Lors de l'intégration de Workspace ONE UEM aux services d'annuaire, vous pouvez déterminer quels utilisateurs peuvent enrôler des terminaux dans votre déploiement professionnel.

Vous pouvez limiter l'enrôlement aux groupes configurés ou aux utilisateurs connus. Les utilisateurs connus sont ceux qui existent dans UEM Console. Les groupes configurés renvoient aux utilisateurs associés aux groupes du service d'annuaire si vous souhaitez une intégration aux groupes d'utilisateurs. Vous pouvez aussi limiter le nombre de terminaux enrôlés par groupe organisationnel et enregistrer les restrictions comme politique réutilisable.

Ces options sont disponibles en accédant à Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement et en cliquant sur l'onglet Restrictions. L'onglet Restrictions vous permet de personnaliser les politiques de restriction de l'enrôlement selon les rôles du groupe organisationnel ou du groupe d'utilisateurs.

  • Créez et attribuez les politiques de restriction de l'enrôlement existantes à l'aide des paramètres de politique.
  • Attribuez la politique à un groupe d'utilisateurs dans la section Paramètres d'attribution de groupe.
  • Créez des listes bloquées ou autorisées de terminaux selon la plateforme, le système d'exploitation, l'UDID, le numéro IMEI, etc.
Paramètre Description
Gestion de l'accès utilisateur

L'enrôlement direct de Workspace ONE prend en charge toutes les options de contrôle de l'accès utilisateur.

Restreindre l'enrôlement aux utilisateurs connus – Permet de restreindre l'enrôlement aux seuls utilisateurs qui existent dans UEM Console. Cette restriction s'applique aux utilisateurs de l'annuaire que vous avez ajoutés un par un à UEM Console, manuellement ou par lot. Elle peut également être utilisée pour verrouiller un enrôlement suite à un déploiement initial autorisant tout le monde à s'enrôler. Cette option vous permet de sélectionner les utilisateurs capables de s'enrôler.

Vous pouvez autoriser tous les utilisateurs de l'annuaire qui ne possèdent pas de compte dans UEM Console à s'enrôler dans Workspace ONE UEM en désactivant cette option. Les comptes utilisateur sont automatiquement créés au cours de l'enrôlement.

Restreindre l'enrôlement aux groupes configurés –Activez cette option pour limiter l'enrôlement aux utilisateurs appartenant à tous les groupes ou aux groupes sélectionnés (en cas d'intégration aux groupes d'utilisateurs). Ne sélectionnez pas cette option si vous n'avez pas procédé à l'intégration aux groupes d'utilisateurs du service d'annuaire.
Note : La restriction de l'enrôlement aux groupes configurés est uniquement prise en charge avec l'enrôlement utilisateur Juste-à-temps (JIT), lorsque chacun des éléments suivants est vérifié :
  • Workspace ONE UEM est configuré comme la source d'authentification pour Workspace ONE Intelligent Hub, que vous configurez en accédant à Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement, puis en sélectionnant l'onglet Authentification.
  • SAML pour l'authentification est désactivé pour les utilisateurs d'enrôlement. Configurez ce paramètre en accédant à Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > Services d'annuaire et consultez la documentation relative aux paramètres système des services d'annuaire.

Vous pouvez créer des comptes utilisateur Workspace ONE UEM lors de l'enrôlement en désactivant l'option pour autoriser tous les utilisateurs de l'annuaire à s'enrôler. Sélectionnez Effacer les données professionnelles sur les terminaux des utilisateurs qui sont supprimés des groupes configurés pour effacer automatiquement les données professionnelles des terminaux. Si l'option Tous les groupes est sélectionnée, les terminaux n'appartenant à aucun groupe d'utilisateurs sont supprimés. Si l'option Groupes sélectionnés est définie, les terminaux n'appartenant à un groupe d'utilisateurs spécifique sont supprimés.

Une possibilité d'intégration aux groupes d'utilisateurs consiste à créer un groupe de service d'annuaire « Approuvé par le MDM », à l'importer vers Workspace ONE UEM, puis à ajouter les groupes d'utilisateurs du service d'annuaire existants au groupe « Approuvé par le MDM » lorsqu'ils sont éligibles pour Workspace ONE UEM.

Définir la limite du nombre maximum de terminaux enrôlés au niveau de ce groupe organisationnel et au niveau inférieur

Activez ce paramètre et saisissez le nombre limite de terminaux pour restreindre le nombre de terminaux autorisés à s'enrôler dans le groupe organisationnel actuel.

L'enrôlement direct de Workspace ONE prend en charge cette option.

Note : les restrictions d'enrôlement ne s'appliquent pas aux terminaux iOS enrôlés via le programme d'inscription de terminaux d'Apple (DEP), les informations requises du terminal étant seulement reçues après l'enrôlement.