的权限,以便管理员可以访问设置。

连接到 API 服务器并使用 API 进行通信的要求

使用 OAuth 2.0(如果可用)进行 API 通信。如果您的 Workspace ONE UEM 环境不支持 OAuth 2.0,请跳至“基本身份验证”部分

OAuth 2.0 设置

基本身份验证

  • 为使用自动化功能这一特定目的创建 AirWatch 管理员帐户。要使用 API,请授予管理员帐户相应权限。
  • 将管理员帐户配置为使用基本身份验证进行 API 通信,因为目录帐户无法正常工作。在添加编辑管理员区域中的 API 选项卡上查找 API 身份验证项目。
  • 配置自动化连接。

开始使用自动化

要使用自动化,请设置与 API 的通信,注册用于修复的第三方服务,并配置工作流以执行修复操作。

如果不执行上述步骤,自动化工作流将不起作用。

必备条件

对于将 Workspace ONE UEM 服务器置于防火墙后面的内部部署,您可以使用自动化和 API 功能。但是,这些部署必须使用 VMware Unified Access Gateway (UAG),并将其设置为反向代理。

  1. 从 UEM 检索所需的凭据详细信息 1.
    • 确保在组织组创建用于启动 Workspace ONE Intelligence 的 OAuth 客户端,并提供足够的角色来防止出现 API 访问问题。 2.
  2. 通过输入从 Workspace ONE UEM 到 Workspace ONE Intelligence 的身份验证详细信息,向 Workspace ONE Intelligence 注册 Workspace ONE UEM。
    1. 在 Workspace ONE Intelligence 中,转到集成 > 工作流连接器
    2. Workspace ONE UEM 选择设置
    3. 选择提供凭据并配置设置。
      • 基本 URL:输入您的 Workspace ONE UEM console URL,并将协议 (https://) 包含到输入中。您可以在浏览器中找到此 URL,并打开 Workspace ONE UEM console 的实例。它通常以 .com 结尾。例如,当浏览器指向控制台时,如果在浏览器中看到列出的 URL example.company.com/AirWatch/Login,则输入 https://example.company.com/ 作为基本 URL。如果您有单独的 API 服务器,则可以在 Workspace ONE UEM 的组与设置 > 所有设置 > 系统 > 高级 > 站点 URL > REST API URL 中查找 API URL。 添加后面没有 /API 的基本 URL。
      • 身份验证类型:选择 OAuth2 身份验证
      • 客户端 ID:输入从 OAuth 客户端设置过程中检索到的客户端 ID。
      • 客户端身份验证位置:选择在正文中发送客户端凭据
      • 授予类型:选择客户端凭据
      • OAuth2 令牌 URL:输入从将 UEM 功能与 REST API 结合使用一文中定义的受支持区域中获得的令牌 URL。
      • 客户端密钥:输入从 OAuth 客户端设置过程中检索到的客户端密钥。
      • 范围:您可以将此菜单项留空。
      • Workspace ONE UEM API 密钥:输入启用 REST API 通信时 Workspace ONE UEM console 生成的 API 密钥。在 Workspace ONE UEM 的组与设置 > 所有设置 > 系统 > 高级 > API > REST API 下查找此密钥。
  3. 向 Workspace ONE Intelligence 注册第三方服务。
  4. 配置用于修复和报告的工作流。

