Workspace ONE UEM ondersteunt twee methoden voor het inschrijven van bedrijfseigen toestellen. U kunt gebruikers hun eigen toestellen laten inschrijven of beheerders kunnen dat namens hen doen met een proces die voorbereide inrichting (in het Engels bekend als staging) wordt genoemd.

In voorbereide inrichting schrijft een beheerder toestellen in voordat ze worden toegewezen en aan eindgebruikers verstrekt. Deze methode is nuttig voor beheerders die toestellen moeten configureren voor eindgebruikers in een organisatie.

Voorbereide inrichting kan voor Android, iOS en macOS-toestellen uitgevoerd worden.

Overweging 1: Eigendomstype van het toestel

  • Beschikken uw eindgebruikers al over de hun toegewezen bedrijfseigen toestellen? In dat geval is het waarschijnlijk niet praktisch om elk toestel weer op te halen en inrichting door beheerders te laten plaatsvinden. In plaats daarvan kunnen gebruikers hun toestel zelf inschrijven.

  • Delen uw eindgebruikers toestellen of hebben ze elk hun eigen toestel? Als eindgebruikers hun toestellen niet delen, kunt u het de verantwoordelijkheid van de enige eigenaar van het toestel maken om zichzelf in te schrijven.

    Daarnaast werkt voorbereide inrichting goed met nieuw aangeschafte toestellen, aangezien het proces plaatsvindt voordat werknemers het toestel ontvangen. Als uw eindgebruikers al bedrijfseigen toestellen hebben, is het het zinvolst om ze toe te staan zelf toestellen in te schrijven. Gebruikers zelf hun eigen toestellen laten inschrijven is ook handig wanneer het door het totale aantal toestellen onpraktisch is voor beheerders om apparaten voor te bereiden.

Overweging 2: Automatische ontdekking

Bent u van plan het e-maildomein van uw organisatie aan uw Workspace ONE UEM-omgeving te koppelen? Dit proces, dat bekendstaat als een automatische ontdekking, houdt in dat eindgebruikers alleen hun e-mailadres en inloggegevens hoeven op te geven. De inschrijvings-URL en groeps-id worden automatisch ingevoerd.

Zie ook Inschrijving via automatische ontdekking.

Overweging 3: Directe inschrijving voor Workspace ONE

Voorbereide inrichting via Directe inschrijving voor Workspace ONE wordt niet ondersteund. Als u de toestelinrichting voor één of meerdere gebruikers moet voorbereiden, moet u het toestel inschrijven door middel van VMware Workspace ONE Intelligent Hub in plaats van Directe inschrijving voor Workspace ONE.

Directe inschrijving voor Workspace ONE is een functie die goed past bij zichzelf inschrijven. Zodra deze is ingeschakeld, worden alle gekwalificeerde toestellen die zich aanmelden bij de inschrijving voor de organisatiegroep, onmiddellijk ingeschreven. En als alles volledig is geïnstalleerd, kan de eindgebruiker instemmen met de installatie van de apps die geselecteerd zijn door het bedrijf of kan hij of zij het installeren van de apps overslaan.

Zie Directe inschrijving voor Workspace ONE voor meer informatie.

Overweging 4: Neemt u deel aan het Device Enrollment Program van Apple?

Om de voordelen van deelname in een omgeving met mobiel toestelbeheer (MDM) voor Apple-toestellen te vergroten heeft Apple het Device Enrollment Program (DEP) gestart. Met DEP kunt u het volgende doen.

  • Een niet-verwijderbaar MDM-profiel maken op een toestel, waarmee u voorkomt dat eindgebruikers dit kunnen verwijderen.
  • Inrichting toestellen in supervisiemodus (alleen iOS). Toestellen die onder supervisie staan hebben meer beveiligings- en configuratie-instellingen;
  • Inschrijving voor alle eindgebruikers afdwingen.
  • Voorzien in de behoefte van uw organisatie en de inschrijvingsprocedure stroomlijnen.
  • Voorkom vertragingen van iCloud door inloggen met een Apple-ID uit te schakelen tijdens het genereren van een DEP-profiel.
  • updates van de OS voor alle eindgebruikers dwingend opleggen.

Overweging 5: Gebruik van Apple Configurator

Met Apple Configurator kunnen IT-beheerders Apple iOS-toestellen effectief inzetten en beheren. Organisaties zoals winkels, klaslokalen en ziekenhuizen vinden het met name handig om toestellen vooraf in te schrijven die meerdere eindgebruikers kunnen delen.

