Workspace ONE UEM prend en charge différentes méthodes pour enrôler vos terminaux Windows. Découvrez quel workflow d'enrôlement répond le mieux à vos besoins en fonction de votre déploiement Workspace ONE UEM, des intégrations d'entreprise et du système d'exploitation du terminal.
Simplifiez vos enrôlements d'utilisateurs finaux en configurant Windows Auto-Discovery Services (WADS) au sein de votre environnement Workspace ONE UEM. WADS prend en charge une solution sur site et dans le Cloud des services WADS.
Les méthodes d'enrôlement font appel à la fonctionnalité native MDM du système d'exploitation Windows, à Workspace ONE Intelligent Hub pour Windows ou à l'intégration d'Azure AD.
Enrôlement de Workspace ONE Intelligent Hub pour Windows
Le workflow d'enrôlement le plus simple utilise Workspace ONE Intelligent Hub pour Windows pour enrôler des terminaux. Les utilisateurs ont juste à télécharger VMware Workspace ONE Intelligent Hub sur getwsone.com et à suivre les invites d'enrôlement à l'écran.
Envisagez d'utiliser Workspace ONE Intelligent Hub pour le workflow d'enrôlement de Windows. Workspace ONE UEM prend en charge des workflows d'enrôlement supplémentaires pour certains cas d'utilisation spécifiques.
Enrôlement via une intégration d'Azure AD
Par le biais de l'intégration avec Microsoft Azure Active Directory (AD), les terminaux Windows s'enrôlent automatiquement dans Workspace ONE UEM avec une interaction minime de la part de l'utilisateur. L'enrôlement via l'intégration d'Azure AD simplifie l'enrôlement des utilisateurs et des administrateurs. L'enrôlement de l'intégration Azure AD prend en charge trois flux d'enrôlement différents : Devenir membre Azure AD, prendre un abonnement Out of Box Experience et prendre un abonnement Office 365. Toutes les méthodes nécessitent la configuration de l'intégration d'Azure AD à Workspace ONE UEM.
Pour pouvoir enrôler vos terminaux à l'aide de l'intégration d'Azure AD, vous devez configurer Workspace ONE UEM et Azure AD.
Enrôlement MDM natif
Workspace ONE UEM prend en charge l'enrôlement des terminaux Windows Desktop à l'aide du flux de travail d'enrôlement MDM. Le nom de la solution MDM native fluctue en fonction de la version de Windows. Le flux d'enrôlement varie en fonction de la version de Windows et de l'utilisation, ou non, des services WADS.
Seuls les utilisateurs dotés d'autorisations administrateur local sur le terminal peuvent enrôler ce dernier dans Workspace ONE UEM et activer MDM.
Préenrôlement d'un terminal
Pour configurer la gestion des terminaux sur un terminal Windows avant de le livrer à votre utilisateur final, il est conseillé d'utiliser le préenrôlement via Windows Desktop. Ce workflow d'enrôlement vous permet en effet d'enrôler un terminal via Workspace ONE Intelligent Hub, d'installer des profils au niveau du terminal, puis de le livrer à l'utilisateur. Il existe deux méthodes de préenrôlement : une installation manuelle et une installation via une ligne de commande. L'installation manuelle exige que les terminaux soient joints au domaine par l'intermédiaire d'Azure AD. L'installation via une ligne de commande fonctionne pour tous les terminaux Windows.
Enrôlement automatique de terminaux Windows Desktop
Workspace ONE UEM prend en charge l'enrôlement automatique des terminaux Windows Desktop spécifiques achetés chez Dell. L'enrôlement automatique simplifie le processus d'enrôlement en enrôlant automatiquement les terminaux enregistrés après l'expérience immédiate.
Windows Provisioning Service by VMware s'applique uniquement aux terminaux Dell Enterprise dotés de la bonne image Windows. La fonctionnalité d'enrôlement automatique doit être achetée dans le cadre de la commande d'achat chez Dell.
Déploiement et enrôlement par lots
Le provisionnement par lots permet de créer un package préconfiguré qui préenrôle les terminaux Windows, puis les enrôle dans Workspace ONE UEM. Le provisionnement par lots exige d'importer le kit Microsoft Assessment and Development Kit et d'installer l'outil ICD (Imaging and Configuration Designer). Cet outil crée des packages de provisionnement utilisés pour créer des images des terminaux.
Grâce à ces flux de provisionnement par lots, vous pouvez utiliser des paramètres Workspace ONE UEM dans le package de provisionnement de sorte que les terminaux provisionnés soient enrôlés automatiquement lors de la première utilisation immédiate.
Mode Enregistré : enrôlement sans gestion des terminaux
Pour permettre à certains terminaux Windows de s'enrôler dans Workspace ONE UEM sans les services de gestion des terminaux, vous pouvez activer le mode Enregistré. Attribuez ce mode à l'intégralité d'un groupe organisationnel ou à des Smart Group.
