在註冊裝置之前,每個裝置使用者都必須擁有 Workspace ONE UEM 認可的身份驗證使用者帳戶。選擇的使用者驗證類型視企業需求而定。
驗證代理伺服器可跨雲端或固化的內部網路來提供目錄服務整合的功能。在此模型中,Workspace ONE UEM 伺服器會與公用端的 Web 伺服器或 Exchange ActiveSync 伺服器進行通訊。這種安排可針對網域控制站驗證使用者。
優點
缺點
具有 LDAP 驗證和 VMware Enterprise Systems Connector 的 Active Directory 能提供與傳統 AD 及 LDAP 驗證相同的功能。此模式可在軟體即服務 (SaaS) 部署的雲端上運作。
優點
缺點
SaaS 部署模式
內部部署模式
安全性聲明標記語言 (SAML) 2.0 驗證,支持單一登入與聯合驗證。Workspace ONE UEM 絕不會接收任何公司認證。
如果企業擁有 SAML 身份識別提供者伺服器,請採用 SAML 2.0 整合。確保身分識別提供者在提供 SAML 回應時,傳回 objectGUID
屬性。
優點
缺點
使用已啟用本機基本使用者功能,且做為 IDP 的 Workspace ONE Access 來設定 SAML 時,不支援基本使用者的驗證。
SaaS 應用程式無法供使用 Workspace ONE Access 進行驗證的 SAML 管理員使用。
如果您是使用 Workspace ONE Access 進行驗證的 SAML 管理員,則無法使用 SaaS 應用程式以及其他 Workspace ONE Access 原則和功能。當您導覽至「SaaS APP」頁面時,您會看到下列錯誤訊息。
確認您的管理員帳戶同時存在於 UEM 和 IDM 系統,且 Workspace ONE UEM 中的網域與 VMware Identity Manager 相同帳戶的網域完全相符。
若要還原 SaaS 應用程式協助工具,您必須使用基本驗證來登入 Workspace ONE UEM,您也必須在企業群組中啟用 Workspace ONE Access。
Token 型的驗證提供使用者最簡易的裝置註冊方式。透過此註冊設定,Workspace ONE UEM 會產生一個 Token,並將其置於註冊 URL 中。
在使用單一 Token 驗證時,使用者會從裝置存取連結以完成註冊,且 Workspace ONE UEM 伺服器會參照提供給使用者的 Token。
為了提高安全性,請為每個 Token 設定到期時間 (以小時為單位)。設定有效期限可減低其他使用者因獲得裝置存取權而存取資訊和功能的可能性。
您也可酌情實行雙重要素驗證,更進一步地驗證終端使用者的身分。使用此驗證設定時,使用者必須利用所提供的 Token 來存取註冊的連結,並且輸入使用者名稱和密碼。
優點
缺點
注意: SaaS 部署包括 SMTP。
Workspace ONE UEM 與所選的使用者安全性類型整合完成後,就會啟用您打算在註冊前允許使用的驗證模式。
選取適當的驗證模式設定核取方塊。
設定 | 描述 |
---|---|
新增電子郵件網域 | 此按鈕用來設定自動探索服務,向您的環境註冊 Email 網域。 |
驗證模式 | 選取允許的驗證類型,包括: * 基本 – 基本使用者帳戶 (您在 UEM console 中手動建立的帳戶) 可進行註冊。 * 目錄 – 目錄使用者帳戶 (您已匯入或允許使用目錄服務整合的帳戶) 可進行註冊。Workspace ONE 直接註冊支援具有或不具 SAML 的目錄使用者。 * 驗證 Proxy – 允許使用者使用驗證 Proxy 使用者帳戶進行註冊。使用者會向 Web 端點進行驗證。輸入 Authentication Proxy URL、Authentication Proxy URL 備份和驗證方法類型 (從 HTTP Basic 和 Exchange ActiveSync 之間加以選擇)。 |
Intelligent Hub 的驗證來源 | 選擇使用 Intelligent Hub 服務做為其使用者和驗證原則來源的系統。 * Workspace ONE UEM – 如果您想要讓 Hub 服務使用 Workspace ONE UEM 作為使用者和驗證原則的來源,請選取此設定。設定 Hub 服務適用的 Hub 組態頁面時,請輸入 Hub 服務租用戶 URL。 * Workspace ONE Access – 如果您想要讓 Hub 服務使用 Workspace ONE Access 作為使用者和驗證原則的來源,請選取此設定。 設定 Hub 服務適用的 Hub 組態頁面時,請輸入 Workspace ONE Access 租用戶 URL。 注意: 如果啟用 Workspace ONE Access 做為 Intelligent Hub 驗證來源,並使用命令行進行註冊以用於註冊預備目的,則會繞過此組態以支持命令行中提供的認證。 如需有關 Workspace ONE Intelligent Hub 的詳細資訊,請參閱 VMware Workspace ONE Hub 服務說明文件。 如需有關 Workspace ONE Access 的詳細資訊,請參閱 VMware Workspace ONE Access 說明文件。 |
裝置註冊模式 | 選取偏好的裝置註冊模式,其中包括: * 開放式註冊 – 基本上允許符合其他註冊準則 (驗證模式、限制等) 的任何人進行註冊。Workspace ONE 直接至冊支援開放式註冊。 * 僅限已登錄的裝置 – 僅允許使用者使用已由您或他們登錄的裝置進行註冊。裝置登錄是在公司裝置註冊之前新增至 UEM 主控台的程序。Workspace ONE 直接註冊支援僅允許已登錄裝置進行註冊,但前提是此情況不需要提供登錄 Token。 |
需要註冊Token | 只有在已選取僅限已登錄的裝置時,才會顯示。 若您僅限已登錄的裝置進行註冊,則您還可以選擇要求使用登錄 Token 進行註冊。此選項可藉由確認特定使用者有權進行註冊,而提升安全性。您可以透過 Workspace ONE UEM 帳戶,將附加了註冊 Token 的 Email 或 SMS 訊息傳送給使用者。 |
要求 iOS 使用 Intelligent Hub 註冊 | 選取此核取方塊,會要求 iOS 裝置使用者必須先下載並安裝 Workspace ONE Intelligent Hub,才可以註冊。若停用,則可以使用 Web 註冊。 |
要求 macOS 使用 Intelligent Hub 註冊 | 選取此核取方塊,會要求 macOS 裝置使用者必須先下載並安裝 Workspace ONE Intelligent Hub,才可以註冊。若停用,則可以使用 Web 註冊。 |
選取儲存。
您可以使用基本驗證來識別 Workspace ONE UEM 結構中的使用者,但這個方法並不會整合現有的公司使用者帳戶。
優點
缺點
透過具有輕量型目錄存取通訊協定 (LDAP) 驗證的 Active Directory (AD),可用來整合現有的企業帳戶及 Workspace ONE UEM 使用者和管理員帳戶。
優點
缺點