Workspace ONE UEM gør det muligt at tilmelde virksomhedsenheder på to måder. Du kan lade brugere tilmelde deres egne enheder, eller lade administratorer tilmelde enheder på brugernes vegne igennem en proces, der kaldes Staging af enhed.

Under enhedsstaging tilmelder en administrator enheder får de tildeles og distribuerer dem til slutbrugere. Denne metode er nyttig for administratorer, der skal konfigurere enheder til slutbrugere på tværs af en organisation.

Enheds-staging kan udføres for Android-, iOS- og macOS-enheder.

1. overvejelse: Enhedsejerskab

  • Er dine slutbrugere allerede blevet tildelt enheder for virksomheden? I dette tilfælde kan det være upraktisk at skulle indsamle enheder og stage dem og i stedet for at lade brugerne tilmelde sig selv.
  • Skal dine slutbrugere dele enheder, eller har de deres egne dedikerede enheder? Hvis slutbrugerne ikke deler enheder, kan du nemt gøre den enkelte bruger ansvarlig for at tilmelde sin egen enhed.

    Enhedsstaging fungerer desuden godt for nyligt klargjorte enheder, eftersom det foretages, før en medarbejder modtager enheden. Hvis dine slutbrugere allerede har virksomhedsenheder, giver det mening at lade dem anvende selvbetjening. Det er også en fordel at lade brugere tilmelde deres egne enheder, når det samlede antal enheder gør det upraktisk for administratorer at udføre enhedsstaging.

2. overvejelse: Automatisk registrering

Vil du knytte din organisations e-maildomæne til dit Workspace ONE UEM-miljø? Denne proces er kendt som auto-registrering og betyder, at slutbrugere kun behøver indtaste e-mailadresse og legitimationsoplysninger. Tilmeldings-URL-adressen og gruppe-id indtastes automatisk.

Se også Tilmelding med auto-registrering.

3. overvejelse: Direkte tilmelding til Workspace ONE

Staging ved hjælp af direkte tilmelding i Workspace ONE understøttes ikke. Hvis du skal stage en enhed for en eller flere brugere, skal du tilmelde enheden med Workspace ONE Intelligent Hub i stedet for at tilmelde direkte i Workspace ONE.

Direkte tilmelding til Workspace ONE er en funktion, der passer fint med selvtilmelding. Når den er aktiveret, tilmeldes alle berettigede enheder, der logger ind i tilmeldingsorganisationsgruppen, øjeblikkeligt. Når den er installeret, kan slutbrugeren acceptere at installere de apps, der er valgt af virksomheden, eller fravælge installation af apps.

Få flere oplysninger i Direkte tilmelding til Workspace ONE.

4. overvejelse: Deltager du i Apples Device Enrollment Program?

For at maksimere fordelene ved at have Apple enheder tilmeldt i Mobile Device Management (MDM), har Apple introduceret Device Enrollment Program (DEP). Med DEP kan du udføre følgende handlinger:

  • Slet en MDM-profil, der ikke kan fjernes, på en enhed, så slutbrugere ikke kan slette den.
  • Provisionér enheder i Overvåget tilstand (kun iOS). Enheder i overvåget tilstand kan få adgang til yderligere sikkerheds- og konfigurationsindstillinger.
  • Gennemtvinge en tilmelding for alle slutbrugere.
  • Opfylde din organisations behov ved at tilpasse og strømline tilmeldingsprocessen.
  • Fjern muligheden for iCloud-sikkerhedskopiering ved at forhindre brugere i at logge på med deres Apple-ID, når de genererer en DEP-profil.
  • Gennemtving OS-opdateringer for alle slutbrugere.

5. overvejelse: Brug af Apple Configurator

Apple Configurator lader it-administratorer udrulle og administrere Apple iOS-enheder på effektiv vis. Dette er især nyttigt for organisationer, såsom detailbutikker, klasseværelser eller hospitaler, som ønsker at forhåndstilmelde enheder, som flere slutbrugere skal dele.

Brug af Configurator til at tilmelde forhåndsregistrerede enheder beregnet til en enkelt bruger understøttes ved at tilføje information om serienummer/IMEI til en brugers registrerede enhed i konsollen. En stor fordel ved Apple Configurator er, at du kan bruge en USB-hub eller iOS-enhedskurv til at provisionere flere enheder på få minutter.

6. overvejelse: Staging af enkeltbruger eller registrering?

Hvis du overvejer at stage enheder for en enkelt bruger, er tilmelding muligvis bedst. Forskellen på staging for en enkelt bruger og tilmelding af en enhed er minimal, men vigtig.

Tilmelding – Når du tilmelder en enhed, gør du det for en enkeltperson, en navngivet bruger. Denne procedure betyder, at enheden forventer, at den første bruger, der logger ind, er den samme bruger som den person, der har tilmeldt enheden. Hvis en anden bruger forsøger at logge ind på en tilmeldt enhed, skal enheden af sikkerhedsmæssige hensyn låses og kan ikke tilmeldes.