Workspace ONE Intelligent Hub propose une ressource unique pour l'enrôlement et facilite la communication entre le terminal et Workspace ONE UEM console. Utilisez VMware Workspace ONE Intelligent Hub pour enrôler vos terminaux Windows. Workspace ONE Intelligent Hub fournit aux utilisateurs un workflow d'enrôlement simple et rapide.
Envisagez d'utiliser Workspace ONE Intelligent Hub pour Windows pour enrôler vos terminaux Windows Desktop, car il fournit le workflow d'enrôlement le plus simple pour les utilisateurs. Si vous avez configuré Workspace ONE, le téléchargement de Workspace ONE Intelligent Hub depuis https://getwsone.com/ télécharge également l'application Workspace ONE. Lorsque vous terminez l'enrôlement auprès de Workspace ONE Intelligent Hub, l'application Workspace ONE se lance et se configure automatiquement en fonction de votre déploiement Workspace ONE UEM.
Workspace ONE Intelligent Hub offre une fonctionnalité supplémentaire à vos terminaux Windows Desktop, y compris les services de localisation.
Vous pouvez simplifier l'enrôlement pour vos utilisateurs à l'aide de Windows Auto-Discovery. Windows Auto-Discovery permet aux utilisateurs de saisir leur adresse e-mail pour remplir automatiquement les zones de texte avec leurs identifiants d'enrôlement.
AirWatch Cloud Messaging (AWCM) permet la livraison en temps réel de stratégies et de commandes à Workspace ONE Intelligent Hub. Sans AWCM, la livraison de stratégies et de commandes à Workspace ONE Intelligent Hub se fait uniquement aux intervalles normaux de check-in définis dans Workspace ONE UEM console. Envisagez d'utiliser AWCM pour distribuer en temps réel des politiques et des commandes aux terminaux Windows Desktop.
Toutes les méthodes d'inscription de Windows Desktop utilisent le client MDM natif Accès professionnel. Utilisez l'enrôlement de client MDM natif pour enrôler des terminaux d'entreprise et personnels (BYOD) à l'aide du même processus d'enrôlement. Vous pouvez vous enrôler avec ou sans la détection automatique pour Windows.
Work Access commence par traiter un workflow Azure AD pour les domaines connectés à Office 365 ou Azure AD lorsque vous sélectionnez Connecter et ne termine pas le workflow d'enrôlement automatiquement. Si vous utilisez Office 365 ou Azure AD sans licence Premium, utilisez VMware Workspace ONE Intelligent Hub pour enrôler les terminaux Windows à la place de l'enrôlement MDM natif. Pour effectuer le workflow d'enrôlement à l'aide de l'enrôlement MDM natif, sélectionnez Connecter deux fois. Si vous avez une licence Premium Azure AD, vous pouvez activer Gestion requise dans votre instance Azure pour que l'enrôlement MDM natif effectue le flux d'enrôlement après le flux de travail Azure. Vous pouvez utiliser l'enrôlement MDM natif sans problème si vous n'utilisez pas Office 365 ou Azure AD.
Seuls les utilisateurs dotés d'autorisation administrateur local sur le terminal peuvent enrôler un terminal dans Workspace ONE UEM et activer MDM. Les autorisations Administrateur de domaine ne fonctionnent pas pour l'enrôlement d'un terminal. Pour enrôler un terminal avec un utilisateur standard, utilisez la méthode de configuration par lots pour les terminaux Windows.
Le service Windows Auto-Discovery simplifie l'enrôlement pour les utilisateurs en réduisant leur interaction nécessaire lors du processus.
Les terminaux joints à un domaine peuvent être enrôlés à l'aide de la méthode d'enrôlement Espace de travail native. L'adresse e-mail entrée dans les paramètres est remplie automatiquement à l'aide de l'attribut UPN Active Directory. Si l'utilisateur souhaite utiliser une autre adresse e-mail, il doit télécharger la mise à jour facultative.
Work Access est la méthode d'enrôlement MDM native pour les terminaux Windows. L'enrôlement par Work Access et avec Windows Auto Discovery fournit aux utilisateurs un flux d'enrôlement simple et rapide.
Conditions prérequises
L'enregistrement de votre domaine dans Workspace ONE UEM évite d'avoir à entrer l'ID de groupe au cours de l'enrôlement.
Remarque : Envisagez d'utiliser VMware Workspace ONE Intelligent Hub pour Windows pour enrôler vos terminaux Windows au lieu d'utiliser l'enrôlement MDM natif. Le flux d'enrôlement MDM natif n'enrôle pas les terminaux dans MDM si vous utilisez Office 365 ou Azure AD sur le même domaine.
Procédure
[email protected]
(par exemple [email protected]
). Sélectionnez Continuer.Résultats
Le terminal tente alors de se connecter à Workspace ONE UEM. Si la connexion réussit, une icône en forme de mallette sur laquelle est inscrit Workspace ONE UEM, apparaît. Cette icône indique que vous avez réussi à vous connecter à Workspace ONE UEM.
Work Access est la méthode d'enrôlement MDM native pour les terminaux Windows. L'enrôlement via Work Access sans WADS nécessite la saisie manuelle des identifiants de l'utilisateur.
