notions de base relatives à la console - vmware€¦ · aperçu d'uem console monitor 8...

Notions de base relatives à la console

VMware Workspace ONE UEM

Vous trouverez la documentation technique la plus récente sur le site Web de VMware, à l'adresse :

https://docs.vmware.com/fr/

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware France SAS.Tour Franklin100-101 Terrasse Boieldieu92042 Paris La Défense 8 CedexFrancewww.vmware.com/fr

Copyright ©

2020 VMware, Inc. Tous droits réservés. Informations relatives aux copyrights et marques

commerciales.


VMware, Inc. 2

https://docs.vmware.com/fr/

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Table des matières

1 Utilisation d'UEM Console 6Connexion à UEM Console 7

Rechercher des événements de verrouillage du compte console 10

Utiliser la fonctionnalité UEM avec une API REST 11

Créer un client OAuth à utiliser pour les commandes API 12

Rejoindre ou quitter le Programme d'amélioration du produit 13

Utilisation de l'assistant de démarrage 13

Freestyle Orchestrator 16

UEM Console Monitor 16

Intelligence 19

Panneau d'administration 19

Suivre et surveiller le déploiement de vos applications 20

Modèles du secteur pour iOS 24

Gérer les paramètres du compte 24

Menu d'en-tête 25

Menu principal 27

Configurations 28

Réduire et développer le sous-menu 29

Global Search 30

Notifications d'UEM Console 31

Gérer les notifications d'UEM Console 32

Configurer les paramètres de notification 33

2 Installation de l'environnement 35Certificat APNs 35

Générer un nouveau certificat APNs 36

Renouveler un certificat APNs 37

Vérifier la connectivité APNs en HTTP/2 38

Conditions d'utilisation 39

Créer les conditions d'utilisation pour l'enrôlement 40

Création de conditions d'utilisation pour les applications ou la console 42

Personnaliser l'apparence de l'interface utilisateur 42

Actions restreintes d'UEM Console 43

Sélectionner les actions protégées par mot de passe 45

Configurer les commentaires obligatoires pour effectuer des actions 48

Autres systèmes d'entreprise pour l'intégration 48

3 Comptes utilisateur et administrateur 50

VMware, Inc. 3

Types d'authentification utilisateur 50

Authentification utilisateur basique 50

Authentification Active Directory avec LDAP 51

Authentification Active Directory avec LDAP et VMware Enterprise Systems Connector 52

Proxy d'authentification 53

Authentification SAML 2.0 54

Authentification basée sur les jetons 56

Activer les types de sécurité pour l'enrôlement 57

Comptes d'utilisateurs basiques 58

Création de comptes utilisateur basiques 59

Comptes utilisateurs basés sur l'annuaire 61

Synchronisation du statut de l'utilisateur de l'annuaire 62

Créer un compte utilisateur basés sur l'annuaire 63

Affichage en liste des comptes utilisateur 65

Fonctionnalité d'importation par lots 68

Importer par lots les utilisateurs ou les terminaux 69

Importer par lots les groupes d'utilisateurs 71

Modification d'utilisateurs basiques avec l'importation en masse 71

Déplacer les utilisateurs avec l'importation par lots 72

Comptes administrateur 72

Créer un compte administrateur 73

Création d'un compte administrateur temporaire 74

Gestion des comptes administrateur 75

4 Accès basé sur les rôles 76Rôles par défaut et personnalisés 77

Modifier un rôle par défaut pour créer un rôle utilisateur personnalisé 78

Rôles administrateur par défaut 78

Modifier un rôle par défaut pour créer un rôle administrateur personnalisé 79

Rôles utilisateur 80

Création d'un rôle utilisateur 80

Configurer un rôle par défaut 81

Attribution ou modification du rôle d'un utilisateur existant 81

Rôles administrateur 82

Affichage en liste des rôles administrateur 82

Indicateur Lire/Modifier dans la section Catégories pour les rôles administrateur 86

Attribuer ou modifier le rôle d'un administrateur 87

Afficher les ressources d'un rôle d'administrateur 87

Outil de comparaison des rôles administrateur 89

Comment créer un administrateur de support technique restrictif et ajouter un rôle lui donnant des fonctions spécifiques 91


VMware, Inc. 4

5 Groupes 95Groupes d'attribution 95

Affichage en liste des groupes d'attribution 96

Attribuer un ou plusieurs groupes d'attribution 97

Groupes organisationnels 98

Caractéristiques des groupes organisationnels 99

Créer des groupes organisationnels 105

Fonctions des types de groupe organisationnel 106

Restrictions de groupe organisationnel 107

Comparer deux groupes organisationnels 108

Smart Groups 109

Création d'un Smart Group 110

Attribution de Smart Group 112

Exclure des groupes dans les profils et politiques de conformité 113

Affichage en liste des Smart Groups 114

Groupes d'utilisateurs 118

Groupes d'utilisateurs sans intégration d'annuaire, personnalisés 118

Groupes d'utilisateurs avec intégration d'annuaire 119

Modifier les autorisations de vos groupes d'utilisateurs 122

Accès aux détails des utilisateurs 124

Affichage en liste des groupes d'utilisateurs 124

Groupes d'administrateurs 127

Affichage en liste des groupes d'administrateurs 127

Ajouter des groupes d'administrateurs 128

Voir les attributions 131

6 Portail en libre-service dans Workspace ONE UEM 132Configuration de la page de connexion par défaut pour le SSP 133

Page Mes terminaux du portail en libre-service 133

Ajouter un terminal dans le SSP 135

Informations sur le terminal dans le SSP 135

Actions à distance dans le portail en libre-service 136

Actions basiques à distance dans le SSP 136

Actions avancées à distance dans le SSP 138

Matrice des commandes du portail en libre-service 138


VMware, Inc. 5

Utilisation d'UEM Console 1Workspace ONE UEM powered by AirWatch propose une solution centralisée vous permettant de visualiser et de gérer les différents éléments de votre déploiement MDM. Grâce à une console unique, accessible sur Internet, vous pouvez ajouter rapidement et facilement de nouveaux terminaux et utilisateurs à votre flotte, gérer les profils et configurer les paramètres système.

Familiarisez-vous avec les paramètres de sécurité et les fonctionnalités d'interface tels que l'assistant de démarrage, les icônes de menu, l'envoi de commentaires et la recherche globale.

Pour plus d'informations sur la manière dont VMware traite les données collectées via Workspace ONE UEM, comme les analyses, consultez la Déclaration de confidentialité de VMware à l'adresse https://www.vmware.com/help/privacy.html.

Navigateurs pris en charge

Workspace ONE Unified Endpoint Management (UEM) Console prend en charge les derniers builds stables des navigateurs Web suivants.

n Chrome

n Firefox

n Safari

n Internet Explorer 11

n Microsoft Edge

Des tests approfondis ont été effectués sur plusieurs plateformes afin de garantir le bon fonctionnement de ces navigateurs Internet. Si vous exécutez UEM console avec une version de navigateur plus ancienne ou avec un navigateur non certifié, il est possible que vous rencontriez des problèmes mineurs.

Note Si vous utilisez IE pour accéder à la console UEM, naviguez vers Panneau de contrôle > Paramètres > Options Internet > Sécurité et assurez-vous que le niveau de sécurité ou de sécurité personnalisé inclut l'option Téléchargement de polices et que cette dernière est activée.

n Android 4.0 et versions supérieures n Tizen 2.3 et versions ultérieures

n Apple iOS 7.0 et versions ultérieures n Windows Desktop (8/8.1/RT/10)

n Apple macOS 10.9 et les versions ultérieures n Windows 7 (ou version ultérieure)

VMware, Inc. 6

https://www.vmware.com/help/privacy.html

n Chrome OS (dernière version) n Terminaux durcis Windows Mobile 5/6 et Windows CE 4/5/6

n QNX 6.5 et versions ultérieures

D'autres terminaux et systèmes d'exploitation pourraient être pris en charge dans un cadre limité. L'enrôlement direct de Workspace ONE est pris en charge sur les terminaux iOS et Android uniquement. Pour plus d'informations, consultez la rubrique Enrôlement direct de Workspace ONE dans la documentation Gestion des terminaux dans Workspace ONE UEM.

Reportez-vous au guide de chaque plateforme en recherchant dans l'aide en ligne, en visitant docs.vmware.com ou en contactant le support VMware pour plus d'informations.

Ce chapitre contient les rubriques suivantes :

n Connexion à UEM Console

n Utiliser la fonctionnalité UEM avec une API REST

n Rejoindre ou quitter le Programme d'amélioration du produit

n Utilisation de l'assistant de démarrage

n Freestyle Orchestrator

n UEM Console Monitor

n Gérer les paramètres du compte

n Menu d'en-tête

n Menu principal

n Configurations

n Réduire et développer le sous-menu

n Global Search

n Notifications d'UEM Console

Connexion à UEM Console

Avant de pouvoir faire quoi que ce soit dans Workspace ONE UEM powered by AirWatch, vous devez d'abord vous connecter à la console.

Pour pouvoir vous connecter à Workspace ONE UEM Console, vous devez disposer de l'URL d'environnement et d'identifiants de connexion. La provenance de ces informations dépend de votre type de déploiement.

n Déploiement SaaS – Votre responsable de compte vous fournira l'URL de votre environnement ainsi que votre nom d'utilisateur/mot de passe. L'URL n'est pas personnalisable et se présente généralement sous la forme suivante : awmdm.com.

n Sur site : l'URL pour les déploiements sur site est personnalisable et se présente sous la forme suivante : awmdm.<YourCompany>.com.


VMware, Inc. 7

Votre responsable de compte vous fournit des identifiants de configuration initiale pour votre environnement. Les administrateurs responsables de la création de comptes supplémentaires visant à déléguer les responsabilités de gestion peuvent également créer et distribuer des identifiants pour leur environnement.

Une fois l'URL d'environnement de UEM console chargée par votre navigateur, vous pouvez vous connecter à l'aide du nom d'utilisateur et du mot de passe fournis par votre administrateur Workspace ONE UEM.

1 Entrez votre nom d'utilisateur.

n La Workspace ONE UEM Console enregistre le nom d'utilisateur et le type d'utilisateur (SAML ou non-SAML) dans le cache du navigateur.

n Si l'utilisateur ou l'administrateur SAML est dirigé vers la connexion SAML.

n Si l'utilisateur ou l'administrateur non SAML doit saisir un mot de passe.


VMware, Inc. 8

n Si la case à cocher Se souvenir de moi est activée, le champ Nom d'utilisateur est pré-rempli avec le dernier utilisateur connecté à l'URL de votre environnement.

2 Saisissez votre Mot de passe.

n Si vous vous connectez pour la première fois, vous êtes invité à saisir le mot de passe de connexion. Saisissez-le pour continuer.

n Si vous vous êtes connecté auparavant et que vous autorisez votre navigateur par défaut à mémoriser les noms d'utilisateur et les mots de passe, la zone de texte Mot de passe se remplit automatiquement avec le mot de passe enregistré dans le cache du navigateur.

3 Sélectionnez le bouton Connexion.

n Votre page d'accueil par défaut (qui est personnalisable) s'ouvre après la connexion. Découvrez comment personnaliser votre page d'accueil en visitant Menu d'en-tête.

Délais d'expiration et déconnexions de session

Il existe deux scénarios de base sous lesquels vous pouvez vous déconnecter de Workspace ONE UEM Console.

1 Déconnexion explicite (y compris la fermeture de la fenêtre du navigateur et la fermeture due à une inactivité).

n Si vous avez configuré votre navigateur par défaut pour qu'il mémorise votre nom d'utilisateur et votre mot de passe, lors de la prochaine connexion, le navigateur préremplira la zone de texte Nom d'utilisateur avec le dernier nom d'utilisateur utilisé pour se connecter.

n Si vous avez configuré votre navigateur pour oublier les noms d'utilisateur et les mots de passe, le nom d'utilisateur et le type d'utilisateur (SAML/non-SAML) sont effacés du cache du navigateur.

2 Invalidation de session (y compris les problèmes d'équilibrage de charge et les délais d'expiration des sessions en raison des paramètres d'administration.)

n Les utilisateurs non-SAML se reconnectent en utilisant un nom d'utilisateur enregistré et en sélectionnant le bouton Connexion.

n Les utilisateurs SAML peuvent se reconnecter à la console sans aucun clic.

Verrouillages de connexion

Les administrateurs système et AirWatch et peuvent configurer le Nombre maximal de tentatives de connexion non valides avant que les administrateurs ne soient déconnectés de force de la console en accédant à Groupes et paramètres > Tous les paramètres > Admin > Sécurité de la console > Mots de passe.


VMware, Inc. 9

Vous êtes déconnecté de force d'UEM Console dans deux scénarios : 1) lorsque vous effectuez un nombre de tentatives de connexion infructueuses supérieur au nombre maximal de tentatives de connexion non valides et 2) lorsque vous répondez incorrectement à trois reprises à votre question de récupération de mot de passe lors de la tentative de réinitialisation de votre mot de passe. La durée par défaut pendant laquelle les administrateurs sont déconnectés de force de la console est de 10 minutes.

En pareil cas, vous devez soit réinitialiser votre mot de passe en utilisant le lien de dépannage de la page de connexion, soit demander à un autre administrateur de débloquer votre compte à l'aide de l'affichage en liste d'administrateur. Vous recevez une notification par e-mail lorsque votre compte est verrouillé et lorsqu'il est déverrouillé. Pour plus d'informations, reportez-vous à Rechercher des événements de verrouillage du compte console.

Expiration du mot de passe

Les administrateurs de base sont avertis par e-mail 5 jours avant que leur mot de passe expire, avec une autre notification par e-mail le jour précédent. Les administrateurs sur site peuvent modifier cette période de 5 jours par défaut en accédant à Groupes et paramètres > Tous les paramètres > Administrateur > Sécurité de la console > Mots de passe dans le groupe organisationnel global. Les administrateurs SaaS dédiés doivent contacter le support pour apporter des modifications à ce paramètre.

Vous pouvez créer une notification d'expiration de mot de passe personnalisée pour vos administrateurs en accédant à Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Modèle de message et en sélectionnant « Administrateur » comme Catégorie et « Notification d'expiration du mot de passe administrateur » comme Type.

Pour plus d'informations sur les paramètres du mot de passe utilisateur d'enrôlement, qui sont gérés séparément des mots de passe de la console administrateur, reportez-vous à la page des paramètres système en accédant à Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Mots de passe.

Rechercher des événements de verrouillage du compte console

Lorsque les comptes d'administrateur de base sont verrouillés ou déverrouillés dans Workspace ONE UEM, un événement de console est généré. Les deux événements génèrent un événement de journalisation de niveau 5 (avertissement). En plus de consulter l'historique de connexion de base directement depuis les paramètres de compte, vous pouvez rechercher des verrouillages de compte d'administrateur ou déverrouiller des événements de console en procédant comme suit.

Procédure

1 Accédez à Monitor > Rapports et analyses > Événements > Événements de la console.

2 Sélectionnez Avertissement et plus dans le filtre déroulant Gravité situé en haut de liste des Événements de la console.

3 Sélectionnez Connexion dans le filtre déroulant Catégorie.


VMware, Inc. 10

4 Sélectionnez Administration dans le filtre déroulant Module.

5 Appliquez les filtres supplémentaires de votre choix, notamment la Plage de dates.

Résultats

Le cas échéant, cliquez sur le lien hypertexte de la colonne Données de l'événement qui contient des détails supplémentaires pouvant vous aider dans votre recherche.

Utiliser la fonctionnalité UEM avec une API REST

Vous pouvez configurer des applications externes pour utiliser la fonctionnalité principale de Workspace ONE UEM en intégrant les API REST à l'infrastructure UEM et en facilitant la connectivité. Vous pouvez également sélectionner une URL de jeton OAuth la plus proche de votre centre de données pour authentifier les appels d'API.

Prise en main des API REST

À l'aide de l'architecture logicielle REST simplifiée, les API REST de Workspace ONE UEM prennent actuellement en charge plusieurs fonctionnalités, notamment le groupe organisationnel, l'administration de la console, l'application mobile, le terminal mobile, la messagerie, l'utilisateur de l'inscription, le profil, le Smart Group et la gestion de groupe d'utilisateurs.

L'utilisation d'API basées sur REST offre plusieurs avantages aux entreprises, notamment la suppression des coûts et du temps passé à développer des applications en interne. Les API REST de Workspace ONE UEM sont entièrement capables et prêtes à être intégrées aux serveurs, aux programmes et aux processus d'entreprise. En outre, les API REST de Workspace ONE UEM sont plus efficaces, peuvent s'exécuter sans problème et être facilement personnalisées pour les entreprises. Ces API sont destinées aux développeurs d'applications, et ce guide fournit des connaissances sur la conception et l'architecture de la bibliothèque d'API pour faciliter le développement et l'intégration personnalisés avec Workspace ONE UEM.

Accéder à la documentation de l'API

Accédez à la documentation détaillée de l'API en accédant à la page d'aide de l'API de Workspace ONE UEM.

Pour ce faire, dans les environnements SaaS, remplacez le « cn » dans votre URL par « as », puis ajoutez /api/help après .com.

Par exemple, la documentation de l'API pour l'URL d'un environnement SaaS

https://cn4855.awmdm.com

est

https://as4855.awmdm.com/api/help


VMware, Inc. 11

URL du centre de données et du jeton pour la prise en charge d'OAuth 2.0

Workspace ONE UEM prend en charge le protocole OAuth 2.0 standard dans l'industrie pour l'authentification et l'autorisation sécurisées pour les appels API REST.

Les URL de jeton sont spécifiques à la région.

Tableau 1-2. URL de jeton spécifiques à la région

Région

Emplacement du centre de données SaaS de Workspace ONE UEM URL de jeton

Ohio (États-Unis) Tout l'environnement UAT https://uat.uemauth.vmwservices.com/connect/token

Virginie (États-Unis) États unis https://na.uemauth.vmwservices.com/connect/token

Virginie (États-Unis) Canada https://na.uemauth.vmwservices.com/connect/token

Francfort (Allemagne) Royaume-Uni https://emea.uemauth.vmwservices.com/connect/token

Francfort (Allemagne) Allemagne https://emea.uemauth.vmwservices.com/connect/token

Tokyo (Japon) Inde https://apac.uemauth.vmwservices.com/connect/token

Tokyo (Japon) Japon https://apac.uemauth.vmwservices.com/connect/token

Tokyo (Japon) Singapour https://apac.uemauth.vmwservices.com/connect/token

Tokyo (Japon) Australie https://apac.uemauth.vmwservices.com/connect/token

Tokyo (Japon) Hong Kong https://apac.uemauth.vmwservices.com/connect/token

Créer un client OAuth à utiliser pour les commandes API

Vous pouvez créer un client OAuth à utiliser pour les commandes API dans Workspace ONE UEM Console version 2001 ou ultérieure. Créez un client OAuth en procédant comme suit.

Procédure

1 Accédez à Groupes et paramètres > Configurations.

2 Saisissez OAuth dans la zone de texte de recherche nommée « Saisissez un nom ou une catégorie ».

3 Sélectionnez Gestion des clients OAuth qui apparaît dans les résultats.

L'écran Gestion des clients OAuth s'affiche.

4 Cliquez sur le bouton Ajouter ;

5 Saisissez le Nom, la Description, le Groupe organisationnel et le Rôle.

6 Assurez-vous que l'État est défini sur Activé.

7 Cliquez sur Enregistrer.


VMware, Inc. 12

8 IMPORTANT : copiez l'ID client et la Clé secrète du client dans le presse-papiers et

enregistrez-les avant de fermer cet écran. Cliquez sur l'icône du presse-papiers ( ) pour envoyer la Clé secrète du client vers le presse-papiers.

Vous ne pouvez pas revenir ici pour récupérer ces informations après avoir sélectionné Fermer.

Rejoindre ou quitter le Programme d'amélioration du produit

Le Programme d'amélioration du produit (CEIP) de VMware fournit à VMware des informations lui permettant d'améliorer ses produits et services, de corriger certains problèmes et de vous informer sur la meilleure façon de déployer et d'utiliser ses produits. Ce programme est uniquement disponible pour les déploiements sur site de Workspace ONE UEM powered by AirWatch.

L'invite du CEIP s'affiche lorsque vous installez ou mettez à niveau Workspace ONE UEM. Vous devez effectuer une sélection. Par la suite, vous pourrez modifier votre sélection à tout moment à partir d'UEM console en procédant comme suit.

Conditions préalables

Workspace ONE UEM participe au programme d'amélioration du produit (CEIP) de VMware. D'autres informations sur les données collectées par le biais du CEIP et sur la façon dont VMware les utilise sont disponibles sur le centre Confiance et Assurance, à l'adresse https://www.vmware.com/fr/solutions/trustvmware/ceip.html.

Pour plus d'informations sur la manière dont VMware traite les données collectées via Workspace ONE UEM, comme les analyses, consultez la Déclaration de confidentialité de VMware à l'adresse https://www.vmware.com/help/privacy.html.

Procédure

1 Accédez à Groupes et paramètres > Tous les paramètres > Admin > Programmes d'amélioration du produit.

2 Si vous souhaitez participer au programme d'amélioration du produit, activez la case à cocher à côté de Rejoindre le programme d'amélioration du produit VMware.

a Si vous ne souhaitez pas participer au programme d'amélioration du produit, désactivez (Effacer) cette case à cocher.

3 Cliquez sur le bouton Enregistrer.

Utilisation de l'assistant de démarrage

L'assistant de démarrage fait office de liste de vérification pour vous guider dans les paramètres de Workspace ONE UEM powered by AirWatch. L'assistant présente les modules propres à votre déploiement, vous offrant ainsi une expérience adaptée à votre configuration.


