Auto-enrôlement ou préenrôlement

Workspace ONE UEM prend en charge deux méthodes d'enrôlement des terminaux professionnels. Vous pouvez laisser vos utilisateurs enrôler leurs propres terminaux ou les administrateurs peuvent le faire à leur place dans le cadre d'un processus appelé pré-enrôlement du terminal.

Lors du préenrôlement des terminaux, l'administrateur enrôle les terminaux avant de les attribuer et de les distribuer aux utilisateurs. Cette méthode est utile pour les administrateurs qui doivent configurer des terminaux pour les utilisateurs finaux au sein d'une organisation.

Le préenrôlement peut être réalisé sur les terminaux Android, iOS et macOS.

Considération n° 1 : Propriété du terminal

• Vos utilisateurs ont-il déjà des terminaux professionnels attribués ? Si c'est le cas, il est plus pratique d'autoriser les utilisateurs à procéder eux-mêmes à l'enrôlement plutôt que de collecter chaque terminal pour le préenrôler.

• Vos utilisateurs partagent-ils les terminaux ou utilisent-ils leurs propres appareils ? S'ils ne partagent pas les terminaux, vous pouvez alors confier la responsabilité de l'inscription de ceux-ci à chaque utilisateur.

  Le préenrôlement des terminaux fonctionne également parfaitement pour les terminaux provisionnés puisqu'il est effectué avant que l'employé ne reçoive le terminal. Si vos utilisateurs ont déjà des terminaux d'entreprise, il est conseillé de les autoriser à s'auto-enrôler. Le fait de laisser les utilisateurs enrôler leurs propres terminaux est également intéressant lorsque le nombre total de terminaux ne permet pas aux administrateurs d'effectuer leur préenrôlement.

Considération #2 : Détection automatique

Associez-vous votre domaine de messagerie à votre environnement Workspace ONE UEM ? Ce processus, connu sous le nom de détection automatique, signifie que les utilisateurs n'ont besoin que de leur adresse e-mail et de leurs identifiants. L'URL d'enrôlement et l'ID de groupe sont entrés automatiquement.

Reportez-vous également à la section Enrôlement par détection automatique.

Considération n° 3 : Enrôlement direct de Workspace ONE

Le préenrôlement de terminal via l'enrôlement direct de Workspace ONE n'est pas pris en charge. Si vous devez préenrôler un terminal pour un ou plusieurs utilisateurs, vous devez enrôler le terminal avec Workspace ONE Intelligent Hub au lieu d'utiliser l'enrôlement direct de Workspace ONE.

L'enrôlement direct de Workspace ONE est une fonction qui convient parfaitement à l'auto-enrôlement. Une fois activés, tous les terminaux qualifiés qui se connectent au groupe organisationnel d'enrôlement sont immédiatement enrôlés. Une fois l'installation terminée, l'utilisateur final peut accepter d'installer les applications sélectionnées par l'entreprise ou refuser leur installation.

Pour plus d'informations, consultez la section Enrôlement direct de Workspace ONE.

Considération n° 4 : Participez-vous au programme d'enrôlement des terminaux Apple ?

Pour tirer le meilleur parti des terminaux Apple enrôlés dans le MDM, Apple a mis en place le programme d'inscription des appareils Apple (Device Enrollment Program, aussi appelé DEP). Grâce à DEP, vous pouvez réaliser les actions suivantes.

• Installer un profil MDM non supprimable afin d'empêcher les utilisateurs finaux de l'effacer.
• Déployer des terminaux en mode Supervisé (iOS uniquement). Les terminaux en mode supervisé peuvent accéder à des paramètres de configuration et de sécurité supplémentaires.
• Appliquer un enrôlement pour tous utilisateurs finaux.
• Répondre à vos besoins en personnalisant et en simplifiant le processus d'enrôlement.
• Empêcher la sauvegarde dans iCloud en interdisant aux utilisateurs de se connecter avec un identifiant Apple lors de la génération d'un profil DEP.
• Forcer les mises à jour d'OS pour tous les utilisateurs.

