console Основные сведения о · Сравнение наст ро ек...

Основные сведения о Console

VMware Workspace ONE UEM 1909

Актуальная техническая документация доступна на веб-сайте VMware:

https://docs.vmware.com/ru/

Все замечания по данной документации можно отправлять по адресу:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware РоссияРоссия, 125284, г. Москваул. Беговая, д.3, стр.1Бизнес-центр "NORDSTAR TOWER" 30й этажТелефон: +7 495 212 29 00www.vmware.com/ru

© 2019 VMware, Inc. Все права защищены. Информация об авторских правах и товарных знаках.


VMware, Inc. 2

https://docs.vmware.com/ru/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Содержание

1 Работа на UEM console 6Вход в UEM Console 7

Исследование событий консоли, связанных с блокировкой учетных записей 9

Присоединиться к программе улучшения качества программного обеспечения или выйти из нее 10

Работа с мастером начальной настройки 10

UEM Console Monitor 12

Intelligence 14

Панель управления администратора 15

Отслеживание развертывания приложений 15

Отраслевые шаблоны для iOS 18

Управление настройками аккаунта 18

Верхнее меню 19

Главное меню 21

Настройки 21

Сворачивание и разворачивание подменю 22

Глобальный поиск 23

Уведомления консоли UEM 24

Управление уведомлениями консоли UEM 25

Конфигурация настроек уведомлений 26

2 Настройка среды 28Сертификаты APNs 28

Создание нового сертификата APNs 29

Обновление сертификата APNs 30

Проверка подключения APNs по протоколу HTTP/2 31

Условия использования 31

Создание условий использования при регистрации 32

Создание условий использования приложения или консоли 33

Просмотр принятия условий использования 34

Отслеживание принятия условий использования с помощью отчетов 34

Настройка пользовательского интерфейса с помощью брендинга 35

Ограничение действий на консоли UEM 36

Выбор действий, защищенных паролем 37

Настройка обязательных заметок для действий 39

Интеграция с другими системами предприятий 40

3 Аккаунты пользователей и администраторов 42Типы аутентификации пользователей 42

VMware, Inc. 3

Стандартная аутентификация пользователей 43

Аутентификация на основе Active Directory с использованием LDAP 44

Аутентификация на основе Active Directory с использованием LDAP или VMware Enterprise Systems Connector 45

Прокси-сервер аутентификации 46

Аутентификация SAML 2.0 47

Аутентификация на основе маркеров 48

Включение типов безопасности для регистрации 49

Базовые аккаунты пользователей 51

Создание базовых аккаунтов пользователей 51

Аккаунты пользователей на основе каталога 53

Синхронизация состояний пользователей каталога 54

Создание аккаунта пользователя на основе каталога 55

Список аккаунтов пользователей 57

Функция пакетного импорта 60

Пакетный импорт пользователей или устройств 61

Пакетный импорт групп пользователей 62

Изменение базовых пользователей с помощью пакетного импорта 63

Перемещение пользователей с помощью пакетного импорта 63

Аккаунты администраторов 64

Создание аккаунта администратора 64

Создание временного аккаунта администратора 65

Управление аккаунтами администраторов 66

4 Доступ на основе ролей 68Настраиваемые роли и роли по умолчанию 68

Изменение роли пользователя по умолчанию для создания настраиваемой роли пользователя 69

Роли администраторов по умолчанию 70

Изменение роли администратора по умолчанию для создания настраиваемой роли администратора71

Роли пользователей 71

Создание новой роли пользователя 72

Настройка роли по умолчанию 72

Назначение или изменение роли существующего пользователя 73

Роли администраторов 73

Список ролей администраторов 73

Индикатор чтения/изменения в категориях для администраторов 78

Назначение или изменение роли администратора 78

Просмотр ресурсов роли администратора 79

Средство сравнения ролей администраторов 80

Как создать администратора службы поддержки с ограничениями и добавить роль, предоставляющую специальные функции 82


VMware, Inc. 4

5 Группы 85Группы назначения 85

Список групп назначения 86

Назначение одной или нескольких групп назначения 87

Организационные группы 88

Характеристики организационных групп 88

Создание организационных групп 93

Типы функций организационных групп 94

Ограничения организационных групп 95

Сравнение настроек организационных групп 96

Смарт-группы 97

Создание смарт-группы 97

Назначение смарт-групп 100

Исключение групп из профилей и политик 101

Список смарт-групп 102

Группы пользователей 105

Группы пользователей без интеграции каталогов (настраиваемые) 105

Группы пользователей с интеграцией каталогов 106

Изменение разрешений для группы пользователей 109

Доступ к сведениям о пользователях 110

Список групп пользователей 111

Группы администраторов 113

Список групп администраторов 113

Добавление групп администраторов 114

Просмотр назначений 116

6 Портал самообслуживания 118Настройка страницы «Вход по умолчанию» на портале самообслуживания 119

Страница «Мои устройства» на портале самообслуживания 119

Добавление устройства на портале самообслуживания 120

Сведения об устройстве на портале самообслуживания 121

Дистанционные действия на портале самообслуживания 121

Базовые дистанционные действия на портале самообслуживания 122

Дополнительные дистанционные действия на портале самообслуживания 123

Матрица действий на портале самообслуживания 123


VMware, Inc. 5

Работа на UEM console 1Workspace ONE UEM powered by AirWatch позволяет просматривать и управлять всеми аспектами развертывания MDM. Это единое сетевое решение позволяет быстро и просто добавлять новые устройства и пользователей к парку устройств, управлять профилями и настраивать параметры системы.

Ознакомьтесь с настройками безопасности и функциями интерфейса, такими как мастер начальной настройки, значки меню, отправка отзывов и глобальный поиск.

Подробная информация о том, как VMware обрабатывает аналитическую и другую информацию, собранную при помощи Workspace ONE UEM, приведена в политике конфиденциальности VMware https://www.vmware.com/help/privacy.html.

Поддерживаемые браузерыWorkspace ONE Unified Endpoint Management (UEM) console поддерживает последние стабильные сборки следующих веб-браузеров.

n Chrome

n Firefox

n Safari

n Internet Explorer 11

n Microsoft Edge

В последних версиях веб-браузеров было проведено тщательное тестирование всех возможностей. При запуске UEM console с браузером более ранней версии или в несертифицированном браузере могут возникать небольшие проблемы.

Примечание Если вы используете IE для доступа к UEM console, перейдите в раздел Панель управления > Параметры > Свойства браузера > Безопасность и убедитесь, что вы используете уровень безопасности или настраиваемый уровень безопасности, в котором для параметра Загрузка шрифтов установлено значение Включено.

n Android 4.0+ n Tizen 2.3+

n Apple iOS 7.0+ n Windows Desktop (8/8.1/RT/10)

n Apple macOS 10.9+ n Windows 7 (Windows 7 или более поздняя версия)

VMware, Inc. 6

https://www.vmware.com/help/privacy.html

n Chrome OS (последняя версия) n Windows Phone (Windows Phone 8/8.1, Windows 10 Mobile)

n QNX 6.5+ n Устройства повышенной прочности Windows (Mobile 5/6 и Windows CE 4/5/6)

Возможна ограниченная поддержка других устройств или операционных систем. Прямая регистрация Workspace ONE поддерживается только на устройствах iOS и Android. Дополнительные сведения см. в разделе Прямая регистрация Workspace ONE в документе Управление устройствами в Workspace ONE UEM.

Чтобы получить дополнительные сведения для конкретной платформы, воспользуйтесь интерактивной справкой, посетите веб-сайт docs.vmware.com или свяжитесь со службой поддержки VMware Support.

В эту главу входят следующие разделы:

n Вход в UEM Console

n Присоединиться к программе улучшения качества программного обеспечения или выйти из нее

n Работа с мастером начальной настройки

n UEM Console Monitor

n Управление настройками аккаунта

n Верхнее меню

n Главное меню

n Настройки

n Сворачивание и разворачивание подменю

n Глобальный поиск

n Уведомления консоли UEM

Вход в UEM ConsoleДля выполнения любых действий в Workspace ONE UEM powered by AirWatch сначала необходимо войти в console.

Для входа в Workspace ONE UEM Console необходимо иметь URL-адрес среды и учетные данные для входа в систему. Способ получения этой информации зависит от типа развертывания.

n Развертывание SaaS — ваш менеджер по работе с клиентами предоставляет вам URL-адрес среды, а также имя пользователя и пароль. URL-адрес не кастомизуется и обычно предоставляется в формате awmdm.com.

n Локальный — Настраиваемый локальный URL-адрес в формате awmdm.<Ваша_компания>.com.

Аккаунт-менеджер предоставляет учетные данные начальной настройки для среды. Администраторы, создающие дополнительные аккаунты для передачи функций управления, также могут создавать и распределять учетные данные для своей среды.


VMware, Inc. 7

Когда в браузере откроется URL-адрес среды UEM console, можно выполнить вход с именем пользователя и паролем, полученными от администратора Workspace ONE UEM.

1. Введите имя пользователя.

n Workspace ONE UEM Console сохраняет имя пользователя и тип пользователя (SAML или не SAML) в кэше браузера.

n В случае с пользователем SAML для администратора отображается страница входа SAML.

n В случае другими пользователями у администратора запрашивается пароль.

n Если установлен флажок Запомнить, то при следующем переходе по URL-адресу среды в текстовое поле Имя пользователя подставляется имя последнего пользователя, выполнявшего вход в систему.

2. Введите пароль.

n При первом входе в систему предлагается ввести пароль. Введите его, чтобы продолжить.

n Если вы уже выполняли вход в систему и в браузере по умолчанию включено сохранение имен пользователей и паролей, в текстовое поле Пароль автоматически подставляется пароль, сохраненный в кэше браузера.

3. Нажмите кнопку Вход.

n После входа в систему отображается главный экран по умолчанию (его можно настроить). Информацию о настройке главного экрана см. в разделе Верхнее меню.

Время ожидания сеанса и выход из системыСуществует два основных сценария, в которых выполняется выход из Workspace ONE UEM Console.

1. Явный выход из системы (включая выход при закрытии окна браузера и бездействии).

n Если в браузере по умолчанию включено сохранение имени пользователя и пароля, то при следующем входе в систему в текстовое поле «Имя пользователя» автоматически подставляется имя последнего пользователя, выполнявшего вход в систему.

n Если настройки браузера запрещают сохранять имена пользователей и пароли, имя пользователя и тип пользователя (SAML или не SAML) удаляются из кэша браузера.

2. Инвалидация сеанса (в том числе проблемы с балансировщиком нагрузки и истечение времени ожидания сеанса в соответствии с настройкой администратора).

n Пользователи, не относящиеся к типу SAML, могут повторно войти в систему с сохраненным именем, нажав кнопку Вход.

n Пользователи SAML могут повторно войти в console, не выполняя никаких дополнительных действий.


VMware, Inc. 8

Блокировка входаСистемные администраторы и администраторы AirWatch могут настроить максимальное количество неудачных попыток входа, прежде чем администратор будет заблокирован в console, перейдя в раздел Группы и настройки > Все настройки > Администратор > Безопасность консоли > Пароли.

Предусмотрены два сценария для блокировки в UEM console: 1) если число неудачных попыток больше, чем заданное максимальное количество неудачных попыток входа; 2) если трижды введен неверный ответ на вопрос для восстановления пароля при попытке сброса пароля.

Когда это происходит, необходимо либо сбросить пароль, используя ссылку на странице входа для устранения неполадок, либо воспользоваться помощью администратора для разблокировки учетной записи в списке администраторов. Вы получите уведомление по электронной почте после блокировки учетной записи и еще одно уведомление, когда учетная запись будет разблокирована. Подробнее см. в разделе Исследование событий консоли, связанных с блокировкой учетных записей.

Истечение срока действия пароляАдминистраторы базового уровня получают уведомление по электронной почте за 5 дней до истечения срока действия пароля и еще один раз — за один день. Локальные администраторы могут изменить этот 5-дневный период по умолчанию, перейдя в раздел Группы и настройки > Все настройки > Администратор > Безопасность Console > Паролииз глобальной организационной группы. Выделенные администраторы SaaS должны обратиться в службу поддержки, чтобы внести изменения в этот параметр.

Можно настроить свое уведомление об истечении срока действия пароля для администраторов. Для этого перейдите в раздел Группы и настройки > Все настройки > Устройства и пользователи > Общие > Шаблон сообщения и выберите для параметра Категория значение «Администратор», а для параметра Тип — значение «Уведомление администратора об истечении срока действия пароля».

Информацию о настройках регистрационных паролей пользователей, которые управляются отдельно от паролей консоли администрирования, см. на странице системных настроек, перейдя в раздел Группы и настройки > Все настройки > Устройства и пользователи > Общие > Пароли.

Исследование событий консоли, связанных с блокировкой учетных записейПри блокировке и разблокировке учетных записей базовых администраторов в Workspace ONE UEM создается событие консоли. Оба события создаются с уровнем ведения журнала 5 (предупреждение). Наряду с просмотром основной истории входов из раздела Настройки учетных записей, вы можете исследовать события консоли, связанные с блокировкой и разблокировкой учетных записей администраторов, выполнив следующие шаги.

Процедура

1. Перейдите в раздел Монитор > Отчеты и аналитика > События > События консоли.

2. Выберите «Предупреждение и выше» в раскрывающемся фильтре Важность над списком События консоли.

3. Выберите «Вход» в раскрывающемся фильтре Категория.


VMware, Inc. 9

4. Выберите «Администрирование» в раскрывающемся фильтре Модуль.

5. При необходимости примените дополнительные фильтры, включая Диапазон дат.

Результаты

Нажмите ссылку в столбце Данные событий (если имеется), чтобы получить дополнительные сведения, которые могут помочь при поиске.

Присоединиться к программе улучшения качества программного обеспечения или выйти из нееПрограмма улучшения качества программного обеспечения от компании VMware (CEIP) предоставляет информацию для VMware, которая позволяет VMware улучшать свои продукты и услуги, исправлять ошибки, а также давать советы по эффективному развертыванию и использованию продуктов VMware. Эта программа доступна только для локальных Workspace ONE UEM развертываний.

Сообщение о программе CEIP появляется, когда выполняется установка или обновление Workspace ONE UEM. Необходимо сделать выбор. Вы можете изменить свой выбор позже в любое время из UEM console, выполнив следующие шаги.

Необходимые условия

Workspace ONE UEM powered by AirWatch Примите участие в программе улучшения качества программного обеспечения VMware (CEIP). Подробности о собранных в CEIP данных и целях их использования для VMware изложены в центре управления безопасностью и контроля качества на странице http://www.vmware.com/trustvmware/ceip.html.l.

Подробная информация о том, как VMware обрабатывает аналитическую и другую информацию, собранную при помощи Workspace ONE UEM, приведена в политике конфиденциальности VMware https://www.vmware.com/help/privacy.html.

Процедура

1. Перейдите в Группы и настройки > Все настройки > Админ > Программы улучшения продукта.

2. Если вы хотите принять участие в программе CEIP, установите флажок рядом с Принять участие в программе улучшения качества программного обеспечения VMware.

а) Если вы не хотите участвовать в CEIP, отключите (снимите) этот флажок.

3. Выберите клавишу Сохранить.

Работа с мастером начальной настройкиМастер начальной настройки предоставляет пошаговую инструкцию по настройкам Workspace ONE UEM powered by AirWatch. В нем представлены только те модули конкретного развертывания, которые лучше соответствуют фактической конфигурации системы.


VMware, Inc. 10

http://www.vmware.com/trustvmware/ceip.html

https://www.vmware.com/help/privacy.html

Запуск мастера начальной настройкиГлавное меню «Мастер начальной настройки» можно использовать наиболее удобным для вас способом. Мастер не просто отслеживает, на каком шаге процесса вы находитесь, его можно запустить, приостановить, перезапустить позднее и откатить для просмотра и даже изменения предыдущих действий.

n Выберите Запустить мастер, чтобы выполнить первое действие в модуле. Здесь необходимо ответить на вопросы и на соответствующих страницах консоли UEM настроить параметры для каждого компонента. По мере выполнения действий в каждом подмодуле в правом верхнем углу изменяется счетчик, показывающий процент выполнения действий в данном подмодуле.

n Если вы остановили подмодуль до его завершения, нажмите Продолжить, чтобы вернуться туда, где остановились.

n Можно отказаться от выполнения любого подмодуля, выбрав пункт Пропустить раздел, после чего кнопка «Продолжить» будет временно отключена и появится ссылка Возобновить раздел. После выбора этой ссылки кнопка «Продолжить» будет снова включена.

Страница «Начало работы» разделена на четыре субмодуля: Workspace ONE, устройства, контент и приложения. Каждый подмодуль имеет собственный набор действий. Действия, общие для всех подмодулей, отслеживаются автоматически, поэтому вам не придется повторять одни и те же действия.

n Workspace ONE. Обеспечивает слаженный доступ с любого личного или корпоративного устройства. Возможность безопасного подключения к таким эффективным корпоративным приложениям, как электронная почта, календарь, контакты, документы и пр. Мгновенный единый вход в мобильные приложения, облачные приложения и приложения для Windows. Мощная система защиты данных, которая защищает организацию и сотрудников от компрометации устройств.

Подробнее о Workspace ONE см. в документации по VMware Workspace ONE.

n Устройство. Выполнение действий с зарегистрированными в MDM устройствами (например, блокировка, работа с уведомлениями и очистка корпоративных данных). Развертывание профилей для настройки электронной почты, ограничений, параметров и пр. Настройка правил соответствия требованиям, чтобы обеспечить применение политик безопасности к парку устройств. Просмотр вариантов оптимального управления устройствами с помощью панели управления или монитора.

n Контент. Распространение контента и получение к нему доступа на ходу с помощью приложения Content Locker. Просмотр и контроль контента с помощью панелей управления контентом, отчетов и журналов. Используйте компонент «Личный контент», чтобы обмениваться данными и совместно работать с другими людьми. Интеграция с существующими репозиториями и распространение контента на мобильные устройства.

n Приложение. Развертывание разработанных внутри организации приложений или общедоступных бесплатных либо платных приложений. Развертывание настраиваемого каталога App Catalog, чтобы пользователи могли искать и загружать приложения. Интеграция с профилями соответствия или профилями управления приложениями путем создания списков разрешенных и запрещенных приложений. Настройка дополнительных параметров управления приложениями, таких как сканирование приложений.


VMware, Inc. 11

https://docs.vmware.com/ru/VMware-Workspace-ONE/index.html

Запуск мастеров Workspace ONE, «Устройство», «Контент» и «Приложение»В каждом из подмодулей отображается список разделов, представляющих компоненты, которые можно настроить или пропустить в соответствии с потребностями организации. У ненастроенных компонентов отображается пустой флажок Не завершено, у настроенных компонентов отображается зеленый флажок Завершено.

n Нажмите кнопку Настроить, чтобы задать настройки нужного компонента.

n Чтобы просмотреть или изменить параметры уже настроенного компонента, нажмите кнопку Изменить.

n Для каждого компонента отображается процент завершенности его настройки в соответствующем индикаторе.

n У многих компонентов рядом с кнопкой Настроить или Изменить есть кнопка Видео. Это видео позволяет увидеть компонент в действии и помогает понять, насколько он может быть полезен организации.

n Некоторые компоненты подмодуля можно пропустить, не оказывая влияния на процентный индикатор завершенности. Чтобы убрать компонент из списка, можно нажать кнопку Пропустить этот шаг там, где она доступна. Чтобы снова отобразить этот компонент, нажмите кнопку Повторно активировать.

Для некоторых компонентов и функций имеются предварительные требования. Например, для единого мобильного входа требуется, чтобы были настроены Enterprise Connector, Active Directory и VMware Identity Manager. Там, где это возможно, имеется кнопка, позволяющая начать настройку необходимых компонентов.

UEM Console MonitorConsole Monitor в Workspace ONE UEM powered by AirWatch — это центральный портал для быстрого доступа к критически важной информации. В нем находятся цветные гистограммы и кольцевые диаграммы, позволяющие быстро выявить важные проблемы и принять меры.


VMware, Inc. 12

Если выбрать любую гистограмму или кольцевой график, на странице появится список устройств. Список содержит все устройства, относящиеся к выбранному показателю. Затем можно, например, отправить сообщение на эти устройства.

Например, выберите кольцевой график «Статус антивируса». В считанные секунды появится список устройств, на которых не установлены антивирусные программы, что нарушает политику безопасности. Выберите все устройства в списке, установив крайний левый флажок в строке каждого устройства. Кроме того, можно установить флажок «выбрать все» под кнопкой Добавить устройство. Над списком появится кластер управляющих кнопок. Чтобы отправить сообщение пользователям выбранных устройств, нажмите кнопку Отправить. Можно отправить электронное письмо, push-уведомление или СМС.

На странице Монитор > Обзор содержатся сводные графики и подробные представления.

n Устройства: показывает точное число устройств.

n Разбивка всех устройств по статусу, включая записанные, зарегистрированные, ожидающие очистки корпоративных данных или полной очистки, снятые с регистрации.

n Разбивка по платформам устройств, зарегистрированных в Workspace ONE UEM.

n Журнал регистрации за прошлые сутки, неделю или месяц.

n Соответствие нормативным требованиям: показывает устройства, нарушающие политики соответствия нормативным требованиям.

n Все политики, которым сейчас не соответствуют устройства, включая приложения, настройки безопасности, геолокацию и т. п.

n Самые нарушаемые политики из всех установленных политик соответствия нормативным требованиям.

n Запрещенные приложения (в том числе установленные на устройствах), расположенные в порядке частоты нарушений политики.


VMware, Inc. 13

n Устройства, не имеющие необходимых приложений.

n Профили: показывает устаревшие профили.

n Последняя версия профиля, включая устройства с устаревшими версиями каждого профиля.

n Приложения: показывает выделенные устройствам приложения.

n Последняя версия приложения, включая устройства с устаревшими версиями каждого приложения.

n Наиболее часто устанавливаемые приложения, отсортированные по количеству устройств, на которых они установлены.

n Контент: показывает устройства с устаревшим контентом.

n Последняя версия контента, включая каждый устаревший файл (расположены в порядке следования экземпляров).

n Эл. почта: показывает устройства, которые на данный момент не могут получать электронные сообщения.

n Устройства с заблокированным доступом к электронной почте, включая устройства, заблокированные по умолчанию, запрещенные или незарегистрированные.

n Сертификаты: показывает сроки действия сертификатов.

n Сертификаты, срок действия которых истекает через: месяц, 1–3 месяца, 6–12 месяцев и больше 12 месяцев. Кроме того, можно просматривать просроченные сертификаты.

Список отображаемых устройств зависит от текущей организационной группы и включает все устройства в дочерних организационных группах. Переключайтесь на организационные группы предыдущих уровней и автоматически обновляйте показатели устройств в раскрывающемся меню организационных групп.

Переключайтесь между режимами просмотра, выбирая значок Список ( ) и значок Диаграмма ( ). Необходимо выбрать любой показатель, чтобы открыть список определенного набора устройств. Затем можно, например, отправить сообщение на эти устройства.

Настройте Monitor, выбрав значок Доступные разделы ( ). Установите или снимите флажки доступных разделов («Устройства», «Соответствие», «Профили» и т. д.) и нажмите Сохранить, чтобы создать Monitor Overview (Обзор монитора).

Данные монитора можно экспортировать в формате PDF, выбрав значок Экспорт ( ). Это удобно для предоставления ежедневных, еженедельных и ежемесячных отчетов о текущем состоянии развертывания мобильных устройств.

IntelligenceИспользуйте настраиваемые средства анализа и отчеты, чтобы получить более подробные знания о парке устройств и доступ к таким преимуществам, как улучшенный мониторинг проблем с производительностью, повышение эффективности планирования и ускорение сроков развертывания.


VMware, Inc. 14

Откройте организационную группу клиентского типа, затем перейдите в раздел Монитор > > Средства анализа, нажмите кнопку Далее, чтобы ознакомиться с информацией об аналитической службе, и согласитесь использовать ее преимущества.

Отказаться от настраиваемых отчетов средств анализа можно в любое время.

Дополнительные сведения см. в Руководстве пользователя Workspace ONE Intelligence на веб-сайте docs.vmware.com.

Панель управления администратораПанель администратора предоставляет информацию о лицензии модуля и развернутых компонентах Workspace ONE™ UEM. Панель администратора содержит сводку лицензий, собранных в два отдельных раздела: Активные продукты и Развернутые компоненты.

Чтобы получить доступ к панели администратора, перейдите в раздел Мониторинг > Панель администратора. Доступ в панель администратора возможен только из организационной группы клиентского типа. Подробнее см. в разделе Типы функций организационных групп.

Активные продуты на панели администратораВ разделе Активные продукты подтверждается действительность лицензий на компоненты развертывания (Browser, Container, Mobile Device Management, App Catalog и т. д.). Для каждого компонента можно просмотреть общее число лицензий, их модели и типы.

Развернутые компоненты на панели администратораРаздел Развернутые компоненты содержит панель для каждого компонента в организационной группе клиентского типа, где показывается статус подключения.

n VMware Enterprise Systems Connector

n Secure Email Gateway

n VMware Tunnel

Можно нажать кнопку обновления ( ), чтобы обновить статус подключения отдельных компонентов.

Кроме того, можно нажать кнопку настроек ( ), чтобы отобразить страницу системных настроек, соответствующую активному компоненту.

Отслеживание развертывания приложенийМонитор приложений и профиля представляет собой быстрый способ для отслеживания последних развертываний приложений и профилей на устройствах. Монитор отображает архивные данные о процессах развертывания и статус установки приложений или профилей.

Монитор приложений и профиля отслеживает статус развертывания приложений и профилей на устройствах пользователей. Отслеживаются только приложения и профили, развернутые в последние 15 дней. Эти данные позволяет просматривать статусы развертывания и проводить диагностику проблем.


VMware, Inc. 15

При поиске приложений или профилей в представление монитора добавляется карточка с данными развертывания. Одновременно можно просматривать не более пяти карт. Карты хранятся до выхода пользователя из системы. При повторном входе в систему их необходимо загрузить повторно.

Архив отображает данные только за последние семь дней. В этом разделе показано число устройств, имеющих статус развертывания «Готово». В разделе текущего развертывания отображается статус развертывания устройства. Подробнее о статусах развертывания см. в разделе Статусы монитора приложений и профиля.

Если для устройства отображается статус «Не завершено», нажмите цифру рядом со статусом для просмотра списка всех устройств с таким статусом. Эта функция позволяет проверить устройства, на которых возникли проблемы развертывания, и устранить неполадки.

Монитор приложений и профиля отслеживает только развертывания, произведенные после обновления системы до версии ONE ™ UEM v9.2.1+. Если развертывание приложения или профиля выполнялось до обновления, данные не будут отображены.

Статусы монитора приложений и профиляМонитор приложений и профиля показывает текущий статус для устройств во время развертывания. Статус установки может иметь значения: готово, в ожидании и не завершено.


VMware, Inc. 16

Таблица 1-2. Описания статусов развертывания в мониторе приложений и профиля

Состояние Описание

Готово Устройства передают статус «Готово» после успешной установки приложения или профиля.

В ожидании Устройства передают статус «В ожидании», если приложение или профиль имеют следующий статус.

Профили

n Ожидание установки.

n Ожидание удаления.

n Неподтвержденное удаление.

n Подтвержденное удаление.

Приложения

n Требуется погашение.

n Погашение.

n Запрос.

n Идет установка.

n Удаление MDM.

n MDM удалено.

n Неизвестно.

n Команда установки готова для устройства.

n Ожидается установка на устройство.

n Запрос для входа.

n Обновление.

n Ожидание выпуска.

n Запрос на управление.

n Команда установки отправлена.

n Выполняется загрузка.

n Команда принята.

Не завершено Устройства передают статус «Не завершено», если приложение или профиль имеют следующий статус.

Профили

n Информация на утверждении.

Приложения

n Пользователь удален.

n Установка отклонена.

n Установка не удалась.

n Лицензия недоступна.

n Отклонено.

n Управление отклонено.

n Ошибка загрузки.

n Критерии отсутствуют.

n Не удалось выполнить команду.

Если для устройства отображается статус «Не завершено», нажмите цифру рядом со статусом для просмотра списка всех устройств с таким статусом. Эта функция позволяет проверить устройства, на которых возникли проблемы развертывания, и устранить неполадки.


VMware, Inc. 17

Отслеживание развертывания с помощью монитора приложений и профилейApp and Profile Monitor позволяет отслеживать развертывание приложения или профиля на устройствах пользователей. Это средство предоставляет информацию о статусе ваших развертываний.

Процедура

1. Перейдите в раздел Монитор > Монитор приложений и профилей.

2. В поле поиска введите имя приложения или профиля. Нажмите клавишу Enter на клавиатуре, чтобы начать поиск.

3. Выберите профиль или приложение из раскрывающегося меню и выберите Добавить.


Данные профиля или приложения появятся на карточке. Добавить за один раз можно максимум пять карточек.

Отраслевые шаблоны для iOSОтраслевой шаблон — это набор мобильных приложений и профилей устройств, который можно отправить в устройства и тем самым значительно ускорить процесс развертывания.

Можно выбрать шаблоны таких отраслей, как здравоохранение и розничная торговля, и изменить их согласно требованиям компании. Дополнительные сведения см. в разделе Общие сведения о шаблонах отрасли в разделе Документация платформы VMware Workspace ONE UEM iOS на docs.vmware.com.

Управление настройками аккаунтаВ Workspace ONE UEM powered by AirWatch можно управлять настройками аккаунта, включая личные данные пользователя, параметры уведомления, журнал входов и настройки безопасности.

