Пользователей можно регистрировать автоматически путем интеграции с существующей службой каталогов. Тем самым устраняется необходимость делать это вручную в консоли Workspace ONE UEM.

Каждый пользователь каталога, которым требуется управлять с помощью Workspace ONE UEM, должен иметь соответствующую учетную запись пользователя в UEM console.

Можно добавить существующих пользователей служб каталогов в Workspace ONE UEM напрямую, используя один из следующих способов.

  • Отправить пакет с файлом, содержащим всех пользователей служб каталогов. При импорте пакета аккаунт пользователя создается автоматически.
  • Создайте аккаунты пользователей по одному. Каждый раз вводите имя пользователя каталога и выбирайте Проверка пользователя, чтобы оставшиеся поля заполнялись автоматически.
  • Вместо пакетного импорта или ручного создания аккаунтов разрешите всем пользователям каталогов создавать аккаунты самостоятельно во время регистрации.

Преимущества

  • Пользователи выполняют аутентификацию, используя существующие корпоративные учетные данные.
  • Автоматически обнаруживает и синхронизирует изменения системы каталогов с Workspace ONE UEM. Например, при деактивации пользователей в AD соответствующая учетная запись пользователя в Workspace ONE UEM Console будет помечена как неактивная.
  • Безопасный способ интеграции с существующей службой каталогов.
  • Стандартная интеграция.
  • Может использоваться для прямой регистрации Workspace ONE.
  • Для развертываний SaaS с использованием AirWatch Cloud Connector не требуется изменять настройки брандмауэра. Этот вариант позволяет создать защищенную конфигурацию для других инфраструктур, таких как Microsoft ADCS, SCEP и серверы SMTP.

Подробнее о синхронизации статусов учетных записей см. в разделе Синхронизация статусов пользователей каталога ниже.

Недостатки

  • Необходима существующая инфраструктура службы каталогов.
  • Для развертываний SaaS требуется дополнительная конфигурация, поскольку AirWatch Cloud Connector устанавливается за брандмауэром или в DMZ.

Синхронизация состояний пользователей каталога

Когда пользователи переводятся в неактивное состояние в службе каталогов, это изменение распространяется на соответствующую учетную запись Workspace ONE UEM и Workspace ONE Express, но только в том случае, если выполнены следующие обязательные условия.

  • Синхронизация удаленных пользователей возможна только с Active Directory.
  • Пользователь, имя которого указано в поле Привязать имя пользователя, должен иметь права администратора Active Directory.
    • Чтобы проверить это имя, перейдите в раздел Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов и на вкладке Сервер найдите поле Привязать имя пользователя.
    • Клиенты Workspace ONE Express также могут найти поле Привязать имя пользователя на той же вкладке Сервер, перейдя в раздел Группы и настройки, а затем выбрав Службы каталогов из столбца Имя.
  • Обычным пользователям Active Directory, не имеющим прав администратора, можно предоставить доступ к контейнеру удаленных объектов, если вы выполните действия, описанные в следующей статье технической поддержки Microsoft. https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object.
  • Кроме того, необходимо активировать корзину с помощью центра администрирования Active Directory, но только при удалении пользователей в AD.
    1. Откройте Центр администрирования Active Directory.
    2. Выберите домен, затем нажмите на него правой кнопкой мыши.
    3. Выберите Включить корзину. После включения корзину невозможно деактивировать.

Создание аккаунта пользователя на основе каталога

Необходимо создать аккаунты для каждого пользователя в системе Workspace ONE UEM и для пользователей каталогов, которые выполняют аутентификацию, используя существующие корпоративные учетные данные.

В этом разделе подробно рассматривается создание аккаунтов пользователей по одному за раз. Чтобы создать учетные записи пользователей в пакетном режиме, см. раздел Пакетный импорт пользователей или устройств.

  1. Перейдите в раздел Учетные записи > Пользователи > Список и выберите Добавить, затем выберите Добавить пользователя. Появится страница Добавить или изменить пользователя.
  2. На вкладке Общее задайте следующие настройки, чтобы добавить пользователя.
    Параметр Описание
    Тип безопасности Чтобы добавить пользователя Active Directory, для параметра «Тип безопасности», установите значение Каталог.
    Название каталога Это предварительно заполненное поле определяет имя Active Directory.
    Домен Позволяет выбрать имя домена в раскрывающемся меню.
    Имя пользователя

    Необходимо ввести имя пользователя каталога и нажать Проверить пользователя. Если система находит совпадение, данные о пользователе заполняются автоматически. Остальные настройки этого раздела доступны только после успешного выбора пользователя Active Directory с помощью кнопки Проверить пользователя.
    Полное имя

    Кнопка Изменить атрибуты позволяет изменять любой параметр, в который подставляется пустое значение из каталога. Она также позволяет автоматически заполнять соответствующие сведения о пользователе.