Considération n° 5 : Utilisation d'Apple Configurator

Apple Configurator permet aux administrateurs de déployer et gérer efficacement les terminaux iOS. Les organisations telles que les magasins, les écoles ou les hôpitaux trouveront cette fonctionnalité particulièrement utile pour préenrôler des terminaux afin qu'ils soient partagés par plusieurs utilisateurs.

L'utilisation d'Apple Configurator pour enrôler des terminaux pré-inscrits et destinés à un seul utilisateur est prise en charge en ajoutant le numéro de série/l'IMEI à un terminal inscrit dans la console AirWatch. L'un des principaux avantages d'Apple Configurator est l'utilisation d'un hub USB ou d'un chariot de terminal pour provisionner plusieurs terminaux en quelques minutes.

Considération n° 6 : préenrôlement d'un utilisateur unique ou inscription ?

Si vous envisagez de préenrôler des terminaux pour un utilisateur unique, il serait préférable de procéder à une inscription. La différence entre le préenrôlement pour un utilisateur unique et l'inscription d'un terminal est subtile, mais importante.

Inscription – Lorsque vous inscrivez un terminal, vous le faites pour un utilisateur identifié unique. Cette procédure signifie que le terminal s'attend à ce que le premier utilisateur à se connecter soit l'utilisateur pour lequel il a été enregistré. Si un autre utilisateur tente de se connecter à un terminal inscrit, le terminal est verrouillé pour des raisons de sécurité et il ne peut pas être enrôlé.

Préenrôlement d'un utilisateur unique – Lorsque vous préenrôlez un terminal, vous le faites pour tous les utilisateurs qualifiés pour s'enrôler dans Workspace ONE UEM. En théorie, vous pourriez remettre un terminal préenrôlé à n'importe quel utilisateur qualifié, qui pourrait alors se connecter au terminal et s'enrôler dans Workspace ONE UEM.

Le processus de préenrôlement vous permet de préparer le terminal et de démarrer Workspace ONE Intelligent Hub, auquel n'importe quel utilisateur qualifié peut se connecter. Workspace ONE UEM effectue ensuite une réattribution ponctuelle pour associer le terminal à cet utilisateur.

Considération n° 7 : Utilisation du préenrôlement des terminaux

Sauf si vous utilisez Apple Configurator, les administrateurs doivent préenrôler les terminaux les uns après les autres. Pour les déploiements de grande taille, prenez en compte le temps et le personnel nécessaires.

Si les administrateurs peuvent préenrôler facilement les nouveaux terminaux, les employés qui utilisent déjà des terminaux appartenant à l'entreprise doivent envoyer et récupérer leurs terminaux pour qu'ils soient préenrôlés.

Si vous avez des milliers de terminaux à préenrôler, le préenrôlement peut prendre du temps. Ainsi, cette méthode fonctionne mieux si vous avez un nouveau lot de terminaux en arrivage, puisque vous avez accès aux terminaux avant que les employés ne les reçoivent.

Le préenrôlement peut être réalisé sur les terminaux Android et iOS de plusieurs façons :

• Utilisateur unique (standard) – S'utilise lorsque vous préenrôlez un terminal que n'importe quel utilisateur peut enrôler.

  Remarque : Comme indiqué, ce flux d'enrôlement est destiné aux terminaux sans surveillance. Si vous utilisez ce flux pour l'enrôlement de l'utilisateur sans contact, vous êtes tenu de vous assurer que les terminaux préenrôlés sont fournis à l'utilisateur prévu.

• Utilisateur unique (avancé) (non disponible dans iOS) – Permet le préenrôlement et l'enrôlement d'un terminal pour un utilisateur spécifique.

  Remarque : L'utilisateur ou l'administrateur intermédiaire doit s'assurer que le terminal est extrait par l'utilisateur enregistré.

• Utilisateurs multiples – Permet le préenrôlement d'un terminal qui sera partagé par plusieurs utilisateurs.

  Pour obtenir des instructions détaillées, consultez la rubrique Créer un compte de préenrôlement multi-utilisateurs pour l'enrôlement.

Préenrôler des terminaux à utilisateur unique

Utile pour les administrateurs informatiques déployant une flotte de terminaux, le préenrôlement de terminaux à utilisateur unique de Workspace ONE UEM Console permet à un seul administrateur de provisionner les terminaux à la place des utilisateurs.

