Вход в Console

Для выполнения любых действий в Workspace ONE UEM сначала необходимо войти в консоль.

Чтобы войти в Workspace ONE UEM Console понадобятся URL-адрес среды и учетные данные входа. Способ получения этой информации зависит от типа развертывания.

  • Развертывание по концепции «программное обеспечение как услуга»: аккаунт-менеджер предоставляет URL-адрес среды, имя пользователя и пароль. URL-адрес не кастомизуется и обычно предоставляется в формате awmdm.com.
  • Локальное развертывание: локальный URL-адрес настраивается в формате awmdm.<ВашаКомпания>.com.

Аккаунт-менеджер предоставляет учетные данные начальной настройки для среды. Администраторы, создающие дополнительные аккаунты для передачи функций управления, также могут создавать и распределять учетные данные для своей среды.

После того, как в браузере успешно загрузится URL-адрес среды консоли, введите имя пользователя и пароль, предоставленные администратором Workspace ONE UEM.

Экран входа VMware Workspace ONE

  1. Введите Имя пользователя.
    • Workspace ONE UEM Console сохраняет имя пользователя и тип пользователя (SAML или не SAML) в кэше браузера.
      • В случае с пользователем SAML для администратора отображается страница входа SAML.
      • В случае другими пользователями у администратора запрашивается пароль.
    • Если установлен флажок Запомнить, то при следующем переходе по URL-адресу среды в текстовое поле Имя пользователя подставляется имя последнего пользователя, выполнявшего вход в систему.
  2. Введите пароль.
    • При первом входе в систему предлагается ввести пароль. Введите его, чтобы продолжить.
    • Если вы уже выполняли вход в систему и в браузере по умолчанию включено сохранение имен пользователей и паролей, в текстовое поле Пароль автоматически подставляется пароль, сохраненный в кэше браузера.
  3. Нажмите кнопку Вход.
    • После входа в систему отображается главный экран по умолчанию (его можно настроить). Узнайте, как настроить домашний экран, открыв раздел Меню выбора данных в консоли администрирования.

Истечение срока действия пароля

Администраторы базового уровня получают уведомление по электронной почте за 5 дней до истечения срока действия пароля и еще один раз — за один день. Локальные администраторы могут изменить этот 5-дневный период по умолчанию, перейдя в раздел Группы и настройки > Все настройки Администратор > Безопасность Console > Пароли из глобальной организационной группы. Выделенные администраторы SaaS должны обратиться в службу поддержки, чтобы внести изменения в этот параметр.

Можно настроить свое уведомление об истечении срока действия пароля для администраторов. Для этого перейдите в раздел Группы и настройки > Все настройки > Устройства и пользователи > Общие > Шаблон сообщения и выберите для параметра Категория значение «Администратор», а для параметра Тип — значение «Уведомление администратора об истечении срока действия пароля».

Информацию о настройках регистрационных паролей пользователей, которые управляются отдельно от паролей консоли администрирования, см. на странице системных настроек, перейдя в раздел Группы и настройки > Все настройки > Устройства и пользователи > Общие > Пароли.

Время ожидания сеанса и выход из системы

Workspace ONE UEM Console выполняет выход в двух основных сценариях.

  1. Явный выход из системы (включая закрытие браузера).
    • Если в браузере по умолчанию включено сохранение имени пользователя и пароля, то при следующем входе в систему в текстовое поле «Имя пользователя» автоматически подставляется имя последнего пользователя, выполнявшего вход в систему.
    • Если настройки браузера запрещают сохранять имена пользователей и пароли, имя пользователя и тип пользователя (SAML или не SAML) удаляются из кэша браузера.
  2. Время ожидания сеанса из-за неактивности сеанса в течение периода времени, превышающего количество минут, указанное в параметре Принудительное время ожидания сеанса или Время бездействия при ожидании сеанса. Оба параметра доступны в меню Управление сеансом (это количество времени включает в себя проблемы подсистемы балансировки нагрузки).
    • Пользователи, не относящиеся к типу SAML, могут повторно войти в систему с сохраненным именем, нажав кнопку Вход.
    • Пользователи SAML могут повторно войти в console, не выполняя никаких дополнительных действий.