VMware, Inc. 13

http://www.vmware.com/trustvmware/ceip.html

http://www.vmware.com/trustvmware/ceip.html

https://www.vmware.com/help/privacy.html

Naviguer dans l'assistant de démarrage

Le menu principal de l'assistant de démarrage fonctionne de façon simple et adaptée à vos besoins. Il ne se contente pas de suivre votre progression dans le processus de configuration. Il peut être lancé, mis en pause et relancé, et permet également de revenir en arrière pour vérifier et même modifier les réponses précédemment données.

n Cliquez sur Démarrer l'assistant pour initier la première étape du sous-module. Vous répondez aux questions et accédez à la page correspondant aux réponses dans UEM Console afin de configurer les paramètres de chaque fonction. À mesure que vous complétez les sous-modules, votre pourcentage de progression augmente dans le compteur situé dans le coin supérieur droit.

n En cas d'interruption en cours de sous-module, sélectionnez Continuer pour revenir à la dernière page consultée.

n Vous pouvez également choisir de passer n'importe quel sous-module en cliquant sur Ignorer la section ; le bouton Continuer est alors temporairement désactivé et un lien Reprendre la section apparaît. Activez le bouton Continuer une fois de plus en sélectionnant ce lien.

La page de démarrage est divisée en quatre sous-modules : Workspace ONE, Terminal, Contenu et Applications. À chaque sous-module correspond un nombre d'étapes. Les étapes partagées par les sous-modules sont automatiquement enregistrées pour que vous n'ayez pas à effectuer la même action plusieurs fois.

n Workspace ONE – Représentant un libre accès depuis n'importe quel terminal personnel ou professionnel. Connectivité sécurisée aux applications de productivité en entreprise : messagerie, calendrier, contacts, documents et plus. Accès SSO instantané aux applications mobiles, Cloud et Windows. Sécurité des données robuste protégeant l'entreprise et les employés contre les terminaux compromis.

Pour plus d'information sur Workspace ONE, consultez la documentation VMware Workspace ONE.

n Terminal – Exécuter sur les terminaux enrôlés dans le MDM des actions telles que le verrouillage, la notification et l'effacement des données d'entreprise. Déployer les profils pour configurer la messagerie, les restrictions, les paramètres et plus. Configurer les règles de conformité pour s'assurer que les politiques de sécurité sont appliquées à votre flotte de terminaux. Voir comment gérer au mieux les terminaux depuis le tableau de bord et le Monitor.

n Contenu – Déployez du contenu et accédez-y lorsque vous êtes en déplacement grâce à l'application Content Locker. Afficher et gérer votre contenu grâce aux tableaux de bord de contenu, aux rapports et aux journaux. Utiliser du contenu personnel pour partager et collaborer avec d'autres utilisateurs. Intégrer aux référentiels existants et déployer le contenu vers les terminaux mobiles.


VMware, Inc. 14

https://docs.vmware.com/fr/VMware-Workspace-ONE/index.html

n Application – Déployer des applications développées en interne, gratuites et disponibles publiquement ou achetées. Déployer un catalogue d'applications personnalisé pour autoriser les utilisateurs à rechercher et télécharger des applications. Intégrer la conformité ou les profils de contrôle d'application en établissant des listes blanche ou noire d'applications. Configurer les options de gestion avancée d'applications telles que l'analyse d'applications.

Naviguez dans Workspace ONE, le terminal, le contenu et l'assistant de l'application

Chacun des quatre sous-modules affiche une liste des sections représentant des fonctionnalités que vous pouvez configurer ou ignorer, selon les besoins de votre organisation. Les fonctionnalités non configurées affichent une case à cocher vide Incomplète alors que les fonctionnalités configurées affichent une case à cocher verte Complète.

n Sélectionnez le bouton Configurer pour commencer à définir les paramètres de la fonction qui vous intéresse.

n Examinez ou modifiez les paramètres d'une fonctionnalité complète en sélectionnant le bouton Modifier.

n Le pourcentage de la barre de progression progresse à mesure que vous exécutez chaque fonctionnalité.

n La plupart des fonctionnalités comportent un bouton Vidéo en regard du bouton Configurer ou Modifier. Cette vidéo vous permet de voir la fonctionnalité en action et de vous aider à comprendre son utilité pour votre organisation.

n Certaines fonctionnalités du sous-module peuvent être ignorées sans pénalité pour le pourcentage de la barre de progression complétée. Si disponible, sélectionnez le bouton Ignorer cette étape pour supprimer la fonctionnalité de votre liste. Pour afficher à nouveau la fonctionnalité, sélectionnez le bouton Réinitialiser.

Certaines fonctionnalités et fonctions demandent une configuration particulière. Par exemple, Mobile Single Sign-On exige d'avoir configuré Enterprise Connector, Active Directory et Workspace ONE Access. Lorsque cela est possible, vous disposez d'un bouton pour lancer la configuration de ces fonctionnalités requises.

Activer l'assistant de démarrage manuellement

Pour une nouvelle implémentation Workspace ONE UEM, accédez à la page de démarrage du menu principal, située au-dessus de l'icône Monitor dans le volet de gauche. Vous pouvez toutefois activer manuellement l'assistant de démarrage dès que vous le souhaitez. L'activation manuelle de l'Assistant de démarrage redémarre la démonstration.

1 Sélectionnez un groupe organisationnel autre que le groupe le plus élevé de la hiérarchie.

2 Accédez à Groupes et paramètres > Groupes > Groupes organisationnels > Détails du groupe organisationnel. Vérifiez que vous vous trouvez dans un groupe organisationnel de niveau client et enregistrez vos modifications.


VMware, Inc. 15

3 Accédez à Groupes et paramètres > Tous les paramètres > Système > Démarrage.

4 Sélectionnez Activer pour chaque section de démarrage que vous souhaitez rendre disponible.

n Statut de démarrage de Workspace ONE

n Démarrage - Statut des terminaux

n Démarrage - Statut du contenu

n Démarrage - Statut des applications

5 Enregistrez les modifications sur la page.

Pour plus d'informations, reportez-vous à Groupes organisationnels.

Freestyle Orchestrator

Utilisez Freestyle Orchestrator pour créer des workflows personnalisés conçus pour atteindre un objectif spécifique. Vous pouvez installer des ressources (telles que des applications, des scripts et des profils) en fonction de conditions que vous définissez.

Note Freestyle Orchestrator est actuellement disponible pour les terminaux macOS et Windows 10 uniquement.

Workflows personnalisés facilités

Freestyle Orchestrator est une plateforme d'orchestration informatique sans code qui vous permet, grâce à un simple glisser-déposer, de créer des workflows à l'aide de ressources, de conditions et de groupes.

Ressources en tant que blocs constitutifs

Les ressources peuvent être installées sur un terminal, comme une application, un profil de terminal ou un script (PowerShell Windows 10 ou script shell macOS). Les ressources peuvent également être un mécanisme natif du terminal, tel qu'un capteur. Lorsque vous créez un workflow Freestyle, vous pouvez tirer parti de toutes ces ressources pour effectuer une tâche que vous définissez.

Accédez aux ressources et configurez des applications, des profils, des scripts et des capteurs à utiliser dans un workflow et appliquez-les aux terminaux en fonction de critères granulaires.

Pour plus d'informations, consultez le document Freestyle Orchestrator Guide.

UEM Console Monitor

L'outil Console Monitor disponible dans Workspace ONE UEM powered by AirWatch est votre portail central permettant d'accéder rapidement aux informations critiques. Grâce à sa barre colorée et ses graphiques en beignet, vous pouvez identifier rapidement les problèmes importants et agir depuis un emplacement unique.


VMware, Inc. 16

https://docs.vmware.com/fr/VMware-Workspace-ONE-UEM/services/GUID-AWT-FREESTYLE-ORCHESTRATOR/GUID-freestyle-orchestrator.html

La sélection d'un graphique à barres ou à secteurs sur cette page fait apparaître l'affichage en liste des terminaux. Cet affichage en liste contient tous les terminaux propres à la valeur que vous avez sélectionnée. Vous pouvez alors effectuer des actions telles que l'envoi d'un message à ces terminaux.

Par exemple, sélectionnez le graphique à secteurs du statut d'antivirus. En quelques secondes, l'affichage en liste des terminaux répertorie les terminaux qui ont déclenché une violation de politique en raison de l'absence de logiciel antivirus. Sélectionnez tous les terminaux de cette liste en cochant la case à gauche de chacun d'eux. Vous pouvez également cocher la case Sélectionner tout qui se trouve en dessous du bouton Ajouter un terminal. Le groupe de boutons s'affiche au-dessus de la liste. Sélectionnez le bouton Envoyer pour envoyer un message aux utilisateurs des terminaux sélectionnés. Vous pouvez choisir d'envoyer un e-mail, une notification Push ou un SMS.

La page Monitor > Aperçu fournit des graphiques récapitulatifs et des vues détaillées.

n Terminaux – Affichez le nombre exact de terminaux.

n Statut de tous les terminaux : inscrits, enrôlés, en attente d'effacement des données professionnelles, en attente de réinitialisation et désenrôlés.

n Répartition dans la plateforme des terminaux enrôlés dans Workspace ONE UEM.

n Historique d'enrôlement des derniers jours, de la dernière semaine et du dernier mois.

n Conformité – Affichez les terminaux en violation de politiques.

n Toutes les stratégies de conformité actuellement violées par les terminaux, notamment concernant les applications, les paramètres de sécurité, la géolocalisation et plus encore.

n Politiques les plus souvent transgressées, parmi tous les types de politiques de conformité établies .


VMware, Inc. 17

n Applications sur liste noire, notamment celles installées sur les terminaux, classées par instances de violation ;

n Terminaux ne comportant pas les applications que vous souhaitez installer pour vos utilisateurs.

n Profils – Affichez les profils non mis à jour.

n Dernière version du profil, notamment les terminaux disposant d'anciennes versions de chaque profil.

n Applications – Affichez les applications associées aux terminaux.

n Dernière version du profil, notamment les terminaux disposant d'anciennes versions de chaque profil.

n Applications les plus installées, classées par nombre de terminaux sur lesquels l'application est installée.

n Contenu – Affichez les terminaux disposant de contenu non mis à jour.

n Dernière version de contenu, notamment chaque fichier non à jour classé par instance.

n E-mail – Affichez les terminaux actuellement incapables de recevoir des e-mails.

n Terminaux bloqués pour les e-mails, notamment les terminaux bloqués par défaut, sur liste noire ou désenrôlés.

n Certificats – Affichez les certificats arrivant à expiration.

n Certificats expirant dans un mois, dans un à trois mois, dans trois à six mois, dans six à douze mois et dans plus de douze mois. Vous pouvez aussi afficher les certificats qui ont déjà expiré.

L'ensemble de terminaux affichés dépend de votre groupe organisationnel actuel, et notamment de tous les terminaux des sous-groupes organisationnels. En changeant de groupe organisationnel dans le menu déroulant, les résultats des terminaux sont automatiquement mis à jour.

Basculez entre les vues en sélectionnant l'icône Affichage en liste ( ) et Affichage Graphique

( ). Sélectionnez une valeur pour ouvrir la vue de liste de cet ensemble de terminaux. Vous pouvez alors effectuer des actions telles que l'envoi d'un message à ces terminaux.

Personnalisez Monitor en sélectionnant l'icône Sections disponibles ( ). Cochez ou décochez les cases relatives aux sections disponibles (terminaux, conformité, profils, etc.) et cliquez sur Enregistrer pour personnaliser l'aperçu du Monitor.

Vous pouvez exporter les données de Monitor au format PDF en sélectionnant l'icône Exporter

( ). L'exportation au format PDF s'avère utile pour fournir des rapports quotidiens, hebdomadaires ou mensuels de l'état actuel de votre déploiement de terminaux mobiles.


VMware, Inc. 18

Intelligence

Les rapports et analyses Intelligence personnalisés peuvent vous fournir des connaissances plus approfondies sur votre flotte de terminaux. Ces connaissances incluent une meilleure visibilité sur les problèmes de performance, des outils de planification hautement efficaces et des temps de déploiement accélérés.

Assurez-vous que vous êtes dans un groupe organisationnel de type Client, puis accédez à Monitor > Intelligence, cliquez sur le bouton Suivant pour voir comment fonctionne Intelligence et choisir de tirer parti du service.

Vous pouvez désactiver les rapports Intelligence personnalisés à tout moment.

Pour plus d'informations, consultez le Guide de l'utilisateur de Workspace ONE Intelligence sur docs.vmware.com.

Panneau d'administration

Le panneau d'administration donne un aperçu des informations sur la licence de module et les composants Workspace ONE™ UEM déployés. Le panneau d'administration contient un résumé des licences réparti dans deux sections distinctes : Produits actifs et Composants déployés.

Accédez au panneau d'administration en naviguant vers Monitor > Panneau d'administration. L'accès au panneau d'administration ne peut se faire qu'au niveau d'un groupe organisationnel client. Pour plus d'informations, reportez-vous à la section Fonctions des types de groupe organisationnel.

Produits actifs dans le panneau d'administration

La section Produits actifs confirme la validité de licence des fonctionnalités incluses dans votre déploiement (navigateur, conteneur, gestion des terminaux mobiles, catalogue d'applications, etc.). Pour chaque fonctionnalité, vous voyez le nombre total de licences, le modèle de licence et le type de licence.

Composants déployés dans le panneau d'administration

Les composants déployés disposent d'un panneau pour tous les composants activés au niveau du groupe organisationnel client. Chacun des composants indique le statut de connectivité des éléments.s

n VMware Enterprise Systems Connector

n Secure Email Gateway

n VMware Tunnel

Vous pouvez sélectionner le bouton d'actualisation ( ) pour actualiser le statut de connectivité

du composant activé. Vous pouvez également sélectionner le bouton des paramètres ( ) pour afficher la page des paramètres système qui correspond au composant activé.


VMware, Inc. 19

Suivre et surveiller le déploiement de vos applications

La surveillance des applications et des profils fournit une méthode rapide pour suivre le déploiement récent des applications et des profils sur vos terminaux. Le moniteur affiche les données historiques sur le processus de déploiement et le statut d'installation de l'application ou du profil sur les terminaux.

La surveillance des applications et des profils suit le statut des déploiements d'applications et de profils sur vos terminaux utilisateur. Le moniteur suit uniquement les applications et les profils déployés dans les 15 derniers jours. Ces données vous permettent de consulter le statut de vos déploiements et de diagnostiquer les problèmes.

Lorsque vous recherchez une application ou un profil, une carte contenant les données de déploiement est ajoutée dans la vue Surveillance des applications et des profils. Vous pouvez uniquement afficher cinq cartes à la fois. Ces cartes restent ajoutées jusqu'à ce que vous vous déconnectiez. Toutes les cartes doivent à nouveau être ajoutées lorsque vous vous reconnectez.

La section Historique affiche uniquement les sept derniers jours de données. Elle affiche le nombre de terminaux indiquant le statut Terminé pour le déploiement. La section Déploiement actuel affiche le statut du déploiement du terminal.

Si le statut Incomplet s'affiche, sélectionnez le numéro en regard du statut pour afficher la liste de tous les terminaux indiquant le statut. Cette fonctionnalité vous permet d'examiner les terminaux présentant des problèmes afin de dépanner votre déploiement.

La surveillance des applications et des profils suit uniquement les déploiements démarrés après la mise à niveau vers Workspace ONE™ UEM versions 9.2.1 et supérieures. Si vous avez déployé l'application ou le profil avant la mise à niveau, le moniteur ne suit aucune donnée sur le déploiement.

Afficher l'état du déploiement de votre application via la surveillance des applications et des profils

La surveillance des applications et des profils affiche le statut de déploiement actuel des terminaux au cours d'un déploiement. Le statut combine différents statuts d'installation d'applications et de profils en Terminé, En attente ou Incomplet.


VMware, Inc. 20

Tableau 1-3. Descriptions des états de déploiement dans la surveillance des applications et des profils

État Description

Terminé Les terminaux indiquent le statut Terminé lorsque l'installation de l'application ou du profil s'est bien déroulée.

En attente Les terminaux indiquent le statut En attente lorsqu'une application ou un profil indique les statuts suivants.

Profils

n Installation en attente.

n Suppression en attente.

n Suppression non confirmée.

n Suppression confirmée.

Applications

n A besoin d'être échangée.

n Échange.

n Invite en cours.

n Installation en cours.

n Suppression du MDM.

n MDM supprimé.

n Inconnue.

n Commande d'installation prête pour le terminal.

n En attente d'installation sur le terminal.

n Demande de connexion en cours.

n Mise à jour en cours.

n Version en attente.

n Demande de gestion en cours.

n Commande d'installation distribuée.

n Téléchargement en cours.

n Commande reconnue.

Incomplet Le terminal indique le statut Incomplet lorsqu'une application ou un profil indique les statuts suivants.

Profils

n Information en attente.

Applications

n Supprimée par l'utilisateur.

n Installation rejetée.

n Échec de l'installation.

n Licence non disponible.

n Rejetée.

n Gestion rejetée.

n Échec du téléchargement.

n Critères manquants.

n Échec de la commande.



VMware, Inc. 21

Afficher l'état du déploiement de votre application via la surveillance des applications et des profils

Effectuez le suivi d'un déploiement d'une application ou d'un profil sur des terminaux utilisateur grâce à la surveillance des applications et des profils. Celle-ci fournit des informations en un clin d'œil sur le statut de vos déploiements.

Procédure

1 Accédez à Monitor > Surveillance des applications et des profils.

2 Dans le champ de recherche, entrez le nom de l'application ou du profil. Vous devez appuyer sur la touche Entrée de votre clavier pour lancer la recherche.

3 Sélectionnez le profil ou l'application dans le menu déroulant et cliquez sur Ajouter.

Résultats

Les données d'application ou de profil s'affichent sur une carte. Vous ne pouvez ajouter que cinq cartes à la fois.

Étape suivante

La surveillance des applications et des profils affiche le statut de déploiement actuel des terminaux au cours d'un déploiement. Le statut combine différents statuts d'installation d'applications et de profils en Terminé, En attente ou Incomplet.


VMware, Inc. 22

Tableau 1-4. Descriptions des états de déploiement dans la surveillance des applications et des profils

État Description

Terminé Les terminaux indiquent le statut Terminé lorsque l'installation de l'application ou du profil s'est bien déroulée.

En attente Les terminaux indiquent le statut En attente lorsqu'une application ou un profil indique les statuts suivants.

Profils

n Installation en attente.

n Suppression en attente.

n Suppression non confirmée.

n Suppression confirmée.

Applications

n A besoin d'être échangée.

n Échange.

n Invite en cours.

n Installation en cours.

n Suppression du MDM.

n MDM supprimé.

n Inconnue.

n Commande d'installation prête pour le terminal.

n En attente d'installation sur le terminal.

n Demande de connexion en cours.

n Mise à jour en cours.

n Version en attente.

n Demande de gestion en cours.

n Commande d'installation distribuée.

n Téléchargement en cours.

n Commande reconnue.

Incomplet Le terminal indique le statut Incomplet lorsqu'une application ou un profil indique les statuts suivants.

Profils

n Information en attente.

Applications

n Supprimée par l'utilisateur.

n Installation rejetée.

n Échec de l'installation.

n Licence non disponible.

n Rejetée.

n Gestion rejetée.

n Échec du téléchargement.

n Critères manquants.

n Échec de la commande.



VMware, Inc. 23

Modèles du secteur pour iOS

Un modèle du secteur est un ensemble d'applications mobiles et de profils que vous pouvez transférer vers vos terminaux, améliorant ainsi nettement le processus de déploiement.

Vous pouvez sélectionner des modèles basés sur des secteurs tels que la santé et la vente et les adapter à vos besoins. Pour plus d'informations, reportez-vous à la section Présentation des modèles du secteur dans la Documentation VMware Workspace ONE UEM pour la plateforme iOS sur docs.vmware.com.

Gérer les paramètres du compte

Vous pouvez gérer les paramètres de votre compte dans Workspace ONE UEM powered by AirWatch, y compris les informations personnelles de l'utilisateur, les préférences de notification, l'historique de connexion et la configuration de sécurité.

Utilisateur

Assurez-vous que vous pouvez être joint en entrant vos informations personnelles dans l'onglet Utilisateur, notamment votre adresse e-mail, jusqu'à quatre numéros de téléphone différents, votre fuseau horaire et vos paramètres régionaux.

Notifications

Utilisez les paramètres Notifications de la page Paramètres de notification pour activer ou désactiver les alertes d'expiration des licences APNs, sélectionner comment les recevoir et modifier l'adresse e-mail à laquelle elles sont envoyées. Pour plus d'informations, consultez la section Configurer les paramètres de notification.

Connexions

Passez en revue tout votre historique de connexion, notamment la date et l'heure de connexion, l'adresse IP source, le type de connexion, les applications source, le modèle et la version du navigateur, la plateforme de système d'exploitation et le statut de connexion.

Sécurité

Vous pouvez réinitialiser votre mot de passe de connexion, les questions de récupération du mot de passe et votre code PIN de sécurité à quatre chiffres.

Mot de passe

Le mot de passe accompagne le nom d'utilisateur de votre compte lorsque vous vous connectez à UEM Console. Vous pouvez le réinitialiser à tout moment.


VMware, Inc. 24

Questions de récupération de mot de passe

Les questions de récupération du mot de passe constituent la méthode grâce à laquelle vous réinitialisez votre mot de passe. Vous devez définir cette question en même temps que sa réponse lorsque vous vous connectez à UEM Console pour la première fois. Vous pouvez sélectionner une nouvelle question de récupération du mot de passe en cliquant sur Réinitialiser. Cette action déconnecte l'utilisateur automatiquement. Lorsqu'il se reconnecte, il voit l'écran Paramètres de sécurité dans lequel il doit faire un choix dans la liste de questions de récupération du mot de passe et fournir la réponse.

