Vous pouvez enrôler des utilisateurs et des groupes de services d'annuaire existants comme Active Directory (AD), Lotus Domino et Novell e-Directory. Si vous ne disposez pas d'une telle infrastructure ou si vous avez choisi de ne pas l'intégrer, vous devez procéder à un enrôlement basique dans Workspace ONE UEM.

L'enrôlement basique renvoie au processus de création manuelle des comptes utilisateur et des groupes d'utilisateurs pour chacun des utilisateurs de votre organisation. Si votre organisation n'intègre pas Workspace ONE UEM avec un service d'annuaire, l'enrôlement basique correspond à la façon dont vous créez les comptes utilisateur.

Si vous devez créer un petit nombre de comptes basiques, créez-les un par un tel que décrit dans la section Créer des comptes utilisateur basiques.

Pour les enrôlements basiques impliquant un plus grand nombre d'utilisateurs finaux, vous pouvez gagner du temps en remplissant et en important des modèles CSV (valeurs séparées par des virgules). Ces fichiers contiennent toutes les informations utilisateur que vous ajoutez et sont intégrés dans UEM via la fonctionnalité d'importation par lot. Pour plus d'informations, reportez-vous à la section Importer par lots les utilisateurs ou les terminaux.

Remarque : Workspace ONE UEM prend en charge un mélange d'utilisateurs avec enrôlement basique et par services d'annuaire. Vous pouvez utiliser l'une des deux méthodes pour l'enrôlement initial des utilisateurs et des terminaux.

Avantages et inconvénients

Avantages Inconvénients
Enrôlement basique - Peut être utilisé pour n'importe quelle méthode de déploiement.

- Ne nécessite aucune intégration technique.

- Ne nécessite aucune infrastructure d'entreprise.

- Peut s'enrôler dans plusieurs groupes organisationnels.
- Les identifiants existent uniquement dans Workspace ONE UEM et ne correspondent pas nécessairement aux identifiants professionnels existants.

- Ne propose aucune sécurité fédérée.

- L'authentification unique n'est pas prise en charge.

- Workspace ONE UEM stocke tous les noms d'utilisateur et mots de passe.

- Ne peut pas être utilisé pour l'enrôlement direct de Workspace ONE.
Enrôlement du service d'annuaire - Les utilisateurs finaux s'authentifient à l'aide des identifiants professionnels existants.

- Détecte et synchronise automatiquement les modifications depuis le système d'annuaire dans Workspace ONE UEM. Par exemple, lorsque vous désactivez des utilisateurs dans AD, le compte d'utilisateur correspondant dans Workspace ONE UEM Console est marqué comme inactif.

- Méthode sécurisée d'intégration à votre service d'annuaire existant.

- Pratique d'intégration standard.

- Peut être utilisé pour l'enrôlement direct de Workspace ONE.

- Les déploiements SaaS utilisant AirWatch Cloud Connector ne nécessitent aucune modification de pare-feu et offrent une configuration sécurisée pour d'autres infrastructures, telles que les serveurs Microsoft ADCS, SCEP et SMTP.
- Une infrastructure préalable de services d'annuaire est obligatoire.

- Les déploiements SaaS nécessitent une configuration supplémentaire en raison de l'installation d'AirWatch Cloud Connector derrière le pare-feu ou dans une DMZ.

Critères à prendre en compte pour l'enrôlement basique ou d'annuaire

Lorsque vous envisagez l'enrôlement de l'utilisateur final, vous devez envisager d'autres points en plus des avantages et inconvénients existants des utilisateurs à enrôlement basique et par services d'annuaire.

Considération n° 1 : Qui peut s'enrôler ?

Pour répondre à cette question, prenez en compte les éléments suivants.

  • Votre déploiement MDM a-t-il pour but de gérer les terminaux pour tous les utilisateurs de votre organisation au niveau du nom unique de base configuré ou au niveau inférieur ? Si c'est le cas, la meilleure façon de procéder est d'autoriser tous vos utilisateurs à s'enrôler en vous assurant que les cases Limiter l'enrôlement sont désélectionnées.

    Vous pouvez autoriser tous les utilisateurs à s'enrôler pendant le déploiement initial et limiter ensuite l'enrôlement afin d'empêcher les utilisateurs inconnus de s'enrôler. Au fur et à mesure que votre organisation ajoute de nouveaux employés ou membres aux groupes d'utilisateurs existants, ces modifications seront synchronisées et fusionnées.

  • Y a-t-il des utilisateurs ou des groupes qui ne doivent pas être inclus dans MDM ? Si oui, vous devez ajouter les utilisateurs un par un ou importer par lot un fichier CSV (valeurs séparées par des virgules) d'utilisateurs autorisés uniquement.

  • Le nom unique de base, ou nom unique, est le point à partir duquel un serveur recherche des utilisateurs. Un nom unique identifie de façon unique une entrée dans le répertoire. Chaque entrée dans le répertoire dispose d'un nom unique.

