如何在 Workspace ONE UEM 中註冊裝置？

對於尋求在 Workspace ONE UEM 保護下將使用者裝置引入其環境中的新客戶，通常會大量註冊裝置。這些詳細使用案例逐步顯示三種最常用的大量註冊裝置路徑，包括 BYOD 自攜裝置 (BYOD)、企業所屬且已個人啟用 (COPE) 裝置和共用裝置。

自攜裝置 (BYOD)

隱私權問題

您可以主動採取措施來解決裝置使用者可能遇到的隱私權問題。有關在 Workspace ONE UEM 中設定隱私權設定的詳細說明，請參見適用於 BYOD 部署的隱私權。

1.與目錄服務整合

使用精靈設定目錄服務

Workspace ONE UEM Console 提供了簡化的精靈，簡化了目錄服務設定程序。該精靈包括整合安全性聲明標記語言 (SAML)、輕量型目錄存取通訊協定 (LDAP) 或同時整合這兩者的步驟。該精靈還會自動將 Workspace ONE UEM 應用程式佈建至 VMware Identity Manager，進而大幅簡化該程序。

有關將 Workspace ONE UEM 與 Workspace ONE Access 整合以及透過 Single Sign-On 將 Workspace ONE 部署到裝置的詳細資訊，請參見 Workspace ONE UEM 與 Workspace ONE Access 整合。

注意: 如果您已在目錄服務伺服器上設定 SAML 或 LDAP 設定，UEM Console 會自動偵測到該設定。

1. 從兩個位置存取目錄服務設定精靈。

   • UEM Console 使用入門精靈

   • 導覽至群組與設定 > 所有設定 > 系統 > 企業整合 > 目錄服務，並選擇啟動設定精靈。

     

2. 啟動精靈後，選擇組態以執行以下步驟。

手動設定目錄服務

或者，也可以跳過精靈並手動設定目錄服務以自行配置設定。

2.配置註冊選項

1. 變更為您要從中管理所有 BYOD 裝置的客戶類型 OG。當您位在正確的 OG 時，可以更輕鬆地配置註冊選項。有關詳細資訊，請參見變更組織群組。

2. 導覽至群組 & 設定 > 所有設定 > 裝置 & 使用者 > 註冊。如果第一個索引標籤之下的選項未亮起且不可選擇，請在目前設定中選擇覆寫選項以啟用所有這些選項。

   1. 在驗證索引標籤下，選擇新增電子郵件網域按鈕。此時將顯示新增電子郵件網域畫面。
   2. 輸入您的商業電子郵件網域，例如 acme.com 和確認電子郵件位址，例如 [email protected]。如果您操作多個網域，請對員工使用的每個網域重複步驟 1 和 2。您在此處輸入的電子郵件位址會收到註冊確認。
   3. 在驗證模式下，取消選擇基本，然後選擇目錄。不選取驗證 Proxy。
   4. 在 Intelligent Hub 的驗證來源下，啟用 Workspace ONE UEM。如果使用 vRA、vShield、NSX 等其他 VMware 產品，請選擇 Workspace ONE Access。
   5. 在裝置註冊模式下，選擇開放式註冊。此設定意味著您不會列出允許註冊的裝置，也不需要登錄 Token。
   6. 對於接下來的三個 iOS 和 macOS 選項，請檢查每個選項旁的資訊徽章，以確定哪些選項最適合您的使用者群。
   7. 選取儲存。

3. 在群組 & 設定 > 所有設定 > 裝置 & 使用者 > 註冊中，選擇管理模式索引標籤。如果選項未亮起且不可選擇時，請在目前設定中選擇覆寫選項以啟用所有這些選項。

   透過 Intelligent Hub 註冊的裝置預設為受 MDM 管理。對於要在 Workspace ONE UEM 中註冊選擇使用替代管理機制 (例如基於應用程式、已註冊模式或未受管理) 的裝置，您可以透過管理模式索引標籤，依各個平台退出 MDM 管理。啟用平台並選擇適合的智慧群組，以允許這些裝置在沒有 MDM 管理的情況下註冊。使用智慧群組時，可以根據以下條件啟用註冊：作業系統版本、擁有權類型和使用者群組。使用調適性管理應用程式原則，針對不透過管理註冊的 iOS 裝置來控制裝置管理級別。如果要保持 MDM 管理，請跳過此註冊索引標籤並繼續執行步驟 4 (Hub 整合)。

   1. 對於您希望退出 MDM 管理，選擇使用替代管理機制的每個平台，請為該平台選擇已啟用按鈕。

   2. 如果您希望在此 OG 中註冊的所有裝置都退出 MDM 管理，請在此組織群組中的所有 [平台] 裝置下選擇已啟用。這些裝置可以在註冊模式下進行管理，也可以在應用程式級別進行管理。它們也可以保持未受管理狀態。選擇已停用，然後按一下文字方塊以啟用下拉功能表。選擇智慧群組的名稱，將內容指派給這些裝置。在該 OG 中註冊但未包含在智慧群組中的任何類似平台裝置都將註冊為受 MDM 管理。