Envisagez d'utiliser VMware Workspace ONE Intelligent Hub pour Windows pour enrôler vos terminaux Windows au lieu d'utiliser l'enrôlement MDM natif. Le flux d'enrôlement MDM natif n'enrôle pas les terminaux dans MDM si vous utilisez Office 365 ou Azure AD sur le même domaine.
Procédure
[email protected]
(par exemple [email protected]
).<DeviceServicesURL>/DeviceServices/Discovery.aws
. N'incluez pas « https:// » dans l'URL. Exemple : ds156.awmdm.com/deviceservices/discovery.aws
.Résultats
Le terminal tente alors de se connecter à Workspace ONE UEM. Si la connexion réussit, une icône en forme de mallette sur laquelle est inscrit Workspace ONE UEM, apparaît. Cette icône indique que vous avez réussi à vous connecter à Workspace ONE UEM.
Avec la fonction de préenrôlement des terminaux, vous pouvez configurer vos terminaux Windows pour qu'ils soient gérés par Workspace ONE UEM avant de les envoyer à vos utilisateurs finaux. Découvrez comment enrôler et configurer vos terminaux avec Workspace ONE Intelligent Hub pour le compte de vos utilisateurs finaux.
Le préenrôlement des terminaux vous permet d'enrôler votre terminal Windows dans Workspace ONE UEM. Cet enrôlement nécessite que Workspace ONE Intelligent Hub soit démarré. Une fois le terminal enrôlé, tous les profils de niveau terminal sont téléchargés sur le terminal. Une fois le terminal complètement enrôlé et configuré, vous pouvez le remettre aux utilisateurs. Lorsque l'utilisateur se connecte au terminal, Workspace ONE Intelligent Hub met à jour l'enregistrement de ce terminal dans Workspace ONE UEM console. Workspace ONE UEM réattribue le terminal à l'utilisateur et envoie au terminal tous les profils de niveau utilisateur.
Les deux méthodes de préenrôlement sont les suivantes :
L'enrôlement se termine soit par la mise à jour du registre du terminal sur UEM Console lorsqu'un utilisateur s'enrôle dans un terminal joint au domaine, soit par la comparaison du nom d'utilisateur enrôlé à la liste des numéros de série déjà enregistrés.
Importez les numéros de série de terminal à utiliser avec le préenrôlement des terminaux afin d'ajouter rapidement des terminaux à Workspace ONE UEM Console. L'importation par lots nécessite un fichier CSV avec tous les numéros de série à importer.
Procédure
Utilisez-vous Carbon Black pour la protection des points de terminaison sur vos terminaux Windows ? Vous pouvez installer Carbon Black sur vos terminaux Windows lorsque vous installez VMware Workspace ONE Intelligent Hub pour Windows.
Enrôlez vos terminaux Windows à l'aide du processus de préenrôlement de la ligne de commande. Entrez les paramètres d'enrôlement en mode silencieux spécifiques à Carbon Black et leurs valeurs d'URL respectives que vous avez générées dans Carbon Black. La saisie des URL générées indique à Workspace ONE Intelligent Hub qu'il doit récupérer les URL du kit de capteur Carbon Black et le fichier de configuration du capteur Carbon Black pour l'installation.
Après l'installation de Carbon Black et de VMware Workspace ONE Intelligent Hub, importez l'application publique Carbon Black dans Workspace ONE UEM Console et publiez l'application sur vos terminaux Windows.
Pour plus d'informations sur la génération des URL requises pour le kit de capteur Carbon Black et le fichier de configuration de capteur Carbon Black, accédez au contenu du Guide de l'utilisateur Carbon Black Cloud. Vous pouvez vous connecter à VMware Carbon Black Cloud et sélectionner Aide > Guide de l'utilisateur. Saisissez workspace one
dans la barre de recherche et appuyez sur Entrée.
Les paramètres Carbon Black sont disponibles dans cette rubrique de la section Paramètres et valeurs de l'enrôlement silencieux. Vous les trouverez également dans la console Carbon Black Cloud, en vous rendant dans Inventaire > Points de terminaison > Options du capteur > Configurer un kit de capteur Workspace ONE. Si vous ne voyez pas cette option dans la console Carbon Black Cloud, contactez votre assistance Carbon Black pour activer cette fonctionnalité.
Simplifiez l'enrôlement des utilisateurs en préenrôlant les terminaux Windows Desktop à l'aide de la ligne de commande Windows. Cette méthode d'enrôlement pour Workspace ONE UEM enrôle le terminal et télécharge les profils de niveau terminal en fonction des informations d'identification d'utilisateur entrées.
Important : ne changez pas le nom du fichier AirWatchAgent.msi, car cela empêcherait la commande de préenrôlement de fonctionner. De plus, n'utilisez pas l'importation de numéros de série par lots si vous souhaitez utiliser le transfert de ligne de commande.