Les administrateurs qui n'ont jamais sélectionné une question de récupération du mot de passe et ne disposent pas de bouton de réinitialisation pour les questions de récupération du mot de passe doivent demander la suppression et la recréation de leur compte. Lors de la toute première connexion après la recréation du compte, ils doivent définir une question de récupération du mot de passe et une réponse.

Vous êtes déconnecté de force de la page de connexion lorsque vous donnez plus de trois réponses erronées à une question de récupération du mot de passe. Dans ce cas, vous devez réinitialiser votre mot de passe en utilisant le lien de dépannage sur la page de connexion. Sinon, vous pouvez obtenir l'assistance d'un administrateur pour déverrouiller votre compte en utilisant l'affichage en liste des administrateurs. Vous recevez une notification par e-mail lorsque votre compte est verrouillé et lorsqu'il est déverrouillé.

Code PIN de sécurité

Établissez la sécurité d'UEM Console en créant un code PIN de sécurité. Le code PIN sert de protection contre la réinitialisation accidentelle du terminal ou la suppression involontaire d'aspects importants de votre environnement, notamment les utilisateurs et les groupes organisationnels. Il sert également de deuxième niveau de sécurité. Il représente un deuxième niveau d'authentification pour bloquer les actions effectuées par des utilisateurs non approuvés.

Lorsque vous vous connectez pour la première fois à UEM Console, vous devez définir un code PIN de sécurité.

Réinitialisez votre code PIN de sécurité régulièrement pour réduire les risques.

Pour plus d'informations sur le processus de connexion, reportez-vous à Connexion à UEM Console.

Menu d'en-tête

Le menu d’en-tête apparaît en haut de la plupart des pages de Workspace ONE UEM powered by AirWatch ; il vous permet d’accéder aux fonctions et fonctionnalités suivantes.


VMware, Inc. 25

n Groupe organisationnel – Sélectionnez le groupe organisationnel (onglet intitulé « Global ») auquel vous souhaitez appliquer les modifications.

n Ajouter – Créez rapidement un administrateur, un terminal, un utilisateur, une politique de conformité, du contenu, un profil, une application interne ou publique.

n Recherche globale – ( ) Effectuez une recherche dans tous les aspects de votre déploiement dans UEM Console, notamment parmi les terminaux, les utilisateurs, le contenu, les applications, les paramètres de configuration, les administrateurs, les pages, etc.

n Notifications – ( ) Restez informé des principaux événements de la console grâce aux notifications. Le nombre d'alertes requérant votre attention est indiqué par le badge situé au-dessus du bouton Notifications.

n Enregistré – ( ) Accédez à vos pages préférées ou à celles que vous utilisez le plus dans UEM Console.

n Aide – ( ) Parcourez les guides disponibles et la documentation d'UEM Console ou faites des recherches dans ceux-ci.

n Sélecteur Mes services – (menu ) Utilisez ce bouton de menu pour sélectionner tous les services Workspace ONE disponibles.

n Compte – Affichez les informations de votre compte. Modifiez le rôle du compte qui vous est attribué dans l'environnement actuel. Personnalisez les paramètres relatifs aux coordonnées, à la langue, aux notifications et affichez l'historique des connexions et les paramètres de sécurité, notamment la réinitialisation du code PIN. Vous pouvez aussi vous déconnecter d'UEM Console et revenir à l'écran de connexion.

n Actualiser – ( ) Affichez les statistiques et les informations mises à jour sans quitter l'affichage actuel en rafraîchissant l'écran.

n Sections disponibles – ( ) Personnalisez l'aperçu du Monitor en sélectionnant uniquement les sections que vous souhaitez voir. Disponible uniquement sur l'écran du Monitor.

n Exporter – ( ) Produit une liste complète (ou filtrée, si un filtrage est utilisé) des utilisateurs, terminaux, profils, applications, livres ou stratégies dans un fichier XLSX ou CSV (valeurs séparées par des virgules). Vous pouvez utiliser MS Excel pour afficher et analyser ces fichiers.

n Accueil – ( ) Utilisez cette icône pour définir dans UEM Console l'écran de votre choix comme page d'accueil. La prochaine fois que vous ouvrirez UEM Console, l'écran que vous aurez choisi s'affichera sur votre page d'accueil.


VMware, Inc. 26

n Enregistrer – ( ) Ajoutez la page actuelle à la liste de pages enregistrées pour un accès plus rapide aux pages préférées d'UEM Console.

Menu principal

Le menu principal permet d'accéder à toutes les fonctionnalités disponibles pour votre rôle et votre déploiement MDM (Mobile Device Management) dans Workspace ONE UEM powered by AirWatch.

Démarrage Assurez-vous de la mise en place des éléments nécessaires à la réussite d'un déploiement basique. La section Démarrage est organisée pour refléter uniquement les modules qui vous intéressent au sein d'un déploiement Workspace ONE UEM Console. L'expérience d'intégration est ainsi adaptée à votre propre configuration.

Freestyle Créez des workflows détaillés conçus pour atteindre un objectif spécifique. Utilisez Freestyle Orchestrator pour installer des ressources (telles que des applications, des profils et des scripts) en fonction des conditions que vous définissez.

Monitor Affichez et gérez les informations MDM qui vous aident à prendre les décisions nécessaires et ayez un aperçu rapide de votre flotte de terminaux. Affichez des informations comme les applications les plus souvent mises sur liste noire pour violation de conformité. Suivez les licences de module grâce au tableau de bord d'administration et surveillez tous les terminaux actuellement en conflit avec les politiques de conformité. Sélectionnez et appliquez les modèles du secteur pour faciliter le processus d'intégration avec les applications et les politiques pour vos terminaux iOS.

Terminaux Accédez à un aperçu détaillé des aspects les plus communs des terminaux de votre flotte, notamment le statut et les stratégies de conformité, ainsi que la répartition par type de propriété, dernière connexion, type de plateforme et type d'enrôlement. Basculez facilement d'une vue à l'autre selon votre préférence : tableau de bord complet, affichage en liste ou affichage détaillé. Accédez aux onglets supplémentaires : tous les profils actuels, statut d'enrôlement, paramètres de notification et de protection contre l'effacement des données, politiques de conformité, certificats, configuration des produits et gestion des imprimantes.

Ressources Accédez aux éléments de ressources que vous installez sur les terminaux, notamment les applications et les livres, les capteurs, les profils de terminaux, les mises à jour des terminaux, les scripts et les ordres d'installation, et gérez-les. Affichez également les analyses et les journaux des applications avec les paramètres, les horaires et les géo-barrières des applications.

Comptes Sondez et gérez les utilisateurs et administrateurs de votre déploiement MDM. Accédez aux groupes d'utilisateurs, aux rôles, au statut du lot et aux paramètres associés à vos utilisateurs et gérez-les. Vous pouvez également accéder aux groupes d'administrateurs, aux rôles, à l'activité du système et aux paramètres associés à vos administrateurs, et les gérer.

Contenu Accédez à une présentation détaillée de l'utilisation du contenu, notamment l'historique de stockage, le statut des utilisateurs/du contenu, l'intérêt pour le contenu et la répartition des utilisateurs. Gérez et importez le contenu disponible pour les utilisateurs et les terminaux. Vous pouvez également accéder au statut d'importation par lots, aux catégories de contenu, aux référentiels de contenu, au stockage de l'utilisateur, à la configuration de la page d'accueil de VMware Content Locker et à tous les autres paramètres propres au contenu.

E-mail Accédez à la présentation détaillée des informations de messagerie concernant votre déploiement. Ces informations comprennent le statut de gestion des e-mails, les terminaux gérés, les violations de politiques d'e-mail, le type de déploiement et l'heure de la dernière connexion.


VMware, Inc. 27

Télécommunications Accédez à la présentation détaillée des terminaux utilisant les télécommunications, notamment l'utilisation du forfait, l'historique d'utilisation et les données en itinérance. Affichez et gérez l'utilisation des télécommunications et le suivi de l'itinérance, notamment les paramètres des appels, des SMS et du contenu.

Groupes et paramètres

Gérez les structures, les types et les statuts liés aux groupes organisationnels, aux Smart Groups, aux groupes d'applications, aux groupes d'utilisateurs et aux groupes d'administrateurs. Accédez à Configurations, qui est une liste catégorisée et organisée de liens menant directement aux pages de paramètres dont vous avez besoin.

Configurations

Les configurations sont une liste organisée de pages de paramètres qui sont classées, consultables et organisées de façon logique, ce qui facilite leur utilisation. Les configurations vous permettent d'identifier les pages de paramètres essentiels et d'y accéder directement dans Workspace ONE UEM powered by AirWatch et Workspace ONE Express. Pour commencer, accédez à Groupes et paramètres > Configurations.

Chaque configuration peut être inspectée en sélectionnant la flèche gauche « supérieur à » pour développer la ligne et lire la description. Une fois la ligne développée, vous pouvez également lire la documentation officielle sur la configuration en sélectionnant le bouton En savoir plus.

Consultables

Vous pouvez rechercher des configurations et des catégories en saisissant des critères dans la barre de recherche située au-dessus de la liste.


VMware, Inc. 28

Classées

Toutes les configurations sont classées par attributs et cas d'utilisation pour vous permettre de localiser rapidement celles dont vous avez le plus besoin. Cliquer sur des catégories agit comme un filtre, dissimulant ainsi à la vue les configurations qui ne font pas partie de la catégorie sélectionnée. Pour changer les catégories sélectionnées et réinitialiser la vue, cliquez sur le « x » en regard du nom de la catégorie ou sélectionnez le bouton Réinitialiser au-dessus de la barre de recherche.

Catégories portables

Vous pouvez partager des catégories de configuration avec d'autres administrateurs, y compris des combinaisons de catégories. Par exemple, si vous sélectionnez Configuration de la plateforme, Apple et Enrôlement, vous pouvez partager cette combinaison de catégories en copiant l'URL dans la barre d'adresse de votre navigateur.

Réduire et développer le sous-menu

Vous pouvez réduire le sous-menu du panneau de gauche de Workspace ONE UEM powered by AirWatch pour créer davantage d'espace d'affichage pour les informations sur le terminal. Vous pouvez également développer ou rouvrir un sous-menu réduit.

Procédure

u Pour réduire temporairement le sous-menu, sélectionnez la flèche « inférieur à » illustrée ici.

Exemple


VMware, Inc. 29

Étape suivante

Pour développer ou rouvrir le sous-menu réduit, sélectionnez la flèche « supérieur à » en bas à gauche de l'écran, en regard de l'icône « À propos de ».

Global Search

À l'aide d'une conception modulaire avec une interface à onglets, Global Search effectue des recherches sur l'ensemble de votre déploiement. Global Search applique votre chaîne de recherche à un seul onglet à la fois, produisant des résultats plus rapides. Appliquez les mêmes paramètres dans une autre zone de Workspace ONE UEM powered by AirWatch en sélectionnant un autre onglet.

Après avoir effectué une recherche globale, sélectionnez les onglets suivants pour afficher les résultats.

n Terminaux – Renvoie les résultats correspondant au nom convivial des terminaux, ainsi qu'au nom des profils de terminaux.

n Comptes – Renvoie les résultats correspondant aux noms d'utilisateur et aux noms d'administrateurs.

n Applications – Renvoie les résultats correspondant aux applications internes, publiques, achetées et Web.

n Contenu – Renvoie les résultats correspondant à tout contenu apparaissant sur les terminaux.

Recherche de groupe organisationnel

Vous pouvez également rechercher un groupe organisationnel en sélectionnant le menu déroulant Groupe organisationnel. La barre de recherche s'affiche au-dessus de la liste.

Recherche de paramètres

Vous pouvez rechercher des paramètres à partir de la page Configuration. Accédez à Groupes et paramètres > Configurations et saisissez un mot-clé dans le champ de recherche.


VMware, Inc. 30

Notifications d'UEM Console

Les notifications constituent un outil de communication conçu pour vous tenir informé des événements susceptibles d'avoir un impact sur le fonctionnement de Workspace ONE UEM powered by AirWatch. Le bouton Notifications se trouve à côté du l'icône de recherche globale en forme de loupe.

Il existe de nombreux types de notifications.

n Expiration APNS – Vous êtes averti 30 jours avant l'expiration des certificats APNs pour MDM. Il s'agit d'une alerte de priorité critique. Après l'expiration du certificat APNs, l'alerte de priorité critique est réduite au niveau d'alerte de priorité haute. Cette notification vous permet d'éviter les problèmes liés à l'expiration des certificats et maintient le contact entre vos terminaux et Workspace ONE UEM.

n Expiration du certificat d'APNs d'application – Vous êtes averti 30 jours avant l'expiration d'un APNs pour les applications. Il s'agit d'une alerte de priorité critique. Cette notification vous permet d'éviter les problèmes liés à l'expiration des certificats et maintient les applications fonctionnelles sur vos terminaux.

n Protection contre la suppression des applications – Cette alerte de haute priorité s'affiche lorsque le seuil de suppression des applications est dépassé. Vous pouvez sélectionner le lien Vérifier la suppression d'application dans le groupe de notifications.

n Alerte de stockage du journal de l'application du terminal – Cette notification correspond à une alerte de haute priorité qui s'affiche lorsque votre journal de stockage atteint 75 % de sa capacité. Purgez vos journaux ou augmentez la limite en contactant votre représentant du support. Cette alerte peut être rejetée.

n Exportation de la liste d'affichage – Cette notification s'affiche lorsque l'exportation de l'affichage en liste des unités ou des utilisateurs que vous avez demandée est terminée et prête pour l'examen. Le niveau de cette notification est Information prioritaire et elle peut être rejetée.


VMware, Inc. 31

n Mise à jour du serveur pair à pair requise – Vous êtes averti lorsqu'une nouvelle version du serveur pair à pair est disponible et que vous pouvez mettre à niveau votre serveur pour éviter toute interruption de service.

n Provisionnement de l'expiration du profil – Vous êtes averti lorsqu'un profil de provisionnement contenant des applications expire et que vous devez le régénérer et le mettre à jour. Le niveau de priorité de cette notification est Critique et elle peut être rejetée.

n Fusion des groupes d'utilisateurs en attente – Cette notification vous informe que le processus de fusion des groupes d'utilisateurs est en attente d'approbation de l'administrateur. Cette notification s'affiche dans deux cas :

n Le paramètre Fusion automatique des modifications est désactivé sur votre groupe d'utilisateurs basé sur le répertoire, ce qui signifie que toutes les modifications ont besoin d'une approbation.

n Le paramètre Fusion automatique des modifications est activé et le nombre de changements est supérieur au nombre maximal de modifications autorisées. La partie des modifications située au-dessus du seuil a besoin de l'approbation de l'administrateur.

n Mises à jour automatiques d'applications VPP – Alertes haute priorité qui vous informent lorsqu'une application installée avec le programme d'achats en volume d'Apple (VPP) a une version mise à jour que vous pouvez installer.

Gérer les notifications d'UEM Console

Lorsque des notifications actives requièrent votre attention, un badge numéroté s'affiche sur l'icône de notifications et indique le nombre d'alertes actives. Affichez l'écran pop-up Notifications en sélectionnant l'icône en forme de cloche.

Vous pouvez gérer les notifications que vous recevez. Cette gestion comprend l'affichage de la liste des alertes actives, le renouvellement du service APNs, la fermeture des alertes expirées, l'affichage de la liste des alertes ignorées et la configuration des paramètres de notification.

Chaque alerte affiche le groupe organisationnel dans lequel se trouve le service APNs d'un certificat MDM. L'alerte indique également la date d'expiration du certificat et un lien vers Renouveler votre APNs.

n Afficher les alertes actives – L'affichage par défaut affiche la liste des alertes actives.

n Renouveler votre APNs – Affiche l'écran Modifier le groupe organisationnel. Cet écran apparaît lorsque le groupe organisationnel qui gère le terminal avec expiration imminente de licence est différent du groupe organisationnel dans lequel vous vous trouvez. Renouvelez cette licence APNs en sélectionnant Oui pour changer automatiquement de groupe organisationnel.

Renouvelez la licence et gardez la liaison entre le terminal et Workspace ONE UEM en suivant les instructions sur la page des paramètres APNs pour MDM.


VMware, Inc. 32

n Ignorer l'alerte – Fermez l'alerte arrivée à expiration et envoyez-la à la liste des alertes ignorées en sélectionnant le bouton X. Vous ne pouvez pas fermer les notifications de priorité critiques.

n Ignorer tout – Fermez toutes les alertes actives et envoyez-les à la liste Alertes ignorées.

n Afficher les alertes ignorées – Affichez la liste d'alertes ignorées en sélectionnant l'onglet Rejeté(e) en haut de la fenêtre popup de notifications.

Configurer les paramètres de notification

Utilisez les paramètres Notifications de la page Paramètres de notification pour activer ou désactiver les alertes d'expiration des licences APNs, choisir comment les recevoir et modifier l'adresse e-mail à laquelle elles sont envoyées.

Procédure

1 Cliquez sur le bouton Compte accessible sur presque toutes les pages de Workspace ONE UEM Console, puis sélectionnez Gérer les paramètres de compte et l'onglet Notifications.

Vous pouvez également accéder, à la page des paramètres de notification en cliquant sur l'icône des paramètres située en bas à droite de l'écran des notifications.

2 Sélectionnez la façon dont vous souhaitez recevoir une notification lorsque chacun des événements suivants se produit.

Paramètre Description

Expiration APNS Cette notification vous permet d'éviter les problèmes liés à l'expiration des certificats et maintient le contact entre vos terminaux et Workspace ONE UEM.

Exportation de la liste d'affichage Vous pouvez déclencher une alerte lorsque l'exportation d'un affichage en liste des utilisateurs ou d'un affichage en liste des terminaux est complet.

Fusion de groupes d'utilisateurs Vous pouvez déclencher une alerte lorsque les modifications de la base de données Active Directory sont synchronisées avec Workspace ONE UEM et que vous avez désactivé l'option Fusion automatique des modifications.

Mises à jour automatiques d'applications VPP

Vous pouvez déclencher une alerte lorsqu'une application installée avec le programme d'achats en volume d'Apple (VPP) a une version mise à jour que vous pouvez installer.

Expiration des certificats APNs d'application

Cette notification vous permet d'éviter les problèmes liés à l'expiration des certificats et maintient les applications fonctionnelles sur vos terminaux.


VMware, Inc. 33


Expiration des profils de provisionnement

Vous êtes averti lorsqu'un profil de provisionnement contenant des applications expire et que vous devez le régénérer et le mettre à jour.

Utilisation de l'API Vous recevez une notification lorsque le nombre d'appels d'API (interface de programmation d'applications) atteint 50 %, 75 %, 90 % et 100 % de la limite d'API quotidienne.

3 Pour chaque événement, sélectionnez Aucune, Console, E-mail ou Console et e-mail.

Pour sélectionner E-mail et Console et e-mail, vous devez entrer au moins une adresse e-mail dans le champ Envoyer un e-mail à :. Vous pouvez entrer plusieurs adresses e-mail séparées par des virgules.

4 Enregistrez ou annulez vos modifications.


VMware, Inc. 34

Installation de l'environnement 2L'espace virtuel comportant votre flotte de terminaux gérés et la gestion de Workspace ONE UEM powered by AirWatch est désigné par le terme Environnement. Il existe de nombreuses manières de configurer cet environnement selon vos besoins.

Cet environnement peut prendre en charge certains paramètres tels que l'URL, les informations d'identification de connexion de l'administrateur, les certificats pour la gestion des plateformes, la configuration des télécommunications, les paramètres de confidentialité et de sécurité, la personnalisation de la console avec vos couleurs d'entreprise, etc.


n Certificat APNs

n Conditions d'utilisation

n Personnaliser l'apparence de l'interface utilisateur

n Actions restreintes d'UEM Console

n Autres systèmes d'entreprise pour l'intégration

Certificat APNs

Pour gérer des terminaux iOS, vous devez d'abord obtenir un certificat de service de notifications Push d'Apple (APNs). Un certificat APNs permet à Workspace ONE UEM powered by AirWatch de communiquer en toute sécurité avec les terminaux Apple et de renvoyer des informations à UEM Console.

D'après l'Enterprise Developer Program d'Apple, la validité d'un certificat APNs est d'un an, après quoi il doit être renouvelé. UEM Console envoie des rappels par l'intermédiaire de notifications au fur et à mesure que la date d'expiration approche. Votre certificat actuel est révoqué lorsque vous effectuez un renouvellement depuis le portail de développement d'Apple, ce qui empêche la gestion des terminaux jusqu'à l'importation du nouveau certificat. Prévoyez d'importer votre certificat aussitôt après l'avoir renouvelé. Envisagez l'utilisation d'un certificat différent pour chaque environnement si vous utilisez des environnements de production et de test distincts.

VMware, Inc. 35

Expiration des certificats APNs

Le bouton de notification dans la barre d'en-tête de la console vous informe lorsque les certificats APNs pour MDM arrivent à expiration. Cette information préalable vous permet d'agir.

Pour plus d'informations, reportez-vous à la section Notifications d'UEM Console.

Générer un nouveau certificat APNs

Pour pouvoir gérer des terminaux iOS avec Workspace ONE UEM, vous devez d'abord générer un certificat APNs pour activer et maintenir les communications sécurisées entre vos terminaux iOS et Workspace ONE UEM Console.

Vous pouvez suivre les étapes décrites dans l'Utilisation de l'assistant de démarrage ou générer un nouveau certificat APNs manuellement en procédant comme suit.

Procédure

1 Accédez à Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Apple > APNs pour MDM.

2 Sélectionnez le bouton Générer un nouveau certificat.

Vous êtes dirigé vers la demande de signature de l'étape 1.

