This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

 

Standaardinschrijving en inschrijving met directoryservicesaccounts

U kunt bestaande gebruikers en groepen van directoryservices, zoals Active Directory (AD), Lotus Domino en Novell e-Directory, registreren. Als u geen bestaande infrastructuur voor directory services heeft of ervoor kiest daar niet in te integreren, moet u basisinschrijving uitvoeren in Workspace ONE UEM.

Met standaardinschrijving wordt bedoeld dat u handmatig gebruikersaccounts en gebruikersgroepen voor alle gebruikers in uw organisatie creëert. Als uw organisatie Workspace ONE UEM niet integreert in een directory service, maakt u gebruikersaccounts met behulp van basisinschrijvingen.

Als u maar enkele basisaccounts wilt creëren, dan kan dat één voor één via Basisgebruikersaccounts maken.

Voor basisinschrijvingen van grotere aantallen eindgebruikers kunt u tijd besparen door een CSV-sjabloonbestand (komma-gescheiden waarden) in te vullen en te uploaden. Deze bestanden bevatten alle gebruikersinformatie die u toevoegt en worden via de batchimportfunctie in UEM ingevoerd. Raadpleeg het onderwerp Gebruikers of toestellen in grote aantallen importeren voor meer informatie.

N.B: Hoewel het mogelijk is om Workspace ONE UEM te gebruiken met een mix van standaardgebruikersaccounts en gebruikersaccounts uit directoryservices, gebruikt u doorgaans slechts een van deze typen om gebruikers en toestellen de eerste keer in te schrijven.

Voor- en nadelen

Voordelen Nadelen
Standaardinschrijfprocedure - Kan gebruikt worden voor iedere implementatiemethode.

- Vereist geen technische integratie.

- Vereist geen bedrijfsinfrastructuur.

- Kan eventueel in meerdere organisatiegroepen worden ingeschreven.

- Kan aangepaste kenmerken bewerken die momenteel in gebruik zijn.		 - Inloggegevens bestaan alleen in Workspace ONE UEM en komen niet per se overeen met bestaande inloggegevens van het bedrijf.

- Biedt geen gefedereerde beveiliging.

- Eenmalige aanmelding (single sign on) wordt niet ondersteund.

- Workspace ONE UEM slaat alle gebruikersnamen en wachtwoorden op.

- Kan niet worden gebruikt voor directe inschrijving voor Workspace ONE.
Inschrijving via directoryservices - Eindgebruikers verifiëren met bestaande inloggegevens van het bedrijf.

- Detecteert en synchroniseert automatisch wijzigingen van het directorysysteem naar Workspace ONE UEM. Wanneer u bijvoorbeeld gebruikers in AD deactiveert, wordt de overeenkomstige gebruikersaccount in Workspace ONE UEM Console gemarkeerd als inactief.

- Een veilige methode om met uw bestaande directoryservices te integreren.

- Standaard integratiemethode.

- Kan worden gebruikt voor directe inschrijving voor Workspace ONE.

- Voor SaaS-implementatie met de AirWatch Cloud Connector hoeft u geen wijzigingen in uw firewall aan te brengen. Er is ook een beveiligde configuratie voor andere infrastructuren, zoals Microsoft ADCS-, SCEP- en SMTP-servers.		 - Hiervoor is een bestaande infrastructuur voor directoryservices nodig.

- Voor SaaS-implementaties is aanvullende configuratie vereist vanwege de AirWatch Cloud Connector die achter de firewall of in een DMZ wordt geïnstalleerd.

- Kan aangepaste kenmerken die momenteel worden gebruikt niet bewerken.

Overwegingen met betrekking tot inschrijving: basis versus directory

Wanneer u inschrijving van eindgebruikers overweegt, dient u afgezien van bestaande voor- en nadelen voor wat betreft basisgebruikers en directorygebruikers ook rekening te houden met andere vragen.

Overweging 1: Wie kan zich inschrijven?

Overweeg bij het beantwoorden van die vraag de volgende punten.

  • Is de bedoeling van uw MDM-implementatie om toestellen te beheren voor alle gebruikers van uw organisatie die zijn ingeschreven in of onder de basis-DN ** die u heeft geconfigureerd? Zo ja, dan is de eenvoudigste manier om dit te bereiken al uw gebruikers in staat stellen zich in te schrijven door alle selectievakjes voor inschrijfbeperkingen in te schakelen die zijn uitgeschakeld.

    U kunt toestaan dat alle gebruikers zich inschrijven tijdens de eerste implementatie en daarna de inschrijving beperken, zodat onbekende gebruikers zich niet kunnen inschrijven. Wanneer uw organisatie nieuwe medewerkers of leden toevoegt aan bestaande gebruikersgroepen, worden deze wijzigingen gesynchroniseerd en samengevoegd.

  • Zijn er bepaalde gebruikers of groepen die niet in MDM moeten worden opgenomen? Zo ja, dan moet u deze gebruikers handmatig één voor één of via een batchimport (via een .csv-bestand met alleen bevoegde gebruikers) toevoegen.

** De basis-DN of unieke naam is het punt van waaruit een server naar gebruikers zoekt. Een DN-naam is een naam die een vermelding in de directory uniek identificeert. Elke vermelding in de directory heeft een DN.