Le préenrôlement de terminal via l'enrôlement direct de Workspace ONE n'est pas pris en charge. Si vous devez préenrôler un terminal pour un ou plusieurs utilisateurs, vous devez enrôler le terminal avec Workspace ONE Intelligent Hub au lieu d'utiliser l'enrôlement direct de Workspace ONE.

Important :

La possibilité de créer des utilisateurs préenrôlés est un privilège d'administrateur de niveau élevé. Seuls les administrateurs approuvés spécifiques sont autorisés à créer un utilisateur préenrôlé. Vous devez également traiter les informations d'identification de l'utilisateur préenrôlé comme vous le feriez pour tout autre privilège d'administrateur. En outre, ne divulguez pas les informations d'identification de l'utilisateur.

Actuellement, tout administrateur autorisé à créer un utilisateur peut également créer un utilisateur préenrôlé. Limitez cette possibilité en modifiant les rôles attribués à vos administrateurs. Naviguez vers Comptes > Administrateurs > Rôles. Identifiez uniquement les rôles que vous souhaitez limiter, puis cliquez sur Modifier () pour modifier chacun de ces rôles dans le chemin de catégorie Tous > Comptes > Utilisateurs > Comptes en décochant la case Modifier de l'autorisation « Ajouter/Modifier ».

Remarque : Une liaison LDAP est requise pour le préenrôlement de terminaux. Pour créer cette section de configuration, consultez la section Lier un terminal au service d'annuaire dans ce guide.

1. Naviguez vers Comptes > Utilisateurs > Affichage en liste et cliquez sur Modifier pour le compte utilisateur pour lequel vous souhaitez activer le préenrôlement.

   

2. Sur la page Ajouter/Modifier un utilisateur, cliquez sur l'onglet Avancé.

   1. Faites défiler vers le bas jusqu'à la section Préenrôlement.
   2. Pour l'option Activer le préenrôlement de terminaux, positionnez le curseur sur Activé. Les options de préenrôlement s'affichent.
   3. Pour l'option Terminaux à utilisateur unique, positionnez le curseur sur Activé.

   4. Sélectionnez le type de mode de préenrôlement de terminal à utilisateur unique en choisissant Standard ou Avancé.

      Avec le préenrôlement standard, un utilisateur final devra se connecter après le préenrôlement, tandis qu'en mode Avancé, l'utilisateur du préenrôlement enrôle le terminal pour un autre utilisateur.

   5. Assurez-vous que l'option Terminaux partagés est désactivée.

   6. Sous l'option Mode Terminaux partagés Android, sélectionnez Natif ou Launcher pour les modes check-in et check-out. Android natif prend en charge des cas d'utilisation plus simples qui ne nécessitent pas de personnalisation. Launcher prend en charge la personnalisation de l'interface utilisateur pour les cas d'utilisation complexes.
   7. Sous Applications système, vous pouvez activer l'accès de l'utilisateur aux applications système.

   8. Sous Code secret du mode administrateur, spécifiez un code d'accès alphanumérique pour dépanner un terminal en mode administrateur. Appuyez 5 fois sur l'icône Hub de l'écran de connexion pour accéder au mode administrateur.

      Résultat : L'option Terminaux à utilisateur unique préenrôle les terminaux pour un utilisateur unique.

3. Enrôler le terminal.

   • Enrôlez le terminal à l'aide de Workspace ONE Intelligent Hub en saisissant une URL de serveur et un ID de groupe.
   • Ouvrez le navigateur Internet du terminal, naviguez vers l'URL d'enrôlement et saisissez l'ID de groupe.

4. Saisissez vos identifiants d'utilisateur de préenrôlement lors de l'enrôlement.

   1. Le cas échéant, indiquez que le préenrôlement concerne un terminal à utilisateur unique.

      Vous ne devez le faire que si le préenrôlement de terminaux partagé est également activé.

5. Terminez le préenrôlement avancé ou standard.

   1. En cas de préenrôlement avancé, vous devez saisir le nom d'utilisateur de la personne qui utilisera le terminal. Poursuivez l'enrôlement en installant le profil MDM et en acceptant l'ensemble des invites et des messages.
   2. Si vous effectuez un préenrôlement standard, lorsque l'utilisateur final termine l'enrôlement, il est invité à se connecter.