ПользовательЧтобы с вами можно было связаться, введите личную информацию на вкладке Пользователь, включая адрес эл. почты, телефонные номера (макс. 4), часовой пояс и языковой стандарт.

УведомленияНастройки уведомлений на странице настроек учетной записи используются для включения или выключения уведомлений об окончании срока действия APNs, выбора способа получения уведомлений и изменения электронного адреса, на который они отправляются. Дополнительные сведения см. в разделе Конфигурация настроек уведомлений.

ВходыПросматривайте журнал входов в систему, включая даты и время, исходный IP-адрес, тип входа, исходные приложения, сведения о браузере, платформу, ОС и статус сеанса.


VMware, Inc. 18

БезопасностьЗдесь можно сбросить пароль, вопросы для восстановления пароля и четырехзначный PIN-код безопасности.

ПарольПри входе в UEM console помимо имени пользователя учетной записи необходимо указать пароль. Пароль можно сбросить в любое время.

Вопросы для восстановления пароляВопросы для восстановления пароля используются для сброса пароля. Пользователь устанавливает вопрос для восстановления пароля и ответ на него при первом входе в UEM console. Чтобы выбрать новый вопрос для восстановления пароля, нажмите кнопку Сбросить. Это действие автоматически завершает сеанс пользователя. При повторном входе в консоль отображается экран Настройки безопасности, где пользователь должен выбрать вопрос для восстановления пароля и ответ на него.

Если администратор не выбрал вопрос для восстановления пароля и кнопка Сбросить для вопросов восстановления пароля не отображается, необходимо удалить учетную запись администратора и создать ее заново. При входе в заново созданную учетную запись администратор должен установить вопрос и ответ для восстановления пароля.

Если на вопрос для восстановления пароля будет дано больше трех неверных ответов, вход будет заблокирован. В таком случае необходимо сбросить пароль, используя ссылку для устранения неполадок на странице входа. Кроме того, можно обратиться к администратору, чтобы он разблокировал учетную запись на странице списка администраторов. Вы получите уведомление по электронной почте после блокировки учетной записи и еще одно уведомление, когда учетная запись будет разблокирована.

PIN-код безопасностиБезопасность UEM console обеспечивается путем создания PIN-кода безопасности. PIN-код безопасности гарантирует защиту от случайной очистки устройства или удаления важных аспектов среды, включая пользователей и организационные группы. Также PIN-код служит вторым уровнем безопасности. Это дополнительный этап аутентификации, который блокирует действия неутвержденных пользователей.

При первом входе в UEM console требуется установить PIN-код безопасности.

Чтобы минимизировать риски безопасности, следует сбрасывать PIN-код безопасности как можно чаще.

Дополнительные сведения о процессе входа см. в разделе Вход в UEM Console.

Верхнее менюВерхнее меню появляется в верхней части практически каждой страницы в Workspace ONE UEM powered by AirWatch, предоставляя следующие функции.


VMware, Inc. 19

n Орг. группа: выбор организационных групп (на вкладке «Глобальные»), к которым необходимо применить изменения.

n Добавить: быстрое создание администратора, устройства, пользователя, политики, контента, профиля, внутреннего или общедоступного приложения.

n Глобальный поиск: ( ) поиск всех компонентов развертывания в UEM console, в том числе устройств, пользователей, контента, приложений, параметров конфигурации, администраторов, страниц и многого другого.

n Уведомления: ( ) уведомления обо всех важных событиях консоли. Число на значке уведомлений (c изображением звонка) указывает количество непросмотренных оповещений.

n Сохранено: ( ) доступ к избранным и наиболее используемым страницам UEM console.

n Справка: ( ) просмотр или поиск доступных руководств и документации по UEM console.

n Селектор «Мои сервисы» ( ): выбор сервисов из числа всех сервисов Workspace ONE, доступных для вас.

n Аккаунт: просмотреть данные аккаунта. Здесь можно изменить роль аккаунта, назначенную в текущей среде, настроить контактные данные, язык, уведомления, журнал просмотров входов и настройки безопасности, включая сброс PIN-кода. Кроме того, можно выйти из UEM console и вернуться на экран «Вход».

n Обновить: ( ) просмотр обновленной статистики и информации без выхода из текущего представления, с помощью обновления экрана.

n Доступные разделы: ( ) настройка представления «Обзор монитора» путем выбора необходимых разделов. Доступно только на экране монитора.

n Экспорт: ( ) создает полный (или фильтрованный, если используется фильтр) список пользователей, устройств, профилей, приложений, книг или политик в виде файла XLSX или CSV. Эти файлы можно просматривать и анализировать в MS Excel.

n Домашний: ( ) позволяет назначить любой экран UEM console домашней страницей. При следующем открытии UEM console выбранный экран отобразится в качестве домашней страницы.

n Сохранить: ( ) добавление текущей страницы в список сохраненных для быстрого доступа к избранным страницам UEM console.


VMware, Inc. 20

Главное менюГлавное меню позволяет переходить между всеми функциями, доступными для вашей роли в рамках развертывания MDM в Workspace ONE UEM powered by AirWatch.

Начало работы Убедитесь, что все компоненты основного развертывания успешно установлены. «Начало работы» организовано таким образом, что показаны только те модули развертывания Workspace ONE UEM Console, которые вас интересуют. Эта функция создает возможность работы в стадии адаптации, что соответствует вашей текущей конфигурации.

Монитор Просматривайте и контролируйте данные MDM, влияющие на принятие решений, и обозревайте свой парк устройств. Просматривайте сведения, например приложения, которые наиболее часто нарушают нормативные требования. Отслеживайте лицензии модулей на панели администратора и все устройства, которые на данный момент не соответствуют нормативным требованиям. Выбирайте и выполняйте «Шаблоны отрасли», чтобы упростить адаптацию специализированных приложений и политик на устройствах iOS.

Устройства Получите доступ к общим характеристикам устройств парка: статусу соответствия нормативным требованиям, распределению по типу принадлежности, последнему подключению, типу платформы и регистрации. Выбирайте удобное представление: полная панель управления, представление списка или просмотр подробностей. Используйте дополнительные вкладки: все текущие профили, статус регистрации, уведомления, настройки защиты от очистки, политики соответствия нормативным требованиям, сертификаты, предоставление продукта и управление принтерами.

Аккаунты Просматривайте пользователей и администраторов, связанных с вашим развертыванием MDM, и управляйте ими. Работайте с группами пользователей, ролями, статусом пакетов и настройками, связанными с пользователями. Кроме того, работайте с группами администраторов, ролями, системной активностью и настройками, связанными с администраторами.

Книги и приложения

Работайте с каталогами приложений, каталогами книг и заказами по программе Volume Purchase Program (VPP). Дополнительно просматривайте аналитику по приложениям и журналы с их настройками, включая категории приложений, смарт-группы, группы приложений, избранные приложения, геофенсинг и назначенные приложениям профили.

Контент Получите доступ к подробному обзору использования контента, включая журнал тенденций хранилища, статус пользователей или контента и разбивку по пользователям. Отправляйте контент для пользователей и устройств, а также управляйте им. Кроме того, просматривайте статус импорта пакетов, категории и репозитории контента, пользовательское хранилище, настройки домашней страницы VMware Content Locker и прочие настройки, связанные с определенным контентом.

Email Получите доступ к подробным обзорам данных электронной почты для вашего развертывания, включая статус управления электронной почтой, управляемые устройства, нарушения политик использования электронной почты, тип развертывания и последнее подключение.

Телеком Получите доступ к подробному обзору устройств, поддерживающих мобильную связь, включая журнал и план использования, а также данные роуминга. Просматривайте данные об использовании мобильной связи и отслеживайте использование роуминга, включая звонки, SMS и настройки контента, а также управляйте ими.

Группы и настройки

Управляйте структурами, типами и статусами, связанными с организационными группами, смарт-группами, группами приложений, пользователей и администраторов. Раздел Настройки — это упорядоченный список ссылок, которые ведут прямо на нужные страницы настроек.

НастройкиНастройки — это упорядоченный список страниц настроек, которые распределены по категориям, доступны для поиска и логически организованы, что упрощает их использование. В разделе «Настройки» можно найти и быстро открыть страницы основных настроек в Workspace ONE UEM powered by


VMware, Inc. 21

AirWatch и Workspace ONE Express. Для начала работы с этим списком перейдите в раздел Группы и настройки > Настройки.

Каждую настройку можно изучить, выбрав стрелку влево «Больше чем», чтобы развернуть строку и прочитать описание. Развернув, вы также можете ознакомиться с официальной документацией по настройкам, нажав на кнопку Подробнее.

Доступность для поискаМожно выполнить поиск настроек и категорий, введя данные в строку поиска, расположенную над списком.

Возможность классификацииВсе настройки классифицируются по атрибутам и сценариям использования, поэтому вы можете быстро найти те, которые вам нужны больше всего. Нажатие на категории действует как фильтр, убирая из списка те настройки, которые не являются частью выбранной категории. Чтобы очистить выбранные категории и сбросить список, нажмите на значок «x» рядом с названием категории или нажмите кнопку «Сброс» над строкой поиска.

Категории портативных устройствВы можете предоставлять общий доступ к категориям настроек другим администраторам, создавая сочетания категорий. Например, если выбрать Настройка платформы, Apple и Регистрация, вы можете поделиться этим сочетанием категорий, скопировав URL-адрес в адресной строке браузера.

Сворачивание и разворачивание подменюВы можете свернуть подменю на левой панели Workspace ONE UEM powered by AirWatch, чтобы освободить больше места на экране для сведений об устройстве. Вы также можете развернуть или повторно открыть свернутое подменю.

Процедура

u Чтобы временно свернуть подменю, выберите стрелку «Меньше чем», показанную здесь.


VMware, Inc. 22

Пример

Следующие шаги

Чтобы развернуть или повторно открыть свернутое подменю, выберите стрелку «Больше чем» в нижнем левом углу экрана рядом со значком «О программе».

Глобальный поискКомпонент «Глобальный поиск» имеет модульную структуру и интерфейс на основе вкладок, позволяя выполнять поиск по всему развертыванию. Глобальный поиск применяет заданную строку поиска к одной вкладке за раз, что позволяет быстрее получать результаты поиска. Выберите другую вкладку, чтобы применить те же самые параметры поиска к другой области Workspace ONE UEM powered by AirWatch.

Результаты выполнения глобального поиска можно просмотреть на следующих вкладках.

n Устройства: показывает совпадения с понятным именем устройства и именем профиля устройства.

n Аккаунты: показывает совпадения с именем пользователя и именем администратора.

n Приложения: показывает совпадения с внутренними, общедоступными и приобретенными веб-приложениями.

n Контент: показывает совпадения с любым контентом в устройствах.

Поиск организационной группыТакже можно выполнить поиск организационной группы, выбрав ее в раскрывающемся меню. Панель поиска находится над списком.


VMware, Inc. 23

Поиск настроекЧтобы найти настройки, можно запустить поиск на странице «Настройки». Перейдите в раздел Группы и настройки > Настройки и введите ключевое слово в текстовом поле поиска.

Уведомления консоли UEMУведомления позволяют быть в курсе событий Workspace ONE UEM powered by AirWatch, которые могут существенно повлиять на вашу работу. Кнопка «Уведомления» находится рядом с кнопкой «Глобальный поиск».

Существует много разновидностей уведомлений.

n Окончание срока действия APNs MDM: за 30 дней до окончания срока действия сертификатов APNs для MDM будет отправлено оповещение с критическим приоритетом. После окончания срока действия сертификата APNs приоритет оповещения понизится с критического до высокого. Эти уведомления позволяют избежать хлопот, связанных с просроченными сертификатами, и обеспечивают связь устройств с Workspace ONE UEM.

n Окончание срока действия APNs для приложений: за 30 дней до окончания срока действия сертификатов APNs для приложений будет отправлено оповещение с критическим приоритетом. Эти уведомления позволяют избежать хлопот, связанных с просроченными сертификатами, и поддерживать функционирование приложений на устройствах.


VMware, Inc. 24

n Защита от удаления приложения: это оповещение с высоким приоритетом отображается при превышении порогового значения «Удаление приложений». Можно выбрать ссылку «Пересмотреть удаление приложения» во всплывающем окне «Уведомления».

n Оповещение о хранилище журналов приложений на устройстве: это оповещение с высоким приоритетом отображается при заполнении хранилища журналов приложений на 75%. Очистите журналы или обратитесь к представителю службы поддержки, чтобы увеличить объем хранилища. Это оповещение можно закрыть.

n Экспорт списка: это уведомление появляется, когда запрошенный список устройств или пользователей экспортирован и готов к проверке. Это информационное уведомление, которое можно закрыть.

n Сервер необходимо обновить: получение уведомлений о доступности новой версии однорангового сервера и о том, что нужно обновить сервер, во избежание нарушений работы службы.

n Истечение срока действия профиля предоставления: это уведомление появляется, когда истекает срок действия профиля предоставления, содержащего приложение. Вам необходимо пересоздать профиль предоставления и обновить его. Это критически важное уведомление, которое нельзя закрыть.

n Объединение группы пользователей в очереди: это уведомление сообщает, что объединение приостановлено и ожидает утверждения администратором. Такие уведомления возникают в двух случаях:

n В вашей группе пользователей на основе каталогов отключена настройка «Автоматическое объединение изменений», поэтому необходимо подтверждать все изменения.

n Включена настройка «Автоматическое объединение изменений», и число изменений превысило максимально допустимое значение. Изменения после превышения порогового значения должен утвердить администратор.

n Автоматическое обновление приложения VPP: оповещение с высоким приоритетом об обновлениях для приложений, установленных с помощью Apple Volume Purchase Program.

Управление уведомлениями консоли UEMЕсли есть активные уведомления, требующие внимания, на значке «Уведомления» отображается число активных оповещений. Чтобы открыть всплывающее окно Уведомления, нажмите на значок в форме колокольчика.

Полученными уведомлениями можно управлять: просматривать список активных оповещений, обновлять APNs, удалять неактуальные оповещения, просматривать список удаленных оповещений и задавать настройки уведомлений.

В каждом оповещении указана организационная группа, в которой расположена служба APNs для сертификата MDM. Кроме того, в нем есть срок действия сертификата и ссылка на страницу «Обновить APNs».

n Просмотреть активные оповещения: представление по умолчанию, которое показывает список активных оповещений.


VMware, Inc. 25

n Обновить APNs: позволяет просмотреть экран организационных групп (ОГ). Экран отобразится, если ОГ, управляющая устройством с истекающим сроком лицензии, отличается от вашей текущей группы. Чтобы автоматически изменить ОГ, обновите эту лицензию на APNs, выбрав Да.

Обновите лицензию и поддерживайте связь устройства с Workspace ONE UEM, следуя инструкциям на странице настроек точек доступа APN для MDM.

n Отклонить оповещение: позволяет закрыть просроченное оповещение и переместить его в список отклоненных оповещений, нажав кнопку X. Критически важные уведомления закрыть невозможно.

n Отклонить все: закрытие всех активных оповещений и перемещение их в список отклоненных оповещений.

n Просмотреть отклоненные оповещения: позволяет просмотреть список отклоненных оповещений на вкладке Отклоненные в верхней части всплывающего окна «Уведомления».

Конфигурация настроек уведомленийИспользуйте настройки уведомлений на странице настроек учетной записи, чтобы включить или отключить оповещения об окончании срока действия APNs, выбрать способ получения оповещений и изменить электронный адрес, на который они отправляются.

Процедура

1. Выберите раскрывающийся список Учетная запись, доступный практически на каждой странице в Workspace ONE UEM Console. Затем выберите Управление настройками учетной записи и перейдите на вкладку Уведомления.

Также на страницу настроек уведомлений можно перейти, нажав значок шестеренки в правом нижнем углу всплывающего экрана «Уведомления».

2. Выберите, как получать оповещения о каждом из перечисленных ниже событий.

Настройка Описание

Окончание срока действия APNs Эти уведомления позволяют избежать хлопот, связанных с просроченными сертификатами, и обеспечивают связь устройств с Workspace ONE UEM.

Экспорт списка Позволяет отправлять оповещения о завершении экспорта списка пользователей или устройств.

Объединить группу пользователей Можно инициировать отправку оповещений при синхронизации изменений базы данных Active Directory с Workspace ONE UEM и отключенном параметре «Автоматическое объединение изменений».

Автоматическое обновление приложения VPP

Позволяет отправлять оповещения, если появились обновления для приложения, установленного с помощью Apple Volume Purchase Program.

Окончание срока действия сертификата APN для приложения

Эти уведомления позволяют избежать хлопот, связанных с просроченными сертификатами, и поддерживать функционирование приложений на устройствах.


VMware, Inc. 26


Окончание срока действия профиля предоставления

Это уведомление появляется, когда истекает срок действия профиля предоставления, содержащего приложение. Вам необходимо повторно создать профиль предоставления и обновить его.

Использование API-интерфейса Вы получите уведомление, когда количество вызовов API-интерфейса будет достигать 50%, 75%, 90% и 100% ежедневного лимита на использование API-интерфейса.

3. Для каждого события выберите один из вариантов: Нет, Консоль, Эл. почта и Консоль и эл. почта.

Для выбора эл. почты и консоли и эл. почты необходимо ввести хотя бы один адрес эл. почты в поле Отправить письмо. Можно ввести несколько адресов электронной почты, разделенных запятыми.

4. Нажмите кнопку Сохранить или Отмена, чтобы сохранить или отменить изменения.


VMware, Inc. 27

Настройка среды 2Средой называется виртуальное пространство, включающее в себя парк управляемых устройств и управление ими в Workspace ONE UEM powered by AirWatch. Есть много способов настройки такой среды в соответствии с вашими предпочтениями.

Для среды предусмотрен ряд настроек, например, можно настроить URL-адрес, учетные данные для входа администратора, сертификаты для управляющих платформ, мобильную связь, конфиденциальность и безопасность. Кроме того, можно настроить фирменную символику на консоли, указав цвета компании, и многое другое.


n Сертификаты APNs

n Условия использования

n Настройка пользовательского интерфейса с помощью брендинга

n Ограничение действий на консоли UEM

n Интеграция с другими системами предприятий

Сертификаты APNsЧтобы управлять устройствами iOS, необходимо сначала получить сертификат Apple Push Notification Service (APNs). Сертификат APNs позволяет Workspace ONE UEM powered by AirWatch безопасно взаимодействовать с устройствами Apple и передавать информацию обратно в консоль UEM.

Сертификат APNs для программы Apple Enterprise Developer Program действителен в течение одного года, а затем его нужно обновить. Когда приближается время окончания действия сертификата, консоль UEM отправляет уведомления с напоминаниями. При обновлении с портала Apple Development Portal текущий сертификат отзывается, и управление устройством блокируется до отправки нового сертификата. Планируйте отправку сертификата сразу после его обновления. Если для производства и тестирования используются разные среды, можно использовать отдельные сертификаты для каждой среды.

VMware, Inc. 28

Окончание срока действия сертификата APNsКнопка «Уведомления» в верхней панели консоли оповещает, когда заканчивается действие сертификата APNs для MDM. Это уведомление позволяет принять соответствующие меры.

Подробнее см. в разделе Уведомления консоли UEM.

Создание нового сертификата APNsПрежде чем управлять устройствами iOS с помощью Workspace ONE UEM, необходимо сначала создать сертификат APNs, чтобы включить и поддерживать безопасную связь между устройствами iOS и Workspace ONE UEM Console.

Можно выполнить шаги в Работа с мастером начальной настройки или создать сертификаты APNs вручную, выполнив следующие шаги.

Процедура

1. Откройте раздел Группы и настройки > Все настройки > Устройства и пользователи > Apple > APNs для MDM.

2. Нажмите кнопку Создать новый сертификат.

Вы перейдете к шагу 1 «Запрос подписи».

3. Выберите ссылку «MDM_APNsRequest.plist» и выберите место для сохранения файла PLIST, которое необходимо загрузить в Apple на следующем шаге.

4. Используйте ссылку инструкций, чтобы узнать, как отправить запрос сертификата на портале push-сертификатов Apple. На этой странице есть удобная кнопка Пройти в Apple, которая открывает портал push-сертификатов Apple в новой вкладке браузера.

5. Чтобы продолжить, нужны две вещи:

а) Workspace ONE UEMЗапрос сертификата — файл PLIST, сохраненный на устройстве.

б) Корпоративный Apple ID, который должен быть выделен для MDM вашей компании. Выберите предоставленную ссылку («Нажмите здесь»), чтобы продолжить создание Apple ID. При этом в браузере откроется новая вкладка.

6. Нажмите кнопку Далее, чтобы перейти на следующую страницу, введите ваш Apple ID и выгрузите выданный Apple сертификат Workspace ONE UEM MDM (PEM-файл).

7. Нажмите Сохранить.


VMware, Inc. 29


Сертификат APNs создан.


Проверьте подключение сертификата APNs по протоколу HTTP/2, который является основной версией существующего протокола передачи гипертекста. Подробнее см. в разделе Проверка подключения APNs по протоколу HTTP/2.

Обновление сертификата APNsДля безопасной связи между устройствами iOS и Workspace ONE UEM необходимо периодически создавать и обновлять сертификаты APNs.

Можно выполнить шаги в Работа с мастером начальной настройки или обновить устаревшие сертификаты APNs вручную, выполнив следующие шаги.

Процедура


2. Если дата Действительно до: уже прошла, нажмите кнопку Обновить и следуйте инструкциям на экране.

3. Выберите ссылку «MDM_APNsRequest.plist» и выберите место для сохранения файла PLIST, которое необходимо загрузить в Apple на следующем шаге.

4. Используйте ссылку инструкций, чтобы узнать, как отправить запрос сертификата на портале push-сертификатов Apple. На этой странице есть удобная кнопка Пройти в Apple, которая открывает портал push-сертификатов Apple в новой вкладке браузера.

5. Чтобы продолжить, нужны две вещи:

а) Workspace ONE UEMЗапрос сертификата — файл PLIST, сохраненный на устройстве.

б) Apple ID, который использовался для создания сертификата и отображается в пункте 2 шага 1 «Запрос подписи».

6. Нажмите кнопку Далее, чтобы перейти на следующую страницу, введите ваш Apple ID и выгрузите выданный Apple сертификат Workspace ONE UEM MDM (PEM-файл).



Сертификат APNs обновлен.


Проверьте подключение сертификата APNs по протоколу HTTP/2, который является основной версией существующего протокола передачи гипертекста. Подробнее см. в разделе Проверка подключения APNs по протоколу HTTP/2.


VMware, Inc. 30

Проверка подключения APNs по протоколу HTTP/2Можно проверить подключение между Workspace ONE UEM powered by AirWatch и конечной точкой с API-интерфейсом Apple на основе HTTP/2. Эта проверка позволяет обеспечить предоставление функций APNs по протоколу HTTP/2 после создания нового сертификата или обновления сертификата.


Данная проверка подключения предназначена только для тестирования APNs по HTTP/2, и этот протокол по умолчанию не включен. Любые ошибки подключения, выявленные в ходе этой проверки, не влияют на предоставление функций APNs через имеющиеся подключения с более ранней версией протокола.

Процедура


2. Нажмите кнопку Проверить подключение.

Workspace ONE UEM Console выполняет внутреннюю проверку, чтобы определить, функционирует ли подключение с новым протоколом HTTP/2.


Поскольку эта проверка рассчитана только на протокол HTTP/2, обнаруженные ошибки не влияют на текущий обмен данными с APNs. Если в ходе проверки обнаружены ошибки подключения HTTP/2, дальнейшие действия зависят от причины ошибки.

1. Срок действия сертификата истек. Истек срок действия сертификата, используемого для проверки. Чтобы запросить обновление, перейдите на страницу Обновление сертификата APNs.

2. Недопустимый сертификат. Срок действия используемого сертификата не истек, но сертификат признан недопустимым по иной причине. Можно запросить обновление сертификата или подождать несколько минут и повторить проверку подключения.

3. Неизвестная ошибка. Обычно эта ошибка возникает в случае временной потери доступа к Интернету. Подождите несколько минут и повторите проверку подключения.

4. Клиент службы APNs деактивирован. Хотя эта ошибка возникает редко, она означает, что конечная точка Apple вернула внутреннюю ошибку или служба APNs недоступна. Подождите несколько минут и повторите проверку подключения.

Условия использованияМожно принудительно применять условия использования (УИ) на всех управляемых устройствах в Workspace ONE UEM powered by AirWatch.


VMware, Inc. 31

Определите и внедрите условия использования и убедитесь, что все пользователи управляемых устройств согласны с политикой. При необходимости пользователи должны будут принять условия использования, прежде чем приступить к регистрации, установке приложений или работе с консолью UEM. UEM console позволяет выполнить полную настройку и назначить индивидуальные условия использования для каждой организационной группы и всех дочерних организационных групп.

Условия использования отображаются при регистрации каждого устройства. Доступны следующие функции.

n Установка номеров версий

n Установка платформ для получения условий использования.

n Оповещение пользователей по электронной почте об обновлениях условий использования.

n Создание копий условий использования на других языках.

n Создание нескольких соглашений об условиях использования и назначение их организационным группам в зависимости от платформы или типа принадлежности.

n Создание отдельных условий использования, соответствующих требованиям определенных групп.

Создание условий использования при регистрацииМожно создать соглашение об условиях использования, которое будет отвечать необходимым целям регистрации. Кроме того, можно ограничить распределение условий использования по платформе устройства, типу принадлежности и типу регистрации.

Можно создать соглашение об условиях использования для определенной организационной группы. Убедитесь, что созданные условия использования применяются к правильной и активной в данный момент организационной группе.

Процедура

1. Откройте раздел Устройства > Настройки устройства > Устройства и пользователи > Общее > Регистрация и выберите вкладку Условия использования.

2. Нажмите кнопку Добавить новые условия регистрации и введите следующие параметры.


Название Введите уникальное имя для новых условий использования.

Типы Этот параметр предварительно указан как Регистрация.

Версия Этот параметр отслеживается автоматически и заполняется соответствующим образом.


VMware, Inc. 32


Платформы,

Тип принадлежности устройства и

Тип регистрации

Если вы не хотите вносить условия использования для какой-либо определенной категории устройств, сохраните параметр по умолчанию Все.

Если необходимо указать платформу, тип принадлежности и тип регистрации, можно выбрать одну или несколько таких категорий и определить ограничения для конкретных условий использования.

n Если задан параметр Выбранная платформа, выберите желаемую платформу из списка. Ваши условия использования будут применяться только к выбранным платформам устройств.

n Если задан параметр Выбранные типы принадлежности, выберите желаемый тип владения из списка. Ваши условия использования будут применяться только к выбранным типам принадлежности устройств.

n Если задан параметр Выбранные типы регистрации, выберите желаемый тип регистрации из списка. Ваши условия использования будут применяться только к выбранным типам регистрации, исключая все другие.

Уведомление Установите этот флажок, чтобы отправлять пользователям электронные сообщения при обновлении условий использования. Уведомление отправляется при нажатии кнопки Сохранить на шаге 5.

Выбор языка Кроме того, в целях локализации можно создать условия использования для каждого необходимого языка, используя раскрывающееся меню Выбрать язык.

3. В текстовом поле введите настраиваемые условия использования. Редактор предоставляет базовое средство для ввода текста, которое позволяет создавать условия использования или вставлять существующие. Чтобы вставить текст из внешнего источника, нажмите правой кнопкой мыши в текстовом поле и выберите Вставить как обычный текст, чтобы избежать ошибок HTML-форматирования.



Чтобы обеспечить принятие условий использования MDM, можно создать политику соответствия для принятия условий использования MDM.

Создание условий использования приложения или консолиМожно также создать условия использования приложения (УИ) и сообщать конечным пользователям, что указанное приложение собирает данные или вводит ограничения.

Чтобы пользователи могли запустить такие приложения из корпоративного каталога приложений, они должны принять соглашение. Можно создавать разные условия использования для разных версий приложений, создавать условия использования для разных языков, а также удалять приложения, если условия использования не были приняты.

Условия использования консоли отображаются, когда администратор входит в Workspace ONE UEM Console в первый раз. Можно назначать условия использования разным версиям консоли Workspace ONE UEM, а также создавать копии этих условий на разных языках. Условия использования можно назначать приложению при его добавлении или изменении на вкладке Условия использования.

Процедура

1. Откройте раздел Группы и настройки > Все настройки > Система > Условия использования.


VMware, Inc. 33

2. Нажмите Добавить условия использования.

3. Введите имя условий использования и выберите тип (Консоль или Приложение).

4. Задайте значения для настроек Версия и Льготный период в зависимости от выбранного типа.

5. Введите условия использования в соответствующем текстовом поле. Редактор предоставляет базовое средство для ввода текста, которое позволяет создавать условия использования или вставлять существующие. При вставке текста из внешнего источника щелкните правой кнопкой мыши в текстовом поле и выберите Вставить как обычный текст, чтобы избежать ошибок HTML-форматирования.


Просмотр принятия условий использованияЧтобы обеспечить принятие условий использования, можно настроить политики соответствия, а также просмотреть список тех, кто принял или не принял соглашение. Затем, при необходимости, можно связаться с этими пользователями напрямую.

Процедура

1. Откройте раздел Группы и настройки > Все настройки > Система > Условия использования.

2. Используйте раскрывающееся меню Тип, чтобы отфильтровать список по типу соглашения, например «Регистрация». В столбце Пользователи/устройства отображаются устройства с принятыми, не принятыми и назначенными условиями использования.

