Для выполнения любых действий в Workspace ONE UEM сначала необходимо войти в console.

Для входа в Workspace ONE UEM Console необходимо иметь URL-адрес среды и учетные данные для входа в систему. Способ получения этой информации зависит от типа развертывания.

  • Развертывание SaaS — ваш менеджер по работе с клиентами предоставляет вам URL-адрес среды, а также имя пользователя и пароль. URL-адрес не кастомизуется и обычно предоставляется в формате awmdm.com.
  • Локальный — Настраиваемый локальный URL-адрес в формате awmdm.<Ваша_компания>.com.

Аккаунт-менеджер предоставляет учетные данные начальной настройки для среды. Администраторы, создающие дополнительные аккаунты для передачи функций управления, также могут создавать и распределять учетные данные для своей среды.

Когда в браузере откроется URL-адрес среды UEM console, можно выполнить вход с именем пользователя и паролем, полученными от администратора Workspace ONE UEM.

  1. Введите Имя пользователя.
    • Workspace ONE UEM Console сохраняет имя пользователя и тип пользователя (SAML или не SAML) в кэше браузера.
      • В случае с пользователем SAML для администратора отображается страница входа SAML.
      • В случае другими пользователями у администратора запрашивается пароль.
    • Если установлен флажок Запомнить, то при следующем переходе по URL-адресу среды в текстовое поле Имя пользователя подставляется имя последнего пользователя, выполнявшего вход в систему.
  2. Введите пароль.
    • При первом входе в систему предлагается ввести пароль. Введите его, чтобы продолжить.
    • Если вы уже выполняли вход в систему и в браузере по умолчанию включено сохранение имен пользователей и паролей, в текстовое поле Пароль автоматически подставляется пароль, сохраненный в кэше браузера.
  3. Нажмите кнопку Вход.
    • После входа в систему отображается главный экран по умолчанию (его можно настроить). Информацию о настройке главного экрана см. в разделе Верхнее меню.

Истечение срока действия пароля

Администраторы базового уровня получают уведомление по электронной почте за 5 дней до истечения срока действия пароля и еще один раз — за один день. Локальные администраторы могут изменить этот 5-дневный период по умолчанию, перейдя в раздел Группы и настройки > Все настройки > Администратор > Безопасность Console > Паролииз глобальной организационной группы. Выделенные администраторы SaaS должны обратиться в службу поддержки, чтобы внести изменения в этот параметр.

Можно настроить свое уведомление об истечении срока действия пароля для администраторов. Для этого перейдите в раздел Группы и настройки > Все настройки > Устройства и пользователи > Общие > Шаблон сообщения и выберите для параметра Категория значение «Администратор», а для параметра Тип — значение «Уведомление администратора об истечении срока действия пароля».

Информацию о настройках регистрационных паролей пользователей, которые управляются отдельно от паролей консоли администрирования, см. на странице системных настроек, перейдя в раздел Группы и настройки > Все настройки > Устройства и пользователи > Общие > Пароли.

Время ожидания сеанса и выход из системы

Существует два основных сценария, в которых выполняется выход из Workspace ONE UEM Console.
  1. Явный выход из системы (включая выход при закрытии окна браузера и бездействии).
    • Если в браузере по умолчанию включено сохранение имени пользователя и пароля, то при следующем входе в систему в текстовое поле «Имя пользователя» автоматически подставляется имя последнего пользователя, выполнявшего вход в систему.
    • Если настройки браузера запрещают сохранять имена пользователей и пароли, имя пользователя и тип пользователя (SAML или не SAML) удаляются из кэша браузера.
  2. Инвалидация сеанса (в том числе проблемы с балансировщиком нагрузки и истечение времени ожидания сеанса в соответствии с настройкой администратора).
    • Пользователи, не относящиеся к типу SAML, могут повторно войти в систему с сохраненным именем, нажав кнопку Вход.
    • Пользователи SAML могут повторно войти в console, не выполняя никаких дополнительных действий.

Блокировка входа

Системные администраторы и администраторы AirWatch могут настроить Максимальное количество неудачных попыток входа, после достижения которого доступ администратора к консоли будет заблокирован с переходом к экрану Группы и настройки > Все настройки > Администратор > Безопасность консоли > Пароли.

