Можно зарегистрировать существующих пользователей и группы служб каталогов, например Active Directory (AD), Lotus Domino и Novell e-Directory. Если такая инфраструктура отсутствует или вы не выполняете интеграцию с ней, необходимо выполнить базовую регистрацию в Workspace ONE UEM.

Базовая регистрация — это процесс создания вручную аккаунтов и групп для каждого пользователя в организации. Так создаются аккаунты пользователей, если в организации отсутствует интеграция Workspace ONE UEM со службой каталогов.

Если требуется создать небольшое количество базовых аккаунтов, их можно создать поочередно, следуя инструкциям в разделе Создание базовых аккаунтов пользователей.

При базовой регистрации, включающей большое количество пользователей, можно сэкономить время, заполнив и загрузив файлы шаблонов в формате CSV (список значений, разделенных запятыми). Эти файлы содержат всю добавляемую вами информацию пользователя и отправляются в UEM с помощью функции пакетного импорта. Подробнее см. в разделе Пакетный импорт пользователей или устройств.

Примечание: Несмотря на то, что в Workspace ONE UEM поддерживается сочетание базовых пользователей и пользователей служб каталогов, для первоначальной регистрации пользователей и устройств обычно используется один тип пользователей.

Преимущества и недостатки

Преимущества Недостатки

Базовая регистрация

  • Работает с любым способом развертывания.
  • Не требует технической интеграции.
  • Не требует корпоративной инфраструктуры.
  • Можно регистрировать в нескольких организационных группах.
  • Учетные данные присутствуют только в Workspace ONE UEM и не всегда совпадают с существующими корпоративными учетными данными.
  • Не предоставляет федеративную безопасность.
  • Единый вход не поддерживается.
  • Workspace ONE UEM хранит все имена пользователей и пароли.
  • Не может использоваться для прямой регистрации Workspace ONE.

Регистрация на основе службы каталогов

  • Пользователи выполняют аутентификацию, используя существующие корпоративные учетные данные.
  • Автоматически обнаруживает и синхронизирует изменения системы каталогов с Workspace ONE UEM. Например, при отключении пользователей в AD соответствующая учетная запись пользователя в Workspace ONE UEM Console будет помечена как неактивная.
  • Безопасный способ интеграции с существующей службой каталогов.
  • Стандартная интеграция.
  • Может использоваться для прямой регистрации Workspace ONE.
  • Для развертываний SaaS с использованием AirWatch Cloud Connector не требуется изменять настройки брандмауэра. Этот вариант позволяет создать защищенную конфигурацию для других инфраструктур, таких как Microsoft ADCS, SCEP и серверы SMTP.
  • Необходима существующая инфраструктура службы каталогов.
  • Для развертываний SaaS требуется дополнительная конфигурация, поскольку AirWatch Cloud Connector устанавливается за брандмауэром или в DMZ.

Критерии регистрации. Базовые пользователи и пользователи каталогов

При выборе регистрации, наряду с существующими преимуществами и недостатками базовых пользователей и пользователей каталога, существуют другие вопросы, которые необходимо учитывать.

Критерий 1. Кто может зарегистрироваться?

Отвечая на вопрос, учтите следующие факторы.

  • MDM развертывается, чтобы управлять всеми устройствами пользователей организации в рамках настроенного базового DN*? Если да, то самый легкий путь такой компоновки — разрешить регистрацию всем пользователям (снять флажки ограничений).

    Можно разрешить всем пользователям регистрироваться во время первоначального развертывания, а затем запретить регистрацию, чтобы не допустить неизвестных пользователей. По мере добавления новых сотрудников или участников в существующие группы пользователей эти изменения будут синхронизироваться и объединяться.

  • Есть ли определенные пользователи или группы, на которых не распространяется MDM? Если да, то необходимо ли добавлять пользователей поочередно или воспользоваться пакетным импортом с помощью CSV-файла (файла с разделителями-запятыми), который содержит разрешенных пользователей.

