È possibile registrare utenti e gruppi esistenti di servizi Directory come Active Directory (AD), Lotus Domino e Novell e-directory. Se non si dispone di tale infrastruttura o si sceglie di non integrarla, è necessario eseguire una registrazione di base in Workspace ONE UEM.

La registrazione di base fa riferimento al processo di creazione manuale degli account utente e dei gruppi di utenti per ciascun utente della tua organizzazione. Se l'organizzazione non integra Workspace ONE UEM con un servizio di directory, per creare gli account utente è necessaria la registrazione di base.

Se è necessario creare alcuni account di base, creare gli account una alla volta, come descritto in Creare account utente di base.

Per le registrazioni di base che implicano un numero maggiore di utenti finali, è possibile risparmiare tempo compilando e caricando i file modello CSV (comma-separated values). Questi file contengono tutte le informazioni aggiunte relative all'utente e vengono inseriti nell'UEM tramite la funzionalità di importazione batch. Per ulteriori informazioni, vedere l'argomento Importazione batch di utenti e dispositivi.

Nota: anche se Workspace ONE UEM supporta sia utenti registrati a servizi di directory che utenti di base, in genere per effettuare la registrazione iniziale di utenti e dispositivi si utilizza solo un tipo di utente.

Pro e contro

Pro Contro
Registrazione di base - Può essere utilizzata per qualsiasi metodo di distribuzione.

- Non richiede alcuna integrazione tecnica.

- Non richiede alcuna infrastruttura aziendale.

- Ha la possibilità di registrarsi in più gruppi.
- Le credenziali sono presenti solo in Workspace ONE UEM e non corrispondono necessariamente alle credenziali aziendali esistenti.

- Non offre alcuna protezione centralizzata.

- Il Single Sign-On non è supportato.

- Workspace ONE UEM archivia tutti i nomi utente e le password.

- Non può essere utilizzato per Registrazione diretta in Workspace ONE.
Registrazione a servizi di directory - Gli utenti finali si autenticano utilizzando le credenziali aziendali esistenti.

: rileva e sincronizza automaticamente le modifiche apportate al sistema di directory in Workspace ONE UEM. Ad esempio, quando si disabilitano gli utenti in AD, in Workspace ONE UEM Console l'account utente corrispondente viene contrassegnato come inattivo.

- Metodo sicuro per l'integrazione dei servizi Directory esistenti.

- Pratica di integrazione standard.

- Utilizzabile per Registrazione diretta di Workspace ONE.

- Le distribuzioni SaaS che utilizzano AirWatch Cloud Connector non richiedono modifiche al firewall e offrono una configurazione sicura per altre infrastrutture, come Microsoft ADCS, SCEP e server SMTP.
- Richiede un'infrastruttura di servizi Directory esistente.

- Le distribuzioni SaaS richiedono una configurazione aggiuntiva, perché AirWatch Cloud Connector viene installato dietro il firewall o in una DMZ.

Considerazioni sulla registrazione, base e directory

Quando si valuta la registrazione dell'utente finale, oltre ai pro e contro di base e directory, ci sono altre domande da prendere in considerazione.

Considerazione #1: chi può registrarsi?

Per questa domanda, considera quanto segue.

  • L'obiettivo della tua distribuzione MDM è quello di gestire i dispositivi di tutti gli utenti dell'organizzazione con un DN * di base uguale o inferiore? In tal caso, sarà necessario consentire a tutti gli utenti di registrarsi assicurandosi che le caselle di controllo delle limitazioni siano deselezionate.

    È possibile consentire a tutti gli utenti di registrarsi durante la fase di distribuzione iniziale e successivamente applicare le limitazioni per impedire che utenti sconosciuti si registrino. Man mano che nuovi dipendenti o membri vengono aggiunti a gruppi utente esistenti, tali modifiche verranno sincronizzate e unite.

  • Vi sono utenti o gruppi che non devono essere inclusi in MDM? In tal caso, è necessario aggiungere gli utenti uno per volta o importare in massa un file CSV (valori separati da virgole) di soli utenti idonei.

  • Il DN o (nome distinto) di base è l'elemento utilizzato da un server per ricercare gli utenti. Un nome distinto è un nome che identifica in modo univoco una voce nella directory. Ogni voce nella directory ha un DN.

Considerazione #2: dove verranno assegnati gli utenti?

Un'altra considerazione da fare durante l'integrazione dell'ambiente Workspace ONE UEM con i servizi di directory è la modalità di assegnazione degli utenti ai gruppi durante la registrazione. Per questa domanda, considera quanto segue.