Расширенное устранение неполадок часто предполагает открытие нескольких сеансов под одной учетной записью администратора, открытие нескольких вкладок в одном браузере или вход на разных устройствах. Этот сценарий подразумевает включение параметра Разрешить несколько сеансов в меню Управление сеансом. Для обеспечения работы такого способа устранения неполадок при поддержании минимального уровня безопасности действуют следующие правила.

  • Все активные сеансы администратора, будь то на нескольких вкладках браузера или на нескольких устройствах, действуют до тех пор, пока минимум в одном из этих сеансов производятся активные действия.
  • Все сеансы могут оставаться активными, однако при превышении интервала времени, заданного в параметре Время бездействия при ожидании сеанса в настройках Управления сеансом для всех сеансов администратора, все сеансы, связанные с этой учетной записью администратора, будут прекращены.

При использовании способов расширенного устранения неполадок, для которых требуется несколько активных сеансов, рассмотрите возможность настройки параметров Ограниченные действия.

Блокировка входа

Системные администраторы и администраторы AirWatch могут настроить Максимальное количество неудачных попыток входа, прежде чем администратор будет заблокирован в консоли, перейдя в раздел Группы и настройки > Все настройки > Администратор > Безопасность Console > Пароли.

Блокировка в консоли UEM выполняется в двух случаях: 1) если число неудачных попыток входа больше, чем максимальное количество неудачных попыток входа, и 2) если вы три раза неправильно ответили на вопрос для восстановления пароля при попытке сбросить пароль.

Когда это происходит, необходимо либо сбросить пароль, используя ссылку на странице входа для устранения неполадок, либо воспользоваться помощью администратора для разблокировки учетной записи в списке администраторов. Вы получите уведомление по электронной почте после блокировки учетной записи и еще одно уведомление, когда учетная запись будет разблокирована.

Исследование событий консоли, связанных с блокировкой учетных записей

При блокировке и разблокировке учетных записей базовых администраторов в Workspace ONE UEM создается событие консоли. Оба события создаются с уровнем ведения журнала 5 (предупреждение). Наряду с просмотром основной истории входов из раздела Настройки учетных записей, вы можете исследовать события консоли, связанные с блокировкой и разблокировкой учетных записей администраторов, выполнив следующие шаги.

  1. Перейдите в раздел Монитор > Отчеты и аналитика > События > События консоли.

    На этом снимке экрана показан экран «События консоли» в главном меню «Монитор».

  2. Выберите «Предупреждение и выше» в раскрывающемся фильтре Важность над списком События консоли.

  3. Выберите «Вход» в раскрывающемся фильтре Категория.
  4. Выберите «Администрирование» в раскрывающемся фильтре Модуль.
  5. При необходимости примените дополнительные фильтры, включая Диапазон дат.

Управление настройками аккаунта

Управление настройками аккаунта VMware Workspace ONE UEM из раскрывающегося меню аккаунта.

Администраторы Workspace ONE UEM могут управлять настройками учетной записи консоли, позволяющими изменять контактные данные пользователя, параметры уведомлений, журнал входов и настройки безопасности, включая восстановление пароля.

Управление настройками аккаунта: Пользователь

Чтобы с вами можно было связаться, введите личную информацию на вкладке Пользователь, включая адрес эл. почты, телефонные номера (макс. 4), часовой пояс и языковой стандарт.

Управление настройками аккаунта: Уведомления

Настройки уведомлений на странице настроек учетной записи используются для включения или деактивации оповещений об окончании срока действия APNs, выбора способа получения оповещений и изменения электронного адреса, на который они отправляются. Дополнительные сведения см. в разделе Конфигурация настроек уведомлений в разделе Уведомления консоли.

Управление настройками аккаунта: Входы

Просматривайте журнал входов в систему, включая даты и время, исходный IP-адрес, тип входа, исходные приложения, сведения о браузере, платформу, ОС и статус сеанса, успешные и неудачные попытки входа в систему.

Управление настройками аккаунта: Безопасность

Здесь можно сбросить пароль, вопросы для восстановления пароля и четырехзначный PIN-код безопасности.

Управление настройками аккаунта: Пароль

При входе в консоль UEM помимо имени пользователя учетной записи необходимо указать пароль.

