Дополнительные ограничения регистрации

Можно установить дополнительные ограничения регистрации, чтобы управлять тем, какие пользователи могут регистрироваться в Workspace ONE UEM и какие типы устройств разрешены.

Дополнительные ограничения регистрации применяются ко всем развертываниям, вне зависимости от интеграции со службами каталогов, поддержки BYOD, записи устройства и других настроек.

Кроме того, можно задать максимальное число зарегистрированных устройств на организационную группу. После того, как ограничения регистрации настроены, можно даже сохранить их в качестве политик.

Критерий 1. Планируете ли вы ограничивать использование платформ и версий ОС или максимальное число разрешенных устройств?

  • Собираетесь ли вы поддерживать только устройства со встроенной функцией корпоративного управления (например, Samsung SAFE/Knox, HTC Sense, LG Enterprise или Motorola)? Если да, можно указать в ограничениях регистрации, чтобы устройства Android имели поддерживаемую корпоративную версию.
  • Хотите ли вы ограничить число устройств, которые может зарегистрировать пользователь? Если да, можно задать это число с учетом корпоративных и личных устройств.
  • Есть ли платформы, которые не поддерживают ваше развертывание? Если да, можно создать список заблокированных платформ, устройства с которыми не удастся зарегистрировать.

Ваша организация должна оценить число и виды устройств, которыми владеют сотрудники. Кроме того, организация должна определить, какие из этих устройств необходимо использовать в рабочей среде. Затем можно сохранить эти ограничения регистрации в качестве политик.

Критерий 2. Будет ли регистрация ограничиваться списком корпоративных устройств?

Дополнительные возможности записи позволяют управлять устройствами, которые можно зарегистрировать. Чрезвычайно полезно для адаптации развертываний BYOD запретить регистрацию устройств из запрещенного списка или ограничиться только регистрацией устройств из разрешенного списка. Можно добавлять устройства в разрешенный список по типу, платформе, идентификаторам устройств и серийным номерам.

Например, если необходимо запретить устройства Windows, регистрируемые в Workspace ONE UEM с помощью первого запуска (при первом включении), необходимо создать запрещенный список, включив в себя все номера IMEI, серийные или UDID для всех устройств Windows, которые необходимо исключить.

Подробнее см. в разделе Регистрация устройств запрещенного и разрешенного списков.

Критерий 3. Будет ли ограничиваться число зарегистрированных устройств на организационную группу?

Можно ограничить число устройств, зарегистрированных для одной организационной группы (ОГ). Это ограничение поможет управлять развертыванием, предотвращая превышение числа допустимых регистраций. Для получения дополнительной информации см. раздел Ограничение числа зарегистрированных устройств на организационную группу на этой странице.

Конфигурация настроек ограничения регистрации

При интеграции Workspace ONE UEM со службами каталогов можно определить, какие пользователи могут регистрировать устройства в корпоративном развертывании.

Можно ограничить регистрацию только известным пользователям или настроенным группам. Известные пользователи — это пользователи, которые уже существуют в консоли. Настроенные группы — это пользователи, связанные с группами служб каталогов, если выполнена интеграция с группами пользователей. Также можно ограничить число устройств, регистрируемых в организационной группе, и сохранить ограничения как политику для повторного использования.

Эти параметры можно настроить в разделе Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация на вкладке Ограничения. Вкладка «Ограничения» позволяет настроить политики ограничения регистрации согласно ролям организационной группы и группы пользователей.

