Можно установить дополнительные ограничения регистрации, чтобы контролировать, какие пользователи могут регистрироваться в Workspace ONE UEM и какие типы устройств разрешены.

Дополнительные ограничения регистрации применяются ко всем развертываниям, вне зависимости от интеграции со службами каталогов, поддержки BYOD, записи устройства и других настроек.

Кроме того, можно задать максимальное число зарегистрированных устройств на организационную группу. После того, как ограничения регистрации настроены, можно даже сохранить их в качестве политик.

Критерий 1. Планируете ли вы ограничивать использование отдельных платформ, версий ОС или максимального числа разрешенных устройств?

  • Собираетесь ли вы поддерживать только устройства со встроенной функцией корпоративного управления (например, Samsung SAFE/Knox, HTC Sense, LG Enterprise или Motorola)? Если да, можно указать в ограничениях регистрации, чтобы устройства Android имели поддерживаемую корпоративную версию.
  • Хотите ли вы ограничить число устройств, которые может зарегистрировать пользователь? Если да, можно задать это число с учетом корпоративных и личных устройств.
  • Есть ли платформы, которые не поддерживают ваше развертывание? Если да, можно создать список заблокированных платформ, устройства с которыми не удастся зарегистрировать.

Ваша организация должна оценить число и виды устройств, которыми владеют сотрудники. Кроме того, организация должна определить, какие из этих устройств необходимо использовать в рабочей среде. Затем можно сохранить эти ограничения регистрации в качестве политик.

Критерий 2. Будет ли регистрация ограничиваться списком корпоративных устройств?

Дополнительные возможности записи позволяют управлять устройствами, которые можно зарегистрировать. Чрезвычайно полезно для адаптации развертываний BYOD запретить регистрацию устройств из запрещенного списка или ограничиться только регистрацией устройств из разрешенного списка. Можно добавлять устройства в разрешенный список по типу, платформе, идентификаторам устройств и серийным номерам. Подробнее см. в разделе Регистрация устройств запрещенного и разрешенного списков.

Критерий 3. Будет ли ограничиваться число зарегистрированных устройств на организационную группу?

Можно ограничить число устройств, зарегистрированных для одной организационной группы (ОГ). Это ограничение поможет управлять развертыванием, предотвращая превышение числа допустимых регистраций. Для получения дополнительной информации см. раздел Ограничение числа зарегистрированных устройств на организационную группу на этой странице.

Конфигурация настроек ограничения регистрации

При интеграции Workspace ONE UEM со службами каталогов можно определить, какие пользователи могут регистрировать устройства в рамках корпоративного развертывания.

Можно ограничить регистрацию только известным пользователям или настроенным группам. Известные пользователи — это пользователи, которые уже существуют в консоли UEM. Настроенные группы — это пользователи, связанные с группами служб каталогов, если выполнена интеграция с группами пользователей. Также можно ограничить число устройств, регистрируемых в организационной группе, и сохранить ограничения как политику для повторного использования.

Чтобы получить доступ к этим настройкам, перейдите в раздел Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация и выберите вкладку Ограничения. Вкладка «Ограничения» позволяет настроить политики ограничения регистрации согласно ролям организационной группы и группы пользователей.

  • Создавать новые политики ограничения регистрации и назначать существующие, используя настройки политик.
  • Назначать политики группам пользователей в разделе «Настройки назначения группы».
  • Вносить устройства в запрещенный или разрешенный списки согласно платформе, операционной системе, UDID, IMEI и т. д.
Настройка Описание
Управление доступом пользователей

Прямая регистрация Workspace ONE поддерживает все возможности управления доступом пользователей.

Ограничить регистрацию известными пользователями: включите, чтобы разрешить регистрацию только тех пользователей, которые уже есть в UEM Console. Это ограничение применяется к пользователям каталогов, которые были добавлены в UEM Console вручную или через пакетный импорт. Можно также использовать эту настройку, чтобы блокировать регистрацию после первоначального развертывания, в котором всем разрешено регистрироваться. Этот параметр позволяет выбирать, кто может регистрироваться.

