Auto-registrazione e staging del dispositivo

Workspace ONE UEM supporta due metodi per la registrazione dei dispositivi aziendali. Gli utenti possono registrare i propri dispositivi, oppure gli amministratori possono registrare i dispositivi per conto di altri utenti in un processo chiamato staging del dispositivo.

Durante lo staging del dispositivo, un amministratore registra i dispositivi prima di assegnarli e distribuirli agli utenti finali. Questo metodo è utile per gli amministratori che devono configurare i dispositivi per gli utenti finali all'interno di un'organizzazione.

Lo staging del dispositivo può essere eseguito per dispositivi Android, iOS e macOS.

Considerazione #1: Proprietà dispositivo

• Gli utenti finali hanno già assegnati dispositivi di proprietà dell'azienda? In tal caso, non conviene raccogliere ciascun dispositivo per eseguirne lo staging; ha più senso che gli utenti eseguano la registrazione da soli.

• Gli utenti finali condividono i dispositivi o usufruiscono di dispositivi dedicati? Se gli utenti finali non condividono i dispositivi, è consigliabile affidare la responsabilità della registrazione ai singoli proprietari dei dispositivi.

  Inoltre, lo staging del dispositivo è consigliato per i dispositivi di cui è stato appena eseguito il provisioning, poiché viene eseguito prima di consegnare il dispositivo al dipendente. Se gli utenti finali dispongono già di dispositivi aziendali, è opportuno consentir loro di registrarsi autonomamente. Ciò costituisce un vantaggio anche quando, dato il numero totale di dispositivi, gli amministratori non sarebbero facilitati nel processo di staging dei dispositivi.

Considerazione #2: Rilevamento automatico

Il dominio e-mail è associato all'ambiente Workspace ONE UEM? Questo processo, noto come rilevamento automatico, prevede che gli utenti finali inseriscano unicamente l'indirizzo e-mail e le credenziali. L'URL di registrazione e l'ID gruppo vengono inseriti in automatico.

Vedere anche Registrazione con rilevamento automatico.

Considerazione #3: Registrazione diretta di Workspace ONE

Lo staging del dispositivo tramite la registrazione diretta di Workspace ONE non è supportato. Se occorre eseguire lo staging di un dispositivo per uno o più utenti, è necessario registrarlo con Workspace ONE Intelligent Hub anziché tramite Registrazione diretta di Workspace ONE.

La registrazione diretta di Workspace ONE è una funzionalità che si integra efficacemente con la registrazione autonoma. Una volta abilitata, tutti i dispositivi idonei che accedono al gruppo di registrazione verranno registrati automaticamente. E, una volta completata l'installazione, l'utente finale può accettare di installare le app selezionate dall'azienda o rifiutarsi.

Per ulteriori informazioni, consultare Registrazione diretta di Workspace ONE.

Considerazione #4: l'utente partecipa al programma di registrazione dei dispositivi di Apple?

Per massimizzare i benefici dei dispositivi Apple registrati in Mobile Device Management (MDM), Apple ha introdotto il Device Enrollment Program (DEP). Con DEP è possibile eseguire le seguenti azioni.

• Installare un profilo MDM non removibile in un dispositivo, impedendo così agli utenti finali di eliminarlo.
• Eseguire il provisioning dei dispositivi in modalità controllata (solo per iOS). I dispositivi in modalità controllata possono accedere a impostazioni di sicurezza e di configurazione aggiuntive.
• Imporre la registrazione per tutti gli utenti finali.
• Soddisfare le proprie esigenze personalizzando e semplificando il processo di registrazione.
• Impedire i backup iCloud disabilitando l'accesso degli utenti tramite il loro ID Apple quando generano un profilo DEP.
• Forzare aggiornamenti OS per tutti gli utenti finali.

Considerazione #5: utilizzo di Apple Configurator

Apple Configurator consente agli amministratori IT di distribuire e gestire in modo efficace i dispositivi iOS Apple. È particolarmente utile per le organizzazioni come i negozi al dettaglio, le classi e gli ospedali che desiderano pre-registrare i dispositivi che verranno condivisi da più utenti finali.