Considération #2 : Où les utilisateurs seront-ils attribués ?

La méthode d'attribution des utilisateurs d'annuaire aux groupes organisationnels pendant l'enrôlement est un autre élément à prendre en compte lors de l'intégration de votre environnement Workspace ONE UEM aux services d'annuaire. Pour répondre à cette question, prenez en compte les éléments suivants.

  • Avez-vous créé une structure de groupes organisationnels correspondant aux groupes de vos services d'annuaire ? Vous devez effectuer cette tâche avant de pouvoir modifier l'attribution des utilisateurs.
  • Si vos utilisateurs enrôlent leurs propres terminaux, il est facile de sélectionner un ID de groupe dans une liste. Cette simplicité est cependant compensée par la possibilité d'une erreur humaine, qui peut conduire à des attributions de groupe incorrectes.

Vous pouvez sélectionner automatiquement un ID de groupe en fonction d'un groupe d'utilisateurs ou autoriser les utilisateurs à choisir un ID de groupe dans une liste. Ces options de mode d'attribution de l'ID de groupe sont disponibles en naviguant vers Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement et en sélectionnant l'onglet Regroupement.

Activation de l'enrôlement basé sur les services d'annuaire

L'enrôlement des services d'annuaire fait référence au processus d'intégration de Workspace ONE UEM dans l'infrastructure des services d'annuaire de votre organisation. Une telle intégration de votre service d'annuaire signifie que vous pouvez importer des utilisateurs automatiquement et, éventuellement, des groupes d'utilisateurs tels que des groupes de sécurité et des listes de distribution.

Lors de l'intégration à un service d'annuaire comme Active Directory (AD), vous avez le choix dans la manière d'importer les utilisateurs.

  • Autoriser tous les utilisateurs d'annuaire à s'enrôler – Vous pouvez autoriser tous vos utilisateurs de service d'annuaire à s'enrôler. Vous pouvez également configurer votre environnement pour qu'il détecte automatiquement les utilisateurs en fonction de leur adresse e-mail. Créez-leur ensuite un compte utilisateur Workspace ONE UEM lorsqu'ils effectuent l'enrôlement.
  • Ajouter les utilisateurs un par un – Après l'intégration d'un service d'annuaire, vous pouvez ajouter des utilisateurs un par un, comme vous le feriez pour créer des comptes utilisateur Workspace ONE UEM basiques. La seule différence est que vous devez saisir leur nom d'utilisateur et cliquer sur Vérifier l'utilisateur pour emplir automatiquement les informations restantes.
  • Importer par lots un fichier CSV – Grâce à cette option, vous pouvez importer une liste de comptes de service d'annuaire dans un fichier de modèle CSV (valeurs séparées par des virgules). Ce fichier dispose de colonnes très spécifiques, certaines d'entre elles ne pouvant pas être vides.
  • Intégrer des groupes d'utilisateurs (facultatif) – Cette méthode vous permet d'utiliser les appartenances de vos groupes d'utilisateurs existants pour attribuer des profils, des applications, des politiques de conformité, etc.

Remarque : Pour plus d'informations sur l'intégration de votre environnement Workspace ONE UEM à votre service d'annuaire, y compris l'intégration du fournisseur SAML, reportez-vous au Guide sur l'Intégration du service d'annuaire.

Intégration des services d'annuaire et restrictions d'enrôlement

Lorsque l'intégration des services d'annuaire est configurée sur Workspace ONE UEM, les comptes de services d'annuaire héritent des paramètres d'enrôlement du groupe organisationnel (OG) à partir duquel le service d'annuaire est configuré. Les comptes basiques respectent néanmoins les paramètres locaux, y compris les remplacements.

Le diagramme montre un modèle de groupe organisationnel simple composé d'un parent et d'un enfant.

En prenant le modèle de groupe organisationnel ci-dessus comme exemple, supposons que l'option Effacer les données d'entreprise sur les terminaux des utilisateurs n'appartenant pas à des groupes configurés est activée sur l'OG nommé Client.

Dans ce scénario, les utilisateurs inscrits dans l'annuaire de l'OG enfant Sales01 qui quittent un groupe configuré voient leurs terminaux effacés malgré le remplacement de la restriction d'inscription configuré dans l'OG. Ce principe s'applique même si ces comptes comportent des terminaux enrôlés sur un autre groupe organisationnel, parce que les paramètres d'enrôlement sont propres à l'utilisateur et non au terminal.

Toutefois, dans ce même scénario, les terminaux appartenant à des utilisateurs de l'enrôlement basique du groupe organisationnel Sales01 qui quittent un groupe configuré ne sont pas effacés. En effet, les utilisateurs d'inscription basique du Sales01 ne font pas partie de l'OG de l'annuaire intégré. Ainsi, ils reconnaissent et acceptent que les restrictions d'inscription soient remplacés.

Rubrique parente : Enrôlement du terminal

check-circle-line exclamation-circle-line close-line
Scroll to top icon