Предусмотрены два сценария для блокировки в UEM console: 1) если число неудачных попыток больше, чем заданное максимальное количество неудачных попыток входа; 2) если трижды введен неверный ответ на вопрос для восстановления пароля при попытке сброса пароля.

Когда это происходит, необходимо либо сбросить пароль, используя ссылку на странице входа для устранения неполадок, либо воспользоваться помощью администратора для разблокировки учетной записи в списке администраторов. Вы получите уведомление по электронной почте после блокировки учетной записи и еще одно уведомление, когда учетная запись будет разблокирована.

Исследование событий консоли, связанных с блокировкой учетных записей

При блокировке и разблокировке учетных записей базовых администраторов в Workspace ONE UEM создается событие консоли. Оба события создаются с уровнем ведения журнала 5 (предупреждение). Наряду с просмотром основной истории входов из раздела Настройки учетных записей, вы можете исследовать события консоли, связанные с блокировкой и разблокировкой учетных записей администраторов, выполнив следующие шаги.

  1. Перейдите в раздел Монитор > Отчеты и аналитика > События > События Console.
  2. Выберите «Предупреждение и выше» в раскрывающемся фильтре Важность над списком События консоли.
  3. Выберите «Вход» в раскрывающемся фильтре Категория.
  4. Выберите «Администрирование» в раскрывающемся фильтре Модуль.
  5. При необходимости примените дополнительные фильтры, включая Диапазон дат.

Управление настройками аккаунта

Администраторы Workspace ONE UEM могут управлять настройками учетной записи Console, позволяющими изменять контактные данные пользователя, параметры уведомлений, журнал входов и настройки безопасности, включая восстановление пароля.

Управление настройками учетной записи: пользователь

Чтобы с вами можно было связаться, введите личную информацию на вкладке Пользователь, включая адрес эл. почты, телефонные номера (макс. 4), часовой пояс и языковой стандарт.

Управление настройками учетной записи: уведомления

Настройки уведомлений на странице настроек учетной записи используются для включения или деактивации оповещений об окончании срока действия APNs, выбора способа получения оповещений и изменения электронного адреса, на который они отправляются. Подробнее см. в разделе Конфигурация настроек уведомлений.

Управление настройками учетной записи: входы

Просматривайте журнал входов в систему, включая даты и время, исходный IP-адрес, тип входа, исходные приложения, сведения о браузере, платформу, ОС и статус сеанса.

Управление настройками учетной записи: безопасность

Здесь можно сбросить пароль, вопросы для восстановления пароля и четырехзначный PIN-код безопасности.

Управление настройками учетной записи: пароль

При входе в UEM console помимо имени пользователя учетной записи необходимо указать пароль. Пароль можно сбросить в любое время.

Управление настройками учетной записи: вопросы для восстановления пароля

Вопросы для восстановления пароля используются для сброса пароля. Пользователь устанавливает вопрос для восстановления пароля и ответ на него при первом входе в UEM console. Чтобы выбрать новый вопрос для восстановления пароля, нажмите кнопку Сбросить. Это действие автоматически завершает сеанс пользователя. При повторном входе в консоль отображается экран Настройки безопасности, где пользователь должен выбрать вопрос для восстановления пароля и ответ на него.

Если администратор не выбрал вопрос для восстановления пароля и кнопка Сбросить для вопросов восстановления пароля не отображается, необходимо удалить учетную запись администратора и создать ее заново. При входе в заново созданную учетную запись администратор должен установить вопрос и ответ для восстановления пароля.

Если на вопрос для восстановления пароля будет дано больше трех неверных ответов, вход будет заблокирован. В таком случае необходимо сбросить пароль, используя ссылку для устранения неполадок на странице входа. Кроме того, можно обратиться к администратору, чтобы он разблокировал учетную запись на странице списка администраторов. Вы получите уведомление по электронной почте после блокировки учетной записи и еще одно уведомление, когда учетная запись будет разблокирована.

Управление настройками учетной записи: PIN-код безопасности

Безопасность консоли UEM обеспечивается путем создания PIN-кода безопасности. PIN-код безопасности гарантирует защиту от случайной очистки устройства или удаления важных аспектов среды, включая пользователей и организационные группы. Также PIN-код служит вторым уровнем безопасности. Это дополнительный этап аутентификации, который блокирует действия неутвержденных пользователей.

При первом входе в UEM Console требуется установить PIN-код безопасности.

