Workspace ONE UEM 支援兩種註冊企業裝置的方式。您可以讓使用者自行註冊裝置,也可以由管理員透過一種叫作裝置註冊預備的程序來代替使用者註冊。

在裝置註冊預備其間,管理員會先將裝置註冊,再加以指派並發佈給終端使用者。若有管理員必須設置整個企業中多個使用者所共用的裝置,此方法非常實用。

Android、iOS 和 macOS 的裝置都能執行裝置註冊預備。

考量項目 #1:裝置所有權

  • 您是否已為終端使用者指派了企業裝置?如果是的話,重新收集這些裝置並為其進行註冊預備顯然很不切實,最好還是讓使用者自行註冊。
  • 終端使用者是共享裝置,還是擁有專用裝置?如果終端使用者未共享裝置,那麼您可以讓裝置的單一擁有者負責自行註冊裝置。

    此外,裝置註冊預備也很適合用於剛佈建的裝置,因為此時員工仍未收到這些裝置。如果終端使用者已經擁有企業裝置,那麼允許他們自行註冊是最合理不過了。裝置總數多到讓管理員無法執行裝置註冊預備時,讓使用者註冊自己的裝置也是好事。

考量項目 #2:自動探索

您會在企業的 Email 網域與 Workspace ONE UEM 環境之間建立關聯嗎?此程序稱為自動探索,代表終端使用者只需輸入 Email 地址和認證。就會自動輸入註冊 URL 和群組 ID。

另請參閱自動探索註冊

考量項目 #3:Workspace ONE 直接註冊

不支援透過 Workspace ONE 直接註冊進行裝置註冊預備。如果您必須為單一或多個使用者進行裝置註冊預備,您必須使用 Workspace ONE Intelligent Hub 註冊裝置,而不是使用 Workspace ONE 直接註冊。

Workspace ONE 直接註冊是一項適合用於自我註冊的功能。啟用後,所有符合資格的裝置在登入註冊企業群組時都能立即註冊。且完整安裝後,終端使用者可以同意安裝公司選取的 APP,也可以選擇不安裝 APP。

如需詳細資訊,請參閱 Workspace ONE 直接註冊

考量項目 4:您是否參與 Apple 的裝置註冊計劃?

為了將在行動裝置管理 (MDM) 中註冊 Apple 裝置的好處最大化,Apple 推出了裝置註冊計劃 (DEP)。使用 DEP,您可以執行以下操作。

  • 在裝置上安裝不可移除的 MDM 設定檔,可避免終端使用者將其刪除。
  • 在監督模式下佈建裝置 (僅適用於 iOS)。監督模式中的裝置能存取額外的安全性與配置設定。
  • 為所有終端使用者執行註冊。
  • 自訂並簡化註冊程序以滿足企業的需求。
  • 若要避免 iCloud 備份,請在產生 DEP 設定檔時,停用讓使用者以其 Apple ID 登入的功能。
  • 為所有終端使用者強制升級 OS。

考量項目 5:Apple Configurator 的使用

Apple Configurator 允許 IT 管理員有效部署並管理 Apple iOS 裝置。對零售店、教室和醫院等企業會特別實用,尤其是預先註冊裝置讓多個終端使用者共用時。

支援使用 Configurator 為單一使用者註冊預先登記裝置,只要在主控台將序號/IMEI 資訊新增到使用者的登記裝置即可。Apple Configurator 還有個最重要的好處,那就是您可以使用 USB Hub 或 iOS 裝置圖表來佈建多個裝置,且耗時不過數分鐘。

考量項目 6:該選擇單一使用者註冊預備還是登錄?