Пароль можно сбросить в любое время. При сбросе пароля Workspace ONE UEM сеанс, в рамках которого был выполнен сброс пароля, продолжает работу, но автоматически выполняется выход изо всех других активных сеансов. При сбросе пароля другого администратора для администратора, для которого был выполнен сброс пароля, выполняется выход изо всех активных сеансов для предотвращения несанкционированного доступа к системе. Эта функция применима только к базовым учетным записям администраторов. Для проверки подлинности сторонних поставщиков, например, учетных данных AD или IDP, эта функция в настоящее время не поддерживается. Дополнительные сведения о минимальных и максимальных требованиях к паролю см. в разделе Настройки пароля.

Управление настройками аккаунта: Вопросы для восстановления пароля

Вопросы для восстановления пароля используются для сброса пароля. Пользователь устанавливает вопрос для восстановления пароля и ответ на него при первом входе в консоль UEM. Чтобы выбрать новый вопрос для восстановления пароля, нажмите кнопку Сбросить. Это действие автоматически завершает сеанс пользователя. При повторном входе в консоль отображается экран Настройки безопасности, где пользователь должен выбрать вопрос для восстановления пароля и ответ на него.

Если администратор не выбрал вопрос для восстановления пароля и кнопка Сбросить для вопросов восстановления пароля не отображается, необходимо удалить учетную запись администратора и создать ее заново. При входе в заново созданную учетную запись администратор должен установить вопрос и ответ для восстановления пароля.

Если на вопрос для восстановления пароля будет дано больше трех неверных ответов, вход будет заблокирован. В таком случае необходимо сбросить пароль, используя ссылку для устранения неполадок на странице входа. Кроме того, можно обратиться к администратору, чтобы он разблокировал учетную запись на странице списка администраторов. Вы получите уведомление по электронной почте после блокировки учетной записи и еще одно уведомление, когда учетная запись будет разблокирована.

Управление настройками аккаунта: PIN-код безопасности

Безопасность консоли UEM обеспечивается путем создания PIN-кода безопасности. PIN-код безопасности гарантирует защиту от случайной очистки устройства или удаления важных аспектов среды, включая пользователей и организационные группы. Также PIN-код служит вторым уровнем безопасности. Это дополнительный этап аутентификации, который блокирует действия неутвержденных пользователей.

При первом входе в UEM Console требуется установить PIN-код безопасности.

Чтобы минимизировать риски безопасности, следует сбрасывать PIN-код безопасности как можно чаще.

Использование файлов cookie (только для просмотра администраторами VMware Cloud Services)

На этом снимке части экрана показано раскрывающееся меню учетной записи с именем пользователя после входа в учетную запись VMware Cloud Services и отображения выбора «Использование файлов cookie», позволяющее настроить их.

Вы можете участвовать в процессе улучшения наших служб, а также поддержки, рекомендаций и удобства использования, предоставив доступ к руководствам и аналитике на основе файлов Cookie браузера. Вы можете отказаться, выбрав параметры «Использование файлов cookie» и деактивировать переключатели для параметров Включить аналитику и Включить руководства по продуктам в информационной карточке Pendo.

Отслеживание аккаунтов администраторов UEM в Pendo (применимо только к администраторам VMware Cloud Services)

Администратор VMware Cloud Services может отслеживать в Workspace ONE UEM действия учетных записей администратора только в организационных группах клиентского типа. Такое отслеживание позволяет получить более широкое представление об использовании продуктов.

  • Отслеживание всех локальных администраторов UEM, а также администраторов CSP.
  • Включение или отключение отслеживания на уровне посетителей. Отслеживание включено по умолчанию.
  • Отслеживание данных на уровне организационной группы клиентского типа и на уровне посетителей.
  • Для ОГ выше клиентского типа отслеживание не выполняется.
  • Один посетитель может получить доступ к нескольким клиентским ОГ, все они отслеживаются.

Ограничение действий в UEM Console

В ситуации, когда консоль для Workspace ONE UEM Console не заблокирована и работает в автоматическом режиме, реализуется дополнительная мера защиты от вредоносных действий, которые могут оказаться разрушительными. В таком случае можно убрать эти действия из доступа неавторизованных пользователей.

  1. Эта функция доступна в разделе Группы и настройки > Все настройки > Система > Безопасность > Ограниченные действия.

