Workspace ONE UEM поддерживает два способа регистрации корпоративных устройств. Вы можете разрешить пользователям регистрировать личные устройства или администраторам регистрировать устройства от имени пользователей с помощью их промежуточной настройки.

При этом администратор регистрирует устройства перед их назначением и передачей пользователям. Этот способ полезен для администраторов, которым необходимо настроить устройства для конечных пользователей в организации.

Промежуточную настройку можно выполнять для устройств Android, iOS и macOS.

Критерий 1. Тип принадлежности устройства

  • У ваших пользователей уже есть назначенные корпоративные устройства? В этом случае, возможно, будет удобнее разрешить пользователям регистрировать устройства самостоятельно, а не забирать каждое устройство и выполнять его промежуточную настройку.
  • Ваши пользователи используют устройства совместно или у каждого будет выделенное устройство? Если конечные пользователи не используют устройства совместно, можно разрешить им самостоятельно регистрировать устройства.

    Кроме того, промежуточная настройка хорошо подходит для новых устройств, которые еще не переданы пользователям. Если у пользователе уже есть корпоративные устройства, целесообразно разрешить им самостоятельную регистрацию. Подобное решение также оправдано, если устройств слишком много и администраторы не успевают выполнять их промежуточную настройку.

Критерий 2. Автоматическое обнаружение

Связываете ли вы домен электронной почты организации со своей средой Workspace ONE UEM? Этот процесс, называемый автоматическим обнаружением, подразумевает, что пользователю необходимо ввести только электронный адрес и учетные данные. URL-адрес регистрации и ID группы вводятся автоматически.

См. также Регистрация с использованием автообнаружения.

Критерий 3. Прямая регистрация в Workspace ONE

Промежуточная настройка через прямую регистрацию Workspace ONE не поддерживается. Если требуется выполнить промежуточную настройку устройства для одного или нескольких пользователей, необходимо зарегистрировать устройство с помощью Workspace ONE Intelligent Hub вместо прямой регистрации Workspace ONE.

Прямая регистрация Workspace ONE — это функция, которая соответствует концепции самостоятельной регистрации. При включении все подтвержденные устройства, которые входят в организационную группу, немедленно становятся зарегистрированными. И после того, как выполнена полная установка, пользователь может согласиться на установку приложений, выбранных по компании, либо отказаться от установки приложений.

Дополнительные сведения см. в разделе Прямая регистрация Workspace ONE.

Критерий 4. Участвуете ли вы в программе регистрации устройств Apple?

Чтобы сделать максимально удобным использование своих устройств, зарегистрированных в Mobile Device Management (MDM), компания Apple разработала программу регистрации устройств (DEP). С помощью программы DEP можно выполнять следующие действия.

  • Устанавливать на устройство постоянный профиль MDM: пользователи не смогут удалить его.
  • Подготавливать устройства в защищенном режиме (только для iOS). Для устройств в защищенном режиме доступны дополнительные настройки безопасности и конфигурации.
  • Сделать регистрацию обязательной для всех пользователей.
  • Настраивать и оптимизировать регистрацию в соответствии с требованиями организации.
  • Предотвращать резервное копирование iCloud путем запрета пользователям выполнять вход с помощью Apple ID во время создания профиля DEP.
  • Устанавливать обновления операционной системы для всех пользователей.

Критерий 5. Использование Apple Configurator

Apple Configurator позволяет ИТ-администраторам эффективно развертывать устройства Apple iOS и управлять ими. Это особенно полезно для торговых сетей, учебных заведений и медицинских учреждений, чтобы предварительно регистрировать устройства, с которыми будут работать несколько пользователей.

При использовании Configurator для регистрации предварительно записанных устройств, предназначенных для одного пользователя, в консоль AirWatch также добавляется серийный номер и IMEI записанного устройства. Основное преимущество Apple Configurator — это возможность использовать USB-концентратор или корзину устройств iOS для подготовки нескольких устройств за считанные минуты.

Критерий 6. Промежуточная настройка одного пользователя или регистрация?

Если промежуточная настройка устройства выполняется для одного пользователя, рекомендуется использовать регистрацию. Разница между промежуточной настройкой для одного пользователя и регистрацией небольшая, но важная.

Регистрация: регистрация устройства выполняется для отдельного именованного пользователя. Это означает, что первый вход в устройство должен выполнить именно тот пользователь, для которого оно зарегистрировано. Если другой пользователь попытается выполнить вход в зарегистрированное устройство, в целях безопасности устройство будет заблокировано и его нельзя будет зарегистрировать.

