Come registrare i dispositivi in Workspace ONE UEM?

La registrazione in massa dei dispositivi avviene normalmente per i nuovi clienti che desiderano portare i dispositivi degli utenti finali nel proprio ambiente sotto l'egida di Workspace ONE UEM. I seguenti casi d'uso mostrano dettagliatamente ogni passaggio richiesto per la registrazione in massa dei dispositivi in base a tre dei percorsi più popolari: Bring Your Own Device (BYOD), Dispositivi di proprietà aziendale e abilitati personalmente (COPE) e Dispositivi condivisi.

Bring Your Own Device (BYOD)

Dubbi sulla privacy

È possibile adottare misure preventive per affrontare i dubbi sulla privacy che gli utenti finali potrebbero avere. Per istruzioni dettagliate su come configurare le impostazioni della privacy in Workspace ONE UEM, vedere Privacy per le distribuzioni BYOD.

1. Integrazione dei servizi Directory

Configurazione dei servizi Directory con una procedura guidata

Workspace ONE UEM Console offre una procedura guidata semplificata che facilita il processo di configurazione dei servizi Directory. La procedura guidata include passaggi che integrano SAML (Security Assertion Markup Language), LDAP (Lightweight Directory Access Protocol) o entrambi. Tale procedura automatizza inoltre il provisioning delle applicazioni Workspace ONE UEM in VMware Identity Manager, semplificando notevolmente il processo.

Per ulteriori informazioni sull'integrazione di Workspace ONE UEM con Workspace ONE Access e sulla distribuzione di Workspace ONE con Single Sign-On ai dispositivi, vedere Integrazione di Workspace ONE UEM con Workspace ONE Access.

Nota: se le impostazioni SAML o LDAP sono già state configurate nel server dei servizi Directory, la console UEM le rileva automaticamente.

1. È possibile accedere alla procedura guidata di configurazione dei servizi Directory da due posizioni.

   • Procedura guidata principale Guida introduttiva alla console UEM.

   • Andare su Gruppi e impostazioni > Tutte le impostazioni > Sistema > Integrazione aziendale > Servizi Directory e selezionare Avvia procedura guidata di configurazione.

     

2. Dopo l'avvio della procedura guidata, selezionare Configura per eseguire i passaggi.

Configurazione manuale dei servizi Directory

In alternativa, è possibile ignorare la procedura guidata e configurare manualmente i servizi Directory per configurare le impostazioni autonomamente.

2. Configurare le opzioni di registrazione

1. Passare al gruppo di tipo cliente da cui si desidera gestire tutti i dispositivi BYOD. La configurazione delle opzioni di registrazione è più semplice quando ci si trova nel gruppo corretto. Per ulteriori informazioni, vedere Modifica dei gruppi.

2. Andare su Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Registrazione. Se le opzioni nella prima scheda Autenticazione sono in grigio e non selezionabili, selezionare l'opzione Sostituisci in Impostazioni correnti per abilitare tali opzioni.

   1. Nella scheda Autenticazione, selezionare il pulsante Aggiungi dominio e-mail. Viene visualizzata la schermata Aggiungi dominio email.
   2. Immettere il proprio dominio e-mail aziendale, ad esempio acme.com, e un indirizzo e-mail di conferma, ad esempio [email protected]. Se si utilizzano più domini, ripetere i passaggi 1 e 2 per ciascun dominio utilizzato dai dipendenti. L'indirizzo e-mail inserito riceverà le conferme della registrazione.
   3. In Modalità di autenticazione, deselezionare Di base e selezionare Directory. Lasciare deselezionata la casella Proxy di autenticazione.
   4. In Origine di autenticazione per Intelligent Hub, abilitare Workspace ONE UEM. Se si utilizzano altri prodotti VMware come vRA, vShield, NSX ed altri, selezionare invece Workspace ONE Access.
   5. In Modalità di registrazione dispositivi, selezionare Apri registrazione. Questa impostazione significa che non si sta creando un elenco di dispositivi che possono essere registrati e che non è richiesto un token di registrazione.
   6. Per le prossime tre opzioni di iOS e macOS, ispezionare i badge informativi accanto a ciascuna opzione per determinare le opzioni più adatte alla propria base di utenti.
   7. Seleziona Salva.