Remarque : N'utilisez pas ce produit pour installer Workspace ONE Intelligent Hub pour Windows en mode silencieux sur les terminaux personnels (BYOD). Si vous procédez à une installation silencieuse sur des terminaux BYOD, vous êtes seul responsable de la transmission de toutes les notifications nécessaires aux utilisateurs finaux du terminal concernant votre utilisation de l'installation silencieuse et des données collectées à partir des applications installées de cette façon. Vous êtes responsable de l'obtention des consentements légalement requis auprès des utilisateurs finaux de vos terminaux, ainsi que du respect de toutes les lois applicables.
Procédure
Accédez à https://getwsone.com/ pour télécharger Workspace ONE Intelligent Hub pour Windows.
Téléchargez uniquement Workspace ONE Intelligent Hub. Ne démarrez pas l'exécutable et ne sélectionnez pas Exécuter, car ces opérations démarrent un processus d'enrôlement standard, ce qui irait à l'encontre de l'objectif de l'enrôlement silencieux. Si nécessaire, déplacez Workspace ONE Intelligent Hub depuis le dossier de téléchargement vers un dossier d'un disque local ou sur le réseau.
Ouvrez une ligne de commande ou créez un fichier BAT, puis indiquez tous les chemins, paramètres et valeurs nécessaires.
Résultats
Après l'exécution de la commande, le terminal est enrôlé dans Workspace ONE UEM. Si le terminal est joint à un domaine, Workspace ONE Intelligent Hub met à jour le registre des terminaux dans Workspace ONE UEM console avec l'utilisateur correct.
Simplifiez l'enrôlement des utilisateurs en préenrôlant les terminaux Windows à l'aide de VMware Workspace ONE Intelligent Hub. Cette méthode d'enrôlement enrôle le terminal et télécharge les profils de niveau terminal de manière à ce que l'utilisateur n'ait qu'à se connecter au terminal pour commencer à l'utiliser.
Conditions prérequises
Ces terminaux doivent être intégrés à un domaine.
Résultats
Dès que Workspace ONE Intelligent Hub détecte un utilisateur de préenrôlement, l'écouteur de Workspace ONE Intelligent Hub s'exécute et écoute à la prochaine connexion Windows. Lorsque l'utilisateur se connecte au terminal, l'écouteur de Workspace ONE Intelligent Hub lit l'UPN et l'adresse e-mail de l'utilisateur à partir du registre du terminal. Ces informations sont envoyées à Workspace ONE UEM console et le registre du terminal est mis à jour afin d'enregistrer le terminal pour l'utilisateur.
L'enrôlement silencieux requiert des saisies sur la ligne de commande ou un fichier BAT afin de contrôler la façon dont VMware Workspace ONE Intelligent Hub se télécharge et s'installe sur les terminaux Windows.
Remarque : N'utilisez pas ce produit pour installer Workspace ONE Intelligent Hub pour Windows en mode silencieux sur les terminaux personnels (BYOD). Si vous procédez à une installation silencieuse sur des terminaux BYOD, vous êtes seul responsable de la transmission de toutes les notifications nécessaires aux utilisateurs finaux du terminal concernant votre utilisation de l'installation silencieuse et des données collectées à partir des applications installées de cette façon. Vous êtes responsable de l'obtention des consentements légalement requis auprès des utilisateurs finaux de vos terminaux, ainsi que du respect de toutes les lois applicables.
Les tableaux suivants répertorient tous les paramètres d'enrôlement que vous pouvez saisir sur une ligne de commande ou dans un fichier BAT ainsi que les valeurs respectives pour chaque paramètre. Si vous effectuez l'enrôlement pour le compte d'autres personnes, assurez-vous d'utiliser les paramètres Enrôlement pour le compte d'un utilisateur.
