Как регистрировать устройства в Workspace ONE UEM?

Регистрация устройств в пакетном режиме обычно происходит для новых клиентов, которые пытаются добавить устройства конечных пользователей в их среду под управлением Workspace ONE UEM. В этих подробных примерах использования показан каждый шаг пакетной регистрации устройств в трех наиболее популярных сценариях: использование личных устройств (BYOD), корпоративных устройств для персонального использования (COPE) и общих устройств.

Концепция использования собственных устройств сотрудников (BYOD)

Вопросы конфиденциальности

Можно выполнить предварительные действия, чтобы устранить опасения по поводу конфиденциальности, которые могут возникнуть у конечных пользователей вашего устройства. Подробные инструкции по настройке параметров конфиденциальности в Workspace ONE UEM см. в разделе Конфиденциальность при развертывании личных устройств сотрудников (BYOD).

1. Интеграция со службами каталогов

Настройка служб каталогов с помощью мастера

Workspace ONE UEM Console предоставляет упрощенный мастер, который упрощает процесс настройки служб каталогов. Мастер включает шаги, которые интегрируются с языком разметки заявлений системы безопасности (SAML), протоколом LDAP или и тем и другим. Мастер также автоматизирует предоставление приложений Workspace ONE UEM в VMware Identity Manager, что значительно упрощает процесс.

Дополнительные сведения об интеграции Workspace ONE UEM с Workspace ONE Access и развертывании Workspace ONE Access с единым входом на устройствах см. в разделе Интеграция Workspace ONE UEM с Workspace ONE Access.

Примечание. Если на сервере служб каталогов уже настроены параметры SAML или LDAP, UEM Console обнаружит это автоматически.

  1. Доступ к мастеру настройки служб каталогов можно получить из двух мест.

    • Основной мастер начала работы в UEM console.

    • Перейдите в раздел Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов и выберите Запуск мастера настройки.

      На этом снимке экрана отображается раскрывающееся меню «Дополнительные параметры» настроек системы служб каталогов, где можно включить Azure AD для служб удостоверений и включить SAML для проверки подлинности.

  2. При запуске мастера выберите Настроить чтобы выполнить следующие действия.

Настройка служб каталогов вручную

Вы также можете пропустить мастер и настроить службы каталогов вручную, чтобы задать настройки самостоятельно.

2. Настройка параметров регистрации

  1. Измените на организационную группу типа клиента, из которой нужно управлять всеми устройствами BYOD. Настройка параметров регистрации упрощается при наличии нужной организационной группы. Подробнее см. в разделе Изменение организационных групп.

  2. Перейдите в раздел Группы и настройки > Все настройки > Устройства и пользователи > Регистрация. Если параметры на первой вкладке (Проверка подлинности) затемнены и недоступны для выбора, выберите параметр Переопределить в разделе Текущая настройка, чтобы включить все эти параметры. На этом снимке части экрана отображается вкладка «Проверка подлинности» для настроек регистрации

    1. На вкладке Проверка подлинности нажмите кнопку Добавить домен эл. почты. Отобразится экран Администрирование домена эл. почты.
    2. Введите домен эл. почты своего бизнес-подразделения, например acme.com, и адрес эл. почты подтверждения, например [email protected]. При использовании нескольких доменов повторите шаги 1 и 2 для каждого домена, который используют сотрудники. Введенный вами адрес электронной почты получит получит подтверждения регистрации.
    3. В разделе Режимы проверки подлинности снимите флажок Основные и выберите Каталог. Оставьте параметр Прокси-сервер проверки подлинности без отметки.
    4. В Источник проверки подлинности для Intelligent Hub включите Workspace ONE UEM. Если используются другие продукты VMware, такие как vRA, vShield, NSX и т. д., выберите Workspace ONE Access.
    5. В разделе Режим регистрации устройств выберите Открытая регистрация. Эта настройка означает, что вы не создаете список устройств, которым разрешена регистрация, и вам не требуется маркер регистрации.
    6. В следующих трех опциях iOS и macOS просмотрите значки информации рядом с каждым параметром и определите, какие параметры следует использовать для ваших пользователей.
    7. Нажмите Сохранить.