U kunt Apple Configurator ook gebruiken om vooraf geregistreerde toestellen in te schrijven die aan één specifieke gebruiker zijn toegewezen. U doet dit door het serienummer of de IMEI-informatie in de console aan het geregistreerde toestel van de gebruiker toe te voegen. Een groot voordeel van Apple Configurator is dat u met een USB-hub of zog. device cart in iOS binnen enkele minuten meerdere toestellen kunt inrichten.

Overweging 6: Voorbereide inrichting voor één gebruiker of registratie?

Als u het voorbereiden van toestellen voor een enkele gebruiker overweegt, verdient registratie mogelijk de voorkeur. Het verschil tussen het voorbereiden van een toestel voor een enkele gebruiker en registreren van een toestel is subtiel, maar belangrijk.

Inschrijving – wanneer u een toestel registreert, doet u dat voor een afzonderlijke, benoemde gebruiker. Deze procedure betekent dat wordt verwacht dat de eerste gebruiker die inlogt, dezelfde gebruiker is als de geregistreerde gebruiker. Als een andere gebruiker probeert in te loggen bij een geregistreerd toestel, dicteren veiligheidsredenen dat het toestel wordt geblokkeerd en niet kan worden ingeschreven.

Voorbereide inrichting voor één gebruiker – wanneer u een toestel voorbereidt, doet u dat voor een gebruiker die in aanmerking komt voor inschrijving voor Workspace ONE UEM. In theorie kunt u een voorbereid toestel overdragen aan elke gekwalificeerde gebruiker en die gebruiker kan inloggen op het toestel en zich inschrijven voor Workspace ONE UEM.

De voorbereidingswerkstroom maakt het u mogelijk om het toestel voor te bereiden en vervolgens de VMware Workspace ONE Intelligent Hub te starten, waarbij elke in aanmerking komende inschrijvingsgebruiker kan inloggen. Workspace ONE UEM voert vervolgens een eenmalige hertoewijzing uit om het toestel aan die gebruiker te koppelen.

Overweging 7: Gebruik van voorbereide inrichting

Beheerders moeten toestellen een voor een voorbereiden, tenzij zij Apple Configurator gebruiken. Bedenk hoeveel tijd en personeel het kost om toestellen voor te bereiden op inrichting als er sprake is van een omvangrijke implementatie.

Hoewel beheerders nieuwe toestellen gemakkelijk kunnen voorbereiden, moeten werknemers die al een bedrijfstoestel hebben dit opsturen of ze moeten ter plaatse worden verzameld om ze te kunnen voorbereiden.

Als u duizenden toestellen hebt om voor te bereiden, kost u dat veel tijd. Daarom werkt voorbereide inrichting het best als u een groot aantal nieuwe toestellen heeft die worden ingericht, aangezien u dan toegang heeft tot de toestellen voordat medewerkers deze ontvangen.

Voorbereide inrichting kan voor Android en iOS-toestellen op de volgende manier uitgevoerd worden.

  • Eén gebruiker (standaard) – Gebruikt wanneer u een toestel voorbereidt dat elke gebruiker kan inschrijven.

    N.B: Zoals aangegeven, is deze inschrijfprocedure bedoeld voor toestellen zonder supervisie. Als u deze procedure gebruikt voor inschrijving van zero touch-gebruikers, bent u er verantwoordelijk voor dat voorbereide toestellen aan de beoogde gebruikers worden geleverd.

  • Enkele gebruiker (geavanceerd) – Wordt gebruikt wanneer u een toestel voor een specifieke gebruiker inricht en inschrijft.

    N.B: De voorbereidende gebruiker of beheerder moet ervoor zorgen dat het toestel is uitgecheckt bij de geregistreerde gebruiker.

  • Meerdere gebruikers – Wordt gebruikt wanneer u een toestel instelt dat gedeeld door meerdere gebruikers moet worden gebruikt.

    Zie Een staging-account voor meerdere gebruikers maken voor inschrijving voor gedetailleerde instructies.

Toestellen inrichten voor een enkele gebruiker

Met de procedure voor voorbereide inrichting (staging) van toestellen voor een enkele gebruiker vanuit de Workspace ONE UEM console kan één enkele beheerder toestellen voor andere gebruikers inrichten; dit kan nuttig zijn voor systeembeheerders die een toestellenbestand moeten inrichten.

Voorbereide inrichting via Directe inschrijving voor Workspace ONE wordt niet ondersteund. Als u de toestelinrichting voor één of meerdere gebruikers moet voorbereiden, moet u het toestel inschrijven door middel van VMware Workspace ONE Intelligent Hub in plaats van Directe inschrijving voor Workspace ONE.