3 Sélectionnez le lien « MDM_APNsRequest.plist » et choisissez un emplacement où enregistrer le fichier PLIST, que vous devez importer sur Apple à l'étape suivante.

4 Un lien d'instructions vous montre comment utiliser le portail Apple Push Certificate pour importer une demande de certificat. Sur cette page, le bouton Accéder à Apple ouvre le portail Apple Push Certificate dans un nouvel onglet de votre navigateur.

5 Il vous faut deux éléments pour continuer :

a La demande de certificat Workspace ONE UEM, qui est le fichier PLIST que vous avez enregistré sur votre terminal.

b Un identifiant Apple d'entreprise qui doit être dédié à MDM pour votre entreprise. Sélectionnez le lien fourni (« Cliquez ici ») pour poursuivre la création de l'identifiant Apple. Un nouvel onglet s'ouvre dans votre navigateur.


VMware, Inc. 36

6 Cliquez sur Suivant pour passer, à la page suivante sur laquelle vous devez saisir votre identifiant Apple et importer le certificat Workspace ONE UEM MDM émis par Apple (fichier PEM).


Résultats

Votre certificat APNs a été généré.

Étape suivante

Vérifiez la connectivité de votre certificat APNs avec le protocole HTTP/2, qui est une révision majeure du protocole de transfert hypertexte existant. Pour plus d'informations, reportez-vous à Vérifier la connectivité APNs en HTTP/2.

Renouveler un certificat APNs

Vous devez parfois renouveler les certificats APNs pour assurer et maintenir une communication sûre entre vos terminaux iOS et Workspace ONE UEM.

Vous pouvez suivre les étapes décrites dans l'Utilisation de l'assistant de démarrage ou renouveler manuellement des certificats APNs expirés en procédant comme suit.

Procédure


2 Sélectionnez le bouton Renouveler et suivez les instructions qui s'affichent à l'écran.

3 Sélectionnez le lien « MDM_APNsRequest.plist » et choisissez un emplacement où enregistrer le fichier PLIST, que vous devez importer sur Apple à l'étape suivante.

4 Un lien d'instructions vous montre comment utiliser le portail Apple Push Certificate pour importer une demande de certificat. Sur cette page, le bouton Accéder à Apple ouvre le portail Apple Push Certificate dans un nouvel onglet de votre navigateur.

5 Il vous faut deux éléments pour continuer :

a La demande de certificat Workspace ONE UEM, qui est le fichier PLIST que vous avez enregistré sur votre terminal.

b L'identifiant Apple que vous avez utilisé à l'origine pour créer le certificat, qui est affiché dans l'élément 2 de la demande de signature de l'étape 1.

6 Cliquez sur Suivant pour passer, à la page suivante sur laquelle vous devez saisir votre identifiant Apple et importer le certificat Workspace ONE UEM MDM émis par Apple (fichier PEM).



VMware, Inc. 37

Résultats

Votre certificat APNs a été renouvelé.

Étape suivante

Vérifiez la connectivité de votre certificat APNs avec le protocole HTTP/2, qui est une révision majeure du protocole de transfert hypertexte existant. Pour plus d'informations, reportez-vous à Vérifier la connectivité APNs en HTTP/2.

Vérifier la connectivité APNs en HTTP/2

Vous pouvez vérifier la connectivité entre Workspace ONE UEM powered by AirWatch et le point de terminaison d'API Apple HTTP/2. Cette vérification vous permet de garantir la fonctionnalité APNs avec une connexion HTTP/2 après la génération d'un nouveau certificat ou après un renouvellement d'un certificat.


Ce test de connectivité est uniquement destiné au test de la fonctionnalité APNs en HTTP/2 qui n'est pas activée par défaut. Les échecs de connectivité de ce test n'ont pas d'incidence sur la fonctionnalité APNs sur une connexion héritée.

Procédure


2 Sélectionnez le bouton Tester la connexion.

La Workspace ONE UEM Console effectue un test interne pour déterminer si la connectivité avec le nouveau protocole HTTP/2 est fonctionnelle.

Résultats

Comme ce test ne se centre que sur le protocole HTTP/2, les échecs de test ici n'affectent pas la communication APNs actuelle. Si le test de connectivité HTTP/2 échoue, les étapes à effectuer dépendent de la cause de l'échec.

1 Certificat expiré : le certificat que vous utilisez pour le test a expiré. Demandez un renouvellement en affichant Renouveler un certificat APNs.

2 Certificat non valide : le certificat que vous utilisez pour le test n'a pas expiré, mais n'est pas valide pour une autre raison. Vous pouvez demander un renouvellement de certificat ou patienter quelques minutes et tester à nouveau la connexion.

3 Erreur inconnue : se produit généralement lors d'une perte temporaire d'accès Internet. Patientez quelques minutes et testez de nouveau la connexion.

4 Client APNs désactivé : bien que rare, cela signifie qu'Apple a renvoyé une erreur interne ou que le service APNs n'est pas disponible. Patientez quelques minutes et testez de nouveau la connexion.


VMware, Inc. 38

Conditions d'utilisation

Vous pouvez appliquer les conditions d'utilisation sur tous les terminaux gérés dans Workspace ONE UEM powered by AirWatch.

Assurez-vous que tous les utilisateurs disposant de terminaux gérés acceptent la politique en définissant et appliquant les conditions d'utilisation. Si nécessaire, les utilisateurs doivent accepter les conditions d'utilisation avant de poursuivre l'enrôlement, d'installer des applications ou d'accéder à UEM Console. UEM Console vous permet de personnaliser entièrement les conditions d'utilisation et d'en attribuer une version propre à chaque groupe et sous-groupe organisationnel.

Les conditions d'utilisation s'affichent lors de l'enrôlement de chaque terminal. Accédez aux fonctions suivantes.

n Définissez les numéros de version.

n Définissez les plateformes pour recevoir les conditions d'utilisation.

n Envoyez un e-mail aux utilisateurs pour les avertir de mises à jour des conditions d'utilisation.

n Créez des copies des conditions d'utilisation propres à chaque langue.

n Créez plusieurs conditions d'utilisation et attribuez-les aux groupes organisationnels selon la plateforme ou le type de propriété.

n Répondez aux exigences légales des groupes spécifiques en personnalisant les conditions d'utilisation.

Affichage de l'acceptation des conditions d'utilisation

Même si des stratégies de conformité peuvent être définies pour forcer l'acceptation des conditions d'utilisation, vous pouvez également consulter les utilisateurs qui ont accepté ou non les conditions. Vous pouvez ensuite, si nécessaire, les contacter individuellement.

1 Accédez à Groupes et paramètres > Tous les paramètres > Système > Conditions d'utilisation.

2 Utilisez la liste déroulante Type pour filtrer les conditions d'utilisation en fonction de leur type, comme par exemple, Enrôlement. La colonne Utilisateurs/Terminaux affiche les terminaux pour lesquels les conditions d'utilisation ont été acceptées/non acceptées/attribuées.


VMware, Inc. 39

3 Cliquez sur le nombre approprié dans la colonne Terminaux pour les conditions d'utilisation afin d'en afficher les informations. Vous pouvez également accéder au menu déroulant de cette rangée et cliquer sur l'un des éléments suivants :

Afficher les terminaux ou les utilisateurs

Affichez tous les terminaux et leurs statuts d'acceptation. Vous pouvez filtrer les résultats par groupe organisationnel.

Afficher les versions précédentes

Affichez les itérations précédentes de l'accord.

Afficher les conditions d'utilisation

Affichez les conditions d'utilisation.

Suivre l’acceptation des conditions d’utilisation grâce aux rapports

Vous pouvez suivre l'acceptation des conditions d'utilisation et prendre certaines mesures en conséquence.

Consultez les détails des groupes organisationnels spécifiques, l'acceptation des conditions d'utilisation de la console et de l'enrôlement de terminaux. Consultez les acceptations directement dans la Workspace ONE UEM Console ou exportez le rapport au format .xlsx ou .csv. Les deux peuvent être visualisés avec MS Excel.

1 Accédez à Monitor > Rapports et analyses > Rapports > Affichage en liste.

2 Recherchez et générez le rapport Détails de l'acceptation des conditions d'utilisation en cliquant sur le titre du rapport.

3 Sélectionnez les groupes organisationnels.

4 Sélectionnez le type de conditions d'utilisation.

5 Sélectionnez le format du rapport.

6 Sélectionnez Télécharger pour enregistrer le rapport.

VMware Workspace ONE UEM ne pas fournit pas d'exemples de texte juridiquement contraignant. Les équipes juridiques de votre entreprise doivent passer en revue tout exemple de texte fourni.

Créer les conditions d'utilisation pour l'enrôlement

Vous pouvez créer un accord sur les conditions d'utilisation spécifiques aux fins d'enrôlement. Vous pouvez également limiter la diffusion des conditions d'utilisation par plateforme de terminal, par type de propriété et par type d'enrôlement.

Vous pouvez définir des accords de conditions d'expression spécifiques à un groupe organisationnel. Assurez-vous que votre groupe organisationnel actuel est bien celui pour lequel vous créez les conditions d'utilisation.


VMware, Inc. 40

Procédure

1 Accédez à Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement et sélectionnez l'onglet Conditions d'utilisation.

2 Cliquez sur le bouton Ajouter une nouvelle condition d'utilisation pour l'enrôlement et définissez les options suivantes.


Nom Saisissez un nom unique pour la nouvelle condition d'utilisation.

Type Cette option est prédéfinie sur Enrôlement.

Version Cette option fait l'objet d'un suivi automatique et est renseignée en conséquence.

Plateformes ;

Propriété du terminal ; et

Type d'enrôlement

Si vous ne voulez pas créer votre condition d'utilisation pour une catégorie spécifique de terminal, conservez la sélection par défaut Indifférent pour ces options.

Si vous préférez spécifier une plateforme, une propriété et un enrôlement, vous pouvez sélectionner une ou plusieurs de ces catégories et définir les limites propres à votre condition d'utilisation.

n Si vous sélectionnez l'option Plateforme sélectionnée, choisissez les plateformes requises dans la liste. Vos conditions d'utilisation s'appliquent aux plateformes de terminal que vous sélectionnez, toutes les autres étant exclues.

n Si vous cliquez sur Types de propriété sélectionnés, choisissez le type de propriété de votre choix dans la liste. Vos conditions d'utilisation s'appliquent aux types de propriété que vous sélectionnez, tous les autres étant exclus.

n Si vous cliquez sur Types d'enrôlement sélectionnés, choisissez le type d'enrôlement de votre choix dans la liste. Vos conditions d'utilisation s'appliquent aux types d'enrôlement que vous sélectionnez, tous les autres étant exclus.

Notification Envoyez un e-mail aux utilisateurs lorsque les conditions d'utilisation sont mises à jour en cochant cette case. L'e-mail de notification est envoyé lorsque vous sélectionnez Enregistrer à l'étape 5.

Sélectionner la langue

Vous pouvez, si vous le souhaitez, créez des conditions d'utilisation pour chaque langue correspondant à vos besoins, en choisissant une langue dans le menu déroulant Sélectionner la langue.

3 Saisissez vos conditions d'utilisation traduites dans la zone de texte. L'éditeur propose un outil de saisie de texte basique permettant de créer des conditions d'utilisation ou de coller des conditions d'utilisation existantes. Si vous collez le texte d'un contenu externe, cliquez avec le bouton droit de la souris dans la fenêtre de texte et sélectionnez Copier au format texte afin d'éviter les erreurs HTML ou de formatage.


Résultats

Vous pouvez appliquer les conditions d'utilisation du MDM en créant une politique de conformité pour l'acceptation des conditions d'utilisation du MDM.


VMware, Inc. 41

Création de conditions d'utilisation pour les applications ou la console

Vous pouvez créer des conditions d'utilisation basées sur l'application pour informer les utilisateurs lorsqu'une application collecte des données ou impose des restrictions.

Lorsque les utilisateurs exécutent ces applications depuis votre catalogue d'applications d'entreprise, ils doivent accepter leurs conditions d'utilisation pour y accéder. Vous pouvez définir les conditions d'utilisation pour les versions d'applications, créer des conditions d'utilisation pour chaque langue et supprimer des applications si les conditions d'utilisation ne sont pas acceptées.

Les conditions d'utilisation de la console s'affichent lorsqu'un administrateur se connecte pour la première fois à Workspace ONE UEM Console. Pour UEM Console, vous pouvez définir les numéros de version des conditions d'utilisation et créer des copies des conditions d'utilisation propres à chaque langue. Pour les applications, attribuez les conditions d'utilisation lors de l'ajout ou de la modification d'une application grâce à l'onglet Conditions d'utilisation.

Procédure

1 Accédez à Groupes et paramètres > Tous les paramètres > Système > Conditions d'utilisation.

2 Cliquez sur Ajouter des conditions d'utilisation.

3 Saisissez un nom pour vos conditions d'utilisation et sélectionnez le type : Console ou Application.

4 Configurez les paramètres tels que le numéro de version et la période de grâce, en fonction du type sélectionné.

5 Saisissez les conditions d'utilisation dans la zone de texte fournie. L'éditeur propose un outil de saisie de texte basique permettant de créer des conditions d'utilisation ou de coller des conditions d'utilisation existantes. Si vous collez le texte d'un contenu externe, cliquez avec le bouton droit de la souris dans la fenêtre de texte et sélectionnez Copier au format texte afin d'éviter les erreurs HTML ou de formatage.


Personnaliser l'apparence de l'interface utilisateur

Workspace ONE UEM powered by AirWatch propose des options de personnalisation complètes. Elles vous permettent de personnaliser vos outils et ressources selon la palette de couleurs, le logo et l'apparence globale de votre organisation.

La personnalisation d'apparence peut être configurée pour la mutualisation, afin de doter chaque groupe organisationnel de l'entreprise d'une apparence unique. Pour plus d'informations, reportez-vous à Groupes organisationnels.


VMware, Inc. 42

Procédure

1 Sélectionnez le groupe organisationnel que vous souhaitez personnaliser, puis accédez à Groupes et paramètres > Tous les paramètres > Système > Informations de marque.

2 Configurez les paramètres de logo et d'arrière-plan sur l'onglet Branding.

3 Importez un logo d'entreprise en important un fichier enregistré sur votre ordinateur. La résolution suggérée pour l'image importée est de 800x300.

4 Importez un arrière-plan pour la page de connexion en important un fichier enregistré sur votre ordinateur. La résolution suggérée pour l'image importée est de 1 024x768.

5 Importez un arrière-plan pour la page de connexion au portail en libre-service en important un fichier enregistré sur votre ordinateur. La résolution suggérée pour l'image importée est de 1 024x768.

6 Configurez les personnalisations dans la section Couleurs de l'onglet Personnalisation d'apparence.

7 Configurez les paramètres dans l'onglet CSS personnalisé. Saisissez un code CSS personnalisé pour une personnalisation avancée.


Actions restreintes d'UEM Console

Selon un scénario donné lorsque la console de Workspace ONE UEM powered by AirWatch est laissée sans surveillance et déverrouillée, une protection supplémentaire est fournie contre les actions malveillantes qui pourraient s'avérer destructrices. Dans un scénario de ce type, vous pouvez rendre ces actions inaccessibles aux utilisateurs non autorisés.

Procédure

1 Accédez à Groupes et paramètres > Tous les paramètres > Système > Sécurité > Commandes restreintes.

2 Configurez le paramètre Envoyer un message à tous. Activez ce paramètre pour permettre à un administrateur système d'envoyer un message à tous les terminaux de votre déploiement, depuis la page Affichage en liste des terminaux. Il peut également être utilisé pour envoyer un message à un groupe spécifique.

3 Vous pouvez demander à ce que certaines actions de la console UEM nécessitent la saisie d'un code PIN par les administrateurs. Configurez les actions de protection de mot de passe en activant ou en désactivant les actions suivantes.

Note Signalées par * ci-dessous, certaines actions nécessitent toujours un code PIN et ne peuvent donc pas être désactivées.


VMware, Inc. 43


Suppression de comptes administrateur

Protège contre la suppression d'un compte administrateur dans Comptes > Administrateurs > Affichage en liste.

*Régénération du certificat VMware Enterprise Systems Connector

Protège contre la régénération du certificat VMware Enterprise Systems Connector dans Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > VMware Enterprise Systems Connector.

*Modification des certificats APNs

Protège contre la désactivation d'APNs pour MDM dans Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Apple > APNs pour MDM.

Suppression/Désactivation/Mise hors service d'applications

Protège contre la suppression, la désactivation ou la mise hors service d'une application dans Applications et livres > Applications > Affichage en liste.

Suppression/Désactivation de contenu

Protège contre la suppression ou la désactivation d'un fichier de contenu dans Contenu > Affichage en liste.

Basculement du chiffrement de données

Protège contre le paramètre Chiffrement des informations utilisateur dans Groupes et paramètres > Tous les paramètres > Système > Sécurité > Sécurité des données.

Suppression de terminaux

Protège contre la suppression d'un terminal dans Terminaux > Affichage en liste. Le code PIN de sécurité de l'administrateur est toujours requis pour les actions en masse, même lorsque ce paramètre est désactivé.

*Réinitialisation de terminaux

Protège contre toute tentative de réinitialisation d'un terminal depuis l'affichage en liste des terminaux ou la page des détails d'un terminal.

Réinitialisation des données d'entreprise

Protège contre toute tentative de réinitialisation des données d'entreprise d'un terminal depuis la page Détails du terminal pour les terminaux durcis Windows, Android ou QNX.

Effacement des données d'entreprise

Protège contre toute tentative d'effacement des données d'entreprise d'un terminal depuis la page Détails du terminal.

Effacement des données d'entreprise (basé sur le basculement de l'appartenance à un groupe d'utilisateurs)

Protège contre toute tentative de réinitialisation des données d'entreprise sur un terminal supprimé d'un groupe d'utilisateurs. Ce paramètre est un paramètre facultatif que vous pouvez configurer sous Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement sur l'onglet Restrictions. Si vous limitez l'enrôlement aux groupes configurés dans cet onglet, vous pouvez alors effacer les données d'entreprise d'un terminal lorsque celui-ci est supprimé d'un groupe.

*Suppression de groupes organisationnels

Protège contre toute tentative de suppression du groupe organisationnel actuel dans Groupes et paramètres > Groupes > Groupes organisationnels > Détails du groupe organisationnel.

Suppression/Désactivation de profils

Protège contre toute tentative de suppression ou de désactivation d'un profil depuis Terminaux > Profils et ressources > Profils.

Suppression de produits de configuration

Protège contre toute tentative de suppression d'un produit de provisionnement depuis Terminaux > Provisionnement > Affichage en liste des produits.

Annulation de certificats

Protège contre toute tentative de révocation d'un certificat dans Terminaux > Certificats > Affichage en liste.


VMware, Inc. 44


*Effacement du certificat de canal sécurisé

Protège contre toute tentative de suppression d'un certificat de canal sécurisé dans Groupes et paramètres > Tous les paramètres > Système > Avancé > Certificat de canal sécurisé.

Suppression d'un compte utilisateur

Protège contre toute tentative de suppression d'un compte utilisateur depuis Comptes > Utilisateurs > Affichage en liste.

Modifier dans les paramètres de confidentialité

Protège contre toute tentative de modification des paramètres de confidentialité dans Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Confidentialité.

Suppression d'un forfait de télécommunications

Protège contre la suppression d'un forfait de télécommunications dans Télécoms > Liste des forfaits.

Remplacer le niveau de journalisation

Protège contre les tentatives de modification du niveau actuel de journalisation des tâches à partir de Groupes et paramètres > Administrateur > Diagnostics > Journalisation. Le remplacement du niveau de journalisation des tâches est utile lorsqu'un terminal ou un groupe de terminaux rencontrent un problème. Dans ce cas, l'administrateur peut remplacer les paramètres de ces terminaux en forçant un niveau plus détaillé de journalisation qui sera utile pour la résolution des problèmes.

*Réinitialisation/Basculement de l'éditeur d'analyse d'applications

Protège contre la réinitialisation (et l'effacement ultérieur) de vos paramètres d'intégration d'analyse d'applications. Cette action est effectuée dans Groupes et paramètres > Tous les paramètres > Applications > Analyse d'applications.

Arrêter Protège contre toute tentative d'arrêt du terminal dans Terminaux > Affichage en liste > Détails du terminal.

Nombre maximum de tentatives infructueuses de saisies du code PIN

Définit le nombre maximum de tentatives infructueuses de saisie du code PIN avant le verrouillage de la console.ris Ce paramètre doit être compris entre 1 et 5 minutes.

Sélectionner les actions protégées par mot de passe

Les actions restreintes dans la console offrent un niveau supplémentaire de protection contre les actions malveillantes qui pourraient se révéler destructrices pour votre Workspace ONE UEM Console.

Procédure

1 Configurez les paramètres pour les commandes restreintes en accédant à Groupes et paramètres > Tous les paramètres > Système > Sécurité > Commandes restreintes.


VMware, Inc. 45

2 Pour chaque action que vous protégez en demandant aux administrateurs de saisir un code PIN, sélectionnez l'option Actions protégées par mot de passe pour l'activer ou la désactiver selon vos besoins.

Cette exigence permet un contrôle granulaire des actions que vous souhaitez protéger davantage.

Note certaines actions nécessitent toujours un code PIN et ne peuvent donc pas être désactivées. Signalées par un astérisque (*) ci-dessous.

3 Définissez le nombre maximum de tentatives infructueuses acceptées par le système avant la déconnexion automatique de la session. Si le nombre maximal de tentatives infructueuses est atteint, vous devez vous connecter à Workspace ONE UEM Console et définir un nouveau code PIN de sécurité.


Suppression de comptes administrateur

Protège contre la suppression d'un compte administrateur dans Comptes > Administrateurs > Affichage en liste.