Résultat : L'inscription intermédiaire du terminal est maintenant terminée ; il est prêt à être utilisé par le nouvel utilisateur. Si un contrat des conditions d'utilisation de l'inscription est en place, l'utilisateur unique préenrôlé ne voit pas cette invitation à accepter les CGU jusqu'à ce qu'il se connecte à son compte SSP.

Préenrôler des terminaux partagés

Le préenrôlement de terminaux partagés permet à un administrateur informatique de configurer des terminaux qui seront ensuite utilisés par plusieurs utilisateurs. Le préenrôlement de plusieurs utilisateurs permet au terminal de modifier dynamiquement son utilisateur attribué selon que différents utilisateurs du réseau se connectent à ce terminal.

Le préenrôlement de terminal via l'enrôlement direct de Workspace ONE n'est pas pris en charge. Si vous devez préenrôler un terminal pour un ou plusieurs utilisateurs, vous devez enrôler le terminal avec Workspace ONE Intelligent Hub au lieu d'utiliser l'enrôlement direct de Workspace ONE.

1. Naviguez vers Comptes > Utilisateurs > Affichage en liste et cliquez sur Modifier pour le compte utilisateur pour lequel vous souhaitez activer le préenrôlement.

   

2. Sur la page Ajouter/Modifier un utilisateur, cliquez sur l'onglet Avancé.

   1. Faites défiler vers le bas jusqu'à la section Préenrôlement.
   2. Pour l'option Activer le préenrôlement de terminaux, positionnez le curseur sur Activé. Les options de préenrôlement s'affichent.
   3. Assurez-vous que l'option Terminaux partagés est activée.
   4. Sous l'option Mode Terminaux partagés Android, sélectionnez Natif ou Launcher pour les modes check-in et check-out. Android natif prend en charge des cas d'utilisation plus simples qui ne nécessitent pas de personnalisation. Launcher prend en charge la personnalisation de l'interface utilisateur pour les cas d'utilisation complexes.
   5. Sous Applications système, vous pouvez activer l'accès de l'utilisateur aux applications système.
   6. Sous Code secret du mode administrateur, spécifiez un code d'accès alphanumérique pour dépanner un terminal en mode administrateur. Appuyez 5 fois sur l'icône Hub de l'écran de connexion pour accéder au mode administrateur.
3. Enrôlez le terminal en suivant l'une des deux méthodes suivantes.
   • Enrôlez le terminal à l'aide de Workspace ONE Intelligent Hub en saisissant une URL de serveur et un ID de groupe.
   • Ouvrez le navigateur Internet du terminal, naviguez vers l'URL d'enrôlement et saisissez l'ID de groupe.

4. Saisissez vos identifiants d'utilisateur de préenrôlement lors de l'enrôlement. Le cas échéant, indiquez que le préenrôlement concerne un terminal à utilisateur unique.

   Vous ne devez le faire que si le préenrôlement de terminaux partagé est également activé.

Résultat : Le préenrôlement du terminal est maintenant terminé ; il est prêt à être utilisé par les nouveaux utilisateurs.

Processus d'auto-enrôlement

L'auto-enrôlement peut nécessiter que les utilisateurs connaissent leur ID de groupe et leurs identifiants de connexion. Si vous avez intégré les services d'annuaire, ces identifiants sont les mêmes que ceux des services d'annuaire.

Vous pouvez également associer votre domaine de messagerie avec l'environnement Workspace ONE UEM dans le cadre d'un processus appelé détection automatique. Lorsque l'option de détection automatique est activée, les terminaux des plateformes prises en charge invitent les utilisateurs à saisir leur adresse e-mail. Ces terminaux effectuent l'enrôlement automatiquement si leur domaine de messagerie (la partie à droite du caractère @) correspond, sans entrer un ID de groupe ou une URL d'enrôlement. Pour plus d'informations, consultez la section Enrôlement par détection automatique.

1. Les utilisateurs accèdent à getwsone.com qui détecte automatiquement si Workspace ONE Intelligent Hub est installé.

   Si Workspace ONE Intelligent Hub n'est pas installé, le site Web les redirige vers l'app store mobile approprié.

