È possibile registrare utenti e gruppi esistenti di servizi Directory come Active Directory (AD), Lotus Domino e Novell e-directory. Se non si dispone di un'infrastruttura di questo tipo o si sceglie di non effettuare l'integrazione, è necessario effettuare la registrazione di base in Workspace ONE UEM.

La registrazione di base fa riferimento al processo di creazione manuale degli account utente e dei gruppi di utenti per ciascun utente della tua organizzazione. Se l'organizzazione non integra Workspace ONE UEM con un servizio di directory, per creare gli account utente è necessaria la registrazione di base.

Se è necessario creare alcuni account di base, creare gli account una alla volta, come descritto in Creare account utente di base.

Per le registrazioni di base che implicano un numero maggiore di utenti finali, è possibile risparmiare tempo compilando e caricando i file modello CSV (comma-separated values). Questi file contengono tutte le informazioni aggiunte relative all'utente e vengono inseriti nell'UEM tramite la funzionalità di importazione batch. Per ulteriori informazioni, vedere l'argomento Importazione batch di utenti e dispositivi.

Nota: Anche se Workspace ONE UEM supporta sia utenti registrati a servizi di directory che utenti di base, in genere per effettuare la registrazione iniziale di utenti e dispositivi si utilizza solo un tipo di utente.

Pro e contro

Pro Contro

Registrazione di base

  • Può essere utilizzata per qualsiasi metodo di distribuzione.
  • Non richiede integrazione tecnica.
  • Non richiede alcuna infrastruttura aziendale.
  • Possono potenzialmente registrarsi a più gruppi.
  • Le credenziali sono valide solo in Workspace ONE UEM e non corrispondono necessariamente alle credenziali aziendali esistenti.
  • Non offre alcuna protezione centralizzata.
  • Single Sign-On non supportato.
  • Workspace ONE UEM archivia tutti i nomi utente e le password.
  • Non può essere utilizzato per la registrazione diretta di Workspace ONE.

Registrazione a servizi di directory

  • Gli utenti possono autenticarsi con le credenziali aziendali esistenti.
  • Rileva e sincronizza automaticamente le modifiche dal sistema di directory in Workspace ONE UEM. Ad esempio, quando si disabilitano gli utenti in AD, il corrispondente account utente in Workspace ONE UEM Console è contrassegnato come inattivo.
  • Metodo sicuro per l'integrazione del servizio di directory esistente.
  • Pratica di integrazione standard.
  • Può essere utilizzato per la registrazione diretta di Workspace ONE.
  • Le distribuzioni SaaS che utilizzano AirWatch Cloud Connector non richiedono alcuna modifica del firewall e offrono una configurazione protetta ad altre infrastrutture come i server Microsoft ADCS, SCEP e SMTP.
  • Richiede un'infrastruttura del servizio di directory esistente.
  • Le distribuzioni SaaS richiedono configurazioni aggiuntive, in quanto AirWatch Cloud Connector è installato dietro al firewall o in una DMZ.

Considerazioni sulla registrazione, base e directory

Quando si valuta la registrazione dell'utente finale, oltre ai pro e contro di base e directory, ci sono altre domande da prendere in considerazione.

Considerazione #3: chi può effettuare la registrazione?

Per questa domanda, considera quanto segue.

  • L'obiettivo della tua distribuzione MDM è quello di gestire i dispositivi di tutti gli utenti dell'organizzazione con un DN * di base uguale o inferiore? In tal caso, sarà necessario consentire a tutti gli utenti di registrarsi assicurandosi che le caselle di controllo delle limitazioni siano deselezionate.

    È possibile consentire a tutti gli utenti di registrarsi durante la fase di distribuzione iniziale e successivamente applicare le limitazioni per impedire che utenti sconosciuti si registrino. Man mano che nuovi dipendenti o membri vengono aggiunti a gruppi utente esistenti, tali modifiche verranno sincronizzate e unite.

  • Vi sono utenti o gruppi che non devono essere inclusi in MDM? In tal caso, è necessario aggiungere gli utenti uno per volta o importare in massa un file CSV (valori separati da virgole) di soli utenti idonei.

* Il DN di base o il nome distinto, è il punto da cui un server esegue la ricerca degli utenti. Un nome distinto è un nome che identifica in modo univoco una voce nella directory. Ogni voce nella directory ha un DN.

Considerazione #2: dove verranno assegnati gli utenti?

