Sie können vorhandene Benutzer und Gruppen von Verzeichnisdiensten wie Active Directory (AD), Lotus Domino und Novell e-Directory registrieren. Wenn Sie noch keine solche Infrastruktur besitzen oder entschieden haben, keine Integration durchzuführen, müssen Sie eine Standardregistrierung in Workspace ONE UEM durchführen.

Die Standardregistrierung bezieht sich auf den Vorgang zur manuellen Erstellung von Benutzerkonten und -gruppen für alle Benutzer Ihrer Organisation. Wenn Ihre Organisation über keine Workspace ONE UEM-Integration in einem Verzeichnisdienst verfügt, sind Benutzerkonten über die Standardregistrierung zu erstellen.

Wenn Sie einige grundlegende Konten erstellt möchten, erstellen Sie sie nacheinander, wie in Erstellen von Standardbenutzerkonten beschrieben.

Bei der Standardregistrierung für eine größere Anzahl von Endbenutzern können Sie dadurch Zeit sparen, dass Sie CSV-Vorlagendateien (Comma-separated Values) ausfüllen und hochladen. Diese Dateien enthalten alle Benutzerinformationen, die Sie hinzufügen. Sie werden über die Batch-Importfunktion in UEM eingeführt. Weitere Informationen finden Sie unter Batch-Import von Benutzern oder Geräten.

Hinweis: Workspace ONE UEM unterstützt zwar eine Kombination aus Standard- und verzeichnisbasierten Benutzern, allerdings wird in der Regel nur eine der Methoden für die Erstregistrierung von Benutzern und Geräten verwendet.

Vor- und Nachteile

Vorteile Nachteile

Standardregistrierung

  • Kann für jede Bereitstellungsmethode verwendet werden.
  • Erfordert keine technische Integration.
  • Erfordert keine Unternehmensinfrastruktur.
  • Kann sich bei möglicherweise mehreren Organisationsgruppen registrieren.
  • Anmeldedaten existieren nur in Workspace ONE UEM und stimmen mit vorhandenen Unternehmensanmeldedaten nicht unbedingt überein.
  • Bietet keine Verbundsicherheit.
  • Single Sign-On wird nicht unterstützt.
  • Workspace ONE UEM speichert alle Benutzernamen und Kennwörter.
  • Kann nicht für Workspace ONE Direct Enrollment verwendet werden.

Registrierung mit Verzeichnisdiensten

  • Endbenutzer authentifizieren sich mit vorhandenen Unternehmensanmeldedaten.
  • Erkennt und synchronisiert Änderungen vom Verzeichnissystem automatisch in Workspace ONE UEM. Wenn Sie beispielsweise Benutzer in AD deaktivieren, wird das entsprechende Benutzerkonto in Workspace ONE UEM Console als inaktiv markiert.
  • Diese Vorgehensweise stellt eine sichere Methode zur Integration in Ihren bestehenden Verzeichnisdienst dar.
  • Sie bietet eine Standardintegrationsmethode.
  • Kann für Workspace ONE Direct Enrollment verwendet werden.
  • SaaS-Bereitstellungen mit AirWatch Cloud Connector erfordern keine Firewall-Änderungen und bieten eine sichere Konfiguration für andere Infrastrukturen wie Microsoft ADCS-, SCEP- und SMTP-Server.
  • Erfordert eine vorhandene Verzeichnisdienstinfrastruktur.
  • SaaS-Bereitstellungen erfordern zusätzliche Konfiguration, da AirWatch Cloud Connector hinter der Firewall oder in einer DMZ installiert ist.

Überlegungen zur Registrierung – standardmäßige vs. verzeichnisbasierte Registrierung

Neben den bestehenden Vor- und Nachteilen von Standard- und Verzeichnisbenutzern sollten Sie bei der Registrierung von Endbenutzern auch die folgenden Fragen berücksichtigen.

Punkt 1: Wer kann sich registrieren?

Beachten Sie bei der Beantwortung dieser Frage Folgendes.

  • Dient Ihre MDM-Bereitstellung dazu, Geräte für alle Benutzer Ihrer Organisation mit oder unter der von Ihnen konfigurierten Basis-DN * zu verwalten? Falls dies der Fall ist, können Sie allen Benutzern die Registrierung erlauben, indem die Kontrollkästchen zur Beschränkung der Registrierung deaktiviert werden.

    Sie können allen Benutzern die Registrierung bei der ersten Einführung der Bereitstellung gestatten und im Anschluss die Registrierung beschränken, um zu verhindern, dass sich unbekannte Benutzer registrieren. Diese Änderungen werden beim Hinzufügen neuer Mitarbeiter oder Mitglieder zu vorhandenen Benutzergruppen durch Ihre Organisation synchronisiert und zusammengeführt.

  • Sollen bestimmte Benutzer oder Gruppen nicht in MDM eingeschlossen werden? Falls dies der Fall ist, müssen Sie die Benutzer entweder nacheinander hinzufügen oder eine CSV-Datei (Comma-Separated Value) mit ausschließlich berechtigten Benutzern stapelweise importieren.

* Der Basis-DN oder definierte Name ist der Punkt, von dem aus ein Server nach Benutzern sucht. Ein definierter Name ist ein Name, der einen Eintrag im Verzeichnis eindeutig identifiziert. Jeder Eintrag im Verzeichnis verfügt über einen DN.

Punkt 2: Wie erfolgt die Zuweisung von Benutzern?