Régénération du certificat VMware Enterprise Systems Connector

Protège contre la régénération du certificat VMware Enterprise Systems Connector dans Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > VMware Enterprise Systems Connector.

*Modification de certificats APNs Protège contre la désactivation d'APNs pour MDM dans Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Apple > APNs pour MDM.

Suppression/Désactivation/Mise hors service d'applications

Protège contre la suppression, la désactivation ou la mise hors service d'une application dans Applications et livres > Applications > Affichage en liste.

Suppression/Désactivation de contenu

Protège contre la suppression ou la désactivation d'un fichier de contenu dans Contenu > Affichage en liste.

*Basculement du chiffrement de données

Protège contre le paramètre Chiffrement des informations utilisateur dans Groupes et paramètres > Tous les paramètres > Système > Sécurité > Sécurité des données.

Suppression de terminaux Protège contre la suppression d'un terminal dans Terminaux > Affichage en liste. Le code PIN de sécurité de l'administrateur est toujours requis pour les actions en masse, même lorsque ce paramètre est désactivé.

*Réinitialisation de terminaux Protège contre toute tentative de réinitialisation d'un terminal depuis l'affichage en liste des terminaux ou la page des détails d'un terminal.


Protège contre toute tentative de réinitialisation des données d'entreprise d'un terminal depuis la page Détails du terminal pour les terminaux durcis Windows, Android ou QNX.

>Effacement des données professionnelles

Protège contre toute tentative d'effacement des données d'entreprise d'un terminal depuis la page Détails du terminal.


VMware, Inc. 46


Effacement des données professionnelles (basé sur le basculement de l'appartenance à un groupe d'utilisateurs)

Protège contre toute tentative de réinitialisation des données d'entreprise sur un terminal supprimé d'un groupe d'utilisateurs. Ce paramètre est un paramètre facultatif que vous pouvez configurer sous Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement sur l'onglet Restrictions. Si vous limitez l'enrôlement aux groupes configurés dans cet onglet, vous pouvez alors effacer les données d'entreprise d'un terminal lorsque celui-ci est supprimé d'un groupe.

*Suppression de groupes organisationnels

Protège contre toute tentative de suppression du groupe organisationnel actuel dans Groupes et paramètres > Groupes > Groupes organisationnels > Détails du groupe organisationnel.

Suppression/Désactivation de profils

Protège contre toute tentative de suppression ou de désactivation d'un profil depuis Terminaux > Profils et ressources > Profils.

Suppression de produits d'approvisionnement

Protège contre toute tentative de suppression d'un produit de provisionnement depuis Terminaux > Provisionnement > Affichage en liste des produits.

Révoquer le certificat Protège contre toute tentative de révocation d'un certificat dans Terminaux > Certificats > Affichage en liste.

*Effacement du certificat de canal sécurisé

Protège contre toute tentative de suppression d'un certificat de canal sécurisé dans Groupes et paramètres > Tous les paramètres > Système > Avancé > Certificat de canal sécurisé.

Suppression de comptes utilisateur Protège contre toute tentative de suppression d'un compte utilisateur depuis Comptes > Utilisateurs > Affichage en liste.

Modifier dans les paramètres de confidentialité

Protège contre toute tentative de modification des paramètres de confidentialité dans Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Confidentialité.

Supprimer le forfait de télécommunications

Protège contre la suppression d'un forfait de télécommunications dans Télécoms > Liste des forfaits.


Protège contre les tentatives de modification du niveau actuel de journalisation des tâches à partir de Groupes et paramètres > Administrateur > Diagnostics > Journalisation. Le remplacement du niveau de journalisation des tâches est utile lorsqu'un terminal ou un groupe de terminaux rencontrent un problème. Dans ce cas, l'administrateur peut remplacer les paramètres de ces terminaux en forçant un niveau plus détaillé de journalisation qui sera utile pour la résolution des problèmes.

*Basculement/Réinitialisation du fournisseur d'analyse d'applications

Protège contre la réinitialisation (et l'effacement ultérieur) de vos paramètres d'intégration d'analyse d'applications. Cette action est effectuée dans Groupes et paramètres > Tous les paramètres > Applications > Analyse d'applications.

Arrêter Protège contre toute tentative d'arrêt du terminal dans Terminaux > Affichage en liste > Détails du terminal.

Nombre maximum de saisies infructueuses du code PIN

Définit le nombre maximum de tentatives infructueuses de saisie du code PIN avant le verrouillage de la console.ris Ce paramètre doit être compris entre 1 et 5 minutes.


VMware, Inc. 47

Configurer les commentaires obligatoires pour effectuer des actions

Vous pouvez demander aux administrateurs de saisir des commentaires en cochant la case Exiger un commentaire et d'expliquer pourquoi ils exécutent certaines actions Workspace ONE UEM Console.

Procédure

1 Accédez à Groupes et paramètres > Tous les paramètres > Système > Sécurité > Commandes restreintes.

2 Si vous avez besoin que vos administrateurs saisissent un commentaire avant d'effectuer l'une de ces actions, veillez à modifier le rôle avec la ressource Ajouter une remarque (autorisation).

Pour plus d'informations, reportez-vous à la section Créer un rôle administrateur.


Verrouillage du terminal

Exigez un commentaire pour expliquer la tentative de verrouillage d'un terminal depuis l'affichage en liste des terminaux ou les détails du terminal.

Verrouillage de la SSO

Exigez un commentaire pour expliquer la tentative de verrouillage d'une session SSO depuis l'affichage en liste des terminaux ou les détails du terminal.

Réinitialisation de terminaux

Exigez un commentaire pour expliquer la tentative de réinitialisation d'un terminal depuis l'affichage en liste des terminaux ou les détails du terminal.


Exigez un commentaire pour expliquer la tentative de réinitialisation des données d'entreprise d'un terminal depuis la page Détails du terminal pour les terminaux durcis Windows ou Android.


Exigez un commentaire pour expliquer la tentative d'effacement des données professionnelles depuis les détails du terminal.


Exigez un commentaire avant toute tentative de modification du niveau de journalisation des tâches par défaut depuis Groupes et paramètres > Administrateur > Diagnostics > Journalisation.

Redémarrer le terminal

Exigez un commentaire avant une tentative de redémarrage depuis Terminaux > Affichage en liste > Détails du terminal.

Arrêter Exigez un commentaire avant une tentative d'arrêt depuis Terminaux > Affichage en liste > Détails du terminal.

Autres systèmes d'entreprise pour l'intégration

Utilisez les fonctionnalités MDM avancées en intégrant votre environnement Workspace ONE UEM powered by AirWatch à d'autres infrastructures d'entreprise existantes, comme les services d'annuaire, la gestion d'e-mails avec SMTP et la gestion de contenu avec des référentiels.

n Relais de messagerie (SMTP) – Offrez sécurité, visibilité et contrôle pour les e-mails.

n Services d'annuaire (LDAP/AD) – Utilisez les groupes d'entreprise existants pour la gestion des utilisateurs et des terminaux.


VMware, Inc. 48

n Services de certificats Microsoft – Utilisez l'infrastructure de certificats Microsoft existante pour un déploiement Workspace ONE UEM.

n Protocole d'enrôlement avec un seul certificat (PKI SCEP) – Configurez les certificats pour le Wi-Fi, le VPN, Microsoft EAS, etc.

n Gestion d'e-mails avec Exchange 2010 (PowerShell) – Connectez Workspace ONE UEM aux serveurs de messagerie d'entreprise en toute sécurité pour l'application de politiques.

n BlackBerry Enterprise Server (BES) – Intégrez la solution AirWatch à BES pour une gestion BlackBerry rationalisée.

n Services de certificats tiers – Importez des systèmes de gestion des certificats pour qu'ils soient gérés dans la console d'administration.

n Services Web Lotus Domino (HTTPS) – Accédez au contenu et aux fonctionnalités de Lotus Domino via votre déploiement AirWatch.

n Référentiels de contenu – Intégrez AirWatch à SharePoint, Google Drive, OneDrive, aux serveurs de fichiers et aux partages réseau.

n Syslog (Données des journaux d'événements) – Exportez des données de journaux d'événements pour un affichage sur tous les serveurs et systèmes intégrés.

n Réseaux d'entreprise – Configurez des réseaux Wi-Fi et VPN, et provisionnez des profils de terminaux contenant les identifiants utilisateur pour y accéder.

n Gestion des événements et des informations de sécurité (SIEM) – Enregistrez et compilez des données des terminaux et de la console pour garantir la sécurité et la conformité aux réglementations et aux politiques d'entreprise.

Pour plus d'informations sur l'intégration de Workspace ONE UEM à ces infrastructures, consultez la documentation Workspace ONE Access. Consultez également le Guide de l'administrateur VMware Tunnel, le Guide de journalisation AirWatch et le Guide d'installation AirWatch, tous disponibles sur docs.vmware.com. Vous pouvez également rechercher ces rubriques sur docs.vmware.com.


VMware, Inc. 49

Comptes utilisateur et administrateur 3Pour enrôler des terminaux dans Workspace ONE Express et Workspace ONE UEM powered by AirWatch, vous devez créer et intégrer des comptes d'utilisateur. De la même manière, des comptes administrateurs doivent être créés et attribués pour faciliter la gestion des utilisateurs et des terminaux.

La console vous permet d'établir une infrastructure utilisateur et administrateur complète. Elle offre des options de configuration pour l'authentification, l'intégration d'entreprise et la maintenance permanente.


n Types d'authentification utilisateur

n Comptes d'utilisateurs basiques

n Comptes utilisateurs basés sur l'annuaire

n Affichage en liste des comptes utilisateur

n Fonctionnalité d'importation par lots

n Comptes administrateur

Types d'authentification utilisateur

Avant l'enrôlement de terminaux, chaque utilisateur de terminal doit avoir un compte utilisateur authentique reconnu par Workspace ONE UEM powered by AirWatch. Le type d'authentification utilisateur que vous sélectionnez dépend des besoins de votre organisation.

Authentification utilisateur basique

L'authentification basique peut être utilisée pour identifier des utilisateurs par n'importe quelle architecture Workspace ONE UEM, mais cette méthode ne propose pas d'intégration aux comptes utilisateur d'entreprise existants.

Avantages

n Peut être utilisé pour n'importe quelle méthode de déploiement.

n Ne nécessite aucune intégration technique.

n Ne nécessite aucune infrastructure d'entreprise.

VMware, Inc. 50

Inconvénients

n Ne peut pas être utilisé avec la détection automatique.

n Les identifiants existent uniquement dans Workspace ONE UEM et ne correspondent pas nécessairement aux identifiants professionnels existants.

n Ne propose ni sécurité fédérée ni authentification unique.

n Workspace ONE UEM stocke tous les noms d'utilisateur et mots de passe.

n Ne peut pas être utilisé pour l'enrôlement direct de Workspace ONE.

1 L'utilisateur de la console se connecte sur Workspace ONE UEM SaaS en utilisant un compte local AirWatch pour s'authentifier (authentification basique).

n Les identifiants sont chiffrés pendant le transfert.

n (Par exemple, nom d'utilisateur : [email protected], mot de passe : Abcd.)

2 L'utilisateur enrôle son terminal en utilisant les identifiants du compte local Workspace ONE UEM (authentification basique).

n Les identifiants sont chiffrés pendant le transfert.

n (Par exemple, nom d'utilisateur : jdupont2, mot de passe : 2557.)

Authentification Active Directory avec LDAP

L'authentification Active Directory (AD) avec Lightweight Directory Access Protocol (LDAP) permet d'intégrer les comptes utilisateur et administrateur Workspace ONE UEM aux comptes d'entreprise existants.

Avantages

n Les utilisateurs finaux s'authentifient grâce à leurs identifiants professionnels existants.

n Méthode sécurisée d'intégration à LDAP/AD.

n Pratique d'intégration standard.

n Peut être utilisé pour l'enrôlement direct de Workspace ONE.


VMware, Inc. 51

Inconvénients

n Nécessite un serveur AD ou LDAP.

1 Le terminal se connecte à Workspace ONE UEM pour s'enrôler. L'utilisateur saisit son nom d'utilisateur et son mot de passe des services d'annuaire.

n Le nom d'utilisateur et le mot de passe sont chiffrés lors du transfert.

n Workspace ONE UEM ne stocke pas le mot de passe des services d'annuaire de l'utilisateur.

2 Workspace ONE UEM adresse les requêtes aux services d'annuaire du client via le protocole sécurisé LDAP à l'aide d'un compte de service pour l'authentification.

3 Les identifiants de l'utilisateur sont validés auprès des services d'annuaire de l'entreprise.

4 S'ils sont valides, le serveur Workspace ONE UEM autorise le terminal à terminer son enrôlement.

Authentification Active Directory avec LDAP et VMware Enterprise Systems Connector

L'authentification Active Directory avec LDAP et VMware Enterprise Systems Connector offre les mêmes fonctionnalités qu'une authentification Active Directory et LDAP traditionnelle. Ce modèle fonctionne via le Cloud pour les déploiements SaaS.

Avantages


n Aucune modification du pare-feu n'est requise, puisque la communication s'effectue depuis VMware Enterprise Systems Connector au sein de votre réseau.

n La transmission des identifiants est chiffrée et sécurisée.

n Propose aussi une configuration sécurisée pour d'autres infrastructures comme le BES, Microsoft ADCS ou SCEP et les serveurs SMTP.

n Peut être utilisé pour l'enrôlement direct de Workspace ONE™.


VMware, Inc. 52

Inconvénients

n VMware Enterprise Systems Connector doit être installé derrière le pare-feu ou dans une zone DMZ.

n Nécessite une configuration supplémentaire.

Modèle de déploiement SaaS

Modèle de déploiement sur site

Proxy d'authentification

Le proxy d'authentification fournit une intégration des services d'annuaire via le Cloud ou les réseaux internes renforcés. Dans ce modèle, le serveur Workspace ONE UEM communique avec un serveur Web public ou un serveur Exchange ActiveSync. Cette organisation permet d'authentifier les utilisateurs en fonction du contrôleur de domaine.

Avantages

n Offre une méthode sécurisée pour l'intégration du proxy avec AD/LDAP via le Cloud.


n Module léger qui n'exige qu'une configuration minimale.

Inconvénients

n Requiert un serveur Web public ou un serveur Exchange ActiveSync lié à un serveur AD/LDAP.

n Uniquement réalisable pour certaines configurations d'architecture.

n Solution beaucoup moins robuste que VMware Enterprise Systems Connector.



VMware, Inc. 53

1 Le terminal se connecte à Workspace ONE UEM pour s'enrôler. L'utilisateur saisit son nom d'utilisateur et son mot de passe des services d'annuaire.

n Le nom d'utilisateur et le mot de passe sont chiffrés lors du transfert.

n Workspace ONE UEM ne stocke pas le mot de passe des services d'annuaire de l'utilisateur.

2 Workspace ONE UEM relaie le nom d'utilisateur et le mot de passe vers un point de terminaison Proxy d'authentification configuré qui nécessite une authentification (par exemple, authentification basique).

3 Les identifiants de l'utilisateur sont validés auprès des services d'annuaire de l'entreprise.

4 S'ils sont valides, le serveur Workspace ONE UEM autorise le terminal à terminer son enrôlement.

Authentification SAML 2.0

L'authentification Security Assertion Markup Language (SAML) 2.0 propose la prise en charge de l'authentification unique, ainsi que l'authentification fédérée. Workspace ONE UEM ne reçoit jamais d'identifiants professionnels.

Lorsqu'une organisation dispose d'un serveur fournisseur d'identité SAML, utilisez l'intégration SAML 2.0. Assurez-vous que le fournisseur d'identité renvoie l'attribut objectGUID dans la réponse SAML.

Avantages

n Propose des fonctionnalités d'authentification unique.

n Authentification avec les identifiants d'entreprise existants.

n Workspace ONE UEM ne reçoit jamais les identifiants d'entreprise en texte brut.

n Peut être utilisée pour l'enrôlement direct de Workspace ONE lorsqu'elle est associée à un utilisateur d'annuaire SAML.

n Les environnements à domaines multiples sont pris en charge uniquement pour les administrateurs.

Inconvénients

n Nécessite une infrastructure professionnelle de fournisseurs d'identités SAML.


VMware, Inc. 54

n Ne peut pas être utilisée pour l'enrôlement direct de Workspace ONE lorsqu'elle est associée à un utilisateur basique SAML.

n Les applications SaaS ne sont pas disponibles pour les administrateurs SAML qui s'authentifient à l'aide de Workspace ONE Access. Voir ci-dessous pour plus de détails.

1 Le terminal se connecte à Workspace ONE UEM pour l'enrôlement. Le serveur UEM redirige alors le terminal vers le fournisseur d'identité spécifié par le client.

2 La terminal se connecte en toute sécurité via HTTPS au fournisseur d'identités fourni et l'utilisateur saisit ses identifiants.

n Les identifiants sont chiffrés lors du transfert entre le terminal et le point de terminaison SAML.

3 Les identifiants sont validés auprès des services d'annuaire.

4 Le fournisseur d'identité renvoie une réponse SAML signée avec le nom d'utilisateur authentifié.

5 Le terminal répond au serveur Workspace ONE UEM et présente le message SAML signé. L'utilisateur est authentifié.

Pour plus d'informations, reportez-vous au document VMware AirWatch SAML Integration Guide.

Fonctionnalité de l'application SaaS pour les administrateurs SAML

Les applications SaaS, ainsi que d'autres stratégies et fonctions Workspace ONE Access, ne sont pas disponibles si vous êtes un administrateur SAML qui s'authentifie à l'aide de Workspace ONE Access. Le message d'erreur suivant s'affiche lorsque vous accédez à la page Applications SaaS.

Vérifiez que votre compte administrateur existe à la fois dans les systèmes UEM et IDM, et que le domaine dans Workspace ONE UEM correspond exactement au domaine de ce compte dans VMware Identity Manager.

Pour restaurer l'accessibilité de l'application SaaS, vous devez vous connecter à Workspace ONE UEM à l'aide d'une authentification de base. Vous devez également activer Workspace ONE Access dans votre groupe organisationnel.


VMware, Inc. 55

https://resources.air-watch.com/view/j87fqmyx6bjzwbvjvvtq/en

https://resources.air-watch.com/view/j87fqmyx6bjzwbvjvvtq/en

Authentification basée sur les jetons

L'authentification basée sur les jetons est la méthode la plus simple pour qu'un utilisateur enrôle son terminal. Grâce à ce paramètre d'enrôlement, Workspace ONE UEM génère un jeton qui est placé dans l'URL d'enrôlement.

Pour l'authentification unique, l'utilisateur accède au lien depuis le terminal pour procéder à l'enrôlement, et le serveur Workspace ONE UEM mentionne le jeton fourni par l'utilisateur.

Pour plus de sécurité, définissez une période d'expiration (en heures) pour chaque jeton. Vous réduisez ainsi le risque qu'un autre utilisateur n'accède aux informations et fonctions disponibles sur ce terminal.

Vous pouvez aussi décider de mettre en place une authentification forte pour renforcer la vérification de l'identité de l'utilisateur final. Avec ce paramètre d'authentification, l'utilisateur doit saisir son nom d'utilisateur et son mot de passe en accédant au lien d'enrôlement grâce au jeton fourni.

Avantages

n Les utilisateurs enrôlent et authentifient leur terminal rapidement et facilement.

n Sécurisez l'utilisation des jetons en définissant une expiration.

n L'utilisateur n'a pas besoin d'identifiants pour l'authentification par jeton.

Inconvénients

n Requiert une intégration Simple Mail Transfer Protocol (SMTP) ou Short Message Service (SMS) pour l'envoi de jetons au terminal.

1 L'administrateur autorise l'inscription du terminal de l'utilisateur.

2 Le jeton à usage unique généré est envoyé à l'utilisateur depuis Workspace ONE UEM.

3 L'utilisateur reçoit un jeton et navigue vers l'URL d'enrôlement. L'utilisateur doit saisir le jeton ou peut éventuellement utiliser l'authentification à deux facteurs.


VMware, Inc. 56

4 Processus d'enrôlement des terminaux

5 Workspace ONE UEM signale le jeton comme étant expiré.

Note le protocole SMTP est inclus dans les déploiements SaaS.

Activer les types de sécurité pour l'enrôlement

Une fois que Workspace ONE UEM est intégré à un type de sécurité utilisateur sélectionné, et avant l'enrôlement, activez chaque mode d'authentification que vous prévoyez d'autoriser.

Procédure

1 Accédez à Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement sur l'onglet Authentification.

2 Cochez les cases appropriées pour le paramètre de Mode d'authentication.


Ajouter un domaine de messagerie

Ce bouton est utilisé pour configurer le service de détection automatique afin d'inscrire des domaines de messagerie à votre environnement.

Mode(s) d'authentification

Sélectionnez les types d'authentification autorisés, parmi lesquels :

n Basique – Les comptes utilisateur basiques (ceux que vous créez manuellement dans UEM Console) peuvent s'enrôler.

n Annuaire – Les comptes utilisateur d'annuaire (ceux que vous avez importés ou autorisés à l'aide de l'intégration des services d'annuaire) peuvent s'enrôler. L'enrôlement direct de Workspace ONE prend en charge les utilisateurs d'annuaire avec ou sans SAML.

n Proxy d'authentification – Permet aux utilisateurs de s'enrôler à l'aide de comptes utilisateur Proxy d'authentification. Les utilisateurs s'authentifient auprès d'un point d'accès web.

n Renseignez les champs URL de proxy d'authentification, Sauvegarde de l'URL de proxy d'authentification et Type de méthode d'authentification (faites votre choix entre HTTP de base et Exchange ActiveSync).