  1. 在 Workspace ONE UEM console 中,创建并使用具有 API 权限的特定于自动化的 Workspace ONE UEM 管理员帐户。
  2. 在 Workspace ONE UEM 中生成 API 密钥,以便 Workspace ONE Intelligence 可以使用它来连接到任何第三方服务。
    1. 在 Workspace ONE UEM 中,选择要连接到第三方服务的组织组。
    2. 在 Workspace ONE UEM console 中,转到组与设置 > 所有设置 > 系统 > 高级 > API > REST API
    3. 常规选项卡上配置设置。
      • 启用 API 访问:允许您为服务生成 API 密钥。
      • 添加:选择添加以生成 API 密钥。记录此值,并在 Intelligence 环境中输入该值用作 Workspace ONE UEM API 密钥
      • 服务:输入服务的描述性名称,例如“自动化”。
      • 帐户类型:选择管理员
    4. 身份验证选项卡上配置设置。
      • 基本:如果要为不在目录中的管理员使用凭据,请选择基本身份验证。
      • 证书:不适用。
      • 目录:如果要为目录中的管理员使用凭据,请选择目录身份验证。
  3. 通过输入用于从 Workspace ONE UEM 访问 Workspace ONE Intelligence 的 API 密钥和身份验证凭据,向 Intelligence 注册 Workspace ONE UEM。
    1. 在 Workspace ONE Intelligence 中,转到集成 > 工作流连接器
    2. Workspace ONE UEM 选择设置
    3. 选择提供凭据并配置设置。
      • 基本 URL:输入您的 Workspace ONE UEM console URL,并将协议 (https://) 包含到输入中。您可以在浏览器中找到此 URL,并打开 Workspace ONE UEM console 的实例。它通常以 .com 结尾。例如,当浏览器指向控制台时,如果在浏览器中看到列出的 URL example.company.com/AirWatch/Login,则输入 https://example.company.com/ 作为基本 URL
      • 身份验证类型:选择基本身份验证
      • 用户名:输入为实现自动化而创建的特定管理员的用户名。
      • 密码: 输入管理员的密码。
      • Workspace ONE UEM API 密钥:输入启用 REST API 通信时 Workspace ONE UEM console 生成的 API 密钥。在 Workspace ONE UEM 的组与设置 > 所有设置 > 系统 > 高级 > API > REST API 下查找此密钥。
  4. 向 Workspace ONE Intelligence 注册第三方服务。
  5. 配置用于修复和报告的工作流。

在工作流中配置筛选器以识别所需的状态更改,并配置操作以修复筛选的状态更改。筛选器用于确定是否发生了某些情况 (IF)(状态更改)。当系统识别到发生了某些情况 (IF) 时,(THEN) 随后会执行操作以修复或报告更改。

使用模板或使用此任务创建您自己的工作流。

过程

  1. 在 Workspace ONE Intelligence 控制台中,转到自动化 > 添加自动化
  2. 选择一个类别,然后选择“入门”以便为该类别创建您自己的工作流。
  3. 在“添加自动化”过程中,配置设置。
    1. 名称 - 输入自动化的名称。
    2. 触发条件 (When) - 支持基于类别。
      • 自动 - 当入站事件与筛选器匹配时自动执行工作流。这还支持选择此触发器是在保存时对现有数据执行还是仅对新入站数据执行。支持所有集成类型。
      • 调度 - 定义筛选结果的执行时间。支持具有快照数据的数据类别 (例如 Workspace ONE UEM)。
      • 手动 - 按需执行工作流(适用于一次性操作)。支持具有快照数据的数据类别 (例如 Workspace ONE UEM)。
      • 注意 - 使用手动计划触发器类型时,“自动化概览”页面上将显示运行按钮,以允许根据需要手动执行。请注意,由于限制,对于同一工作流,此操作不能每小时执行多次
    3. 筛选器 (If) - 创建一个 If 语句,以优化引擎用于监控状态更改的触发器。
    4. 操作 (Then) - 创建一个当自动化引擎识别到 If 或触发器时执行的 Then 语句。操作 (Then) 的选项包括列出的服务。您可以选择其中一项服务或所有服务,并根据需要创建任意数量的操作。
      • Workspace ONE UEM:选择要让 Workspace ONE UEM 执行的操作。
      • Slack 收件人:确定消息是发送到频道还是用户。如果不输入任何内容,则会将消息发送到默认通道。对于频道,请输入以 # 开头的频道名称(例如 #channel)。您可以向公共频道和专用频道发送消息。对于用户,请输入以 @ 开头的 Slack 用户名(例如 @user)来发送直接消息。
      • Slack 发件人:输入发布此自动 Slack 消息时所使用的名称。如果不输入任何内容,则消息发自 Slack 的默认发件人。
      • Slack 消息:输入消息。此文本框支持动态值。
      • Slack 头像图标:输入 Slack 表情符号代码以将 Slack 图标添加到此自动消息,或输入 URL 以添加来自互联网的图像。如果不输入任何内容,系统将使用默认 Slack 图标。
      • ServiceNow:配置创建事件创建票证的菜单项。对于任一操作,请输入您的 ServiceNow 实例中存在的姓氏和名字的调用方 ID 条目。如果添加不存在的名称,则该文本框将留空。
  4. 如果您使用第三方服务执行操作,请授权它们执行操作。
    1. 选择授权以允许服务执行操作。
    2. 选择连接权限并查看这些权限。
    3. 选择提供凭据
      • Slack 入站 Webhook URL:输入在 Slack 中配置的 Webhook。
      • ServiceNow 基本 URL:输入 https://instance.service-now.com
      • ServiceNow API 用户名:输入在 ServiceNow 中配置的用户名。
      • ServiceNow API 用户密码:输入用户名的密码。

