This site will be decommissioned on January 30th 2025. After that date content will be available at techdocs.broadcom.com.

Restrictions d'enrôlement supplémentaires

Vous pouvez définir des restrictions d'enrôlement supplémentaires afin de contrôler qui procède à l'enrôlement dans Workspace ONE UEM et quels types de terminaux sont autorisés.

La mise en place de restrictions d'enrôlement supplémentaires s'applique à tous les types de déploiement, quels que soient l'intégration des services d'annuaire, la prise en charge du BYOD, l'inscription des terminaux, ou d'autres configurations.

Vous pouvez également déterminer le nombre maximum de terminaux enrôlés par groupe organisationnel. Après avoir configuré les restrictions d'enrôlement, vous pouvez même les enregistrer en tant que politique.

Considération n° 1 : Pensez-vous définir des limites relatives à des plateformes spécifiques, aux versions d'OS ou au nombre maximum de terminaux autorisés ?

  • Voulez-vous uniquement prendre en charge les terminaux disposant de la fonction intégrée de gestion d'entreprise, tels que les appareils Samsung SAFE/Knox, HTC Sense, LG Enterprise et Motorola ? Si oui, vous pouvez demander à ce que les terminaux Android possèdent une version entreprise supportée en guise de restriction d'enrôlement.
  • Voulez-vous limiter le nombre de terminaux qu'un utilisateur est autorisé à enrôler ? Si oui, vous pouvez définir ce nombre, en précisant la quantité de terminaux professionnels et de terminaux personnels.
  • Certaines plateformes ne sont-elles pas prises en charge par votre déploiement ? Si oui, vous pouvez créer une liste de plateformes bloquées.

Votre organisation doit évaluer le nombre et les types de terminaux appartenant à vos employés. Elle doit également déterminer ceux qu'elle souhaite utiliser dans votre environnement de travail. Une fois que ce travail est terminé, vous pouvez enregistrer ces restrictions d'enrôlement en tant que politique.

Considération #2 : Pensez-vous limiter l'enrôlement à une liste définie de terminaux professionnels ?

Les options supplémentaires d'inscription permettent de contrôler les terminaux autorisés à être enrôlés. Pour les déploiements BYOD, vous pouvez empêcher l'enrôlement des terminaux sur liste bloquée ou le limiter aux terminaux sur liste autorisée. Vous pouvez afficher les terminaux sur liste autorisée par type, plateforme, ID de terminal et numéro de série.

Par exemple, si vous souhaitez bloquer l’enrôlement des terminaux Windows dans Workspace ONE UEM via une OOBE (out-of-box experience), vous devez créer une liste bloquée incluant tous les numéros IMEI, de série ou UDID pour tous les terminaux Windows que vous souhaitez exclure.

Pour plus d'informations, reportez-vous à la section Enregistrement des terminaux sur liste bloquée et liste autorisée.

Considération n° 3 : Pensez-vous limiter le nombre de terminaux enrôlés par groupe organisationnel ?

Vous pouvez appliquer une limite de terminaux enrôlés pour un groupe organisationnel. Cela vous permet de gérer votre déploiement en vous empêchant de dépasser le nombre d'enrôlements valides. Pour plus d'informations, consultez la section Limiter le nombre de terminaux enrôlés par groupe organisationnel sur cette page.

Configurer les paramètres de restriction d'enrôlement

Lors de l'intégration de Workspace ONE UEM aux services d'annuaire, vous pouvez déterminer quels utilisateurs peuvent enrôler des terminaux dans votre déploiement professionnel.

Vous pouvez limiter l'enrôlement aux groupes configurés ou aux utilisateurs connus. Les utilisateurs connus sont ceux qui existent dans la console. Les groupes configurés renvoient aux utilisateurs associés aux groupes du service d'annuaire si vous souhaitez une intégration aux groupes d'utilisateurs. Vous pouvez aussi limiter le nombre de terminaux enrôlés par groupe organisationnel et enregistrer les restrictions comme politique réutilisable.

Ces options sont disponibles en accédant à Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement et en cliquant sur l'onglet Restrictions. L'onglet Restrictions vous permet de personnaliser les politiques de restriction de l'enrôlement selon les rôles du groupe organisationnel ou du groupe d'utilisateurs.