如果您想針對單一使用者進行裝置註冊預備,採取登錄方式可能是較佳的選項。單一使用者註冊預備和登記裝置之間的差異儘管細微,卻相當重要。

登記 – 登記裝置的方式適合針對已命名的個別使用者採用。這個程序代表裝置認為第一個登入的使用者與登錄裝置的使用者將為同一人。如果其他使用者嘗試登入已登記的裝置,基於安全考量,該裝置將遭到鎖定,且無法進行註冊。

單一使用者註冊預備 – 裝置註冊預備的方式適合針對任何有資格在 Workspace ONE UEM 中註冊的使用者採用。理論上,您可以將已經完成註冊預備的裝置交給任何符合使用資格的使用者,該使用者也可以成功登入裝置並在 Workspace ONE UEM 中註冊。

透過註冊預備工作流程,您可以先行準備所需裝置,然後啟動所有合格註冊使用者都能登入的 Workspace ONE Intelligent Hub,接著讓 Workspace ONE UEM 執行一次性的重新指派,以便使裝置建立與該使用者的關聯。

考量項目 7:裝置註冊預備的使用

除非使用 Apple Configurator,否則管理員必須逐一註冊預備裝置。對於大型部署,請考慮這項工作所需的時間和人力。

管理員可輕鬆註冊預備新裝置,但是已使用公司專用裝置的員工必須將裝置送到現場,或是在現場收集裝置,才能註冊預備裝置。

如果有上千台裝置要預先註冊,裝置註冊預備可能需要一段時間。因此,如果有一批新的裝置需要佈建,最好使用此方法,因為您可在員工收到裝置前,先取得裝置的存取權。

請按照下列方法來為 Android 和 iOS 執行裝置的註冊預備。

  • 單一使用者 (標準) - 在註冊預備任何使用者都可以註冊的裝置時使用。
    備註: 根據指示,此註冊流程適用於無人看管的裝置。若您使用此流程進行零接觸使用者註冊,則您需負責確保完成註冊預備的裝置交付給預期的使用者。
  • 單一使用者 (進階) – 此法可用來註冊預備您要代替某特定使用者來註冊的裝置。
    備註: 註冊預備使用者/管理員必須確保將裝置簽出給已登錄的使用者。
  • 多使用者 – 此法可用來註冊預備將供多位使用者所使用的裝置。

註冊預備單一使用者裝置

Workspace ONE UEM Console 上的「單一使用者裝置註冊預備」允許由單一管理員代表其他使用者配置其裝置,這對於佈建大量裝置群的 IT 管理員特別有用。

不支援透過 Workspace ONE 直接註冊進行裝置註冊預備。如果您必須為單一或多個使用者進行裝置註冊預備,您必須使用 Workspace ONE Intelligent Hub 註冊裝置,而不是使用 Workspace ONE 直接註冊。

重要:

建立註冊預備使用者的能力,屬於較高級的管理員權限。應僅限特定可信任的管理員擁有建立註冊預備使用者的權限。此外,請像處理其他任何管理員權限一樣處理註冊預備使用者認證,且請勿揭露使用者認證。

目前,具有建立使用者權限的任何管理員,也可以建立註冊預備使用者。您可透過編輯指派給管理員的角色,來限制此能力。導覽至帳戶 > 管理員 > 角色。僅識別您想要限制的角色,然後透過清除「新增/編輯」權限中的編輯核取方塊,編輯 () 在類別路徑中的每個角色:所有 > 帳戶 > 使用者 > 帳戶

備註: 進行裝置註冊預備時,必須要有 LDAP 繫結。若要建立此裝載,請參閱本指南中的「將裝置繫結至目錄服務」。
  1. 導覽至帳戶 > 使用者 > 清單檢視,然後針對要啟用裝置註冊預備的使用者帳戶選取編輯
  2. 新增/編輯使用者頁面上,選擇進階標籤。
    1. 向下捲動至註冊預備的區段。
    2. 啟用裝置註冊預備部分,選取已啟用滑桿。註冊預備選項隨即顯示。
    3. 單一使用者裝置部分,選取已啟用滑桿。
    4. 將單一使用者之裝置註冊預備的模式切換為標準進階