保存设置后,该工作流会立即扫描数据,并对与配置的标准相匹配的筛选器起作用。然后,它继续监控标准的数据,并继续执行相应的操作。

要确定在 Workspace ONE Intelligence 自动化工作流中使用哪些 Workspace ONE UEM 操作,请查看操作说明。

必须先在 Workspace ONE UEM 中使用列出的设置和配置来配置配置文件和应用程序自动化操作,然后才能使用它们。

  • 在配置文件的常规负载中为配置文件配置分配类型(可选或自动)。
  • 您必须配置分配并将其添加到应用程序中。
  • 您必须在 Workspace ONE UEM 中将配置文件和应用程序部署到智能组中的设备。到智能组的此部署是应用程序和配置文件的分配过程的一部分。

如果在配置自动化之前未分配并部署应用程序和配置文件,则没有任何数据可供 Workspace ONE Intelligence 提取,并且系统无法运行适用的自动化。

操作 说明
向设备添加标记 在 Workspace ONE UEM console 中将标记添加到选定的设备。
批准修补程序 批准安装单独的 Windows 修补程序。输入修补程序的标题或知识库编号。

您可以输入修补程序的修订版本 ID。
更改设备组织组 将已注册的设备移至另一个组织组。

考虑在设备从其原始组移动到新组后,设备丢失和获得的资源分配。
更改所有权类型 将设备所有权更新为企业专用、企业共享或员工所有。
清除密码 移除设备的密码要求,以便用户在没有密码的情况下可以进行身份验证。在您自动执行此操作后,任何人都可以使用此设备。
数据漫游
删除设备 从 Workspace ONE UEM 中删除设备记录。
企业擦除设备 从已注册的设备中移除管理和企业设置。
安装内部应用 在设备上安装在 Workspace ONE UEM 中上载和管理的内部应用。
安装配置文件 将 Workspace ONE UEM 配置文件安装到设备上。
安装公共应用程序 在设备上安装在 Workspace ONE UEM 中上载和管理的公共应用程序。
安装已购买的应用程序 在设备上安装在 Workspace ONE UEM 中上载和管理的已购买的应用程序。
锁定设备 强制设备返回到其锁定屏幕。
个人热点
查询设备 向设备请求更新的数据。
移除内部应用 从设备上移除在 Workspace ONE UEM 中上载和管理的内部应用。
移除配置文件 从设备上移除 Workspace ONE UEM 配置文件。
移除公共应用程序 从设备上移除在 Workspace ONE UEM 中上载和管理的公共应用程序。
移除已购买的应用程序 从设备上移除在 Workspace ONE UEM 中上载和管理的公共应用程序。
从设备上移除标记 在 Workspace ONE UEM console 中从选定的设备移除标记。
重新处理产品 通过策略引擎启动产品置备产品作业重新处理。支持重新处理并强制重新处理。
安排 OS 更新计划 调度操作系统更新,并强制受监督并使用 10.3 或更高版本(取决于配置)的 iOS 设备更新到最新的操作系统版本。

仅下载 - 将操作配置为仅下载更新,使其可用于安装。

立即安装 - 安装下载的操作系统更新。此操作仅适用于将操作系统更新下载到设备的情况。
发送电子邮件 通过在 Workspace ONE UEM 环境中配置的 SMTP 服务器向用户发送电子邮件。
发送推送通知 将推送通知发送到受管应用程序,即 Workspace ONE Intelligent Hub 或 VMware Content Locker。
发送短信 通过在 Workspace ONE UEM 环境中配置的 SMS 网关向设备发送通知。
停止 AirPlay 停止 iOS 设备上的 AirPlay 会话。
同步设备 评估当前安装在设备上的应用程序,并将该状态与在 Workspace ONE UEM console 中配置的所需应用程序进行比较。

该操作将对设备中缺少的任何所需应用程序提示安装命令。
语音漫游 激活或停用在 iOS 设备上使用语音漫游设置的功能。

如何将 Workspace ONE UEM 组件添加到工作流?