  • Créez et attribuez les politiques de restriction de l'enrôlement existantes à l'aide des paramètres de politique.
  • Attribuez la politique à un groupe d'utilisateurs dans la section Paramètres d'attribution de groupe.
  • Créez des listes bloquées ou autorisées de terminaux selon la plateforme, le système d'exploitation, l'UDID, le numéro IMEI, etc.
Paramètre Description
Gestion de l'accès utilisateur L'enrôlement direct de Workspace ONE prend en charge toutes les options de contrôle de l'accès utilisateur.
Restreindre l'enrôlement aux utilisateurs connus – Permet de restreindre l'enrôlement aux seuls utilisateurs qui existent dans UEM Console. Cette restriction s'applique aux utilisateurs de l'annuaire que vous avez ajoutés un par un à UEM Console, manuellement ou par lot. Elle peut également être utilisée pour verrouiller un enrôlement suite à un déploiement initial autorisant tout le monde à s'enrôler. Cette option vous permet de sélectionner les utilisateurs capables de s'enrôler.
Vous pouvez autoriser tous les utilisateurs de l'annuaire qui ne possèdent pas de compte dans UEM Console à s'enrôler dans Workspace ONE UEM en désactivant cette option. Les comptes utilisateur sont automatiquement créés au cours de l'enrôlement.
Restreindre l'enrôlement aux groupes configurés –Activez cette option pour limiter l'enrôlement aux utilisateurs appartenant à tous les groupes ou aux groupes sélectionnés (en cas d'intégration aux groupes d'utilisateurs). Ne sélectionnez pas cette option si vous n'avez pas procédé à l'intégration aux groupes d'utilisateurs du service d'annuaire.
Remarque : La restriction de l'enrôlement aux groupes configurés est uniquement prise en charge avec l'enrôlement utilisateur Juste-à-temps (JIT), lorsque chacun des éléments suivants est vérifié :
* Workspace ONE UEM est configuré comme source d'authentification pour Workspace ONE Intelligent Hub, que vous configurez en accédant à Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement puis à l'onglet Authentification.
* SAML pour l'authentification est désactivé pour les utilisateurs d'enrôlement. Configurez ce paramètre en accédant à Groupes et paramètres > Tous les paramètres > Système Intégration d'entreprise > Services d'annuaire et consultez la documentation relative aux paramètres système des services d'annuaire.
Vous pouvez créer des comptes utilisateur Workspace ONE UEM lors de l'enrôlement en désactivant l'option pour autoriser tous les utilisateurs de l'annuaire à s'enrôler. Sélectionnez Effacer les données professionnelles sur les terminaux des utilisateurs qui sont supprimés des groupes configurés pour effacer automatiquement les données professionnelles des terminaux. Si l'option Tous les groupes est sélectionnée, les terminaux n'appartenant à aucun groupe d'utilisateurs sont supprimés. Si l'option Groupes sélectionnés est définie, les terminaux n'appartenant à un groupe d'utilisateurs spécifique sont supprimés.
Une possibilité d'intégration aux groupes d'utilisateurs consiste à créer un groupe de service d'annuaire « Approuvé par le MDM », à l'importer vers Workspace ONE UEM. puis à ajouter les groupes d'utilisateurs du service d'annuaire existants au groupe « Approuvé par le MDM » lorsqu'ils sont éligibles pour Workspace ONE UEM.
Définir la limite du nombre maximum de terminaux enrôlés au niveau de ce groupe organisationnel et au niveau inférieur Activez ce paramètre et saisissez le nombre limite de terminaux pour restreindre le nombre de terminaux autorisés à s'enrôler dans le groupe organisationnel actuel. L'enrôlement direct de Workspace ONE prend en charge cette option.

Remarque : les restrictions d'enrôlement ne s'appliquent pas aux terminaux iOS enrôlés via le programme d'inscription de terminaux d'Apple (DEP), les informations requises du terminal étant seulement reçues après l'enrôlement.

Limiter le nombre de terminaux enrôlés par groupe organisationnel

Vous pouvez appliquer une limite au nombre de terminaux enrôlés pour n'importe quel type de groupe organisationnel (global, client, partenaire). Cela vous permet de gérer votre déploiement en vous empêchant de dépasser le nombre d'enrôlements valides dans un environnement d'allocation de licence par terminal.

Lorsqu'une limite est définie sur un groupe organisationnel, vous ne pouvez pas définir d'autre limite dans la même branche de groupe organisationnel. Vous pouvez définir une limite de terminal enrôlé si vous la configurez dans une autre branche de groupe organisationnel.

Le diagramme montre une arborescence hiérarchique de groupe organisationnel présentant une limitation réussie des terminaux enrôlés en raison de la façon dont la limite a été appliquée à des branches distinctes.Le diagramme montre une arborescence hiérarchique de groupe organisationnel présentant une limitation des terminaux enrôlés qui a échoué en raison de la façon dont la limite a été appliquée à la même branche.

Si cette option n'est pas disponible, vérifiez le groupe organisationnel parent (supérieur au groupe actuel) ou un sous-groupe (inférieur au groupe actuel). Une limite est probablement déjà définie au-dessus ou en dessous du groupe organisationnel actuel.

  1. Naviguez vers Terminaux et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement et sélectionnez l'onglet Restrictions.
  2. Activez la limite dans Définir la limite du nombre maximum de terminaux enrôlés au niveau de ce groupe organisationnel et au niveau inférieur.