3. In Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Registrazione, selezionare la scheda Modalità di gestione. Se le opzioni sono in grigio e non selezionabili, selezionare l'opzione Sostituisci in Impostazioni correnti per abilitare tali opzioni.

   I dispositivi registrati con Intelligent Hub sono gestiti da MDM per impostazione predefinita. La scheda Modalità di gestione consente di disattivare la gestione MDM in base alla piattaforma per i dispositivi che si desidera registrare in Workspace ONE UEM a favore di un meccanismo di gestione alternativo, come la modalità registrata basata su app o non gestita. Abilitare la piattaforma e selezionare il gruppo smart appropriato per consentire a tali dispositivi di registrarsi senza gestione MDM. Quando si utilizzano i gruppi smart, la registrazione può essere abilitata in base ai seguenti criteri: versione del sistema operativo, tipo di proprietà e gruppo di utenti. Per controllare i livelli di gestione dei dispositivi iOS registrati senza gestione, utilizzare i criteri dell'app di gestione adattiva. Se si desidera mantenere la gestione MDM, ignorare questa scheda di registrazione e procedere al passaggio 4 (Integrazione Hub).

   1. Per ogni piattaforma per cui si desidera disattivare la gestione MDM a favore di un meccanismo di gestione alternativo, selezionare il pulsante Abilitato.

   2. In Tutti i dispositivi [piattaforma] in questo gruppo, selezionare Abilitato se si desidera che per tutti i dispositivi registrati in questo gruppo venga disattivata la gestione MDM. Questi dispositivi possono essere gestiti in modalità registrata o a livello di applicazione. Possono inoltre rimanere non gestiti. Selezionare Disabilitato e fare clic sulla casella di testo per attivare il menu a discesa. Selezionare il nome del gruppo smart a cui assegnare i contenuti. Tutti i dispositivi simili della piattaforma che si registrano in questo gruppo ma non sono inclusi nel gruppo smart vengono registrati come gestiti da MDM.

      Se il gruppo smart non è stato ancora creato, selezionare il pulsante Crea gruppo smart nella parte inferiore del menu a discesa. Seguire quindi le istruzioni in Crea un gruppo smart, assicurandosi di seguire il percorso Criteri e che le proprie piattaforme corrispondano: creare un gruppo smart iOS per la modalità di gestione iOS, creare un gruppo smart Android per la modalità di gestione Android e così via.

   3. Seleziona Salva.

4. In Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Registrazione, selezionare la scheda Integrazione Hub. Se le opzioni sono in grigio e non selezionabili, selezionare l'opzione Sostituisci in Impostazioni correnti per abilitare tali opzioni.

   1. In Usa le funzionalità dei servizi Hub in Intelligent Hub, selezionare Abilitato per consentire ai dispositivi di questo gruppo di connettersi ai servizi di Workspace ONE Hub per funzionalità come Catalogo app e Persone. Selezionare Disabilitato per disattivare tali funzionalità dei servizi Hub.
   2. Seleziona Salva.

5. In Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Registrazione, selezionare la scheda Termini di utilizzo. Se le opzioni sono in grigio e non selezionabili, selezionare l'opzione Sostituisci in Impostazioni correnti per abilitare tali opzioni.