  • Hai creato una struttura del gruppo che esegue il mapping logico ai gruppi del servizio di directory? È necessario completare questa operazione prima di poter modificare le assegnazioni dei gruppi.
  • Se gli utenti registrano i propri dispositivi, la cosa più semplice è quella di selezionare un ID gruppo da un elenco. L'errore umano fa parte di questa semplice operazione e può determinare assegnazioni a gruppi non corretti.

Puoi selezionare automaticamente un ID gruppo sulla base del gruppo utente o consentire agli utenti di selezionare un ID gruppo da un elenco. Le opzioni Modalità assegnazione ID del gruppo sono disponibili accedendo a Dispositivi > Impostazioni del dispositivo > Dispositivi e utenti> Generale > Registrazione e selezionando la scheda Raggruppamento.

Abilitare la registrazione basata sui servizi di directory

La registrazione basata sui servizi di directory fa riferimento al processo di integrazione di Workspace ONE UEM con l'infrastruttura del servizio di directory dell'organizzazione. Se si integra il servizio di directory in questo modo sarà possibile importare in automatico gli utenti e, facoltativamente, i gruppi utenti come i gruppi di sicurezza e gli elenchi di distribuzione.

Quando si effettua l'integrazione di un servizio di directory come Active Directory (AD), sono disponibili diverse opzioni per importare gli utenti.

  • Consenti a tutti gli utenti della directory di registrarsi: è possibile abilitare la registrazione per tutti gli utenti del servizio di directory. Inoltre, è possibile configurare l'ambiente in modo che rilevi automaticamente gli utenti sulla base della loro e-mail, Quindi creare un account utente di Workspace ONE UEM per gli utenti quando eseguiranno la registrazione.
  • Aggiungi gli utenti uno per uno: dopo aver effettuato l'integrazione del servizio di directory, è possibile aggiungere gli utenti singolarmente nello stesso modo in cui si creano gli account utente Workspace ONE UEM di base. L'unica differenza è che bisogna inserire il nome utente e selezionare Verifica utente per compilare automaticamente le informazioni rimanenti dal servizio di directory.
  • Caricamento batch di un file CSV: con questa opzione è possibile importare un elenco di account dei servizi di directory in un file modello CSV (valori separati da virgole). Questo file contiene colonne specifiche, alcune delle quali non possono essere lasciate vuote.
  • Integra con gruppi utente (opzionale): con questo metodo puoi utilizzare l'appartenenza ai gruppi utente per assegnare profili, app, criteri di conformità ecc.

Nota: Per informazioni su come integrare l'ambiente Workspace ONE UEM con i servizi Directory in uso, inclusa l'integrazione del provider SAML, consultare la Guida all'integrazione dei servizi Directory.

Integrazione dei servizi di directory e limitazioni di registrazione

Se in Workspace ONE UEM è configurata l'integrazione con i servizi Directory, gli account dei servizi Directory ereditano le impostazioni di registrazione dal gruppo da cui sono stati configurati i servizi Directory. Tuttavia, gli account di base seguono le impostazioni locali, incluse le sostituzioni.

Il diagramma mostra un semplice modello di gruppo, con un gruppo principale e un sottogruppo.

Prendendo come esempio il modello di gruppo di organizzazioni precedente, si supponga che l'opzione di cancellazione dei dispositivi aziendali degli utenti rimossi dai gruppi configurati sia abilitata sull'OG denominata "Customer".

Dato questo scenario, gli utenti registrati nella directory della OG dipendente denominata Sales01, che lasciano un gruppo configurato, vedono i loro dispositivi cancellati nonostante la restrizione della registrazione sia ignorata nella configurazione di quella OG. Ciò si verifica anche se tali account dispongono di dispositivi registrati su un gruppo diverso, poiché le impostazioni di registrazione sono incentrate sull'utente, non sul dispositivo.

Tuttavia, in questo stesso scenario, i dispositivi appartenenti agli utenti di registrazione di base del gruppo Sales01 che lasciano un gruppo configurato non vedranno cancellati i propri dispositivi. Questo avviene in quanto gli utenti con registrazione di base in Sales01 non fanno parte dell'OG integrata nei servizi di directory e quindi riconoscono e rispettano il fatto che la restrizione della registrazione sia ignorata.

Argomento principale: Registrazione dei dispositivi

check-circle-line exclamation-circle-line close-line
Scroll to top icon