Durch die Integration in einen bestehenden Verzeichnisdienst können Benutzer automatisch importiert werden. So müssen Benutzer nicht mehr manuell zur Workspace ONE UEM hinzugefügt werden.

Alle Verzeichnisbenutzer, die Sie über Workspace ONE UEM verwalten möchten, müssen über ein entsprechendes Benutzerkonto in der UEM-Konsole verfügen.

Mit einer der folgenden Methoden können Sie Ihre vorhandenen Verzeichnisdienstbenutzer direkt in Workspace ONE UEM hinzufügen.

  • Laden Sie eine Datei als Batch hoch, die all Ihre Verzeichnisdienstbenutzer enthält. Durch Batch-Import wird automatisch ein Benutzerkonto erstellt.
  • Erstellen Sie einzelne Benutzerkonten, indem Sie den Namen des Verzeichnisbenutzers eingeben und Benutzer überprüfen auswählen, um die restlichen Details automatisch einzutragen.
  • Führen Sie weder einen Batch-Import noch eine manuelle Erstellung der Benutzerkonten aus. Erlauben Sie stattdessen allen Verzeichnisbenutzern, sich bei der Registrierung selbst zu registrieren.

Vorteile

  • Endbenutzer authentifizieren sich mit vorhandenen Unternehmensanmeldedaten.
  • Erkennt und synchronisiert Änderungen vom Verzeichnissystem automatisch in Workspace ONE UEM. Wenn Sie beispielsweise Benutzer in AD deaktivieren, wird das entsprechende Benutzerkonto in Workspace ONE UEM Console als inaktiv markiert.
  • Diese Vorgehensweise stellt eine sichere Methode zur Integration in Ihren bestehenden Verzeichnisdienst dar.
  • Sie bietet eine Standardintegrationsmethode.
  • Kann für Workspace ONE Direct Enrollment verwendet werden.
  • SaaS-Bereitstellungen mit AirWatch Cloud Connector erfordern keine Firewall-Änderungen und bieten eine sichere Konfiguration für andere Infrastrukturen wie Microsoft ADCS-, SCEP- und SMTP-Server.

Weitere Informationen zur Synchronisierung mehrerer Kontostatus finden Sie unten im Abschnitt Statussynchronisierung des Verzeichnisbenutzers.

Nachteile

  • Erfordert eine vorhandene Verzeichnisdienstinfrastruktur.
  • SaaS-Bereitstellungen erfordern zusätzliche Konfiguration, da AirWatch Cloud Connector hinter der Firewall oder in einer DMZ installiert ist.

Statussynchronisierung des Verzeichnisbenutzers

Wenn Sie Benutzer in Ihrem Verzeichnisdienst deaktivieren, wirkt sich dies auf das entsprechende Workspace ONE UEM- und Workspace ONE Express-Konto in ähnlicher Weise aus, aber nur wenn diese Voraussetzungen erfüllt sind.

  • Die Synchronisierung entfernter Benutzer funktioniert nur mit Active Directory.
  • Der Benutzername, den Sie in die Option Benutzernamen binden eingegeben haben, muss über Active Directory-Administratorrechte verfügen.
    • Um diesen Namen zu überprüfen, navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > System > Enterprise Integration > Verzeichnisdienste. Suchen Sie dann auf der Registerkarte Server nach dem Textfeld Benutzernamen binden.
    • Workspace ONE Express-Kunden finden das Textfeld Benutzernamen binden auf derselben Server-Registerkarte, indem sie zu Gruppen und Einstellungen navigieren und dann Verzeichnisdienste in der Spalte Name auswählen.
  • Sie können Nichtadministratoren in Active Directory Zugriff auf den Container „Gelöschte Objekte“ gewähren, sofern Sie die im folgenden Microsoft Support-Artikel beschriebenen Schritte ausführen. https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object.
  • Darüber hinaus muss der Papierkorb mithilfe des Active Directory-Verwaltungscenters aktiviert werden, aber nur dann, wenn Sie Benutzer in AD löschen.
    1. Öffnen Sie das Active Directory-Verwaltungscenter.
    2. Wählen Sie die Domäne aus, und klicken Sie dann mit der rechten Maustaste auf die Domäne.
    3. Wählen Sie Papierkorb aktivieren aus. Nach der Aktivierung kann der Papierkorb nicht deaktiviert werden.