  3. Находясь в меню Группы и настройки > Все настройки > Устройства и пользователи > Регистрация, выберите вкладку Режим управления. Если параметры затемнены и недоступны для выбора, выберите Переопределить в разделе Текущая настройка, чтобы включить все эти параметры. На этом снимке части экрана отображается вкладка «Режим управления» для настроек регистрации

    Устройства, зарегистрированные с помощью Intelligent Hub, по умолчанию находятся под управлением MDM. Вкладка Режим управления позволяет отказаться от управления MDM для каждой платформы для устройств, которые вы хотите зарегистрировать в Workspace ONE UEM вместо альтернативного механизма управления, например, на основе приложения, зарегистрированного режима или без управления. Включите платформу и выберите соответствующую смарт-группу, чтобы разрешить регистрацию устройств без управления MDM. Регистрация может быть включена на основе следующих критериев при использовании смарт-групп: Версия ОС, тип принадлежности и группа пользователей. Используйте политики приложений адаптивного управления, чтобы контролировать уровни управления устройствами для устройств iOS, зарегистрированных без управления. Чтобы сохранить управление MDM, пропустите эту вкладку регистрации и перейдите к шагу 4 (интеграция Hub).

    1. Если для каждой платформы вы хотите отказаться от управления MDM и использовать альтернативный механизм управления, нажмите кнопку Включено для этой платформы.

    2. В разделе Все устройства [платформа] в этой организационной группе выберите Включено, если вы хотите, чтобы все устройства, зарегистрированные в этой ОГ, отказались от управления MDM. Управление этими устройствами можно выполнять в зарегистрированном режиме или на уровне приложения. Они также могут оставаться неуправляемыми. Выберите Отключено и щелкните текстовое поле, чтобы активировать раскрывающееся меню. Выберите название смарт-группы, чтобы назначить контент на эти устройства. Любые устройства на схожей платформе, зарегистрированные в этой организационной группе, но не включенные в смарт-группу, регистрируются как управляемые MDM.

      Если вы еще не создали эту смарт-группу, выберите кнопку Создать смарт-группу в нижней части раскрывающегося меню. Затем следуйте инструкциям в Назначить смарт-группу и убедитесь, что выбран путь критериев и что ваши платформы совпадают: создайте смарт-группу iOS для режима управления iOS, создайте смарт-группу Android для режима управления Android и т. д.

    3. Нажмите Сохранить.

  4. Находясь в меню Группы и настройки > Все настройки > Устройства и пользователи > Регистрация, выберите вкладку Интеграция Hub. Если параметры затемнены и недоступны для выбора, выберите Переопределить в разделе Текущая настройка, чтобы включить все эти параметры. На этом снимке части экрана отображается вкладка «Интеграция Hub» для настроек регистрации

    1. В разделе Использование компонентов служб Hub в Intelligent Hub выберите «Включено», чтобы разрешить устройствам в этой организационной группе подключаться к службам в Workspace ONE Hub для таких функций, как каталог приложений и People. Выберите Отключено, чтобы отказаться от этих функций служб Hub.
    2. Нажмите Сохранить.