Paramètres d'enrôlement | Valeur à ajouter au paramètre |
---|---|
Tous les paramètres MSI | Ces paramètres contrôlent le comportement d'installation des applications. /quiet - Complètement silencieux /q - Contrôle les niveaux d'interface utilisateur pour l'installation passive - Contrôle minimal de l'utilisateur lui permettant de guider l'application /L - Niveaux et chemins d'accès de journalisation. Pour plus d'informations, reportez-vous à https://docs.microsoft.com/fr-fr/windows/win32/msi/command-line-options. |
ASSIGNTOLOGGEDINUSER | Sélectionnez Y pour attribuer le terminal à l'utilisateur de domaine connecté. Entrez ce paramètre comme dernier argument dans la ligne de commande. |
DEVICEOWNERSHIPTYPE^ | Sélectionnez CD pour Entreprise dédiée. Sélectionnez CS pour Entreprise partagée. Sélectionnez EO pour Employé propriétaire. Sélectionnez N pour Aucun. |
DOWNLOADSBUNDLE | Ce paramètre contrôle le téléchargement de l'application Workspace ONE lors de l'enrôlement. Sélectionnez TRUE pour télécharger le programme d'installation de l'application Workspace ONE lors de l'installation de Workspace ONE Intelligent Hub. Si vous enrôlez un terminal à l'aide de Workspace ONE Intelligent Hub, l'installation de Workspace ONE n'est pas facultative. Si vous ne définissez pas DOWNLOADSBUNDLE sur TRUE , le programme d'installation de Workspace ONE ne se télécharge pas, quel que soit le niveau d'interface utilisateur utilisé. |
ENROLL | Sélectionnez Y pour effectuer un enrôlement. Sélectionnez N pour choisir l'image uniquement. L'agent tentera l'enrôlement en mode silencieux uniquement si ce paramètre est défini sur Y . |
IMAGE | Cet indicateur est prioritaire sur tout. S'il est défini sur Y , l'agent est placé en mode image. Sélectionnez Y pour choisir l'image. Sélectionnez N pour l'enrôlement. |
INSTALLDIR^ | Saisissez le chemin d'accès au répertoire si vous souhaitez changer le chemin d'installation. Remarque : Si ce paramètre n'est pas présent, Workspace ONE Intelligent Hub utilise le chemin par défaut : C:\Program Files (x86)\AirWatch . |
LGName | Saisissez le nom du groupe organisationnel. |
PASSWORD | Saisissez le mot de passe de l'utilisateur que vous enrôlez ou le mot de passe d'utilisateur de préenrôlement en cas de préenrôlement du terminal pour le compte d'un utilisateur. |
SERVER | Saisissez l'URL d'enrôlement. |
USERNAME | Saisissez le nom d'utilisateur de l'utilisateur que vous enrôlez ou le nom d'utilisateur de préenrôlement en cas de préenrôlement du terminal pour le compte d'un utilisateur. |
Les éléments signalés par un accent circonflexe (^) sont facultatifs.
Paramètres d'enrôlement | Valeur à ajouter au paramètre |
---|---|
SECURITYTYPE | Workflow EOBO uniquement : Utilisez ce paramètre si le compte utilisateur est ajouté à Workspace ONE UEM console durant le processus d'enrôlement. Sélectionnez D pour l'annuaire. Sélectionnez B pour l'utilisateur de base. |
STAGEEMAIL^ | Workflow EOBO uniquement : Saisissez l'adresse de messagerie pour l'utilisateur que vous enrôlez. |
STAGEEMAILUSRNAME^ | Workflow EOBO uniquement : Saisissez le nom d'utilisateur de messagerie pour l'utilisateur que vous enrôlez. |
STAGEPASSWORD | Workflow EOBO uniquement : Saisissez le mot de passe de messagerie pour l'utilisateur que vous enrôlez. |
STAGEUSERNAME | Workflow EOBO uniquement : Saisissez le nom d'utilisateur pour l'utilisateur d'enrôlement. |
Les éléments signalés par un accent circonflexe (^) sont facultatifs.
Paramètres d'enrôlement | Valeur à ajouter au paramètre |
---|---|
CBSENSORCONFIGURL^ | Utilisez ce paramètre pour demander à Workspace ONE Intelligent Hub pour Windows de récupérer l'URL du fichier de configuration Carbon Black. Entrez l'URL du fichier de configuration du capteur que vous avez générée dans Carbon Black. |
CBSENSORURL^ | Utilisez ce paramètre pour demander à Workspace ONE Intelligent Hub pour Windows de récupérer l'URL du kit de capteur Carbon Black applicable. Entrez l'URL du kit de capteur que vous avez générée dans Carbon Black. |
Les éléments signalés par un accent circonflexe (^) sont facultatifs.
Découvrez des exemples de cas d'utilisation différents qui utilisent des paramètres d'enrôlement et les valeurs que vous pouvez saisir sur une ligne de commande ou utiliser afin de créer un fichier BAT. L'exécution de n'importe lequel de ces exemples enrôle le terminal de façon silencieuse sans que l'utilisateur ait à cliquer sur les boutons de confirmation.
Installation de l'agent pour l'image seulement sans enrôlement
Voici un exemple d'installation de Workspace ONE Intelligent Hub pour l'image seulement, sans enrôlement, à l'aide des paramètres requis pour ce type d'installation.
AirwatchAgent.msi /quiet ENROLL=N IMAGE=Y
Enrôlement utilisateur de base
Voici un exemple d'utilisation des paramètres minimaux requis pour l'enrôlement de base uniquement :
AirwatchAgent.msi /quiet ENROLL=YIMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test
Workspace ONE Intelligent Hub installé ailleurs
Voici un exemple de fichier AirwatchAgent.msi situé dans un emplacement différent :
C:AirwatchAgent.msi /quiet ENROLL=Y IMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test
Répertoire d'installation et Workspace ONE Intelligent Hub sur lecteur réseau
Voici un exemple d'utilisation du paramètre pour le répertoire d'installation avec Workspace ONE Intelligent Hub sur un lecteur réseau.
Important : ajoutez des guillemets supplémentaires pour le paramètre INSTALLDIR en cas d'espace dans celui-ci.