      如果您尚未建立此智慧群組，請選擇下拉功能表底部的建立智慧群組按鈕。然後依照建立智慧群組中的說明進行操作，確保採用條件路徑並確保您的平台相符：為 iOS 管理模式建立一個 iOS 智慧群組，為 Android 管理模式建立一個 Android 智慧群組等。

   3. 選取儲存。

4. 在群組 & 設定 > 所有設定 > 裝置 & 使用者 > 註冊中，選擇 Hub 整合索引標籤。如果選項未亮起且不可選擇時，請在目前設定中選擇覆寫選項以啟用所有這些選項。

   1. 在 Intelligent Hub 中使用 Hub 服務功能下，選擇 [已啟用] 以允許此組織群組中的裝置連接到應用程式目錄和人員等功能的 Workspace ONE Hub 服務。選擇已停用以退出這些 Hub 服務功能。
   2. 選取儲存。

5. 在群組 & 設定 > 所有設定 > 裝置 & 使用者 > 註冊中，選擇使用條款索引標籤。如果選項未亮起且不可選擇時，請在目前設定中選擇覆寫選項以啟用所有這些選項。

   1. 在要求接受註冊使用條款之下，選擇已啟用以要求您的使用者在允許他們註冊之前同意您指定的使用條款。選擇已停用以選擇接受使用條款以進行註冊。
   2. (可選) 選擇新增註冊使用條款按鈕，然後顯示建立新使用條款畫面，以便您輸入使用條款合約。您可以指定選項，包括平台、裝置擁有權、註冊類型和語言。與您的法律團隊協商，以制訂有效的使用條款合約。選擇儲存以儲存合約。
   3. 選擇儲存以儲存您的使用條款索引標籤選項。

6. 在群組 & 設定 > 所有設定 > 裝置 & 使用者 > 註冊中，選擇分組索引標籤。如果選項未亮起且不可選擇時，請在目前設定中選擇覆寫選項以啟用所有這些選項。

   1. 在群組 ID 指派模式下，選擇預設。
   2. 在預設區段下，對於預設裝置擁有權，選擇員工所有，這是 BYOD 部署的主要特徵。
   3. 在預設區段下，對於預設角色，選擇基本存取權、完整存取權，或者選擇您準備的角色。
   4. 在預設區段下，對於非活躍用戶的預設操作，選擇企業擦除當前已註冊的設備。在裝備被盜或遺失的情況下，此選項可最大程度地防止智慧財產/公司資料遺失。
   5. 在使用者群組同步區段下，對於 Workspace ONE 的即時同步使用者群組，選擇已停用。啟用時，Workspace ONE 可在指定的使用者透過 UEM Console 進行註冊時同步其使用者群組。由於對 Workspace ONE UEM 效能的影響，請僅在使用者群組頻繁變更時才啟用此選項，因為它們會影響是否應允許裝置註冊。
   6. 在使用者角色對應區段中，對於啟用基於目錄群組的對應，請取消選取此處的勾選方塊以選擇不根據目錄服務中的使用者群組套用角色。啟用該勾選方格以考慮目錄服務中的所有使用者群組，並使用該資訊指派特定角色。例如，您可以將「角色 x」套用於「管理員」目錄服務使用者群組中的每個人，同時將「角色 y」套用於另一個使用者群組中的所有人。

7. 在群組 & 設定 > 所有設定 > 裝置 & 使用者 > 註冊中，選擇限制索引標籤。如果選項未亮起且不可選擇時，請在目前設定中選擇覆寫選項以啟用所有這些選項。

   1.如果您的裝置使用者尚未以使用者身份新增至 Workspace ONE UEM，而且他們是首次註冊裝置，則在使用者存取控制下，保持將註冊限制為已知使用者的勾選方格留空 (取消選取)。但是，如果您已大量匯入使用者或將其傳送到自助入口網站自行新增，則可以考慮啟用此勾選方格。2.如果您尚未將目錄服務與使用者群組整合在一起，則在使用者存取控制下，將限制註冊到已配置群組的勾選方格留空 (取消選取)。但是，如果您有意將目錄服務與 Workspace ONE UEM 整合，根據您在目錄服務中的使用者群組在 UEM 中建立使用者群組，則考慮啟用此勾選方格以將註冊限制為僅屬於其中一個目錄服務使用者群組的使用者。

   3.在原則設定區段下，您可以選擇新增原則按鈕，以根據您決定的因素手動限制註冊。這些因素包括擁有權類型、註冊類型、裝置平台、裝置型號和作業系統。

   