  5. Находясь в меню Группы и настройки > Все настройки > Устройства и пользователи > Регистрация, выберите вкладку Условия использования. Если параметры затемнены и недоступны для выбора, выберите Переопределить в разделе Текущая настройка, чтобы включить все эти параметры. На этом снимке части экрана отображается вкладка «Условия использования» для настроек регистрации

    1. В пункте Требовать принять условия использования при регистрации выберите Включено, чтобы требовать от конечных пользователей принять условия использования, указанные вами для конечных пользователей до разрешения регистрации. Выберите Отключено, чтобы сделать принятие условий использования необязательным для регистрации.
    2. (Необязательно) Нажмите кнопку Добавить новые условия использования при регистрации и появится экран Создать новые условия использования, с помощью которого можно ввести соглашение об условиях использования. Можно указать следующие параметры: Платформы, Принадлежность устройства и Язык. Посоветуйтесь с юристами для подготовки эффективного соглашения об условиях использования. Выберите Сохранить, чтобы сохранить соглашение.
    3. Выберите Сохранить чтобы сохранить выбранные параметры на вкладке «Условия использования».

  6. Находясь в меню Группы и настройки > Все настройки > Устройства и пользователи > Регистрация, выберите вкладку Группирование. Если параметры затемнены и недоступны для выбора, выберите Переопределить в разделе Текущая настройка, чтобы включить все эти параметры. На этом снимке части экрана отображается вкладка «Группирование» для настроек регистрации

    1. В пункте Режим назначения идентификатора группы выберите По умолчанию.
    2. В разделе Отправка для Управление устройствами по умолчанию выберите «Устройства сотрудников», что является основной характеристики для развертывания BYOD.
    3. В разделе По умолчанию для Роль по умолчанию выберите «Базовый доступ», «Полный доступ» или укажите подготовленную вами роль.
    4. В разделе По умолчанию для Действие по умолчанию для неактивных пользователей выберите очистку корпоративных данных зарегистрированных устройств. Эта опция применяет максимальную защиту от потери интеллектуальной/корпоративной информации в случае кражи устройства или если устройство отсутствует.
    5. В разделе Синхронизация групп пользователей для параметра Синхронизация групп пользователей в режиме реального времени для Workspace ONE выберите Отключено. При включенной функции, Workspace ONE синхронизирует группы пользователей для данного пользователя по мере их регистрации в UEM Console. Из-за воздействия на производительность Workspace ONE UEM включайте этот параметр только в том случае, если группы пользователей часто изменяются, так как они влияют на разрешение регистрации устройства.
    6. В разделе Сопоставление ролей пользователей снимите флажок для Включение сопоставления каталогов по группам, чтобы отказаться от применения ролей на основе групп пользователей в службах каталогов. Установите флажок для учетной записи всех групп пользователей в службе каталогов и используйте эту информацию для назначения конкретных ролей. Например, можно применить «Роль X» ко всем пользователям в группе пользователей службы каталогов «Менеджеры», а «Роль Y» ко всем пользователям в другой группе пользователей.

  7. Укажите Группы и настройки > Все настройки > Устройства и пользователи > Регистрация на вкладке Ограничения. Если параметры затемнены и недоступны для выбора, выберите Переопределить в разделе Текущая настройка, чтобы включить все эти параметры.

    На этом снимке части экрана отображается вкладка «Ограничения» для настроек регистрации1. Если конечные пользователи вашего устройства не были добавлены в качестве пользователей Workspace ONE UEM и они регистрируют устройства в первый раз, то в разделе Управление доступом пользователей оставьте флажок пустым (снимите флажок) для параметра Ограничить регистрацию только для известных пользователей. Однако, если у вас есть пользователи, импортированные в пакетном режиме или отправленные на портал самообслуживания для самостоятельного добавления, то вы можете установить этот флажок. 2. Если вы не интегрировали службу каталогов с группами пользователей, то в разделе Управление доступом пользователей оставьте флажок пустым (снимите флажок для параметра Ограничить регистрацию только для настроенных групп. Однако, если вы намеренно интегрировали службу каталогов с Workspace ONE UEM, которая создает группы пользователей в UEM на основе групп пользователей в службах каталогов, то рекомендуем установить этот флажок, чтобы ограничить регистрацию только для тех пользователей, которые являются частью одной из этих групп пользователей службы каталогов.