* Базовое DN или различающееся имя — точка, из которой сервер выполняет поиск пользователей. Различающееся имя — уникальное имя, которое идентифицирует запись в каталоге. Различающееся имя имеет каждая запись в каталоге.

Критерий 2. Куда назначаются пользователи?

Еще один фактор, который следует учесть при интеграции среды Workspace ONE UEM со службами каталогов, — способ назначения пользователей каталогов в организационные группы при регистрации устройства. Отвечая на вопрос, учтите следующие факторы.

  • Создали ли вы структуру организационных групп в соответствии с группам в службе каталогов? Необходимо выполнить это, прежде чем изменять группы назначения пользователей.
  • Если пользователи регистрируют собственные устройства, можно выбрать ID группы из списка. Несмотря на простоту процесса, человеческий фактор может привести к неправильному назначению групп.

Можно автоматически выбирать ID группы на основании характеристик группы пользователей либо разрешить пользователям выбрать ID группы из списка. Чтобы получить доступ к группе параметров Режим назначения ID группы, откройте раздел Устройства > Настройки устройства > Устройства и пользователи > Общее > Регистрация и выберите вкладку Группирование.

Включение регистрации с помощью служб каталогов

Регистрация на основе службы каталогов — это интеграция Workspace ONE UEM и инфраструктуры службы каталогов вашей организации. При этом можно автоматически импортировать пользователей и (необязательно) их групп, например групп безопасности и списков рассылки.

Благодаря интеграции со службами каталогов, например с Active Directory (AD), вы можете использовать несколько вариантов импорта пользователей.

  • Разрешить регистрацию всем пользователям каталогов: можно разрешить регистрироваться всем пользователям своей службы каталогов. Кроме того, можно настроить среду на автоматическое обнаружение пользователей по их электронным адресам Затем создайте для них аккаунты пользователей Workspace ONE UEM во время регистрации.
  • Добавлять пользователей по одному — после интеграции со службой каталогов можно добавлять пользователей по одному, так же, как при создании базовых аккаунтов пользователей Workspace ONE UEM. Единственное отличие заключается в том, что вам необходимо вводить имена пользователей и нажимать Проверить пользователя, чтобы автоматически заполнять оставшуюся информацию из службы каталогов.
  • Пакетная отправка с помощью CSV-файла: в этом случае вы можете импортировать список аккаунтов служб каталогов из шаблона CSV-файла (файла с разделителями-запятыми). Некоторые столбцы этого файла обязательны к заполнению.
  • Интегрировать с группами пользователей (необязательно): этот способ позволяет использовать своих существующих участников групп пользователей, чтобы назначать профили, приложения, политики соответствия и т. п.
Примечание: Подробную информацию об интеграции среды Workspace ONE UEM со службой каталогов, в том числе об интеграции поставщика SAML, можно найти в Руководстве по интеграции службы каталогов.

Ограничения регистрации и интеграции службы каталогов

Если в консоли Workspace ONE UEM включена интеграция службы каталогов, учетные записи службы наследуют параметры регистрации организационной группы, из которой производится настройка. При этом базовые учетные записи подчиняются локальным настройкам, включая переопределения.

На схеме показана простая модель родительской и дочерней организационной группы.

Принимая в качестве примера модель организационной группы, предположим, что параметр Выполнять очистку корпоративных данных на устройствах пользователей, не состоящих в настроенных группах, включен в ОГ с именем Customer.

В данном сценарии пользователи регистрации каталога в дочерней ОГ с именем Sales01, исключенные из настроенной группы, видят, что их устройства очищены, несмотря на то, что для данной ОГ настроено переопределение ограничения регистрации. Это справедливо, даже если эти учетные записи содержат устройства, зарегистрированные в разных организационных группах, поскольку настройки регистрации ориентированы на пользователя, а не на устройство.

Однако в том же сценарии устройства, принадлежащие пользователям базовой регистрации организационной группы Sales01, которые покинули настроенную группу, не будут удалены. Это связано с тем, что пользователи регистрации в организационной группе Sales01 не входят в организационную группу с интеграцией службы каталогов, и, следовательно, на них распространяется переопределение ограничения регистрации.