  • Создавать новые политики ограничения регистрации и назначать существующие, используя настройки политик.
  • Назначать политики группам пользователей в разделе «Настройки назначения группы».
  • Вносить устройства в запрещенный или разрешенный списки согласно платформе, операционной системе, UDID, IMEI и т. д.
Настройка Описание
Контроль доступа пользователя Прямая регистрация Workspace ONE поддерживает все возможности управления доступом пользователей.
Ограничить регистрацию известными пользователями: включите, чтобы разрешить регистрацию только тех пользователей, которые уже есть в консоли UEM. Это ограничение применяется к пользователям каталогов, которые были добавлены в консоль UEM вручную или через пакетный импорт. Можно также использовать эту настройку, чтобы блокировать регистрацию после первоначального развертывания, в котором всем разрешено регистрироваться. Этот параметр позволяет выбирать, кто может регистрироваться.
Если этот параметр выключен, регистрация в Workspace ONE UEM разрешена всем пользователям каталога, в том числе не имеющим учетных записей в консоли UEM. Учетные записи пользователей будут создаваться автоматически в процессе регистрации.
Ограничить регистрацию настроенными группами: позволяет ограничить регистрацию, разрешив ее только пользователям, которые принадлежат ко всем группам или к выбранным группам (если выполнена интеграция с группами пользователей). Не выбирайте этот параметр, если не выполнена интеграция с группами пользователей служб каталогов.
Примечание. Ограничение регистрации только настроенным группам поддерживается только при регистрации пользователей по модели «Just-In-Time» (JIT) при соблюдении следующих условий.
* Workspace ONE UEM настраивается в качестве источника проверки подлинности для Workspace ONE Intelligent Hub, который можно настроить, перейдя в раздел Группы и настройки > Все настройки > Устройства и пользователи > Общие > Регистрация и выбрав вкладку Проверка подлинности.
* Использование SAML для проверки подлинности деактивировано для пользователей регистрации. Настройте этот параметр, перейдя в раздел Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов и используя документацию по настройке системы службы каталогов.
Учетные записи пользователей Workspace ONE UEM могут создаваться во время регистрации, если отключить этот параметр и таким образом разрешить регистрацию всем пользователям каталогов. Выберите параметр Выполнять очистку корпоративных данных на устройствах пользователей, удаленных из настроенных групп, чтобы выполнялась автоматическая очистка корпоративных устройств. Если выбран параметр Все группы, то устройства, не принадлежащие ни к одной группе пользователей, удаляются из системы. Если выбран параметр Избранные группы, то устройства, не принадлежащие к определенной группе пользователей, удаляются из системы.
Один из способов интеграции с группами пользователей заключается в создании группы служб каталогов «Утверждено MDM» и ее импорте в Workspace ONE UEM. После этого импорта можно добавить существующие группы пользователей служб каталогов в группу «Утверждено MDM» группу, так как они получают доступ к Workspace ONE UEM.
Установить максимальное количество зарегистрированных устройств в этой организационной группе или в группе уровнем ниже Необходимо включить параметр и задать предел количества устройств, чтобы ограничить число устройств, которым разрешена регистрация в существующей организационной группе. Прямая регистрация Workspace ONE поддерживает этот параметр.

Примечание. Ограничения не применяются для устройств iOS, зарегистрированных через программу регистрации устройств (DEP) Apple, поскольку необходимые сведения об устройстве можно получить только после регистрации устройства.

Ограничение числа зарегистрированных устройств на организационную группу

Можно ограничить число зарегистрированных устройств для организационной группы любого типа (глобальная, клиентская, партнерская). Это ограничение поможет управлять развертыванием, предотвращая превышение числа допустимых регистраций в среде лицензирования каждого устройства.

Ограничения, заданные для одной ОГ, нельзя переназначить в рамках той же ветви группы. Другое ограничение числа зарегистрированных устройств можно задать только в отдельной ветви ОГ.

На схеме показано иерархическое дерево организационной группы с успешным ограничением для зарегистрированных устройств, когда ограничение применялось к отдельным ветвям.На схеме показано иерархическое дерево организационной группы с ошибкой ограничения для зарегистрированных устройств, когда ограничение применялось к одной и той же ветви.

Если этот параметр недоступен, проверьте родительскую ОГ (выше текущей) или дочернюю ОГ (ниже текущей). Вероятнее всего, ограничение уже cуществует на уровне выше или ниже уровня текущей ОГ.