3. Выберите соответствующий номер в столбце Устройства строки условий использования, чтобы просмотреть сведения, касающиеся данного соглашения. При желании выберите в раскрывающемся меню строки один из следующих вариантов.

Просмотреть устройства или пользователей Отображение всех устройств и статуса их принятия. Его можно отфильтровать по организационной группе.

Смотреть предыдущие версии Просмотр предыдущих версий соглашения.

Просмотреть Условия использования Просмотр соглашения об условиях использования.

Отслеживание принятия условий использования с помощью отчетовМожно отслеживать принятие пользователем условий использования, чтобы предпринимать дальнейшие действия.


Можно просматривать подробные сведения о принятии условий для конкретных организационных группа, консоли и регистрации устройств. Можно просмотреть принятие условий непосредственно в Workspace ONE UEM Console или экспортировать отчет в формате XLSX или CSV (файлы обоих этих форматов можно просматривать в MS Excel).


VMware, Inc. 34

Процедура

1. Перейдите в раздел Монитор > Отчеты и анализ > Отчеты > Список.

2. Найдите отчет Подробности принятия условий использования и постройте его, нажав на название отчета.

3. Выберите Организационные группы.

4. Выберите тип условий использования.

5. Выберите формат отчета.

6. Выберите Загрузить , чтобы сохранить отчет.


VMware Workspace ONE UEM не предоставляет юридически обязывающего образца текста. Любые подобные тексты должны быть проверены юристами вашей компании.

Настройка пользовательского интерфейса с помощью брендингаWorkspace ONE UEM powered by AirWatch предлагает широкие возможности настройки. Они позволяют настроить инструменты и ресурсы в соответствии с цветовой схемой, логотипом и общими эстетическими принципами организации.

Можно настроить многопользовательский брендинг, чтобы различные подразделения предприятия имели уникальный внешний вид на уровне своих организационных групп. Подробнее см. в разделе Организационные группы.

Процедура

1. Выберите организационную группу для настройки брендинга и откройте раздел Группы и настройки > Все настройки > Система > Брендинг.

2. Настройте параметры логотипа и фона на вкладке Брендинг.

3. Отправьте файл с логотипом компании, сохраненный на компьютере. Рекомендуемое разрешение отправляемого изображения — 800x300.

4. Отправьте файл с фоном для страницы входа, сохраненный на компьютере. Рекомендуемое разрешение отправляемого изображения — 1024x768.

5. Отправьте файл с фоном для страницы входа на портал самообслуживания, сохраненный на компьютере. Рекомендуемое разрешение отправляемого изображения — 1024x768.

6. Задайте настройки в разделе Цвета на вкладке Брендинг.

7. Задайте настройки на вкладке Настраиваемый код CSS. Введите настраиваемый CSS-код для дополнительной настройки брендинга.



VMware, Inc. 35

Ограничение действий на консоли UEMВ ситуации, когда Workspace ONE UEM powered by AirWatch работает а автоматическом режиме, реализуется дополнительная мера защиты от вредоносных действий, которые могут оказаться разрушительными. Несанкционированные действия пользователей можно предотвратить.

Процедура

1. Эта функция доступна в разделе Группы и настройки > Все настройки > Система > Безопасность > Ограниченные действия.

2. Настройте параметр Отправить сообщение всем. Включите эту настройку, чтобы системный администратор мог отправлять сообщения на все устройства в вашей среде со страницы просмотра Список устройств. Она также может использоваться для отправки сообщений определенной группе.

3. Может потребоваться, чтобы при выполнении определенных действий на консоли UEM администраторы вводили PIN-код. Настройте Действия, защищенные паролем, включив или отключив следующие действия.

Примечание Для некоторых действий, отмеченных далее символом «*», всегда требуется ввод PIN-кода, такие действия не могут быть отключены.


Удаление админ аккаунта Позволяет предотвратить удаление учетной записи администратора в разделе Учетные записи > Администраторы > Список.

*Повторное создание сертификата VMware Enterprise Systems Connector

Позволяет предотвратить повторное создание сертификата VMware Enterprise Systems Connector в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий > VMware Enterprise Systems Connector.

*Изменение сертификата APNs Позволяет предотвратить отключение APNs для MDM в разделе Группы и настройки > Все настройки > Устройства и пользователи > Apple > APNs для MDM.

Удаление, отключение или снятие с учета приложений

Позволяет предотвратить удаление, отключение или снятие с учета приложения в разделе Приложения и книги > Приложения > Список.

Удаление или отключение контента

Позволяет предотвратить удаление или отключение файла контента в разделе Content > Список.

*Переключатель шифрования данных

Позволяет предотвратить шифрование пользовательских данных в разделе Группы и настройки > Все настройки > Система > Безопасность > Безопасность данных.

Удаление устройства Позволяет предотвратить удаление устройства в разделе Устройства > Список. Администратор должен обязательно вводить PIN-код безопасности для пакетных действий, даже если этот параметр отключен.

*Очистка устройства Позволяет предотвратить любую попытку очистить устройство на страницах «Список устройств» или «Сведения об устройстве».

Корпоративный сброс Позволяет предотвратить любую попытку выполнить корпоративный сброс на странице Сведения об устройствах в защищенных устройствах Windows и Android, а также устройствах QNX.

Очистка корпоративных данных Позволяет предотвратить любую попытку очистить корпоративные данные в устройстве на странице Сведения об устройствах.


VMware, Inc. 36


Очистка корпоративных данных (в зависимости от членства в группе пользователей)

Позволяет предотвратить любую попытку очистить корпоративные данные в устройстве, когда оно удаляется из группы пользователей. Это необязательная настройка, которую можно задать в разделе Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация на вкладке Ограничения. Если на этой вкладке установить флажок Ограничить регистрацию только настроенным группам, можно получить дополнительную возможность очищать корпоративные данные при удалении устройств из группы.

* Удалить организационную группу

Позволяет предотвратить любые попытки удаления текущей организационной группы в разделе Группы и настройки > Группы > Организационные группы > Сведения об организационной группе.

Удаление или отключение профилей

Позволяет предотвратить любые попытки удаления или деактивации профиля в разделе Устройства > Профили и ресурсы > Профили.

Удаление продуктов подготовки Позволяет предотвратить любые попытки удаления или отключения предоставления продукта в разделе Устройства > Предоставление > Список продуктов.

Отзыв сертификата Позволяет предотвратить любые попытки отзыва сертификата в разделе Устройства > Сертификаты > Список.

* Удалить сертификат безопасного канала

Позволяет предотвратить любые попытки удаления существующего сертификата безопасного канала в разделе Группы и настройки > Все настройки > Система > Дополнительно > Сертификат безопасного канала.

Удаление аккаунта пользователя Позволяет предотвратить любые попытки удаления учетной записи пользователя в разделе Учетные записи > Пользователи > Список.

Изменить в настройках конфиденциальности

Позволяет предотвратить любые попытки изменения настроек конфиденциальности в разделе Группы и настройки > Все настройки > Устройства и пользователи > Общие > Конфиденциальность.

Удаление плана телекома Позволяет предотвратить удаление плана мобильной связи в разделе Мобильная связь > Список планов.

Переопределение уровня журнала заданий

Позволяет предотвратить попытки переопределения текущего уровня журнала заданий в разделе Группы и настройки > Администратор > Диагностика > Ведение журнала. Переопределение уровня журнала заданий полезно, когда в устройстве или группе устройств есть проблема. Администратор может переопределить настройки этих устройств, повысив уровень журнала до «Подробно», который является максимальным уровнем ведения журнала действий в консоли и идеально подходит для устранения неисправностей.

* Сброс или переключение поставщика сканирования приложений

Позволяет предотвратить сброс (и последующее удаление) настроек интеграции сканирования приложений. Это действие выполняется в разделе Группы и настройки > Все настройки > Приложения > Сканирование приложений.

Завершение работы Позволяет предотвратить любые попытки завершения работы устройства в разделе Устройства > Список > Сведения об устройстве.

Максимум неверных попыток ввода PIN-кода

Позволяет задать максимальное число неверных попыток ввести PIN-код, после которого консоль будет заблокирована. Допустимое значение: от 1 до 5.

Выбор действий, защищенных паролемОграниченные действия в консоли обеспечивают дополнительный уровень защиты против действий злоумышленников, потенциально представляющих угрозу для Workspace ONE UEM Console.


VMware, Inc. 37

Процедура

1. Чтобы настроить параметры ограниченных действий, перейдите в раздел Группы и настройки > Все настройки > Система > Безопасность > Ограниченные действия.

2. Чтобы настроить защиту действия путем обязательного ввода PIN-кода администраторами, для этого действия нажмите кнопку Действие, защищенное паролем, чтобы включить или отключить защиту.

Это позволяет точно настраивать параметры безопасности для нужных действий.

Примечание Некоторые действия всегда требуют ввода PIN-кода и не могут быть отключены. (Далее помечены символом *).

3. Установите максимально разрешенное количество неудачных попыток, при достижении которого система автоматически завершит сеанс. При достижении заданного числа попыток придется снова войти в Workspace ONE UEM Console и установить новый PIN-код безопасности.


Удалить аккаунт администратора Позволяет предотвратить удаление учетной записи администратора в разделе Учетные записи > Администраторы > Список.

Повторное создание сертификата VMware Enterprise Systems Connector

Позволяет предотвратить повторное создание сертификата VMware Enterprise Systems Connector в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий > VMware Enterprise Systems Connector.

*Изменение сертификата APNs Позволяет предотвратить отключение APNs для MDM в разделе Группы и настройки > Все настройки > Устройства и пользователи > Apple > APNs для MDM.

Удалить, деактивировать или снять с учета приложения

Позволяет предотвратить удаление, отключение или снятие с учета приложения в разделе Приложения и книги > Приложения > Список.

Удалить или деактивировать контент Позволяет предотвратить удаление или отключение файла контента в разделе Content > Список.

*Переключение шифрования данных Позволяет предотвратить шифрование пользовательских данных в разделе Группы и настройки > Все настройки > Система > Безопасность > Безопасность данных.

Удалить устройство Позволяет предотвратить удаление устройства в разделе Устройства > Список. Администратор должен обязательно вводить PIN-код безопасности для пакетных действий, даже если этот параметр отключен.

*Очистка устройства Позволяет предотвратить любую попытку очистить устройство на страницах «Список устройств» или «Сведения об устройстве».

Корпоративный сброс Позволяет предотвратить любую попытку выполнить корпоративный сброс на странице Сведения об устройствах в защищенных устройствах Windows и Android, а также устройствах QNX.

>Очистка корпоративных данных Позволяет предотвратить любую попытку очистить корпоративные данные в устройстве на странице Сведения об устройствах.


VMware, Inc. 38


Очистка корпоративных данных (в зависимости от членства в группе пользователей)

Позволяет предотвратить любую попытку очистить корпоративные данные в устройстве, когда оно удаляется из группы пользователей. Это необязательная настройка, которую можно задать в разделе Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация на вкладке Ограничения. Если на этой вкладке установить флажок Ограничить регистрацию только настроенным группам, можно получить дополнительную возможность очищать корпоративные данные при удалении устройств из группы.

*Удаление организационной группы Позволяет предотвратить любые попытки удаления текущей организационной группы в разделе Группы и настройки > Группы > Организационные группы > Сведения об организационной группе.

Удалить или деактивировать профиль Позволяет предотвратить любые попытки удаления или деактивации профиля в разделе Устройства > Профили и ресурсы > Профили.

Удалить предоставление продукта Позволяет предотвратить любые попытки удаления или отключения предоставления продукта в разделе Устройства > Предоставление > Список продуктов.

Отозвать сертификат Позволяет предотвратить любые попытки отзыва сертификата в разделе Устройства > Сертификаты > Список.

*Очистка сертификата безопасного канала

Позволяет предотвратить любые попытки удаления существующего сертификата безопасного канала в разделе Группы и настройки > Все настройки > Система > Дополнительно > Сертификат безопасного канала.

Удалить аккаунт пользователя Позволяет предотвратить любые попытки удаления учетной записи пользователя в разделе Учетные записи > Пользователи > Список.

Изменить в настройках конфиденциальности

Позволяет предотвратить любые попытки изменения настроек конфиденциальности в разделе Группы и настройки > Все настройки > Устройства и пользователи > Общие > Конфиденциальность.

Удалить план мобильной связи Позволяет предотвратить удаление плана мобильной связи в разделе Мобильная связь > Список планов.


Позволяет предотвратить попытки переопределения текущего уровня журнала заданий в разделе Группы и настройки > Администратор > Диагностика > Ведение журнала. Переопределение уровня журнала заданий полезно, когда в устройстве или группе устройств есть проблема. Администратор может переопределить настройки этих устройств, повысив уровень журнала до «Подробно», который является максимальным уровнем ведения журнала действий в консоли и идеально подходит для устранения неисправностей.

*Сброс или переключение поставщика сканирования приложений

Позволяет предотвратить сброс (и последующее удаление) настроек интеграции сканирования приложений. Это действие выполняется в разделе Группы и настройки > Все настройки > Приложения > Сканирование приложений.

Завершение работы Позволяет предотвратить любые попытки завершения работы устройства в разделе Устройства > Список > Сведения об устройстве.

Максимум неверных попыток ввода PIN-кода

Позволяет задать максимальное число неверных попыток ввести PIN-код, после которого консоль будет заблокирована. Допустимое значение: от 1 до 5.

Настройка обязательных заметок для действийУстановите флажок Требовать заметки, если нужно, чтобы администраторы обязательно вводили заметки и объясняли причины при выполнении определенных Workspace ONE UEM Console действий.


VMware, Inc. 39

Процедура

1. Эта функция доступна в разделе Группы и настройки > Все настройки > Система > Безопасность > Ограниченные действия.

2. Если необходимо, чтобы администраторы перед выполнением любого из этих действий вводили заметку, убедитесь, что в роль добавлен ресурс (разрешение) Добавить заметку.

Дополнительные сведения см. в разделе Создание роли администратора.


Блокировка устройства Требует заметку при любой попытке заблокировать устройство на странице Список устройств или Сведения об устройстве.

Блокировка Единого входа

Требовать ввод примечания при любой попытке заблокировать сеанс единого входа из раздела Список устройств или Сведения об устройстве.

Очистка устройства Требует заметку при любой попытке выполнить очистку устройства на странице Список устройств или Сведения об устройстве.

Корпоративный сброс Требует заметку при любой попытке сбросить корпоративные данные на странице Сведения об устройстве защищенных устройств Windows или Android.

Очистка корпоративных данных

Требуется заметка для любой попытки выполнить очистку корпоративных данных на странице Сведения об устройстве.


Требовать ввод примечания при любой попытке переопределить уровень журнала заданий по умолчанию из раздела Группы и настройки > Администрирование > Диагностика > Ведение журнала.

Перезагрузить устройство

Требовать ввод примечания при любой попытке перезагрузить устройство из раздела Устройства > Представление списка > Сведения об устройстве.

Завершение работы Требовать ввод примечания при любой попытке выключить устройство из раздела Устройства > Представление списка > Сведения об устройстве.

Интеграция с другими системами предприятийВоспользуйтесь дополнительными возможностями MDM, интегрировав свою среду Workspace ONE UEM powered by AirWatch с существующей инфраструктурой компании, например, с управлением электронной почтой по протоколу SMTP, службами каталогов, а также с репозиториями для управления контентом.

n Ретрансляция эл. почты: позволяет обеспечить безопасность, мониторинг и контроль мобильной почты.

n Службы каталогов (LDAP/AD): позволяют использовать существующие корпоративные группы, чтобы управлять пользователями и устройствами.

n Службы сертификатов Microsoft позволяет использовать сертификацию Microsoft для развертывания Workspace ONE UEM.

n Протокол (SCEP PKI): позволяет настроить сертификаты для Wi-Fi, VPN, Microsoft EAS и т. д.

n Email Management Exchange 2010 (PowerShell) позволяет безопасно подключать Workspace ONE UEM, чтобы применять политики на корпоративных почтовых серверах.


VMware, Inc. 40

n BlackBerry Enterprise Server (BES): интеграция BES помогает оптимизировать управление устройствами BlackBerry.

n Службы сертификатов сторонних производителей: позволяет импортировать системы управления сертификатами для управления через консоль.

n Lotus Domino Web Service (HTTPS): позволяет использовать контент и функции Lotus Domino в среде AirWatch.

n Репозитории контента: позволяет настроить интеграцию с SharePoint, Google Диском, SkyDrive, файловыми серверами и сетевыми папками.

n SysLog (журналы событий): позволяет экспортировать журналы событий и просматривать их на всех интегрированных серверах и системах.

n Корпоративные сети: позволяет настроить Wi-Fi и VPN, а также предоставление профилей устройств для доступа с учетными данными пользователя.

n System Information and Event Management (SIEM): позволяет записывать и компилировать данные устройств и консоли, чтобы обеспечить безопасность, а также соответствие стандартам и корпоративным политикам.

Подробнее об интеграции среды Workspace ONE UEM в эти инфраструктуры см. в документации по VMware Identity Manager. См. также Руководство администратора по VMware Tunnel, , Руководство по ведению журнала AirWatch и Руководство по установке AirWatch на сайте docs.vmware.com. Статьи по этим темам можно найти по адресу docs.vmware.com.


VMware, Inc. 41

Аккаунты пользователей и администраторов 3Для регистрации устройств в Workspace ONE UEM powered by AirWatch необходимо создать и интегрировать учетные записи пользователей. Аналогичным образом необходимо создать и назначить аккаунты администраторов, чтобы облегчить управление пользователями и устройствами.

В console можно создать полную инфраструктуру пользователей и администраторов. Она предоставляет варианты конфигурации для аутентификации, интеграции предприятий и текущего обслуживания.


n Типы аутентификации пользователей

n Базовые аккаунты пользователей

n Аккаунты пользователей на основе каталога

n Список аккаунтов пользователей

n Функция пакетного импорта

n Аккаунты администраторов

Типы аутентификации пользователейПрежде чем можно будет регистрировать устройства каждый пользователь должен получить аутентифицируемый аккаунт, который распознает Workspace ONE UEM powered by AirWatch. Выбираемый тип аутентификации пользователей зависит от потребностей организации.

Стандартная аутентификацияЭтот тип аутентификации пользователя не зависит ни от одной доступной в настоящее время корпоративной системы аккаунтов пользователей, например Novell, Lotus Domino или Microsoft Active Directory. Учетные данные как таковые существуют только в архитектуре Workspace ONE UEM. Дополнительные сведения см. в разделе Стандартная аутентификация пользователей.

Аутентификация на основе протокола LDAP Active DirectoryАутентификация на основе протокола Lightweight Directory Access Protocol (LDAP) Microsoft Active Directory (AD) — это наиболее распространенная система аккаунтов. Этот тип аутентификации согласовывается и используется с AD, и таким образом более прост для пользователей, так как им требуется только корпоративное имя для входа и пароль.

VMware, Inc. 42

Дополнительную информацию см. в разделах Аутентификация на основе Active Directory с использованием LDAP и Аутентификация на основе Active Directory с использованием LDAP или VMware Enterprise Systems Connector.

Дополнительные типы аутентификацииСуществуют другие типы аутентификации, в том числе использование прокси-сервера аутентификации, аутентификации Security Assertion Markup Language (SAML), а также безопасной и удобной аутентификации на основе маркеров.

Дополнительные сведения см. в разделах Прокси-сервер аутентификации, Аутентификация SAML 2.0 и Аутентификация на основе маркеров.

Включение типов безопасности для регистрацииПосле выбора типа аутентификации необходимо включить режим аутентификации в настройках регистрации. Дополнительную информацию см. в разделе Включение типов безопасности для регистрации.

Стандартная аутентификация пользователейМожно использовать базовую аутентификацию для идентификации пользователей в архитектуре Workspace ONE UEM, однако этот метод не обеспечивает интеграцию с существующими учетными записями корпоративных пользователей.

Преимущества

n Работает с любым способом развертывания.

n Не требует технической интеграции.

n Не требует корпоративной инфраструктуры.

Недостатки

n Не используется при автоматическом обнаружении.

n Учетные данные присутствуют только в Workspace ONE UEM и не всегда совпадают с существующими корпоративными учетными данными.

n Не предоставляет федеративную безопасность или возможность единого входа.

n Workspace ONE UEM хранит все имена пользователей и пароли.

n Не может использоваться для прямой регистрации Workspace ONE.


VMware, Inc. 43

1. Пользователь консоли входит в Workspace ONE UEM SaaS с помощью локальной учетной записи для аутентификации (базовая аутентификация).

n Учетные данные шифруются при передаче

n (например, имя пользователя: [email protected], пароль: Abcd).

2. Пользователь устройства регистрирует устройство, используя учетные данные локальной учетной записи Workspace ONE UEM (базовая аутентификация).

n Учетные данные шифруются при передаче

n (например, имя пользователя — jdoe2, пароль — 2557).

Аутентификация на основе Active Directory с использованием LDAPАутентификация на основе Active Directory (AD) с использованием Lightweight Directory Access Protocol (LDAP) используется для интеграции учетных записей пользователей и администраторов Workspace ONE UEM с существующими корпоративными учетными записями.


n Пользователи могут выполнять аутентификацию, используя существующие корпоративные учетные данные.

n Безопасный способ интеграции с LDAP или AD.

n Стандартная интеграция.

n Может использоваться для прямой регистрации Workspace ONE.


n Необходим сервер AD или другой сервер LDAP.


VMware, Inc. 44

1. Устройство подключается к Workspace ONE UEM для регистрации. Пользователь вводит свое имя и пароль для служб каталогов.

n Имя пользователя и пароль шифруются при передаче.

n Workspace ONE UEM не сохраняет пароли пользователей от служб каталогов.

2. Workspace ONE UEM запрашивает службы каталогов клиента через Интернет с помощью безопасного протокола LDAP и учетной записи службы для проверки подлинности.

3. Учетные данные пользователя проверяются в корпоративной службе каталогов.

4. Если учетные данные пользователя действительны, сервер Workspace ONE UEM разрешает устройству выполнить регистрацию.

Аутентификация на основе Active Directory с использованием LDAP или VMware Enterprise Systems ConnectorАутентификация на основе Active Directory с использованием LDAP или VMware Enterprise Systems Connector работает аналогично стандартной аутентификации на основе AD и LDAP. Эта модель применима ко всем облачным развертываниям, осуществляемым по концепции «программное обеспечение как услуга» (SaaS).


n Пользователи выполняют аутентификацию, используя существующие корпоративные учетные данные.

n Нет необходимости настраивать брандмауэр, поскольку связь устанавливается из VMware Enterprise Systems Connector в вашей сети.

n Учетные данные безопасно передаются в зашифрованном виде.

n Возможность безопасной настройки других инфраструктур, например серверов BES, Microsoft ADCS, SCEP и SMTP.

n Может использоваться для прямой регистрации Workspace ™ ONE.


n Необходимо установить VMware Enterprise Systems Connector в зоне DMZ или защитить брандмауэром.


VMware, Inc. 45

n Необходимы дополнительные настройки.

Модель развертывания SaaS

Локальная модель развертывания

Прокси-сервер аутентификацииПрокси-сервер аутентификации обеспечивает интеграцию служб каталогов в облаке или во внутренних сетях с усиленной защитой. В такой модели сервер Workspace ONE UEM связывается с общедоступным веб-сервером или с сервером Exchange ActiveSync. При аутентификации пользователей используется контроллер домена.

Преимуществаn Безопасный способ интеграции прокси-сервера с AD или LDAP в облаке.

n Пользователи могут пройти аутентификацию используя существующие корпоративные данные.

n Компактный модуль с минимальной настройкой.

Недостаткиn Необходим общедоступный сервер или веб-сервер Exchange ActiveSync, связанный с сервером AD

или LDAP.

n Работает только с определенными архитектурами.

n Решение значительно уступает VMware Enterprise Systems Connector в надежности.



VMware, Inc. 46

1. Устройство подключается к Workspace ONE UEM для регистрации. Пользователь вводит свое имя и пароль для служб каталогов.

n Имя пользователя и пароль шифруются при передаче.

n Workspace ONE UEM не сохраняет пароли пользователей от служб каталогов.

2. Workspace ONE UEM передает имя пользователя и пароль на настроенный прокси-сервер аутентификации (например, для стандартной аутентификации).

3. Учетные данные пользователя проверяются в корпоративных службах каталогов.

4. Если учетные данные пользователя действительны, сервер Workspace ONE UEM разрешает устройству выполнить регистрацию.

Аутентификация SAML 2.0Аутентификация SAML 2.0 поддерживает единый вход и федеративную аутентификацию. Workspace ONE UEM никогда не получает корпоративные учетные данные.

Если организация использует сервер поставщика удостоверений SAML, рекомендуем интегрировать SAML 2.0. Убедитесь, что поставщик удостоверений возвращает атрибут objectGUID в ответе SAML.


n Возможности единого входа.

n Аутентификация с помощью существующих корпоративных данных.

n Workspace ONE UEM никогда не получает корпоративные учетные данные в виде простого текста.

n Может использоваться для прямой регистрации Workspace ONE в сочетании с пользователем каталога SAML.

n Среда с несколькими доменами поддерживается только для администраторов.


n Необходима корпоративная инфраструктура поставщика удостоверений SAML.

n Может использоваться для прямой регистрации Workspace ONE в сочетании с базовым пользователем SAML.


VMware, Inc. 47

1. Устройство подключается к Workspace ONE UEM для регистрации. Сервер UEM перенаправляет устройство на клиент, указанный поставщиком удостоверений.

2. Устройство безопасно подключается по HTTPS к клиенту, указанному поставщиком удостоверений, а затем пользователь вводит учетные данные.

n При прямой передаче с устройства в конечную точку SAML учетные данные шифруются.

3. Учетные данные проверяются в службах каталогов.

4. Поставщик удостоверений возвращает подписанный ответ SAML с аутентифицированным именем пользователя.

5. Устройство отвечает серверу Workspace ONE UEM и передает подписанное сообщение SAML. Пользователь аутентифицирован.

Подробнее см. в руководстве по интеграции SAML VMware AirWatch.

Аутентификация на основе маркеровАутентификация на основе маркеров — это самый простой для пользователя способ регистрации устройств. С такими настройками регистрации Workspace ONE UEM создает маркер, который помещается в URL-адрес регистрации.

При проверке подлинности только по маркеру пользователь переходит по ссылке с устройства, чтобы выполнить регистрацию, и сервер Workspace ONE UEM ссылается на выданный пользователю маркер.

Чтобы повысить безопасность, можно ограничить время действия каждого маркера (в часах). Это сведет к минимуму возможность того, что другой пользователь получит доступ к сведениям или функциям, доступным для этого устройства.

Кроме того, можно реализовать двухфакторную аутентификацию, добавив еще один шаг для проверки подлинности пользователя. При такой настройке аутентификации пользователь должен ввести свои учетные данные, чтобы получить ссылку с маркером для регистрации.


n Минимальная нагрузка на пользователя при регистрации и аутентификации устройства.

n Надежные маркеры с истекающим сроком действия.

n Пользователю не нужны учетные данные при аутентификации по только по маркеру.


VMware, Inc. 48

https://resources.air-watch.com/view/j87fqmyx6bjzwbvjvvtq/en


n Чтобы отправлять маркеры на устройства, необходима интеграция со службами SMTP или SMS.

1. Администратор авторизует запись устройства пользователя.

2. Создается одноразовый маркер и отправляется пользователю из Workspace ONE UEM.

3. Пользователь получает одноразовый маркер и переходит по URL-адресу регистрации. У пользователя запрашивают маркер и предлагают пройти двухфакторную аутентификацию (необязательно).

4. Процесс регистрации устройства.

5. Workspace ONE UEM помечает маркер как просроченный.

Примечание Протокол SMTP включен в развертывания SaaS.

Включение типов безопасности для регистрацииПосле интеграции Workspace ONE UEM с выбранным типом безопасности пользователя и перед регистрацией включите все режимы проверки подлинности, которые планируете разрешить.

Процедура

1. Перейдите в раздел Устройства > Настройки устройств > Устройства и пользователи > Общие > Регистрация на вкладке Проверка подлинности.


VMware, Inc. 49

2. Установите соответствующие флажки, чтобы настроить Режим проверки подлинности.


Добавить домен эл. почты

Эта кнопка используется для настройки службы автоматического обнаружения, если необходимо зарегистрировать домены электронной почты в среде.

Режимы аутентификации

Выберите разрешенные типы аутентификации, к которым относятся следующие:

n Базовая: можно регистрировать базовые учетные записи пользователей (те, которые создаются вручную в UEM console).

n Каталог: можно регистрировать учетные записи пользователей каталога (те, которые импортированы или разрешены с помощью интеграции службы каталогов). Прямая регистрация Workspace ONE поддерживает пользователей каталогов с использованием SAML или без него.

n Прокси аутентификации: разрешает пользователям регистрироваться, используя учетные записи пользователей прокси-сервера аутентификации. Пользователи проходят проверку подлинности на конечной точке.

n Введите URL-адрес прокси-сервера проверки подлинности, URL-адрес резервной копии прокси-сервера проверки подлинности и тип метода проверки подлинности (выберите между HTTP Basic и Exchange ActiveSync).

Источник проверки подлинности для Intelligent Hub

Выберите систему, которую служба Intelligent Hub будет использовать в качестве источника политик проверки подлинности и пользователей.

n Workspace ONE UEM: выберите этот параметр, чтобы службы Hub использовали Workspace ONE UEM в качестве источника.