Se si utilizza Configurator per registrare dispositivi destinati a un unico utente, è possibile aggiungere il numero di serie/informazioni IMEI al dispositivo registrato da un utente nella console. Uno dei maggiori vantaggi di Apple Configurator è che puoi utilizzare un hub USB o un dispositivo iOS per eseguire il provisioning di più dispositivi in pochi minuti.

Considerazione n. 6: Staging o registrazione per utenti singoli?

Se stai prendendo in considerazione i dispositivi di staging per un singolo utente, potrebbe essere preferibile la registrazione. La differenza tra lo staging di un singolo utente e la registrazione di un dispositivo è lieve ma importante.

Registrazione: quando si registra un dispositivo, è possibile farlo per un utente singolo con un nome specifico. Questa procedura significa che il dispositivo presupporrà che il primo utente ad accedere è l’utente che è stato registrato. Se un altro utente tenta di accedere a un dispositivo registrato, per motivi di sicurezza il dispositivo viene bloccato e non può essere iscritto.

Staging utente singolo: quando si esegue lo staging di un dispositivo, è possibile farlo per tutti gli utenti idonei alla registrazione in Workspace ONE UEM. In teoria, si potrebbe fornire un dispositivo con staging a qualsiasi utente idoneo, che potrà accedere senza problemi al dispositivo e registrarsi in Workspace ONE UEM.

Il flusso di lavoro di staging permette di preparare il dispositivo e quindi avviare Workspace ONE Intelligent Hub, che consente l'accesso a qualunque utente qualificato per la registrazione. Workspace ONE UEM esegue quindi una singola riassegnazione per associare il dispositivo a tale utente.

Considerazione n. 7: utilizzo dello staging del dispositivo

A meno che non utilizzino Apple Configurator, gli amministratori devono eseguire lo staging dei dispositivi uno per uno. Per le distribuzioni particolarmente grandi, è il caso di considerare il tempo e le risorse che andrebbero impiegate.

Nonostante gli amministratori possano eseguire facilmente lo staging dei dispositivi nuovi, i dipendenti devono spedire o raccogliere in loco i dispositivi di proprietà dell'azienda perché questo processo possa avere luogo.

Se è necessario pre-registrare migliaia di dispositivi, lo staging del dispositivo può richiedere del tempo. Di conseguenza, risulta più utile nel caso si desideri eseguire il provisioning di nuovi batch di dispositivi ridotti, dato che è possibile accedere ai dispositivi prima che i dipendenti li ricevano.

Lo staging del dispositivo può essere eseguito per i dispositivi Android e iOS nei seguenti modi.

• Utente singolo (Standard): utilizzato per lo staging di un dispositivo che può essere registrato da qualsiasi utente.

  Nota: Come indicato, questo flusso di registrazione è destinato ai dispositivi non sorvegliati. Se si utilizza questo flusso per la registrazione utente completamente automatica, si è tenuti a garantire che i dispositivi con staging vengano distribuiti all'utente previsto.

• Utente singolo (Avanzato) (non disponibile in iOS): utilizzato per lo staging e la registrazione di un dispositivo per un determinato utente.

  Nota: l'utente/amministratore di staging deve assicurarsi che venga eseguito il check-out del dispositivo per l'utente registrato.

• Multiutente: utilizzato per lo staging di un dispositivo da condividere tra più utenti.

  Per istruzioni dettagliate, vedere Creare un account di staging multiutente per la registrazione.

Eseguire lo staging di un dispositivo di un singolo utente

Lo staging di un dispositivo monoutente in Workspace ONE UEM Console consente a un singolo amministratore di predisporre dispositivi per conto di altri utenti, cosa che può risultare utile per gli amministratori IT incaricati di eseguire il provisioning di un parco dispositivi.

Lo staging del dispositivo tramite la registrazione diretta di Workspace ONE non è supportato. Se occorre eseguire lo staging di un dispositivo per uno o più utenti, è necessario registrarlo con Workspace ONE Intelligent Hub anziché tramite Registrazione diretta di Workspace ONE.