Staging af enkeltbruger – Når du stager en enhed, gør du det for enhver bruger, der er berettiget til tilmelding i Workspace ONE UEM. I teorien kan du give en staget enhed til en hvilken som helst berettiget bruger, og den pågældende bruger kan logge ind på enheden og tilmelde sig i Workspace ONE UEM.

Staging-arbejdsgangen gør det muligt at forberede enheden og derefter starte Workspace ONE Intelligent Hub, hvor enhver berettiget tilmeldingsbruger kan logge ind. Workspace ONE UEM udfører herefter en éngangs-gentildeling for at knytte enheden til den pågældende bruger.

7. overvejelse: Brug af staging af enhed

Medmindre du bruger Apple Configurator, skal administratorer stage enheder én efter én. I forbindelse med større udrulninger skal du overveje den tid og arbejdsstyrke, der kræves af denne indsats.

Mens administratorer nemt kan stage nye enheder, skal medarbejdere, der allerede bruger virksomhedsejede enheder, sende enheder ind eller hente dem på stedet, så enheder kan stages.

Hvis du har flere tusinde enheder, der skal tilmeldes på forhånd, kan staging af enhederne tage tid. Derfor fungerer det bedst, når du har et nyt batch af enheder, der klargøres, eftersom du har adgang til enhederne, før medarbejderne modtager dem.

Enheds-staging kan udføres for Android- og iOS-enheder på følgende måder.

  • Enkel bruger (standard) – Anvendes, når du stager en enhed, som kan tilmeldes af enhver bruger.
    Bemærk: Som antydet er denne tilmeldingsproces tiltænkt enheder, der ikke overvåges. Hvis du anvender denne proces til zero-touch-tilmelding for brugere, er du ansvarlig for at sikre, at faseinddelte enheder bliver leveret til den ønskede bruger.
  • Enkel bruger (avanceret) – Anvendes, når du stager og tilmelder en enhed for en bestemt bruger.
    Bemærk: Staging-brugeren/administratoren skal sikre, at enheden er tjekket ud til den registrerede bruger.
  • Flerbruger – Anvendes, når du stager en enhed, der skal deles af flere brugere.

    Få detaljerede instrukser i Opret en stagingkonto for flere brugere for tilmelding.

Stage en enkeltbrugerenhed

Staging af enkeltbrugerenheder i Workspace ONE UEM Console lader en enkelt administrator udstyre enheder på vegne af andre brugere, hvilket kan være nyttigt for it-administratorer, der er ved at klargøre en enhedsflåde.

Staging ved hjælp af direkte tilmelding i Workspace ONE understøttes ikke. Hvis du skal stage en enhed for en eller flere brugere, skal du tilmelde enheden med Workspace ONE Intelligent Hub i stedet for at tilmelde direkte i Workspace ONE.

Vigtigt:

Muligheden for at oprette staging-brugere er en administratorrettighed. Tilladelse til at oprette en staging-bruger bør kun begrænses til specifikke administratorer, der er tillid til. Du kan også behandle legitimationsoplysninger til staging-bruger som alle andre administratorrettigheder og ikke videregive brugeres legitimationsoplysninger.

I øjeblikket kan enhver administrator med tilladelse til at oprette en bruger også oprette en staging-bruger. Begræns denne mulighed ved at redigere de roller, der er tildelt til dine administratorer. Gå til Konti > Administratorer > Roller. Identificer kun de roller, som du ønsker at begrænse, og Rediger derefter () hver af disse roller i kategoristien Alle > Konti > Brugere > Konti ved at fjerne markeringen i afkrydsningsfeltet Rediger fra tilladelsen "Tilføj/Rediger".

Bemærk: LDAP-binding er påkrævet for staging af enheder. I denne vejledning kan du få oplysninger om, hvordan du opretter denne nyttelast, under Binding af en enhed til Directory Service.
  1. Gå til Konti > Brugere > Listevisning, og vælg Rediger for den brugerkonto, hvor du vil aktivere enhedsstaging.
  2. På siden Tilføj / Rediger bruger skal du vælge fanen Avanceret.
    1. Rul ned til Staging sektionen.
    2. For Aktiver enhedsstaging skal du vælge skyderen Aktiveret. Stagingindstillinger vises.
    3. For Enkeltbrugerenheder skal du vælge skyderen Aktiveret.
    4. Indstil staging-tilstandstypen for enkeltbrugerenheder til enten Standard eller Avanceret.

      Standard-staging kræver, at slutbrugeren indtaster loginoplysningerne efter staging, mens Avanceret betyder, at staging-brugeren tilmelder enheden på en anden brugers vegne.