2. Après avoir lancé Workspace ONE Intelligent Hub, les utilisateurs saisissent leurs identifiants, en plus de leur adresse e-mail ou de l'URL/ID de groupe, et poursuivent l'enrôlement.

Mode supervisé

Les administrateurs ont la possibilité d'activer le mode supervisé pour les terminaux enrôlés via Apple Configurator, permettant ainsi d'utiliser davantage de fonctionnalités de sécurité avancées. Cependant, ce mode entraîne certaines limites sur le terminal.

Activation du mode supervisé

Pour plus d'informations sur l'activation du mode supervisé sur les terminaux, consultez le Guide d'intégration avec Apple Configurator 2.

Avantages

Une fois le terminal supervisé et enrôlé dans Workspace ONE UEM, l'administrateur dispose des fonctionnalités avancées de configuration suivantes par rapport aux terminaux classiques.

• Restrictions élevées sur le MDM
  • Empêchez les utilisateurs de supprimer les applications. La suppression d'applications peut aussi être limitée localement sur le terminal à l'aide des restrictions dans la section Configuration du système.
  • Interdisez AirDrop.
  • Empêchez les utilisateurs de modifier les paramètres du compte de messagerie et d'iCloud afin d'éviter toute modification du compte.
  • Désactivez iMessage.
  • Définissez les restrictions de notations du contenu dans l'iBookstore.
  • Désactivez Game Center et iBookstore.
• Sécurité avancée
  • Empêchez les utilisateurs de consulter des sites pour adultes dans Safari.
  • Déterminez quels terminaux peuvent se connecter aux destinations spécifiées d'AirPlay, telles qu'Apple TVs.
  • Empêchez l'installation de profils de configuration non gérés ou de certificats.
  • Forcez tout le trafic réseau à travers un proxy HTTP global.
• Mode Kiosque
  • Verrouillez les terminaux sur une application grâce au mode Application unique et désactivez le bouton d'accueil.
• Personnaliser le papier peint et le texte sur le terminal
• Activer ou effacer le verrou d'activation

Limites

• L'accès USB aux terminaux supervisés est limité au Mac de surveillance.
• Impossible de copier des données vers et depuis le terminal à l'aide d'iTunes, à moins que le certificat d'identité Apple Configurator ne soit installé sur le terminal.
  • Les médias tels que les photos et les vidéos ne peuvent pas être copiés depuis le terminal sur un PC ou un Mac. Pour transférer ce type de données, utilisez VMware Content  Locker pour synchroniser le contenu avec la section Documents personnels de l'utilisateur. Vous pouvez sinon utiliser une application de partage de fichiers pour transférer les données par WLAN/WWAN sur un serveur.
• Le mode supervisé empêche l'accès aux journaux depuis les terminaux avec iPhone Configuration Utility (IPCU).
  • Ce mode complique la résolution des problèmes d'applications ou de terminaux. Les journaux des terminaux ne peuvent en effet s'obtenir que si le terminal est connecté au Mac qui le supervise. Pour relever certains défis, utilisez le SDK Workspace ONE afin d'envoyer les journaux, des applications à UEM Console.
• Les terminaux ne peuvent pas être réinitialisés avec les paramètres d'usine facilement.
  • Une fois le terminal réinitialisé aux paramètres d'usine, il doit être rapporté au Mac de surveillance pour rétablir le mode supervisé. Cette procédure peut être problématique si le Mac ne se trouve pas près du terminal.

Pour décider si vous devez activer le mode supervisé, prenez en compte les éléments suivants. Malgré l'activation de fonctions de sécurité supplémentaires sur le terminal, vous devez considérer les limites USB.

La proximité entre le terminal et le Mac de surveillance est déterminante dans la prise de décision. Étant donné que les limites de l'USB empêchent l'accès aux journaux du côté du terminal, si un appareil rencontre des problèmes, il doit être renvoyé dans un dépôt et à nouveau préenrôlé pour restaurer les fonctionnalités.

Le choix de superviser ou de ne pas superviser à l'avance les terminaux est important, car ce processus obligera l'envoi des appareils vers un dépôt ou des bureaux informatiques.

Rubrique parente : Enrôlement du terminal