Чтобы минимизировать риски безопасности, следует сбрасывать PIN-код безопасности как можно чаще.

Ограничение действий в UEM console

В ситуации, когда консоль для Workspace ONE UEM Console не заблокирована и работает в автоматическом режиме, реализуется дополнительная мера защиты от вредоносных действий, которые могут оказаться разрушительными. В таком случае можно убрать эти действия из доступа неавторизованных пользователей.

  1. Эта функция доступна в разделе Группы и настройки > Все настройки > Система > Безопасность > Ограниченные действия.
  2. Настройте параметр Отправить сообщение всем. Включите эту настройку, чтобы системный администратор мог отправлять сообщения на все устройства в вашей среде со страницы просмотра Список устройств. Она также может использоваться для отправки сообщений определенной группе.
  3. Может потребоваться, чтобы при выполнении определенных действий в UEM console администраторы вводили PIN-код. Настройте Действия, защищенные паролем, включив или отключив следующие действия.
    Примечание: Некоторые действия, отмеченные далее символом «*», всегда требуют ввода PIN-кода и, как следствие, не могут быть деактивированы.
    Настройка Описание
    Удаление админ аккаунта Позволяет предотвратить удаление учетной записи администратора в разделе Учетные записи > Администраторы > Список.
    *Повторное создание сертификата VMware Enterprise Systems Connector Позволяет предотвратить повторное создание сертификата VMware Enterprise Systems Connector в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий >  VMware Enterprise Systems Connector.
    *Изменение сертификата APNs Позволяет предотвратить отключение APNs для MDM в разделе Группы и настройки > Все настройки > Устройства и пользователи > Apple > APNs для MDM.
    Удаление, отключение или снятие с учета приложений Позволяет предотвратить удаление, отключение или снятие с учета приложения в разделе Приложения и книги > Приложения > Список.
    Удаление или отключение контента Позволяет предотвратить удаление или отключение файла контента в разделе Content > Список.
    *Переключатель шифрования данных Позволяет предотвратить шифрование пользовательских данных в разделе Группы и настройки > Все настройки > Система > Безопасность > Безопасность данных.
    Удаление устройства Позволяет предотвратить удаление устройства в разделе Устройства > Список. Администратор должен обязательно вводить PIN-код безопасности для пакетных действий, даже если эта настройка деактивирована.
    *Очистка устройства Позволяет предотвратить любую попытку очистить устройство на страницах «Список устройств» или «Сведения об устройстве».
    Корпоративный сброс Позволяет предотвратить любую попытку выполнить корпоративный сброс на странице Сведения об устройствах в защищенных устройствах Windows и Android, а также устройствах QNX.
    Очистка корпоративных данных Позволяет предотвратить любую попытку очистить корпоративные данные в устройстве на странице Сведения об устройствах.
    Очистка корпоративных данных (в зависимости от членства в группе пользователей) Позволяет предотвратить любую попытку очистить корпоративные данные в устройстве, когда оно удаляется из группы пользователей. Это необязательная настройка, которую можно задать в разделе Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация на вкладке Ограничения. Если на этой вкладке установить флажок Ограничить регистрацию только настроенным группам, можно получить дополнительную возможность очищать корпоративные данные при удалении устройств из группы.
    * Удалить организационную группу Позволяет предотвратить любые попытки удаления текущей организационной группы в разделе Группы и настройки > Группы > Организационные группы > Сведения об организационной группе.
    Удаление или отключение профилей Позволяет предотвратить любые попытки удаления или деактивации профиля в разделе Устройства > Профили и ресурсы > Профили.
    Удаление продуктов подготовки Позволяет предотвратить любые попытки удаления или отключения предоставления продукта в разделе Устройства > Предоставление > Список продуктов.
    Отзыв сертификата Позволяет предотвратить любые попытки отзыва сертификата в разделе Устройства > Сертификаты > Список.
    * Удалить сертификат безопасного канала Позволяет предотвратить любые попытки удаления существующего сертификата безопасного канала в разделе Группы и настройки > Все настройки > Система > Дополнительно > Сертификат безопасного канала.
    Удаление аккаунта пользователя Позволяет предотвратить любые попытки удаления учетной записи пользователя в разделе Учетные записи > Пользователи > Список.
    Изменить в настройках конфиденциальности Позволяет предотвратить любые попытки изменения настроек конфиденциальности в разделе Группы и настройки > Все настройки > Устройства и пользователи > Общие > Конфиденциальность.
    Удаление плана телекома Позволяет предотвратить удаление плана мобильной связи в разделе Мобильная связь > Список планов.
    Переопределение уровня журнала заданий Позволяет предотвратить попытки переопределения текущего уровня журнала заданий в разделе Группы и настройки > Администратор > Диагностика > Ведение журнала. Переопределение уровня журнала заданий полезно, когда в устройстве или группе устройств есть проблема. Администратор может переопределить настройки этих устройств, повысив уровень журнала до «Подробно», который является максимальным уровнем ведения журнала действий в консоли и идеально подходит для устранения неисправностей.
    * Сброс или переключение поставщика сканирования приложений Позволяет предотвратить сброс (и последующее удаление) настроек интеграции сканирования приложений. Это действие выполняется в разделе Группы и настройки > Все настройки > Приложения > Сканирование приложений.
    Завершение работы Позволяет предотвратить любые попытки завершения работы устройства в разделе Устройства > Список > Сведения об устройстве.
    Максимум неверных попыток ввода PIN-кода Позволяет задать максимальное число неверных попыток ввести PIN-код, после которого консоль будет заблокирована. Допустимое значение: от 1 до 5.