    На этом снимке части экрана отображается вкладка «Ограничения» для настроек регистрации 3. В разделе Настройки политики можно нажать кнопку Добавить политику, чтобы вручную ограничить регистрацию с учетом выбранных вами факторов. К этим факторам относятся тип принадлежности, тип регистрации, платформа устройства, модель устройства и операционная система.

    На этом снимке экрана показан экран «Добавить или изменить политику ограничений регистрации», позволяющий легко ограничить регистрацию

    Можно определить несколько политик, например одну политику для каждой платформы, указав минимальную модель или версию ОС и разрешить регистрацию только этих устройств. Это может быть эффективным инструментом, как вы увидите позже на шаге 5.

    На этом снимке части экрана отображается вкладка «Ограничения» для настроек регистрации 4. В разделе Требования к управлению для Workspace ONE при включении параметра Требовать MDM для Workspace ONE, устройствам, которые соответствуют заданным критериям, предлагается зарегистрироваться сразу после входа в Workspace ONE. Устройства, которые не соответствуют назначенным критериям, могут войти в систему в неуправляемом состоянии. Осуществлять управление ими можно будет позже с помощью адаптивного управления. Для использования этого параметра требуется приложение Workspace ONE 3.2 или более поздняя версия.

    На этом снимке части экрана отображается вкладка «Ограничения» для настроек регистрации 5. В разделе Настройки назначения групп можно применить политики, определенные на шаге 3, и отправить соответствующие устройства в выбранную группу пользователей.

    Например, если вы настроили политику ограничений, которая разрешает только личные устройства сотрудников (BYOD) Android версии 10 или более поздней и вторую политику ограничения, которая разрешает только личные устройства сотрудников (BYOD) iPhone версии 15 или более поздней, можно настроить ее так, чтобы пользователи Android были добавлены в одну группу, а пользователи iPhone — в другую группу. Такая организация может быть полезна в будущем для управления контентом.

  8. Оставшиеся вкладки Дополнительный запрос и Настройка представляют собой понятные для конечного пользователя параметры устройства, которые менее важны для функциональности BYOD. Подробные инструкции по каждому доступному параметру см. в разделах Дополнительный запрос и Настройка.

3. Ресгитрация с Intelligent Hub

Регистрация устройств с помощью Workspace ONE Intelligent Hub является основным вариантом для устройств Android, iOS и Windows в Workspace ONE Express и Workspace ONE UEM.

  1. Загрузите и установите Workspace ONE Intelligent Hub из Google Play (для устройств Android) или из App Store (для устройств Apple).

    Чтобы загрузить Workspace ONE Intelligent Hub из хранилища общедоступных приложений, понадобится Apple ID или аккаунт Google.

    Чтобы загрузить Hub на устройствах Windows 10, необходимо на устройстве в браузере, заданном по умолчанию, указать https://getwsone.com.

  2. По завершении загрузки запустите Workspace ONE Intelligent Hub или вернитесь к сеансу браузера.

    Важно! Для успешной установки и работы Workspace ONE Intelligent Hub на устройстве Android необходимо, чтобы на устройстве было доступно не менее 60 Мбайт свободного места. На платформе Android ЦП и память времени выполнения можно выделить отдельно для каждого приложения. Если приложение использует больше ресурсов, чем выделено, устройство Android выполняет оптимизацию, завершая выполнение такого приложения.

  3. При появлении соответствующего запроса введите адрес электронной почты. Workspace ONE Console проверяет, добавлялся ли ваш адрес в данную среду ранее. Если адрес есть, значит для вас уже настроен пользователь и назначена организационная группа.

    Если Workspace ONE Console не распознает вас как пользователя на основании вашего адреса электронной почты, потребуется указать ваш Сервер, ID группы и Учетные данные. Ваш администратор может предоставить URL-адрес среды и идентификатор группы.

