Avant de pouvoir enrôler des terminaux, chaque utilisateur de terminal doit disposer d'un compte utilisateur authentique reconnu par Workspace ONE UEM. Le type d'authentification utilisateur que vous sélectionnez dépend des besoins de votre organisation.
Le proxy d'authentification fournit une intégration des services d'annuaire via le Cloud ou les réseaux internes renforcés. Dans ce modèle, le serveur Workspace ONE UEM communique avec un serveur Web public ou un serveur Exchange ActiveSync. Cette organisation permet d'authentifier les utilisateurs en fonction du contrôleur de domaine.
AVANTAGES
INCONVÉNIENTS
L'authentification Active Directory avec LDAP et VMware Enterprise Systems Connector offre les mêmes fonctionnalités qu'une authentification Active Directory et LDAP traditionnelle. Ce modèle fonctionne via le Cloud pour les déploiements SaaS.
AVANTAGES
INCONVÉNIENTS
Modèle de déploiement SaaS
Modèle de déploiement sur site
L'authentification Security Assertion Markup Language (SAML) 2.0 propose la prise en charge de l'authentification unique, ainsi que l'authentification fédérée. Workspace ONE UEM ne reçoit jamais les identifiants professionnels.
Lorsqu'une organisation dispose d'un serveur fournisseur d'identité SAML, utilisez l'intégration SAML 2.0. Assurez-vous que le fournisseur d'identité renvoie l'attribut objectGUID
dans la réponse SAML.
AVANTAGES
INCONVÉNIENTS
La configuration SAML avec Workspace ONE Access en tant que fournisseur d'identité avec la fonctionnalité d'utilisateur de base local activée ne prend pas en charge l'authentification des utilisateurs de base.
Les applications SaaS ne sont pas disponibles pour les administrateurs SAML qui s'authentifient à l'aide de Workspace ONE Access.
Les applications SaaS, ainsi que d'autres stratégies et fonctions de Workspace ONE Access, ne sont pas disponibles si vous êtes un administrateur SAML qui s'authentifie à l'aide de Workspace ONE Access. Le message d'erreur suivant s'affiche lorsque vous accédez à la page Applications SaaS.
Vérifiez que votre compte administrateur existe à la fois dans les systèmes UEM et IDM, et que le domaine dans Workspace ONE UEM correspond exactement au domaine de ce compte dans VMware Identity Manager.
Pour restaurer l'accessibilité de l'application SaaS, vous devez vous connecter à Workspace ONE UEM à l'aide d'une authentification de base. Vous devez également activer Workspace ONE Access dans votre groupe organisationnel.
L'authentification basée sur les jetons est la méthode la plus simple pour qu'un utilisateur enrôle son terminal. Grâce à ce paramètre d'enrôlement, Workspace ONE UEM génère un jeton qui est placé dans l'URL d'enrôlement.
Pour l'authentification à un seul jeton, l'utilisateur accède au lien depuis le terminal pour procéder à l'enrôlement et le serveur Workspace ONE UEM mentionne le jeton fourni par l'utilisateur.
Pour plus de sécurité, définissez une période d'expiration (en heures) pour chaque jeton. Vous réduisez ainsi le risque qu'un autre utilisateur n'accède aux informations et fonctions disponibles sur ce terminal.
Vous pouvez aussi décider de mettre en place une authentification forte pour renforcer la vérification de l'identité de l'utilisateur final. Avec ce paramètre d'authentification, l'utilisateur doit saisir son nom d'utilisateur et son mot de passe en accédant au lien d'enrôlement grâce au jeton fourni.
AVANTAGES
INCONVÉNIENTS
Remarque : Les déploiements SaaS incluent SMTP.
Quand Workspace ONE UEM s’intègre à un type de sécurité utilisateur sélectionné et avant l'enrôlement, activez chaque mode d'authentification que vous autorisez.
Cochez les cases appropriées pour le paramètre de Mode d'authentication.
