Enrôlement du terminal

Vous devez enrôler un terminal avant de pouvoir le gérer avec Workspace ONE UEM. Il existe plusieurs chemins d'accès à l'enrôlement, chacun incluant des options. Pour obtenir des informations détaillées sur l'enrôlement par lots de terminaux BYOD, COPE et partagés, reportez-vous à la section Comment enrôler des terminaux dans Workspace ONE UEM ?

Raisons pour lesquelles vous ne devez pas enrôler de terminaux dans Global

Avant de commencer le processus d'enrôlement, vous devez comprendre une chose essentielle à propos du groupe organisationnel de niveau supérieur, communément appelé Global. Enrôler les terminaux directement dans Global n'est pas une bonne idée, pour plusieurs raisons : Il s'agit de la mutualisation, de l'héritage et de la fonctionnalité.

Mutualisation

Vous pouvez créer autant de groupes organisationnels enfants que vous le souhaitez et configurer chacun d'entre eux indépendamment. Les paramètres que vous appliquez à un groupe organisationnel enfant n'ont aucun impact sur les autres groupes enfants.

Héritage

Les modifications apportées au niveau d'un groupe organisationnel parent s'appliquent aux enfants. De la même manière, les modifications apportées à un groupe organisationnel enfant ne s'appliquent pas au parent ou aux autres enfants.

Fonctionnalité

Certains paramètres et fonctionnalités ne peuvent être configurés que pour les groupes organisationnels de type Client. Ces paramètres incluent la protection contre la réinitialisation, Télécom et le contenu personnel. Les terminaux ajoutés directement au groupe organisationnel de niveau supérieur Global sont exclus de ces paramètres et fonctionnalités.

Le groupe organisationnel Global est conçu pour héberger le groupe Client et d'autres types de groupes organisationnels. Étant donné le fonctionnement de l'héritage, si vous ajoutez des terminaux au groupe Global et configurez ce groupe avec des paramètres ayant une incidence sur ces terminaux, vous modifiez également tous les sous-groupes organisationnels Client. Cela réduit les avantages de la mutualisation et de l'héritage.

Enrôler un terminal avec Workspace ONE Intelligent Hub

L'enrôlement d'un terminal avec Workspace ONE Intelligent Hub est la principale option pour les terminaux Android, iOS et Windows dans Workspace ONE Express et Workspace ONE UEM.

1. Téléchargez et installez Workspace ONE Intelligent Hub depuis Google Play Store (pour les terminaux Android) ou depuis l'App Store (pour les terminaux Apple).

   Le téléchargement de Workspace ONE Intelligent Hub depuis une boutique d'applications publiques nécessite un ID Apple ou un compte Google.

   Les terminaux Windows 10 doivent diriger le navigateur par défaut du terminal sur https://getwsone.com pour télécharger le Hub.

2. Exécutez Workspace ONE Intelligent Hub à l'issue du téléchargement ou revenez à votre session de navigateur.

   Important : Pour éviter tout problème lors de l'installation et de l'utilisation de Workspace ONE Intelligent Hub sur un terminal Android, le terminal doit disposer de 60 Mo d'espace libre minimum. Vous pouvez allouer du CPU et de la mémoire d'exécution par application sur la plateforme Android. Si une application utilise plus de ressources que celles qui lui sont allouées, les périphériques Android l'arrêtent afin d'optimiser leurs performances.

3. Saisissez votre adresse e-mail lorsque vous y êtes invité. Workspace ONE Console vérifie si votre adresse a été ajoutée à l'environnement. Si c'est le cas, vous êtes déjà configuré en tant qu'utilisateur final et votre groupe organisationnel vous a déjà été attribué.

   Si Workspace ONE Console ne peut pas vous identifier en tant qu'utilisateur final d'après votre adresse e-mail, vous serez invité à indiquer votre Serveur, votre ID de groupe et vos Identifiants. Votre administrateur peut fournir l'URL d'environnement et l'ID de groupe.