Если этот параметр выключен, регистрация в Workspace ONE UEM разрешена всем пользователям каталога, в том числе не имеющим учетных записей в UEM Console. Учетные записи пользователей будут создаваться автоматически в процессе регистрации.

Ограничить регистрацию для настроенных групп: позволяет ограничить регистрацию, разрешив ее только пользователям, которые принадлежат ко всем группам или к выбранным группам (если вы выполнили интеграцию с группами пользователей). Не выбирайте этот параметр, если не выполнена интеграция с группами пользователей служб каталогов.
Примечание: Ограничение регистрации только настроенным группам поддерживается только при регистрации пользователей по модели «Just-In-Time» (JIT) при соблюдении следующих условий.
  • Решение Workspace ONE UEM настроено в качестве источника проверки подлинности для Workspace ONE Intelligent Hub и его можно настроить, перейдя в раздел Группы и настройки > Все настройки > Устройства и пользователи > Общие > Регистрация и выбрав вкладку Проверка подлинности.
  • Использование SAML для проверки подлинности отключено для пользователей регистрации. Настройте этот параметр, перейдя в раздел Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов, и обратитесь к документу Настройки системы службы каталогов.

Учетные записи пользователей Workspace ONE UEM могут создаваться во время регистрации, если отключить этот параметр и таким образом разрешить регистрацию всем пользователям каталогов. Выберите параметр Выполнять очистку корпоративных данных на устройствах пользователей, удаленных из настроенных групп, чтобы выполнялась автоматическая очистка корпоративных устройств. Если выбран параметр Все группы, то устройства, не принадлежащие ни к одной группе пользователей, удаляются из системы. Если выбран параметр Избранные группы, то устройства, не принадлежащие к определенной группе пользователей, удаляются из системы.

Один из способов интеграции с группами пользователей заключается в создании группы служб каталогов «Утверждено MDM» и импорте ее в Workspace ONE UEM. После выполнения импорта можно добавить существующие группы пользователей службы каталогов в группу «MDM Approved», поскольку теперь они удовлетворяют требованиям Workspace ONE UEM.

Установить предел для максимального числа зарегистрированных устройств в этой организационной группе и ниже

Необходимо включить параметр и задать предел количества устройств, чтобы ограничить число устройств, которым разрешена регистрация в существующей организационной группе.

Прямая регистрация Workspace ONE поддерживает этот параметр.

Примечание: Ограничения не применяются для устройств iOS, зарегистрированных через программу регистрации устройств (DEP) Apple, поскольку необходимые сведения об устройстве можно получить только после регистрации устройства.

Ограничение числа зарегистрированных устройств на организационную группу

Можно ограничить число устройств, зарегистрированных для одной организационной группы (ОГ). Это ограничение поможет управлять развертыванием, предотвращая превышение числа допустимых регистраций в среде лицензирования каждого устройства.

Ограничение числа устройств можно задать для организационной группы любого типа (глобального, клиентского, партнерского). Ограничения, заданные для одной ОГ, нельзя переназначить в рамках той же ветви группы. Другое ограничение числа зарегистрированных устройств можно задать только в отдельной ветви ОГ.

На схеме показано иерархическое дерево организационной группы с успешным ограничением зарегистрированных устройств, когда ограничение применялось к отдельным ветвям.На схеме показано иерархическое дерево организационной группы с ошибкой ограничения зарегистрированных устройств, когда ограничение применялось к одной и той же ветви.

Если этот параметр недоступен, проверьте родительскую ОГ (выше текущей) или дочернюю ОГ (ниже текущей). Вероятнее всего, ограничение уже определено на уровне выше или ниже уровня текущей ОГ.