Выбор действий, защищенных паролем

Ограниченные действия в консоли обеспечивают дополнительный уровень защиты против действий злоумышленников, потенциально представляющих угрозу для Workspace ONE UEM Console.

  1. Чтобы настроить параметры ограниченных действий, перейдите в раздел Группы и настройки > Все настройки > Система > Безопасность > Ограниченные действия.
  2. Чтобы настроить защиту действия путем обязательного ввода PIN-кода администраторами, для этого действия нажмите кнопку Действие, защищенное паролем, чтобы включить или деактивировать защиту.

    Это позволяет точно настраивать параметры безопасности для нужных действий.

    Примечание: Некоторые действия всегда требуют ввода PIN-кода и, как следствие, не могут быть деактивированы. (Далее помечены символом *).
  3. Установите максимально разрешенное количество неудачных попыток, при достижении которого система автоматически завершит сеанс. При достижении заданного числа попыток придется снова войти в Workspace ONE UEM Console и установить новый PIN-код безопасности.
    Настройка Описание
    Удаление админ аккаунта Позволяет предотвратить удаление учетной записи администратора в разделе Учетные записи > Администраторы > Список.
    Повторное создание сертификата VMware Enterprise Systems Connector Позволяет предотвратить повторное создание сертификата VMware Enterprise Systems Connector в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий >  VMware Enterprise Systems Connector.
    *Изменение сертификата APNs Позволяет предотвратить отключение APNs для MDM в разделе Группы и настройки > Все настройки > Устройства и пользователи > Apple > APNs для MDM.
    Удаление, отключение или снятие с учета приложений Позволяет предотвратить удаление, отключение или снятие с учета приложения в разделе Приложения и книги > Приложения > Список.
    Удаление или отключение контента Позволяет предотвратить удаление или отключение файла контента в разделе Content > Список.
    *Переключатель шифрования данных Позволяет предотвратить шифрование пользовательских данных в разделе Группы и настройки > Все настройки > Система > Безопасность > Безопасность данных.
    Удаление устройства Позволяет предотвратить удаление устройства в разделе Устройства > Список. Администратор должен обязательно вводить PIN-код безопасности для пакетных действий, даже если эта настройка деактивирована.
    *Очистка устройства Позволяет предотвратить любую попытку очистить устройство на страницах «Список устройств» или «Сведения об устройстве».
    Корпоративный сброс Позволяет предотвратить любую попытку выполнить корпоративный сброс на странице Сведения об устройствах в защищенных устройствах Windows и Android, а также устройствах QNX.
    >Очистка корпоративных данных Позволяет предотвратить любую попытку очистить корпоративные данные в устройстве на странице Сведения об устройствах.
    Очистка корпоративных данных (в зависимости от членства в группе пользователей) Позволяет предотвратить любую попытку очистить корпоративные данные в устройстве, когда оно удаляется из группы пользователей. Это необязательная настройка, которую можно задать в разделе Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация на вкладке Ограничения. Если на этой вкладке установить флажок Ограничить регистрацию только настроенным группам, можно получить дополнительную возможность очищать корпоративные данные при удалении устройств из группы.
    *Удаление организационных групп Позволяет предотвратить любые попытки удаления текущей организационной группы в разделе Группы и настройки > Группы > Организационные группы > Сведения об организационной группе.
    Удаление или отключение профилей Позволяет предотвратить любые попытки удаления или деактивации профиля в разделе Устройства > Профили и ресурсы > Профили.
    Удаление продуктов подготовки Позволяет предотвратить любые попытки удаления или отключения предоставления продукта в разделе Устройства > Предоставление > Список продуктов.