Paramètre | Description |
---|---|
Ajouter un domaine de messagerie | Ce bouton est utilisé pour configurer le service de détection automatique afin d'inscrire des domaines de messagerie à votre environnement. |
Mode(s) d'authentification | Sélectionnez les types d'authentification autorisés, parmi lesquels : * Basique : les comptes utilisateur basiques (ceux que vous créez manuellement dans UEM Console) peuvent s'enrôler. * Annuaire : les comptes utilisateur d'annuaire (ceux que vous avez importés ou autorisés à l'aide de l'intégration des services d'annuaire) peuvent s'enrôler. L'enrôlement direct de Workspace ONE prend en charge les utilisateurs d'annuaire avec ou sans SAML. * Proxy d'authentification : permet aux utilisateurs de s'enrôler à l'aide de comptes utilisateur Proxy d'authentification. Les utilisateurs s'authentifient auprès d'un point d'accès web. Renseignez les champs URL de proxy d'authentification, Sauvegarde de l'URL de proxy d'authentification et Type de méthode d'authentification (faites votre choix entre HTTP de base et Exchange ActiveSync). |
Source d'authentification pour Intelligent Hub | Sélectionnez le système que le service Intelligent Hub utilise comme source pour les utilisateurs et les stratégies d'authentification. * Workspace ONE UEM : sélectionnez ce paramètre si vous souhaitez que les services du Hub utilisent Workspace ONE UEM en tant que source pour les utilisateurs et les stratégies d'authentification. Lorsque vous configurez la page Configuration du Hub pour les services du Hub, entrez l'URL du locataire des services du Hub. * Workspace ONE Access : sélectionnez ce paramètre si vous souhaitez que les services du Hub utilisent Workspace ONE Access en tant que source pour les utilisateurs et les stratégies d'authentification. Lorsque vous configurez la page Configuration du Hub pour les services du Hub, entrez l'URL du locataire de Workspace ONE Access. Remarque : Si vous activez Workspace ONE Access comme source d’authentification pour Intelligent Hub et que vous utilisez une ligne de commande pour vous enrôler à des fins de préenrôlement, cette configuration est contournée en faveur des informations d’identification fournies dans la ligne de commande. Pour plus d'informations sur VMware Workspace ONE Intelligent Hub, reportez-vous à la documentation des services VMware Workspace ONE Hub. Pour plus d'informations sur Workspace ONE Access, reportez-vous à la documentation de VMware Workspace ONE Access. |
Mode d'enrôlement des terminaux | Sélectionnez le mode d'enrôlement des terminaux de votre préférence, notamment les options suivantes : * Enrôlement ouvert : permet essentiellement à toute personne répondant aux autres critères d'enrôlement (mode d'authentification, restrictions, etc.) de s'enrôler. L'enrôlement direct de Workspace ONE prend en charge l'enrôlement ouvert. * Terminaux enregistrés uniquement : autorise uniquement les utilisateurs à s'enrôler à l'aide de terminaux que vous ou eux avez inscrits. L'inscription des terminaux correspond au processus d'ajout de terminaux professionnels dans UEM Console avant leur enrôlement. L'enrôlement direct de Workspace ONE prend en charge l'autorisation d'enrôlement de terminaux enregistrés seulement, mais uniquement si les jetons d'enregistrement ne sont pas requis. |
Exiger un jeton d'enregistrement | Visible uniquement lorsque l'option Terminaux enregistrés uniquement est sélectionnée. Si vous limitez l'enrôlement aux terminaux enregistrés, vous pouvez aussi demander qu'un jeton d'enregistrement soit utilisé pour l'enrôlement. Cette option offre davantage de sécurité car elle vous assure qu'un utilisateur en particulier est autorisé à s'enrôler. Vous pouvez envoyer un e-mail ou un SMS et joindre le jeton d'enrôlement pour les utilisateurs disposant d'un compte Workspace ONE UEM. |
Exiger l'enregistrement Intelligent Hub pour les terminaux iOS | Cochez cette case pour exiger que les utilisateurs des terminaux iOS téléchargent et installent Workspace One Intelligent Hub avant de pouvoir s'enrôler. Si elle est désactivée, l'enrôlement par le Web est disponible. |
Exiger l'enrôlement Intelligent Hub pour les terminaux macOS | Cochez cette case pour exiger que les utilisateurs des terminaux macOS téléchargent et installent Workspace One Intelligent Hub avant de pouvoir s'enrôler. Si elle est désactivée, l'enrôlement par le Web est disponible. |
Cliquez sur Enregistrer.
L'authentification basique peut être utilisée pour identifier des utilisateurs dans l'architecture Workspace ONE UEM, mais cette méthode ne propose pas d'intégration aux comptes utilisateur d'entreprise existants.
AVANTAGES
INCONVÉNIENTS
L'authentification Active Directory (AD) avec Lightweight Directory Access Protocol (LDAP) permet d'intégrer les comptes utilisateur et administrateur Workspace ONE UEM aux comptes d'entreprise existants.
AVANTAGES
INCONVÉNIENTS