Eine große Herausforderung bei der Verwaltung persönlicher Geräte von Benutzern in Workspace ONE UEM besteht darin, mitarbeiter- sowie unternehmenseigene Geräte zu erkennen und zwischen diesen zu unterscheiden, und die Registrierung folglich nur auf genehmigte Geräte zu beschränken.

Mithilfe von Workspace ONE UEM können Sie eine Vielzahl von Optionen konfigurieren, um das Registrieren eines privaten Geräts für Endbenutzer zu personalisieren. Bevor Sie beginnen, müssen Sie Überlegungen anstellen, wie die Identifizierung von mitarbeitereigenen Geräten in Ihrer Bereitstellung erfolgen soll und ob Registrierungsrestriktionen für unternehmenseigene Geräte erzwungen werden sollen.

Überlegungen zur Registrierung

Wenn Sie Mitarbeitern die Registrierung ihrer persönlichen Geräte in Ihrer Workspace ONE UEM-Umgebung erlauben, sollten Sie zunächst einige Überlegungen anstellen.

Punkt 1: Registrieren sich BYOD-Benutzer über VMware Workspace ONE oder in Workspace ONE Intelligent Hub?

VMware Workspace ONE ist eine einfache und sichere Unternehmensplattform, die beliebige Apps auf Geräten bereitstellt und verwaltet. Es bietet Self-Service-SSO-Zugriff (Single Sign-On) auf Cloud-, mobilen und Windows-Anwendungen und beinhaltet intelligent integrierte E-Mail-, Kalender-, Datei- und Kollaborationstools.

Mit Workspace ONE müssen Benutzer ihre persönlichen Geräte für den Zugriff auf Dienste nicht registrieren. Die App Workspace ONE kann über den Apple App Store, Google Play oder Microsoft Store heruntergeladen und installiert werden. Benutzer melden sich dann an und erhalten basierend auf den festgelegten Richtlinien Zugriff auf Anwendungen. Die App Workspace ONE konfiguriert ein MDM-Verwaltungsprofil bei der Installation, wodurch das Gerät automatisch registriert wird.

Punkt 2: Sollen zusätzliche Registrierungsrestriktionen für mitarbeitereigene Geräte angewendet werden?

Beachten Sie bei der Beantwortung dieser Frage Folgendes.

  • Unterstützt Ihre MDM-Bereitstellung nur bestimmte Geräteplattformen? Falls dies der Fall ist, können Sie diese Plattformen angeben und nur die Registrierung von Geräten zulassen, auf denen diese ausgeführt werden.
  • Soll die Anzahl der persönlichen Geräte, die ein Mitarbeiter registrieren darf, beschränkt werden? Falls dies der Fall ist, können Sie die maximale Anzahl der Geräte festlegen, die ein Benutzer registrieren darf.

Sie können zusätzliche Registrierungsrestriktionen festlegen, um darüber hinaus zu steuern, wer sich registrieren kann und welche Gerätetypen registriert werden können. Beispielsweise können Sie festlegen, dass nur Android-Geräte unterstützt werden sollen, die über integrierte Enterprise-Management-Funktionen verfügen. Nachdem Ihre Organisation bestimmt hat, welche Arten von mitarbeitereigenen Geräten für Ihre Arbeitsumgebung verwendet werden sollen, können Sie die entsprechenden Einstellungen konfigurieren.

Identifizieren von Unternehmensgeräten und Festlegen des Standardgerätebesitzes

Wenn Sie eine Kombination aus unternehmens- und mitarbeitereigenen Geräten besitzen, die die Mitarbeiter selbst registrieren, kann es hilfreich sein, eine Geräteliste anzufertigen. Wenn die Registrierung gestartet wird, wird der Besitztyp von als unternehmenseigen identifizierten Geräten automatisch basierend auf Ihrer Auswahl konfiguriert. Anschließend können Sie alle mitarbeitereigenen Geräte konfigurieren, die nicht auf der Liste stehen, um diese mit dem Zuständigkeitstyp „Mitarbeitereigen“ zu registrieren.