   您可以定義多個原則，例如每個平台一個原則，指定最低型號或作業系統版本，並僅允許這些裝置註冊。該可能是一個強大的工具，您可以在步驟 5 中稍後查看。

   4.在 Workspace ONE 的管理要求區段下，當啟用 Workspace ONE 需要 MDM 時，將提示符合指派條件的裝置在登入至 Workspace ONE 時立即註冊。允許不符合指派條件的裝置以非受管理狀態登入。之後可能會使用調適性管理對其進行管理。此選項需要 Workspace ONE 應用程式 3.2 或更高版本。

   5.在群組指派設定區段下，您可以套用在步驟 3 中定義的原則，並將合格裝置傳送到您選擇的使用者群組。

   例如，如果您制定的限制原則僅允許員工自有 (BYOD) Android 裝置版本 10 或更高版本，而第二個限制原則僅允許員工自有 (BYOD) iPhone 版本 15 或更高版本，則可以對其進行設定，以便將 Android 使用者新增到另一個使用者群組，將 iPhone 使用者群組新增到另一個使用者群組。此類組織將來在內容管理方面非常有用。

8. 其他的索引標籤 (可選提示和自訂) 是對 BYOD 功能不太重要，但對裝置使用者便利的選項。有關每個可用選項的詳細說明，請參見可選提示和自訂。

3.使用 Intelligent Hub 註冊

對 Workspace ONE Express 和 Workspace ONE UEM 中的 Android、iOS 和 Windows 裝置來說，使用 Workspace ONE Intelligent Hub 註冊裝置是主要選項。

1. 從 Google Play 商店 (適用於 Android 裝置) 或從 App Store (適用於 Apple 裝置) 下載並安裝 Workspace ONE Intelligent Hub。

   若要從公用的應用程式商店中下載 Workspace ONE Intelligent Hub，則必須有 Apple ID 或 Google 帳戶。

   Windows 10 裝置必須將裝置上的預設瀏覽器指向 https://getwsone.com 以下載 Hub。

2. 完成下載後，執行 Workspace ONE Intelligent Hub 或返回瀏覽器工作階段。

   重要提示：若要確保 Workspace ONE Intelligent Hub 在 Android 裝置上安裝成功且順利執行，必須至少有 60 MB 的可用空間。您可以在 Android 平台上為每個應用程式配置 CPU 和執行時期記憶體。如果應用程式使用的資源多於配置的量，Android 裝置會結束這類應用程式以進行最佳化。

3. 出現提示時，請輸入您的電子郵件地址。Workspace ONE Console 會檢查您的位址是否已新增至環境中。如果是，則表示系統已將您配置為終端使用者，而您的企業群組也已獲得指派。

   如果 Workspace ONE console 無法依據您的電子郵件地址來識別您的終端使用者身份，就會提示您輸入伺服器、群組 ID 與認證。您的管理員可以提供環境 URL 和群組 ID。

4. 依照所有剩餘的提示完成註冊。您可以使用電子郵件地址取代使用者名稱。如果兩個使用者擁有相同的電子郵件，註冊會失敗。

裝置現在已透過 Workspace ONE Intelligent Hub 應用程式註冊。在此裝置的裝置詳細資料視圖的摘要索引標籤中，[安全性] 面板會顯示「已註冊的 Hub」以反映此註冊方法。

企業所屬且已個人啟用 (COPE) Workspace ONE Direct 註冊

直接註冊是公司所屬與個人啟用之裝置 (COPE) 的最平穩註冊方式。COPE 型號可為企業提供方式，讓企業可在裝置消費以及 IT 需要的安全性和控制之間取得平衡。

身為管理員，您可以使用想要的選項來設定直接註冊。這些選項包含選擇性提示、依裝置類型限制、依使用者群組限制，以及延遲使用者安裝應用程式。

依預設停用直接註冊。若要啟用 Workspace ONE 直接註冊，請採取以下步驟。

1. 切換到您想要啟用 Workspace ONE 直接註冊的企業群組。您要移動到的 OG 是您計劃包含註冊的所有 COPE 裝置的組織群組。此 OG 是您近期選擇用來管理智慧群組的組織群組，這些智慧群組用於為 COPE 提供裝置設定檔、COPE 合規原則、COPE 應用程式和其他 COPE 內容。
2. 導覽至群組 & 設定 > 所有設定 > 裝置 & 使用者 > 一般 > 註冊，然後選取限制標籤。

3. 向下捲動至Workspace ONE 管理需求，然後選取您的配置選項。如有必要，請選取為覆寫父 OG 設定。

   