  4. Завершите регистрацию, следуя дальнейшим подсказкам. Вместо имени пользователя можно использовать адрес электронной почты. Если два пользователя имеют один и тот же адрес электронной почты, регистрация не будет выполнена.

Теперь устройство зарегистрировано с помощью приложения Workspace ONE Intelligent Hub. На вкладке Сводка в разделе Сведения об устройстве для этого устройства на панели безопасности отображается значение «Зарегистрировано в Hub», чтобы отразить этот метод регистрации.

Прямая регистрация корпоративных устройств для персонального устройства в Workspace ONE

Прямая регистрация — это наиболее плавный способ регистрации устройств, которые принадлежат к корпоративной сети и включены в корпоративную службу. Модель COPE позволяет компаниям найти баланс между ориентированностью на пользователей устройств и требованиями к безопасности и управляемости, выдвигаемыми ИТ-отделами.

В качестве администратора вы можете настроить прямую регистрацию с нужными параметрами. Эти параметры включают дополнительный запрос, ограничение по типу устройства, по группе пользователей и перенос установки приложений для пользователя.

По умолчанию прямая регистрация деактивирована. Чтобы включить прямую регистрацию Workspace ONE, сделайте следующее.

  1. Переключитесь на организационную группу, для которой вы хотите включить прямую регистрацию Workspace ONE. ОГ, в которую необходимо переместиться, будет содержать все зарегистрированные устройства COPE. Это та же ОГ, которая в ближайшее время будет выбрана для управления смарт-группами, которые используются для предоставления профилей устройств для COPE, политик соответствия для COPE, приложений для COPE и другого контента для COPE.
  2. Откройте раздел Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация, затем откройте вкладку Ограничения.

  3. Найдите Требования по управлению для Workspace ONE и выберите параметры настройки. При необходимости выберите Переопределение настроек родительской организационной группы.

    На этом снимке части экрана отображается вкладка «Ограничения» для настроек регистрации

    Настройка Описание
    Требуется MDM для Workspace ONE Запросите регистрацию прошедших проверку устройств и пользователей сразу после входа в систему для Workspace ONE.
    Устройства, не соответствующие заданным критериям, можно зарегистрировать в неуправляемом состоянии, а затем можно настроить для них управление (адаптивное управление).
    Назначенная группа пользователей Этот параметр определяет группы пользователей, которые нужно включить в процесс прямой регистрации. Также можно выбрать Все пользователи. Эта настройка используется по умолчанию при включении параметра Требовать MDM для Workspace ONE.
    iOS Включите этот параметр, чтобы включить устройства на базе iOS. Если параметр деактивирован, устройства на базе iOS не могут проходить прямую регистрацию, хотя они могут регистрироваться в Workspace ONE UEM в неуправляемом состоянии.
    Устаревший Android Включите этот параметр, чтобы включить устаревшие устройства на базе Android. Если параметр деактивирован, устаревшие устройства на базе Android не могут проходить прямую регистрацию, но могут регистрироваться в Workspace ONE UEM в неуправляемом состоянии.
    Android Enterprise Включите этот параметр, чтобы включить устройства на базе Android Enterprise. Если параметр деактивирован, устройства на базе Android Enterprise не могут проходить прямую регистрацию, но могут регистрироваться в Workspace ONE UEM в неуправляемом состоянии.

Остальные шаги предназначены для выполнения конечным пользователем. Как правило, это осуществляется путем отправки письма эл. почты с подробными инструкциями по регистрации для конечных пользователей.