  1. Откройте раздел Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация, затем откройте вкладку Ограничения.
  2. Активируйте лимит в разделе Установить максимальное количество зарегистрированных устройств в этой организационной группе или в группе уровнем ниже.

Создание политики ограничения регистрации

Ваша организация должна оценить число и виды устройств, которыми владеют сотрудники. Кроме того, организация должна определить, какие из этих устройств необходимо использовать в рабочей среде. Затем можно сохранить эти ограничения регистрации в качестве политик.

  1. Перейдите в раздел Устройства > Настройки устройств > Устройства и пользователи > Общие > Регистрация.
  2. Откройте вкладку Ограничения и в разделе Настройки политик нажмите Добавить политику.
  3. На экране Добавить или изменить политику ограничения регистрации добавьте политику.
    Настройка Описание
    Название политики ограничения регистрации Позволяет задать имя политики ограничения регистрации.
    Организационная группа Позволяет выбрать в раскрывающемся меню организационную группу, к которой будет применена новая политика ограничения регистрации.
    Тип политики Позволяет выбрать тип политики ограничения регистрации: Организационная группа по умолчанию (применяется к выбранной организационной группе) или Политика группы пользователей (применяется к определенным группам пользователей с помощью настроек назначения группы на вкладке Ограничения).
    Разрешенные типы принадлежности

    Позволяет разрешить или запретить следующие типы принадлежности устройства: Корпоративное- личное, Корпоративное-общее и Личное.

    Прямая регистрация Workspace ONE поддерживает только типы принадлежности «Корпоративное» и «Личное».

    Разрешенные типы регистрации Этот параметр позволяет установить, можно или нельзя регистрировать устройства с помощью MDM (Workspace ONE Intelligent Hub) и приложений AirWatch Container (для iOS/Android).
    Предел количества устройств на пользователя

    Если выбрать Не ограничено, пользователи смогут регистрировать любое количество устройств. Прямая регистрация Workspace ONE поддерживает настройку максимального количества устройств на одного пользователя.

    Чтобы задать максимальное количество устройств для каждого типа принадлежности, снимите этот флажок и введите соответствующие значения в разделе Предел количества устройств на пользователя.

    • Максимум устройств на пользователя
    • Максимум корпоративно-общих устройств
    • Максимум общих устройств
    • Максимум личных устройств
    Разрешенные типы устройств

    Чтобы добавить дополнительные ограничения для определенных устройств, установите флажок Ограничить регистрацию отдельным платформам, моделям или ОС.

    Этот параметр поддерживается прямой регистрацией Workspace ONE.

    Режим ограничения на уровне устройства

    Это поле доступно, только если в поле Разрешенные типы устройств выбрано Ограничить регистрацию отдельным платформам, моделям или ОС.

    Необходимо определить тип ограничений устройства.

    • Разрешить только указанные типы устройств (разрешенный список): явно разрешить устройства, соответствующие введенным параметрам, и блокировать все остальные.
    • Запретить указанные типы устройств (запрещенный список): явно блокировать устройства, соответствующие введенным параметрам, и разрешить все остальные.

    Для использования режима ограничения регистрации на уровне устройств выберите Добавить ограничение для устройства, после чего выберите значения в полях Платформа, Модель, Изготовитель (характерно для устройств Android) и Операционная система. Также можно добавить предел количества устройств на одно ограничение устройства. Можно добавить несколько ограничений для устройства.

    Также можно запретить определенные устройства на основе IMEI, серийного номера или UDID, открыв раздел Устройства > Жизненный цикл > Статус регистрациии нажав Добавить. Это эффективный способ заблокировать отдельное устройство и предотвратить его повторную регистрацию без ущерба для других устройств пользователей. Предотвратить повторную регистрацию также можно при выполнении очистки корпоративных данных.

    Этот параметр поддерживается прямой регистрацией Workspace ONE.

  4. Нажмите Сохранить, чтобы сохранить изменения и вернуться в экран Устройства и пользователи / Общее / Регистрация.