При настройке страницы Конфигурация Hub для служб Hub был указан URL-адрес клиента служб Hub.

n Identity Manager: выберите этот параметр, чтобы службы Hub использовали VMware Identity Manager в качестве источника.

При настройке страницы Конфигурация Hub для служб Hub был указан URL-адрес клиента VMware Identity Manager.

Режим регистрации устройств

Выберите режим регистрации:

n Открытая регистрация: регистрация доступна для всех пользователей, соответствующих критериям (режим аутентификации, ограничения и т. д.). Прямая регистрация Workspace ONE поддерживает открытую регистрацию.

n Только зарегистрированные устройства: пользователям разрешалось регистрироваться только с помощью устройств, которые были зарегистрированы (вами или самим пользователем). Регистрация устройства — это процесс добавления корпоративных устройств в UEM console до их регистрации. Прямая регистрация Workspace ONE позволяет разрешать регистрацию только записанных устройств, но только если не требуется маркер записи.

Необходим маркер регистрации

Отображается, только если выбран параметр Только зарегистрированные устройства.

Ограничив регистрацию только зарегистрированными устройствами, вы также можете запрашивать маркер регистрации. Он повышает безопасность, подтверждая, что конкретный пользователь авторизован для регистрации. Маркер регистрации, который закрепляется за пользователями по аккаунтам Workspace ONE UEM, можно отправить в электронном сообщении или в SMS.

Необходима регистрация в Intelligent Hub для iOS

Установите этот флажок, чтобы пользователи устройств iOS должны были загружать и устанавливать Workspace ONE Intelligent Hub перед регистрацией. В случае отключения становится доступной веб-регистрация.

Необходима регистрация в Intelligent Hub для macOS

Установите этот флажок, чтобы пользователи устройств macOS должны были загружать и устанавливать Workspace ONE Intelligent Hub перед регистрацией. В случае отключения становится доступной веб-регистрация.


VMware, Inc. 50


Базовые аккаунты пользователейСоздайте базовые аккаунты в Workspace ONE UEM powered by AirWatch для своих конечных пользователей, если вы не используете интеграцию с службой каталогов. Эти аккаунты также полезны для тестирования, поскольку они быстро создаются и удаляются.

Преимуществаn Работает с любым способом развертывания.

n Не требует технической интеграции.

n Не требует корпоративной инфраструктуры.

n Можно регистрировать в нескольких организационных группах.

Недостаткиn Учетные данные присутствуют только в Workspace ONE UEM и не всегда совпадают с

существующими корпоративными учетными данными.

n Не предоставляет федеративную безопасность.

n Единый вход не поддерживается.

n Workspace ONE UEM хранит все имена пользователей и пароли.


Создание базовых аккаунтов пользователейМожно создать базовые аккаунты пользователей, чтобы пользователи могли выполнять аутентификацию и входить в Workspace ONE UEM. После этого пользователям с базовыми аккаунтами можно отправлять уведомления с инструкциями по активации аккаунтов, в том числе ссылку на сброс пароля, действующую в течение 24 часов.

В этом разделе подробно рассматривается создание аккаунтов пользователей по одному за раз. Чтобы создать учетные записи пользователей в пакетном режиме, см. раздел Пакетный импорт пользователей или устройств.

Процедура

1. Откройте раздел Учетные записи > Пользователи > Список, нажмите Добавить, затем выберите Добавить пользователя. Появится страница Добавить или изменить пользователя.

2. Чтобы добавить базового пользователя, на вкладке Общее задайте следующие настройки.

Параметр Описание

Тип безопасности Чтобы добавить базового пользователя, выберите вариант Базовый.

Имя пользователя Позволяет задать имя нового пользователя.


VMware, Inc. 51


Пароль Позволяет задать пароль для входа пользователя.

Подтвердите пароль Позволяет подтвердить пароль.

Полное имя Позволяет задать имя, отчество и фамилию пользователя.

Отображаемое имя Позволяет ввести имя пользователя консоли UEM.

Адрес эл. почты Позволяет задать или изменить электронный адрес пользователя.

Имя пользователя электронной почты

Позволяет задать или изменить имя пользователя электронной почты.

Домен Позволяет выбрать домен электронной почты в раскрывающемся списке.

Номер телефона Введите номер телефона пользователя, включая знак плюс, код страны и код города.Это параметр обязателен, если для отправки уведомлений используется СМС.

Регистрация

Организационная группа регистрации

Позволяет выбрать организационную группу, в которой регистрируется пользователь.

Разрешить пользователю регистрацию в дополнительных организационных группах

Позволяет разрешать пользователям регистрироваться в нескольких организационных группах.

Если вы включите эту опцию, но оставите пустыми поля Дополнительные организационные группы, то любая дочерняя ОГ, созданная в разделе Орг. группа регистрации, может использоваться в качестве точки регистрации.

Дополнительные орг. группы Этот параметр отображается только в том случае, если включен параметр, разрешающий пользователю регистрацию в дополнительных ОГ.

эта настройка позволяет добавлять дополнительные организационные группы, пользователям которых будет разрешена регистрация.

Роль пользователя Позволяет выбрать роль для пользователя в раскрывающемся списке.

Уведомление

Тип сообщения Позволяет выбрать тип сообщения, отправляемого пользователю: Эл. почта, СМС или Нет. При выборе СМС необходимо ввести номер телефона в текстовом поле параметра.

Шаблон сообщения Базовые пользователи активируют свои аккаунты, используя это уведомление. В целях безопасности это уведомление не содержит пароль пользователя. Вместо этого уведомление содержит ссылку на сброс пароля. Базовый пользователь использует эту ссылку для создания нового пароля. Срок действия этой ссылки автоматически истекает через 24 часа.

Позволяет выбрать в раскрывающемся списке шаблон для электронных сообщений или СМС-сообщений. Кроме того, можно нажать Просмотр сообщения, чтобы предварительно просмотреть шаблон, а затем нажать ссылку Настроить шаблон сообщений, чтобы создать шаблон.

3. При необходимости откройте вкладку Дополнительно и задайте следующие настройки.


Дополнительные сведения

Пароль эл. почты Позволяет указать пароль электронной почты добавляемого пользователя.

Подтвердите пароль эл. почты

Позволяет подтвердить пароль электронной почты добавляемого пользователя.

Основное имя пользователя Позволяет указать основное имя базового пользователя. Это необязательная настройка.


VMware, Inc. 52


Категория Позволяет выбрать категорию для добавляемого пользователя.

Отдел Позволяет указать отдел пользователя (в административных целях).

ID сотрудника Позволяет указать ID сотрудника (в административных целях).

Центр затрат Позволяет указать источник расходов пользователя (в административных целях).

Сертификаты

Использовать S/MIME Позволяет включить или отключить использование S/MIME.

Если настройка включена, необходимо иметь профиль S/MIME и отправить сертификат S/MIME, нажав кнопку Отправить.

Отдельный сертификат шифрования

Позволяет включить или отключить сертификат шифрования.

Если настройка включена, необходимо отправить сертификат шифрования, используя кнопку Отправить. Как правило, для подписи и шифрования используется один сертификат S/MIME, если прямо не указан другой.

Старый сертификат шифрования

Позволяет включить или отключить устаревшую версию сертификата.

Если настройка включена, необходимо отправить сертификат шифрования.

Промежуточная настройка

Включить промежуточную настройку устройства

Позволяет включить или отключить промежуточную настройку устройств.

Если настройка включена, необходимо выбрать Однопользовательские устройства или Многопользовательские устройства. Для однопользовательского устройства необходимо выбрать стандартную (пользователи самостоятельно входят в систему) или дополнительную (устройство регистрируется от имени другого пользователя) регистрацию.

4. Нажмите Сохранить, чтобы просто сохранить нового пользователя, или Сохранить и добавить устройство, чтобы сохранить нового пользователя и открыть страницу Добавить устройство.

Аккаунты пользователей на основе каталогаИнтеграция с существующей службой каталогов позволяет автоматически добавлять пользователей, Тем самым устраняется необходимость делать это вручную в консоли Workspace ONE UEM powered by AirWatch.

Каждый пользователь каталога, которым требуется управлять с помощью Workspace ONE UEM, должен иметь соответствующую учетную запись пользователя в UEM console.

Можно добавить существующих пользователей служб каталогов в Workspace ONE UEM напрямую, используя один из следующих способов.

n Отправить пакет с файлом, содержащим всех пользователей служб каталогов. При импорте пакета аккаунт пользователя создается автоматически.

n Создайте аккаунты пользователей по одному. Каждый раз вводите имя пользователя каталога и выбирайте Проверка пользователя, чтобы оставшиеся поля заполнялись автоматически.

n Вместо пакетного импорта или ручного создания аккаунтов разрешите всем пользователям каталогов создавать аккаунты самостоятельно во время регистрации.


VMware, Inc. 53

Преимуществаn Пользователи выполняют аутентификацию, используя существующие корпоративные учетные данные.

n Автоматически обнаруживает и синхронизирует изменения системы каталогов с Workspace ONE UEM. Например, при отключении пользователей в AD соответствующая учетная запись пользователя в Workspace ONE UEM Console будет помечена как неактивная.

n Безопасный способ интеграции с существующей службой каталогов.

n Стандартная интеграция.

n Может использоваться для прямой регистрации Workspace ONE.

n Для развертываний SaaS с использованием AirWatch Cloud Connector не требуется изменять настройки брандмауэра. Этот вариант позволяет создать защищенную конфигурацию для других инфраструктур, таких как Microsoft ADCS, SCEP и серверы SMTP.

Дополнительные сведения о синхронизации состояний учетных записей см. в разделе Синхронизация состояний пользователей каталога.

Недостаткиn Необходима существующая инфраструктура службы каталогов.

n Для развертываний SaaS требуется дополнительная конфигурация, поскольку AirWatch Cloud Connector устанавливается за брандмауэром или в DMZ.

Синхронизация состояний пользователей каталогаКогда вы деактивируете пользователей в службе каталогов, это влияет на соответствующую учетную запись Workspace ONE UEM и Workspace ONE Express аналогичным образом, но только с учетом следующих условий.

n Синхронизация удаленных пользователей возможна только с Active Directory.

n Пользователь, имя которого указано в поле Привязать имя пользователя, должен иметь права администратора Active Directory.

n Чтобы проверить это имя, перейдите в раздел Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов и на вкладке Сервер найдите поле Привязать имя пользователя.

n Клиенты Workspace ONE Express также могут найти поле Привязать имя пользователя на вкладке Сервер, перейдя в раздел Группы и настройки, а затем выбрав Службы каталогов из столбца Имя.

n Обычным пользователям Active Directory, не имеющим прав администратора, можно предоставить доступ к контейнеру удаленных объектов, если вы выполните действия, описанные в следующей статье технической поддержки Microsoft. https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object.


VMware, Inc. 54

https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object

https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object

n Необходимо включить корзину с помощью Центра администрирования Active Directory.

а) Откройте Центр администрирования Active Directory.

б) Выберите домен, затем нажмите на него правой кнопкой мыши.

в) Выберите Включить корзину. После включения корзину невозможно отключить.

Создание аккаунта пользователя на основе каталогаНеобходимо создать аккаунты для каждого пользователя в системе Workspace ONE UEM и для пользователей каталогов, которые выполняют аутентификацию, используя существующие корпоративные учетные данные.

В этом разделе подробно рассматривается создание аккаунтов пользователей по одному за раз. Чтобы создать учетные записи пользователей в пакетном режиме, см. раздел Пакетный импорт пользователей или устройств.

Процедура

1. Перейдите в раздел Учетные записи > Пользователи > Список и выберите Добавить, затем выберите Добавить пользователя. Появится страница Добавить или изменить пользователя.

2. На вкладке Общее задайте следующие настройки, чтобы добавить пользователя.


Тип безопасности Чтобы добавить пользователя Active Directory, для параметра «Тип безопасности», установите значение Каталог.

Название каталога Это предварительно заполненное поле определяет имя Active Directory.

Домен Позволяет выбрать имя домена в раскрывающемся меню.

Имя пользователя Необходимо ввести имя пользователя каталога и нажать Проверить пользователя. Если система находит совпадение, данные о пользователе заполняются автоматически. Остальные настройки этого раздела доступны только после успешного выбора пользователя Active Directory с помощью кнопки Проверить пользователя.

Полное имя Кнопка Изменить атрибуты позволяет изменять любой параметр, в который подставляется пустое значение из каталога. Она также позволяет автоматически заполнять соответствующие сведения о пользователе.

Если настройка синхронизирует фактическое значение из каталога, изменять ее следует непосредственно в этом каталоге. Изменения вступят в силу при следующей синхронизации каталогов. Можно указать полное имя в пустом поле параметра, которое возвращается из каталога, и нажать кнопку Изменить атрибуты, чтобы сохранить изменение.

Отображаемое имя Позволяет ввести имя, которое будет отображаться в админ консоли.

Адрес эл. почты Позволяет задать или изменить электронный адрес пользователя.

Имя пользователя электронной почты

Позволяет задать или изменить имя пользователя электронной почты.

Домен эл. почты Позволяет выбрать домен электронной почты в раскрывающемся меню.

Номер телефона Введите номер телефона пользователя, включая знак плюс, код страны и код города. Если для отправки уведомлений используется СМС, этот параметр обязательный.

Регистрация


VMware, Inc. 55


Организационная группа регистрации

Позволяет выбрать организационную группу, в которой регистрируется пользователь.

Разрешить пользователю регистрацию в дополнительных организационных группах

Позволяет разрешать пользователям регистрироваться в нескольких организационных группах. Если выбрать Включено, необходимо заполнить поле Дополнительные организационные группы.

Роль пользователя Позволяет выбрать роль для пользователя из раскрывающегося меню.

Уведомление

Тип сообщения Позволяет выбрать тип сообщения, отправляемого пользователю: Эл. почта, SMS или Нет. При выборе СМС необходимо ввести номер телефона в текстовом поле.

Шаблон сообщения Позволяет выбрать в раскрывающемся списке шаблон для электронных сообщений или SMS-сообщений. Кроме того, можно нажать Просмотр сообщения, чтобы предварительно просмотреть шаблон, а затем нажать ссылку Настроить шаблоны сообщений, чтобы создать шаблон.

3. При необходимости откройте вкладку Дополнительно и задайте следующие настройки.


Дополнительные сведения

Пароль эл. почты Позволяет указать пароль электронной почты добавляемого пользователя.

Подтвердите пароль эл. почты

Позволяет подтвердить пароль электронной почты добавляемого пользователя.

Различающееся имя Для пользователей каталогов, распознанных платформой Workspace ONE UEM, в это текстовое поле автоматически подставляется различающееся имя пользователя. В этой строке отображается различающееся имя пользователя и все коды авторизации, связанные с пользователем Active Directory.

Различающееся имя руководителя

Позволяет указать различающееся имя руководителя пользователя. Это необязательное текстовое поле.

Категория Позволяет выбрать категорию для добавляемого пользователя.

Отдел Позволяет указать отдел пользователя (в административных целях компании).

ID сотрудника Позволяет указать ID сотрудника (в административных целях компании).

Центр затрат Позволяет указать источник расходов пользователя (в административных целях компании).

Настраиваемые атрибуты 1–5 (только для пользователей каталогов)

Позволяет указать предварительно настроенные атрибуты там, где это необходимо. Эти настраиваемые атрибуты можно определить в разделе Группы и настройки > Все настройки > Устройства и пользователи > Дополнительно > Настраиваемые атрибуты.

Примечание Настраиваемые атрибуты можно настроить только в организационной группе клиентского типа.

Сертификаты

Использовать S/MIME Позволяет включить или отключить использование S/MIME. Если настройка включена, необходимо иметь профиль S/MIME и отправить сертификат S/MIME, нажав кнопку Отправить.


VMware, Inc. 56


Отдельный сертификат шифрования

Позволяет включить или отключить использование отдельного сертификата шифрования. Если настройка включена, необходимо отправить сертификат шифрования, используя кнопку Отправить. Как правило, для подписи и шифрования используется один сертификат S/MIME, если прямо не указан другой.

Старый сертификат шифрования

Позволяет включить или отключить устаревшую версию сертификата. Если настройка включена, необходимо отправить сертификат шифрования.

Промежуточная настройка

Включить промежуточную настройку устройства

Позволяет включить или отключить промежуточную настройку устройств.

Если настройка включена, необходимо выбрать однопользовательские устройства или многопользовательские устройства.

Для однопользовательского устройства необходимо выбрать стандартную (пользователи самостоятельно входят в систему) или дополнительную (устройство регистрируется от имени другого пользователя) регистрацию.

4. Нажмите Сохранить, чтобы просто сохранить нового пользователя, или Сохранить и добавить устройство, чтобы сохранить нового пользователя и открыть страницу Добавить устройство.


Дополнительные сведения о добавлении пользователям каталогов Workspace ONE UEM см. в разделе Добавить отдельных пользователей каталога по одному и Пакетный импорт пользователей каталога. в документации по службам каталогов VMware Workspace ONE UEM на docs.vmware.com.

Список аккаунтов пользователейНа странице Представление списка (Учетные записи > Пользователи > Представление списка) находятся полезные инструменты для выполнения основных операций обслуживания и поддержки учетных записей пользователей в Workspace ONE Express и Workspace ONE UEM powered by AirWatch.


VMware, Inc. 57

Настраиваемый списокФункция «Список аккаунтов пользователей» позволяет быстро создавать настраиваемые списки пользователей. Кроме того, можно настроить экран на основе собственных критериев. Можно экспортировать настраиваемые списки для дальнейшего анализа и добавлять новых пользователей по отдельности или в пакетном режиме.

Действие Описание

Фильтры Позволяет просматривать только необходимых пользователей с помощью следующих фильтров.

n Тип безопасности

n Организационная группа регистрации

n Статус регистрации

n Группа пользователей

n Роль пользователя

Добавить n Добавить пользователя: позволяет добавить один базовый аккаунт пользователя. Можно добавить нового или повышенного в должности сотрудника, которому необходимы возможности MDM.Подробнее см. в разделе Создание базовых аккаунтов пользователей.

n Пакетный импорт: позволяет добавить нескольких пользователей в Workspace ONE путем импорта файла CSV. Необходимо указать уникальное имя и описание группы, чтобы настраивать несколько пользователей одновременно. Подробнее см. в разделе Пакетный импорт пользователей или устройств.


VMware, Inc. 58


Макет Позволяет настраивать макет таблицы списка.

n Сводка: список со столбцами и настройками просмотра по умолчанию.

n Настраиваемый: выберите только необходимые вам колонки для отображения в меню Список. Кроме того, можно применить выбранные столбцы ко всем администраторам в текущей или нижестоящей организационной группе.

Сортировка В списке (в макетах Сводка и Настраиваемое) можно сортировать большинство столбцов, включая Устройства, Группы пользователей и Орг. группа регистрации.

Экспорт Сохранение всего списка в виде файла XLSX или CSV. Файлы обоих этих форматов можно просматривать и анализировать в MS Excel.

Действия с аккаунтами пользователейВ списке слева от каждого аккаунта пользователя имеется флажок. Нажимая гипертекстовую ссылку с именем пользователя в столбце «Общая информация», можно просматривать сведения о пользователе.

Значок Изменить позволяет вносить базовые изменения в аккаунте пользователя. Если установить один флажок, над списком появятся три управляющие кнопки: Отправить сообщение, Добавить устройство и Дополнительные действия.

Можно выбрать несколько аккаунтов пользователей, установив соответствующие флажки, что в свою очередь изменит доступные действия.


Отправить сообщение. Позволяет оперативно предоставлять поддержку одному или группе пользователей. Можно отправлять электронные сообщения об активации пользователей (шаблон пользователя), в которых находятся учетные данные для регистрации.

Добавить устройство. Добавление устройства для выбранного пользователя. Доступно только для одного выбранного пользователя.

Дополнительные действия

Отображение следующих параметров.

Добавить в группу пользователей.

Добавить пользователей в новую или существующую группу для упрощения управления ими. Подробнее см. в разделах Список групп пользователей и Изменение разрешений для группы пользователей.

Удалить из группы пользователей.

Удалить выбранных пользователей из существующей группы.

Изменить организационную группу

Ручной перенос пользователя в другую организационную группу. Помогает обновить доступный контент, разрешения и ограничения для пользователей, которые перешли на другую должность, получили повышение или сменили офис.

Удалить Если сотрудник вашей организации увольняется, можно быстро и полностью удалить его учетную запись пользователя. Удаление информации аккаунта приведет к тому, что сведений о нем не станет, как если бы он никогда не существовал. Удаленный аккаунт не может быть повторно активирован. При возвращении владельца удаленного аккаунта ему необходимо создать новую учетную запись.


VMware, Inc. 59


Активация Активировация ранее отключенного аккаунта в случае, если пользователь вернулся в организацию или если необходимо восстановление.

Деактивировать Деактивация является мерой безопасности. Деактивация применяется, если пользователь отсутствует, его устройство не соответствует нормативным требованиям или утеряно. Все сведения о деактивированном аккаунте (имя, адрес электронной почты, пароль, организационная группа регистрации и т. д.) сохраняются.

Если учетная запись деактивирована, никто не может войти в систему с соответствующими учетными данными. После решения проблемы безопасности (обнаружен пользователь, устройство соответствует нормативным требованиям или восстановлено), аккаунт может быть активирован.

Функция пакетного импортаЕсли необходимо добавить несколько десятков или более пользователей в Workspace ONE UEM powered by AirWatch, то вы можете создать пользователей и группы пользователей в пакетном режиме или импортировать их из службы каталогов.

Выполнение пакетного импорта предполагает использование предоставляемого платформой Workspace ONE UEM шаблона со значениями, разделенными запятыми, который заполняется нужными данными, после чего выполняется отправка заполненного шаблона.

Изменения во внешних каталогах пользователей LDAP и ADПосле того как выполнена загрузка списка пакетов пользователей и групп пользователей, изменения внешних каталогов пользователей LDAP/AD не отражаются в Workspace ONE UEM. Эти изменения пользователей и групп пользователей нужно выполнить вручную или отправить в виде нового пакета.

Пользователи и устройстваВыберите один из четырех различных шаблонов импорта: запрещенный список устройств, разрешенный список устройств, простое устройство/пользователь, расширенное устройство/пользователь. Подробнее см. в разделе Пакетный импорт пользователей или устройств.

Группы пользователейГруппы пользователей можно импортировать в пакетном режиме практически таким же образом, как и отдельных пользователей: для этого необходимо заполнить шаблон, предоставленный Workspace ONE UEM, и загрузить его. Подробнее см. в разделе Пакетный импорт групп пользователей.

Редактирование базовых пользователейВы можете редактировать и перемещать пользователей в группах, а не по одному: для этого необходимо изменить определенные столбцы в файле CSV, который загружается на одном из этапов процедуры пакетного импорта. Такие действия со столбцами применимы только к двум видам аутентификации пользователей: базовая аутентификация пользователей и аутентификация прокси-сервера. Подробнее см. в разделе Изменение базовых пользователей с помощью пакетного импорта.


VMware, Inc. 60

Перемещение пользователей между организационными группамиПакетный импорт также может использоваться для перемещения нескольких пользователей в другую организационную группу. Подробнее см. в разделе Перемещение пользователей с помощью пакетного импорта.

Пакетный импорт пользователей или устройствМожно выполнить пакетный импорт нескольких пользователей и устройств в console. Можно также перейти на страницу «Статус пакета», чтобы проверить статус пакетного задания. Перейдите в раздел Учетные записи > Пользователи > Статус пакета.

На экране «Статус пакета» отображается список всех запрошенных заданий пакетного импорта, включая статус выбранного задания.

Чтобы начать процесс пакетного импорта пользователей или устройств, выполните указанные ниже действия.

Процедура

1. Перейдите в Аккаунты > Пользователи > Статус пакетов или Устройства > Жизненный цикл > Статус регистрации > Добавить и выберите Пакетный импорт

2. Укажите основную информацию, включая имя пакета и описание пакета.

3. Выберите соответствующий тип пакета в раскрывающемся меню Тип пакета.

4. Выберите и загрузите шаблон, максимально соответствующий вашему типу пакетного импорта.

n Устройства из черного списка

Импорт списка знакомых устройств, не соответствующих нормативным требованиям, выбирая по IMEI, серийному номеру или UDID. Запрещенные устройства невозможно зарегистрировать. При попытке зарегистрировать запрещенное устройство оно автоматически блокируется.

n Разрешенные устройства

Импорт устройств, предварительно проверенных по IMEI, серийному номеру или UDID. Используйте для импорта надежных знакомых устройств. Тип принадлежности и ID группы устройства автоматически применяются при его регистрации.

n Пользователь и/или устройство

Выберите один из шаблонов CSV: простой или расширенный. Простой шаблон содержит только наиболее часто используемые параметры, в то время как расширенный шаблон содержит полный набор параметров импорта.

n Изменить организационную группу

Перемещение пользователя в другую организационную группу.


VMware, Inc. 61

5. Откройте CSV-файл. Подтвердите, входят ли пользователи в организационную группу регистрации.

CSV-файл содержит несколько столбцов, соответствующих параметрам на странице Добавить или изменить пользователя. При открытии шаблона CSV обратите внимание, что выборочные данные были добавлены в каждый столбец шаблона. Они служат для иллюстрации типа и формата данных. Не отклоняйтесь от формата образца данных.

Примечание Файл CSV (список значений, разделенных запятыми) — это текстовый файл в формате «TXT», расширение которого изменено на «CSV». Такие файлы используются для хранения табличных данных в виде простого текста. Каждая строка файла представляет собой запись данных. Каждая запись состоит из одного или нескольких полей, разделенных запятыми. Файл можно открыть и изменить в любом текстовом редакторе. Также его можно открыть и изменить с помощью Microsoft Excel.

а) Откройте раздел Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация, затем откройте вкладку Группирование.

Для регистрации на основе каталогов типу безопасности каждого пользователя следует присвоить значение Каталог.

Если Режим назначения ID группы имеет значение По умолчанию, пользователи входят в организационную группу регистрации.

6. Укажите данные пользователей своей организации, включая сведения об устройстве (если это применимо), и сохраните файл.

7. Вернитесь на страницу пакетного импорта и нажмите Выбрать файл, чтобы найти и отправить CSV-файл, ранее загруженный и заполненный.


Пакетный импорт групп пользователейЧтобы сэкономить время, можно импортировать несколько групп пользователей LDAP/AD в Workspace ONE UEM Console.

Процедура

1. Перейдите в раздел Учетные записи > Группы пользователей > Список и выберите Добавить.

2. Нажмите Пакетный импорт.

3. Введите базовую информацию, включая имя пакета и описание пакета, для использования в консоли Workspace ONE UEM Console.

4. Чтобы найти и отправить заполненный CSV-файл, нажмите кнопку Выбрать файл в разделе Файл пакета (.csv).


VMware, Inc. 62

5. Можно также перейти по ссылке Загрузите шаблон для этого пакетного типа, сохранить CSV-файл (файл с разделителями-запятыми) и использовать при подготовке к новому импорту.

n Откройте CSV-файл, в котором столбцы соответствуют настройкам на странице Добавить группу пользователей. Столбцы со звездочками являются обязательными и должны быть заполнены. Сохраните файл.

n Последний столбец в файле шаблона CSV имеет название «GroupID/Manage(Edit and Delete)/Manage(Users and Enrollment)/UG assignment/Admin Inheritance» (GroupID/Управление(Редактирование и удаление)/Управление(Пользователи и регистрация)/Назначение групп пользователей/Наследование администратора). Заголовок этого столбца соответствует настройкам и следует логике вкладки Разрешения на странице Редактирование группы пользователей. Дополнительные сведения см. в разделе Изменение разрешений для группы пользователей.

6. Нажмите Импорт.

7. Если пакетный импорт завершился неудачно, просмотрите и устраните возникшие ошибки, для этого необходимо выбрать Учетные записи > Статус пакета. Нажмите гиперссылку Ошибки, чтобы просмотреть ошибки пакетного импорта.

Изменение базовых пользователей с помощью пакетного импортаФункция «Пакетный импорт» позволяет изменять и перемещать пользователей группами, а не поочередно. Чтобы эта процедура сработала, пользователи должны существовать в Workspace ONE UEM. Измените следующие настройки в CSV-файле и отправьте его с помощью функции пакетного импорта.

n Пароль (только базовая аутентификация)

n Имя

n Отчество

n Фамилия

n Адрес электронной почты

n Номер телефона

n Номер мобильного телефона

n Отдел

n Имя пользователя электронной почты

n Пароль электронной почты

n Авторизованные организационные группы (только для указанных ID групп)

n Категория пользователя регистрации (если эта категория недоступна пользователю, установите 0 в качестве значения по умолчанию)

n Роль пользователя регистрации (если эта роль недоступна пользователю, используется роль организационной группы по умолчанию)

Такие базовые операции изменения пользователей относятся только к Стандартная аутентификация пользователей и к Прокси-сервер аутентификации.

Перемещение пользователей с помощью пакетного импортаФункция пакетного импорта позволяет выполнить групповое перемещение пользователей в другую организационную группу.

Процедура

1. На экране пакетного импорта введите базовую информацию, включая имя и описание пакета в Workspace ONE UEM Console.

2. Выберите Изменить орг. группу в списке шаблонов и сохраните CSV-файл в удобном расположении.


VMware, Inc. 63

3. Введите ID группы, откуда выполняется перемещение (текущая организационная группа пользователя), имя пользователя, который перемещается, и ID целевой группы.

4. Вернитесь на экран «Пакетный импорт», нажмите Выбрать файл, чтобы найти и отправить сохраненный CSV-файл, затем нажмите Открыть.