Промежуточная настройка для одного пользователя — промежуточную настройку устройства можно выполнить для любого пользователя, которому разрешено регистрироваться в Workspace ONE UEM. Теоретически устройство в промежуточной настройке можно назначить любому пользователю, прошедшему проверку, после чего он может выполнить вход в устройство и зарегистрироваться в Workspace ONE UEM.

Промежуточная настройка рабочего процесса позволяет подготовить устройство, а затем запустить Workspace ONE Intelligent Hub, где любой подтвержденный пользователь регистрации может выполнить вход. Затем Workspace ONE UEM выполнит одноразовое переназначение, чтобы связать устройство с этим пользователем.

Критерий 7. Использование промежуточной настройки устройств

Если вы не используете Apple Configurator, администраторам приходится выполнять промежуточную настройку отдельно для каждого устройства. Поэтому в крупных развертываниях для этой цели необходимо специально выделять время и персонал.

Администраторы могут быстро настраивать новые устройства, но если сотрудники уже используют корпоративные устройства, для промежуточной настройки их приходится изымать, а иногда даже пересылать по почте.

Если парк состоит из тысяч ожидающих предварительной регистрации устройств, их промежуточная настройка займет много времени. Поэтому ее лучше всего выполнять для пакета новых устройств, которые в настоящее время предоставляются. Таким образом, вы получите доступ к устройствам, прежде чем их передадут сотрудникам.

Промежуточную настройку можно выполнять для устройств Android и iOS следующими способами.

  • Один пользователь (стандартный): используется, если выполняется промежуточная настройка устройства, которое сможет зарегистрировать любой пользователь.
    Примечание: Как указано, этот процесс регистрации предназначен для необслуживаемых устройств. Если этот процесс применяется для регистрации пользователей без вмешательства в работу, вы несете ответственность за доставку устройств в промежуточной настройке необходимому пользователю.
  • Один пользователь (расширенный): используется, если выполняется промежуточная настройка и регистрация устройства для определенного пользователя.
    Примечание: Временный пользователь или администратор должен убедиться, что устройство получено зарегистрированным пользователем.
  • Многопользовательское устройство: используется, если выполняется промежуточная настройка устройства для совместного использования.

    Подробные инструкции см. в разделе Создание многопользовательской учетной записи промежуточного хранения для регистрации.

Подготовка однопользовательского устройства

Промежуточная настройка однопользовательского устройства в консоли Workspace ONE UEM Console позволяет одному администратору настраивать устройства других пользователей от их имени. Она может быть особенно полезна ИТ-администраторам, которые предоставляют устройства из парка устройств.

Промежуточная настройка через прямую регистрацию Workspace ONE не поддерживается. Если требуется выполнить промежуточную настройку устройства для одного или нескольких пользователей, необходимо зарегистрировать устройство с помощью Workspace ONE Intelligent Hub вместо прямой регистрации Workspace ONE.

Важно!:

Возможность создания временных пользователей является привилегией администратора с повышенными полномочиями. Разрешение на создание временного пользователя должно выдаваться только конкретным доверенным администраторам. Кроме того, следует обращаться с учетными данными временных пользователей так же, как и с любыми другими привилегиями администратора, и не следует раскрывать учетные данные пользователей.

В настоящее время любой администратор с разрешением на создание пользователя также может создать временного пользователя. Ограничьте эту возможность, изменив роли, назначенные вашим администраторам. Перейдите в раздел Учетные записи > Администраторы > Роли. Определите только те роли, которые необходимо ограничить, а затем выберите Изменить () для каждой из этих ролей в категории Все > Учетные записи > Пользователи > Учетные записи, сняв флажок Изменить в разрешении «Добавить/изменить».

Примечание: Для промежуточной настройки устройств требуется привязка LDAP. Описание создания этих полезных данных, см. в разделе «Привязка устройства к службе каталогов» этого руководства.
  1. Откройте раздел Аккаунты > Пользователи > Список и нажмите Изменить для аккаунта пользователя, промежуточную настройку устройства которого хотите включить.
  2. На странице Добавить или изменить пользователя откройте вкладку Дополнительно.
    1. а.Прокрутите страницу вниз до раздела Промежуточная настройка.
    2. б.Для параметра Включить промежуточное хранение устройства выберите параметр Включено. Отображаются варианты промежуточного хранения.
    3. в.Для параметра Устройства одного пользователя выберите параметр Включено.
    4. г.Переключите режим промежуточной настройки однопользовательского устройства в положение Стандартная или Дополнительная.

      При стандартной промежуточной настройке пользователь должен ввести учетные данные после настройки. Дополнительная промежуточная настройка означает, что пользователь может зарегистрировать устройство от имени другого пользователя.