在 Workspace ONE Intelligence 中配置工作流以在 Workspace ONE UEM 中执行操作时,您可以通过两种方式添加 Workspace ONE UEM 组件。您可以对其进行搜索,也可以输入其 ID 号。

为自动化工作流配置操作时,您可以在 Workspace ONE Intelligence UI 中搜索 Workspace ONE UEM 组件。例如,如果为工作流配置 Workspace ONE UEM 操作向设备添加标记,则可以选择搜索现有值菜单项,然后搜索您希望工作流添加到设备的标记名称

为自动化工作流配置操作时,可以输入 Workspace ONE UEM 组件的 ID 号。例如,如果为工作流配置 Workspace ONE UEM 操作向设备添加标记,请选择输入自定义值菜单项,然后输入您希望工作流添加到设备之标记的标记 ID

使用 Tag ID 字段在 Workspace ONE Intelligence 工作流中输入 Workspace ONE UEM 组件的 ID。

您可以使用列出的步骤查找组织组、配置文件、应用程序和标记的 ID 号。

注意:这些过程使用 Google Chrome 浏览器。具体步骤因用于访问 Workspace ONE UEM console 的浏览器而异。

您需要知道要在 Workspace ONE UEM console 中将设备移动到的组织组的 ID 号。您可以使用 ID 号在 Workspace ONE Intelligence 工作流中配置更改设备组织组操作。

  1. 在 Workspace ONE UEM console 中,选择适用的组织组。
  2. 转到组与设置 > 组 > 组织组 > 详细信息
  3. 在浏览器中查找 URL 字符串末尾的 ID 号。字符串示例如下:https://<Workspace_ONE_UEM>/AirWatch/#/AirWatch/OrganizationGroup/Details/Index/859。字符串末尾的 859 就是组织组 ID。

您需要标记的 ID 号,才能在 Workspace ONE UEM console 中为工作流配置与配置文件相关的操作。

  1. 在 Workspace ONE UEM console 中,选择适用的组织组。
  2. 转到设备 > 配置文件与资源 > 配置文件
  3. 指向配置文件列表视图中的适用配置文件,以在浏览器的左下方显示项目的 URL。
  4. 查找位于字符串中间的 ID 号。字符串示例如下:https://<Workspace_ONE_UEM>/AirWatch/Profiles/DeviceProfileEdit/85?isReadOnlyProfileView=x。字符串中间的 85 就是配置文件 ID。

应用程序的 ID 号是 Workspace ONE UEM 系统分配给应用程序的编号。它不同于应用程序 ID。

  1. 在 Workspace ONE UEM console 中,选择适用的组织组。
  2. 转到应用与图书 > 应用程序 > 本机 > 已购
  3. 指向列表视图中的应用程序,以在浏览器的左下方显示项目的 URL。
  4. 在字符串的末尾找到 ID 号。https://<Workspace_ONE_UEM>/AirWatch/Orders/EditAssignment?AppLicensePollId=0&VppLicenseCountId=2448&ApplicationId=9193。字符串末尾的 9193 就是应用程序的 ID。

在 Workspace ONE UEM console 中,您需要标记的 ID 号,才能为工作流配置与标记相关的操作。

  1. 在 Workspace ONE UEM console 中,选择适用的组织组。
  2. 转到组与设置 > 所有设置 > 设备与用户 > 高级 > 标记
  3. 指向标记列表视图中适用的配置文件标记,以在浏览器的左下方显示项目的 URL。
  4. 在字符串的末尾找到 ID 号。https://<Workspace_ONE_UEM>/AirWatch/Tags/Actions/View/10028。字符串末尾的 10028 就是标记 ID。

应用程序的 ID 号是 Workspace ONE UEM 系统分配给应用程序的编号。它不同于应用程序 ID。

  1. 在 Workspace ONE UEM console 中,选择适用的组织组。
  2. 转到应用与图书 > 应用程序 > 本机
  3. 根据应用程序类型,选择内部公共选项卡。
  4. 选择应用程序以查看详细信息视图
  5. 查找位于字符串中间的 ID 号。https://<Workspace_ONE_UEM>/AirWatch/#/AirWatch/Apps/Details/Internal/246/Summary?isDependencyFile=False。字符串中间的 246 就是应用程序的 ID 号。
check-circle-line exclamation-circle-line close-line
Scroll to top icon