      「標準」註冊預備會在完成此預備動作後,要求終端使用者輸入登入資訊;而「進階」註冊預備則表示執行預備的使用者可代表另一位使用者註冊裝置。

    5. 確保多使用者裝置已設為停用
    6. Android 共用裝置模式部分,為簽入和簽出模式選取原生啟動程式。原生 Android 支援較簡單且不需要執行自訂的使用情境。啟動程式支援用於複雜使用情境的 UI 自訂。
    7. 系統應用程式部分,您可以讓終端使用者存取系統應用程式。
    8. 管理員模式密碼部分,指定在管理員模式中疑難排解裝置使用的英數密碼。在登入畫面上點選 Hub 圖示 5 次,以存取管理員模式。

      結果:單一使用者裝置可以為單一使用者註冊預備裝置。

  3. 註冊裝置。從以下項目中選擇。
    • 輸入伺服器 URL 與群組 ID,即可透過 Workspace ONE Intelligent Hub 來進行註冊。
    • 開啟裝置的網際網路瀏覽器、瀏覽至註冊 URL,然後輸入適當的群組 ID。
  4. 在註冊時,請輸入您的註冊預備使用者認證。
    1. 有必要的話,也可指明您是為單一使用者裝置執行註冊預備。

      只有在您同時為註冊預備使用者啟動多使用者裝置註冊預備時,才需執行上述動作。

  5. 完成進階或標準的註冊預備程序。
    1. 若是執行「進階」註冊預備,系統將提示您輸入要使用此裝置之終端使用者裝置擁有者的名稱。安裝行動裝置管理 (MDM) 設定檔繼續進行註冊,並接受所有的提示和訊息。
    2. 若是執行「標準」註冊預備,在終端使用者完成註冊時,系統便會在登入視窗中通知這些終端使用者輸入其認證。

結果:此後,裝置已備妥並隨時可供新使用者來使用。如果已有註冊使用條款協議,則註冊預備單一使用者在登入其 SSP 帳戶前,將無法查看此 TOU 協議提示。

註冊預備多使用者裝置

「多使用者裝置/共享裝置註冊預備」,讓 IT 管理員能夠佈建那些即將提供給多位使用者所使用的裝置。多使用者註冊預備能允許裝置在不同網路的使用者登入時,動態變更其指派的使用者。

不支援透過 Workspace ONE 直接註冊進行裝置註冊預備。如果您必須為單一或多個使用者進行裝置註冊預備,您必須使用 Workspace ONE Intelligent Hub 註冊裝置,而不是使用 Workspace ONE 直接註冊。

  1. 導覽至帳戶 > 使用者 > 清單檢視,然後針對要啟用裝置註冊預備的使用者帳戶選取編輯
  2. 新增/編輯使用者頁面上,選擇進階標籤。
    1. 向下捲動至註冊預備的區段。
    2. 啟用裝置註冊預備部分,選取已啟用滑桿。註冊預備選項隨即顯示。
    3. 確保多使用者裝置已設為啟用
    4. Android 共用裝置模式部分,為簽入和簽出模式選取原生啟動程式。原生 Android 支援較簡單且不需要執行自訂的使用情境。啟動程式支援用於複雜使用情境的 UI 自訂。
    5. 系統應用程式部分,您可以讓終端使用者存取系統應用程式。
    6. 管理員模式密碼部分,指定在管理員模式中疑難排解裝置使用的英數密碼。在登入畫面上點選 Hub 圖示 5 次,以存取管理員模式。
  3. 使用下列一或兩個方法來註冊裝置。
    • 輸入伺服器 URL 與群組 ID,即可透過 Workspace ONE Intelligent Hub 來進行註冊。
    • 開啟裝置的網際網路瀏覽器、瀏覽至註冊 URL,然後輸入適當的群組 ID。
  4. 在註冊時,請輸入您的註冊預備使用者認證。有必要的話,也可指明您是為單一使用者裝置執行註冊預備。