    На этом снимке экрана показана системная настройка «Ограниченные действия».

  2. Настройте параметр Отправить сообщение всем. Включите эту настройку, чтобы системный администратор мог отправлять сообщения на все устройства в вашей среде со страницы просмотра Список устройств. Она также может использоваться для отправки сообщений определенной группе.

  3. Может потребоваться, чтобы при выполнении определенных действий в UEM console администраторы вводили PIN-код. Настройте Действия, защищенные паролем, включив или отключив следующие действия.

    Примечание. Некоторые действия, отмеченные далее символом «*», всегда требуют ввода PIN-кода и, как следствие, не могут быть деактивированы.

    Настройка Описание
    Удалить аккаунт администратора Позволяет предотвратить удаление аккаунта администратора в разделе Аккаунты > Администраторы > Список.
    *Повторное создание сертификата VMware Enterprise Systems Connector Позволяет предотвратить повторное создание сертификата VMware Enterprise Systems Connector в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий > VMware Enterprise Systems Connector.
    *Изменение сертификата APNs Позволяет предотвратить отключение APNs для MDM в разделе Группы и настройки > Все настройки > Устройства и пользователи > Apple > APNs для MDM.
    Удалить, деактивировать или снять с учета приложения Позволяет предотвратить удаление, отключение или снятие с учета приложения в разделе Книги и приложения > Приложения > Список.
    Удалить или деактивировать контент Позволяет предотвратить удаление или отключения файла контента в разделе Контент > Список.
    *Переключатель шифрования данных Позволяет предотвратить настройку шифрования данных пользователя в разделе Группы и настройки > Все настройки > Система > Безопасность > Безопасность данных.
    Удалить устройство Позволяет предотвратить удаление устройства в разделе Устройства > Список. Администратор должен обязательно вводить PIN-код безопасности для пакетных действий, даже если эта настройка деактивирована.
    *Очистка устройства Позволяет предотвратить любую попытку очистить устройство на страницах «Список устройств» или «Сведения об устройстве».
    Корпоративный сброс Позволяет предотвратить любую попытку выполнить корпоративный сброс на странице Сведения об устройствах в защищенных устройствах Windows и Android, а также устройствах QNX.
    Очистка корпоративных данных Позволяет предотвратить любую попытку очистить корпоративные данные в устройстве на странице Сведения об устройствах.
    Очистка корпоративных данных (в зависимости от членства в группе пользователей) Позволяет предотвратить любую попытку очистить корпоративные данные в устройстве, когда оно удаляется из группы пользователей. Это необязательная настройка, которую можно задать в разделе Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация на вкладке Ограничения. Если на этой вкладке установить флажок Ограничить регистрацию только настроенным группам, можно получить дополнительную возможность очищать корпоративные данные при удалении устройств из группы.
    * Удалить организационную группу Позволяет предотвратить любую попытку удалить текущую организационную группу в разделе Группы и настройки > Группы > Организационные группы > Подробности организационных групп.
    Удалить или деактивировать профиль Позволяет предотвратить удаление или деактивацию профиля в разделе Устройства > Профили и ресурсы > Профили.
    Удалить предоставление продукта Позволяет предотвратить удаление или отключение предоставления продукта в разделе Устройства > Предоставление > Список продуктов.
    Отозвать сертификат Позволяет предотвратить любую попытку отозвать сертификат в разделе Устройства > Сертификаты > Список.
    * Удалить сертификат безопасного канала Позволяет предотвратить удаление существующего сертификата безопасного канала в разделе Группы и настройки > Все настройки > Система > Дополнительно > Сертификат безопасного канала.
    Удалить аккаунт пользователя Позволяет предотвратить любую попытку удалить аккаунт пользователя в разделе Аккаунты > Пользователи > Список.
    Изменить в настройках конфиденциальности Позволяет предотвратить любую попытку изменения параметров конфиденциальности в разделе Группы и настройки > > Все настройки > Устройства и пользователи > Общие > Конфиденциальность.
    Удалить план мобильной связи Позволяет предотвратить удаление плана мобильной связи в разделе Мобильная связь > Список планов.
    Переопределение уровня журнала заданий Позволяет предотвратить попытки переопределения текущего уровня журнала заданий в разделе Группы и настройки > Администратор > Диагностика > Ведение журнала. Переопределение уровня журнала заданий полезно, когда в устройстве или группе устройств есть проблема. Администратор может переопределить настройки этих устройств, повысив уровень журнала до «Подробно», который является максимальным уровнем ведения журнала действий в консоли и идеально подходит для устранения неисправностей.
    * Сброс или переключение поставщика сканирования приложений Позволяет предотвратить сброс (и последующее удаление) настроек интеграции сканирования приложений. Это действие выполняется в разделе Группы и настройки > Все настройки > Приложения > Сканирование приложений.
    Завершение работы Позволяет предотвратить любую попытку завершения работы устройства в разделе Устройства > Список > Сведения об устройстве.
    Максимум неверных попыток ввода PIN-кода Позволяет задать максимальное число неверных попыток ввести PIN-код, после которого консоль будет заблокирована. Допустимое значение: от 1 до 5.