Importante:

La possibilità di creare utenti di staging è riservata agli amministratori con privilegi elevati. L'autorizzazione a creare utenti di staging è limitata solo a amministratori specifici e attendibili. Inoltre, è necessario considerare le credenziali dell'utente di staging come qualsiasi altro privilegio di amministratore e non divulgare le credenziali dell'utente.

Attualmente, qualsiasi amministratore con l'autorizzazione per creare utenti può creare anche un utente di staging. Limitare questa capacità modificando i ruoli assegnati agli amministratori. Vai su Account > Amministratori > Ruoli. Identificare solo i ruoli che si desidera limitare e quindi selezionare Modifica () per ciascuno di questi ruoli nel percorso della categoria Tutti > Account > Utenti > Account, deselezionando la casella di controllo Modifica per l'autorizzazione "Aggiungi/modifica".

Nota: L'abbinamento LDAP è necessario nel momento dello staging del dispositivo. Per creare questo payload, consulta Abbinare un dispositivo nel servizio directory in questa guida.

1. Vai su Account > Utenti > Visualizzazione elenco e seleziona Modifica per l'account utente per il quale desideri abilitare lo staging del dispositivo.

   

2. Nella pagina Aggiungi/Modifica utente, seleziona la scheda Avanzate.

   1. Scorri la sezione Staging verso il basso.
   2. Per Abilita staging dispositivo, selezionare il cursore Abilitato. Vengono visualizzate le opzioni di staging.
   3. Per Dispositivi utenti singoli, selezionare il cursore Abilitato.

   4. Cambia il tipo di modalità di staging del dispositivo utente singolo da Standard ad Avanzato e viceversa.

      Lo staging standard richiede all'utente finale di accedere dopo lo staging, mentre lo staging avanzato consente all'utente di registrare il dispositivo per conto di un altro utente.

   5. Assicurarsi che Dispositivi multiutenti sia impostato su Disattivato.

   6. Per Modalità dispositivo condiviso Android, selezionare Nativo o Launcher per la modalità di check-in e check-out. Il sistema Android nativo supporta casi d'uso più semplici che non richiedono la personalizzazione. Launcher supporta la personalizzazione dell'interfaccia utente per casi d'uso complessi.
   7. Per App di sistema, è possibile abilitare l'accesso degli utenti finali alle applicazioni di sistema.

   8. Per Codice di accesso modalità amministrativa, specificare un codice di accesso alfanumerico per risolvere i problemi di un dispositivo in modalità amministrativa. Toccare l'icona Hub nella schermata di accesso 5 volte per accedere alla modalità amministrativa.

      Risultato: Dispositivi utenti singoli consente di eseguire lo staging del dispositivo per un unico utente.

3. Registra il dispositivo.

   • Eseguire la registrazione tramite Workspace ONE Intelligent Hub, inserendo l'URL del server e l'ID del gruppo.
   • Aprire il browser Internet del dispositivo, andare all'URL di registrazione e immettere l'ID del gruppo corretto.

4. Durante la registrazione, immettere le credenziali dell'utente per il quale si sta eseguendo lo staging.

   1. Se necessario, specifica che stai eseguendo lo staging per dispositivi utenti singoli.

      È necessario eseguire questa operazione solo se lo staging dei dispositivi multiutente è abilitato anche per l'utente di staging.

5. Completa la registrazione per lo staging avanzato o standard.

   1. Se esegui lo staging avanzato, ti verrà richiesto di inserire nome utente e password dell'utente finale proprietario del dispositivo che lo userà. Procedere con la registrazione installando il profilo Mobile Device Management (MDM) e accettando tutti i messaggi e le richieste.
   2. Se si esegue lo staging Standard, al completamento della registrazione, l'utente finale dovrà eseguire l'accesso.

Risultati: Lo staging è ora completato e il dispositivo è pronto per essere utilizzato dal nuovo utente. Se esiste un contratto sui Termini di utilizzo per la registrazione, il singolo utente di staging vedrà il prompt del contratto sui Termini di utilizzo solo quando eseguirà l'accesso al proprio account SSP.