  1. Откройте раздел Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация, затем откройте вкладку Ограничения.
  2. Активируйте лимит в разделе Установить максимальное количество зарегистрированных устройств в этой организационной группе или в группе уровнем ниже.

Создание политики ограничения регистрации

Ваша организация должна оценить число и виды устройств, которыми владеют сотрудники. Кроме того, организация должна определить, какие из этих устройств необходимо использовать в рабочей среде. Затем можно сохранить эти ограничения регистрации в качестве политик.

  1. Перейдите в раздел Устройства > Настройки устройства > Устройства и пользователи > Общее > Регистрация.
  2. Откройте вкладку Ограничения и в разделе Настройки политик нажмите Добавить политику.

  3. На экране Добавить или изменить политику ограничения регистрации добавьте политику.

    Настройка Описание
    Название политики ограничения регистрации Позволяет задать имя политики ограничения регистрации.
    Организационная группа Позволяет выбрать в раскрывающемся меню организационную группу, к которой будет применена новая политика ограничения регистрации.
    Тип политики Позволяет выбрать тип политики ограничения регистрации: Организационная группа по умолчанию (применяется к выбранной организационной группе) или Политика группы пользователей (применяется к определенным группам пользователей с помощью настроек назначения группы на вкладке Ограничения).
    Разрешенные типы собственности Позволяет разрешить или запретить следующие типы принадлежности устройства: Корпоративное- личное, Корпоративное-общее и Личное. Прямая регистрация Workspace ONE поддерживает только типы принадлежности «Корпоративное» и «Личное».
    Разрешенные типы регистрации Выберите, следует ли разрешать регистрацию устройств с помощью приложений MDM (Workspace ONE Intelligent Hub) и Container (для iOS/Android).
    Предел количества устройств на пользователя Если выбрать Не ограничено, пользователи смогут регистрировать любое количество устройств. Прямая регистрация Workspace ONE поддерживает настройку максимального количества устройств на одного пользователя. Чтобы задать максимальное количество устройств для каждого типа принадлежности, снимите этот флажок и введите соответствующие значения в разделе Предел количества устройств на пользователя.
    * Максимум устройств на пользователя
    * Максимум корпоративных устройств
    * Максимум общих устройств
    * Максимум личных устройств
    Разрешенные типы устройств Чтобы добавить дополнительные ограничения для определенных устройств, установите флажок Ограничить регистрацию отдельным платформам, моделям или ОС. Этот параметр поддерживается прямой регистрацией Workspace ONE.
    Режим ограничения на уровне устройства Это поле доступно, только если в поле Разрешенные типы устройств выбрано Ограничить регистрацию отдельным платформам, моделям или ОС.
    Необходимо определить тип ограничений устройства.
    * Разрешить только указанные типы устройств (разрешенный список): выберите этот параметр, чтобы явно разрешить устройства, соответствующие введенным параметрам и блокировать все остальные.
    * Запретить указанные типы устройств (запрещенный список): выберите этот параметр, чтобы явно блокировать устройства, соответствующие введенным параметрам, и разрешить все остальные.
    Для любого режима ограничений на уровне устройства можно нажать Добавить ограничение устройства, чтобы выбрать платформу, модель, производителя (для устройств Android) или операционную систему. Также можно добавить предел количества устройств на одно ограничение устройства. Можно добавить несколько ограничений для устройства.
    Также можно запретить определенные устройства на основе IMEI, серийного номера или UDID, открыв раздел Устройства > Жизненный цикл > Статус регистрации и нажав Добавить. Это эффективный способ заблокировать отдельное устройство и предотвратить его повторную регистрацию без ущерба для других устройств пользователей. Предотвратить повторную регистрацию также можно при выполнении очистки корпоративных данных.
    Этот параметр поддерживается прямой регистрацией Workspace ONE.

  4. Нажмите Сохранить, чтобы сохранить изменения и вернуться в экран Устройства и пользователи / Общее / Регистрация.

Исходная тема: Регистрация устройств

check-circle-line exclamation-circle-line close-line
Scroll to top icon