    5. д.Убедитесь, что параметр Многопользовательские устройства выключен.
    6. е.Для параметра Режим общего устройства Android выберите Собственные или Launcher для режима взятия и возврата. Android поддерживает более простые сценарии использования, которые не требуют настройки. Launcher поддерживает настройку пользовательского интерфейса для сложных сценариев использования.
    7. ё.В разделе Системные приложения можно включить доступ конечных пользователей к этим приложениям.
    8. ж.В разделе Секретный код в режиме администрирования укажите буквенно-цифровой секретный код для поиска и устранения неполадок устройства в режиме администрирования. Нажмите на значок Hub на экране входа 5 раз, чтобы получить доступ к режиму администрирования.

      Результат: параметр Устройства одного пользователя помещает устройства на промежуточное хранение для одного пользователя.

  3. Зарегистрируйте устройство. Выберите из указанных ниже.
    • Зарегистрируйте устройство с помощью Workspace ONE Intelligent Hub, указав URL-адрес сервера и идентификатор группы.
    • Откройте браузер устройства, перейдите по URL-адресу регистрации и введите соответствующий ID группы.
  4. Во время регистрации введите учетные данные пользователя для промежуточной настройки.
    1. а.При необходимости укажите, что выполняете промежуточную настройку однопользовательских устройств.

      Это нужно сделать, только если для пользователя также включена промежуточная настройка многопользовательских устройств.

  5. Завершите регистрацию для стандартной или дополнительной промежуточной настройки.
    1. а.При дополнительной промежуточной настройке потребуется ввести имя пользователя, соответствующее владельцу, который будет использовать устройство. Продолжите регистрацию: установите профиль Mobile Device Management (MDM) и примите все запросы и сообщения.
    2. б.При стандартной промежуточной настройке после завершения регистрации пользователь должен ввести свои учетные данные в окне входа.

Результат: устройство помещено на промежуточное хранение и готово для использования новым пользователем. Если условия соглашения об использовании для регистрации соблюдены, промежуточный пользователь не будет видеть данное соглашение об использовании до тех пор, пока не войдет в свой аккаунт SSP.

Подготовка многопользовательского устройства

Промежуточная настройка многопользовательского или общего устройства позволяет ИТ-администратору подготовить устройства, с которыми будут работать несколько пользователей. Многопользовательская промежуточная настройка позволяет устройству динамически изменять назначенного пользователя, как только другие пользователи сети выполняют вход на этом устройстве.

Промежуточная настройка через прямую регистрацию Workspace ONE не поддерживается. Если требуется выполнить промежуточную настройку устройства для одного или нескольких пользователей, необходимо зарегистрировать устройство с помощью Workspace ONE Intelligent Hub вместо прямой регистрации Workspace ONE.

  1. Откройте раздел Аккаунты > Пользователи > Список и нажмите Изменить для аккаунта пользователя, промежуточную настройку устройства которого хотите включить.
  2. На странице Добавить или изменить пользователя откройте вкладку Дополнительно.
    1. а.Прокрутите страницу вниз до раздела Промежуточная настройка.
    2. б.Для параметра Включить промежуточное хранение устройства выберите параметр Включено. Отображаются варианты промежуточного хранения.
    3. в.Убедитесь, что режим Многопользовательские устройства включен.
    4. г.Для параметра Режим общего устройства Android выберите Собственные или Launcher для режима взятия и возврата. Android поддерживает более простые сценарии использования, которые не требуют настройки. Launcher поддерживает настройку пользовательского интерфейса для сложных сценариев использования.
    5. д.В разделе Системные приложения можно включить доступ конечных пользователей к этим приложениям.
    6. е.В разделе Секретный код в режиме администрирования укажите буквенно-цифровой секретный код для поиска и устранения неполадок устройства в режиме администрирования. Нажмите на значок Hub на экране входа 5 раз, чтобы получить доступ к режиму администрирования.
  3. Зарегистрируйте устройство, используя один из следующих способов.
    • Зарегистрируйте устройство с помощью Workspace ONE Intelligent Hub, указав URL-адрес сервера и идентификатор группы.
    • Откройте браузер устройства, перейдите по URL-адресу регистрации и введите соответствующий ID группы.
  4. Во время регистрации введите учетные данные пользователя для промежуточной настройки. При необходимости укажите, что выполняете промежуточную настройку однопользовательских устройств.

    Это нужно сделать, только если для пользователя также включено промежуточное хранение многопользовательских устройств.

Результат: устройство помещено на промежуточное хранение и готово для использования новыми пользователями.