4. Finalisez l'enrôlement en suivant tous les autres messages qui s'affichent. Vous pouvez utiliser votre adresse e-mail à la place du nom d'utilisateur. Si deux utilisateurs ont la même adresse e-mail, l'enrôlement échoue.

Le terminal est maintenant enrôlé avec l'application Workspace ONE Intelligent Hub. Dans l'onglet Résumé de la Vue détaille du terminal pour ce terminal, le panneau de sécurité affiche « Hub enregistré » pour refléter cette méthode d'enrôlement.

Pour plus d'informations, consultez la rubrique Détails du terminal.

Enrôlement par détection automatique

Workspace ONE UEM simplifie le processus d'enrôlement grâce à un système de détection automatique basé sur l'e-mail pour enrôler les terminaux dans des environnements et des groupes organisationnels (OG) de type « client ». La détection automatique permet également aux utilisateurs de s'authentifier sur le portail en libre-service (SSP).

Remarque : afin d'activer une détection automatique pour les environnements sur site, assurez-vous que votre environnement peut communiquer avec les serveurs de détection automatique de Workspace ONE UEM.

Inscription pour l'enrôlement par détection automatique

Le serveur vérifie que le domaine d'e-mail a un nom unique et qu'il n'est pas déjà inscrit dans un autre groupe organisationnel de l'environnement. À cause de cette vérification du serveur, enregistrez votre domaine dans votre groupe organisationnel de type « client » de plus haut niveau.

La détection automatique est configurée automatiquement pour les nouveaux clients SaaS.

Configuration de l'enrôlement par détection automatique à partir d'un groupe organisationnel de type « client »

L'enrôlement par détection automatique simplifie le processus d'enrôlement des terminaux dans les groupes organisationnels de type « client » auxquels ils sont destinés à l'aide des adresses e-mail des utilisateurs finaux. Configurez un enrôlement de détection automatique depuis un groupe organisationnel de type « client » en effectuant les opérations suivantes.

1. Passez à un groupe organisationnel de type « client » à l'aide du sélecteur de groupe organisationnel.
2. Accédez à Groupes et paramètres > Tous les paramètres > Administrateur > Services Cloud et activez le paramètre Détection automatique. Saisissez l'adresse e-mail de connexion dans ID AirWatch de détection automatique et sélectionnez Définir une identité.
   1. Si nécessaire, accédez à https://my.workspaceone.com/set-discovery-password afin de définir votre mot de passe pour le service de détection automatique. Une fois vous avez enregistré et sélectionné cliqué sur Définir une identité, le jeton HMAC s'affiche automatiquement.. Cliquez sur Tester la connexion pour vous assurer que la connexion fonctionne.
3. Activez l'option Épinglage de certificat de détection automatique pour importer votre propre certificat et l'épingler à la fonction de détection automatique. Vous pouvez passer en revue les dates de validité et d'autres informations concernant les certificats existants, et utiliser les options Remplacer et Supprimer pour ces certificats.
4. Sélectionnez Ajouter un certificat ; les paramètres Nom et Certificat s'affichent. Saisissez le nom du certificat à importer, sélectionnez le bouton Importer et choisissez le certificat sur votre terminal.
5. Cliquez sur Enregistrer pour terminer la configuration de la détection automatique.

Étapes suivantes : Demandez aux utilisateurs finaux qui se sont enrôlés de sélectionner l'option d'adresse e-mail pour l'authentification au lieu de l'URL d'environnement et de l'ID de groupe. Lorsque les utilisateurs enrôlent des terminaux à l'aide de leur adresse e-mail, ils s'enrôlent dans le groupe indiqué dans le champ Groupe organisationnel d'enrôlement du compte utilisateur associé.

Flux de travail d'enrôlement supplémentaires

Dans certains cas uniques, vous pouvez ajuster le processus d'enrôlement en Workspace ONE UEM pour des organisations et des déploiements spécifiques. Pour chacune des options d'enrôlement supplémentaires, les utilisateurs finaux doivent utiliser les identifiants fournis dans la section Informations requises de ce guide.