   1. In Richiedi l'accettazione dei termini di utilizzo della registrazione, selezionare Abilitato per richiedere agli utenti finali di accettare i termini di utilizzo specificati prima di poter registrarsi. Selezionare Disabilitato per rendere facoltativa l'accettazione dei termini di utilizzo per la registrazione.
   2. (Facoltativo) Selezionare il pulsante Aggiungi nuovi termini di utilizzo della registrazione per visualizzare la schermata Crea nuovi termini di utilizzo, che consente di inserire un accordo sui termini di utilizzo. È possibile specificare opzioni tra cui Piattaforme, Proprietà del dispositivo, Tipo di registrazione e Lingua. Consultarsi con il proprio team legale allo scopo di redigere un accordo efficace sui termini di utilizzo. Selezionare Salva per salvare l'accordo.
   3. Selezionare Salva per salvare le selezioni della scheda Termini di utilizzo.

6. In Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Registrazione, selezionare la scheda Raggruppamento. Se le opzioni sono in grigio e non selezionabili, selezionare l'opzione Sostituisci in Impostazioni correnti per abilitare tali opzioni.

   1. In Modalità di assegnazione ID gruppo, selezionare Predefinita.
   2. Nella sezione Predefinita, per Proprietà predefinita del dispositivo selezionare Proprietà del dipendente, che rappresenta la caratteristica principale di una distribuzione BYOD.
   3. Nella sezione Predefinita, per Ruolo predefinito selezionare Accesso di base, Accesso completo o selezionare un ruolo che è stato predisposto.
   4. Nella sezione Predefinita, per Azione predefinita per gli utenti inattivi selezionare Rimozione dei dati aziendali sui dispositivi attualmente registrati. Questa opzione offre la massima protezione contro la perdita di dati aziendali/intellettuali in caso di furto o smarrimento del dispositivo.
   5. Nella sezione Sincronizzazione dei gruppi di utenti, per Sincronizza gruppi di utenti in tempo reale per Workspace ONE, selezionare Disabilitato. Quando è abilitata questa opzione, Workspace ONE consente di sincronizzare i gruppi di utenti per un determinato utente quando questi si iscrivono nella console UEM. A causa del suo impatto sulle prestazioni di Workspace ONE UEM, abilitare questa opzione solo se i gruppi di utenti cambiano di frequente poiché influiscono sulla possibilità o meno di registrare un dispositivo.
   6. Nella sezione Mappatura ruoli utente, per Abilita mappatura basata su gruppi di Directory deselezionare la casella di controllo per disattivare l'applicazione dei ruoli in base ai gruppi di utenti nei servizi Directory. Abilitare la casella di controllo per creare account per tutti i gruppi di utenti nel servizio Directory e utilizzare tali informazioni per assegnare ruoli specifici. Ad esempio, è possibile applicare il "Ruolo x" a tutti gli utenti del gruppo "Manager" del servizio Directory e applicare il "Ruolo y" a tutti gli utenti appartenenti a un altro gruppo.

7. In Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Registrazione, selezionare la scheda Limitazioni. Se le opzioni sono in grigio e non selezionabili, selezionare l'opzione Sostituisci in Impostazioni correnti per abilitare tali opzioni.

   1. Se gli utenti finali dei dispositivi non sono stati aggiunti come utenti a Workspace ONE UEM e si apprestano a registrare i dispositivi per la prima volta, in Controllo accesso utenti lasciare vuota (deselezionata) la casella di controllo Limita la registrazione agli utenti conosciuti. Se sono presenti utenti importati in massa o se tali utenti sono stati inviati al portale self-service per effettuare la registrazione, è tuttavia consigliabile abilitare questa casella di controllo. 2. Se il servizio Directory non è stato integrato con i gruppi di utenti, in Controllo accesso utenti lasciare vuota (deselezionata) la casella di controllo Limita la registrazione ai gruppi configurati. Se il servizio Directory è stato integrato di proposito con Workspace ONE UEM per creare gruppi di utenti in UEM in base ai gruppi di utenti nei servizi Directory, è tuttavia consigliabile abilitare questa casella di controllo per limitare la registrazione solo agli utenti che fanno parte di uno di questi gruppi del servizio Directory.

   3. Nella sezione Impostazioni criterio, è possibile selezionare il pulsante Aggiungi criterio per limitare manualmente la registrazione in base ai fattori identificati. Tali fattori includono il tipo di proprietà, il tipo di registrazione, la piattaforma del dispositivo, il modello del dispositivo e il sistema operativo.