Аккаунты администраторовУчетные записи администраторов позволяют сохранять настройки, отправлять или отзывать компоненты и контент, а также выполнять другие действия в Workspace ONE UEM powered by AirWatch и Workspace ONE Express.

Создание аккаунта администратораВы можете создать столько аккаунтов администраторов, сколько необходимо; при этом каждый из них имеет уникальный набор разрешений или ролей, которые могут понадобиться вам для управления парком устройств. Подробнее см. в разделе Создание аккаунта администратора.

Добавление, изменение и удаление аккаунтов администраторовПо мере роста числа аккаунтов администраторов вы можете выполнять административные обязанности по переназначению разрешений или ролей, сбросу паролей, а также отключению и удалению аккаунтов администраторов. Подробнее см. в разделе Управление аккаунтами администраторов.

Временная учетная запись администратораВременная учетная запись администратора позволяет использовать функцию удаленного помощника в консоли. Такие аккаунты с настраиваемым сроком действия можно использовать для доступа к областям, которые обычно доступны только для постоянных владельцев аккаунтов администраторов.

Создание временного аккаунта администратораБлагодаря возможности настройки срока действия временные аккаунты администраторов идеально подходят для организации поддержки от большой группы пользователей при устранении неполадок, тестировании и выполнении упражнений. Подробнее см. в разделе Создание временного аккаунта администратора.

Создание аккаунта администратораНа странице Список администраторов можно добавить учетные записи администраторов, предоставляющие доступ к дополнительным функциям Workspace ONE UEM Console и Workspace ONE Express. Необходимо создать отдельный аккаунт для каждого администратора, который будет обслуживать консоль и управлять нею.


VMware, Inc. 64

Процедура

1. Откройте раздел Учетные записи > Администраторы > Список, нажмите Добавить, затем выберите Добавить администратора. Откроется страница Добавление или изменение администратора.

2. На вкладке Базовый для настройки Тип пользователя выберите значение Базовый или Каталог.

n Если выбрать Базовый, необходимо заполнить все необходимые поля настроек на вкладке Базовый, включая имя пользователя, пароль, имя и фамилию.

n Можно включить двухфакторную аутентификацию, для которой можно выбрать способ доставки уведомлений (по электронной почте или через SMS) и задать срок действия маркера в минутах.

n Также можно задать параметр Уведомление, для которого доступны значения «Нет», «Электронная почта» и SMS. Администратор получает автоматически созданный ответ.

n Если выбрать Каталог, необходимо указать домен и имя пользователя для администратора.

3. Откройте вкладку Подробности и при необходимости укажите дополнительные сведения.

4. Откройте вкладку Роли и выберите организационную группу для роли, которую хотите назначить новому администратору. Чтобы добавить новые роли, нажмите Добавить роль.

5. Перейдите на вкладку API и выберите тип аутентификации.

6. Откройте вкладку Заметки и введите дополнительные заметки для администратора.

7. Нажмите Сохранить, чтобы создать аккаунт администратора с назначенной ролью.

Создание временного аккаунта администратораАдминистративный доступ к среде может предоставляться временно — для поддержки, проведения демонстраций и других ограниченных по времени случаев.

Процедура

1. Откройте раздел Аккаунты > Администраторы > Список и нажмите Добавить. Выберите Добавить временного администратора.

Можно также нажать кнопку Справка в строке заголовка, которая располагается в правом верхнем углу практически каждой страницы Workspace ONE UEM и Workspace ONE Express, и выбрать пункт Добавить временного администратора.

2. На вкладке Базовый добавьте временный аккаунт администратора на основе электронного адреса или имени пользователя и задайте следующие настройки.


Адрес эл. почты Введите электронный адрес, на основе которого создается временный аккаунт администратора. Настройка доступна, если переключатель установлен в положение «Электронный адрес».

Имя пользователя Введите имя пользователя, на основе которого создается временный аккаунт администратора. Настройка доступна, если переключатель установлен в положение «Имя пользователя».

Пароль / Подтвердить пароль

Введите и подтвердите пароль для электронного адреса или имени пользователя.


VMware, Inc. 65


Период действия Укажите период действия (по умолчанию — 6 часов). В раскрывающемся меню можно выбрать Неактивный, чтобы создать аккаунт сейчас, а активировать позже.

Номер билета При необходимости можно добавить «Запросить номер запроса в службу поддержки из ZenDesk» в качестве маркера для справки.

3. На вкладке Роли можно добавлять и удалять роли для временного аккаунта администратора.

n Чтобы добавить роль, нажмите кнопку Добавить роль, а затем выберите организационную группу и роль, которым будет принадлежать временный аккаунт администратора.

n Отредактируйте существующую роль, выбрав значок редактирования ( ) и выберите другую организационную группу и роль.

n Удалите роль, выбрав значок удаления ( ).


Управление аккаунтами администраторовВы можете выполнять основные действия по управлению для текущего обслуживания и поддержки аккаунтов администраторов в разделе Учетные записи > Администраторы > Представление списка.

Чтобы отобразить страницу Добавление или изменение администратора, щелкните гипертекстовую ссылку в столбце имя пользователя. Эта ссылка позволяет быстро обновлять назначенные роли или изменять их в пределах организации, чтобы поддерживать актуальность соответствующих прав. Кроме того, можно изменять общие сведения об администраторе и пароль.

Можно фильтровать список администраторов, чтобы он включал все роли или только одну необходимую.

Чтобы отобразить кнопки действия, применимые для данного администратора, активируйте переключатель рядом с именем администратора.

n Просмотреть историю: позволяет отслеживать входы и выходы администраторов в Workspace ONE UEM Console или Workspace ONE Express.

n Деактивировать: позволяет изменить статус аккаунта администратора с активного на неактивный. Эта функция позволяет временно приостановить управление и действие прав, а также сохранить определенные роли аккаунта администратора для дальнейшего использования.

n Активировать: позволяет изменить статус аккаунта администратора с неактивного на активный.

n Удалить: позволяет удалить учетную запись администратора из console. Такое действие полезно, когда администратор завершает работу.

n Сброс пароля — доступно только основным администраторам. Отправляет сообщение электронной почты адрес эл. почты базовые права на запись. Электронное письмо содержит ссылку, срок действия которой истекает через 48 часов. Чтобы сбросить пароль, основной администратор должен выбрать ссылку и ответить на контрольный вопрос для восстановления пароля. Таким образом основной администратор может изменять свой пароль.


VMware, Inc. 66

На основе каталога администраторы должны сбрасывать свои пароли с использованием системы службы каталогов Active Directory.

Временный администратор не может сбросить свой пароль. Другой администратор должен удалить и повторно создать аккаунт временного администратора.

Дополнительные сведения о синхронизации состояний учетных записей см. в разделе Синхронизация состояний пользователей каталога.


VMware, Inc. 67

Доступ на основе ролей 4Существует возможность создания ролей, предоставляющих специальные виды доступа к Workspace ONE UEM powered by AirWatch. Роли определяются для отдельных пользователей и групп на основе выбранных уровней доступа к консоли UEM.

Например, администраторы службы поддержки на предприятии могут иметь ограниченный доступ к консоли, а руководителю ИТ-отдела может быть предоставлен более широкий диапазон разрешений.

Чтобы включить управление доступом на основе ролей, необходимо сначала установить роли пользователей и администраторов в консоли UEM. Специальные ресурсы, называемые разрешениями, определяют эти роли, которые включают и отключают доступ к различным функциям в консоли UEM. Роли также можно создать для пользователей, которым нужен доступ к порталу самообслуживания.

Так как роли (и в частности ресурсы или разрешения) определяют, что именно пользователи и администраторы могут и не могут делать в консоли UEM, необходимо очень внимательно предоставлять соответствующие ресурсы или разрешения. Например, если администраторы перед очисткой корпоративных данных на устройстве должны вводить заметки, роль должна иметь разрешения не только на очистку корпоративных данных устройства, но также и на добавление заметок.

Сравнение двух ролей администраторовМожно сравнить разрешения одной роли администратора с другой, чтобы проверить их точность или убедиться в правильности различий. Подробнее см. в разделе Сравнение ролей администраторов.


n Настраиваемые роли и роли по умолчанию

n Роли пользователей

n Роли администраторов

n Как создать администратора службы поддержки с ограничениями и добавить роль, предоставляющую специальные функции

Настраиваемые роли и роли по умолчаниюСуществует несколько ролей по умолчанию, предоставляемых Workspace ONE UEM powered by AirWatch, из которых можно выбирать требуемый вариант. Роли по умолчанию доступны с каждым обновлением, и их можно быстро назначать новым пользователям. Если необходима дальнейшая

VMware, Inc. 68

кастомизация, можно создать настраиваемые роли для более детальной настройки пользовательских привилегий и разрешений.

В отличие от ролей по умолчанию настраиваемые роли требуют ручного обновления при каждом обновлении Workspace ONE UEM.

Оба типа ролей имеют свои преимущества и недостатки. Роли по умолчанию экономят время при настройке новой роли с нуля, логически соответствуют различным административным правам доступа и автоматически обновляются вместе с компонентами и настройками. Однако роли по умолчанию не всегда подходят для конкретной организации и MDM-развертывания. В таком случае лучше использовать настраиваемые роли.

Роли пользователей по умолчаниюНиже приведен список всех ролей по умолчанию, доступных в консоли Unified Endpoint Management.

n Роль с полным доступом предоставляет полное разрешение для выполнения любых задач на портале самообслуживания.

n Роль с базовым доступом предоставляет все разрешения, кроме выполнения MDM-команд на портале самообслуживания.

Настраиваемые роли позволяют создавать любое число уникальных ролей и выполнять крупные и мелкие изменения для разных пользователей и администраторов. Однако настраиваемые роли необходимо периодически обновлять и обслуживать вручную.

Изменение роли пользователя по умолчанию для создания настраиваемой роли пользователяЕсли ни одна их предлагаемых ролей по умолчанию не соответствует требованиям вашей организации, попробуйте преобразовать существующую роль пользователя в настраиваемую роль пользователя.

Создайте настраиваемую роль конечного пользователя путем редактирования роли по умолчанию, имеющейся в UEM console.

Процедура

1. Убедитесь, что находитесь в организационной группе, c которой будет ассоциироваться новая роль.

2. Перейдите в раздел Учетные записи > Пользователи > Роли.

3. Определите, какая роль из списка больше всего соответствует роли, которую вы хотите создать. Затем

отредактируйте эту роль, выбрав значок редактирования ( ) справа. Появится страница Добавить или изменить роль.

4. При необходимости измените поля Имя, Описание и Начальная страница. Просмотрите флажки — они представляют собой различные разрешения. Можно устанавливать и снимать их по мере необходимости.

5. Нажмите Сохранить, чтобы сохранить изменения, перезаписав предыдущие настройки роли.


VMware, Inc. 69

Роли администраторов по умолчаниюПо умолчанию администраторам в Workspace ONE UEM Console доступны следующие роли.

Можно использовать средство сравнения ролей администраторов, чтобы сравнивать определенные разрешения двух соответствующих ролей. Подробнее см. в разделе Сравнение ролей администраторов.

Роль Описание

Системный администратор

Роль системного администратора предоставляет полный доступ к среде Workspace ONE UEM. Она включает доступ к настройкам «Пароль и безопасность», «Управление сеансами» и данным аудита консоли UEM. Эти сведения расположены на вкладке Администрирование в разделе Настройка системы.

Эта роль доступна только диспетчерам среды, например, групп SaaS Operations для всех сред SaaS, размещенных VMware.

Администратор AirWatch Роль администратора AirWatch предоставляет полный доступ к среде Workspace ONE UEM. Однако данная роль не включает доступ к вкладке Администрирование в Системных настройках, поскольку эта вкладка управляет настройками консоли UEM верхнего уровня.

Эта роль доступна только сотрудникам VMware с доступом к средам для устранения неполадок, установки и настройки.

Администратор консоли Администратор консоли — это роль администратора по умолчанию для общих сред SaaS. Эта роль имеет ограниченные функциональные возможности, связанные с атрибутами политики соответствия, созданием отчетов и выбором организационных групп.

Диспетчер устройств Роль диспетчера устройств предоставляет пользователям доступ к большинству функций консоли UEM. Однако мы не рекомендуем использовать эту роль, чтобы задавать системные настройки: Active Directory (AD) / протокол LDAP, протокол SMTP, агенты и т. д. Для этих задач лучше использовать роль более высокого уровня, например администратор AirWatch или системный администратор.

Просмотр отчетов Роль «Просмотр отчетов» позволяет просматривать данные, собранные системой Mobile Device Management (MDM). Эта роль ограничивает возможности пользователей созданием отчетов, их просмотром, экспортом и подпиской в консоли UEM.

Управление контентом Роль управления контентом ограничена только управлением VMware Content Locker. Используйте эту роль для специализированных администраторов, ответственных за отправку контента устройств и управление им.

Управление приложениями

Эта роль позволяет администраторам развертывать закрытые и общедоступные приложения парка устройств и управлять ими. Используйте эту роль для администратора, управляющего приложениями.

Служба поддержки Роль службы поддержки предоставляет необходимые средства для большинства функций 1-го уровня службы ИТ-поддержки. Основное средство данной роли позволяет дистанционно просматривать информацию на устройствах и предпринимать необходимые меры. Эта роль также позволяет просматривать отчеты и искать устройства.

Администратор только для App Catalog

Роль «Администратор только для App Catalog» имеет почти те же разрешения, что и «Управление приложениями». Кроме того, пользователь с этой ролью может добавлять и обслуживать аккаунты администраторов и пользователей, их группы, сведения об устройстве и теги.

Только для чтения Роль «Только для чтения» предоставляет доступ к большинству страниц консоли UEM, но в варианте исключительно для чтения. Используйте эту роль для аудита или записи настроек в среде Workspace ONE UEM. Эта роль не рекомендуется для системных операторов или администраторов.

Администратор Horizon Роль администратора Horizon представляет собой специально разработанный набор разрешений для дополнения конфигурации Workspace ONE UEM, интегрированной с VMware Horizon View.


VMware, Inc. 70

Роль Описание

Администратор NSX Роль администратора NSX представляет собой специально разработанный набор разрешений для дополнения решения VMware NSX, интегрированного с Workspace ONE UEM. Она предоставляет полный набор разрешений на настройку системы и управление сертификатами, позволяя администраторам защитить конечные точки средствами для безопасности ЦОД.

Специалист по конфиденциальности

Эта роль предоставляет доступ только для чтения к настройкам на страницах «Обзор монитора», «Список устройств», «Просмотр системных настроек», а также полные разрешения на изменение настроек конфиденциальности.

Изменение роли администратора по умолчанию для создания настраиваемой роли администратораЕсли ни одна из предлагаемых ролей по умолчанию не соответствует административным требованиям вашей организации, попробуйте преобразовать существующую роль по умолчанию в настраиваемую роль администратора.

Создайте настраиваемую роль администратора путем редактирования роли по умолчанию, имеющейся в UEM console.

Процедура

1. Убедитесь, что вы находитесь в организационной группе, c которой будет ассоциироваться новая роль.

2. Перейдите в раздел Учетные записи > Администраторы > Роли.

3. Определите, какая роль из списка больше всего соответствует роли, которую вы хотите создать. Установите флажок для этой роли.

4. Нажмите кнопку Копировать в меню действий над списком. Появится страница Копировать роль.

5. Измените специальные настройки копии на странице Копировать роль. Задайте уникальное имя и описание для настраиваемой роли.



Дополнительные сведения см. в разделе Создание роли администратора.

Роли пользователейРоли пользователей позволяют включать или отключать определенные действия вошедшим в систему пользователям. Это может быть управление доступом к очистке устройства и запросами или управление личным контентом. Роли пользователей в Workspace ONE UEM powered by AirWatch также могут настроить начальную страницу и ограничить доступ к порталу самообслуживания.

Создание нескольких ролей пользователей экономит время. Можно в любое время создать комплексные конфигурации в различных организационных группах или изменить роль для конкретного пользователя.


VMware, Inc. 71

Создание новой роли пользователяПомимо ролей для базового и полного доступа можно создавать настраиваемые роли. Наличие нескольких ролей пользователей повышает гибкость и может сэкономить время при назначении ролей для новых пользователей.

Процедура

1. Откройте Аккаунты > Пользователи > Роли и выберите Добавить роль. Появится страница Добавить или изменить роль.

2. Введите имя и описание и выберите начальную страницу портала самообслуживания для пользователей с новой ролью.

Для существующих ролей пользователей начальной страницей по умолчанию будет страница Мои устройства.

3. Выберите из списка вариантов уровень доступа и управления для пользователей с назначенной ролью на портале самообслуживания.

n Чтобы снять все флажки на странице, щелкните Снять выделение.

n Чтобы установить все флажки на странице, щелкните Выбрать все.

4. Нажмите Сохранить, чтобы сохранить изменения роли. Добавленная роль пользователя появится на странице «Роли».


На странице «Роли» можно просматривать, изменять и удалять роли.

Настройка роли по умолчаниюРоль по умолчанию — это базовая роль, на которой основаны все роли пользователей. Настроив роль по умолчанию, вы сможете задавать разрешения и привилегии, которые пользователи будут автоматически получать при регистрации.

Процедура

1. Перейдите в раздел Устройства > Настройки устройств > Устройства и пользователи > Общее > Регистрация и выберите вкладку Группирование.

2. Настройте уровень доступа по умолчанию для пользователей на портале самообслуживания, выбрав роль по умолчанию.

Эти настройки роли задает организационная группа.

n Полный доступ — предоставляет пользователям доступ к функциям портала самообслуживания более высокого уровня, такими как установка или удаление профилей и приложений, сброс секретных кодов, отправка сообщений на устройства и доступ на запись к контенту.


VMware, Inc. 72

n Базовый доступ — предоставляет пользователям доступ к функциям низкого уровня. При этом пользователи могут регистрировать свои собственные устройства, просматривать (но не устанавливать) профили и приложения, просматривать информацию о своей собственной учетной записи, а также запрашивать свое устройство и выполнять его поиск.

n Внешний доступ — пользователи с внешним доступом имеют все привилегии пользователей с базовым доступом, однако при этом у них также есть доступ только на чтение к тому контенту на портале самообслуживания, к которому им явно предоставлен общий доступ.


Назначение или изменение роли существующего пользователяМожно изменить роль для конкретного пользователя, например, чтобы предоставить или ограничить ему доступ к функциям Workspace ONE UEM.

Процедура

1. Выберите необходимую организационную группу.

2. Перейдите в раздел Учетные записи > Пользователи > Список.

3. Найдите в списке пользователя, которого необходимо изменить. Выбрав пользователя, нажмите значок «Изменить» под флажком. Откроется окно Добавление или изменение пользователя.

4. В нижней части вкладки Общее найдите раздел Регистрация и в раскрывающемся меню выберите роль пользователя, чтобы изменить ее.


Роли администраторовПри помощи ролей администраторов можно включать или отключать разрешения для каждого доступного параметра и ресурса в Workspace ONE UEM powered by AirWatch. Эти настройки включают или отключают возможности консоли для каждого участника группы администраторов, позволяя создать иерархию администраторов в зависимости от требований.

Создание нескольких ролей администраторов экономит время. Создание комплексных конфигураций для различных организационных групп означает возможность изменения разрешений для конкретного администратора в любое время.

Список ролей администраторовВ этом списке можно добавлять, изменять, сравнивать и обслуживать библиотеку ролей для всей базы администраторов.

Чтобы открыть представление списка для ролей администраторов, перейдите в раздел Учетные записи > Администраторы > Представление списка.


VMware, Inc. 73

Просмотреть пользователейКнопка Просмотреть пользователей отображает список всех администраторов. Установите флажок слева от имени роли и нажмите кнопку Просмотреть пользователей.

Удалить рольМожно удалить неиспользуемую роль из библиотеки ролей администраторов. Роль, назначенную администратору, удалить невозможно. Необходимо выбрать неназначенную роль, которую следует удалить, и нажать кнопку Удалить.

Просмотр ресурсов роли администратораМожно просматривать все ресурсы или разрешения любой роли администратора, включая настраиваемые роли и роли по умолчанию. Это представление помогает определить, какие действия доступны и недоступны для администратора в UEM console. Подробнее см. в разделе Просмотр ресурсов роли администратора.

Изменить рольМожно изменить имя существующей роли и определенные разрешения. Выберите значок карандаша рядом с именем роли из списка. Отобразится экран Изменить роль, в котором можно внести изменения.

Сравнить две ролиКроме того, можно сравнить настройки отдельных разрешений двух ролей. Подробнее см. в разделе Сравнение ролей администраторов.

Создание роли администратораМожно создать роли администратора для выполнения специальных задач в Workspace ONE UEM, а затем назначить эти роли конкретным администраторам.


VMware, Inc. 74

Процедура

1. В консоли UEM откройте раздел Аккаунты > Администраторы > Роли и нажмите Добавить роль.

2. В окне Создать роль введите Имя и Описание роли.

3. Выберите категорию из списка Категории.

В разделе Категории упорядочены категории верхнего уровня, такие как категория Управление устройствами, в которой расположены подкатегории, включая Приложения, Браузер, Массовое управление и другие. Такая структура категорий упрощает и ускоряет процесс создания роли. Рядом с каждой подкатегорией на панели справа есть флажки Только для чтения и Изменить.

Если в разделе Категории выбрана категория, ее индивидуальные настройки отображаются на панели справа. У каждой настройки есть флажки Только для чтения и Изменить в дополнение к общим флажкам Только для чтения и Изменить для всех настроек в заголовке столбца. Это обеспечивает гибкое управление и кастомизацию при создании роли.

Используйте текстовое поле Поиск ресурсов, чтобы ограничить количество ресурсов, из которых можно выбирать. Как правило, ресурсы имеют метки, соответствующие их названиям в самой консоли UEM. Например если требуется ограничить роль администратора для редактирования журналов приложений, введите «App Logs» (Журналы приложений) в поле Поиск ресурсов, и появится список всех ресурсов, содержащих строку «App Logs».


VMware, Inc. 75

4. Установите подходящий флажок (Только для чтения или Изменить) для соответствующих параметров ресурсов. Также можно выбрать очистку любого из выбранных ресурсов.

5. Чтобы сделать выбор для всей категории, установите флажки Отсутствует, Только для чтения или Изменить непосредственно в разделе Категории, не переходя на панель справа. Нажмите круглый значок справа от категории — появится раскрывающееся меню. Используйте этот способ выбора, если уверены, что хотите установить данные флажки для настройки всей категории.

6. Нажмите Сохранить, чтобы завершить создание настраиваемой роли. Добавленная роль появится в списке на странице Роли. Здесь можно изменить данные роли или удалить роль.


Настраиваемую роль необходимо обновлять при каждом обновлении версии Workspace ONE UEM, чтобы отражались последние добавленные разрешения.

Импорт ролей администратораСохраненные роли администратора можно импортировать из другой среды в виде XML-файла, что делает роли администратора переносимым ресурсом, который экономит время.

Процедура

1. Откройте раздел Учетные записи > Администраторы > Роли и выберите Импортировать роль.

2. На странице «Импортировать роль» нажмите кнопку Найти и найдите ранее сохраненный XML-файл. Нажмите кнопку Отправить, чтобы отправить роль администратора в список «Категории» для подтверждения.

3. Workspace ONE UEM выполняет серию проверок, включая проверку XML-файла, разрешений импортируемой роли, дублирования имени роли и пустых имени и описания.

4. Проверьте настройки ресурса и соответствующие характеристики импортированной роли, выбрав нужные Категории на левой панели.

5. При необходимости можно изменить не только ресурсы, но также имя и описание импортированной роли. Чтобы сохранить и существующую, и импортированную роли, переименуйте существующую роль администратора, прежде чем импортировать новую.

а) Если имя импортируемой роли совпадает с именем роли, имеющейся в среде, отображается сообщение «Роль с таким именем уже существует в данной среде. Вы хотите переопределить эту роль?»

б) Если выбрать «Нет», роль, имеющаяся в среде, не будет перезаписана, а импорт роли будет отменен.


VMware, Inc. 76

в) Если выбрать «Да», появится запрос на ввод PIN-кода безопасности. Если ввести правильный код, импортированная роль заменит существующую.

6. Нажмите Сохранить, чтобы применить импортированную роль к новой среде.

Экспорт ролей администратораРоли администратора можно экспортировать в XML-файл и затем импортировать такие файлы в другую среду, что делает роли администратора переносимым ресурсом, который экономит время.

Процедура


2. Установите флажок рядом с ролью администратора, которую хотите экспортировать. После этого появятся кнопки действий над списком ролей. Если выбрано несколько ролей администратора, действие «Экспорт» будет недоступно.

3. Нажмите Экспорт и сохраните XML-файл на устройстве.

Копировать рольМожно сэкономить время, скопировав существующую роль. Кроме того, можно изменить разрешения для копии и сохранить ее под другим именем.

Процедура

1. Установите флажок рядом с ролью, которую необходимо скопировать.

2. Нажмите кнопку Копировать. Появится страница Копировать роль.

3. Измените разделы Категории, Имя и Описание.

4. По завершении нажмите Сохранить.

Переименование роли администратораПри импорте роли администратора, имя которой совпадает с именем существующей роли администратора, сначала необходимо переименовать существующую роль. Это позволит сохранить в одной среде обе роли (старую и новую).


VMware, Inc. 77

Процедура

1. Откройте раздел Аккаунты > Администраторы > Роли и нажмите значок Изменить ( ) для роли, которую хотите переименовать. Появится страница Изменить роль.

2. Измените имя роли и описание (не обязательно).


Управление версиями при импорте и экспорте ролей администраторовБывают случаи, когда роль импортируется в среду с более ранней версией Workspace ONE UEM. В более ранней версии может не быть ресурсов и разрешений, которые соответствуют импортируемой роли.

В таком случае Workspace ONE UEM отправит следующее сообщение.

Некоторые разрешения этой среды не найдены в вашем импортированном файле. Просмотрите и исправьте выделенные разрешения перед сохранением.

Используйте страницу списка категорий, чтобы отменить выбранные разрешения. Это позволит сохранить роль в новой среде.

Индикатор чтения/изменения в категориях для администраторовВ разделе Категории используется визуальный индикатор, который показывает текущие настройки: только для чтения, изменение или их комбинацию. Этот индикатор показывает настройки без необходимости открывать и проверять определенные настройки подкатегорий.

Он представляет собой круглый значок, расположенный справа от списка категорий, который обозначает следующее.

Все настройки в этой категории доступны для изменения (что по умолчанию также означает возможность чтения).

Для большинства настроек категорий включена возможность редактирования, но хотя бы в одной подкатегории редактирование отключено.

Все настройки категории доступны только для чтения (редактирование отключено).

Большинство настроек категорий доступны только для чтения, но хотя бы в одной подкатегории включено редактирование.

Назначение или изменение роли администратораМожно назначить администратору роли, которые расширяют возможности администратора в Workspace ONE UEM Console. Кроме того, можно изменять существующие роли, чтобы ограничить или расширить их возможности.

Процедура

1. Перейдите в раздел Учетные записи > Администраторы > Список, найдите учетную запись администратора и выберите значок «Изменить» в кластере кнопок «Действие». Откроется страница Добавление или изменение администратора.


VMware, Inc. 78

2. Откройте вкладку Роли и выберите Добавить роль.

3. Для каждой добавленной роли укажите организационную группу и роль.


Просмотр ресурсов роли администратораПросмотр списка ресурсов (или разрешений) поможет вам создать роли администраторов, которые определяют, что может и не может выполнить администратор на консоли UEM. Для просмотра всех ресурсов любой роли администратора, включая настраиваемые роли и роли по умолчанию, можно использовать список ролей администраторов.


Роли состоят из сотен ресурсов (разрешений), которые обеспечивают доступ (только на чтение или изменение) к конкретной функции в UEM console. Чтобы просмотреть ресурсы роли администратора, выполните следующие действия.

Процедура


2. Найдите роль администратора, разрешения для которой нужно просмотреть. При наличии большой библиотеки ролей администраторов используйте панель Поиск в списке в верхнем правом углу, чтобы сократить список.

3. Выберите имя роли, представляющее собой ссылку, и появится экран Просмотр роли, в котором содержатся все разрешения, связанные с ролью.

n Категории роли перечислены в левой панели. Среди них могут быть подкатегории, которые можно развернуть для просмотра.

n Дополнительные сведения об оранжевых визуальных индикаторах чтения/изменения на этом экране см. в разделе Индикатор чтения/изменения в категориях для администраторов.


VMware, Inc. 79

n Выберите в левой панели определенную категорию, и в правой панели появятся категория, имя и описание каждого ресурса. Нажав ссылку Сведения справа в конце, можно просмотреть каждую конкретную функцию только для чтения или для изменения в консоли UEM.

n Чтобы найти определенную функцию по имени, можно использовать поле Поиск ресурсов. Например, если нужно создать роль администратора, которая может только добавить тег для устройства, введите слово «tag» (тег) в поле Поиск ресурсов и нажмите ENTER. На правой панели появятся все ресурсы, содержащие последовательность «tag» в категории, имени, описании или сведениях. Функция поиска позволяет легко находить конкретные связанные с тегами функции и назначать их роли.

Примечание Обратите внимание, что слово «Staging» в «Staging Devices» также содержит последовательность «tag».

4. Завершив проверку ролей администратора, нажмите кнопку Закрыть.


Эти действия можно использовать для создания собственных ролей в разделе Создание роли администратора.

Средство сравнения ролей администраторовПри создании роли администратора зачастую проще изменить существующую роль, чем создавать ее с нуля. Средство сравнения ролей облегчает этот процесс.