Q:AirwatchAgent.msi /quiet INSTALLDIR="E:Install Win32" ENROLL=Y IMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test
Paramètres et valeurs disponibles
L'extrait suivant est un exemple de syntaxe utilisant la plupart des paramètres et valeurs disponibles.
msiexec.exe /I “<Path>AirwatchAgent.msi” /quiet ENROLL=<Y/N>IMAGE=<Y/N>SERVER=<CompanyURL>LGNAME=<Location Group ID>USERNAME=<Staging Username>PASSWORD=<Staging Username Password>STAGEUSERNAME=<Enrolling Username>SECURITYTYPE=<D/B>STAGEEMAILUSRNAME=<User Enrolling>STAGEPASSWORD=<Password for User Enrolling>STAGEEMAIL=<Email Address for User Enrolling>DEVICEOWNERSHIPTYPE<CD/CS/EO/N>ASSIGNTOLOGGEDINUSER=<Y/N>
Grâce à l'intégration avec Microsoft Azure Active Directory, vous pouvez enrôler automatiquement vos terminaux Windows dans Workspace ONE UEM avec une interaction minimale de l'utilisateur final. Découvrez comment l'intégration d'Azure AD simplifie l'enrôlement de vos terminaux Windows.
Pour pouvoir enrôler vos terminaux à l'aide de l'intégration d'Azure AD, vous devez configurer Workspace ONE UEM et Azure AD. La configuration nécessite la saisie d'informations dans vos déploiements Azure AD et Workspace ONE UEM pour faciliter la communication. L'installation est différente en fonction de votre environnement. Suivez la procédure appropriée pour votre déploiement SaaS ou sur site.
L'enrôlement de l'intégration Azure AD prend en charge trois flux d'enrôlement différents.
Toutes les méthodes nécessitent la configuration de l'intégration d'Azure AD à Workspace ONE UEM.
Important : L'enrôlement via l'intégration d'Azure AD requiert Windows et une licence Azure Active Directory Premium.
Avant d'utiliser Azure AD pour enrôler vos terminaux Windows, vous devez configurer Workspace ONE UEM pour qu'il utilise Azure AD en tant que service d'identité. L'activation d'Azure AD nécessite l'entrée des données dans le portail de gestion Azure et dans Workspace ONE UEM. Utilisez les onglets de votre navigateur pour ouvrir les deux instances afin d'entrer plus facilement les données dans les deux consoles.
Conditions prérequises
Important : Commencer par configurer et enregistrer LDAP
Si vous définissez Paramètre actuel sur Remplacer sur la page des paramètres système des services d’annuaire dans Workspace ONE UEM, vous devez configurer et enregistrer les paramètres LDAP avant d’activer Azure AD pour les services d’identité.
Procédure
Avant d'utiliser Azure AD pour enrôler vos terminaux Windows, vous devez configurer Workspace ONE UEM pour qu'il utilise Azure AD en tant que service d'identité. L'activation d'Azure AD nécessite l'entrée des données dans le portail de gestion Azure et dans Workspace ONE UEM. Utilisez les onglets de votre navigateur pour ouvrir les deux instances afin d'entrer plus facilement les données dans les deux consoles.
Conditions prérequises
Important : Commencer par configurer et enregistrer LDAP
Si vous définissez Paramètre actuel sur Remplacer sur la page des paramètres système des Services d’annuaire dans Workspace ONE UEM, vous devez configurer et enregistrer les paramètres LDAP avant d’activer Azure AD pour les services d’identité.
Procédure
Enrôlez des terminaux avec l'intégration d'Azure AD pour enrôler automatiquement un terminal dans le groupe organisationnel approprié de Workspace ONE UEM. Les terminaux enrôlés par l'intermédiaire d'Azure AD sont complètement joints, ce qui signifie que tous les utilisateurs de ces terminaux joignent le domaine.
Ce flux d'enrôlement s'adresse aux terminaux qui n'ont pas encore joint Azure AD.
Procédure
Les terminaux joints à Azure AD utilisent un flux d'enrôlement différent de ceux enrôlés par le biais d'une intégration avec Azure AD. Utilisez ce flux d'enrôlement pour enrôler un terminal déjà joint à Azure AD dans Workspace ONE UEM.
Conditions prérequises
Procédure
Accédez à Paramètres > Comptes > Accès professionnel ou scolaire et assurez-vous qu'un compte Azure AD et un compte Workspace ONE UEM MDM ont bien été ajoutés.
L'enrôlement en mode OOBE (Out-of-Box Experience) permet d'enrôler automatiquement un terminal dans le groupe organisationnel approprié au cours de la configuration initiale d'un terminal Windows.
Important : Le flux d'enrôlement OOBE ne prend pas en charge l'effacement des données professionnelles. Si vous effectuez un effacement des données professionnelles, les utilisateurs ne peuvent pas se connecter au terminal, car la connexion à Azure AD a été interrompue. Vous devez créer un compte d'administrateur local avant d'envoyer un effacement des données professionnelles, faute de quoi vous êtes déconnecté de force du terminal et obligé de réinitialiser celui-ci.
Remarque : Les profils des paramètres personnalisés ne peuvent pas être suivis lors de l'OOBE et ne s'appliqueront pas lors du provisionnement.