Belangrijk:

De mogelijkheid om gebruikers van voorbereide inrichtingen te maken is een geavanceerde beheerdersbevoegdheid. Het recht om gebruikers van een voorbereide inrichting te maken moet worden beperkt tot enkele, vertrouwde beheerders. Behandel ook de inloggegevens van gebruikers van een voorbereide inrichting op dezelfde manier als andere beheerdersbevoegdheden en maak de inloggegevens van de gebruiker niet openbaar.

Momenteel kan elke beheerder met het recht om een gebruiker te maken ook een gebruiker van een voorbereide inrichting maken. Beperk deze mogelijkheid door de rollen te bewerken die aan uw beheerders zijn toegewezen. Navigeer naar Accounts > Beheerders > Rollen. Identificeer alleen de rollen die u wilt beperken en klik vervolgens op Bewerken () voor elke rol in het categoriepad Alle > Accounts > Gebruikers > Accounts. Schakel vervolgens voor het Recht toevoegen/bewerken het selectievakje Bewerken uit.

N.B: LDAP-binding is vereist bij het inrichten van toestellen. Om deze datalading te maken, raadpleegt u Binden van een toestel met de Directory Service in deze handleiding.

  1. Navigeer naar Accounts > Gebruikers > Lijstweergave en selecteer Bewerken voor het account waarvoor u voorbereide inrichting (staging) wilt inschakelen.

  2. Selecteer op de pagina Gebruiker toevoegen / bewerken het tabblad Geavanceerd.

    1. Schuif naar beneden naar de sectie voor Voorbereide inrichting.

    2. Voor Voorbereide toestelinrichting inschakelen selecteert u de schuifregelaar Ingeschakeld. De opties voor voorbereide inrichting worden weergegeven.

    3. Voor Toestellen voor enkele gebruikers selecteert u de schuifregelaar Ingeschakeld.

    4. Zet de modus voor voorbereide inrichting van een toestel voor één gebruiker op Standaard of Geavanceerd.

      Het toestel van een gebruiker inrichten via de standaardmodus vereist dat een eindgebruiker de inloggegevens invoert na het proces van inrichten, terwijl geavanceerd betekent dat de voorbereidende gebruiker het toestel kan inschrijven voor een andere gebruiker.

    5. Zorg ervoor dat Toestellen voor meerdere gebruikers is ingesteld op Uitgeschakeld.

    6. Voor de Modus gedeeld Android-toestel selecteert u Systeemeigen of Launcher voor de in- en uitcheckmodus. Systeemeigen Android ondersteunt eenvoudigere gebruiksscenario's waarvoor geen aanpassing is vereist. Launcher ondersteunt aanpassing van de gebruikersinterface voor complexe gebruiksscenario's.

    7. Voor Systeem-apps kunt u de toegang van eindgebruikers tot systeemapplicaties inschakelen.

    8. Geef voor Toegangscode voor beheerdersmodus een alfanumerieke toegangscode op om problemen met een toestel in de beheerdersmodus op te lossen. Tik vijf keer op het Hub-pictogram op het inlogscherm om toegang te krijgen tot de beheerdersmodus.

      Resultaat: Met Toestellen voor enkele gebruikers richt u een toestel voor één gebruiker in.

  3. Het toestel registreren. Maak een keuze uit de volgende mogelijkheden.

    • Schrijf in via de Workspace ONE Intelligent Hub door een server-URL en groeps-ID in te voeren.
    • Open de internetbrowser van het toestel, navigeer naar de inschrijvings-URL en voer de geschikte groeps-ID in.
  4. Voer de inloggegevens in die horen bij het account van de voorbereidende gebruiker.

    1. Geef indien nodig aan dat u een toestel wilt inrichten voor Eén enkele gebruiker.

      U hoeft dit alleen te doen als de optie "Inrichten van een toestel voor meerdere gebruikers" is ingeschakeld voor die voorbereidende gebruiker.

  5. Voltooi de inschrijving voor geavanceerde of standaardinrichting.

    1. Indien u de geavanceerde inrichting uitvoert, zult u de gebruikersnaam van de eindgebruiker die het toestel gaat gebruiken moeten invoeren. Ga verder met inschrijving door het profiel voor mobiel toestelbeheer (MDM) te installeren en alle berichten te accepteren.
    2. Als u volgens de standaardmanier toestellen inricht, dan wordt de eindgebruiker gevraagd om bij het voltooien van de inschrijving zijn eigen inloggegevens in te voeren.