Erstellen von verzeichnisbasierten Benutzerkonten

Für jeden Benutzer im Workspace ONE UEM-System müssen Konten erstellt werden; Verzeichnisbenutzer verwenden zur Authentifizierung Ihre bestehenden Unternehmensanmeldedaten.

In diesem Abschnitt wird ausführlich erläutert, wie Sie einzelne Benutzerkonten erstellen. Informationen zur Erstellung von Benutzerkonten in einer großen Menge finden Sie unter Batch-Import von Benutzern und Geräten.

  1. Navigieren Sie zu Konten > Benutzer > Listenansicht und wählen Sie Hinzufügen und dann Benutzer hinzufügen. Die Seite Benutzer hinzufügen/bearbeiten wird angezeigt.
  2. Bearbeiten Sie auf der Registerkarte Allgemein folgende Einstellungen, um einen Verzeichnisbenutzer hinzuzufügen.
    Einstellung Beschreibung
    Sicherheitstyp Fügen Sie einen Active Directory-Benutzer durch Auswählen von Directory als Sicherheitstyp hinzu.
    Verzeichnisname Dieses im Vorfeld aufgefüllte Feld identifiziert den Active Directory-Namen.
    Domäne Wählen Sie den Domänennamen aus dem Dropdown-Menü.
    Benutzername

    Geben Sie den Verzeichnisbenutzernamen des Benutzers ein und wählen Sie Benutzer prüfen. Stellt das System eine Übereinstimmung fest, werden die Benutzerinformationen automatisch eingetragen. Die verbleibenden Einstellungen in diesem Abschnitt sind erst verfügbar, nachdem Sie über die Schaltfläche Benutzer prüfen einen Active Directory-Benutzer ausfindig gemacht haben.

    Vollständiger Name

    Verwenden Sie Attribute bearbeiten, um Optionen zum Synchronisieren eines leeren Werts aus dem zu bearbeitenden Verzeichnis zuzulassen. Über „Attribute bearbeiten“ können die entsprechenden Benutzerinformationen automatisch aufgefüllt werden.

    Wenn eine Einstellung einen tatsächlichen Wert aus dem Verzeichnis synchronisiert, muss diese Einstellung im Verzeichnis selbst bearbeitet werden. Die Änderung wird bei der nächsten Verzeichnissynchronisierung angewendet. Vervollständigen Sie jede vom Verzeichnis zurückgegebene leere Option unter Vollständiger Name und wählen Sie Attribute bearbeiten, um die Hinzufügung zu speichern.

