Standardregistrierung vs. Registrierung durch Verzeichnisdienste

Sie können vorhandene Benutzer und Gruppen von Verzeichnisdiensten wie Active Directory (AD), Lotus Domino und Novell e-Directory registrieren. Wenn Sie noch keine solche Infrastruktur besitzen oder entschieden haben, keine Integration durchzuführen, müssen Sie eine Standardregistrierung in Workspace ONE UEM durchführen.

Die Standardregistrierung bezieht sich auf den Vorgang zur manuellen Erstellung von Benutzerkonten und -gruppen für alle Benutzer. Wenn Ihre Organisation nicht über eine Workspace ONE UEM-Integration in einen Verzeichnisdienst verfügt, sind Anwenderkonten über die Standardregistrierung zu erstellen.

Wenn Sie einige grundlegende Konten erstellt möchten, erstellen Sie sie nacheinander, wie in Erstellen von Standardbenutzerkonten beschrieben.

Bei der Standardregistrierung für eine größere Anzahl von Endbenutzern können Sie dadurch Zeit sparen, dass Sie CSV-Vorlagendateien (Comma-separated Values) ausfüllen und hochladen. Diese Dateien enthalten alle Benutzerinformationen, die Sie hinzufügen. Sie werden über die Batch-Importfunktion in UEM eingeführt. Weitere Informationen finden Sie unter Batch-Import von Benutzern oder Geräten.

Hinweis: Workspace ONE UEM unterstützt zwar eine Kombination aus Standard- und verzeichnisbasierten Benutzern, allerdings wird in der Regel nur eine der Methoden für die Erstregistrierung von Benutzern und Geräten verwendet.

Vor- und Nachteile

Vorteile Nachteile
Standardregistrierung Kann für jede Bereitstellungsmethode verwendet werden.

- Erfordert keine technische Integration.

- Erfordert keine Unternehmensinfrastruktur.

- Kann sich potentiell in mehreren Organisationsgruppen registrieren.

- Kann benutzerdefinierte Attribute bearbeiten, die derzeit verwendet werden.
- Anmeldedaten existieren nur in Workspace ONE UEM und stimmen mit vorhandenen Unternehmensanmeldedaten nicht unbedingt überein.

- Bietet keine föderative Sicherheit.

- Single-Sign-On nicht unterstützt.

- Workspace ONE UEM speichert sämtliche Benutzernamen und Kennwörter.

- Kann nicht zur direkten Registrierung bei Workspace ONE verwendet werden.
Registrierung mit Verzeichnisdiensten - Endbenutzer authentifizieren sich mit vorhandenen Unternehmensanmeldedaten.

- Erkennt und synchronisiert Änderungen aus dem Verzeichnissystem automatisch mit Workspace ONE UEM. Wenn Sie beispielsweise Benutzer in AD deaktivieren, wird das entsprechende Benutzerkonto in Workspace ONE UEM Console als inaktiv markiert.

- Sichere Methode der Integration in Ihren bestehenden Verzeichnisdienst.

- Standardpraxis der Integration.

- Kann zur direkten Registrierung bei Workspace ONE verwendet werden.

- SaaS-Bereitstellung über den AirWatch-Cloud-Konnektor erfordert keinerlei Änderungen an der Firewall und ermöglicht eine sichere Konfiguration an anderen Infrastrukturen, wie z.B. Microsoft ADCS, SCEP und SMTP-Servern.
- Erfordert eine vorhandene Verzeichnisdienstinfrastruktur.

- SaaS-Bereitstellungen erfordern eine zusätzliche Konfiguration, da der AirWatch-Cloud-Konnektor hinter einer Firewall oder in einer DMZ installiert wird.

- Benutzerdefinierte Attribute, die derzeit verwendet werden, können nicht bearbeitet werden.

Überlegungen zur Registrierung – standardmäßige vs. verzeichnisbasierte Registrierung

Neben den bestehenden Vor- und Nachteilen von Standard- und Verzeichnisbenutzern sollten Sie bei der Registrierung von Endbenutzern auch die folgenden Fragen berücksichtigen.

Überlegung 1: Wer kann sich registrieren?

Beachten Sie bei der Beantwortung dieser Frage Folgendes.

  • Steckt hinter Ihrer MDM-Bereitstellung die Absicht, Geräte für alle Benutzer Ihrer Organisation auf oder unterhalb der von Ihnen konfigurierten Basis DN ** zu verwalten? Falls dies der Fall ist, können Sie allen Benutzern die Registrierung erlauben, indem die Kontrollkästchen zur Beschränkung der Registrierung deaktiviert werden.

    Sie können allen Benutzern die Registrierung bei der ersten Einführung der Bereitstellung gestatten und im Anschluss die Registrierung beschränken, um zu verhindern, dass sich unbekannte Benutzer registrieren. Diese Änderungen werden beim Hinzufügen neuer Mitarbeiter oder Mitglieder zu vorhandenen Benutzergruppen durch Ihre Organisation synchronisiert und zusammengeführt.

  • Sollen bestimmte Benutzer oder Gruppen nicht in MDM eingeschlossen werden? Falls dies der Fall ist, müssen Sie die Benutzer entweder nacheinander hinzufügen oder eine CSV-Datei (Comma-Separated Value) mit ausschließlich berechtigten Benutzern stapelweise importieren.

** Der Basis-DN oder definierte Name ist der Punkt, von dem aus ein Server nach Benutzern sucht. Ein definierter Name ist ein Name, der einen Eintrag im Verzeichnis eindeutig identifiziert. Jeder Eintrag im Verzeichnis verfügt über einen DN.