Выбор действий, защищенных паролем

Ограниченные действия в консоли обеспечивают дополнительный уровень защиты против действий злоумышленников, потенциально представляющих угрозу для Workspace ONE UEM Console.

  1. Чтобы настроить параметры ограниченных действий, откройте раздел Группы и настройки > Все настройки > Система > Безопасность > Ограниченные действия.

    На этом снимке экрана показана системная настройка «Ограниченные действия».

  2. Чтобы настроить защиту действия путем обязательного ввода PIN-кода администраторами, для этого действия нажмите кнопку Действие, защищенное паролем, чтобы включить или деактивировать защиту.

    Это позволяет точно настраивать параметры безопасности для нужных действий.

    Примечание. Некоторые действия всегда требуют ввода PIN-кода и, как следствие, не могут быть деактивированы. (Далее помечены символом *).

  3. Установите максимально разрешенное количество неудачных попыток, при достижении которого система автоматически завершит сеанс. При достижении заданного числа попыток придется снова войти в консоль Workspace ONE UEM Console и установить новый PIN-код безопасности.

    Настройка Описание
    Удалить аккаунт администратора Позволяет предотвратить удаление аккаунта администратора в разделе Аккаунты > Администраторы > Список.
    Повторное создание сертификата VMware Enterprise Systems Connector Позволяет предотвратить повторное создание сертификата VMware Enterprise Systems Connector в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий > VMware Enterprise Systems Connector.
    *Изменение сертификата APNs Позволяет предотвратить отключение APNs для MDM в разделе Группы и настройки > Все настройки > Устройства и пользователи > Apple > APNs для MDM.
    Удалить, деактивировать или снять с учета приложения Позволяет предотвратить удаление, отключение или снятие с учета приложения в разделе Книги и приложения > Приложения > Список.
    Удалить или деактивировать контент Позволяет предотвратить удаление или отключения файла контента в разделе Контент > Список.
    *Переключение шифрования данных Позволяет предотвратить настройку шифрования данных пользователя в разделе Группы и настройки > Все настройки > Система > Безопасность > Безопасность данных.
    Удалить устройство Позволяет предотвратить удаление устройства в разделе Устройства > Список. Администратор должен обязательно вводить PIN-код безопасности для пакетных действий, даже если эта настройка деактивирована.
    *Очистка устройства Позволяет предотвратить любую попытку очистить устройство на страницах «Список устройств» или «Сведения об устройстве».
    Корпоративный сброс Позволяет предотвратить любую попытку выполнить корпоративный сброс на странице Сведения об устройствах в защищенных устройствах Windows и Android, а также устройствах QNX.
    &gt;Очистка корпоративных данных Позволяет предотвратить любую попытку очистить корпоративные данные в устройстве на странице Сведения об устройствах.
    Очистка корпоративных данных (в зависимости от членства в группе пользователей) Позволяет предотвратить любую попытку очистить корпоративные данные в устройстве, когда оно удаляется из группы пользователей. Это необязательная настройка, которую можно задать в разделе Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация на вкладке Ограничения. Если на этой вкладке установить флажок Ограничить регистрацию только настроенным группам, можно получить дополнительную возможность очищать корпоративные данные при удалении устройств из группы.
    *Удаление организационной группы Позволяет предотвратить любую попытку удалить текущую организационную группу в разделе Группы и настройки > Группы > Организационные группы > Подробности организационных групп.
    Удалить или деактивировать профиль Позволяет предотвратить удаление или деактивацию профиля в разделе Устройства > Профили и ресурсы > Профили.
    Удалить предоставление продукта Позволяет предотвратить удаление или отключение предоставления продукта в разделе Устройства > Предоставление > Список продуктов.