Die folgende Vorgehensweise erläutert, wie eine Liste von vorab genehmigten Unternehmensgeräten importiert wird. Sie können nach der Registrierung automatisch den Zuständigkeitstyp „Unternehmenseigen“ anwenden, selbst, wenn eine Restriktion vorhanden ist, die automatisch den Zuständigkeitstyp „Mitarbeitereigen“ anwendet.

Restriktionen für eine offene Registrierung ermöglichen oder blockieren explizit die Registrierung für Geräte, die den von Ihnen angegebenen Parametern entsprechen, einschließlich Plattform, Modell und Betriebssystem.

  1. Navigieren Sie zu Geräte > Lebenszyklus > Registrierungsstatus und wählen Sie Hinzufügen und dann Batchimport. Daraufhin wird der Bildschirm Batchimport angezeigt.

    Alternativ können Sie auch Hinzufügen und danach Geräte auf Positivliste wählen, um bis zu 30 Geräte auf der Positivliste gleichzeitig nach IMEI, UDID oder Seriennummer einzugeben. Zudem können Sie als Zuständigkeitstyp entweder „Unternehmenseigen“ oder „Unternehmen – Gemeinschaftsgerät“ wählen.

  2. Geben Sie Batch-Name und Batch-Beschreibung ein und wählen Sie anschließend Zulässiges Gerät (Positivliste) hinzufügen für Batch-Typ.
  3. Wählen Sie den Link „Vorlage mit einem Beispiel für Geräte in der Positivliste herunterladen“ und speichern Sie diese Vorlage als CSV-Datei (Comma-Separated Values) an einem Speicherort, auf den Sie jederzeit zugreifen können. Bearbeiten Sie diese CSV-Datei mit Excel, um alle gewünschten Geräte zur Positivliste hinzuzufügen. Speichern Sie dann die Datei.
  4. Klicken Sie auf Datei auswählen und wählen Sie die gespeicherte CSV-Datei.
  5. Wählen Sie Importieren, um diese Geräteinformationen in Ihre Positivliste zu importieren.
  6. Setzen Sie nun den Typ der Standardgerätezuständigkeit auf „Mitarbeitereigen“ für alle offenen Registrierungen.
    1. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Gruppierung.
    2. Wählen Sie Mitarbeitereigen für Standardgerätezuständigkeit.
    3. Wählen Sie die dem Benutzer zugewiesene Standardrolle aus, durch die die Zugriffsebene des Benutzers für das Self-Service-Portal (SSP) festgelegt wird.
    4. Wählen Sie Standardaktion für Inaktive Benutzer, die festlegt, wie vorgegangen werden soll, wenn der Benutzer als inaktiv gekennzeichnet ist.
    5. Wählen Sie Speichern.

Auffordern von Benutzern zur Identifizierung des Besitztyps

Wenn Ihre Bereitstellung Organisationsgruppen mit verschiedenen Besitztypen umfasst, können Sie Benutzer dazu auffordern, ihren Besitztyp bei der Registrierung zu identifizieren. Überlegen Sie sich genau, ob Sie den Benutzern die Wahl ihres eigenen Besitztyps erlauben möchten.

Zwar gestaltet sich diese Vorgehensweise einfach, allerdings wird vorausgesetzt, dass jeder Benutzer ordnungsgemäß den für sein Gerät entsprechenden Besitztyp auswählt. Wenn ein Benutzer eines privaten Geräts aus Versehen den Typ „Unternehmenseigen“ wählt, unterliegt das Gerät nun Richtlinien und Profilen, die normalerweise nicht für private Geräte gelten. Eine solche fehlerhafte Auswahl kann schwerwiegende rechtliche Konsequenzen hinsichtlich des Benutzerdatenschutzes zur Folge haben.

Sie können den Besitztyp auf individuellen Geräten zwar jederzeit im Nachhinein ändern, es ist jedoch sicherer, eine Liste von Unternehmensgeräten zu erstellen. Registrieren Sie die unternehmenseigenen Geräte später separat und legen Sie den Standardbesitztyp auf „Mitarbeitereigen“ fest.

  1. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Optionale Eingabeaufforderung.
  2. Wählen Sie Eingabeaufforderung für Gerätebesitztyp. Bei der Registrierung werden Benutzer dazu aufgefordert, ihren Besitztyp auszuwählen.
  3. Wählen Sie Speichern.