    5. Sørg for, at Enheder med flere brugere er Deaktiveret.
    6. For Android Shared Device Mode skal du vælge Native eller Launroid for tjek ind- og ud-tilstand. Indbygget Android understøtter simple use cases, der ikke kræver tilpasning. Launcher understøtter tilpasning af brugergrænsefladen for komplekse use cases.
    7. For Systemapps kan du give slutbrugeradgang til systemapps.
    8. For Admintilstandsadgangskode skal du angive en alfanumerisk adgangskode for at foretage fejlfinding på en enhed i admintilstand. Tryk på Hub-ikonet på loginskærmen 5 gange for at få adgang til admintilstand.

      Resultat: Enkeltbrugerenheder stager enheder for en enkelt bruger.

  3. Tilmeld enheden. Vælg mellem følgende.
    • Tilmeld ved hjælp af Workspace ONE Intelligent Hub ved at indtaste en server-URL-adresse og et gruppe-ID.
    • Åben enhedens internetbrowser, naviger til URL-adressen og indtast det korrekte gruppe-id.
  4. Indtast dine brugerlegitimationsoplysninger for staging under tilmelding.
    1. Hvis det er nødvendigt, skal du angive, at du stager for Enkelt bruger enheder.

      Du behøver kun gøre dette hvis flerbruger staging af enhed også er aktiveret for staging bruger.

  5. Fuldfør tilmelding for enten avanceret eller standard staging.
    1. Hvis du udfører Avanceret staging, vil du blive bedt om at indtaste brugernavnet for den slutbruger, der skal anvende enheden. Forsæt med tilmelding ved at installere Mobile Device Management (MDM) profilen og acceptere alle prompter og meddelelser.
    2. Hvis du udfører standard-staging, skal slutbrugeren ved fuldførelsen af tilmeldingen indtaste sine legitimationsoplysninger i loginvinduet.

Resultater: Enheden er nu staged og klar til brug for den nye bruger. Hvis en aftale om vilkår for anvendelse er på plads, vil staging-enkeltbrugere ikke se denne aftaleprompt, før de logger på deres SSP-konto.

Stage en fler-bruger enhed

Flerbruger enhed/delt enhed staging lader en IT administrator klargøre enheder der skal anvendes af mere end en bruger. Flerbruger-staging tillader, at enheden kan foretage dynamisk ændring af sin tildelte bruger, når de forskellige netværksbrugere logger på den pågældende enhed.

Staging ved hjælp af direkte tilmelding i Workspace ONE understøttes ikke. Hvis du skal stage en enhed for en eller flere brugere, skal du tilmelde enheden med Workspace ONE Intelligent Hub i stedet for at tilmelde direkte i Workspace ONE.

  1. Gå til Konti > Brugere > Listevisning, og vælg Rediger for den brugerkonto, hvor du vil aktivere enhedsstaging.
  2. På siden Tilføj / Rediger bruger skal du vælge fanen Avanceret.
    1. Rul ned til Staging sektionen.
    2. For Aktiver enhedsstaging skal du vælge skyderen Aktiveret. Stagingindstillinger vises.
    3. Sørg for, at Enheder med flere brugere er Aktiveret.
    4. For Android Shared Device Mode skal du vælge Native eller Launroid for tjek ind- og ud-tilstand. Indbygget Android understøtter simple use cases, der ikke kræver tilpasning. Launcher understøtter tilpasning af brugergrænsefladen for komplekse use cases.
    5. For Systemapps kan du give slutbrugeradgang til systemapps.
    6. For Admintilstandsadgangskode skal du angive en alfanumerisk adgangskode for at foretage fejlfinding på en enhed i admintilstand. Tryk på Hub-ikonet på loginskærmen 5 gange for at få adgang til admintilstand.
  3. Tilmeld enheden ved at anvende en af to følgende metoder.
    • Tilmeld ved hjælp af Workspace ONE Intelligent Hub ved at indtaste en server-URL-adresse og et gruppe-ID.
    • Åben enhedens internetbrowser, naviger til URL-adressen og indtast det korrekte gruppe-id.
  4. Indtast dine brugerlegitimationsoplysninger for staging under tilmelding. Hvis det er nødvendigt, skal du angive, at du stager for Enkelt bruger enheder.

    Du skal kun gøre dette, hvis staging af enheder med flere brugere også er aktiveret for staging-brugeren.

Resultat: Enheden er nu staged og klar til brug for de nye brugere.

Proces for selv-tilmelding

Selvtilmelding kan kræve, at slutbrugerne kender deres relevante gruppe-id og legitimationsoplysninger. Hvis du har integreret med Directory Services, er disse legitimationsoplysninger de samme som brugerens Directory Service-legitimationsoplysninger.