   設定	描述
   Workspace ONE 需要 MDM	登入 Workspace ONE 時，提示符合資格的裝置和使用者必須立即註冊。 不符定義條件的裝置能夠以不受管理的狀態註冊，且之後可能會變更為受管理的狀態 (可調式管理)。
   指派的使用者群組	此設定會指定您想要納入直接註冊程序的使用者群組。您也可以選取所有使用者，此為啟用 Workspace ONE 需要 MDM 時的預設選取項目。
   iOS	啟用此設定以納入 iOS 裝置。停用時，iOS 裝置不符合直接註冊的資格，不過仍能以不受管理的狀態註冊至 Workspace ONE UEM。
   Android 舊版	啟用此選項以納入舊版 Android 裝置。停用時，舊版 Android 裝置不符合直接註冊的資格，不過仍能以不受管理的狀態註冊至 Workspace ONE UEM。
   Android Enterprise	啟用此設定以納入 Android 企業裝置。停用時，Android 企業裝置不符合直接註冊的資格，不過仍能以不受管理的狀態註冊至 Workspace ONE UEM。

其餘步驟是由使用者執行。通常，向使用者傳送包含詳細註冊步驟的電子郵件就是完成此操作的方法。

1. 指示使用者從平台特定的 App Store或存放庫下載、安裝和執行 Workspace ONE 應用程式。
2. 輸入伺服器網址或電子郵件地址。您可以將此資訊包含在使用者的註冊電子郵件中。
3. 輸入目錄服務使用者名稱和密碼。
4. 選取平台特定的確認步驟，以安裝或啟用 Workspace Services。
   1. iOS – 允許伺服器開啟設定，輸入裝置密碼，安裝未簽署的裝置設定檔，並在 Workspace 中開啟畫面。
   2. Android 舊版 – 安裝 Workspace ONE Intelligent Hub，允許其建立與管理通話、利用輸入裝置資產編號的選項來選取裝置擁有權、啟動裝置管理員應用程式，然後登入 Workspace ONE。
   3. Android 企業版 – 接受 (或拒絕) 使用協議條款，設定工作設定檔，並建立 Workspace ONE 密碼。
5. Workspace ONE 完成安裝例行工作時，您就可以繼續安裝 APP。
6. 使用者可以安裝選取自清單的個別 APP、全部安裝，或完全略過此步驟。

Workspace ONE 直接註冊支援的選項

導覽至群組和設定 > 所有設定 > 裝置和使用者 > 一般 > 註冊，選取每個適用的索引標籤，然後根據與 Workspace ONE 直接註冊的相容性進行選取。

驗證

以下是與 Workspace ONE 直接註冊相容的驗證選項。

• 目錄使用者。
• SAML 和 Active Directory 使用者受到「即時」支援。只要在初次登入之前有使用者記錄存在於 Workspace ONE UEM 中，即支援未使用 LDAP 的 SAML 記錄
• 目前不支援基本使用者、註冊預備使用者、未使用目錄的 SAML 使用者，以及 Authentication Proxy 使用者。
• 開放式註冊。
• Workspace ONE 不會稽核「需要 iOS 或 macOS 的 Workspace ONE Intelligent Hub」設定。這些設定可用來封鎖其各自平台上的 Web 註冊。

使用條款

所有使用條款選項皆與 Workspace ONE 直接註冊相容。

分組

所有分組選項皆與 Workspace ONE 直接註冊相容。

限制

以下是與 Workspace ONE 直接註冊相容的限制選項。

• 已知的使用者和已配置的群組。
• 已註冊的裝置數上限。
• 原則設定受到部分支援。
  • 允許的擁有權類型 – Workspace ONE 只會對員工擁有和公司專用的類型發出提示。如果您不想看見這兩種提示，請停用可選提示，並使用預設的擁有權類型。
  • 不支援「允許的註冊類型」。
• 支援裝置平台、裝置型號和作業系統限制。
• 使用者群組限制。

選擇性提示

以下是與 Workspace ONE 直接註冊相容的選擇性提示選項。

• 裝置擁有權提示。
• 資產號碼提示 (只有在 [裝置擁有權提示] 已啟用時才支援)。
• 不支援其他所有的選擇性提示。

自訂

以下是與 Workspace ONE 直接註冊相容的自訂選項。

• 為各平台使用特定的訊息範本。
• 註冊後的登陸 URL (僅限 iOS)。
• MDM 設定檔訊息 (僅限 iOS)。
• 使用自訂 MDM 應用程式。
• 不支援「註冊支援電子郵件」和「註冊支援電話」。

註冊預備

不支援使用直接註冊流程在此 COPE 模式下進行裝置註冊預備。如果您必須為單一或多個使用者進行裝置註冊預備，若為以下平台組態，您必須使用 Workspace ONE Intelligent Hub 註冊裝置：

共享裝置

• 共用 Android 裝置的註冊組態
• 共用 iOS 裝置的註冊組態