   

   È possibile definire più criteri, ad esempio un criterio per piattaforma specificando un modello minimo o una versione del sistema operativo, e consentire la registrazione solo a tali dispositivi. Come si vedrà più avanti al passaggio 5, si tratta di uno strumento di grande potenzialità.

   4. Nella sezione Requisiti di gestione per Workspace ONE, quando l'opzione Richiedi MDM per Workspace ONE è abilitata, i dispositivi che soddisfano i criteri assegnati devono registrarsi immediatamente dopo l'accesso a Workspace ONE. I dispositivi che non soddisfano i criteri assegnati possono accedere con stato non gestito. Possono passare ad essere gestiti in un secondo momento utilizzando la Gestione adattiva. Questa opzione richiede l'applicazione Workspace ONE 3.2 o una versione successiva.

   5. Nella sezione Impostazioni di assegnazione gruppo, è possibile applicare i criteri definiti al passaggio 3 e inviare i dispositivi idonei al gruppo di utenti prescelto.

   Ad esempio, se è stato creato un criterio di limitazione che consente solo dispositivi Android di proprietà del dipendente (BYOD) di versione 10 o successiva e un secondo criterio di limitazione che consente solo iPhone di proprietà del dipendente (BYOD) di versione 15 o successiva, è possibile configurare tali criteri in modo che gli utenti Android e iPhone vengano aggiunti a due gruppi distinti. Tale organizzazione può essere utile successivamente per la gestione dei contenuti.

8. Le schede rimanenti, Richiesta facoltativa e Personalizzazione, rappresentano opzioni intuitive del dispositivo con un'importanza minore per la funzionalità BYOD. Per istruzioni dettagliate su ciascuna opzione disponibile, vedere Richiesta facoltativa e Personalizzazione.

3. Registrazione con Intelligent Hub

La registrazione di un dispositivo in Workspace ONE Intelligent Hub costituisce l'opzione principale per i dispositivi Android, iOS e Windows negli ambienti Workspace ONE Express e Workspace ONE UEM.

1. Scaricare e installare Workspace ONE Intelligent Hub da Google Play Store (per i dispositivi Android) o da App Store (per i dispositivi Apple).

   Per scaricare Workspace ONE Intelligent Hub dagli App Store pubblici è necessario un ID Apple o un account Google.

   I dispositivi Windows 10 devono puntare il browser predefinito al dispositivo su https://getwsone.com per scaricare l'Hub.

2. Al termine del download eseguire Workspace ONE Intelligent Hub o tornare alla sessione del browser.

   Importante: per installare ed eseguire correttamente Workspace ONE Intelligent Hub in un dispositivo Android sono necessari almeno 60 MB di spazio disponibile. È possibile allocare CPU e memoria di runtime per app sulla piattaforma Android. Se un'app impiega più risorse di quelle allocate, i dispositivi Android effettuano l'ottimizzazione arrestando tale app.

3. Immettere l'indirizzo e-mail quando viene richiesto. La console di Workspace ONE controlla se l'indirizzo è stato precedentemente aggiunto all'ambiente. Nel qual caso si è già configurati come utente finale e il proprio gruppo è già assegnato.

   Se la console di Workspace ONE non è in grado di identificare l'utente finale in base all'indirizzo e-mail, immettere i valori di Server, ID gruppo e Credenziali. L'amministratore può fornire l'URL dell'ambiente e l'ID del gruppo.

4. Finalizzare la registrazione seguendo i prompt successivi. Puoi utilizzare il tuo indirizzo e-mail invece del nome utente. Se due utenti hanno lo stesso indirizzo e-mail, la registrazione non riesce.

Ora il dispositivo è registrato nell'app Workspace ONE Intelligent Hub. Nella scheda Riepilogo di Visualizzazione dettagli dispositivo di questo dispositivo, il pannello di sicurezza visualizza "Registrato nell'hub" per riflettere questo metodo di registrazione.