Eseguire lo staging di un dispositivo multiutente

Lo staging di un dispositivo multiutente/condiviso consente all'amministratore IT di eseguire il provisioning dei dispositivi che dovranno essere utilizzati da più utenti. Lo staging multiutente consente di cambiare dinamicamente l'utente assegnato al dispositivo, quando vi accedono più utenti di rete.

Lo staging del dispositivo tramite la registrazione diretta di Workspace ONE non è supportato. Se occorre eseguire lo staging di un dispositivo per uno o più utenti, è necessario registrarlo con Workspace ONE Intelligent Hub anziché tramite Registrazione diretta di Workspace ONE.

1. Vai su Account > Utenti > Visualizzazione elenco e seleziona Modifica per l'account utente per il quale desideri abilitare lo staging del dispositivo.

   

2. Nella pagina Aggiungi/Modifica utente, seleziona la scheda Avanzate.

   1. Scorri la sezione Staging verso il basso.
   2. Per Abilita staging dispositivo, selezionare il cursore Abilitato. Vengono visualizzate le opzioni di staging.
   3. Assicurati che Dispositivi multiutenti sia impostato su Abilitato.
   4. Per Modalità dispositivo condiviso Android, selezionare Nativo o Launcher per la modalità di check-in e check-out. Il sistema Android nativo supporta casi d'uso più semplici che non richiedono la personalizzazione. Launcher supporta la personalizzazione dell'interfaccia utente per casi d'uso complessi.
   5. Per App di sistema, è possibile abilitare l'accesso degli utenti finali alle applicazioni di sistema.
   6. Per Codice di accesso modalità amministrativa, specificare un codice di accesso alfanumerico per risolvere i problemi di un dispositivo in modalità amministrativa. Toccare l'icona Hub nella schermata di accesso 5 volte per accedere alla modalità amministrativa.
3. Registra il dispositivo con uno dei seguenti metodi.
   • Eseguire la registrazione tramite Workspace ONE Intelligent Hub, inserendo l'URL del server e l'ID del gruppo.
   • Aprire il browser Internet del dispositivo, andare all'URL di registrazione e inserire l'ID del gruppo corretto.

4. Durante la registrazione, immettere le credenziali dell'utente per il quale si sta eseguendo lo staging. Se necessario, specifica che stai eseguendo lo staging per dispositivi utenti singoli.

   È necessario eseguire questa operazione solo se lo staging dei dispositivi multiutente è abilitato anche per l'utente di staging.

Risultato: Lo staging è ora completato e il dispositivo è pronto per essere utilizzato dai nuovi utenti.

Processo di registrazione autonoma

La registrazione autonoma presuppone che gli utenti finali conoscano il proprio ID gruppo e le credenziali di accesso. Se i servizi di directory sono stati integrati, queste credenziali saranno uguali a quelle del servizio di directory dell'utente.

È inoltre possibile associare il dominio e-mail con l'ambiente Workspace ONE UEM in un processo chiamato esplorazione automatica. Con la funzione di individuazione automatica abilitata, sui dispositivi delle piattaforme supportate verrà richiesto di inserire l'indirizzo e-mail. Questi dispositivi completano automaticamente la registrazione se il relativo dominio e-mail (il testo che segue il carattere @) corrisponde, senza richiedere l'immissione di un ID gruppo o di un URL di registrazione. Per ulteriori informazioni, consulta Registrazione dell'individuazione automatica.

1. Gli utenti finali possono accedere al sito getwsone.com, che determina automaticamente se Workspace ONE Intelligent Hub è installato o meno.

   Se Workspace ONE Intelligent Hub non è installato, il sito Web reindirizza gli utenti all'App Store del dispositivo mobile appropriato.

2. Dopo l'avvio di Workspace ONE Intelligent Hub, gli utenti devono immettere le proprie credenziali, in aggiunta all'indirizzo e-mail o all'URL/ID gruppo, e procedere quindi con la registrazione.