Средство сравнения ролей позволяет отображать только различия между двумя ролями администраторов, что существенно упрощает процесс сравнения. В качестве альтернативы, можно сравнить две роли администраторов, чтобы проверить и подтвердить все известные аналогичные параметры, которые могут иметь одинаковую важность.

Сравнение ролей администраторовМожно сравнить настройки разрешений для двух любых ролей администратора, чтобы проверить их точность или подтвердить отличия.

Процедура


2. Выберите две любые указанные роли, включая роли расположенные на разных страницах.


VMware, Inc. 80

3. Нажмите Сравнить. На странице Сравнения ролей появится предлагаемый список категорий. При выборе категории на панели слева справа отображаются все ее подробные сведения.

n Кнопка Сравнить не появится, если выбрано меньше или больше двух ролей.

n Подкатегории роли можно просмотреть на панели справа, щелкнув ссылку Сведения возле правого края. Сверните подкатегорию роли, щелкнув ссылку Скрыть.

n На панели слева есть параметр Все, выбрав который можно увидеть все родительские категории на странице Сравнить роли. Если ввести параметр поиска в поле Поиск ресурсов, на панели справа отобразятся только соответствующие категории и ресурсы (также называемые разрешениями).

n Функция поиска является постоянной. Данное постоянство означает, что при наличии параметра на панели Ресурсы поиска и выборе категории Все отображаются только соответствующие категории и ресурсы. Функция поиска сохраняется, даже если выбрать определенные ресурсы и установить флажки Только для чтения и Изменить.

n По умолчанию отображаются только те категории и подкатегории, которые имеют разные настройки. Выберите Отображать все разрешения, чтобы показать все разрешения, в том числе идентичные для обеих выбранных ролей.

n Если выбраны две роли с одинаковыми разрешениями, вверху страницы Сравнить роли консоли появится следующее сообщение:

"There are no differences in permissions between the two roles." (Различия в разрешениях между двумя ролями отсутствуют).


VMware, Inc. 81


(Необязательно) Также можно выбрать пункт Экспорт, чтобы создать файл XLSX или CSV, которые можно просматривать в Excel. Файл экспорта содержит все настройки для Роли 1 и Роли 2, что позволяет анализировать различия между ними.

Как создать администратора службы поддержки с ограничениями и добавить роль, предоставляющую специальные функцииМожно создать настраиваемую роль, которая позволяет администратору службы поддержки выполнять только те действия, которые ему разрешены. Узнайте, как использовать учетные записи, роли и программируемые разрешения вместе, чтобы добиться нужного результата.

Сценарий использования. Вам нужны выделенные специалисты службы поддержки, чтобы они взяли на себя задачу добавления пользователей и устройств, не задействуя других администраторов. Эти администраторы также должны добавлять устройства в белый и черный списки. В то же время крайне важно ограничить точки доступа к возможностям консоли более высокого уровня. Вы хотите добавить несколько учетных записей администратора и предоставить им возможность добавлять пользователей и устройства, вносить устройства в белый и черный список и не выполнять никаких других действий.

Роль, создаваемая в этом сценарии использования, снабжена только частью функций консоли: добавление пользователей и устройств, а также добавление устройств в белый и черный список. Все остальные функции Workspace ONE UEM в этой роли запрещены.


У вас должна быть существующая учетная запись администратора. В этом случае создается настраиваемая роль на основе роли «Служба поддержки», которая включена в Workspace ONE UEM powered by AirWatch, и назначается вашей учетной записи администратора.

Процедура


Отображается полный список ролей администратора.

2. В текстовом поле поиска в правом верхнем углу экрана введите ключевое слово «поддержка».

В списке отобразятся все роли, содержащие текстовую строку «поддержка».

3. Выберите роль Служба поддержки, установив флажок слева от имени роли.

Новый кластер кнопок появится под главным кластером кнопок.

4. Нажмите кнопку Копировать.

Отобразится экран Копировать роль.

5. Введите Имя и Описание для настраиваемой роли службы поддержки.


VMware, Inc. 82

6. Выберите оранжевые круговую диаграмму справа от категории Все в левой части экрана Копировать роль. Выберите Нет во всплывающем меню Выбор режима редактирования.

Это действие удаляет все разрешения из этой настраиваемой роли службы поддержки, оставив чистый шаблон. Таким образом, у администраторов будут только те разрешения, которые вы назначите здесь.

7. Включите следующие 9 разрешений. Расположение каждого флажка разрешения можно найти, выбрав категорию, подкатегорию и имя разрешения из таблицы.

Категория > Подкатегории Имя разрешения (флажок)

Аккаунты > Пользователи > Аккаунты Добавить аккаунты пользователей (Изменить)

Аккаунты > Пользователи > Аккаунты Изменить регистрацию пользователей (Изменить)

Аккаунты > Пользователи > Аккаунты Изменить аккаунты пользователей (Изменить)

Аккаунты > Пользователи > Аккаунты Добавить аккаунты пользователей (Изменить)

Аккаунты > Пользователи > Аккаунты Регистрация пользователя (Чтение)

Управление устройствами > Список устройств

Доступ к списку устройств (Чтение)

Управление устройствами > Список устройств

Устройства (Чтение)

Настройки > Устройства и пользователи > Общие

Добавить устройство в черный список (Изменить)

Настройки > Устройства и пользователи > Общие

Добавить устройство в белый список (Изменить)

Давайте в качестве примера рассмотрим верхний ряд начиная с верхней части таблицы. Нужное нам разрешение (оно называется «Добавить аккаунты пользователей») можно найти на экране Копировать роль, выбрав категорию «Аккаунт» на левой панели.

В этой же левой панели выберите подкатегорию «Пользователи», затем выберите элемент «Аккаунты», который находится в разделе «Пользователи». Теперь в правой панели экрана Копировать роль.вы видите все разрешения.


VMware, Inc. 83

В этой подкатегории «Пользователи > Аккаунты» есть пять флажков, которые нас интересуют. Установите эти флажки, как указано в таблице. «Добавить аккаунты пользователей» получает флажок «Изменить», «Изменить регистрацию пользователя» получает флажок «Изменить» и т. д.

Повторите эти действия для оставшихся четырех разрешений, начиная с разрешения «Доступ к списку устройств».

8. Выберите Сохранить, чтобы завершить определение настраиваемой роли службы поддержки.

9. Назначьте эту настраиваемую роль существующей учетной записи администратора, перейдя в раздел Аккаунты > Администраторы > Список и выбрав в списке вашу учетную запись администратора.

10. Выберите значок «Изменить» ( ) слева от учетной записи администратора.

Откроется экран Добавление или изменение администратора.

11. Откройте вкладку Роли и

12. Назначьте настраиваемую роль службы поддержки учетной записи администратора.

В этом варианте использования роли администратора назначаются только девять функций UEM Console. Несмотря на это, можно добавить эту роль службы поддержки и другие роли в учетную запись администратора, даже если ей уже назначена одна или несколько ролей.

13. Выберите Сохранить, чтобы завершить назначение роли.


Если администраторы, которым назначена только эта настраиваемая роль службы поддержки, войдут в ваше среду Workspace ONE UEM, им будет доступна только функция кнопки Добавить, в которой будут отображаться только два варианта: «Устройство» и «Пользователь». У них также будет доступ к кнопке главного меню Устройства, которая содержит варианты Список и Жизненный цикл > Статус регистрации, где можно добавить устройства в белый и черный список.


VMware, Inc. 84

Группы 5В Workspace ONE UEM powered by AirWatch для управления пользователями, устройствами, приложениями, контентом и т. д. используются несколько различных типов групп.


n Группы назначения

n Организационные группы

n Смарт-группы

n Группы пользователей

n Группы администраторов

n Просмотр назначений

Группы назначенияГруппы назначения — это обобщающий термин, используемый для классификации определенных группирующих структур управления внутри Workspace ONE UEM powered by AirWatch. Организационные группы, смарт-группы и группы пользователей имеют полный набор функций и свойств и отличаются друг от друга.

Однако у них есть одно общее свойство: их можно использовать, чтобы быстро назначать контент устройствам пользователей. Группы назначения позволяют администратору управлять этими тремя группирующими структурами из одного местоположения.

Перейдите в раздел Группы и настройки > Группы > Группы назначения.

VMware, Inc. 85

Список можно использовать для одновременного назначения нескольких организационных групп, смарт-групп и групп пользователей одному или нескольким профилям, общедоступным приложениям и политикам.

Список групп назначенияСписок «Группы назначения» выделяет три типа групп, которые могут назначать контент устройствам: организационные группы, смарт-группы и группы пользователей. Можно создать список, добавив в него только интересующие группы.

Перейдите в раздел Группы и настройки > Группы > Группы назначения, где отображается список групп назначения. В списке содержатся только те группы назначений, которые управляются организационной группой, к которой в настоящий момент находится администратор.

Сортировка по столбцамМожно сортировать списки групп по отдельным столбцам, выбирая заголовки столбцов.

Фильтр группГруппы можно фильтровать по их типу (смарт-группы, организационные группы и группы пользователей). Кроме того, можно фильтровать группы по способу, которым они были назначены («Назначения», «Исключения», «Все» и «Отсутствует»).

Выбор ссылок в списках групп назначенияНиже описаны четыре столбца в списках групп назначения, каждый из которых выполняет определенную функцию.

n Столбец Группы содержит ссылку для каждой смарт-группы. Можно выбрать эту ссылку, чтобы изменить смарт-группу.


VMware, Inc. 86

n Если столбец Назначения содержит число, отличное от нуля, то при его выборе появится страница «Смотреть назначение» даже для назначенных организационных групп и групп пользователей. Эта функция позволяет просматривать и утверждать назначения профилей, общедоступных приложений и политик соответствия. Подробнее см. в разделе Просмотр назначений.

n Если столбец Исключения содержит число, отличное от нуля, то при его выборе появится страница «Смотреть назначение» даже для исключенных организационных групп и групп пользователей. Эта страница позволяет просматривать и утверждать исключения профилей, общедоступных приложений и политик соответствия.

n Если выбрать число в столбце Устройства, отобразится страница «Список устройств». Этот список содержит все устройства выбранной организационной группы, смарт-группы или группы пользователей. Подробнее см. в документации по управлению устройств в Workspace ONE UEM.

Назначение одной или нескольких групп назначенияМожно назначать группы профилям устройств, общедоступным приложениям и политикам соответствия. Вы также можете назначить несколько групп для каждого отдельного типа (организация, смарт-группа или пользователь) за один прием.

При назначении общедоступных приложений можно настраивать разные политики приложений для разных групп пользователей. Подробнее см. в разделе Использование гибкого развертывания для назначения приложений в Руководстве по управлению мобильными приложениями VMware Workspace ONE UEM, доступном на веб-сайте docs.vmware.com.

Процедура

1. Перейдите в раздел Группы и настройки > Группы > Группы назначения.

2. Выберите одну или несколько групп в списке, а затем выберите Назначить над заголовком столбца.

3. На странице Назначение отображаются выбранные организационные группы, смарт-группы и группы пользователей.


VMware, Inc. 87

4. Назначьте их, запустив поиск профиля, общедоступного приложения и политики соответствия. Можно выбрать до 10 профилей, до 10 общедоступных приложений и одну политику соответствия.

В течение одного сеанса можно выбрать несколько объектов только одного типа. Например, с помощью одной команды можно назначить несколько групп десяти различным профилям. Однако с помощью одной команды нельзя назначить несколько групп десяти профилям, десяти приложениям и политике соответствия. Если необходимо добавить несколько разнотипных объектов, проведите отдельный сеанс назначения для каждого типа (профили, приложения и политики).

5. Нажмите Далее, чтобы открыть страницу Просмотр назначения устройств, на которой можно подтвердить назначение групп.

6. Нажмите Сохранить и опубликовать, чтобы завершить назначение.

Организационные группыМожно считать организационные группы отдельными ветвями генеалогического древа, где каждый лист является пользователем устройства. Workspace ONE UEM powered by AirWatch идентифицирует каждый лист и устанавливает его положение в генеалогическом древе с помощью организационных групп. Большинство заказчиков создают организационные группы в соответствии с корпоративной иерархией: руководители, администрация, операционный отдел, отдел продаж и т. д.

Также можно создать организационные группы на основе функций и контента Workspace ONE UEM.

Организационные группы доступны в разделе Группы и настройки > Группы > Организационные группы > Список или в раскрывающемся меню организационных групп.

n Создавайте группы для объектов организации («Управление», «Оклад», «Почасовая оплата», «Продажи», «Розничная торговля», «Отдел кадров», «Дирекция» и т. д.)

n Настраивайте иерархии с помощью родительских и дочерних уровней (например, «Оклад» и «Почасовая оплата» могут являться дочерними элементами группы «Управление»).

n Выполняйте интеграцию с несколькими внутренними инфраструктурами на соответствующем уровне.

n Делегируйте доступ и управление на основе ролей в соответствии с мультитенантной структурой.

Характеристики организационных группОрганизационные группы включают в себя функциональные, географические и организационные структуры и позволяют реализовать мультитенантные решения.

n Масштабируемость: обеспечивает гибкую поддержку для экспоненциального роста.

n Мультитенантность: позволяет создавать группы, которые работают как отдельные среды.

n Наследование: упрощает процесс установки, задавая дочерние группы, наследующие конфигурации родительских.


VMware, Inc. 88

Используя пример раскрывающегося меню организационных групп, можно настроить профили, функции, приложения и другие настройки MDM на уровне глобального предприятия.

Настройки передаются сверху вниз к дочерним организационным группам, например к группам Азиатско-Тихоокеанский регион и Европа, Ближний Восток и Африка и далее могут быть спущены к элементам третьего порядка: Австралия > Производственный отдел, или еще ниже — к элементам четвертого порядка: Австралия > Отдел операций > Корпоративный департамент.

Настройки одноранговых организационных групп (например, Азиатско-Тихоокеанский регион и EMEA) используют преимущества мультитенантной природы организационных групп (ОГ), которая позволяет хранить эти настройки отдельно друг от друга. В то же время эти две одноранговые ОГ наследуют настройки от родительской ОГ (World Wide Enterprises).

Кроме того, можно переопределять настройки на нижнем уровне и изменять или сохранять только необходимые. Эти настройки можно изменять и передавать на любой из уровней ниже.

Настройка организационных группПрежде чем создавать иерархию организационных групп (ОГ) в Workspace ONE UEM Console, определите структуру групп. Это оптимизирует использование настроек, приложений и ресурсов.

n Делегированное администрирование. Управление подгруппами можно передавать администраторам нижнего уровня, ограничивая их доступ только нужной организационной группой.

n Корпоративные администраторы могут просматривать всю среду.

n У менеджера в Москве есть доступ к своей группе и только тем устройствам, которые входят в нее.

n У менеджера в Санкт-Петербурге есть доступ к своей группе и только тем устройствам, которые входят в нее.

n Системные настройки. Настройки могут применяться к различным уровням дерева организационных групп и наследоваться нижними уровнями. Кроме того, настройки могут быть переопределены на любом уровне. Настройки включают в себя варианты регистрации, способы аутентификации, настройки конфиденциальности и брендинг.


VMware, Inc. 89

n Все устройства регистрируются на сервере Active Directory компании.

n Устройства водителей переопределяют основные настройки аутентификации, разрешая регистрацию с помощью маркеров.

n Складские устройства наследуют настройки AD от родительской группы.

n Использование устройств. Профиль можно назначить одной или нескольким организационным группам. Устройства в этих группах могут получить данный профиль. Подробнее см. в разделе «Профили». Прежде чем создавать организационные группы, рекомендуем настроить профили, приложения и контент для таких атрибутов устройства, как модель устройства, тип принадлежности и группы пользователей.

n На устройствах руководства нельзя устанавливать приложения, и у них нет доступа к сетям Wi-Fi отдела продаж.

n На устройствах отдела продаж можно устанавливать приложения, и у них есть доступ к VPN.

Переопределение или наследование настроек организационных группИерархия структуры организационной группы, которую вы создаете, определяет, какие организационные группы являются дочерними, а какие — родительскими. Дочерние организационные группы (ОГ) наследуют настройки от родительских ОГ, однако это наследование можно переопределить.

Каждая страница системных настроек применяет настройки в соответствии с двумя типами параметров наследования/переопределения, учитывающих иерархию организационных групп: 1) «Текущая настройка и 2) «Разрешение для дочерних элементов». ОГ, к которой применяются настройки — это та ОГ, в которой вы находитесь.

Другими словами, если вы находитесь в ОГ «Сотрудники\Склад», то изменения параметров применяются к этой ОГ и всем ОГ, которые являются дочерними по отношению к ОГ «Склад».

Например, страница настроек Брендинг (в разделе Группы и настройки > Все настройки > Система > Брендинг) управляет всеми настраиваемыми фоновыми изображениями, логотипами и цветовыми схемами для ОГ, отображаемой в раскрывающемся меню «Организационная группа».

Приведенным выше способом можно импортировать новое фоновое изображение, новый логотип и другую цветовую схему, которые будут уникальными для ОГ «Сотрудники\Склад». При необходимости можно также настроить параметры, которые будут применяться только к ОГ «Склад». Этот параметр включается путем изменения наследования этой организационной группы на странице настроек.

Разрешение для дочерних элементов

Настройка «Разрешение для дочерних элементов» описывает отношение родительской ОГ к дочерней ОГ. Существует три различных настройки разрешения для дочерних элементов: Наследовать или переопределить, Только наследовать и Только переопределить.

Параметр Наследовать или переопределить просто означает, что у родительского объекта нет предпочтений для разрешений дочерних элементов. Если для параметра «Разрешение для дочерних элементов» родительской ОГ задано значение Наследовать или переопределить, то текущая настройка дочерней ОГ определяет, будут настройки переопределяться или наследоваться. По умолчанию всем разрешениям для дочерних элементов задано значение Наследовать или переопределить.


VMware, Inc. 90

Значение разрешений для дочерних элементов Только наследовать в родительской ОГ принуждает все дочерние ОГ наследовать настройки родительской. Это означает, что все дочерние элементы имеют те же настройки, что и родительский элемент. Значение разрешений для дочерних элементов Только переопределить удаляет наследование для всех дочерних ОГ и требует задать настройки специально для этой дочерней группы.

Настройки разрешений для дочерних элементов влияют только на дочерние группы одним уровнем ниже родительской. Такие настройки не влияют на внучатые ОГ или ОГ более низких уровней.

Текущая настройка

Если разрешение для дочерних элементов описывает отношением родительской ОГ к дочерней, то «Текущая настройка» ОГ — это отношение дочерней группы к родительской. Текущая настройка ОГ может иметь только значения Наследовать или Переопределить.

Если для параметра «Текущая настройка» задано значение Наследовать, это означает, что дочерняя ОГ принимает все настройки родительской ОГ. При выборе для текущей настройки значения Переопределить дочерняя ОГ будет отклонять настройки родительской и работать самостоятельно. Значение «Переопределить» означает, что вы сможете установить новые настройки для дочерней группы.

Изменить текущую настройку ОГ можно только в том случае, если для параметра «Разрешение для дочерних элементов» родительской ОГ задано значение Наследовать или переопределить.

Используя пример выше, если нужно изменить настройку Брендинг только для ОГ «Склад», можно изменить параметр «Текущая настройка» для каждой дочерней группы ОГ «Склад» на Переопределять при условии, что для параметра «Разрешение для дочерних элементов» для группы «Склад» установлено значение по умолчанию Наследовать или переопределять. Затем можно настроить параметры Брендинг для дочерних элементов ОГ «Склад» на ваше усмотрение, то есть установить значения, совпадающие или отличные от значений в ОГ «Склад».

Изменение настроек разрешений

Невозможно изменить параметр «Текущая настройка» дочерней группы, если значение параметра «Разрешение для дочерних элементов» для родительской ОГ не позволяет этого. Например, если для параметра «Разрешение для дочерних элементов» ОГ MomandDadOG задано значение Только переопределить, невозможно изменить текущую настройку ОГ JuniorOG на Наследовать. Одним словом, значения «Разрешение для дочерних элементов» для родительской ОГ имеют приоритет над значением «Текущая настройка» для дочерней ОГ.

Если изменить параметр «Текущая настройка» для дочернего элемента с Переопределять на Наследовать, то при изменении параметра «Разрешение для дочерних элементов» на Только наследовать блокируется значение «Разрешение для дочерних элементов» для дочерней ОГ. В этом случае невозможно изменить настройку «Разрешение для дочерних элементов». Это поведение не применяется, если настройка дочерней ОГ никогда не переопределяется.

В качестве временного решения необходимо изменить настройки разрешений для дочерних элементов родительской ОГ обратно на Наследовать или переопределить, чтобы разблокировать настройки разрешений для дочерних элементов в дочерней ОГ.


VMware, Inc. 91

Более масштабная стратегия заключается в заблаговременном планировании и настройке параметров наследования и переопределения на уровнях ОГ таким образом, чтобы получить нужную иерархическую структуру.

Наследование, коллективная аренда и проверка подлинностиПонятие переопределения настроек в расчете на организационную группу в сочетании с такими характеристиками организационной группы, как наследование и коллективная аренда, может быть дополнено проверкой подлинности. Такое сочетание обеспечит гибкость конфигураций.

Следующая модель организационной группы показывает, какой гибкости можно добиться.

В этой модели Администраторы обычно имеют больше разрешений и возможностей и расположены на верхнем уровне организационной группы. Администраторы входят в организационную группу с использованием SAML, который используется только для администраторов.

Корпоративные пользователя подчинены администраторам, и их ОГ является дочерней группой ОГ администраторов. Если вы пользователь и не являетесь администратором, ваша настройка входа SAML не может наследовать настройку администратора. Поэтому SAML корпоративных пользователей переопределяется.

Пользователи BYOD отличаются от корпоративных пользователей. Устройства, используемые такими пользователями, принадлежат им самим и могут содержать больше личной информации. Поэтому в профилях этих устройств могут применяться другие настройки. Условия использования для пользователей BYOD также могут отличаться. На устройствах BYOD могут применяться другие параметры очистки корпоративных данных. По вышеуказанным причинам рекомендуется настроить вход в систему пользователей BYOD как отдельной группы.

Хотя такие пользователи не являются подчиненными корпоративным пользователям в иерархии, их размещение как дочерних по отношению к корпоративным имеет свои преимущества. Пользователи BYOD смогут наследовать настройки, применимые ко всем устройствам корпоративных пользователей, путем их применения к организационной группе корпоративных пользователей.

Также могут наследоваться настройки аутентификации SAML. Так как пользователи BYOD являются дочерними по отношению к корпоративным пользователям, они наследуют свои настройки SAML для настроек проверки подлинности пользователей.

Альтернативная модель состоит в том, чтобы сделать пользователей BYOD одноуровневыми по отношению к корпоративным пользователям.


VMware, Inc. 92

В рамках этой модели верно следующее.

n Все профили устройства применяются глобально для всех устройств, включая политики соответствия, а другие параметры устройства, применимые глобально, применяются к двум организационным группам вместо одной. Причина дублирования в том, что в этой модели наследование от корпоративных пользователей пользователям BYOD больше не актуально. Корпоративные пользователи и пользователи BYOD находятся на одном уровне, поэтому наследования нет.

n К пользователям BYOD должно применяться другое переопределение SAML. Это переопределение необходимо, потому что система предполагает, что она наследует настройки SAML от родительского уровня, то есть от администраторов. Такое допущение является ошибочным, поскольку пользователи BYOD не являются администраторами и не имеют тех же разрешений и доступа.

n Пользователи BYOD продолжают обрабатываться отдельно от корпоративных пользователей. Эта альтернативная модель означает, что они могут по-прежнему использовать свои собственные настройки профиля устройства.

Как определить, какая модель лучше? Сравните количество глобально применяемых параметров устройства с количеством настроек устройства для конкретной группы. Если нужно обрабатывать все устройства одинаково, вы можете сделать пользователей BYOD дочерними по отношению к корпоративным. Если же для вас важно использовать отдельные настройки, можно сделать пользователей BYOD одноуровневыми по отношению к корпоративным.

Создание организационных группОрганизационные группы (ОГ) необходимо создать для каждого бизнес-подразделения, где развернуты мобильные устройства. Обратите внимание: ОГ, к которой вы на данный момент принадлежите, является родительской для дочерней ОГ, которую вы будете создавать.

Процедура

1. Перейдите в раздел Группы и настройки > Группы > Организационные группы > Сведения.


VMware, Inc. 93

2. Откройте вкладку Добавить дочернюю орг. группу и задайте следующие настройки.


Имя Позволяет задать имя дочерней организационной группы (ОГ) для отображения. Можно использовать только буквенно-цифровые символы. Другие символы использовать нельзя.

ID группы Позволяет ввести код-идентификатор ОГ, который необходим пользователям для входа в устройство. ID группы используется во время регистрации для направления устройств в соответствующую ОГ.

Убедитесь, что пользователи общих устройств получили ID группы, так как этот идентификатор может потребоваться при входе в устройство (в зависимости от настройки общего устройства).

Если вы не находитесь в локальной среде, идентификатор группы определяет организационную группу во всей общей среде SaaS. Для этого все идентификаторы группы должны иметь уникальные имена.

Тип Позволяет выбрать предварительно настроенный тип ОГ, который отражает категорию дочерней ОГ.

Страна Позволяет выбрать страну, в которой находится ОГ.

Локаль Позволяет задать язык для выбранной страны.

Отрасль клиента Эта настройка доступна только для типа «Клиент». Позволяет выбрать значение из списка «Отрасли клиентов».

Часовой пояс Выберите часовой пояс для местоположения организационной группы.


Типы функций организационных группТип организационной группы может определять, какие настройки может выполнять администратор.

n Глобальная. Организационная группа самого высшего уровня. Обычно группа имеет название «Глобальная» и имеет тип «Глобальный».

n Глобальные группы размещенных сред SaaS недоступны пользователям.

n Локальные клиенты могут использовать вход в систему со сбором дополнительных данных для этого уровня.

n Партнер — организационная группа верхнего уровня для партнеров (сторонних торговых посредников Workspace ONE UEM).

n Клиентская. Организационная группа верхнего уровня для всех клиентов.

n Организационная группа клиента не может иметь дочерние/родительские организационные группы типа «клиент».

n Некоторые параметры можно настроить только в группе типа «Клиент». Эти параметры применяются к организациям низшего уровня. Примерами таких параметров являются домены электронной почты с автоматическим обнаружением, параметры программы Volume Purchase Program, параметры программы регистрации устройств (до версии AirWatch 8.0) и личный контент.

n Контейнер. Тип организационной группы по умолчанию.

n Все организационные группы ниже уровня клиентской организационной группы должны иметь тип «Контейнер». Контейнеры могут находиться между группами «Партнер» и «Клиент».


VMware, Inc. 94

n Перспективный клиент. Потенциальные заказчики. Аналогично организационной группе клиентского типа. Возможности могут быть значительно ограничены по сравнению с полноценной клиентской группой.

Существуют дополнительные типы организационных групп, например «Отдел», «Регион». Также пользователи могут создавать собственные определения для типов организационной группы. Эти типы обычно не обладают особыми характеристиками и используются как организационные группы контейнерного типа.

Добавление устройств в глобальную ОГВ глобальной организационной группе размещается клиентская и другие типы ОГ. Если добавить устройства в глобальную группу и соответствующим образом настроить ее, это также повлияет на устройства в клиентских ОГ более низкого уровня — сработает принцип наследования. Это нивелирует преимущества мультитенантности и наследования.

Подробнее см. в разделе Причины не регистрировать устройства в глобальной организационной группе.

Причины не регистрировать устройства в глобальной организационной группеСуществует несколько причин не регистрировать устройства непосредственно в организационных группах (ОГ) высшего уровня (глобальных ОГ). Эти причины: мультитенантность, наследование и функциональность.

Мультитенантность

Можно создать необходимое число дочерних организационных групп и настроить каждую в отдельности. Настройки дочерней ОГ не распространяются на другие группы этого уровня.

Наследование

Изменения на уровне родительской ОГ применяются ко всем дочерним. Но изменения дочерней ОГ не влияют на одноуровневые или родительские группы.

Функциональность

Есть настройки и функции, которые применяются только для организационных групп клиентского типа, например защита от очистки, мобильная связь и личный контент. К устройствам, добавленным непосредственно в глобальные организационные группы высшего уровня, эти настройки и функции не применяются.

В глобальной организационной группе размещается клиентская и другие типы ОГ. Если добавить устройства в глобальную группу и соответствующим образом настроить ее, это также повлияет на устройства в клиентских ОГ более низкого уровня — сработает принцип наследования. Это нивелирует преимущества мультитенантности и наследования.

Ограничения организационных группПри попытке настроить параметры, ограниченные организационной группой (ОГ), на страницах настроек в разделе Группы и настройки > Настройки появится сообщение об этом ограничении.


VMware, Inc. 95

При создании организационных групп клиентского уровня применяются следующие ограничения.

n В среде, использующей концепцию «программное обеспечение как услуга» (SaaS), или в локальной среде, нельзя создавать вложенные организационные группы клиентского уровня.

Сравнение настроек организационных группАдминистратору может быть полезна функция сравнения настроек организационных групп.

При этом можно выполнять следующие действия.

n Отправлять XML-файлы, содержащие настройки организационной группы, из разных версий программного обеспечения Workspace ONE UEM.

n Устранять возможные различия в конфигурации, чтобы предотвратить проблемы при миграции версий.

n Фильтровать результаты сравнения и отображать только те настройки, сравнение которых представляет интерес.

n Искать определенную настройку по имени с помощью функции поиска.