Resultaten: Het toestel is nu ingesteld en klaar voor gebruik door de nieuwe gebruiker. Als een inschrijvingsgebruikersovereenkomst van kracht is, ziet de betreffende enkele gebruiker deze gebruiksvoorwaarden-prompt pas als hij/zij zich aanmeldt bij zijn/haar SSP-account.

Toestellen inrichten voor meerdere gebruikers

Voorbereide inrichting van toestellen voor meerdere gebruikers of gedeelde toestellen geeft een IT-beheerder de mogelijkheid om toestellen voor te bereiden voor meer dan één gebruiker. Met voorbereide inrichting voor meerdere gebruikers stelt u het toestel in staat om de toegewezen gebruiker dynamisch te wisselen zodra een andere netwerkgebruiker inlogt.

Voorbereide inrichting via Directe inschrijving voor Workspace ONE wordt niet ondersteund. Als u de toestelinrichting voor één of meerdere gebruikers moet voorbereiden, moet u het toestel inschrijven door middel van VMware Workspace ONE Intelligent Hub in plaats van Directe inschrijving voor Workspace ONE.

  1. Navigeer naar Accounts > Gebruikers > Lijstweergave en selecteer Bewerken voor het account waarvoor u voorbereide inrichting (staging) wilt inschakelen.

  2. Selecteer op de pagina Gebruiker toevoegen / bewerken het tabblad Geavanceerd.

    1. Schuif naar beneden naar de sectie voor Voorbereide inrichting.
    2. Voor Voorbereide toestelinrichting inschakelen selecteert u de schuifregelaar Ingeschakeld. De opties voor voorbereide inrichting worden weergegeven.
    3. Zorg ervoor dat Toestellen voor meerdere gebruikers is ingesteld op Ingeschakeld.
    4. Voor de Modus gedeeld Android-toestel selecteert u Systeemeigen of Launcher voor de in- en uitcheckmodus. Systeemeigen Android ondersteunt eenvoudigere gebruiksscenario's waarvoor geen aanpassing is vereist. Launcher ondersteunt aanpassing van de gebruikersinterface voor complexe gebruiksscenario's.
    5. Voor Systeem-apps kunt u de toegang van eindgebruikers tot systeemapplicaties inschakelen.
    6. Geef voor Toegangscode voor beheerdersmodus een alfanumerieke toegangscode op om problemen met een toestel in de beheerdersmodus op te lossen. Tik vijf keer op het Hub-pictogram op het inlogscherm om toegang te krijgen tot de beheerdersmodus.
  3. Schrijf het toestel in door één van de volgende twee methoden.

    • Schrijf in via de Workspace ONE Intelligent Hub door een server-URL en groeps-ID in te voeren.
    • Open de internetbrowser van het toestel, navigeer naar de inschrijvings-URL en voer de geschikte groeps-ID in.
  4. Voer de inloggegevens in die horen bij het account van de voorbereidende gebruiker. Geef indien nodig aan dat u een toestel wilt inrichten voor Eén enkele gebruiker.

    U moet dit alleen doen als de optie Inrichten van een toestel voor meerdere gebruikers is ingeschakeld voor die voorbereidende gebruiker.

Resultaat: Het toestel is nu ingericht en klaar voor gebruik door nieuwe gebruikers.

Procedure voor zelfinschrijving

Bij zelfinschrijving moeten eindgebruikers mogelijk over de juiste groeps-ID en inloggegevens beschikken. Als u met directoryservices heeft geïntegreerd, zijn deze inloggegevens hetzelfde als in de directoryservice.

U kunt ook uw e-maildomein aan de Workspace ONE UEM-omgeving koppelen. Deze procedure staat bekend als automatische ontdekking. Als Automatische ontdekking is ingeschakeld, vragen toestellen van ondersteunde platformen aan eindgebruikers om hun e-mailadres in te voeren. Deze toestellen vullen inschrijving automatisch in als het e-maildomein (de tekst achter @) overeenkomt, zonder dat er een groeps-ID of inschrijvings-URL hoeft te worden opgegeven. Zie Inschrijving via automatische ontdekking voor meer informatie.

  1. Eindgebruikers navigeren naar AWAgent.com, dat automatisch detecteert of VMware Workspace ONE Intelligent Hub is geïnstalleerd.

    Als VMware Workspace ONE Intelligent Hub niet is geïnstalleerd, stuurt de website door naar de juiste app store voor mobiele toestellen.

  2. gebruikers die AirWatch Container gebruiken, downloaden deze app in de app store.

  3. Nadat de VMware Workspace ONE Intelligent Hub- of Container-applicatie is geopend, voeren gebruikers hun inloggegevens in – en daarnaast hun e-mailadres, de URL of de groeps-ID – en gaan dan verder met inschrijving.