Overweging 2: Aan welke groep zullen gebruikers worden toegewezen?

Wanneer u uw Workspace ONE UEM-systeem met directory services integreert, moet u ook nadenken over de vraag hoe u gebruikers met een directoryaccount aan organisatiegroepen toewijst tijdens een inschrijving. Overweeg bij het beantwoorden van die vraag de volgende punten.

  • Heeft u een hiërarchie van organisatiegroepen die logisch overeenkomt met de groepen in directory services? U moet deze taak voltooien voordat u gebruikersgroeptoewijzingen kunt bewerken.
  • Als uw gebruikers hun eigen toestellen inschrijven, is de optie om een groeps-id te selecteren in een lijst vrij eenvoudig. Menselijke fouten zijn een factor in deze eenvoud en kunnen leiden tot incorrecte groepstoewijzingen.

U kunt een groeps-ID automatisch selecteren gebaseerd op een gebruikersgroep óf gebruikers in staat stellen zelf een groeps-ID in een lijst te selecteren. Deze opties voor Toewijzing groeps-ID zijn beschikbaar door te navigeren naar Toestellen > Toestelinstellingen > Toestellen en gebruikers > Algemeen > Inschrijving en het tabblad Groepen te selecteren.

Inschrijving met directory service-accounts inschakelen

Inschrijving bij een directory service is het proces waarbij Workspace ONE UEM wordt geïntegreerd in de infrastructuur van de directory service van uw organisatie. Het integreren van uw directory service houdt in dat u gebruikers automatisch kunt importeren en optioneel ook gebruikersgroepen, zoals beveiligingsgroepen en distributielijsten.

Wanneer u een directory service, zoals Active Directory (AD), integreert, zijn er verschillende mogelijkheden om gebruikers te importeren.

  • Alle gebruikers met directoryserviceaccounts toestemming voor inschrijving geven – U kunt alle gebruikers in uw database toestemming geven zich in te schrijven. U kunt uw omgeving zodanig instellen dat gebruikers automatisch worden gedetecteerd op basis van hun e-mailadres. Maak vervolgens een Workspace ONE UEM-gebruikersaccount voor ze wanneer ze een inschrijving uitvoeren.
  • Gebruikers een voor een toevoegen – Na integratie met een directory service, kunt u gebruikers individueel toevoegen op dezelfde manier als u Workspace ONE UEM-basisgebruikersaccounts maakt. Het enige verschil is dat u hun gebruikersnamen moet invoeren en dan de knop Gebruiker controleren moet selecteren om de overige informatie automatisch vanuit de directoryservice te laten invullen.
  • Accounts batch uploaden met een .csv-bestand – Met deze optie kunt u een lijst met directoryservicesaccounts in een csv-sjabloonbestand (komma-gescheiden waarden) uploaden. Dit bestand heeft specifieke kolommen waarvan er enkele niet leeg kunnen worden gelaten.
  • Integreren met gebruikersgroepen (optioneel) – Met deze methode kunt u uw bestaande gebruikersgroepen gebruiken om profielen, applicaties, netwerkregels enz. toe te wijzen.

N.B: Raadpleeg voor informatie over integratie van uw Workspace ONE UEM-omgeving met uw Directory Service, met inbegrip van integratie met SAML-provider, de Handleiding voor integratie met de Directory Service.

Integratie van directory service en inschrijvingsbeperkingen

Als directory service-integratie is geconfigureerd voor Workspace ONE UEM, nemen directory service-accounts inschrijvingsinstellingen over van de organisatiegroep van waaruit de directory service is geconfigureerd. Basisaccounts hanteren echter lokale instellingen, waaronder overschrijvingen.

Het diagram toont een eenvoudig organisatiegroepmodel van een bovenliggende en een onderliggende organisatiegroep.

Ga er bijvoorbeeld vanuit dat in bovenstaand organisatiegroepmodel de optie Bedrijfsgegevens wissen op toestellen van gebruikers die uit geconfigureerde groepen verwijderd zijn is ingeschakeld op de organisatiegroep met de naam 'Klant'.

In dit scenario worden de toestellen van gebruikers gewist die zijn ingeschreven via directory in onderliggende Sales01 OG en die een geconfigureerde groep verlaten, ondanks de overschrijving van de inschrijvingsbeperking die in die organisatiegroep is geconfigureerd. Dit is zelfs zo als er voor deze accounts toestellen ingeschreven zijn bij een andere organisatiegroep omdat de inschrijvingsinstelling aan de gebruiker en niet aan het toestel zijn gekoppeld.

Echter, in ditzelfde scenario worden toestellen die behoren tot standaardinschrijvingsgebruikers van Sales01 OG die een geconfigureerde groep verlaten, niet gewist. Dit is omdat standaardinschrijvingsgebruikers in Sales01 geen deel uitmaken van de met de directory service geïntegreerde organisatiegroep en daarom de genegeerde inschrijvingsbeperking herkennen en in acht nemen.

Hoofdonderwerp: Toestelinschrijving

check-circle-line exclamation-circle-line close-line
Scroll to top icon