Registrazione diretta in Workspace ONE per dispositivi di proprietà aziendale e abilitati personalmente (COPE)

La registrazione diretta rappresenta il modo più agevole per registrare i dispositivi che sono di proprietà aziendale e abilitati personalmente (COPE). Il modello COPE offre alle aziende un modo per creare un equilibrio tra la consumerizzazione dei dispositivi e la sicurezza e il controllo richiesti a livello di IT.

In qualità di amministratore, puoi configurare la registrazione diretta con le opzioni desiderate. Queste opzioni comprendono una richiesta facoltativa, la limitazione in base al tipo di dispositivo o al gruppo di utenti e la delega all'utente dell'installazione delle app.

La registrazione diretta è disattivata per impostazione predefinita. Per abilitare Registrazione diretta per Workspace ONE, attieniti alla seguente procedura.

1. Passare a gruppo per il quale si desidera abilitare la registrazione diretta per Workspace ONE. Il gruppo in cui si desidera passare è quello in cui si prevede di contenere tutti i dispositivi COPE registrati. Tale gruppo è lo stesso che verrà selezionato successivamente per gestire i gruppi smart che vengono utilizzati per fornire i profili dei dispositivi, i criteri di conformità, le app e altri contenuti relativi al modello COPE.
2. Passare su Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Generale > Registrazione e selezionare la scheda Limitazioni.

3. Scorri verso il basso a Requisiti di gestione per Workspace ONE e seleziona le opzioni di configurazione. Se necessario, selezionare Sovrascrivi le impostazioni del gruppo principale.

   

   Impostazione	Descrizione
   Richiedi MDM per Workspace ONE	Richiedi la registrazione immediata di dispositivi e utenti idonei al momento dell'accesso a Workspace ONE. I dispositivi al di fuori dei criteri definiti possono registrarsi in uno stato non gestito e possono essere gestiti in un secondo momento (gestione adattiva).
   Gruppo utenti assegnato	Questa impostazione specifica il gruppo di utenti che si desidera includere nel processo di registrazione diretta. È inoltre possibile selezionare Tutti gli utenti, che rappresenta la selezione predefinita quando si abilita Richiedi MDM per Workspace ONE.
   iOS	Abilita questa impostazione per includere i dispositivi iOS. Se disattivata, i dispositivi iOS non saranno idonei alla registrazione diretta ma potranno comunque iscriversi a Workspace ONE UEM in uno stato non gestito.
   Android Legacy	Abilita questa opzione per includere i dispositivi Android legacy. Se disattivata, i dispositivi Android legacy non saranno idonei alla registrazione diretta ma potranno comunque iscriversi a Workspace ONE UEM in uno stato non gestito.
   Android Enterprise	Abilita questa impostazione per includere i dispositivi Android Enterprise. Se disattivata, i dispositivi Android Enterprise non saranno idonei alla registrazione diretta ma potranno comunque iscriversi a Workspace ONE UEM in uno stato non gestito.

I passaggi rimanenti devono essere eseguiti dall'utente finale. Perché ciò avvenga, si procede generalmente con l'invio di un'e-mail contenente i passaggi dettagliati della registrazione agli utenti finali.

1. Indicare all'utente finale di scaricare, installare ed eseguire l'app Workspace ONE dall'App Store o dal repository specifico della piattaforma.
2. Immettere l'indirizzo e-mail o l'URL del server. È possibile includere queste informazioni nell'e-mail di registrazione destinata agli utenti finali.
3. Immettere il nome utente e la password dei servizi di directory.
4. Installare o abilitare Workspace Services selezionando i passaggi di conferma specifici della piattaforma.
   1. iOS: consente al server di aprire Impostazioni, immettere il codice di accesso del dispositivo, installare un profilo di dispositivo non firmato e aprire una schermata in Workspace.
   2. Android legacy: installa Workspace ONE Intelligent Hub, consente di effettuare e gestire telefonate, seleziona la proprietà del dispositivo offrendo la possibilità di immettere il numero di asset del dispositivo, attiva l'applicazione di amministrazione del dispositivo e quindi effettua l'accesso a Workspace ONE.
   3. Android Enterprise: accetta (o rifiuta) le condizioni per l'utilizzo, configura il profilo di lavoro e crea il codice di accesso a Workspace ONE.
5. Al termine dell'installazione di Workspace ONE, gli utenti finali possono continuare a installare le app.
6. Gli utenti finali possono installare app singole da un elenco, Installarle tutte o Ignorare questo passaggio.