Самостоятельная регистрация

Для самостоятельной регистрации пользователям необходимо знать соответствующий ID группы и учетные данные для входа. Если выполнена интеграция со службами каталогов, эти учетные данные совпадают с учетными данными пользователя для службы каталогов.

Кроме того, можно связать свой корпоративный домен электронной почты со средой Workspace ONE UEM в процессе автоматического обнаружения. Если включена функция автоматического обнаружения, устройства поддерживаемых платформ запросят ввод пользователями своих электронных адресов. Эти устройства автоматически завершат регистрацию при совпадении доменов электронной почты (текст после символа @). Тогда не придется вводить ID группы или URL-адрес регистрации. Дополнительные сведения см. в разделе Регистрация с использованием автообнаружения.

  1. Пользователи переходят на сайт AWAgent.com, который автоматически определяет, установлен ли Workspace ONE Intelligent Hub.

    Если Workspace ONE Intelligent Hub не установлен, веб-сайт перенаправит пользователя в соответствующий магазин мобильных приложений.

  2. Пользователи загружают приложение AirWatch Container из магазина приложений.
  3. После запуска приложения Workspace ONE Intelligent Hub или Container пользователи указывают свои учетные данные в дополнение к электронному адресу или URL-адресу/ID группы, а затем переходят к регистрации.

Защищенный режим

Для устройств, зарегистрированных с помощью Apple Configurator, администраторы могут включить защищенный режим, который предоставляет дополнительные функции безопасности. Однако этот режим накладывает на устройство определенные ограничения.

Преимущества

Как только устройство регистрируется в Workspace ONE UEM, администратор получает дополнительные возможности настройки.

  • Дополнительные ограничения по сравнению с MDM
    • Блокирование удаления приложений пользователем. Удаление приложений можно также ограничить локально в устройстве, используя ограничения в системных настройках.
    • Блокирование AirDrop.
    • Блокирование изменений аккаунта, чтобы пользователи не могли менять настройки аккаунтов iCloud и Mail.
    • Отключение iMessage.
    • Настройка ограничений рейтинга контента iBookstore.
    • Отключение Game Center и iBookstore.
  • Дополнительная безопасность
    • Блокирование просмотра пользователями веб-сайтов с контентом «только для взрослых» в браузере Safari.
    • Запрет указанным устройствам подключаться к определенным назначениям AirPlay, например к Apple TV.
    • Блокирование установки сертификатов или неуправляемых конфигурационных профилей.
    • Направление всего сетевого трафика устройства через глобальный прокси-сервер HTTP.
  • Режим киоск
    • Установка режима одного приложения и отключение основной кнопки.
  • Настройка в устройстве обоев и текста
  • Включение или отключение блокирования активации

Ограничения

  • Доступ к защищенным устройствам по USB возможен только с управляющего Mac.
  • Нельзя копировать данные на устройство и с устройства с помощью iTunes, если на устройстве не установлен сертификат удостоверения Apple Configurator.
    • Медиафайлы (например, фотографии и видео) невозможно скопировать с устройства на ПК или Mac. Чтобы передавать такие данные, используйте VMware Content Locker, который синхронизирует контент с пользовательским разделом «Личные документы». Кроме того, для передачи данных на сервер по сети WLAN/WWAN можно использовать приложение, предоставляющее совместный доступ к файлам.
  • Защищенный режим исключает доступ к журналам устройств с помощью программы iPhone Configuration Utility (IPCU).
    • Этот режим усложняет устранение неполадок с приложением или устройством, поскольку журналы устройства можно получить, только если оно подключено к управляющему компьютеру Mac. Чтобы решить некоторые проблемы, отправляйте журнал и логистику из приложений в консоль UEM с помощью пакета Workspace ONE SDK.
  • Устройства нельзя легко вернуть к заводским настройкам.
    • Чтобы восстановить защищенный режим после возврата устройства к заводским настройкам, необходимо повторно подключить устройство к управляющему компьютеру Mac. Эта процедура может вызвать сложности, если компьютер Mac находится далеко от устройства.

Принимая решение об использовании защищенного режима, учитывайте следующие факторы. Этот режим предоставляет дополнительные функции, повышающие безопасность устройства, но при этом ограничивает использование USB.

Близость устройства к управляющему компьютеру Mac играет важную роль при устранении проблем. Поскольку ограниченное использование USB исключает доступ к журналам устройства, при возникновении неполадок устройство необходимо отправить обратно в хранилище, где его перенастроят и восстановят работоспособность.

Важно принять решение об использовании защищенного режима заранее, поскольку для установки и снятия защиты устройства необходимо отправить его в ИТ-отдел или хранилище.