Créer une politique de restriction d'enrôlement

Votre organisation doit évaluer le nombre et les types de terminaux appartenant à vos employés. Elle doit également déterminer les terminaux à utiliser dans votre environnement de travail. Une fois que ce travail est terminé, vous pouvez enregistrer ces restrictions d'enrôlement en tant que politique.

Cette capture d'écran montre l'onglet Restrictions dans le paramètre système Enrôlement général de terminaux et utilisateurs.

  1. Accédez à Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement.
  2. Sélectionnez l'onglet Restrictions, puis cliquez sur Ajouter une politique, dans la section Paramètres de la politique.
  3. Dans l'écran Ajouter/Modifier la politique de restriction d'enrôlement, configurez les options de votre politique de restriction d'enrôlement en fonction des descriptions suivantes.

    Cette capture d'écran montre la page Ajouter/Modifier la politique de restriction d'enrôlement, que vous pouvez utiliser pour créer une stratégie de restriction.

    Paramètre Description
    Nom de la politique de restriction d'enrôlement Saisissez un nom pour votre politique de restriction d'enrôlement.
    Groupe organisationnel Sélectionnez un groupe organisationnel dans la liste déroulante. Il s'agit du groupe organisationnel auquel votre nouvelle politique de restriction d'enrôlement s'appliquera.
    Type de politique Sélectionnez le type de politique, qui peut être Par défaut pour le groupe organisationnel pour l'appliquer au groupe organisationnel choisi, ou Politique des groupes d'utilisateurs pour l'appliquer à des groupes d'utilisateurs spécifiques grâce aux paramètres d'attribution du groupe dans l'onglet Restrictions.
    Types de propriété autorisés Sélectionnez si vous autorisez ou non les terminaux professionnels, partagés et/ou personnels. L'enrôlement direct de Workspace ONE prend uniquement en charge les types de propriété professionnel et personnel.
    Types d'enrôlement autorisés Sélectionnez si vous autorisez ou non l'enrôlement des terminaux utilisant les applications MDM (VMware Workspace ONE Intelligent Hub) et Container (pour iOS/Android).
    Nombre maximal de terminaux par utilisateur Choisissez Illimité pour permettre aux utilisateurs d'enrôler autant de terminaux qu'ils le souhaitent. L'enrôlement direct de Workspace ONE prend en charge la définition d'une limite de terminaux par utilisateur. Décochez cette case pour saisir des valeurs dans la section Nombre maximal de terminaux par utilisateur afin de définir le nombre maximal de terminaux par type de propriété.
    * Nombre maximum de terminaux par utilisateur
    * Nombre maximum de terminaux professionnels
    * Nombre maximum de terminaux partagés
    * Nombre maximum de terminaux personnels
    Types de terminaux autorisés Cochez la case Limiter l'enrôlement à des plateformes, modèles ou systèmes d'exploitation spécifiques pour ajouter des restrictions supplémentaires, propres au terminal. Cette option est prise en charge par l'enrôlement direct de Workspace ONE.
    Mode de restrictions au niveau du terminal Cette option est disponible seulement si Limiter l'enrôlement à des plateformes, modèles ou systèmes d'exploitation spécifiques est sélectionné dans Types de terminaux autorisés.
    Déterminez le type de limitations de terminal que vous souhaitez.
    * Autoriser uniquement les types de terminaux répertoriés (liste autorisée) – Sélectionnez cette option pour autoriser explicitement les terminaux correspondant aux paramètres saisis et bloquer tous les autres.
    Bloquer les types de terminaux répertoriés (liste bloquée) – Sélectionnez cette option pour bloquer les terminaux correspondant aux paramètres saisis et autoriser tous les autres.
    Pour l'un ou l'autre des modes de restrictions au niveau du terminal, cliquez sur Ajouter une restriction de terminal afin de sélectionner une plateforme, un modèle, un fabricant (terminaux Android uniquement), un système d'exploitation. Vous pouvez aussi ajouter une limite de terminaux par restriction de terminal définie. Vous pouvez ajouter plusieurs restrictions de terminaux.
    Vous pouvez également bloquer des terminaux spécifiques en fonction de leur IMEI, numéro de série ou UDID en naviguant vers Terminaux > Cycle de vie > Statut de l'enrôlement et en cliquant sur Ajouter. Ceci est une manière efficace de bloquer un seul et unique terminal et de l'empêcher de se réenrôler sans affecter d'autres terminaux d'utilisateurs. Vous pouvez aussi empêcher le réenrôlement lors d'un effacement des données professionnelles.
    Cette option est prise en charge par l'enrôlement direct de Workspace ONE.
  4. Cliquez sur Enregistrer pour sauvegarder vos modifications et revenez à l'écran Terminaux et utilisateurs / Général / Enrôlement.

Rubrique parente : Enrôlement du terminal

check-circle-line exclamation-circle-line close-line
Scroll to top icon