Un'altra considerazione da fare durante l'integrazione dell'ambiente Workspace ONE UEM con i servizi di directory è la modalità di assegnazione degli utenti ai gruppi durante la registrazione. Per questa domanda, considera quanto segue.

  • Hai creato una struttura del gruppo che esegue il mapping logico ai gruppi del servizio di directory? È necessario completare questa operazione prima di poter modificare le assegnazioni dei gruppi.
  • Se gli utenti registrano i propri dispositivi, la cosa più semplice è quella di selezionare un ID gruppo da un elenco. L'errore umano fa parte di questa semplice operazione e può determinare assegnazioni a gruppi non corretti.

Puoi selezionare automaticamente un ID gruppo sulla base del gruppo utente o consentire agli utenti di selezionare un ID gruppo da un elenco. Le opzioni Modalità assegnazione ID del gruppo sono disponibili accedendo a Dispositivi > Impostazioni del dispositivo > Dispositivi e utenti > Generale > Registrazione e selezionando la scheda Raggruppamento.

Abilitare la registrazione basata sui servizi di directory

La registrazione basata sui servizi di directory fa riferimento al processo di integrazione di Workspace ONE UEM con l'infrastruttura del servizio di directory dell'organizzazione. Se si integra il servizio di directory in questo modo sarà possibile importare in automatico gli utenti e, facoltativamente, i gruppi utenti come i gruppi di sicurezza e gli elenchi di distribuzione.

Quando si effettua l'integrazione di un servizio di directory come Active Directory (AD), sono disponibili diverse opzioni per importare gli utenti.

  • Consenti a tutti gli utenti della directory di registrarsi: è possibile abilitare la registrazione per tutti gli utenti del servizio di directory. Inoltre, è possibile configurare l'ambiente in modo che rilevi automaticamente gli utenti sulla base della loro e-mail, quindi creare un account utente Workspace ONE UEM quando effettuano la registrazione.
  • Aggiungi gli utenti uno per uno: dopo aver effettuato l'integrazione del servizio di directory, è possibile aggiungere gli utenti singolarmente nello stesso modo in cui si creano gli account utente Workspace ONE UEM di base. L'unica differenza è che bisogna inserire il nome utente e selezionare Verifica utente per compilare automaticamente le informazioni rimanenti dal servizio di directory.
  • Caricamento batch di un file CSV: con questa opzione è possibile importare un elenco di account dei servizi di directory in un file modello CSV (valori separati da virgole). Questo file contiene colonne specifiche, alcune delle quali non possono essere lasciate vuote.
  • Integra con gruppi utente (opzionale): con questo metodo puoi utilizzare l'appartenenza ai gruppi utente per assegnare profili, app, criteri di conformità ecc.
Nota: Per informazioni su come integrare l'ambiente Workspace ONE UEM con il servizio di directory, inclusa l'integrazione del provider SAML, consultare la Guida all'integrazione dei servizi Directory.

Integrazione dei servizi di directory e limitazioni di registrazione

Quando l'integrazione dei servizi di directory viene configurata in Workspace ONE UEM, gli account dei servizi di directory ereditano le impostazioni di registrazione dal gruppo da cui è stato configurato il servizio. Tuttavia, gli account di base seguono le impostazioni locali, incluse le sostituzioni.

Il diagramma mostra un modello di gruppo semplice di un di un gruppo principale e di un sottogruppo.

Prendendo come esempio il modello di gruppo di organizzazioni precedente, si supponga che l'opzione di cancellazione dei dispositivi aziendali degli utenti rimossi dai gruppi configurati sia abilitata sull'OG denominata "Customer".

Dato questo scenario, gli utenti registrati nella directory della OG dipendente denominata Sales01, che lasciano un gruppo configurato, vedono i loro dispositivi cancellati nonostante la restrizione della registrazione sia ignorata nella configurazione di quella OG. Ciò si verifica anche se tali account dispongono di dispositivi registrati su un gruppo diverso, poiché le impostazioni di registrazione sono incentrate sull'utente, non sul dispositivo.

Tuttavia, in questo stesso scenario, i dispositivi appartenenti agli utenti di registrazione di base del gruppo Sales01 che lasciano un gruppo configurato non vedranno cancellati i propri dispositivi. Questo avviene in quanto gli utenti con registrazione di base in Sales01 non fanno parte dell'OG integrata nei servizi di directory e quindi riconoscono e rispettano il fatto che la restrizione della registrazione sia ignorata.