    Отозвать сертификат Позволяет предотвратить любую попытку отозвать сертификат в разделе Устройства > Сертификаты > Список.
    *Очистка сертификата безопасного канала Позволяет предотвратить удаление существующего сертификата безопасного канала в разделе Группы и настройки > Все настройки > Система > Дополнительно > Сертификат безопасного канала.
    Удалить аккаунт пользователя Позволяет предотвратить любую попытку удалить аккаунт пользователя в разделе Аккаунты > Пользователи > Список.
    Изменить в настройках конфиденциальности Позволяет предотвратить любую попытку изменения параметров конфиденциальности в разделе Группы и настройки > > Все настройки > Устройства и пользователи > Общие > Конфиденциальность.
    Удалить план мобильной связи Позволяет предотвратить удаление плана мобильной связи в разделе Мобильная связь > Список планов.
    Переопределение уровня журнала заданий Позволяет предотвратить попытки переопределения текущего уровня журнала заданий в разделе Группы и настройки > Администратор > Диагностика > Ведение журнала. Переопределение уровня журнала заданий полезно, когда в устройстве или группе устройств есть проблема. Администратор может переопределить настройки этих устройств, повысив уровень журнала до «Подробно», который является максимальным уровнем ведения журнала действий в консоли и идеально подходит для устранения неисправностей.
    *Сброс или переключение поставщика сканирования приложений Позволяет предотвратить сброс (и последующее удаление) настроек интеграции сканирования приложений. Это действие выполняется в разделе Группы и настройки > Все настройки > Приложения > Сканирование приложений.
    Завершение работы Позволяет предотвратить любую попытку завершения работы устройства в разделе Устройства > Список > Сведения об устройстве.
    Максимум неверных попыток ввода PIN-кода Позволяет задать максимальное число неверных попыток ввести PIN-код, после которого консоль будет заблокирована. Допустимое значение: от 1 до 5.

Настройка обязательных заметок для действий

Установите флажок Требовать заметки, если нужно, чтобы администраторы обязательно вводили заметки и объясняли причины при выполнении определенных действий Workspace ONE UEM Console.

  1. Эта функция доступна в разделе Группы и настройки > Все настройки > Система > Безопасность > Ограниченные действия.

    На этом снимке экрана показана системная настройка «Ограниченные действия».

  2. Если необходимо, чтобы администраторы перед выполнением любого из этих действий вводили заметку, убедитесь, что в роль добавлен ресурс (разрешение) Добавить заметку.

    Подробнее см. в разделе Создание роли администратора в документе Доступ на основе ролей.

    Настройка Описание
    Блокировать устройство Требует заметку при любой попытке заблокировать устройство на странице Список устройств или Сведения об устройстве.
    Блокировать единый вход Требовать ввод примечания при любой попытке заблокировать сеанс единого входа из раздела Список устройств или Сведения об устройстве.
    Очистка устройства Требует заметку при любой попытке выполнить очистку устройства на странице Список устройств или Сведения об устройстве.
    Корпоративный сброс Требует заметку при любой попытке сбросить корпоративные данные на странице Сведения об устройстве, устройств повышенной прочности Windows или Android.
    Очистка корпоративных данных Требуется заметка для любой попытки выполнить очистку корпоративных данных на странице Сведения об устройстве.
    Переопределение уровня журнала заданий Требует ввести примечание перед тем, как будет переопределен уровень журнала заданий по умолчанию в разделе Группы и настройки > Администратор > Диагностика > Ведение журнала.
    Перезагрузить устройство Требует ввести примечание перед перезагрузкой из раздела Устройства > Список > Сведения об устройствах.
    Завершение работы Требует ввести примечание перед завершением работы из раздела Устройства > Список > Сведения об устройствах.
check-circle-line exclamation-circle-line close-line
Scroll to top icon