    Если настройка синхронизирует фактическое значение из каталога, изменять ее следует непосредственно в этом каталоге. Изменения вступят в силу при следующей синхронизации каталогов. Можно указать полное имя в пустом поле параметра, которое возвращается из каталога, и нажать кнопку Изменить атрибуты, чтобы сохранить изменение.
    Отображаемое имя Позволяет ввести имя, которое будет отображаться в админ консоли.
    Адрес эл. почты Позволяет задать или изменить электронный адрес пользователя.
    Имя пользователя электронной почты Позволяет задать или изменить имя пользователя электронной почты.
    Домен эл. почты Позволяет выбрать домен электронной почты в раскрывающемся меню.
    Номер телефона Введите номер телефона пользователя, включая знак плюс, код страны и код города. Если для отправки уведомлений используется СМС, этот параметр обязательный.
    Регистрация
    Организационная группа регистрации Позволяет выбрать организационную группу, в которой регистрируется пользователь.
    Разрешить пользователю регистрацию в дополнительных организационных группах Позволяет разрешать пользователям регистрироваться в нескольких организационных группах. Если выбрать Включено, необходимо заполнить поле Дополнительные организационные группы.
    Роль пользователя Позволяет выбрать роль для пользователя из раскрывающегося меню.
    Уведомление
    Тип сообщения Позволяет выбрать тип сообщения, которое можно отправить пользователю: Эл. почта, SMS или Нет. При выборе СМС необходимо ввести номер телефона в текстовом поле.
    Шаблон сообщения Позволяет выбрать в раскрывающемся списке шаблон для электронных сообщений или SMS-сообщений. Кроме того, можно нажать Просмотр сообщения, чтобы предварительно просмотреть шаблон, а затем нажать ссылку Настроить шаблоны сообщений, чтобы создать шаблон.
  3. При необходимости откройте вкладку Дополнительно и задайте следующие настройки.
    Параметр Описание
    Дополнительные сведения
    Пароль эл. почты Позволяет указать пароль электронной почты добавляемого пользователя.
    Подтвердите пароль эл. почты Позволяет подтвердить пароль электронной почты добавляемого пользователя.
    Различающееся имя Для пользователей каталогов, распознанных платформой Workspace ONE UEM, в это текстовое поле автоматически подставляется различающееся имя пользователя. В этой строке отображается различающееся имя пользователя и все коды авторизации, связанные с пользователем Active Directory.
    Различающееся имя руководителя Позволяет указать различающееся имя руководителя пользователя. Это необязательное текстовое поле.
    Категория Позволяет выбрать категорию для добавляемого пользователя.
    Отдел Позволяет указать отдел пользователя (в административных целях компании).
    ID сотрудника Позволяет указать ID сотрудника (в административных целях компании).
    Центр затрат Позволяет указать источник расходов пользователя (в административных целях компании).
    Настраиваемые атрибуты 1–5 (только для пользователей каталогов)

    Позволяет указать предварительно настроенные атрибуты там, где это необходимо. Эти настраиваемые атрибуты можно определить в разделе Группы и настройки > Все настройки > Устройства и пользователи > Дополнительно > Настраиваемые атрибуты.

    Примечание: Настраиваемые атрибуты можно настроить только в организационной группе клиентского типа.
    Сертификаты
    Использовать S/MIME

    Включите или деактивируйте использование S/MIME. Если настройка включена, необходимо иметь профиль S/MIME и отправить сертификат S/MIME, нажав кнопку Отправить.
    Отдельный сертификат шифрования

    Включите или деактивируйте использование отдельного сертификата шифрования. Если настройка включена, необходимо отправить сертификат шифрования, используя кнопку Отправить. Как правило, для подписи и шифрования используется один сертификат S/MIME, если прямо не указан другой.
    Старый сертификат шифрования

    Включите или деактивируйте устаревшую версию сертификата шифрования. Если настройка включена, необходимо отправить сертификат шифрования.
    Промежуточная настройка
    Включить промежуточную настройку устройства

    Включите или деактивируйте промежуточную настройку устройств.

    Если настройка включена, необходимо выбрать однопользовательские устройства или многопользовательские устройства.

    Для однопользовательского устройства необходимо выбрать стандартную (пользователи самостоятельно входят в систему) или дополнительную (устройство регистрируется от имени другого пользователя) регистрацию.

    За дополнительной информацией обращайтесь к Руководству по промежуточной настройке.
  4. Нажмите Сохранить, чтобы просто сохранить нового пользователя, или Сохранить и добавить устройство, чтобы сохранить нового пользователя и открыть страницу Добавить устройство.