Функция сравнения организационных групп доступна только для локальных пользователей.

Сравнение двух организационных группМожно сравнить настройки двух организационных групп, чтобы уменьшить риски, связанные с переходом на новую версию.

Пример сценария перехода на новую версию: после обновления, настройки и тестирования сервера приемочного пользовательского тестирования (UAT) можно напрямую сравнить полученные параметры UAT с рабочими параметрами.

Процедура

1. Перейдите в раздел Группы и настройки > Все настройки > Администрирование > Управление настройками > Сравнение настроек.

2. Выберите организационную группу в своей среде из раскрывающегося меню слева (отмечено цифрой 1) или отправьте XML-файл настроек (нажмите кнопку Отправить и выберите XML-файл экспортированных настроек организационной группы).

3. Из раскрывающегося меню выберите организационную группу для сравнения (отмечено цифрой 2).

4. Чтобы отобразить список всех настроек для обеих выбранных организационных групп, нажмите кнопку Обновить.

n Различия между двумя наборами настроек организационных групп будут выделены автоматически.

n При желании можно установить флажок Показать только отличия, тогда будут показаны настройки, которые применены только к одной организационной группе.


VMware, Inc. 96

n Индивидуальные настройки, которые не заполнены или не указаны в списке сравнения, будут отмечены как NULL.

Смарт-группыСмарт-группы — это настраиваемые группы в Workspace ONE UEM powered by AirWatch, которые определяют, какие платформы, устройства и пользователи получат назначенное приложение, книгу, политику соответствия, профиль устройства или предоставление.

Создание организационных групп обычно происходит на основе внутренней структуры организации: географического расположения, бизнес-подразделения и отдела. Например, «Продажи — север», «Кадры — юг». Смарт-группы обеспечивают гибкость в снабжении контентом и настройках согласно платформе устройства, модели, ОС, тегу устройства или группе пользователей. Можно даже предоставлять контент отдельным пользователям в нескольких организационных группах.

Смарт-группы можно создавать при отправке контента и установке настроек. Однако их модульная природа позволяет создавать их в любое время и назначать позднее.

Главное преимущество смарт-групп — это возможность их повторного использования. Чтобы не выполнять назначение каждый раз, когда добавляется контент или определяется профиль или политика, можно один раз определить порядок назначения в смарт-группы и просто включить эти смарт-группы в определение контента.

Создание и назначение смарт-группыМожно создать смарт-группу, определяемую платформой, принадлежностью, группой пользователей, версией ОС, моделью, тегом устройства, OEM предприятия и даже отдельными устройствами по понятному имени.

Например можно создать смарт-группу, в которую будут входит все принадлежащие сотрудникам устройства iPhone Touch с версией iOS до 9.0.2. Затем в эту смарт-группу можно будет добавить все устройства Android производства HTC версии 2.0 с ОС версии 4.1 и выше. Потом из этой группы можно будет исключить устройства, находящиеся в группе пользователей «Полная ставка». Этому пулу устройств с высокой степенью адаптации можно назначить 10 профилей устройств*, 10 приложений или политику соответствия.

* В связи с многоплатформенностью этого настраиваемого пула устройств могут применяться некоторые ограничения. Например, могут существовать приложения, которые хотелось бы назначить, но у них нет версии для Android.

Назначить смарт-группу можно двумя способами. Из представления списка групп назначения после сохранения смарт-группы. А также с помощью настройки «Группы назначения», которая имеется на различных экранах создания продуктов устройств.

Создание смарт-группыПеред тем как назначить смарт-группу для приложения, книги, политики соответствия, профиля устройства или предоставления продукта, необходимо ее создать.


VMware, Inc. 97

Процедура

1. Выберите для новой смарт-группы соответствующую организационную группу, из которой она будет администрироваться. Выбирать организационную группу не обязательно.

2. Откройте раздел Группы и настройки > Группы > Группы назначения и нажмитеДобавить смарт-группу.

3. Введите имя смарт-группы.

4. При необходимости можно включить Просмотр устройства для просмотра устройств, которые включены в созданную вами смарт-группу. Предварительный просмотр этого устройства отключен по умолчанию в целях повышения производительности.

5. Укажите тип смарт-группы.

n Критерии

Параметр Критерии лучше подходит для больших групп устройств (более 500), обновляемых одновременно, поскольку данные этих групп могут передаваться на все мобильные устройства парка.

n Устройства или пользователи

Параметр Устройства или пользователи больше подходит для небольших групп устройств (не более 500), которые получают нерегулярные, но важные обновления. Этот способ оптимален, поскольку позволяет выбирать участников группы на необходимом уровне детализации.


VMware, Inc. 98

Переключение между вариантами Критерии и Устройства или пользователи уничтожает любые записи и предыдущий выбор.

а) В окне Критерии выберите параметры для добавления в смарт-группу. Если ничего не выбрано, данный критерий не будет применен.


Организационная группа Этот критерий фильтрует устройства по выбранным организационным группам. Можно выбрать несколько ОГ.

Группа пользователей Этот критерий фильтрует устройства по выбранным группам пользователей. Можно выбрать несколько групп пользователей.

Тип принадлежности Этот критерий фильтрует устройства по выбранному типу принадлежности.

Теги Этот критерий фильтрует устройства по тегам. Можно выбрать более одного тега.

Платформа и операционная система Этот критерий фильтрует устройства по выбранной платформе и ОС. Можно выбрать несколько сочетаний.

Поскольку «Платформа» — это критерий в смарт-группе, платформа, настроенная в профиле устройства или в политиках соответствия, всегда имеет преимущество над платформой смарт-группы. Например, если профиль устройства создан для платформы iOS, он будет назначаться только устройствам iOS, даже если смарт-группа включает устройства Android.

OEM и модель Этот вариант критерия применяется только к платформам Android и Windows Desktop, выбранным в пункте Платформа и операционная система.

Можно выбрать одного или нескольких OEM-производителей и несколько моделей для каждого OEM.

Модель (устаревшая) Этот вариант критерия фильтрует по моделям устройства, не относящиеся к Android и не Windows Desktop. Отображение отдельных моделей осуществляется в соответствии с параметрами, выбранными в разделе Платформа и операционная система.

Выберите из списка представленных моделей те, которые нужно включить в смарт-группу.

OEM-версия предприятия Этот параметр критерия фильтрует устройства по OEM-версии Enterprise. Можно выбрать более одной OEM-версии Enterprise.

OEM-версия Enterprise — это программная классификация, применимая к моделям устройств OEM. Например, OEM-версия Enterprise может быть дополнительной программной поддержкой для устройств, например Motorola Mobility Extensions (MX) или Samsung SAFE. OEM-версией Enterprise также может быть определенная версия операционной системы Android OEM-компании, например предоставляемая Honeywell, LG и Sony в числе прочих.

Тип управления Фильтруйте устройства в соответствии с способом управления устройством.

Категория регистрации Фильтруйте устройства в соответствии со способом регистрации устройства.


VMware, Inc. 99


Дополнения Этот критерий добавляет дополнительные устройства и пользователей, которые не включены в критерии фильтра. Можно выбрать несколько устройств и пользователей.

Исключения Этот критерий позволяет исключать отдельные устройства, отдельных пользователей или группы пользователей, включенные в критерий фильтрации. Можно исключить несколько устройств, пользователей или групп пользователей.

б) Используйте параметр Устройства или пользователи, чтобы назначать контент и настройки в особых случаях, которые выходят за рамки общих критериев мобильности бизнеса. Введите понятное имя в поле Устройства и имя пользователя (имя или фамилию) в поле Пользователи. Чтобы сохранить смарт-группу нужно Добавить как минимум одного пользователя или устройство.


Устройства Добавьте устройство в эту смарт-группу, введя понятное имя устройства. Таким способом можно добавить несколько устройств.

Пользователи Добавьте пользователей в эту смарт-группу, введя имя пользователя, имя или фамилию. Таким способом можно добавить несколько пользователей.

6. Нажмите Сохранить для завершения.

Назначение смарт-группПосле создания смарт-группы, представляющей пользователей и их устройства, и перед вступлением в силу этой настройки следует назначить смарт-группу, по крайней мере, для одного продукта устройства. Ее можно назначить приложению, книге, политике соответствия, профилю устройства или предоставлению продукта.

Предусмотрены два способа назначения смарт-группы — это можно сделать при создании продукта устройства и при управлении самой смарт-группой.

Назначение смарт-группы при создании продукта устройстваМожно назначить смарт-группу во время добавления или создания приложения, книги, политики соответствия, профиля устройства или предоставления продукта.

Процедура

1. Заполните раскрывающееся меню Назначенные группы.

2. Выберите смарт-группу из раскрывающегося меню. Доступными смарт-группами можно управлять только в организационной группе (ОГ), в которую добавляется ресурс, или в ее дочерней подгруппе.

3. Если ни одна смарт-группа не совпадает с желаемыми критериями, выберите Создать смарт-группу. Можно назначить более одной смарт-группы для одного приложения, книги, политики соответствия, профиля устройства или предоставления продукта.

4. Нажмите Сохранить, чтобы включить назначение.


VMware, Inc. 100

Назначение смарт-группы в процессе управленияВы также можете назначить смарт-группу в процессе управления нею.

Процедура

1. Чтобы просмотреть весь список смарт-групп, откройте раздел Группы и настройки > Группы > Группы назначения.

2. Выберите одну или несколько смарт-групп, которые необходимо назначить, а затем нажмите Назначить. Откроется страница Назначение. Щелкните ссылку «Группы» в верхней части страницы Назначение, чтобы открыть страницу Группы. На этой странице отображаются организационные группы, которые управляют смарт-группами. Нажмите кнопку Закрыть, чтобы вернуться на страницу «Назначение».

3. На странице Назначение с помощью поля поиска просмотрите список подходящих продуктов и назначьте их в выбранные смарт-группы.

4. Нажмите Далее, чтобы открыть страницу Просмотр назначения устройств и подтвердить статус назначения.

5. Нажмите Сохранить и опубликовать.

Исключение групп из профилей и политикИсключить группы из назначения профилей и политик соответствия устройств так же легко, как назначить группы для продуктов устройств.


Перед началом этой задачи должны быть определены группы. Как минимум, у вас должна быть смарт-группа, состоящая из пользователей, которую требуется исключить. Эта задача позволяет создать новую смарт-группы на лету, но, если требуется исключить организационную группу или группы пользователей, см. раздел Создание организационных групп, Добавление групп пользователей с интеграцией каталогов или Добавление настраиваемых групп пользователей без интеграции со службами каталогов соответственно.

Процедура

1. При добавлении нового профиля устройства или политики соответствия выберите Да рядом с настройкой Исключения, чтобы отобразить параметр Исключенные группы.

2. В поле Исключенные группы выберите смарт-группы, которые необходимо исключить из назначения этого профиля или политики.

n Вы можете ввести несколько первых букв имени группы, и функция автоматического поиска покажет все группы, имена которых соответствуют введенной строке.

n Вы можете выбрать одну или несколько организационных групп, групп пользователей или смарт-групп.

n Кроме того, можно создать новую смарт-группу, нажав кнопку Создать смарт-группу.


VMware, Inc. 101

3. Выберите Сохранить и опубликовать (для профилей устройств) или Далее (для политик соответствия), чтобы продолжить выполнение этих задач.


Если выбрать такую же смарт-группу, как в настройках Назначенные группы и Исключенные группы, профиль или политика не сохранятся.

Пример

Вы хотите применить политику соответствия для всех пользователей устройств, за исключением руководителей.


Чтобы просмотреть затронутые устройства, выберите Просмотреть назначение устройств.

Список смарт-группУправляйте смарт-группами, выполняя в Workspace ONE UEM Console команды изменения, назначения, отмены назначения, исключения и удаления.

Чтобы просмотреть весь список смарт-групп, откройте раздел Группы и настройки > Группы > Группы назначения. Администраторы увидят только те группы, которыми могут управлять согласно настроенным разрешениям.

В столбцах Группы, Назначения, Исключения и Устройства есть ссылки, которые можно использовать для просмотра подробных данных.

n Если нажать ссылки в столбцах Назначения и Исключения, откроется экран Просмотр назначений смарт-групп.

n Если нажать ссылку в столбце Устройства, откроется раздел Устройства > Список только с устройствами, которые включены в смарт-группы.

n Набор групп можно фильтровать по типу группы (смарт-группа, организационная группа, группа пользователей) или по статусу назначения (назначена, исключена, оба статуса, ничего).


VMware, Inc. 102

n Также можно назначить смарт-группу непосредственно из списка.

Изменение смарт-группыВы можете изменить установленную смарт-группу. Любые изменения смарт-группы влияют на все политики и профили, которые назначены этой смарт-группе.

Процедура

1. Перейдите в раздел Группы и настройки > Группы > Группы назначения.

2. Выберите значок Изменить ( ), расположенный слева от указанной смарт-группы, которую необходимо изменить. Также можно выбрать имя смарт-группы в столбце Группа. Появится экран Изменить смарт-группу с текущими настройками.

3. На экране Изменить смарт-группу измените данные в окне Критерии или Устройства и пользователи (в зависимости от типа сохраненной смарт-группы) и нажмите Далее.

4. На странице Просмотр назначений можно просмотреть, какие профили, приложения, книги, продукты и политики могут в результате быть добавлены на устройства или удалены с них.

5. Нажмите Опубликовать, чтобы сохранить изменения смарт-группы. В результате все профили, приложения, книги, продукты и политики, привязанные к данной смарт-группе, обновят свои назначения в устройстве.


В журнале событий консоли фиксируются изменения в смарт-группах, включая автора изменений, а также добавленные и удаленные устройства.

Пример

Далее приведен пример типичной причины изменения смарт-группы. Предположим, смарт-группе для руководителей назначены политика соответствия, профиль устройства и два внутренних приложения. Если вы хотите исключить некоторых руководителей из одного или нескольких элементов назначенного контента, просто измените смарт-группу, указав Исключения. Это действие предотвращает не только установку двух внутренних приложений на устройства исключенных руководителей, но и установку политики соответствия и профиля устройства.

Удаление смарт-группыНеиспользуемую смарт-группу можно удалить.

Можно удалить только одну смарт-группу за раз. При выборе нескольких смарт-групп одновременно, кнопка Удалить будет недоступна.


Смарт-группу нельзя назначить для какого-либо продукта устройства. Если смарт-группа назначена, ее невозможно удалить. См. Отмена назначения смарт-группы.


VMware, Inc. 103

Процедура

1. Откройте раздел Группы и настройки > Группы > Группы назначения и выберите из списка смарт-группу, которую хотите удалить.

2. Установите флажок слева от смарт-группы, которую необходимо удалить.

3. Выберите Удалить в появившемся меню действий.


Неназначенная смарт-группа будет удалена.

Отмена назначения смарт-группыВы можете отменить назначение смарт-группы для приложения, книги, канала, политики, профиля или продукта. Это действие удаляет связанный контент со всех устройств в смарт-группе.

Процедура

1. Отмените назначения смарт-групп для приложений, книг, политик соответствия, профилей устройств или подготовок продуктов. Для этого перейдите по указанному ниже пути.

n Приложения — откройте раздел Приложения и книги > Приложения > Список и перейдите на вкладку Общедоступные или Внутренние.

n Книги — откройте раздел Приложения и книги > Книги > Список и перейдите на вкладку Общедоступные, Внутренние или Web.

n Каналы — откройте раздел Content > Видео > Каналы.

n Политика соответствия — перейдите в раздел Устройства > Политики соответствия > Список.

n Профиль устройства — перейдите в раздел Устройства > Профили и ресурсы > Профили.

n Подготовка продукта — откройте раздел Устройства > Предоставление > Продукты > Список.

2. Найдите содержимое или настройку в списке и выберите значок Изменить в меню действий.

3. Откройте вкладку Назначение или найдите поле Назначенные смарт-группы.

4. Нажмите «Удалить» (X) рядом со смарт-группой, для которой хотите отменить назначение. Это действие не удаляет смарт-группу. Оно лишь удаляет назначение смарт-группы из сохраненных настроек.

5. Нажмите Сохранить, чтобы сохранить настройки.

Поиск событий смарт-групп с помощью журнала событий консолиС помощью журнала событий консоли можно определить, какие изменения были внесены в смарт-группы, а также когда и кем это было выполнено. Такое отслеживание может быть полезно при устранении неисправностей устройств.

Процедура

1. Перейдите в раздел Монитор > Отчеты и аналитика > События > События консоли.


VMware, Inc. 104

2. В раскрывающемся фильтре Модуль вверху списка События консоли выберите пункт Смарт-группы.

3. При необходимости примените дополнительные фильтры, в том числе такие, какДиапазон дат, Важность и Категория.

4. Нажмите ссылку в столбце Данные событий (если имеется), чтобы получить дополнительные сведения, которые могут помочь при поиске.

Группы пользователейПользователей можно объединять в группы, которые наподобие организационных групп выступают в качестве фильтров для назначения профилей и приложений. При настройке среды в Workspace ONE UEM powered by AirWatch согласуйте группы пользователей с группами безопасности и бизнес-ролями в организации.

Используйте группы пользователей, чтобы назначать пользователям и устройствам профили, политики соответствия, контент и приложения. Можно добавлять существующие группы служб каталогов в Workspace ONE UEM или создавать группы пользователей с нуля.

В качестве альтернативы группам пользователей можно управлять контентом, назначая устройства согласно заранее настроенным диапазонам IP-адресов сети или настраиваемым атрибутам.

Группы пользователей без интеграции каталогов (настраиваемые)В любое время можно создать специализированные группы вне существующей структуры Active Directory. Настройте группы пользователей согласно развертыванию, специальным образом задав доступ к компонентам и контенту.

Например, можно создать временную группу пользователей для конкретного проекта со специализированными приложениями, профилями устройств и политиками соответствия.

Подробнее о пакетном добавлении групп пользователей каталогов см. в разделе Пакетный импорт групп пользователей.

Добавление настраиваемых групп пользователей без интеграции со службами каталоговМожно создать настраиваемую группу пользователей за пределами своей корпоративной структуры. Этот выбор зависит от того, какой тип группы пользователей вам необходим. Настраиваемые группы пользователей можно добавлять только в организационную группу клиентского уровня.

Процедура

1. Перейдите в раздел Учетные записи > Группы пользователей > Список и выберите Добавить, затем выберите Добавить группу пользователей.

2. Смените тип группы пользователей на Настраиваемый.

3. Введите в поля Имя группы и Описание значения, которые используются для идентификации группы пользователей в Workspace ONE UEM Console.


VMware, Inc. 105

4. Подтвердите организационную группу, которая управляет группой пользователей и нажмите Сохранить.

5. После этого вы можете добавлять пользователей в эту новую группу, для этого необходимо перейти в раздел Учетные записи > Пользователи > Представление списка.

Чтобы добавить нескольких пользователей, необходимо установить флажки слева от каждого имени пользователя. Затем нужно нажать кнопку Управление над заголовками столбцов и выбрать Добавить в группу пользователей.

Группы пользователей с интеграцией каталоговВторой вариант работы с группами пользователей — это интеграция групп, при которой используется существующая структура Active Directory. Этот вариант предоставляет много преимуществ.

После импорта существующих групп службы каталогов в качестве групп пользователей Workspace ONE UEM можно выполнять следующие задачи.

n Управление пользователями. Используйте существующие группы службы каталогов (например, группы безопасности или списки рассылки) и совместите управление пользователями в Workspace ONE UEM с существующими организационными системами.

n Профили и политики. Назначайте профили, приложения и политики через развертывание Workspace ONE UEM, группам пользователей.

n Интегрированные обновления. Позволяет автоматически обновлять назначения групп пользователей на основе изменений членства в группе.

n Разрешения управления. Позволяет задавать разрешения управления, чтобы только утвержденные администраторы могли изменять назначения политик и профилей для определенных групп пользователей.

n Регистрация. Позволяет разрешать пользователям регистрироваться, используя существующие учетные данные, и автоматически назначать организационную группу.

Администратор должен назначить существующую организационную группу в качестве корневой, из которой будет осуществляться управление устройствами и пользователями. Службы каталогов должны быть включены в этой корневой организационной группе.

Существующие группы служб каталогов можно добавить в Workspace ONE UEM. Хотя интеграция не создаст сразу же аккаунты пользователей AirWatch для аккаунтов служб каталогов, но она гарантирует, что Workspace ONE UEM распознает эти группы как группы пользователей. Эту группу можно использовать для ограничения регистрации.

Подробнее о пакетном добавлении групп пользователей каталогов см. в разделе Пакетный импорт групп пользователей.

Добавление групп пользователей с интеграцией каталоговСоздание групп пользователей с интеграцией каталогов помогает упорядочить управление устройствами. Регистрация устройств и последующие обновления, администрирование и управление пользователями неразрывно связаны с вашими службами каталогов.


VMware, Inc. 106


Убедитесь, что в поле Тип группы пользователей выбран Каталог.

Процедура

1. Перейдите в раздел Учетные записи > Группы пользователей > Представление списка и выберите Добавить, после чего выберите Добавить группу пользователей.


Типы Позволяет выбрать тип группы пользователей.

n Каталог: позволяет создать группу пользователей в соответствии с существующей структурой Active Directory.

n Настраиваемый: позволяет создать группу пользователей вне существующей в организации структуры Active Directory. Этот тип группы пользователей предоставляет доступ к компонентам и контенту для базовых пользователей и пользователей каталога, чтобы настроить группы пользователей для конкретного развертывания. Настраиваемые группы пользователей можно добавлять только в организационную группу клиентского уровня.

Внешний тип Позволяет выбрать внешний тип добавляемой группы.

n Группа: позволяет указать класс объектов группы, на котором основывается группа пользователей. Класс можно настроить в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов > Группа.

n Организационное подразделение: позволяет указать класс объектов организационного подразделения, на котором основывается группа пользователей. Класс можно настроить в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов > Группа.

n Настраиваемый запрос: позволяет создать группу пользователей в результате выполнения настраиваемого запроса. Если выбрать этот внешний тип, функцию «Поиск текста» заменит раздел «Настраиваемый запрос».

Поиск Чтобы найти группу пользователей в каталоге, необходимо ввести ее имя как критерий поиска и нажать Поиск. Отобразится список имен групп, в которых содержится искомый текст.

Этот параметр недоступен, если для настройки Внешний тип задано значение Настраиваемый запрос.

Название каталога Настройка, предназначенная только для чтения, которая показывает адрес сервера служб каталогов.

Домен и Базовое DN группы

Эта информация добавляется автоматически на основе данных сервера служб каталогов, которые вводятся на странице Службы каталогов (Группы и настройки > Система > Интеграция предприятий > Службы каталогов).

Нажмите на знак «+» в пункте Извлечь DN рядом с настройкой Базовое DN группы, чтобы просмотреть список доступных различающихся имен.

Настраиваемый класс объекта

Позволяет определить класс объектов, для которых выполняется запрос. По умолчанию используется класс объектов person, но можно использовать настраиваемый класс объектов, чтобы точнее определить пользователей.

Это параметр доступен, только если в качестве внешнего типа выбран настраиваемый запрос.

Имя группы Необходимо выбрать имя группы в результатах поиска. Выбранное имя группы автоматически заменит значение для настройки «Различающееся имя».

Этот параметр доступен только после успешного выполнения поиска с настройкой Поиск текста.


VMware, Inc. 107


Различающееся имя Настройка, предназначенная только для чтения, которая показывает полное различающееся имя создаваемой группы.

Этот параметр доступен, только если в качестве внешнего типа выбраны группа или организационное подразделение.

Настраиваемое базовое DN Позволяет определить базовое различающееся имя, которое служит отправной точкой запроса. Базовые различающиеся имена по умолчанию: AirWatchи и sso. Но можно использовать настраиваемое базовое различающееся имя, чтобы выполнить запрос из другой отправной точки.

Это параметр доступен, только если в качестве внешнего типа выбран настраиваемый запрос.

Назначение организационных групп

Эта необязательная настройка позволяет назначить созданную группу пользователей определенной организационной группе.


Настройки группы пользователей

Доступны варианты: Установить настройки по умолчанию или Использовать настраиваемые параметры для данной группы пользователей. Подробное описание настройки см. в разделе Настраиваемые параметры. Этот параметр можно задать в настройках разрешений после создания группы.


Настраиваемый запрос — запрос

Эта настройка отображает только что загруженный запрос. Чтобы выполнить его, необходимо нажать кнопки Пробный запрос и Продолжить. Здесь отображаются все изменения настроек Настраиваемая логика и Настраиваемый класс объектов.

Настраиваемая логика Позволяет задать настраиваемую логику запроса, например имя пользователя. Пример: "cn=jsmith". В запрос можно включить любую часть различающегося имени. Кнопка Пробный запрос позволяет проверить результаты запроса перед нажатием кнопки Продолжить.

Настраиваемые параметры — разрешения на управление

Позволяет разрешить или запретить администраторам управлять созданной группой пользователей.

Роль по умолчанию Позволяет выбрать роль по умолчанию для группы пользователей в раскрывающемся меню.

Политика регистрации по умолчанию

Позволяет выбрать политику регистрации по умолчанию в раскрывающемся меню.

Автосинхронизация с каталогом

Позволяет включить синхронизацию каталогов, которая определяет членство пользователя на сервере каталогов и сохраняет информацию во временную таблицу. Администраторы утверждают все изменения в console, если не включена функция «Автоматическое объединение».

Чтобы запретить автоматическую синхронизацию групп пользователей в течение запланированного времени, необходимо отключить эту настройку.

Автоматическое объединение изменений

Позволяет автоматически применять изменения при синхронизации из базы данных без утверждения администратором.

Максимально допустимое число изменений

Позволяет задать максимальное количество автоматических изменений при синхронизации групп пользователей, для которого не требуется утверждения.

Когда количество изменений превысит это пороговое значение, потребуется утверждение администратора и будет отправлено соответствующее уведомление.

Этот параметр доступен, только если включено автоматическое объединение изменений.

Автоматическое добавление членов группы

Позволяет автоматически добавлять пользователей в группу.

Чтобы запретить автоматическую синхронизацию групп пользователей в течение запланированного времени, необходимо отключить эту настройку.


VMware, Inc. 108


Отправлять электронное сообщение пользователю при добавлении отсутствующих пользователей

Позволяет отправлять электронное сообщение пользователям, когда в группу пользователей добавляются отсутствующие пользователи. Добавление отсутствующих пользователей — это объединение временной таблицы групп пользователей с таблицей Active Directory.

Шаблон сообщения Этот параметр доступен, только если включен параметр Отправление писем пользователю при добавлении отсутствующих пользователей.

Позволяет выбрать шаблон сообщения для уведомления по электронной почте при добавлении отсутствующих пользователей в группу.

Когда в Workspace ONE UEM Console добавляются новые пользователи Active Directory, доступность шаблона сообщения зависит от режима регистрации, настроенного в пункте Группы и настройки > Все настройки > Устройства и пользователи > Общие > Регистрация при выборе пункта Проверка подлинности, а также от варианта, выбранного в пункте Режим регистрации устройств.

Если для параметра Режим регистрации устройств выбран вариант Открытая регистрация, в раскрывающемся списке Шаблон сообщения отображается шаблон электронного сообщения об активации пользователя. Это электронное сообщение позволяет новому пользователю AD выполнить регистрацию.

Если для параметра Режим регистрации устройств выбран вариант Только зарегистрированные устройства, в раскрывающемся списке Шаблон сообщения отображается шаблон сообщения об активации устройства. Это электронное сообщение позволяет новому пользователю AD зарегистрировать свои устройства. Если включен параметр Необходим маркер регистрации, устройство можно зарегистрировать с использованием маркера, встроенного в сообщение.

Подробнее о различающемся имени см. в статье Microsoft TechNet "Object Naming" на странице https://technet.microsoft.com/.


Изменение разрешений для группы пользователейНастройка разрешений для групп пользователей позволяет установить, кто в организации может изменять определенные группы. Например, если в организации есть группа пользователей для руководителей, возможно, администраторы более низкого уровня не должны обладать разрешениями для управления данной группой.

Используйте страницу Разрешения, чтобы определять, кто может управлять определенными группами пользователей и кто может назначать профили, политики соответствия и приложения группам пользователей.

Процедура

1. Перейдите в раздел Аккаунты > Группы пользователей > Список.

2. Нажмите значок Изменить в строке существующей группы пользователей.

3. Откройте вкладку Разрешения и нажмите Добавить.


VMware, Inc. 109

https://technet.microsoft.com/

4. Выберите организационную группу, для которой определяете разрешения.

Необходимо выбрать организационную группу (ОГ), которая находится в иерархии корневой ОГ группы пользователей.

5. Выберите разрешения, которые хотите включить.

n Управлять группой (изменять/удалять): позволяет изменять и удалять группы пользователей.

n Управлять пользователями в группе и разрешать регистрацию: позволяет управлять пользователями в группе и разрешать регистрацию устройств в организационной группе. Эта настройка доступна, только если включена настройка «Управлять группой (изменять/удалять)». Эта настройка отключается, если настройка «Управлять группой (изменять/удалять)» отключена.

n Назначать группе: позволяет использовать группу, чтобы назначать устройствам политики безопасности и корпоративные ресурсы. Эта настройка доступна для изменения, только если отключена настройка «Управлять группой (изменять/удалять)». Эта настройка блокируется и становится недоступной для изменения, если включена настройка «Управлять группой (изменять/удалять)».

n Эта настройка отключена, если группа пользователей управляется родительской организационной группой и нужно назначить группу из одной из ее дочерних организационных групп.