    Anzeigename Geben Sie den Namen ein, der in der Admin-Konsole angezeigt werden soll.
    E-Mail-Adresse Geben Sie die E-Mail-Adresse des Benutzers ein oder bearbeiten Sie diese.
    E-Mail-Benutzername Geben Sie den E-Mail-Benutzernamen des Benutzers ein oder bearbeiten Sie diesen.
    Domäne (E-Mail) Wählen Sie die E-Mail-Domäne aus dem Dropdown-Menü.
    Rufnummer Geben Sie die Rufnummer des Benutzers ein, einschließlich Pluszeichen, Landesvorwahl und Ortsvorwahl. Falls Sie beabsichtigen, Benachrichtigungen per SMS zu senden, ist die Telefonnummer erforderlich.
    Registrierung
    Registrierungsorganisationsgruppe Wählen Sie die Organisationsgruppe, bei der sich der Anwender registrieren soll.
    Dem Benutzer ermöglichen, sich bei zusätzlichen Organisationsgruppen zu registrieren Wählen Sie, ob Sie dem Anwender ermöglichen möchten, sich bei mehr als einer Organisationsgruppe zu registrieren. Sollten Sie Aktiviert auswählen, bearbeiten Sie Zusätzliche Organisationsgruppen.
    Benutzerrolle Wählen Sie die Rolle für den Benutzer, den Sie hinzufügen möchten, aus diesem Dropdown-Menü.
    Benachrichtigungen
    Nachrichtentyp Wählen Sie den Typ der Nachricht, die Sie dem Benutzer senden möchten – E-Mail, SMS oder Keine(r/s). Bei Auswahl von „SMS“ ist ein gültiger Eintrag in das Textfeld Rufnummer erforderlich.
    Nachrichtenvorlage Wählen Sie aus der Dropdown-Einstellung die Vorlage für E-Mail- oder SMS-Nachrichten. Wahlweise können Sie Nachrichtenvoransicht wählen, um die Vorlage im Voraus einzusehen. Sie können auch eine Vorlage erstellen. Wählen Sie dazu den Link Nachrichtenvorlagen konfigurieren.
  3. Über die Registerkarte Erweiterungen können Sie folgende Einstellungen bearbeiten:
    Einstellung Beschreibung
    Bereich „Erweiterte Informationen“
    E-Mail-Kennwort Geben Sie das E-Mail-Kennwort des Benutzers ein, den Sie hinzufügen.
    E-Mail-Kennwort bestätigen Bestätigen Sie das E-Mail-Kennwort des Benutzers, den Sie hinzufügen.
    Eindeutiger Name Bei von Workspace ONE UEM erkannten Verzeichnisbenutzern wurde dieses Textfeld mit dem definierten Namen des Benutzers bereits zuvor aufgefüllt. „Definierter Name“ ist eine Zeichenfolge, die den Benutzernamen und alle einem Active Directory-Benutzer zugeordnete Autorisierungscodes darstellen.
    Definierter Name des Managers Geben Sie den definierten Name des Managers des Benutzers ein. Dieses Textfeld ist optional.
    Kategorie Wählen Sie die Benutzerkategorie für den hinzuzufügenden Benutzer.
    Abteilung Geben Sie zu administrativen Zwecken Ihres Unternehmens die Abteilung des Benutzers ein.
    Mitarbeiter-ID Geben Sie zu administrativen Zwecken Ihres Unternehmens die Mitarbeiter-ID des Benutzers ein.
    Kostenstelle Geben Sie für Verwaltungszwecke Ihres Unternehmens die Kostenstelle des Benutzers ein.
    Benutzerdefiniertes Attribut 1-5 (nur für Verzeichnisbenutzer)

    Geben Sie, wo zutreffend, Ihre zuvor konfigurierten Benutzerdefinierten Attribute ein. Sie können diese benutzerdefinierten Attribute definieren, indem Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Erweiterungen > Benutzerdefinierte Attribute navigieren.

    Hinweis: Benutzerdefinierte Attribute können nur in Kundenorganisationsgruppen konfiguriert werden.
    Bereich „Zertifikate“
    S/MIME verwenden

    Aktivieren bzw. deaktivieren Sie die Verwendung von S/MIME (Secure/Multipurpose Internet Mail Extensions). Bei Aktivierung müssen Sie über ein S/MIME-fähiges Profil verfügen und über Hochladen ein S/MIME-Zertifikat hochladen.

    Separates Verschlüsselungszertifikat

    Aktivieren bzw. deaktivieren Sie die Verwendung separater Verschlüsselungszertifikate. Bei Aktivierung müssen Sie über Hochladen ein Verschlüsselungszertifikat hochladen. Im Allgemeinen wird dasselbe S/MIME-Zertifikat zur Signierung und zur Verschlüsselung verwendet, es sei denn, es wird ausdrücklich ein anderes Zertifikat verwendet.

    Altes Verschlüsselungszertifikat

    Aktivieren bzw. deaktivieren Sie die Legacy-Version eines Verschlüsselungszertifikats. Wenn diese Option aktiviert ist, müssen Sie ein Verschlüsselungszertifikat hochladen.

    Bereich „Staging“
    Geräte-Staging aktivieren

    Aktivieren bzw. deaktivieren Sie das Staging von Geräten.

    Wenn diese Option aktiviert ist, müssen Sie Einzelbenutzergeräte und Mehrbenutzergeräte auswählen.

    Bei Einzelbenutzergeräten müssen Sie zwischen der Option Standard, bei der sich Benutzer selbst anmelden, oder der Option Erweitert wählen, bei der ein Gerät im Auftrag eines anderen Benutzers registriert wird.

    Weitere Informationen finden Sie unter Geräte-Staging.

  4. Wählen Sie Speichern, um nur den neuen Benutzer zu speichern, oder Speichern und Gerät hinzufügen, um den neuen Benutzer zu speichern und mit der Seite Gerät hinzufügen fortzufahren.