Du kan også knytte din organisations e-maildomæne til dit Workspace ONE UEM-miljø ved hjælp af en proces, der kaldes for automatisk registrering. Når auto-registrering aktiveres, bliver slutbrugere af enheder på understøttede platforme bedt om at indtaste deres e-mailadresse. Disse enheder fuldfører tilmeldingen automatisk, hvis deres e-maildomæne (teksten efter @) matcher – uden behov for at indtaste et gruppe-id eller en tilmeldings-URL-adresse. Få flere oplysninger i Tilmelding med automatisk registrering.

  1. Slutbrugere skal gå til AWAgent.com, der automatisk registrerer, om Workspace ONE Intelligent Hub er installeret.

    Hvis Workspace ONE Intelligent Hub ikke er installeret, omdirigerer webstedet til den relevante mobilappbutik.

  2. AirWatch Container-brugere downloader AirWatch Container-appen fra App Store.
  3. Når Workspace ONE Intelligent Hub- eller Container-appen er startet, skal brugere indtaste deres legitimationsoplysninger. Derudover skal de enten indtaste en e-mail adresse, en URL-adresse eller et Gruppe-id og fortsætte med tilmeldingen.

Overvåget tilstand

Administratorer har mulighed for aktivere overvåget tilstand for enheder tilmeldt igennem Apple Configurator, hvilet aktiverer yderligere forbedrede sikkerhedsfeatures. Denne tilstand vil dog introducere flere begrænsninger for enheden.

Fordele

Når en enhed overvåges og er tilmeldt i Workspace ONE UEM, kan administratoren benytte følgende forbedrede funktioner til konfiguration sammenlignet med normale enheder.

  • Forhøjede begrænsninger over MDM
    • Forbyd bruger fra at fjerne apps. Fjernelse af apps kan også begrænses lokalt på enheden at anvende begrænsninger under systemkonfiguration.
    • Forbyd AirDrop.
    • Forbyd brugere at modificere iCloud- og Mail-kontoindstillinger, der forhindrer kontoredigering.
    • Deaktiver iMessage.
    • Indstil begrænsninger for iBookstore indholdsbedømmelser.
    • Deaktiver Game Center og iBookstore.
  • Forbedret sikkerhed
    • Forbyd slutbrugere fra at besøge websteder med voksent indhold i Safari.
    • Begræns hvilke enheder der kan oprette forbindelse til specifikke AirPlay destinationer, såsom Apple TV'er.
    • Forbyd installation af certifikater eller ikke-styrede konfigurationsprofiler.
    • Tving al enhedsnetværkstrafik igennem en global HTTP-proxy.
  • Kiosktilstand
    • Lås enheder til en app med single-app tilstand og deaktiver startknappen.
  • Tilpas baggrund og tekst på enhed
  • Aktiver eller ryd aktiveringslås

Begrænsninger

  • USB adgang til overvågede enheder er begrænset til overvågning af Mac.
  • Kan ikke kopiere data til og fra enheden ved hjælp af iTunes, medmindre Apple Configurator identitetscertifikatet er installeret på enheden.
    • Medier såsom fotos og videoer kan ikke kopieres fra enheden til en PC eller Mac. For at overføre denne type data skal du anvende VMware Content Locker til at synkronisere indholdet med brugerens Personlige dokumenter-sektion. Alternativt, en fildelings-app kn anvendes til at overføre data over WLAN/WWAN til en server.
  • Overvåget tilstand forhindrer adgang til enhedsside logfiler med iPhone Configuration Utility (IPCU).
    • Denne tilstand gør det sværere at fejlfinde app- eller enhedsproblemer. Årsagen til denne vanskelighed er, at logfilerne fra enheden kun kan indhentes, hvis enhederne er tilsluttet den overvågende Mac. Du kan slippe for nogle af disse udfordringer ved at bruge Workspace ONE SDK til at sende logfiler og logistik fra apps til UEM-konsollen.
  • Enheder kan ikke nemt nulstilles med fabriksindstillinger.
    • Når en enhed nulstilles til fabriksindstillinger, skal den sendes tilbage til den overvågende Mac for at gendanne den til overvåget tilstand. Denne procedure kan være problematisk, hvis Mac-enheden ikke er i nærheden af enheden.

For at bestemme om overvåget tilstand skal eller ikke skal aktiveres, overvej følgende. Mens yderligere features aktiveres, som forbedrer sikkerheden på enheden, skal USB-begrænsningerne tages i betragtning.

Enhedens afstand til den overvågende Mac spiller en vigtig rolle i beslutningerne. Da USB-begrænsningen forhindrer adgang til logfilerne på enheden, vil en problemfyldt enhed skulle sendes retur til et depot og re-stages med henblik på at gendanne funktionaliteten.

Det er vigtigt at tage stilling til overvågning på forhånd, da processen i forbindelse med at overvåge eller "ikke-overvåge" kræver, at enheden sendes til en IT-placering eller et depot.