Conditions prérequises
Le processus OOBE peut prendre un certain temps sur les terminaux des utilisateurs finaux. Envisagez d'activer l'affichage de la progression pour le statut de l'installation. Cet affichage permet aux utilisateurs finaux de savoir où ils en sont dans le processus. Pour activer l'affichage, accédez à Groupes et paramètres > Tous les paramètres > Général > Enrôlement > Invite facultative. Pour afficher l'état des profils lors de l'enrôlement, vous devez activer l'option Suivre l'état du profil lors du provisionnement OOBE dans les paramètres du profil dans l'onglet Général.
Procédure
Mettez le terminal sous tension et suivez les étapes ci-dessous jusqu'à atteindre l'écran Choisissez votre mode de connexion.
Sélectionnez Joindre Azure AD. Sélectionnez Continuer.
Saisissez votre adresse e-mail Azure AD/Workspace ONE UEM en tant que Compte professionnel ou scolaire.
Saisissez votre Mot de passe. Sélectionnez Se connecter.
Assurez-vous que l'écran Bienvenue dans AirWatch apparaît. Sélectionnez Continuer.
Sélectionnez le type de Propriété du terminal et saisissez le Numéro d'actif, le cas échéant. Sélectionnez Suivant.
Si votre organisation utilise Office 365 et l'intégration Azure AD, les utilisateurs peuvent enrôler leurs terminaux lorsqu'ils ouvrent une application Office 365 pour la première fois.
Procédure
Le provisionnement par lots vous permet de créer un package préconfiguré qui préenrôle les terminaux Windows, puis les enrôle dans Workspace ONE UEM. Apprenez à utiliser le provisionnement par lots pour enrôler et configurer plusieurs terminaux avec un compte utilisateur standard.
Ce flux d'enrôlement est la seule méthode permettant d'enrôler un terminal avec un compte utilisateur standard. Les autorisations d'administration sont encore nécessaires pour exécuter le package préconfiguré. Le provisionnement par lots prend uniquement en charge le préenrôlement standard d'un utilisateur unique.
Pour utiliser le provisionnement par lots, téléchargez le kit Microsoft Assessment and Development Kit et installez l'outil ICD (Imaging and Configuration Designer). L'outil ICD crée des packages de provisionnement utilisés pour créer des images des terminaux. Dans le cadre de ces packages de provisionnement, vous pouvez utiliser des paramètres de configuration Workspace ONE UEM de manière à ce que les terminaux provisionnés soient enrôlés automatiquement dans Workspace ONE UEM lors de la première utilisation immédiate (mode OOBE).
Pour mapper automatiquement les terminaux vers l'utilisateur approprié, enregistrez les terminaux par utilisateur ou à l'aide d'une importation par lots avant de créer le package de provisionnement.
L'outil Microsoft Imaging and Configuration Designer vous permet de créer rapidement et facilement un package de provisionnement pour enrôler plusieurs terminaux Windows dans Workspace ONE UEM. Une fois le package installé, le terminal s'enrôle automatiquement dans Workspace ONE UEM.
Procédure
Sélectionnez la flèche vers le bas en regard de l'option Enrôlements dans la fenêtre Personnalisations disponibles.
Configurez les paramètres suivants.
Après avoir créé les packages de provisionnement à l'aide de Microsoft Imaging and Configuration Designer, vous devez installer le package de provisionnement sur les terminaux des utilisateurs.
Sélectionnez le package approprié dans la liste fournie.
Si vous avez ajouté le terminal sur le compte de l'utilisateur dans Workspace ONE UEM console avant le provisionnement, le terminal est attribué au moment de l'enrôlement.
Les terminaux Windows enrôlés via VMware Workspace ONE Intelligent Hub ou OOBE sont gérés par défaut par MDM. Pour permettre aux terminaux Windows de s'enrôler sans gestion MDM, vous pouvez activer le Mode Enregistré (non géré) pour un groupe organisationnel entier ou avec des Smart Group et des critères spécifiques.
Le Mode Enregistré prend en charge les méthodes d'enrôlement répertoriées.
Activez le Mode Enregistré par groupes organisationnels ou par Smart Groups. Lorsque vous utilisez des Smart Groups, regroupez les terminaux pour le Mode Enregistré par version du système d'exploitation, plateforme, type de propriété ou utilisateurs.
Avec l'enrôlement en mode enregistré, les utilisateurs peuvent utiliser un sous-ensemble de services Workspace ONE sans la gestion MDM. Cela inclut Workspace ONE Assist, VMware Workspace ONE Tunnel, la gestion de l'expérience numérique des employés (DEEM) et les services Workspace ONE Hub.
Procédure
Résultats
Les utilisateurs disposant de terminaux Windows enrôlés à partir du Smart Group configuré ou du groupe organisationnel spécifié peuvent utiliser les fonctionnalités du produit sans gestion MDM. Les informations sur le terminal et les capacités de gestion de la console sont limitées. Seuls les profils pertinents sont installés sur ces terminaux.