Source d'authentification pour Intelligent Hub

Sélectionnez le système que le service Intelligent Hub utilise comme source pour les utilisateurs et les stratégies d'authentification.

n Workspace ONE UEM – Sélectionnez ce paramètre si vous voulez que les services du Hub utilisent Workspace ONE UEM en tant que source pour les utilisateurs et les stratégies d'authentification.

Lorsque vous configurez la page Configuration du Hub pour les services du Hub, entrez l'URL du locataire des services du Hub.

n Workspace ONE Access – Sélectionnez ce paramètre si vous souhaitez que les services du Hub utilisent Workspace ONE Access en tant que source pour les utilisateurs et les stratégies d'authentification.

Lorsque vous configurez la page Configuration du Hub pour les services du Hub, entrez l'URL du locataire de Workspace ONE Access.

Pour plus d'informations sur Workspace ONE Intelligent Hub ou Workspace ONE Access, reportez-vous à la documentation sur VMware Workspace ONE Hub Services.


VMware, Inc. 57


Mode d'enrôlement des terminaux

Sélectionnez le mode d'enrôlement des terminaux de votre préférence, notamment les options suivantes :

n Enrôlement ouvert – Permet essentiellement à toute personne répondant aux autres critères d'enrôlement (mode d'authentification, restrictions, etc.) de s'enrôler. L'enrôlement direct de Workspace ONE prend en charge l'enrôlement ouvert.

n Terminaux enregistrés uniquement – Autorise uniquement les utilisateurs à s'enrôler à l'aide de terminaux que vous ou eux avez inscrits. L'inscription des terminaux correspond au processus d'ajout de terminaux professionnels dans UEM Console avant leur enrôlement. L'enrôlement direct de Workspace ONE prend en charge l'autorisation d'enrôlement de terminaux enregistrés seulement, mais uniquement si les jetons d'enregistrement ne sont pas requis.

Exiger un jeton d'enregistrement

Visible uniquement lorsque l'option Terminaux enregistrés uniquement est sélectionnée.

Si vous limitez l'enrôlement aux terminaux enregistrés, vous pouvez aussi demander qu'un jeton d'enregistrement soit utilisé pour l'enrôlement. Cette option offre davantage de sécurité car elle vous assure qu'un utilisateur en particulier est autorisé à s'enrôler. Vous pouvez envoyer un e-mail ou un SMS et joindre le jeton d'enrôlement pour les utilisateurs disposant d'un compte Workspace ONE UEM.

Exiger l'enrôlement par Intelligent Hub pour les terminaux iOS

Cochez cette case pour exiger que les utilisateurs des terminaux iOS téléchargent et installent Workspace ONE Intelligent Hub avant de pouvoir s'enrôler. Si elle est décochée, l'enrôlement par le Web est disponible.

Exiger l'enrôlement par Intelligent Hub pour les terminaux macOS

Cochez cette case pour exiger que les utilisateurs des terminaux macOS téléchargent et installent Workspace ONE Intelligent Hub avant de pouvoir s'enrôler. Si elle est décochée, l'enrôlement par le Web est disponible.


Comptes d'utilisateurs basiques

Créez des comptes utilisateur basiques pour vos utilisateurs si vous n'intégrez pas de service d'annuaire avec Workspace ONE UEM powered by AirWatch. Les comptes utilisateur basiques sont également utiles pour les tests, car ils peuvent être créés et supprimés rapidement.

Avantages

n Peut être utilisé pour n'importe quelle méthode de déploiement.

n Ne nécessite aucune intégration technique.

n Ne nécessite aucune infrastructure d'entreprise.

n Peuvent être enrôlés dans potentiellement plusieurs groupes d'organisation.

Inconvénients

n Les identifiants existent uniquement dans Workspace ONE UEM et ne correspondent pas nécessairement aux identifiants professionnels existants.


VMware, Inc. 58

n Ne propose pas de sécurité fédérée.

n L'authentification unique n'est pas prise en charge.

n Workspace ONE UEM stocke tous les noms d'utilisateur et mots de passe.


Création de comptes utilisateur basiques

Vous pouvez créer des comptes utilisateur basiques pour que les utilisateurs s'authentifient et se connectent au système Workspace ONE UEM. Vous pouvez ensuite envoyer aux utilisateurs à authentification basique une notification avec des instructions sur l'activation de leur compte, y compris un lien de réinitialisation du mot de passe qui expire après 24 heures.

Cette section présente en détail la création d'un compte utilisateur après l'autre. Pour créer des comptes d'utilisateurs en masse, reportez-vous à Importer par lots les utilisateurs ou les terminaux.

Procédure

1 Accédez à Comptes > Utilisateurs > Affichage en liste et sélectionnez Ajouter, puis Ajouter un utilisateur. La page Ajouter/Modifier l'utilisateur s'affiche.

2 Dans l'onglet Général, complétez les paramètres suivants pour ajouter un utilisateur basique.


Type de sécurité Sélectionnez Basique pour ajouter un utilisateur basique.

Nom d'utilisateur Saisissez le nom d'utilisateur avec lequel le nouvel utilisateur sera identifié.

Mot de passe Saisissez le mot de passe qui permettra à l'utilisateur de se connecter.

Confirmer le mot de passe

Confirmez le mot de passe.

Nom complet Indiquez le prénom, le deuxième prénom et le nom de famille de l'utilisateur.

Nom d'affichage Représentez l'utilisateur dans UEM Console en entrant un nom.

Adresse e-mail Saisissez ou modifiez l'adresse e-mail de l'utilisateur.

Nom d'utilisateur de messagerie

Saisissez ou modifiez le nom d'utilisateur de messagerie.

Domaine Sélectionnez le domaine de messagerie dans le paramètre déroulant.

Numéro de téléphone

Saisissez le numéro de téléphone de l'utilisateur, en incluant le signe plus, l'indicatif pays et l'indicatif régional. Cette option est requise si vous prévoyez d'utiliser les SMS pour envoyer des notifications.

Enrôlement

Groupe organisationnel d'enrôlement

Sélectionnez le groupe organisationnel dans lequel l'utilisateur s'enrôle.


VMware, Inc. 59


Autoriser l'utilisateur à s'enrôler dans d'autres groupes organisationnels

Vous pouvez autoriser ou non l'utilisateur à s'enrôler dans plusieurs groupes organisationnels.

Si vous activez cette option, mais que vous laissez le champ Groupes organisationnels supplémentaires vide, n'importe quel groupe organisationnel enfant créé sous le groupe organisationnel d'enrôlement peut être utilisé comme point de l'enrôlement.

Groupes organisationnels supplémentaires

Ce paramètre apparaît uniquement lorsque l'option permettant d'autoriser l'utilisateur à s'enrôler dans d'autres groupes organisationnels est activé.

Ce paramètre vous permet d'ajouter des groupes organisationnels supplémentaires à partir desquels votre utilisateur de base peut s'enrôler.

Rôle utilisateur Sélectionnez le rôle de l'utilisateur que vous ajoutez, dans le paramètre déroulant.

Notification

Type de message Sélectionnez le type de message que vous souhaitez envoyer à l'utilisateur : E-mail, SMS, ou Aucun. Si vous sélectionnez SMS, vous devez saisir un numéro de téléphone valide dans l'option Numéro de téléphone.

Modèle de message L'utilisateur à authentification basique active son compte avec cette notification. Pour des raisons de sécurité, cette notification n'inclut pas le mot de passe de l'utilisateur. En revanche, un lien de réinitialisation du mot de passe est inclus dans la notification. L'utilisateur à authentification basique sélectionne ce lien pour définir un autre mot de passe. Ce lien de réinitialisation du mot de passe expire automatiquement après 24 heures.

Sélectionnez le modèle pour les e-mails ou les SMS dans ce paramètre déroulant. Si vous le souhaitez, vous pouvez sélectionner Aperçu du message pour prévisualiser le modèle et sélectionnez l'option Configurer les modèles de message pour en créer un.

3 Si vous le souhaitez, vous pouvez sélectionner l'onglet Avancé et compléter les paramètres suivants.


Section d'informations avancées

Mot de passe de messagerie

Saisissez le mot de passe de messagerie de l'utilisateur que vous ajoutez.

Confirmer le mot de passe de messagerie

Confirmez le mot de passe de messagerie de l'utilisateur que vous ajoutez.

Nom principal de l'utilisateur

Saisissez le nom principal de l'utilisateur basique. Ce paramètre est facultatif.

Catégorie Sélectionnez la catégorie de l'utilisateur pour l'utilisateur ajouté.

Service Saisissez le service de l'utilisateur pour les besoins administratifs.

ID de l'employé Saisissez l'identifiant de l'utilisateur pour les besoins administratifs.

Centre de coûts Saisissez le centre de coûts de l'utilisateur pour les besoins administratifs.

Section de certificats

Utiliser S/MIME Activez ou désactivez l'utilisation du protocole Secure/Multipurpose Internet Mail Extensions (S/MIME).

Si vous activez cette option, vous devez disposer d'un profil compatible avec S/MIME et vous devez importer un certificat S/MIME en cliquant sur le bouton Importer.


VMware, Inc. 60


Certificat de chiffrement indépendant

Activez ou désactivez le certificat de chiffrement.

Si vous activez cette option, vous devez importer un certificat de chiffrement en cliquant sur le bouton Importer. En général, le même certificat S/MIME est utilisé pour la signature et le chiffrement, sauf si un certificat différent est expressément utilisé.

Ancien certificat de chiffrement

Activez ou désactivez le certificat de chiffrement d'une version existante.

Si vous activez cette option, vous devez importer un certificat de chiffrement.

Section de préenrôlement

Préenrôlement de terminaux

Activez ou désactivez le préenrôlement des terminaux.

Si vous activez cette option, vous devez sélectionner Terminaux à utilisateur unique ou Terminaux partagés. Pour des terminaux à utilisateur unique, vous devez choisir Standard, afin que les utilisateurs se connectent eux-mêmes après le préenrôlement, ou Avancé, afin qu'un terminal soit enrôlé à la place d'un autre utilisateur.

4 Cliquez sur Enregistrer pour enregistrer uniquement le nouvel utilisateur ou sur Enregistrer et ajouter un terminal pour enregistrer le nouvel utilisateur et passer à la page Ajouter un terminal.

Comptes utilisateurs basés sur l'annuaire

L'intégration à un service d'annuaire existant vous permet de rechercher les utilisateurs automatiquement. Elle évite d'avoir à ajouter les utilisateurs manuellement dans Workspace ONE UEM powered by AirWatch.

Tous les utilisateurs d'annuaire que vous souhaitez gérer grâce à Workspace ONE UEM doivent avoir un compte utilisateur dans UEM Console.

Vous pouvez ajouter directement vos utilisateurs des services d'annuaire dans Workspace ONE UEM en suivant l'une des deux méthodes suivantes.

n Importez par lots les dossiers contenant tous les utilisateurs des services d'annuaire. L'importation par lots entraîne la création automatique d'un compte utilisateur.

n Créez des comptes utilisateur en entrant le nom d'utilisateur d'annuaire et en cochant Rechercher l'utilisateur pour remplir automatiquement les détails restants.

n Ne procédez pas à une importation par lots et ne créez pas de comptes utilisateur manuellement. À la place, autorisez tous les utilisateurs d'annuaire à s'enrôler eux-mêmes.

Avantages


n Détecte et synchronise les modifications à partir du système d'annuaire dans Workspace ONE UEM automatiquement. Par exemple, lorsque vous désactivez des utilisateurs dans AD, le compte utilisateur correspondant dans Workspace ONE UEM Console est marqué comme étant inactif.

n Méthode sécurisée d'intégration de votre service d'annuaire existant.


VMware, Inc. 61

n Pratique d'intégration standard.

n Peut être utilisé pour l'enrôlement direct de Workspace ONE.

n Pour les déploiements SaaS utilisant AirWatch Cloud Connector, aucune modification de pare-feu n'est autorisée et la configuration sécurisée d'autres infrastructures telles que les serveurs Microsoft ADCS, SCEP, et SMTP est assurée.

Pour plus d'informations sur la synchronisation de l'état des comptes, consultez Synchronisation du statut de l'utilisateur de l'annuaire.

Inconvénients

n Une infrastructure de services d'annuaire existants est obligatoire.

n Les déploiements SaaS nécessitent une configuration supplémentaire en raison de l'installation d'AirWatch Cloud Connector derrière le pare-feu ou dans une DMZ.

Synchronisation du statut de l'utilisateur de l'annuaire

Lorsque vous rendez des utilisateurs inactifs dans votre service d'annuaire, cela affecte le compte Workspace ONE UEM et Workspace ONE Express de la même manière, mais uniquement en considérant ces conditions préalables.

n La synchronisation des utilisateurs supprimés fonctionne uniquement avec Active Directory.

n Le nom d'utilisateur que vous avez entré dans l'option Nom d'utilisateur pour l'authentification au serveur d'annuaire doit disposer des privilèges d'administrateur Active Directory.

n Pour vérifier ce nom, accédez à Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > Services d'annuaire , puis, sous l'onglet Serveur, recherchez la zone de texte Nom d'utilisateur pour l'authentification au serveur d'annuaire.

n Les utilisateurs de Workspace ONE Express peuvent trouver la zone de texte Nom d'utilisateur pour l'authentification au serveur d'annuaire sous le même onglet Serveur en accédant au menu Groupes et paramètres, puis en sélectionnant Services d'annuaire dans la colonne Nom.

n Vous pouvez autoriser les non-administrateurs Active Directory à accéder au conteneur d'objets supprimés, à condition de suivre les étapes décrites dans l'article suivant du support Microsoft. https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object.

n En outre, la corbeille doit être activée via le Centre d'administration Active Directory, mais uniquement si vous supprimez des utilisateurs dans Active Directory.

a Ouvrez le centre d'administration Active Directory.

b Sélectionnez le domaine, puis effectuez un clic droit sur le domaine.


VMware, Inc. 62

https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object

https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object

c Sélectionnez Activer la corbeille. Une fois la corbeille activée, elle ne peut pas être désactivée.

Créer un compte utilisateur basés sur l'annuaire

Vous devez créer un compte pour chaque utilisateur dans le système Workspace ONE UEM et les utilisateurs d'annuaire s'authentifient à l'aide des identifiants professionnels existants.

Cette section présente en détail la création d'un compte utilisateur après l'autre. Pour créer des comptes d'utilisateurs en masse, reportez-vous à Importer par lots les utilisateurs ou les terminaux.

Procédure

1 Accédez à Comptes > Utilisateurs > Affichage en liste et sélectionnez Ajouter, puis Ajouter un utilisateur. La page Ajouter/Modifier l'utilisateur s'affiche.

2 Dans l'onglet Général, complétez les paramètres suivants pour ajouter un utilisateur d'annuaire.


Type de sécurité Ajoutez un utilisateur Active Directory en choisissant Annuaire comme le type de sécurité.

Nom d'annuaire Ce paramètre complété automatiquement identifie le nom Active Directory.

Domaine Choisissez le nom de domaine dans le menu déroulant.

Nom d'utilisateur Saisissez le nom d'utilisateur de l'annuaire, puis cliquez sur Vérifier l'utilisateur. Si le système trouve une correspondance, les informations de l'utilisateur seront remplies automatiquement. Les paramètres restants, décrits ci-dessous, sont disponibles seulement après avoir localisé un utilisateur d'Active Directory grâce au bouton Vérifier l'utilisateur.

Nom complet Utilisez Modifier les attributs pour permettre la modification de toute option qui synchronise une valeur vide du répertoire. L'option Modifier les attributs vous permet également de compléter automatiquement les informations utilisateur correspondantes.

Si un paramètre synchronise une valeur du répertoire, ce paramètre doit être modifié dans le répertoire proprement dit. La modification prend effet lors de la synchronisation de répertoire suivante. Complétez tous les champs vides renvoyés par l'annuaire dans la partie Nom complet, puis cliquez sur le bouton Modifier les attributs pour enregistrer l'ajout.

Nom d'affichage Saisissez le nom qui s'affiche dans la console d'administration.

Adresse e-mail Saisissez ou modifiez l'adresse e-mail de l'utilisateur.

Nom d'utilisateur de messagerie

Saisissez ou modifiez le nom d'utilisateur de messagerie.

Domaine (e-mail) Sélectionnez le domaine de messagerie dans le menu déroulant.

Numéro de téléphone

Saisissez le numéro de téléphone de l'utilisateur, en incluant le signe plus, l'indicatif pays et l'indicatif régional. Si vous prévoyez d'utiliser les SMS pour envoyer des notifications, le numéro de téléphone est requis.

Enrôlement

Groupe organisationnel d'enrôlement

Sélectionnez le groupe organisationnel dans lequel l'utilisateur s'enrôle.


VMware, Inc. 63


Autoriser l'utilisateur à s'enrôler dans d'autres groupes organisationnels

Indiquez si vous autorisez ou non l'utilisateur à s'enrôler dans plusieurs groupes organisationnels. Si vous sélectionnez Activé, complétez les Groupes organisationnels supplémentaires.

Rôle utilisateur Sélectionnez le rôle de l'utilisateur que vous ajoutez, dans le menu déroulant.

Notification

Type de message Choisissez le type de message que vous enverrez à l'utilisateur : E-mail, SMS, ou Aucun. Si vous sélectionnez SMS, vous devez saisir un numéro de téléphone valide dans la zone de texte Numéro de téléphone.

Modèle de message Choisissez le modèle pour les e-mails ou les SMS en le sélectionnant dans ce paramètre déroulant. Si vous le souhaitez, vous pouvez sélectionner Aperçu du message pour prévisualiser le modèle et sélectionnez le lien Configurer les modèles de message pour en créer un.

3 Si vous le souhaitez, vous pouvez sélectionner l'onglet Avancé et compléter les paramètres suivants.


Section d'informations avancées

Mot de passe de messagerie

Saisissez le mot de passe de messagerie de l'utilisateur que vous ajoutez.

Confirmer le mot de passe de messagerie

Confirmez le mot de passe de messagerie de l'utilisateur que vous ajoutez.

Nom unique Pour les utilisateurs d'annuaire reconnus par Workspace ONE UEM, ce champ est automatiquement complété avec le nom unique de l'utilisateur. Le nom unique est une chaîne représentant le nom de l'utilisateur et tous les codes d'autorisation associés à l'utilisateur Active Directory.

Nom unique du responsable

Saisissez le nom unique du responsable de l'utilisateur. La case est facultative.

Catégorie Choisissez la catégorie d'utilisateur pour l'utilisateur ajouté.

Service Saisissez le service de l'utilisateur pour les besoins administratifs de votre entreprise.

ID de l'employé Saisissez l'ID d'employé de l'utilisateur pour les besoins administratifs de votre entreprise.

Centre de coûts Saisissez le centre de coûts de l'utilisateur pour les besoins administratifs de votre entreprise.

Attribut personnalisé 1–5 (pour les utilisateurs d'annuaire uniquement)

Saisissez vos attributs personnalisés préalablement configurés, le cas échéant. Vous pouvez définir ces attributs personnalisés en accédant à Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Avancé > Attributs personnalisés.

Note les attributs personnalisés ne peuvent être configurés que dans les groupes organisationnels de type Client.

Section de certificats

Utiliser S/MIME Activez ou désactivez l'utilisation du protocole Secure/Multipurpose Internet Mail Extensions (S/MIME). Si vous activez cette option, vous devez disposer d'un profil compatible avec S/MIME et vous devez importer un certificat S/MIME en cliquant sur le bouton Importer.


VMware, Inc. 64


Certificat de chiffrement indépendant

Activez ou désactivez l'utilisation d'un certificat de chiffrement indépendant. Si vous activez cette option, vous devez importer un certificat de chiffrement en cliquant sur le bouton Importer. En général, le même certificat S/MIME est utilisé pour la signature et le chiffrement, sauf si un certificat différent est expressément utilisé.

Ancien certificat de chiffrement

Activez ou désactivez le certificat de chiffrement d'une version existante. Si vous activez cette option, vous devez importer un certificat de chiffrement.

Section de préenrôlement

Préenrôlement de terminaux

Activez ou désactivez le préenrôlement des terminaux.

Si vous activez cette option, vous devez choisir Terminaux à utilisateur unique ou Terminaux partagés.

Pour des terminaux à utilisateur unique, vous devez choisir Standard, afin que les utilisateurs se connectent eux-mêmes après le préenrôlement, ou Avancé, afin qu'un terminal soit enrôlé à la place d'un autre utilisateur.

4 Cliquez sur Enregistrer pour enregistrer uniquement le nouvel utilisateur ou sur Enregistrer et ajouter un terminal pour enregistrer le nouvel utilisateur et passer à la page Ajouter un terminal.

Étape suivante

Pour plus d'informations sur l'ajout d'utilisateurs du répertoire à Workspace ONE UEM, reportez-vous aux sections Ajouter un utilisateur d'annuaire individuel à la fois et Importer des utilisateurs d'annuaire par lots. dans la Documentation sur les services d'annuaire de VMware Workspace ONE UEM sur docs.vmware.com.

Affichage en liste des comptes utilisateur

La page Affichage en liste, à laquelle vous pouvez accéder en naviguant vers Comptes > Utilisateurs > Affichage en liste, fournit des outils utiles pour la maintenance et la gestion des comptes utilisateur dans Workspace ONE UEM powered by AirWatch.


VMware, Inc. 65

Personnaliser l'affichage en liste

Vous pouvez utiliser l'affichage en liste des comptes d'utilisateurs pour créer immédiatement des listes personnalisées d'utilisateurs. Vous pouvez également personnaliser la présentation de l'écran selon les critères que vous jugez importants. Vous pouvez exporter cette liste personnalisée pour l'analyser ultérieurement et ajouter de nouveaux utilisateurs individuellement ou en masse.