6. Выберите сферу действия этих разрешений, то есть группы администраторов, которые могут управлять данной группой пользователей. Будет активен только один из следующих параметров.

n Только администратор: разрешения затронут только администраторов родительской организационной группы.

n Все администраторы данной орг. группы и ниже: разрешения затронут администраторов родительской ОГ и всех администраторов дочерних групп.


Доступ к сведениям о пользователяхПосле того как пользователи и группы пользователей будут определены, вы сможете просматривать всю информацию о пользователях, в том числе сведения о пользователе, связанные устройства и взаимодействия.

Доступ к сведениям о пользователе можно получить из любого местоположения в Workspace ONE UEM Console, где отображается имя пользователя, включая каждую из следующих страниц в консоли.

n Участники группы пользователей (Учетные записи > Группы пользователей > Просмотр сведений > Дополнительно > Просмотр пользователей)

n Список пользователей (Учетные записи > Пользователи > Список)

n Список администраторов (Учетные записи > Администраторы > Список).

Страница сведений о пользователе отображается в одностраничном режиме.

n Все связанные группы пользователей.


VMware, Inc. 110

n Все устройства, связанные с пользователем за все время, и ссылка на все зарегистрированные устройства.

n Все устройства, которые пользователь вернул в среду общих устройств, а также ссылка на полный журнал выданных и возвращенных устройств.

n Все журналы событий для устройства или пользователя.

n Все назначенные, принятые и отклоненные условия использования.

Шифрование личных данныхЛичные данные, включая имя, фамилию, электронный адрес и номер телефона, можно зашифровать.

Процедура

1. Перейдите в Группы и настройки > Все настройки > Система > Безопасность > Безопасность данных в орг. группе глобального уровня или орг. группе клиентского типа, в которой вы хотите настроить шифрование.

2. Включите настройку Шифрование пользовательских данных и выберите настройки данных отдельных пользователей, чтобы приступить к шифрованию. При этом возможности поиска, сортировки и фильтрации будут отключены.

3. Щелкните Сохранить, чтобы зашифровать данные пользователя. Теперь они недоступны в базе данных. Применение шифрования ограничивает часть функций в Workspace ONE UEM Console, например поиск, сортировку и фильтрацию.

Список групп пользователейНа странице со списком групп пользователей собраны полезные средства для стандартного обслуживания и поддержки групп пользователей, включая просмотр, объединение и удаление таких групп, а также добавление отсутствующих пользователей.

Перейдите в раздел Аккаунты > Группы пользователей > Список.

На этой странице можно быстро создавать списки групп пользователей, используя необходимые критерии. Кроме того, можно добавлять новые группы пользователей индивидуально или пакетами.


Фильтры Позволяет просматривать только необходимые группы пользователей с помощью следующих фильтров.

n Тип группы пользователей.

n Статус синхронизации.

n Статус объединения.

Добавить

Добавить группу пользователей.

Единичное добавление группы пользователей на основе каталога или настраиваемой группы пользователей.

Пакетный импорт Импорт нескольких новых групп пользователей при помощи CSV-файлов (файлов с разделителями-запятыми). Можно сразу организовать несколько групп пользователей, введя уникальное имя и описание.


VMware, Inc. 111


Сортировка и изменение размера столбцов

Столбцы в режиме просмотра «Список», которые можно сортировать: «Имя группы», «Последняя синхронизация», «Пользователи» и «Статус объединения». Столбцы «Имя группы» и «Последняя синхронизация» можно изменять в размере.

Просмотр подробностей Позволяет просматривать сведения о базовых группах пользователей в списке «Просмотр подробностей», если выбрана ссылка в столбце Имя группы. Сведения включают имя и тип группы, внешний тип, менеджера и число пользователей. В списке «Просмотр подробностей» также отображается ссылка на настройки сопоставления групп, которые выбраны в пункте Все настройки > Устройства и пользователи > Общие > Регистрация на вкладке Группирование.

Экспорт ( )Сохранение всего фильтрованного или нефильтрованного списка в виде файла XLSX или CSV. Файлы обоих этих форматов можно просматривать и анализировать в MS Excel.

На странице Список групп пользователей слева от каждой группы расположен флажок выбора и значок Изменить. Выберите значок Изменить ( ), чтобы выполнить базовые изменения в группе пользователей. Если выбрать одну или несколько групп, будут доступны кнопки действий для списка и можно будет совершать пакетные действия с группами пользователей.

Дополнительные действия для групп пользователейВы можете выбрать несколько групп пользователей, установив флажок возле каждой из них. Это изменяет доступные управляющие кнопки, а также позволяет применять доступные действия к нескольким группам и соответствующим пользователям.


Синхронизировать Позволяет вручную скопировать недавно добавленных пользователей группы во временную таблицу до выполнения запланированной автоматической синхронизации Active Directory в Workspace ONE UEM и Workspace ONE Express.

Просмотреть пользователей Отображает экран Члены группы пользователей, позволяя просматривать имена всех участников группы.


Просмотр и объединение Просмотреть, добавить или удалить пользователей, недавно добавленных во временную таблицу пользователей. Пользователи группы, отображаемые в этой таблице, ожидают автоматической синхронизации групп пользователей в Workspace ONE UEM и Workspace ONE Express.

Добавить отсутствующих пользователей

Объединить временные таблицы групп пользователей с таблицами Active Directory, чтобы завершить формальное добавление этих администраторов в группу.

Удалить Удалить группу пользователей.

Добавление пользователей в группыПри необходимости можно добавлять пользователей в группы пользователей.

Если необходимо добавить нового пользователя в одну или несколько групп, выполните следующие шаги.

Процедура

1. Перейдите в раздел Учетные записи > Пользователи > Список

2. Выберите одного или нескольких пользователей из списка, установив флажок в поле слева.


VMware, Inc. 112

3. Нажмите кнопку Дополнительные действия и выберите Добавить в группу пользователей. Отобразится страница Добавить выбранных пользователей в настраиваемую группу пользователей.

4. Можно добавить пользователей в существующую группу или создать новую группу пользователей.

5. Выберите имя группы.


7. Перейдите в раздел Аккаунты > Группы пользователей > Список.

а) При синхронизации Active Directory (AD), которая является автоматическим, выполняющимся по расписанию процессом, ожидающие пользователи группы копируются во временную таблицу. После этого этих пользователей группы можно просмотреть, добавить или удалить.

б) Чтобы не дожидаться автоматической синхронизации AD, можно выполнить синхронизацию вручную. Для этого выберите группу, в которую будут добавляться пользователи, а затем нажмите кнопку Синхронизация.

8. При необходимости можно использовать функции раздела Дополнительно > Просмотр и объединение для выполнения таких задач по обслуживанию, как просмотр, добавление и удаление ожидающих пользователей группы.

9. Объедините временную таблицу ожидающих пользователей в группе пользователей с пользователями в группе пользователей Active Directory, выбрав Дополнительно > Добавить отсутствующих пользователей.

Группы администраторовПри помощи групп администраторов можно объединять несколько аккаунтов администраторов, чтобы назначать роли и разрешения, не предусмотренные этими аккаунтами в Workspace ONE UEM powered by AirWatch.

Группы администраторов можно использовать для назначения ролей и разрешений, чтобы обеспечить доступ в консоль, настроенную для определенного проекта. Можно добавить в группы существующих администраторов службы каталогов или создать группы администраторов с нуля при помощи настраиваемых запросов.

Например, если согласно новой бизнес-директиве необходимы специальные роли администраторов для группы координаторов учебных мероприятий. Можно создать группу администраторов, выполнив настраиваемый запрос для координаторов учебных мероприятий, и назначить специальную роль для новой бизнес-инициативы. Дополнительные сведения см. в разделе Аккаунты администраторов.

Список групп администраторовСтраница списка групп администраторов в Workspace ONE UEM powered by AirWatch содержит полезные инструменты для поддержки общих групп пользователей. Поддержка включает добавление, просмотр, объединение и удаление организационных групп и отсутствующих пользователей.


VMware, Inc. 113

Чтобы просмотреть эту страницу, перейдите в раздел Учетные записи > Администраторы > Группы администраторов.

Чтобы открыть страницу Изменить админ. группу, необходимо нажать на имя в столбце Имя группы списка. На этой странице можно изменить имя группы администраторов, а также добавлять и удалять роли, применимые к участникам группы. Подробнее см. в разделе Роли администраторов.

Чтобы открыть список Члены административной группы, необходимо нажать на номер в столбце Администратор. В списке показаны имена всех администраторов группы.

Используйте следующие действия и функции обслуживания, выбирая переключатель рядом с именем группы.


Синхронизировать Копирование вручную недавно добавленных пользователей группы администраторов во временную таблицу перед запланированной автоматической синхронизацией с Active Directory, проводимой платформой Workspace ONE UEM.


Просмотр и объединение Просмотреть, добавить или удалить пользователей, недавно добавленных во временную таблицу групп администраторов. Администраторы в группе администраторов, отображаемые в этой таблице, ожидают автоматической синхронизации групп администраторов Workspace ONE UEM.

Удалить Удалить группы администраторов.

Верх, Вверх, Вниз, Низ Изменить положение группы администраторов в списке. Эта функция может пригодиться, если группы администраторов занимают несколько страниц.

Добавление отсутствующих пользователей.

Объединить временные таблицы групп администраторов с таблицами Active Directory, чтобы завершить формальное добавление этих администраторов в группу.

Добавление групп администраторовМожно добавлять группы администраторов в Workspace ONE UEM powered by AirWatch, чтобы назначать дополнительные роли и разрешения для специальных проектов. Для этого выполните следующие действия.


VMware, Inc. 114

Процедура

1. Перейдите в раздел Учетные записи > Администраторы > Группы администраторов и выберите Добавить. Заполните необходимые настройки.


Внешний тип Позволяет выбрать внешний тип добавляемой группы администраторов.

n Группа: позволяет указать класс объектов группы, на котором основывается группа администраторов. Класс можно настроить в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов > Группа.

n Организационное подразделение: позволяет указать класс объектов организационного подразделения, на котором основывается группа администраторов. Для настройки этого класса объектов перейдите в раздел Группы и настройки > Все настройки > Система > Интеграция с предприятием > Службы каталогов > Группа.

n Настраиваемый запрос: позволяет создать группу администраторов в результате выполнения настраиваемого запроса. Если выбрать этот внешний тип, функцию «Поиск текста» заменит раздел «Настраиваемый запрос».

Название каталога Настройка, предназначенная только для чтения, которая показывает адрес сервера служб каталогов.

Домен и Базовое DN группы

Эта информация заполняется автоматически на основе сведений о сервере служб каталогов, введенных на странице Службы каталогов (Учетные записи > Пользовательские группы > Настройки > Службы каталогов).

Нажмите на знак «+» в пункте Извлечь DN рядом с настройкой Базовое DN группы, чтобы просмотреть список доступных базовых доменных имен.

Поиск Необходимо ввести критерий поиска, соответствующий имени группы администраторов в каталоге, и нажать Поиск. Отобразится список имен групп, в которых содержится искомый текст.

Кроме того, создаваемым группам администраторов можно назначать роли по умолчанию. После успешного поиска необходимо открыть вкладку Роли и нажать кнопку Добавить, чтобы добавить новую роль. Новую роль также можно создать из существующей. Для этого необходимо изменить организационную группу и выбрать роль.

Эта настройка доступна, только если в качестве внешнего типа выбраны группа или подразделение.

Настраиваемый класс объекта

Позволяет определить класс объектов, для которых выполняется запрос. По умолчанию используется класс объектов person, но можно использовать настраиваемый класс объектов, чтобы точнее определить администраторов.

Эта настройка доступна, только если в качестве внешнего типа выбран настраиваемый запрос.

Настраиваемое базовое DN

Позволяет определить базовое различающееся имя, которое служит отправной точкой запроса. По умолчанию используются airwatch и sso, но можно использовать настраиваемое базовое различающееся имя, чтобы выполнить запрос из другой отправной точки.

Эта настройка доступна, только если в качестве внешнего типа выбран настраиваемый запрос.

Имя группы Необходимо выбрать имя группы в результатах поиска. Выбранное имя группы автоматически заменит значение для настройки «Различающееся имя».

Эта настройка доступна только после успешного выполнения поиска.

Различающееся имя Настройка, предназначенная только для чтения, которая показывает полное различающееся имя создаваемой группы администраторов.

Эта настройка доступна только после успешного выполнения поиска.

Ранг Настройка, предназначенная только для чтения, которая показывает ранг созданной группы администраторов. Чтобы изменить ранг группы администраторов, перейдите в раздел Группы и настройки > Группы > Группы администраторов и измените ее относительное положение с помощью командной

кнопки "Дополнительно" справа от списка групп администраторов.


VMware, Inc. 115


Автоматическая синхронизация

Позволяет включить синхронизацию каталогов, которая определяет членство пользователя на сервере каталогов и сохраняет информацию во временную таблицу. Администратор утверждает все изменения в консоли, если не включена функция Автоматическое объединение.

Автоматическое объединение

Позволяет автоматически применять изменения при синхронизации из базы данных без утверждения администратором.

Максимально допустимое число изменений

Позволяет задать максимальное количество автоматических изменений при синхронизации групп администраторов, при котором не требуется утверждение.

Этот параметр доступен, только если включено автоматическое объединение.

Автоматическое добавление членов группы

Позволяет автоматически добавлять администраторов в группу.

Часовой пояс Позволяет задать часовой пояс для группы администраторов. Это обязательный параметр, который влияет на выполнение запланированной автоматической синхронизации Active Directory.

Локаль Позволяет задать настройки локализации (язык) для группы администраторов. Это обязательная настройка.

Начальная целевая страница

Позволяет задать начальную страницу для участников группы администраторов. По умолчанию для этого параметра задается значение «Панель управления устройствами», но можно задать любую другую страницу.

Настраиваемый запрос

Запрос Эта настройка отображает только что загруженный запрос. Чтобы выполнить его, необходимо нажать кнопки Пробный запрос и Продолжить. Здесь отображаются все изменения параметров Настраиваемая логика и Настраиваемый класс объектов.

Настраиваемая логика

Позволяет задать настраиваемую логику запроса, например имя администратора. Пример: "cn=jsmith". В запрос можно включить любую часть различающегося имени. Кнопка Пробный запрос позволяет проверить результаты запроса перед нажатием кнопки Продолжить.

Подробнее о различающемся имени см. в статье Microsoft TechNet "Object Naming" на странице https://technet.microsoft.com/.


Просмотр назначенийДля удобства можно подтвердить, какие именно профили, приложения, книги, каналы и политики соответствия включены в назначенную группу или исключены из нее в Workspace ONE UEM powered by AirWatch.

Процедура

1. Откройте список групп в разделе Группы и настройки > Группы > Группы назначения и найдите группу, которая назначена хотя бы одному объекту.

2. В столбце Назначения нажмите гиперссылку с числом, чтобы открыть страницу Просмотр назначений. На ней отображаются только те категории, которые содержат назначения или исключения в группе.


VMware, Inc. 116

https://technet.microsoft.com/


Над строкой заголовка на экране Просмотр назначений находятся кнопка Обновить, кнопка Экспорт и текстовое поле Поиск. Их можно использовать, чтобы найти и проверить определенный назначенный профиль, приложение, книгу, канал и политику соответствия.


VMware, Inc. 117

Портал самообслуживания 6Портал самообслуживания (SSP) для Workspace ONE UEM powered by AirWatch — это полезное онлайн-средство дистанционного мониторинга и управления устройствами. Оно помогает сократить скрытые расходы на управление всем парком устройств. Расширение возможностей и обучение пользователей тому, как выполнять базовые действия по управлению устройством, изучать и исправлять проблемы, помогут вашей организации снизить количество обращений в службу поддержки.

Вход на портал самообслуживания с устройствНа портал самообслуживания можно зайти с рабочих станций или устройств, открыв https://<AirWatchEnvironment > /MyDevice. Если устройство поддерживает веб-клипы или закладки, администратор может предоставить эти ярлыки для непосредственного доступа к порталу самообслуживания.

Настройки портала самообслуживанияВ настройках брендинга можно изменять стандартный фон страницы входа.

Для этого необходимо открыть раздел Группы и настройки > Все настройки > Система > Брендинг и нажать кнопку Отправить для настройки фона страницы входа портала самообслуживания. Затем необходимо выбрать настраиваемое фоновое изображение с рекомендуемым размером 1024x768 пикселей.

Настройка программы улучшения продуктовПортал самообслуживания входит в программу улучшения VMware, которая дает пользователям возможность участвовать в повышении качества и эффективности наших продуктов. Если эта функция включена, программа собирает данные об удобстве использования, что необходимо для обеспечения актуальных потребностей наших клиентов.

Вы можете присоединиться к программе или отказаться от нее в любое время, перейдя в раздел Группы и настройки > Все настройки > Администратор > Программы улучшения продукции.

Дополнительные сведения о программе см. в разделе https://resources.workspaceone.com/view/9yfkbk6r2pzldhjlhrz9.

VMware, Inc. 118

https://resources.workspaceone.com/view/9yfkbk6r2pzldhjlhrz9

https://resources.workspaceone.com/view/9yfkbk6r2pzldhjlhrz9

Меры безопасности на основе маркеровВ целях безопасности для учетных записей, зарегистрированных с помощью маркера, внесены следующие изменения.

n Электронный адрес и номер телефона на экране добавления устройства и экране учетной записи теперь доступны только для чтения.

n Действие «Посмотреть сообщение регистрации» удалено.


n Настройка страницы «Вход по умолчанию» на портале самообслуживания

n Страница «Мои устройства» на портале самообслуживания

n Дистанционные действия на портале самообслуживания

n Матрица действий на портале самообслуживания

Настройка страницы «Вход по умолчанию» на портале самообслуживанияМетод аутентификации по умолчанию может отображаться на портале самообслуживания Workspace ONE UEM powered by AirWatch, если это необходимо организации и пользователям.

Примечание Эта настройка доступна только для локальных пользователей на глобальном уровне.

Для настройки этого параметра перейдите в раздел Группы и настройки > Все настройки > Установка > Дополнительно > Другое и установите для параметра Тип аутентификации портала самообслуживания одно из следующих значений:

n Эл. почта: позволяет запросить только электронный адрес пользователей, если включено автоматическое обнаружение.

n Устаревшие: позволяет запросить ID группы и учетные данные пользователей (имя пользователя и пароль).

n Выделенные: позволяет запросить только учетные данные пользователей (имя пользователя и пароль). Этот параметр по умолчанию определяет единый ID группы для сред одного клиента.

Страница «Мои устройства» на портале самообслуживанияСтраница Мои устройства на портале самообслуживания предоставляет пользователям подробные сведения об устройствах и широкий выбор действий в Workspace ONE UEM powered by AirWatch.

Доступ к вкладкам и действиям зависит от платформы устройства. Смотрите соответствующее руководство по платформе на сайте docs.vmware.com.


VMware, Inc. 119

Выбор языка для портала самообслуживанияПортал самообслуживания автоматически выберет язык браузера по умолчанию. Тем не менее эту настройку по умолчанию можно изменить, выбрав значение из раскрывающегося списка Выбор языка на экране входа.

Вход на портал самообслуживанияВойдите, используя те же учетные данные (ID группы, имя пользователя и пароль), с помощью которых первоначально регистрировались в Workspace ONE UEM.

Изменение пароля на портале самообслуживанияЧтобы изменить пароль, назначенный аккаунту Workspace ONE UEM, можно использовать страницу Аккаунт. Этот пароль будет использован, чтобы зарегистрировать устройство и войти в портал самообслуживания.

Измените пароль, нажав кнопку Аккаунт в верхней правой части портала самообслуживания. На странице Аккаунт пользователя рядом с полем Текущий пароль расположена кнопка Изменить.

Выбор устройства на портале самообслуживанияПосле входа на портал самообслуживания на странице Мои устройства отобразятся все устройства, связанные с аккаунтом. Каждое зарегистрированное устройство отобразится в отдельной вкладке в верхней части портала самообслуживания. Выберите вкладку, представляющую устройство, которое необходимо просмотреть и обслужить.

Статус устройства указан под его названием на вкладке. Сюда входят статусы Обнаружено, Зарегистрировано, В ожидании регистрации, Не зарегистрировано и Ожидается очистка корпоративных данных.

Добавление устройства на портале самообслуживанияУстройство можно добавить непосредственно на портале самообслуживания.

Процедура

1. Выберите Добавить устройство на странице Мои устройства.

2. При необходимости заполните обязательные текстовые поля: Понятное имя, Платформа, Владелец устройства и Тип сообщения.

3. Нажмите Сохранить, чтобы добавить новое устройство в аккаунт портала самообслуживания.


Примечание Для только что добавленного устройства до завершения регистрации будет отображаться статус «В ожидании регистрации».


VMware, Inc. 120

Сведения об устройстве на портале самообслуживанияПосле входа пользователя на портал самообслуживания главное устройство отобразится в основном средстве просмотра. Главная страница содержит основные сведения, например дату регистрации, дату последнего подключения и статус устройства.

Если нажать кнопку Перейти к подробностям, отобразятся вкладки с информацией о выбранном устройстве в определенном аккаунте пользователя.

n Сводка: отображает сводную информацию о категориях «Соответствие», «Профили», «Приложения», «Контент», «Понятное имя», «Инвентарный номер», «Номер UDID» и «MAC-адрес Wi-Fi».

n Понятное имя пользователя можно изменять непосредственно на вкладке Сводка, нажав значок редактирования справа от текстового поля Понятное имя.

Примечание Ресурс роли пользователя в Сводке устройства управляет отображением вкладки Сводка на портале самообслуживания. Если определенные фрагменты информации недоступны для роли пользователя, поскольку отключен ресурс (например, Приложения устройства, Соответствие устройства или Профили устройств), соответствующая информация на вкладке Сводка также скрывается. Подробные инструкции по ограничению ресурсов для ролей пользователей и администраторов см. в разделе Создание новой роли пользователя и Создание роли администратора.

n Соответствие: показывает статус соответствия устройства, включая параметры имени и уровня всех примененных политик.

n Профили: отображает все профили MDM-управления (включая автоматические профили), отправленные на устройства, которые зарегистрированы в аккаунте пользователя. Эта вкладка также отображает статус каждого профиля.

n Приложения: отображает все приложения на выбранном устройстве и предоставляет базовую информацию о них.

n Безопасность: отображает общие сведения о безопасности определенного устройства, которое зарегистрировано в аккаунте пользователя.

Дистанционные действия на портале самообслуживанияПортал самообслуживания Workspace ONE UEM powered by AirWatch предоставляет конечным пользователям основные средства MDM без участия ИТ-отдела. Если разрешает администратор, пользователи могут запустить SSP в веб-браузере и получить доступ к ключевым средствам поддержки MDM.

Администраторам доступны несколько удаленных действий и параметров для управляемых устройств. Тем не менее, если устройства принадлежат сотрудникам, эти сотрудники могут запросить доступ к аналогичным средствам управления для личного использования. Портал самообслуживания (SSP) дает возможность сотрудникам предприятия использовать некоторые основные инструменты MDM без


VMware, Inc. 121

привлечения специалистов ИТ-отдела. Если портал самообслуживания включен, то конечные пользователи могут запускать его в веб-браузере и получать доступ к ключевым средствам поддержки MDM. Кроме того, можно включить или отключить экран информации и возможность выполнять дистанционные действия с портала самообслуживания.

Конечные пользователи могут выполнять удаленные действия с выбранным устройством по беспроводной связи из портала самообслуживания. Разрешения и действия выбранных устройств, доступные на портале самообслуживания, зависят от платформы и определяются администратором. На главной странице разрешенные действия разделены на две группы: базовые действия и дополнительные действия.

Администратор определяет разрешения на действия, поэтому пользователям устройств могут быть доступны не все действия. Смотрите соответствующее руководство по платформе на сайте docs.vmware.com. Или поищите статьи для конкретной платформы в онлайн-справке.

Базовые дистанционные действия на портале самообслуживанияБазовые дистанционные действия отображаются на подвкладке выбранного устройства на портале самообслуживания. Доступность действий зависит от статуса регистрации, платформы устройства и соответствующих разрешений.


Изменение секретного кода Задать новый секретный код для выбранного устройства.

Очистка секретного кода Очистить секретный код на выбранном устройстве и ввести новый секретный код. Это потребуется, если пользователь забыл секретный код и не может получить доступ к устройству.

Удаление устройства Удалить устройство из портала самообслуживания.

Удаление регистрации Удалить все записи об ожидании регистрации из портала самообслуживания.

Запрос устройства Запросить устройство для отправки полного набора данных MDM на сервер Workspace ONE UEM.

Очистка устройства Очистить все данные на выбранном устройстве, включая данные электронной почты, профили и функции MDM, и восстановить настройки, заданные производителем по умолчанию.

Загрузить Hub Загрузить и установить Workspace ONE Intelligent Hub на устройство, с которого просматривается портал самообслуживания.

Очистка корпоративных данных

Очистить все корпоративные данные с выбранного устройства и удалить устройство из Workspace ONE UEM. Удаляются все корпоративные данные на устройстве, включая профили MDM, политики и внутренние приложения. Устройство возвращается в состояние, в котором оно находилось до установки Workspace ONE UEM.

Обнаружение устройства Активировать функцию GPS, чтобы обнаружить потерянное или украденное устройство. Это действие скрыто, если ограничено настройками конфиденциальности.

Блокировка устройства или экрана

Блокировать выбранное устройство, чтобы неавторизованный пользователь не имел к нему доступа. Полезно, если устройство утеряно или украдено. Конечные пользователи также могут использовать функцию GPS для обнаружения устройства.

Блокировка Единого входа Заблокировать секретный код единого входа на этом устройстве. Приложение единого входа запросит секретный код при следующем открытии.

Создать шум Обнаружить устройство, позвонив на него.


VMware, Inc. 122


Повторное отправление сообщения о регистрации

Отправить другую копию исходного электронного сообщения о регистрации, СМС или QR-кода на записываемое устройство.

В целях безопасности адрес электронной почты в повторном сообщения регистрации доступен в режиме только для чтения для учетных записей, зарегистрированных с помощью маркера.

Отправление сообщения Отправить на устройство уведомление, SMS или электронное сообщение.

Роуминг Задать состояние роуминга на этом устройстве.

Синхронизация устройства Предоставить устройству контент, приложения и последние политики компании.

Просмотр сообщения о регистрации

Просмотреть текущее электронное сообщение, SMS или QR-код, составляющие исходное сообщение о регистрации.

В целях безопасности это действие недоступно для учетных записей, зарегистрированных с помощью маркера.

Примечание Запись и регистрация будут отображаться на портале самообслуживания, только если регистрация выбранных устройств находится в состоянии ожидания.

Дополнительные дистанционные действия на портале самообслуживанияДополнительные дистанционные действия отображаются на подвкладке «Дистанционные действия» выбранного устройства на портале самообслуживания. Доступность действий зависит от статуса регистрации, платформы устройства и соответствующих разрешений.


Создание маркера приложения Создать маркер, который будет использоваться устройством для доступа к защищенным приложениям.

Управление эл. почтой Управлять устройствами, связанными с аккаунтом электронной почты.

Просмотр Условий использования Просмотреть предыдущие условия использования этого аккаунта.

Отзыв маркера Отзыв маркера для выбранного приложения.

Загрузка сертификата S/MIME Отправить сертификат S/MIME для корпоративного аккаунта электронной почты.

Матрица действий на портале самообслуживанияКаждая основная платформа устройств поддерживает различные базовые и дополнительные действия портала самообслуживания в Workspace ONE UEM powered by AirWatch.

Действие Android iOS Win Phone macOS Win Mobile Win 7 Win Desktop

Базовые действия

Изменить секретный код. ✓

Очистить секретный код (единый вход). ✓ ✓ ✓ ✓

Удалить устройство. ✓ ✓ ✓ ✓ ✓ ✓ ✓

Удалить регистрацию. ✓ ✓ ✓ ✓ ✓


VMware, Inc. 123

Действие Android iOS Win Phone macOS Win Mobile Win 7 Win Desktop

Запрос устройства ✓ ✓ ✓ ✓ ✓

Очистка устройства ✓ ✓ ✓ ✓ ✓

Загрузить центр. ✓ ✓

Очистка корпоративных данных ✓ ✓ ✓ ✓ ✓ ✓ ✓

Обнаружить устройство. ✓ ✓ ✓ ✓ ✓

Блокировать устройство или экран. ✓ ✓ ✓ ✓ ✓

Блокировать единый вход. ✓ ✓

Создать шум. ✓

Повторно отправить сообщение регистрации. ✓ ✓ ✓ ✓ ✓

Отправить сообщение. ✓ ✓ ✓ ✓ ✓ ✓ ✓

Установить роуминг. ✓

Синхронизация устройства. ✓ ✓

Просмотреть сообщение регистрации.* ✓ ✓ ✓ ✓ ✓


Создать маркер приложения. ✓ ✓ ✓ ✓ ✓ ✓ ✓

Управление эл. почтой. ✓ ✓ ✓

Ознакомиться с Условиями использования. ✓ ✓ ✓ ✓ ✓ ✓ ✓

Отозвать маркер. ✓ ✓ ✓ ✓ ✓ ✓ ✓

Загрузить сертификат S/MIME. ✓ ✓ ✓ ✓ ✓ ✓ ✓

* В целях безопасности это действие недоступно для учетных записей, зарегистрированных с помощью маркера.


VMware, Inc. 124

console Основные сведения о · Сравнение наст ро ек...

Documents