Modalità controllata

Gli amministratori hanno la possibilità di abilitare la Modalità controllata per i dispositivi registrati tramite Apple Configurator, che abilita funzionalità di sicurezza avanzate. Tuttavia, questa modalità prevede diverse limitazioni per il dispositivo.

Abilitazione della modalità controllata

Per ulteriori informazioni su come consentire l'utilizzo dei dispositivi in modalità controllata, vedere la Guida all'integrazione con Apple Configurator 2.

Vantaggi

Una volta controllato e registrato un dispositivo su Workspace ONE UEM, l'amministratore ha a disposizione le seguenti funzionalità migliorate di configurazione se confrontate con i normali dispositivi.

• Forti limitazioni in ambito di MDM
  • Impedisci agli utenti di rimuovere le applicazioni. La rimozione delle applicazioni può essere limitata localmente al dispositivo utilizzando le limitazioni in base alla configurazioni di sistema.
  • Impedisci AirDrop.
  • Consente di impedire la modifica dell'account per evitare che gli utenti alterino le impostazioni dell'account e-mail e iCloud.
  • Disattiva iMessage.
  • Imposta le limitazioni delle valutazioni per i contenuti dell'iBookstore
  • Disattiva Game Center e iBookstore.
• Sicurezza aumentata
  • Impedisci agli utenti finali di visitare siti Web con contenuto per adulti di Safari.
  • Limita i dispositivi che possono collegarsi a destinazioni AirPlay specificate, come le Apple TV.
  • Consente di impedire l'installazione di certificati o profili di configurazione non gestiti.
  • Imponi a tutto il traffico di rete dei dispositivi tramite un proxy HTTP globale.
• Modalità chiosco
  • Blocca i dispositivi all'utilizzo di una singola app con modalità app singola e disattiva il pulsante Home.
• Personalizza lo sfondo e il testo sul dispositivo
• Attivazione/disattivazione di Blocco attivazione

Limitazioni

• L'accesso USB ai dispositivi controllati è limitato al Mac di controllo.
• Non è possibile copiare i dati verso e dal dispositivo utilizzando iTunes, a meno che Apple Configurator non identifichi il certificato come installato sul dispositivo.
  • I contenuti multimediali come le foto e i video non possono essere copiati dal dispositivo a un PC o Mac. Per trasferire questo tipo di dati, utilizzare VMware Content Locker per sincronizzare il contenuto con la sezione Documenti personali dell'utente. In alternativa, è possibile utilizzare un'applicazione di condivisione per trasferire i dati a un server tramite WLAN/WWAN.
• La Modalità controllata impedisce l'accesso ai registri del dispositivo che utilizzano IPCU (iPhone Configuration Utility).
  • Con questa modalità è più difficile risolvere i problemi delle applicazioni o dei dispositivi. Il motivo è che i registri del dispositivo possono essere ottenuti solo se detto dispositivo è connesso al Mac di controllo. Per risolvere parte di questi problemi, utilizzare Workspace ONE SDK per inviare registri e informazioni logistiche dalle applicazioni alla console UEM.
• I dispositivi non possono essere ripristinati facilmente alle impostazioni di fabbrica.
  • Una volta che le informazioni di fabbrica sono state ripristinate, il dispositivo deve essere riportato al Mac di controllo per ripristinare la Modalità controllata. Questa procedura può essere problematica se il Mac non si trova vicino al dispositivo.

Per decidere se abilitare o meno la Modalità controllata, tenere presente quanto segue. Anche se abilita funzionalità aggiuntive che aumentano la sicurezza del dispositivo, le limitazioni USB devono essere prese in considerazione.

Un ruolo importante in questa decisione lo gioca anche la vicinanza del dispositivo al Mac di controllo. Poiché le limitazioni USB interdicono l'accesso ai registri del dispositivo, in caso di problemi il dispositivo deve essere rimandato in fabbrica e sottoposto nuovamente al processo di staging per ripristinarne le funzionalità.

È importante decidere in anticipo se attivare o meno questa modalità, poiché sarà necessario spedire il dispositivo a una postazione IT o in fabbrica.

Argomento principale: Registrazione del dispositivo