Modus met supervisie

Beheerders hebben de optie om toestellen die via de Apple Configurator zijn ingeschreven in de modus met supervisie te plaatsen. Daarmee worden aanvullende beveiligingsfuncties ingeschakeld. Deze modus zorgt echter ook voor een aantal beperkingen op het toestel.

Modus met supervisie inschakelen

Voor meer informatie over het gebruik van toestellen in de modus met supervisie raadpleegt u de Handleiding voor integratie met Apple Configurator 2.

Voordelen

Zodra een toestel onder supervisie staat en in Workspace ONE UEM is ingeschreven, staan de volgende extra functies ter beschikking van de beheerder.

  • Scherpere MDM-beperkingen
    • Applicatieverwijdering door gebruikers blokkeren. Het verwijderen van applicaties kan ook lokaal op het toestel worden geblokkeerd d.m.v. de beperkingen in de systeemconfiguratie.
    • AirDrop blokkeren.
    • Voorkom dat gebruikers accountinstellingen van iCloud en Mail wijzigen, waardoor accountwijzigingen worden voorkomen.
    • iMessage uitschakelen.
    • Inhoudsrestricties op iBookstore-items inschakelen.
    • Game Center en iBookstore uitschakelen.
  • Verhoogde beveiliging
    • Voorkomen dat eindgebruikers via Safari naar internetsites met pornografische inhoud surfen.
    • Beperken welke toestellen met specifieke AirPlay-bestemmingen (zoals Apple TV’s) verbinding kunnen maken.
    • Voorkom de installatie van certificaten of onbeheerde configuratieprofielen.
    • Alle netwerkverkeer van toestellen gedwongen via een globale HTTP-proxy leiden.
  • Kioskmodus
    • Toestellen in één enkele applicatie vergrendelen met de één-app-modus en door de thuisknop uit te schakelen.
  • Achtergrond en tekst op toestel aanpassen
  • Activeringsvergrendeling inschakelen of wissen

Beperkingen

  • Toegang via USB-poort is alleen mogelijk voor de Mac-computer die als “moedertoestel” fungeert.
  • Gegevens kunnen niet met iTunes van en naar het toestel worden gekopieerd tenzij het Apple Configurator-identiteitscertificaat op het toestel is geïnstalleerd.
    • Media zoals foto’s en video’s kunnen niet vanaf het toestel naar een PC of Mac gekopieerd worden. Gebruik VMware Content Locker om dit type gegevens over te dragen en de inhoud van het toestel te synchroniseren met de sectie Persoonlijke documenten van de gebruiker. Ook kunt u een bestandsshareprogramma gebruiken om de data via Wi-Fi of WLAN naar een server over te dragen.
  • De modus met supervisie blokkeert toegang tot logboeken op het toestel via de iPhone Configuration Utility (IPCU).
    • Deze modus maakt het moeilijker problemen met applicaties of toestellen op te lossen. De reden dat dit moeilijker is, is dat de logbestanden van het toestel alleen kunnen worden opgevraagd als het toestel is verbonden met de toeziende Mac-computer. Gebruik de Workspace One SDK om enkele van deze uitdagingen op te lossen en logbestanden en logistiek van de applicaties naar de UEM console te verzenden.
  • Toestellen kunnen niet eenvoudig naar fabrieksinstellingen worden hersteld.
    • Wanneer de fabrieksinstellingen van een toestel zijn hersteld, moet het fysiek worden teruggebracht naar de Mac die de supervisie heeft om de supervisiemodus te herstellen. Deze procedure kan problematisch zijn als de Mac zich niet in de buurt van een toestel bevindt.

Wanneer u overweegt een toestel in de modus met supervisie te plaatsen, dient u het volgende in beraad nemen. Hoewel de modus aanvullende functies op het toestel activeert die de beveiliging verhogen, dient u tekening te houden met de USB-beperkingen.

De noodzaak om het toestel dichtbij de Mac te houden die de supervisie heeft, speelt een belangrijke rol in de beslissingen. Omdat de USB-beperkingen toegang tot de logboeken op het toestel blokkeren, moet een toestel met problemen naar een depot worden gestuurd en opnieuw worden voorbereid om functionaliteit te herstellen.

Vooraf een beslissing nemen over supervisie is belangrijk omdat het proces van supervisie (of “subvisie”) vereist dat het toestel wordt verzonden naar een IT-locatie of depot.

Hoofdonderwerp: Toestelinschrijving

check-circle-line exclamation-circle-line close-line
Scroll to top icon