    Отзыв сертификата Позволяет предотвратить любые попытки отзыва сертификата в разделе Устройства > Сертификаты > Список.
    *Удаление сертификата безопасного канала Позволяет предотвратить любые попытки удаления существующего сертификата безопасного канала в разделе Группы и настройки > Все настройки > Система > Дополнительно > Сертификат безопасного канала.
    Удаление аккаунта пользователя Позволяет предотвратить любые попытки удаления учетной записи пользователя в разделе Учетные записи > Пользователи > Список.
    Изменить в настройках конфиденциальности Позволяет предотвратить любые попытки изменения настроек конфиденциальности в разделе Группы и настройки > Все настройки > Устройства и пользователи > Общие > Конфиденциальность.
    Удаление плана телекома Позволяет предотвратить удаление плана мобильной связи в разделе Мобильная связь > Список планов.
    Переопределение уровня журнала заданий Позволяет предотвратить попытки переопределения текущего уровня журнала заданий в разделе Группы и настройки > Администратор > Диагностика > Ведение журнала. Переопределение уровня журнала заданий полезно, когда в устройстве или группе устройств есть проблема. Администратор может переопределить настройки этих устройств, повысив уровень журнала до «Подробно», который является максимальным уровнем ведения журнала действий в консоли и идеально подходит для устранения неисправностей.
    *Сброс или переключение поставщика сканирования приложений Позволяет предотвратить сброс (и последующее удаление) настроек интеграции сканирования приложений. Это действие выполняется в разделе Группы и настройки > Все настройки > Приложения > Сканирование приложений.
    Завершение работы Позволяет предотвратить любые попытки завершения работы устройства в разделе Устройства > Список > Сведения об устройстве.
    Максимум неверных попыток ввода PIN-кода Позволяет задать максимальное число неверных попыток ввести PIN-код, после которого консоль будет заблокирована. Допустимое значение: от 1 до 5.

Настройка обязательных заметок для действий

Установите флажок Требовать заметки, если нужно, чтобы администраторы обязательно вводили заметки и объясняли причины при выполнении определенных Workspace ONE UEM Console действий.

  1. Эта функция доступна в разделе Группы и настройки > Все настройки > Система > Безопасность > Ограниченные действия.
  2. Если необходимо, чтобы администраторы перед выполнением любого из этих действий вводили заметку, убедитесь, что в роль добавлен ресурс (разрешение) Добавить заметку.

    Подробнее см. в разделе Создание роли администратора.

    Настройка Описание
    Блокировка устройства Требует заметку при любой попытке заблокировать устройство на странице Список устройств или Сведения об устройстве.
    Блокировка Единого входа Требовать ввод примечания при любой попытке заблокировать сеанс единого входа из раздела Список устройств или Сведения об устройстве.
    Очистка устройства Требует заметку при любой попытке выполнить очистку устройства на странице Список устройств или Сведения об устройстве.
    Корпоративный сброс Требует заметку при любой попытке сбросить корпоративные данные на странице Сведения об устройстве, устройств повышенной прочности Windows или Android.
    Очистка корпоративных данных Требуется заметка для любой попытки выполнить очистку корпоративных данных на странице Сведения об устройстве.
    Переопределение уровня журнала заданий Требовать ввод примечания при любой попытке переопределить уровень журнала заданий по умолчанию из раздела Группы и настройки > Администрирование > Диагностика > Ведение журнала.
    Перезагрузить устройство Требовать ввод примечания при любой попытке перезагрузить устройство из раздела Устройства > Представление списка > Сведения об устройстве.
    Завершение работы Требовать ввод примечания при любой попытке выключить устройство из раздела Устройства > Представление списка > Сведения об устройстве.