• Environnements multi-domaines – Les identifiants de connexion pour l'enrôlement dans les environnements à un seul domaine et multi-domaines sont pris en charge s'ils sont fournis au format suivant. domain\username.
• Mode Kiosque et concepteur de kiosques – Les utilisateurs finaux de postes de travail Windows peuvent configurer leurs terminaux en mode Kiosque. Les utilisateurs peuvent également utiliser le concepteur de kiosques dans Workspace ONE UEM Console pour créer un kiosque multi-applications.
• Enrôlement par invitation – L'utilisateur final reçoit une notification (par e-mail ou SMS) contenant l'URL d'enrôlement et saisit son ID de groupe ainsi que ses identifiants de connexion. Lorsque l'utilisateur final accepte les conditions d'utilisation, le terminal est automatiquement enrôlé et équipé de toutes les fonctionnalités et de l'ensemble du contenu MDM. Cette acceptation comprend des applications et fonctionnalités sélectionnées depuis le serveur Workspace ONE UEM.
• Enrôlement en un clic – Dans ce processus qui s'applique aux enrôlements basés sur le Web, l'administrateur envoie à l'utilisateur un jeton généré par Workspace ONE UEM ainsi qu'une URL d'enrôlement. L'utilisateur n'a qu'à sélectionner le lien fourni pour s'authentifier et enrôler le terminal, ce qui facilite et accélère grandement le processus d'enrôlement pour l'utilisateur. Vous pouvez sécuriser cette méthode en définissant des délais d'expiration.
  • Enrôlement par le Web – L'administrateur peut faire appel à un écran d'accueil facultatif pour les enrôlements Web en ajoutant « /enroll/welcome » à l'environnement actif. Par exemple, si vous fournissez l'URL https://your_custom_environment**/enroll/welcome** aux utilisateurs participant à l'enrôlement par le Web, ils verront apparaître un écran Bienvenue dans Workspace ONE UEM. Cet écran comprend des options pour s'enrôler avec une adresse e-mail ou un ID de groupe. L'option d'enrôlement par le web s'applique à Workspace ONE UEM versions 8.0 et supérieures.
• Double authentification – Dans ce processus, l'administrateur envoie le même jeton d'enrôlement généré par Workspace ONE UEM, mais l'utilisateur doit également saisir ses identifiants de connexion. Cette méthode est tout aussi facile à exécuter que l'enrôlement en un clic, mais fournit un niveau de sécurité supplémentaire. La mesure de sécurité supplémentaire consiste à demander à l'utilisateur de saisir ses identifiants personnels.
• Inscription par l'utilisateur final – L'utilisateur se connecte au portail self-service (SSP) et inscrit son propre terminal. Une fois l'inscription terminée, le système envoie à l'utilisateur final un e-mail contenant l'URL d'enrôlement et les identifiants de connexion. Ce processus présuppose que les administrateurs n'ont pas encore effectué d'inscription de terminaux pour la flotte de terminaux professionnels. Il suppose également que vous requérez que les terminaux professionnels soient inscrits pour que les administrateurs puissent consulter le statut d'enrôlement. En outre, l'enregistrement de l'utilisateur final signifie que les terminaux professionnels peuvent être utilisés avec des terminaux achetés par l'utilisateur.
• Préenrôlement de terminaux à utilisateur unique – L'administrateur enrôle les terminaux pour un utilisateur. Cette méthode est utile pour les administrateurs qui doivent configurer plusieurs terminaux pour une équipe ou pour des membres d'une équipe. Une telle méthode permet d'économiser temps et efforts lors de l'enrôlement des terminaux. L'administrateur peut aussi configurer et enrôler un terminal et l'envoyer directement à un utilisateur qui n'est pas sur place.
• Préenrôlement de terminaux partagés – L'administrateur enrôle des terminaux qui seront utilisés par plusieurs personnes. Chaque terminal est enrôlé et équipé d'un ensemble de fonctionnalités spécifiques auxquelles les utilisateurs ont accès uniquement après s'être connectés avec leurs identifiants personnels.