VMware, Inc. 66

Action Description

Filtres Affichez seulement les utilisateurs souhaités en utilisant les filtres suivants.

n Type de sécurité

n Groupe organisationnel d'enrôlement

n Statut de l'enrôlement

n Groupe d'utilisateurs

n Rôle de l'utilisateur

n État

Ajouter n Ajouter un utilisateur – Ajoutez un seul compte utilisateur basique. Ajoutez un employé ou un employé nouvellement promu ayant besoin d'accéder aux fonctionnalités MDM.

n Importer par lots : ajoutez plusieurs utilisateurs dans Workspace ONE en important un fichier CSV (comma-separated values). Saisissez un nom et une description uniques pour regrouper et organiser plusieurs utilisateurs à la fois. Pour plus d'informations, reportez-vous à la section Importer par lots les utilisateurs ou les terminaux.

Mise en page Elle permet de personnaliser la mise en page de la colonne.

n Résumé – Affichez les paramètres et les colonnes par défaut dans l'affichage en liste.

n Personnalisé – Sélectionnez uniquement les colonnes de l'affichage en liste que vous voulez voir. Vous pouvez aussi appliquer les colonnes sélectionnées à tous les administrateurs au niveau du groupe organisationnel actuel ou en dessous de celui-ci.

Tri La plupart des colonnes de l'affichage en liste (dans la mise en page Résumé ou Personnalisé) peuvent être triées par Terminaux, Groupes d'utilisateurs et Groupe organisationnel.

Exporter Enregistrez un fichier .xlsx ou .csv (valeurs séparées par des virgules) de l'intégralité de l'Affichage en liste. Ces deux formats de fichier peuvent être affichés et analysés avec MS Excel.

Interagir avec les comptes utilisateur

L'affichage en liste propose une case à cocher à gauche de chaque compte utilisateur. Affichez les détails de l'utilisateur en sélectionnant le nom d'utilisateur hypertexte dans la colonne Informations générales.

L'icône Modifier ) vous permet de faire des modifications de base au compte utilisateur. Si vous cochez la case en regard d'un compte, trois boutons de commande s'affichent : Envoyer un message, Ajouter un terminal et Plus d'actions.

Vous pouvez sélectionner plusieurs comptes d'utilisateurs en cochant la case, ce qui modifie les actions disponibles.

Action Description

Envoyer un message. Fournissez une assistance immédiate à un utilisateur ou à un groupe d'utilisateurs. Envoyez un e-mail d'activation utilisateur (modèle utilisateur) à un utilisateur pour lui indiquer ses identifiants d'enrôlement.

Ajouter un terminal. Ajouter un terminal pour l'utilisateur sélectionné. Uniquement disponible si vous ne sélectionnez qu'un seul utilisateur.

Plus d'actions Affichez les options suivantes.

Ajouter au groupe d'utilisateurs.

Ajoutez les utilisateurs sélectionnés à un groupe d'utilisateurs, nouveau ou existant, pour une gestion simplifiée des utilisateurs. Pour plus d'informations, consultez les sections Affichage en liste des groupes d'utilisateurs et Modifier les autorisations de vos groupes d'utilisateurs.


VMware, Inc. 67

Action Description

Supprimer du groupe d'utilisateurs.

Supprimez du groupe existant les utilisateurs sélectionnés.

Modifier le groupe organisationnel

Déplacez manuellement l'utilisateur vers un groupe organisationnel différent. Mettez à jour le contenu disponible, les autorisations et restrictions de l'utilisateur s'il change de poste, obtient une promotion ou change de lieu de travail.

Supprimer Si un membre de votre organisation cesse définitivement de travailler pour vous, vous pouvez supprimer un compte utilisateur de façon rapide et totale. La suppression des informations relatives au compte équivaut au fait que le compte n'a jamais existé. Un compte supprimé ne peut pas être réactivé. Si le propriétaire d'un compte supprimé revient, un nouveau compte doit être créé pour lui.

Activer Activez un compte utilisateur précédemment désactivé, par exemple si un utilisateur revient au sein de l'organisation ou s'il doit être réintégré à l'entreprise.

Désactiver La désactivation est une mesure de sécurité. La désactivation est utilisée lorsqu'un utilisateur n'est pas en action, lorsque son terminal est non conforme ou qu'il est perdu ou volé. Toutes les informations sur les comptes désactivés (nom, adresse e-mail, mot de passe, groupe organisationnel d'enrôlement, etc.) sont conservées.

Un compte désactivé signifie simplement qu'aucune personne disposant des identifiants correspondants ne sera autorisée à se connecter alors que le compte est désactivé. Une fois le problème de sécurité résolu (l'utilisateur est localisé, le terminal est de nouveau conforme ou il est récupéré), vous pouvez activer le compte.

Fonctionnalité d'importation par lots

Si vous avez plusieurs dizaines d'utilisateurs à ajouter à Workspace ONE UEM powered by AirWatch, vous pouvez créer des utilisateurs et des groupes d'utilisateurs en masse ou les importer depuis votre service d'annuaire.

Réaliser une importation par lots consiste à prendre un modèle fourni au format CSV (valeurs séparées par des virgules), puis le remplir avec vos propres données et, une fois complété, l'importer.

Modifications dans les annuaires d'utilisateurs LDAP et AD externes

Une fois votre liste d'utilisateurs et de groupes d'utilisateurs importée, les modifications apportées à vos annuaires d'utilisateurs LDAP/AD externes ne sont pas répercutées dans Workspace ONE UEM. Ces modifications doivent être mises à jour manuellement ou importées dans un nouveau lot.

Utilisateurs et terminaux

Choisissez parmi quatre modèles d'importation par lots différents : terminaux sur liste noire, terminaux sur liste blanche, terminal/utilisateur simple et terminal/utilisateur avancé. Pour plus d'informations, reportez-vous à la section Importer par lots les utilisateurs ou les terminaux.


VMware, Inc. 68

Groupes d'utilisateurs

Vous pouvez importer par lots des groupes d'utilisateurs de la même manière que les utilisateurs individuels, en exécutant un modèle Workspace ONE UEM fourni et en l'important. Pour plus d'informations, reportez-vous à la section Importer par lots les groupes d'utilisateurs.

Modification d'utilisateurs basiques

Vous pouvez modifier et déplacer les utilisateurs en groupes plutôt qu'un à la fois en modifiant certaines colonnes dans le fichier CSV que vous importez dans le cadre d'une procédure d'importation par lots. Ce type de manipulation de colonne s'applique uniquement aux deux types d'authentification d'utilisateur : authentification d'utilisateurs basiques et proxy d'authentification. Pour plus d'informations, reportez-vous à la section Modification d'utilisateurs basiques avec l'importation en masse.

Changer les utilisateurs de groupe organisationnel

L'importation par lots permet également de déplacer plusieurs utilisateurs vers un groupe organisationnel différent. Pour plus d'informations, reportez-vous à la section Déplacer les utilisateurs avec l'importation par lots.

Importer par lots les utilisateurs ou les terminaux

Vous pouvez importer par lots plusieurs utilisateurs et terminaux dans la console. Vous pouvez également consulter la page État des lots pour vérifier l'état d'une tâche par lots. Accédez à Comptes > Utilisateurs > État des lots.

La page État des lots affiche une liste de toutes les tâches d'importation par lots que vous avez demandées, y compris le statut des tâches.

Pour commencer le processus d'importation par lots d'utilisateurs ou de terminaux, procédez comme suit.

Procédure

1 Accédez à Comptes > Utilisateurs > Statut des lots ou Terminaux > Cycle de vie > Statut d'enrôlement > Ajouter et sélectionnez Importation par lots.

2 Saisissez les informations de bases incluant un Nom de lot et une Description de lot .

3 Sélectionnez le type de lot applicable dans le menu déroulant Type de lot.

4 Sélectionnez et téléchargez le modèle correspondant le mieux au type d'importation par lots que vous effectuez.

n Terminaux sur liste bloquée

Importez une liste de terminaux connus et non conformes en fonction du numéro IMEI, du numéro de série ou de l'UDID. Les terminaux sur liste bloquée ne sont pas autorisés à s'enrôler. Si un terminal sur liste bloquée essaie de s'enrôler, il est bloqué automatiquement.


VMware, Inc. 69

n Terminaux sur liste autorisée

Importez les terminaux pré-approuvés par IMEI, numéro de série ou UDID. Utilisez ce modèle pour importer la liste des terminaux connus et fiables. La propriété et l'ID de groupe associés à ce terminal sont appliqués automatiquement pendant l'enrôlement.

n Utilisateur et/ou terminal

Choisissez entre un modèle de fichier CSV simple ou avancé. Le modèle Simple ne comporte que les options les plus utilisées, alors que le modèle Avancé présente le choix d'options d'importation complet.

n Modifier le groupe organisationnel

Déplacez les utilisateurs vers un autre groupe organisationnel.

5 Ouvrez le fichier CSV. Vérifiez si les utilisateurs font ou non partie du groupe organisationnel pour l'enrôlement (OG).

Le fichier CSV comporte plusieurs colonnes correspondant aux options qui s'affichent sur la page Ajouter/Modifier un utilisateur. Lorsque vous ouvrez le modèle CSV, notez que des exemples de données ont été ajoutés pour chaque colonne du modèle. Les exemples de données sont présentés pour vous informer du type de données et du format requis. Ne modifiez pas le format présenté dans les exemples de données.

Note un fichier de valeurs séparées par des virgules (CSV, comma-separated values) est simplement un fichier texte dont l'extension a été modifiée de « TXT » en « CSV ». Il stocke les données tabulaires (chiffres et texte) en texte brut. Chaque ligne du fichier est un enregistrement de données. Chaque enregistrement se compose d'un ou de plusieurs champs séparés par des virgules. Il peut être ouvert et modifié avec un éditeur de texte quelconque. Il peut également être ouvert et modifié avec Microsoft Excel.

a Accédez à Terminaux et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement et sélectionnez l'onglet Regroupement.

Pour un enrôlement basé sur l'annuaire, le type de sécurité défini pour chaque utilisateur doit être Annuaire.

Si le mode d'attribution de l'ID de groupe est défini sur Par défaut, vos utilisateurs font partie du groupe organisationnel pour l'enrôlement.

6 Entrez les données pour vos utilisateurs, notamment les informations sur le terminal et enregistrez le fichier.

7 Revenez à la page d'importation par lots et sélectionnez l'option de sélection de fichier pour localiser et importer le fichier CSV que vous aviez téléchargé et complété.



VMware, Inc. 70

Importer par lots les groupes d'utilisateurs

Pour gagner du temps, vous pouvez importer des groupes d'utilisateurs Lightweight Directory Access Protocol (LDAP)/Active Directory (AD) dans Workspace ONE UEM Console.

Procédure

1 Accédez à Comptes > Groupes d'utilisateurs > Affichage en liste et cliquez sur Ajouter.

2 Cliquez sur Importation par lot.

3 Saisissez les informations de base, notamment le nom et la description du lot dans Workspace ONE UEM Console.

4 Dans Fichier d'importation par lots (.csv), sélectionnez le bouton Choisir le fichier pour localiser et importer le fichier CSV complété.

5 Vous pouvez également sélectionner le lien Télécharger le modèle pour ce type de lot, enregistrer le fichier CSV (valeurs séparées par des virgules) et l'utiliser pour préparer un nouveau fichier d'importation.

n Ouvrez le fichier .csv qui comporte le même nombre de colonnes que de champs apparaissant sur la page Ajouter un groupe d'utilisateurs. Les colonnes comportant un astérisque doivent être remplies. Enregistrez le fichier.

n L'en-tête de la dernière colonne du modèle de fichier CSV s'intitule ID de groupe/Gérer(Modifier et supprimer)/Gérer(Utilisateurs et enrôlement)/Attribution de groupe organisationnel/Héritage admin. Cet en-tête de colonne correspond aux paramètres et est conforme à la logique de l'onglet Autorisations de la page Modifier le groupe d'utilisateurs. Pour plus d'informations, reportez-vous à la section Modifier les autorisations de vos groupes d'utilisateurs.

6 Sélectionnez Importer.

7 Si l'importation par lots échoue, affichez et résolvez les erreurs en cliquant sur Comptes > Statut des lots. Vous pouvez afficher les erreurs propres à l'importation du lot en cliquant sur le lien hypertexte Erreurs.

Modification d'utilisateurs basiques avec l'importation en masse

La fonction d'importation par lots permet de modifier et de déplacer des utilisateurs et des détails d'utilisateurs en groupe plutôt qu'individuellement. Les utilisateurs doivent exister dans Workspace ONE UEM pour que cette procédure fonctionne. Modifiez les paramètres dans le fichier .csv et utilisez l'option Importation par lots pour importer ce fichier.


VMware, Inc. 71

n Mot de passe (authentification basique uniquement).

n Prénom.

n Autre(s) prénom(s).

n Nom de famille.

n Adresse e-mail.

n Numéro de téléphone.

n Numéro de mobile.

n Service.

n Nom d'utilisateur d'e-mail.

n Mot de passe de messagerie.

n Groupes organisationnels autorisés (en dessous et au niveau de l'ID de groupe indiqué uniquement).

n Catégorie utilisateur d'enrôlement (cette catégorie est accessible pour l'utilisateur ; dans le cas contraire, elle prend la valeur 0 par défaut).

n Rôle utilisateur d'enrôlement (ce rôle est accessible pour l'utilisateur ; dans le cas contraire, il s'agit du rôle par défaut du groupe organisationnel).

Une telle modification d'utilisateurs basiques s'applique uniquement aux Authentification utilisateur basique et aux Proxy d'authentification.

Déplacer les utilisateurs avec l'importation par lots

Vous pouvez utiliser la fonctionnalité d'importation par lot pour déplacer des ensembles d'utilisateurs vers un groupe organisationnel différent.

Procédure

1 Dans la fenêtre d'importation par lot, saisissez les informations de base, notamment le nom et la description du lot dans Workspace ONE UEM Console.

2 Choisissez Modifier le groupe organisationnel dans la liste des modèles et enregistrez le fichier CSV dans un emplacement accessible.

3 Saisissez l'ID de groupe applicable du groupe organisationnel existant de l'utilisateur, le nom d'utilisateur à déplacer et l'ID du groupe cible du nouveau groupe organisationnel de l'utilisateur.

4 Revenez à l'écran de téléchargement par lots, cliquez sur Sélectionner un fichier pour localiser et importer le fichier .csv enregistré, puis sur Ouvrir.


Comptes administrateur

Les comptes administrateur vous permettent de gérer les paramètres, d'envoyer ou de révoquer des fonctionnalités et du contenu, et bien plus encore avec Workspace ONE Express et Workspace ONE UEM powered by AirWatch.


VMware, Inc. 72

Créer un compte administrateur

Vous pouvez ajouter des comptes administrateur depuis l'affichage en liste des administrateurs donnant ainsi accès aux fonctionnalités avancées de Workspace ONE UEM Console et Workspace ONE Express. Chaque administrateur qui maintient et contrôle la console doit disposer d'un compte individuel.

Procédure

1 Accédez à Comptes > Administrateurs > Affichage en liste, sélectionnez Ajouter, puis Ajouter un administrateur. La page Ajouter/Modifier un administrateur s'affiche.

2 Dans l'onglet Basique, pour le paramètre Type d'utilisateur, sélectionnez Basique ou Annuaire.

n Si vous sélectionnez Basique, renseignez tous les champs requis de l'onglet Basique, y compris le nom d'utilisateur, le mot de passe, le prénom et le nom de famille.

n Vous pouvez activer l'authentification à deux facteurs, qui vous permet de choisir entre les e-mails et les SMS comme méthode de distribution, ainsi que de sélectionner le délai d'expiration du jeton en minutes.

n Vous pouvez également sélectionner une option de Notification, entre Aucune, E-mail ou SMS. L'administrateur reçoit une réponse générée automatiquement.

n Si vous sélectionnez Annuaire, saisissez le domaine et le nom d'utilisateur de l'administrateur.

3 Sélectionnez l'onglet Détails et saisissez des informations complémentaires si nécessaire.


VMware, Inc. 73

4 Cliquez sur l'onglet Rôles, puis sélectionnez un groupe organisationnel suivi du rôle que vous voulez attribuer au nouvel administrateur. Ajoutez de nouveaux rôles en cliquant sur Ajouter un rôle.

5 Sélectionnez l'onglet API pour choisir le type d'authentification.

6 Sélectionnez l'onglet Remarques pour saisir des remarques supplémentaires concernant l'administrateur.

7 Cliquez sur Enregistrer pour créer le compte administrateur avec le rôle attribué.

Création d'un compte administrateur temporaire

Vous pouvez accorder un accès administratif temporaire à votre environnement à des fins de support, de démonstration et pour d'autres cas d'utilisation limités dans le temps.

Procédure

1 Accédez à Comptes > Administrateurs > Affichage en liste et cliquez sur Ajouter. Cliquez sur l'option Ajouter un compte administrateur temporaire.

Vous pouvez également sélectionner le bouton Aide dans la barre d'en-tête qui apparaît dans le coin supérieur droit de la plupart des pages de Workspace ONE UEM et Workspace ONE Express et choisir Ajouter un compte administrateur temporaire.

2 Dans l'onglet Basique, choisissez d'ajouter un compte administrateur temporaire basé sur l'adresse email ou le nom d'utilisateur et renseignez les paramètres suivants.


Adresse e-mail Saisissez l'adresse e-mail du compte administrateur temporaire. Disponible seulement lorsque la case d'option E-Mail est sélectionnée.

Nom d'utilisateur Saisissez le nom d'utilisateur du compte administrateur temporaire. Disponible seulement lorsque la case d'option Nom d'utilisateur est sélectionnée.

Mot de passe/Confirmer le mot de passe

Saisissez et confirmez le mot de passe associé avec l'adresse e-mail et le nom d'utilisateur.

Date d'expiration Sélectionnez une période d'expiration, définie sur 6 heures par défaut. Vous pouvez également définir ce menu déroulant sur Inactif pour créer un compte maintenant et l'activer plus tard.

Numéro de ticket Vous pouvez éventuellement ajouter le numéro de ticket de ZenDesk, Bugzilla, JIRA ou autre outil d'assistance en tant que marqueur de référence.

3 Dans l'onglet Rôles, vous pouvez ajouter, modifier et supprimer les rôles applicables au compte administrateur temporaire.

n Ajoutez un nouveau rôle en sélectionnant Ajouter un rôle, puis sélectionnez le groupe organisationnel et le rôle pour lesquels le compte administrateur temporaire s'applique.

n Modifiez un rôle existant en sélectionnant l'icône Modifier ( ) et sélectionnez un groupe organisationnel différent et un rôle différent.


VMware, Inc. 74

n Supprimez un rôle en sélectionnant l'icône Supprimer ( ).


Gestion des comptes administrateur

Vous pouvez installer les principales fonctions de gestion permettant une maintenance en continu des comptes des administrateurs en naviguant vers Comptes > Administrateurs > Vue de liste.

Affichez la page Ajouter/Modifier un administrateur en sélectionnant le lien hypertexte dans la colonne Nom d'utilisateur. Ce lien vous permet de mettre à jour les rôles actuellement attribués ou de changer les rôles dans votre organisation rapidement afin qu'ils gardent leurs privilèges à jour. Vous pouvez également modifier les informations administratives générales et réinitialiser un mot de passe.

Vous pouvez filtrer la liste des administrateurs afin d'inclure tous les rôles ou limiter la liste à un seul rôle que vous souhaitez afficher.

Affichez les boutons d'action applicables à cet administrateur en sélectionnant le bouton radio à côté du nom d'utilisateur de l'administrateur.

n Afficher l'historique – Suivez les périodes durant lesquelles les administrateurs se connectent et se déconnectent de Workspace ONE UEM Console ou Workspace ONE Express.

n Désactiver – Modifiez le statut d'un compte administrateur d'actif à inactif. Cette fonctionnalité vous permet de suspendre temporairement les fonctions de gestion et les privilèges. Dans le même temps, cette fonctionnalité vous permet de garder les rôles définis du compte administrateur à des fins d'utilisation ultérieure.

n Activer – Modifiez le statut d'un compte administrateur d'inactif à actif.

n Supprimer : supprimez le compte administrateur depuis la console. Une telle action est utile lorsqu'un administrateur cesse de travailler pour l'entreprise.

n Réinitialiser le mot de passe – Disponible uniquement pour les administrateurs de base. Envoie un e-mail à l'adresse e-mail de l'administrateur de base enregistré. Cet e-mail contient un lien qui expire dans les 48 heures. Pour réinitialiser le mot de passe, l'administrateur de base doit sélectionner le lien et répondre à la question de récupération du mot de passe. Cela permet à l'administrateur de base de modifier son propre mot de passe.

Les administrateurs basés sur l'annuaire doivent réinitialiser leur mot de passe à l'aide du système Active Directory.

Les administrateurs temporaires ne peuvent pas réinitialiser leur mot de passe. Un autre administrateur doit supprimer le compte administrateur temporaire, puis le recréer.

Pour plus d'informations sur la synchronisation de l'état des comptes, consultez Synchronisation du statut de l'utilisateur de l'annuaire.


VMware, Inc. 75

Accès basé sur les rôles 4Vous pouvez créer des rôles qui accordent des types spécifiques d'accès à Workspace ONE UEM powered by AirWatch. Vous définissez les rôles des utilisateurs individuels et des groupes en fonction des niveaux d'accès à UEM Console qui vous sont utiles.

Par exemple, les administrateurs du support technique au sein de votre entreprise pourraient avoir un accès limité dans la console, tandis que les gestionnaires informatiques disposent de privilèges plus étendus.

Pour permettre un contrôle de l'accès basé sur les rôles, vous devez d'abord configurer des rôles utilisateur et administrateur dans UEM Console. Les ressources spécifiques, également appelées permissions, définissent ces rôles qui permettent ou non l'accès à diverses fonctions au sein d'UEM Console. Des rôles peuvent également être créés pour les utilisateurs finaux qui ont besoin d'accéder au portail self-service.