Überlegung 2: Wie erfolgt die Zuweisung von Benutzern?

Ein weiterer Punkt, der bei der Integration Ihrer Workspace ONE UEM-Umgebung in Verzeichnisdienste berücksichtigt werden muss, ist die Art und Weise, wie Sie bei einer Registrierung Verzeichnisanwender Organisationsgruppen zuweisen. Beachten Sie bei der Beantwortung dieser Frage Folgendes.

  • Haben Sie eine Organisationsgruppenstruktur erstellt, die der Logik Ihrer Verzeichnisdienstgruppen entspricht? Sie können Benutzergruppenzuweisungen erst bearbeiten, nachdem Sie diese Aufgabe durchgeführt haben.
  • Wenn Ihre Benutzer ihre eigenen Geräte registrieren, ist die Option zum Auswählen einer Gruppen-ID aus einer Liste einfach durchzuführen. Menschliches Fehlverhalten ist ein zu berücksichtigender Faktor, der zu falschen Gruppenzuweisungen führen kann.

Sie können basierend auf einer Benutzergruppe eine Gruppen-ID auswählen oder Benutzern die Auswahl einer Gruppen-ID aus einer Liste ermöglichen. Die Optionen für den Gruppen-ID-Zuweisungsmodus befinden sich unter Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung auf der Registerkarte Gruppierung.

Aktivieren der auf einem Verzeichnisdienst basierenden Registrierung

Die Verzeichnisdienstregistrierung bezieht sich auf den Prozess der Integration von Workspace ONE UEM in Ihre Verzeichnisdienstinfrastruktur. Durch diese Form der Integration Ihres Verzeichnisdiensts können Sie Benutzer und optional Benutzergruppen wie Sicherheitsgruppen und Verteilerlisten automatisch importieren.

Bei der Integration in einen Verzeichnisdienst wie Active Directory (AD) stehen Optionen zum Importieren von Benutzern zur Verfügung.

  • Allen Verzeichnisbenutzern die Registrierung gestatten – Sie können allen Verzeichnisdienstbenutzern die Registrierung gestatten. Zudem können Sie Ihre Umgebung so konfigurieren, dass Benutzer basierend auf ihrer E-Mail-Adresse automatisch erkannt werden. Erstellen Sie anschließend während der Registrierung für sie ein Benutzerkonto für Workspace ONE UEM.
  • Benutzer nacheinander hinzufügen – Nach der Integration in einen Verzeichnisdienst können Sie Benutzer einzeln auf dieselbe Art und Weise hinzufügen wie bei der Erstellung von Workspace ONE UEM-Standardbenutzerkonten. Der einzige Unterschied besteht darin, dass Sie Ihren Benutzernamen eingeben und Benutzer prüfen auswählen müssen, damit die verbleibenden Informationen in Ihrem Verzeichnisdienst automatisch aufgefüllt werden.
  • CSV-Datei per Batch-Upload hochladen – Mithilfe dieser Option können Sie eine Liste von Verzeichnisdienstkonten in einer CSV-Vorlagendatei (Comma-Separated Values) importieren. Die Datei enthält bestimmte Spalten, von denen einige nicht leer sein dürfen.
  • In Benutzergruppen integrieren (optional) – Durch diese Methode können Sie mit Ihren vorhandenen Benutzergruppenmitgliedschaften Profile, Apps, Konformitätsrichtlinien etc. zuweisen.

Hinweis: Informationen zur Integration Ihrer Workspace ONE UEM-Umgebung in Ihren Verzeichnisdienst, einschließlich der SAML-Anbieterintegration, finden Sie im Handbuch zur Integration von Verzeichnisdiensten.

Verzeichnisdienst-Integration und Registrierungseinschränkungen

Bei der Konfiguration der Verzeichnisdienstintegration auf Workspace ONE UEM erben die Verzeichnisdienstkonten die Registrierungseinstellungen von der Organisationsgruppe (OG), mit der der Verzeichnisdienst konfiguriert wird. Standardkonten orientieren sich jedoch an den lokalen Einstellungen einschließlich Überschreibungen.

Das Diagramm zeigt ein einfaches Organisationsgruppenmodell mit einer übergeordneten und einer untergeordneten OG.

In obigem Organisationsgruppenmodell als Beispiel ist die Option Unternehmensdaten löschen auf Geräten von Benutzern, die aus konfigurierten Gruppen entfernt werden in einer OG namens ‚Customer’ aktiviert.

In diesem Szenario werden Verzeichnis-Registrierungsbenutzern in der untergeordneten Organisationsgruppe Sales01, die eine konfigurierte Gruppe verlassen, ihre Geräte als zurückgesetzt angezeigt, obwohl in dieser OG die Überschreibung konfiguriert wurde. Dies gilt auch, wenn diese Konten über Geräte verfügen, die in einer anderen OG registriert sind, da die Registrierungseinstellungen Benutzerorientiert und nicht geräteorientiert sind.

Allerdings werden in diesem Szenario Geräte von standardmäßigen Registrierungsbenutzern der Sales01-OG, die die konfigurierte Gruppe verlassen, nicht zurückgesetzt. Dies liegt daran, dass standardmäßige Registrierungsbenutzer in Sales01 nicht Teil des in der OG integrierten Verzeichnisdienstes sind und deshalb die überschriebene Registrierungseinschränkung erkannt und erfüllt wird.

Übergeordnetes Thema: Geräteregistrierung

check-circle-line exclamation-circle-line close-line
Scroll to top icon