    只有在您同時為註冊預備使用者啟動多使用者裝置註冊預備時,才能執行上述動作。

結果:裝置已備妥並隨時可供新使用者來使用。

自我註冊程序

終端使用者可能必須知道自己的正確群組 ID 和登入認證才能自我註冊。若您已與目錄服務整合,那麼此處的憑證與使用者的目錄服務憑證是一樣的。

您也可以使用一種叫做自動探索的程序,為企業的電子郵件網域建立與 Workspace ONE UEM 環境的關聯。啟用自動探索後,支援的平台裝置會提示終端使用者輸入 Email 地址。如果 Email 網域 (@ 之後的文字) 相符,這些裝置將自動完成註冊,不需輸入群組 ID 或註冊 URL。如需詳細資訊,請參閱自動探索註冊

  1. 終端使用者可導覽至 AWAgent.com,自動偵測是否已安裝 Workspace ONE Intelligent Hub

    如果未安裝Workspace ONE Intelligent Hub,則網站將重新導向至行動 App Store。

  2. AirWatch Container 使用者可從 APP 商店下載 AirWatch Container。
  3. 啟動 Workspace ONE Intelligent Hub 或 Container APP 後,使用者須輸入自己的認證,以及電子郵件地址或 URL/群組 ID,接著繼續註冊。

監督模式

管理員可以允許那些透過 Apple Configurator 註冊的裝置使用監督模式,從而啟用更多增強的安全性功能。但此模式也會為裝置帶來許多限制。

優點

一旦裝置在 Workspace ONE UEM 中註冊完成並獲得監督,比起一般裝置,管理員還會獲得下列可用於配置作業的增強功能。

  • 可在 MDM 上提高限制
    • 可禁止使用者移除應用程式。使用系統配置下的限制選項,即可在裝置本機限制應用程式的移除作業。
    • 禁止 AirDrop。
    • 禁止使用者修改 iCloud 與郵件帳戶設定,從而避免帳戶遭到竄改。
    • 停用 iMessage。
    • 為 iBookstore 設定內容分級限制。
    • 停用遊戲中心與 iBookstore。
  • 增強的安全性
    • 禁止終端使用者使用 Safari 造訪具有成人內容的網站。
    • 限制哪些裝置可以連線至特定 AirPlay 目的地,例如 Apple TV。
    • 禁止安裝憑證或未受管的配置設定檔。
    • 強制所有裝置的網路流量經過全域 HTTP 代理伺服器傳送。
  • Kiosk 模式
    • 使用單一 APP 模式並停用首頁按鈕即可將裝置鎖定於單一 APP。
  • 自訂裝置上的底色圖案與文字
  • 啟用或清除啟動鎖定

限制

  • 監管裝置只能透過監管用的 Mac 來使用 USB 存取。
  • 如果是使用 iTunes 的裝置,則除非已在裝置上安裝 Apple Configurator 身份識別憑證,否則無法從該裝置複製資料、亦無法複製資料至該裝置。
    • 無法將相片或影片等媒體從裝置複製到 PC 或 Mac。若要傳輸這類資料,請使用 VMware Content Locker 來將內容同步至使用者的個人文件區段。此外,透過共享檔案用的應用程式,也能用 WLAN/WWAN 來將資料傳輸至伺服器。
  • 監督模式雖能禁止使用者透過 iPhone Configuration Utility (IPCU) 來存取裝置側的記錄。
    • 此模式使得疑難排解任何應用程式或裝置問題變得難上加難。原因是裝置的日誌只能在連接到監管用的 Mac 才能取得。要克服這樣的挑戰,請使用 Workspace ONE SDK 將日誌與邏輯從應用程式傳送至 UEM 主控台。
  • 您無法簡單地使用原廠設定重設裝置。
    • 裝置一旦還原成出廠設定,就必須與監管用的 Mac 重新連接,才能還原成監督模式。如果 Mac 不在裝置附近,則此程序可能會有問題。

決定是否要啟用監督模式前,請考量下列事項。雖然這能為裝置啟用更多增強的安全性功能,但 USB 限制值得您深思。

因此裝置與監督用 Mac 之間的距離,應是決定時的重要考量。由於 USB 限制可避免任何人存取裝置側的記錄,因此裝置發生問題,都得要回收才能還原功能。

事先決定監督至關重要,因為監督或「不監督」的程序,影響了裝置是要運送到 IT 位置或是倉庫的決定。