Opzioni supportate per la registrazione diretta di Workspace ONE

Passare a Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Generale > Registrazione, selezionare ogni scheda pertinente e apportare le selezioni in base alla compatibilità con la registrazione diretta di Workspace ONE.

Autenticazione

Le seguenti opzioni di autenticazione sono compatibili con la registrazione diretta di Workspace ONE.

• Utenti Directory.
• Gli utenti SAML con Active Directory sono supportati "al volo". Gli utenti SAML senza LDAP sono supportati purché esista già un record dell'utente in Workspace ONE UEM al momento dell'accesso iniziale.
• Gli utenti di base, staging, SAML senza Directory e proxy di autenticazione non sono al momento supportati.
• Registrazione aperta.
• Workspace ONE non verifica le impostazioni Richiedi Workspace ONE Intelligent Hub per iOS o macOS, che vengono utilizzate per bloccare la registrazione Web sulle rispettive piattaforme.

Condizioni per l'utilizzo

Tutte le opzioni delle condizioni per l'utilizzo sono compatibili con la registrazione diretta di Workspace ONE.

Raggruppamento

Tutte le opzioni di raggruppamento sono compatibili con la registrazione diretta di Workspace ONE.

Limitazioni

Le seguenti opzioni di limitazione sono compatibili con la registrazione diretta di Workspace ONE.

• Utenti conosciuti e gruppi configurati.
• Limite massimo di dispositivi registrati.
• Le impostazioni dei criteri sono parzialmente supportate.
  • Tipi di proprietà consentiti: Workspace ONE visualizza una richiesta solo per i tipi di proprietà del dipendente e aziendali (dedicati). Se non si desidera utilizzare uno di questi tipi, disattivare la richiesta facoltativa e utilizzare il tipo di proprietà predefinito.
  • I tipi di registrazione consentiti non sono supportati.
• La piattaforma del dispositivo, il modello del dispositivo e le limitazioni del sistema operativo sono supportati.
• Limitazioni sui gruppi di utenti.

Richieste facoltative

Le seguenti opzioni di richieste facoltative sono compatibili con la registrazione diretta di Workspace ONE.

• Richiedi la proprietà del dispositivo.
• Richiedi numero asset (supportata solo se l'opzione Richiedi la proprietà del dispositivo è abilitata).
• Tutte le altre richieste facoltative non sono supportate.

Personalizzazione

Le seguenti opzioni di personalizzazione sono compatibili con la registrazione diretta di Workspace ONE.

• Utilizza un modello di messaggio specifico per ogni piattaforma.
• URL di destinazione dopo la registrazione (solo per iOS).
• Messaggio di profilo MDM (solo iOS).
• Utilizza applicazioni MDM personalizzate.
• L'e-mail di supporto per la registrazione e il numero di telefono di supporto per la registrazione non sono supportati.

Staging

Lo staging del dispositivo non è supportato in questo modello COPE che utilizza il processo di registrazione diretta. Se occorre eseguire lo staging di un dispositivo per uno o più utenti, è necessario registrarlo con Workspace ONE Intelligent Hub con le seguenti configurazioni specifiche della piattaforma.

Dispositivi condivisi

• Configurazione della registrazione per i dispositivi Android condivisi
• Configurazione della registrazione per i dispositivi iOS condivisi