  1. Направьте конечного пользователя на загрузку, установку и запуск приложения Workspace ONE из магазина приложений или репозитория приложений для конкретной платформы.
  2. Введите URL-адрес сервера или адрес электронной почты. Эту информацию можно добавить в электронное письмо регистрации для конечных пользователей.
  3. Введите имя пользователя службы каталога и пароль.
  4. Установите или включите Workspace Services, выбрав подтверждения, специфичные для вашей платформы.
    1. iOS: разрешите серверу открывать раздел Настройки, вводить секретный код устройства, устанавливать неподписанный профиль устройства и открывать экран в Workspace.
    2. Старые версии Android: установите приложение Workspace ONE Intelligent Hub, разрешите ему выполнять телефонные звонки и управлять ими, выберите тип владения устройства и введите инвентарный номер устройства, активируйте приложение администратора устройства и затем выполните вход в Workspace ONE.
    3. Android Enterprise: примите (или отклоните) условия пользовательского соглашения, настройте рабочий профиль и создайте секретный код Workspace ONE.
  5. По завершении процедуры установки Workspace ONE вы сможете установить приложения.
  6. Конечные пользователи могут установить отдельные приложения из списка, Установить все или Пропустить этот шаг.

Поддерживаемые параметры прямой регистрации Workspace ONE

Откройте раздел Группы и настройки > Все настройки > Устройства и пользователи > Общие > Регистрация, выберите каждую применимую вкладку и сделайте дальнейший выбор с учетом совместимости с прямой регистрацией Workspace ONE.

Аутентификация

Следующие параметры проверки подлинности совместимы с прямой регистрацией Workspace ONE.

  • Пользователи каталогов.
  • SAML и пользователи Active Directory поддерживаются оперативно, без предварительной подготовки. SAML без пользователей LDAP поддерживается в том случае, если запись о пользователе имеется в Workspace ONE UEM на момент первого входа.
  • Базовые пользователи, промежуточная настройка пользователей, SAML без пользователей каталога и пользователи прокси-сервера аутентификации в настоящее время не поддерживаются.
  • Открытая регистрация.
  • Workspace ONE не проверяет настройки обязательной регистрации Workspace ONE Intelligent Hub для iOS и macOS, которые используются для блокирования веб-регистрации на этих платформах.

Условия использования

Следующие параметры условий использования совместимы с прямой регистрацией Workspace ONE.

Группирование

Все параметры группирования совместимы с прямой регистрацией Workspace ONE.

Ограничения

Следующие параметры проверки подлинности совместимы с прямой регистрацией Workspace ONE.

  • Известные пользователи и настроенные группы.
  • Максимальное количество зарегистрированных устройств.
  • Параметры политики поддерживаются частично.
    • Разрешенные типы принадлежности: Workspace ONE запрашивает только корпоративные устройства или устройства, которыми владеют сотрудники. Вы можете деактивировать запрос и использовать тип принадлежности устройств, заданный по умолчанию.
    • Разрешенные типы регистрации не поддерживаются.
  • Поддерживаются платформа устройства, модель устройства и ограничения в отношении ОС.
  • Ограничения групп пользователей.

Необязательные запросы

Следующие параметры запросов совместимы с прямой регистрацией Workspace ONE.

  • Запрос типа принадлежности устройства.
  • Запрос инвентарного номера (поддерживается только тогда, когда включен запрос типа принадлежности устройства).
  • Все другие необязательные запросы не поддерживаются.

Настройка

Следующие возможности настройки совместимы с прямой регистрацией Workspace ONE.

  • Использовать определенный шаблон сообщения для каждой платформы
  • Целевой URL-адрес страницы после регистрации (только для iOS).
  • Сообщение профиля MDM (только для iOS)
  • Использовать пользовательские приложения MDM
  • Адрес электронной почты службы поддержки регистрации и телефон службы поддержки регистрации не поддерживаются.

Промежуточная настройка

Промежуточная настройка в этой модели COPE с помощью процесса прямой регистрации не поддерживается. Если необходимо выполнить промежуточную настройку устройства для одного или нескольких пользователей, необходимо зарегистрировать устройство с помощью Workspace ONE Intelligent Hub со следующими настройками для каждой платформы:

Общие устройства

check-circle-line exclamation-circle-line close-line
Scroll to top icon