Ein weiterer Punkt, der bei der Integration Ihrer Workspace ONE UEM-Umgebung in Verzeichnisdienste berücksichtigt werden muss, ist die Art und Weise, wie Sie bei einer Registrierung Organisationsgruppen Verzeichnisbenutzer zuweisen. Beachten Sie bei der Beantwortung dieser Frage Folgendes.

  • Haben Sie eine Organisationsgruppenstruktur erstellt, die der Logik Ihrer Verzeichnisdienstgruppen entspricht? Sie können Benutzergruppenzuweisungen erst bearbeiten, nachdem Sie diese Aufgabe durchgeführt haben.
  • Wenn Ihre Benutzer ihre eigenen Geräte registrieren, ist die Option zum Auswählen einer Gruppen-ID aus einer Liste einfach durchzuführen. Menschliches Fehlverhalten ist ein zu berücksichtigender Faktor, der zu falschen Gruppenzuweisungen führen kann.

Sie können basierend auf einer Benutzergruppe eine Gruppen-ID auswählen oder Benutzern die Auswahl einer Gruppen-ID aus einer Liste ermöglichen. Die Optionen für den Gruppen-ID-Zuweisungsmodus finden Sie unter Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung auf dem Tab Gruppierung.

Aktivieren der auf einem Verzeichnisdienst basierenden Registrierung

Die Registrierung über Verzeichnisdienste bezieht sich auf den Vorgang zur Integration von Workspace ONE UEM in die Verzeichnisdienstinfrastruktur Ihrer Organisation. Durch diese Form der Integration Ihres Verzeichnisdiensts können Sie Benutzer und optional Benutzergruppen wie Sicherheitsgruppen und Verteilerlisten automatisch importieren.

Bei der Integration in einen Verzeichnisdienst wie Active Directory (AD) stehen Optionen zum Importieren von Benutzern zur Verfügung.

  • Allen Verzeichnisbenutzern die Registrierung gestatten – Sie können allen Verzeichnisdienstbenutzern die Registrierung gestatten. Zudem können Sie Ihre Umgebung so konfigurieren, dass Benutzer basierend auf ihrer E-Mail-Adresse automatisch erkannt werden. Erstellen Sie anschließend ein Workspace ONE UEM-Benutzerkonto für die Benutzer bei der Durchführung einer Registrierung.
  • Benutzer nacheinander hinzufügen – Nach der Integration in einen Verzeichnisdienst können Sie Benutzer einzeln auf dieselbe Art und Weise hinzufügen wie bei der Erstellung von Workspace ONE UEM-Standardbenutzerkonten. Der einzige Unterschied besteht darin, dass Sie Ihren Benutzernamen eingeben und Benutzer prüfen auswählen müssen, damit die verbleibenden Informationen in Ihrem Verzeichnisdienst automatisch aufgefüllt werden.
  • CSV-Datei per Batch-Upload hochladen – Mithilfe dieser Option können Sie eine Liste von Verzeichnisdienstkonten in einer CSV-Vorlagendatei (Comma-Separated Values) importieren. Die Datei enthält bestimmte Spalten, von denen einige nicht leer sein dürfen.
  • In Benutzergruppen integrieren (optional) – Durch diese Methode können Sie mit Ihren vorhandenen Benutzergruppenmitgliedschaften Profile, Apps, Konformitätsrichtlinien etc. zuweisen.
Hinweis: Informationen zur Integration Ihrer Workspace ONE UEM-Umgebung in Ihren Verzeichnisdienst, einschließlich der SAML-Anbieterintegration, finden Sie im Handbuch zur Integration von Verzeichnisdiensten.

Verzeichnisdienst-Integration und Registrierungseinschränkungen

Wenn die Verzeichnisdienstintegration in Workspace ONE UEM konfiguriert ist, erben die Verzeichnisdienstkonten die Registrierungseinstellungen von der Organisationsgruppe (OG), mit der der Verzeichnisdienst konfiguriert wird. Standardkonten orientieren sich jedoch an den lokalen Einstellungen einschließlich Überschreibungen.

Das Diagramm zeigt ein einfaches Organisationsgruppenmodell mit einer übergeordneten und einer untergeordneten OG.

Nehmen Sie das obige Organisationsgruppen-Modell als Beispiel, und gehen Sie davon aus, dass die Option Enterprise Wipe-Geräte von Benutzern, die aus konfigurierten Gruppen entfernt wurden in der Organisationsgruppe mit dem Namen „Kunde“ aktiviert ist.

In diesem Szenario werden Verzeichnis-Registrierungsbenutzern in der untergeordneten Organisationsgruppe Sales01, die eine konfigurierte Gruppe verlassen, ihre Geräte als gelöscht angezeigt, obwohl in dieser OG die Überschreibung konfiguriert wurde. Dies gilt auch, wenn diese Konten über Geräte verfügen, die in einer anderen OG registriert sind, da die Registrierungseinstellungen Benutzerorientiert und nicht geräteorientiert sind.

Allerdings werden in diesem Szenario Geräte von standardmäßigen Registrierungsbenutzern der Sales01-OG, die die konfigurierte Gruppe verlassen, nicht gelöscht. Dies liegt daran, dass standardmäßige Registrierungsbenutzer in Sales01 nicht Teil des in der OG integrierten Verzeichnisdienstes sind und deshalb die überschriebene Registrierungseinschränkung erkannt und erfüllt wird.