Les administrateurs passent des flux de travail basés sur la création d'images au provisionnement juste-à-temps à distance. Dans ces scénarios de provisionnement, il est important d'informer les utilisateurs sur ce qui se passe lors de l'enrôlement de leurs terminaux. VMware Workspace ONE Intelligent Hub pour Windows affiche et notifie les états des applications en cours de téléchargement et d'installation pendant le processus d'enrôlement Windows. Cette fonctionnalité permet également de personnaliser la messagerie utilisateur lors de la configuration.
Si vous examinez les paramètres d'enrôlement sur la page Terminaux > Paramètres du terminal > Terminaux et utilisateurs > Général > Enrôlement, vous voyez trois scénarios d'enrôlement généraux pour les terminaux Windows.
Enrôlement ouvert
Permet à toute personne répondant aux autres critères d'inscription (mode d'authentification, restrictions, etc.) de s'inscrire.
Terminaux enregistrés uniquement
Permet aux utilisateurs de s'inscrire à l'aide des terminaux enregistrés. L'enrôlement des terminaux correspond au processus d'ajout de terminaux professionnels dans Workspace ONE UEM console avant leur enrôlement. Cette matrice s'applique aux terminaux qui s'enregistrent sans jeton.
Exiger un jeton d'enregistrement
Si vous limitez l'enrôlement aux terminaux enregistrés, vous pouvez aussi demander qu'un jeton d'enregistrement soit utilisé pour l'enrôlement. Cette option offre davantage de sécurité car elle vous assure qu'un utilisateur en particulier est autorisé à s'enrôler.
Type de terminal
Le type de terminal détermine la manière dont le système Workspace ONE UEM suit et affiche l'état d'enrôlement du terminal.
Cycle de vie de l'enrôlement des terminaux
L'enrôlement des terminaux avec Workspace ONE UEM se déroule en trois étapes principales.
(En option) Les administrateurs enregistrent les terminaux ou les utilisateurs enregistrent eux-mêmes leur terminal dans Workspace ONE UEM.
L'enregistrement permet de limiter l'inscription.
Les utilisateurs ou les administrateurs enrôlent les terminaux avec Workspace ONE UEM.
La console affiche les états SET.
Le type d'enrôlement, le type de terminal et l'étape d'enrôlement déterminent l'État d'enrôlement et l'État du jeton affichés pour les terminaux Windows sur la page Terminaux > Cycle de vie > État d'enrôlement.
Enrôlement ouvert
Type | Terminaux enregistrés : état d'inscription | Terminaux enregistrés : état du jeton | Terminaux inscrits : état d'inscription | Terminaux inscrits : état du jeton | Terminaux désinscrits : état d'inscription | Terminaux désinscrits : état du jeton |
---|---|---|---|---|---|---|
Terminal sur liste autorisée | Inscrit | Conforme | Enrôlé | Conforme | Désenrôlé | Conforme |
Terminal sur liste bloquée | Sur liste bloquée | Non conforme | Non applicable | Non applicable | Non applicable | Non applicable |
Terminal enregistré sans attributs. Les attributs sont le numéro de série, l'IMEI et l'UDID. | Inscrit | Inscription active | Enrôlé | Inscription active | Inscrit | Inscription active |
Terminal enregistré avec attributs. Les attributs sont le numéro de série, l'IMEI et l'UDID. | Inscrit | Inscription active | Enrôlé | Inscription active | Inscrit | Inscription active |
Terminaux enregistrés uniquement (pas de jeton)
Type | Terminaux enregistrés : état d'inscription | Terminaux enregistrés : état du jeton | Terminaux inscrits : état d'inscription | Terminaux inscrits : état du jeton | Terminaux désinscrits : état d'inscription | Terminaux désinscrits : état du jeton |
---|---|---|---|---|---|---|
Terminal sur liste autorisée | Inscrit | Conforme | Enrôlé | Conforme | Désenrôlé | Conforme |
Terminal sur liste bloquée | Sur liste bloquée | Non conforme | Non applicable | Non applicable | Non applicable | Non applicable |
Terminal enregistré sans attributs. Les attributs sont le numéro de série, l'IMEI et l'UDID. | Inscrit | Inscription active | Enrôlé | Inscription active | Inscrit | Inscription active |
Terminal enregistré avec attributs. Les attributs sont le numéro de série, l'IMEI et l'UDID. | Inscrit | Inscription active | Enrôlé | Expiré | Inscrit | Inscription active |
Exiger un jeton d'enregistrement
Type | Terminaux enregistrés : état d'inscription | Terminaux enregistrés : état du jeton | Terminaux inscrits : état d'inscription | Terminaux inscrits : état du jeton | Terminaux désinscrits : état d'inscription | Terminaux désinscrits : état du jeton | |
---|---|---|---|---|---|---|---|
Terminal enregistré sans attributs. Les attributs sont le numéro de série, l'IMEI et l'UDID. | Inscrit | Inscription active | Enrôlé | Non applicable | Désenrôlé | Inscription expirée | |
Terminal enregistré avec attributs. Les attributs sont le numéro de série, l'IMEI et l'UDID. | Inscrit | Inscription active | Enrôlé | Non applicable | Désenrôlé | Inscription expirée | s |