Étant donné que les rôles (en particulier les ressources ou les autorisations) déterminent ce que les utilisateurs et les administrateurs peuvent et ne peuvent pas faire dans UEM Console, il faut veiller à accorder les autorisations ou les ressources appropriées. Par exemple, si vous avez besoin que les administrateurs saisissent un commentaire avant qu'un effacement des données professionnelles ne soit effectué sur un terminal, le rôle doit non seulement avoir l'autorisation de procéder à l'effacement des données professionnelles sur un terminal, mais aussi d'ajouter un commentaire.

Les rôles sont importants pour préserver la sécurité de votre flotte de terminaux. La création d'utilisateurs préenrôlés, qui est un privilège d'administrateur de niveau élevé, en est un exemple. Traitez les informations d'identification de l'utilisateur préenrôlé de la même manière que les privilèges d'administrateur et ne divulguez pas les informations d'identification de l'utilisateur.

Rendre effectifs les modifications des rôles d'administration

Si vous modifiez un rôle qui est utilisé par un administrateur, la modification ne s'applique que lorsque l'administrateur se déconnecte, puis se reconnecte.

VMware, Inc. 76

Comparer deux rôles administrateur

Vous pouvez comparer les autorisations de deux rôles administrateur par souci de précision ou pour confirmer votre volonté de définir des différences. Pour plus d'informations, reportez-vous à la section Comparer les rôles administrateur.


n Rôles par défaut et personnalisés

n Rôles utilisateur

n Rôles administrateur

n Comment créer un administrateur de support technique restrictif et ajouter un rôle lui donnant des fonctions spécifiques

Rôles par défaut et personnalisés

Vous pouvez sélectionner l'un des nombreux rôles par défaut déjà définis par Workspace ONE UEM powered by AirWatch. Ces rôles par défaut sont disponibles avec chaque mise à niveau et vous aident à attribuer rapidement des rôles aux nouveaux utilisateurs. Si vous avez besoin de personnaliser davantage, vous pouvez également créer des rôles personnalisés pour ajuster les privilèges et autorisations des utilisateurs.

Contrairement aux rôles par défaut, les rôles personnalisés doivent être mis à jour manuellement avec chaque mise à niveau d'Workspace ONE UEM.

Chaque type de rôle présente des avantages et des inconvénients. Les rôles par défaut représentent un gain de temps à la création intégrale de rôles : ils correspondent à un certain nombre de droits administratifs et sont mis à jour automatiquement en même temps que les nouveaux paramètres et fonctions. Cependant, les rôles par défaut pourraient ne pas correspondre exactement à votre organisation ou à votre déploiement MDM. C'est pourquoi vous pouvez créer des rôles personnalisés.

Rôles de l'utilisateur final par défaut

Les rôles sont disponibles par défaut pour les utilisateurs finaux dans UEM Console.

n Rôle d'accès total – Autorise l'exécution de toutes les tâches sur le portail self-service.

n Rôle d'accès basique – Autorise l'exécution de toutes les tâches exceptées les commandes MDM sur le portail self-service.

Les rôles personnalisés vous permettent de personnaliser autant de rôles que vous le souhaitez et d'apporter des modifications plus ou moins importantes à différents utilisateurs et administrateurs. Cependant, les rôles personnalisés doivent être maintenus manuellement dans le temps et mis à jour avec les nouvelles fonctions et mises à jour.


VMware, Inc. 77

Modifier un rôle par défaut pour créer un rôle utilisateur personnalisé

Si aucun des rôles par défaut disponibles ne convient à votre entreprise, nous vous conseillons de modifier un rôle existant et de créer un rôle utilisateur personnalisé.

Créez un rôle utilisateur final personnalisé en modifiant un rôle par défaut inclus avec UEM console.

Procédure

1 Vérifiez que vous vous trouvez dans le groupe organisationnel auquel vous voulez associer le nouveau rôle.

2 Accédez à Comptes > Utilisateurs > Rôles.

3 Déterminez le rôle de la liste qui correspond le mieux au rôle que vous voulez créer. Ensuite,

modifiez ce rôle en sélectionnant l'icône Modifier ( ) tout à droite de l'écran. La page Ajouter/Modifier le rôle s'affiche.

4 Modifiez les cases Nom, Description et Page d'arrivée initiale si nécessaire. Vérifiez chacune des cases. Ces options représentent les diverses autorisations, en les cochant/décochant selon le besoin.

5 Sélectionnez Enregistrer pour sauvegarder vos modifications et remplacer les paramètres précédents par les nouveaux.

Rôles administrateur par défaut

Les rôles suivants sont disponibles par défaut disponible pour les administrateurs dans la Workspace ONE UEM Console.

Utilisez l'outil de comparaison des rôles admin pour comparer les autorisations spécifiques de deux rôles admin. Pour plus d'informations, consultez la section Comparer les rôles administrateur.

Rôles Description

Administrateur système

Le rôle d'administrateur système offre un accès complet à un environnement Workspace ONE UEM. Ce rôle comprend l'accès aux paramètres de sécurité et de mot de passe, à la gestion de sessions et aux informations d'audit d'UEM Console. Ces informations se trouvent dans l'onglet Administration, sous Configuration du système.

Ce rôle est limité aux responsables de l'environnement, par exemple, les équipes opérationnelles SaaS pour tous les environnements SaaS hébergés par VMware.

Administrateur AirWatch

Le rôle d'administrateur AirWatch offre un accès complet à l'environnement Workspace ONE UEM. Cependant, cet accès exclut l'onglet Administration de la page Configuration du système, car cet onglet gère les paramètres d'UEM Console au plus haut niveau.

Ce rôle est limité aux employés de VMware ayant accès aux environnements à des fins de dépannage, d'installation et de configuration.

Console administrateur

Le rôle administrateur de la console est le rôle par défaut pour les environnements SaaS partagés. Ce rôle comprend des fonctionnalités limitées pour les attributs de politique de conformité, la création de rapports et la sélection de groupes organisationnels.


VMware, Inc. 78

Rôles Description

Gestionnaire de terminaux

Le rôle de gestionnaire de terminaux offre un accès important à UEM Console. Toutefois, ce rôle n'est pas conçu pour configurer la plupart des configurations système. Ces configurations système comprennent Active Directory (AD)/Lightweight Directory Access Protocol (LDAP), Simple Mail Transfer Protocol (SMTP), Agents, etc. À la place, nous vous conseillons de recourir à un rôle de niveau supérieur comme celui d'administrateur AirWatch ou d'administrateur système.

Affichage des rapports

Le rôle d'affichage des rapports permet d'afficher les données collectées via la gestion de terminaux mobiles (MDM). Ce rôle limite l'accès à la génération, à l'affichage, à l'exportation et au suivi des rapports depuis UEM Console.

Gestion de contenu Le rôle de gestion du contenu comprend uniquement l'accès à la gestion de VMware Content Locker. Utilisez ce rôle pour les administrateurs spécialisés en charge de l'importation et de la gestion du contenu d'un terminal.

Gestion d'applications

Le rôle de gestion d'applications offre un accès pour déployer et gérer les applications internes et publiques de la flotte de terminaux. Utilisez ce rôle pour les administrateurs de gestion d'applications.

Support technique Le rôle de support technique fournit les outils nécessaires à la plupart des fonctions de support technique informatique de Niveau 1. L'outil principal disponible dans ce rôle consiste à afficher les informations du terminal et à résoudre les problèmes par des commandes à distance. Cependant, ce rôle contient également des capacités de recherche de terminaux et de visualisation des rapports.

Administrateur App Catalog uniquement

Le rôle Administrateur App Catalog uniquement a globalement les mêmes autorisations que le rôle Gestion d'applications. À ces autorisations s'ajoute la possibilité d'ajouter et de gérer les comptes administrateur et utilisateur, les groupes d'administrateurs et d'utilisateurs, les détails sur les terminaux et les étiquettes.

Lecture seule Le rôle en lecture seule offre un accès à la plupart des éléments d'UEM Console, mais en lecture seule uniquement. Utilisez ce rôle pour auditer ou enregistrer les paramètres actuels d'un environnement Workspace ONE UEM. Ce rôle n'est pas utile pour les opérateurs ou administrateurs système.

Administrateur Horizon

Le rôle Administrateur Horizon est un ensemble d'autorisations spécifiquement conçu pour compléter une configuration Workspace ONE UEM intégrée à VMware Horizon View.

Administration de NSX

Le rôle Administrateur NSX est un ensemble de permissions spécifiquement conçu pour compléter VMware NSX intégré à Workspace ONE UEM. Ce rôle propose un ensemble complet d'autorisations pour la gestion du système et des certificats, et permet aux administrateurs de relier la sécurité des points de terminaison à celle des centres de données.

Officier de confidentialité

Le rôle Responsable de la protection fournit un accès en lecture à l'aperçu du Monitor, à l'affichage en liste des terminaux, aux paramètres du système View et aux autorisations de modification complètes des paramètres de confidentialité.

Modifier un rôle par défaut pour créer un rôle administrateur personnalisé

Si les rôles par défaut disponibles conviennent à votre entreprise, nous vous conseillons de modifier un rôle existant en un rôle utilisateur personnalisé.

Créez un rôle administrateur personnalisé en modifiant un rôle par défaut inclus avec UEM console.


VMware, Inc. 79

Procédure

1 Vérifiez que vous vous trouvez dans le groupe organisationnel auquel vous voulez associer le nouveau rôle.

2 Accédez à Comptes > Administrateurs > Rôles.

3 Déterminez le rôle de la liste qui correspond le mieux au rôle que vous voulez créer. Cochez la case correspondant à ce rôle.

4 Cliquez sur le bouton Copier dans le menu d'actions situé au-dessus de la liste. La page Copier le rôle s'affiche.

5 Modifiez les paramètres de la copie sur la page Copier le rôle. Créez un nom unique et faites une description du rôle personnalisé.


Étape suivante

Pour plus d'informations, reportez-vous à la section Créer un rôle administrateur.

Rôles utilisateur

Les rôles utilisateur de Workspace ONE UEM powered by AirWatch vous permettent d'activer ou de désactiver des actions spécifiques que peuvent effectuer les utilisateurs connectés. Ces actions comprennent le contrôle de l'accès à la réinitialisation du terminal, à la demande d'informations et à la gestion du contenu personnel. Les rôles utilisateur peuvent également personnaliser les pages de lancement et limiter l'accès au portail en libre-service.

La création de plusieurs rôles utilisateur représente un gain de temps. Vous pouvez effectuer des configurations complètes au sein de différents groupes organisationnels ou modifier le rôle utilisateur pour un utilisateur spécifique à tout moment.

Création d'un rôle utilisateur

En plus des rôles d'accès total ou d'accès basique, vous pouvez aussi créer des rôles personnalisés. Avoir plusieurs rôles utilisateur disponibles encourage la flexibilité et peut vous faire gagner du temps lors de l'attribution de rôles à de nouveaux utilisateurs.

Procédure

1 Accédez à Comptes > Utilisateurs > Rôles et cliquez sur Ajouter un rôle. La page Ajouter/Modifier le rôle s'affiche.

2 Saisissez un nom, une description et sélectionnez la page de lancement initiale du SSP pour les utilisateurs disposant de ce nouveau rôle.

Pour les rôles d'utilisateur existants, la page de lancement initiale par défaut est Mes terminaux.


VMware, Inc. 80

3 Sélectionnez à partir d'une liste d'options le niveau d'accès et de contrôle dans le SSP dont bénéficieront les utilisateurs auxquels ce rôle sera attribué.

n Cliquez sur Tout désélectionner pour décocher toutes les cases de la page.

n Sélectionnez toutes les cases de la page en cliquant sur Tout sélectionner.

4 Enregistrez les modifications apportées au rôle. Le rôle utilisateur ajouté apparaît désormais dans la liste de la page Rôles.

Étape suivante

Depuis la page Rôles, vous pouvez afficher, modifier ou supprimer les rôles.

Configurer un rôle par défaut

Le rôle par défaut est le rôle basique sur lequel tous les utilisateurs sont basés. La configuration d'un rôle par défaut vous permet de définir les permissions et les privilèges que reçoivent les utilisateurs après l'enrôlement.

Procédure

1 Accédez à Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement et sélectionnez l'onglet Regroupement.

2 Configurez un niveau d'accès par défaut dans le portail self-service (SSP) en cliquant sur Rôle par défaut.

Ces paramètres de rôle sont personnalisables en fonction du groupe organisationnel.

n Accès complet : accorde aux utilisateurs un accès aux fonctions SSP plus élevées (par exemple, installer/supprimer des profils et des applications, réinitialiser des codes secrets, envoyer des messages de terminaux et accéder en écriture au contenu).

n Accès basique : accorde aux utilisateurs un accès à faible impact. Ils peuvent inscrire leurs propres terminaux, afficher les profils et les applications (mais pas les installer), afficher leur propre compte, et interroger et trouver leur propre terminal.

n Accès externe : les utilisateurs avec un accès externe disposent de toutes les capacités en tant qu'utilisateurs à accès basique, mais bénéficient également d'un accès en lecture seule au contenu du SSP explicitement partagé avec eux.


Attribution ou modification du rôle d'un utilisateur existant

Vous pouvez modifier le rôle d'un utilisateur spécifique, par exemple, pour accorder ou limiter un accès aux fonctions Workspace ONE UEM.

Si vous modifiez un rôle qui est utilisé par un utilisateur, la modification ne prend effet que lorsque l'utilisateur se déconnecte, puis se reconnecte.


VMware, Inc. 81

Procédure

1 Sélectionnez le groupe organisationnel approprié.

2 Accédez à Comptes > Utilisateurs > Affichage en liste.

3 Recherchez l'utilisateur spécifique que vous voulez modifier, dans la liste. Une fois que vous avez identifié l'utilisateur, cliquez sur l'icône Modifier, sous la case à cocher. L'écran Ajouter/Modifier l'utilisateur s'affiche.

4 Dans l'onglet Général, rendez-vous dans la section Enrôlement et sélectionnez un Rôle utilisateur dans la liste déroulante pour modifier le rôle de cet utilisateur.


Rôles administrateur

Ces rôles vous permettent d'activer ou de désactiver les autorisations pour tous les paramètres et ressources disponibles dans Workspace ONE UEM powered by AirWatch. Ces paramètres accordent ou limitent les fonctionnalités de la console pour chaque membre de votre équipe d'administrateurs, vous permettant ainsi d'établir une hiérarchie d'administrateurs adaptée à vos besoins.

La création de plusieurs rôles administrateurs représente un gain de temps. Effectuer des configurations complètes au sein de différents groupes organisationnels signifie que vous pouvez modifier les autorisations d'un administrateur spécifique à tout moment.

Affichage en liste des rôles administrateur

La vue de liste des rôles d'administrateur vous permet d'ajouter, de modifier, de comparer et de gérer votre bibliothèque de rôles pour l'intégralité de la base admin.

Vous trouverez l'affichage en liste des rôles d'administrateur en accédant à Comptes > Administrateurs > Affichage en liste.

Afficher les utilisateurs

Le bouton Afficher les utilisateurs vous permet d'afficher la vue de liste de tous les administrateurs. Activez la case à cocher à gauche du nom du rôle, puis sélectionnez le bouton Afficher les utilisateurs.

Supprimer le rôle

Vous pouvez supprimer un rôle inutilisé de votre bibliothèque des rôles d'administrateur. Vous ne pouvez pas supprimer un rôle attribué à un administrateur. Sélectionnez un rôle non attribué que vous souhaitez supprimer, puis sélectionnez le bouton Supprimer.


VMware, Inc. 82

Afficher les ressources d'un rôle d'administrateur

Vous pouvez afficher toutes les ressources, ou les autorisations, de n'importe quel rôle d'administrateur, y compris les rôles Personnalisé et Par défaut. Cet affichage peut vous aider à déterminer ce qu'un administrateur est (ou non) en mesure de faire dans UEM console. Pour plus d'informations, reportez-vous à Afficher les ressources d'un rôle d'administrateur.

Modifier le rôle

Vous pouvez modifier le nom d'un rôle existant, une description et des autorisations spécifiques. Sélectionnez l'icône en forme de crayon à gauche du nom du rôle dans la liste. L'écran Modifier le rôle s'affiche et vous permet d'apporter des modifications.

Comparer deux rôles

Vous pouvez également comparer les différentes autorisations des deux rôles. Pour plus d'informations, reportez-vous à la section Comparer les rôles administrateur.

Créer un rôle administrateur

Vous pouvez créer des rôles d'administrateur définissant des tâches spécifiques réalisables dans Workspace ONE UEM. Vous pouvez ensuite attribuer ces rôles à chaque administrateurs.

Procédure

1 Accédez à Comptes > Administrateurs > Rôles et cliquez sur Ajouter un rôle dans UEM Console.

2 Sur la page Créer un rôle, saisissez le nom et la description du rôle.


VMware, Inc. 83

3 Faites une sélection dans la liste Catégories.

La section Catégories organise les catégories de niveau supérieur telles que la gestion des terminaux sous lesquelles se trouvent des sous-catégories, notamment Applications, Navigateur et Gestion en masse. Cette sous-division des catégories facilite la procédure de création des rôles. Chaque paramètre de sous-catégorie situé à droite de l'écran possède les cases Lire et Modifier.

Lorsque vous sélectionnez des éléments dans la section Catégories, ses contenus classés en sous-catégories (paramètres individuels) se remplissent automatiquement dans le panneau de droite. Chaque paramètre dispose de ses propres cases Lire et Modifier en plus des cases Lire et Modifier situées dans l'en-tête et permettant de tout sélectionner. Ce système permet un niveau de contrôle et de personnalisation très flexible lors de la création de rôles.

Utilisez la zone de texte Rechercher des ressources pour limiter le nombre de ressources parmi lesquelles faire votre choix. Les ressources sont généralement étiquetées de la même manière, car elles sont référencées dans UEM Console lui-même. Par exemple, si vous souhaitez limiter un rôle d'administrateur à l'édition des journaux d'applications, puis entrez « Journaux d'applications » dans la zone Rechercher des ressources. Une liste de toutes les ressources qui contiennent la chaîne « Journaux d'applications » s'affiche.

4 Cochez les cases Lire et Modifier dans les champs correspondants. Vous pouvez aussi choisir de désélectionner toutes les ressources sélectionnées.

5 Pour une sélection globale des catégories, sélectionnez directement Aucun(e), Lire ou Modifier dans la section Catégories sans jamais remplir le panneau de droite. Cliquez sur l'icône circulaire à droite de l'étiquette Catégorie, qui est un menu déroulant. Optez pour cette méthode si vous êtes sûr de sélectionner les fonctionnalités Aucun(e), Lecture seule ou Modifier pour l'ensemble des paramètres de la catégorie.

6 Cliquez sur Enregistrer pour terminer la création du rôle personnalisé. Vous pouvez maintenant voir que le rôle a été ajouté dans la liste de la page Rôles. À partir de là, vous pouvez également modifier les détails du rôle ou le supprimer.

Étape suivante

Vous devez mettre à jour le rôle personnalisé à chaque mise à jour de la version d'Workspace ONE UEM pour prendre en compte les nouvelles permissions de la dernière version.

Importer et exporter des rôles d'administrateur

Les rôles d'administrateur sont des ressources portables. Cette portabilité permet de gagner du temps si vous gérez plusieurs environnements Workspace ONE UEM. Vous pouvez exporter les


VMware, Inc. 84

paramètres d'un environnement en tant que fichier XML, puis importer ce fichier XML dans un autre environnement. Sachez que cette opération peut provoquer des problèmes de version.

Exporter les rôles des administrateurs


2 Cochez la case en regard du rôle administrateur que vous voulez exporter. Cela affiche les boutons d'action au-dessus de la liste de rôles. Si vous sélectionnez plus d'un rôle administrateur, l'action Exporter n'est pas disponible.

3 Cliquez sur Exporter et enregistrez le fichier .xml dans un emplacement sur votre terminal.

Importer les rôles administrateur

1 Accédez à Comptes > Administrateurs > Rôles et cliquez sur Importer un rôle.

2 Sur la page « Importer un rôle », cliquez sur le bouton Parcourir et localisez le dernier fichier XML enregistré. Cliquez sur Importer pour importer le rôle administrateur vers la liste de catégories et le valider.

3 Workspace ONE UEM effectue une série de contrôles de validation, dont des vérifications du fichier .xml, de l'autorisation d'importer le rôle, de la duplication du nom du rôle, du nom vide et de la description.

4 Vérifiez les paramètres de ressources et vérifiez leurs spécifications de rôle importées en sélectionnant des catégories spécifiques dans le volet de gauche.

5 Vous pouvez également modifier les ressources, ainsi que le nom et la description du rôle importé selon vos besoins. Si vous voulez conserver le rôle existant et le rôle importé, renommez le rôle administrateur existant avant d'importer le nouveau rôle.

a Si le rôle que vous importez porte le même nom qu'un rôle existant dans votre environnement, un message s'affiche. « Un rôle avec ce nom existe déjà dans cet environnement. Voulez-vous remplacer le rôle actuel ? »

b Si vous sélectionnez Non, alors le rôle existant dans votre environnement reste inchangé et l'importation du rôle est annulée.

c Si vous sélectionnez Oui, il vous est demandé de saisir le code PIN de sécurité qui remplace le rôle existant avec celui qui est importé.

6 Cliquez sur Enregistrer pour appliquer le rôle importé au nouvel environnement.


VMware, Inc. 85

Problèmes de version lors de l'import et de l'export des rôles administrateur

Il peut y avoir des cas où un rôle exporté est importé dans un environnement avec une version antérieure de Workspace ONE UEM. Cette version antérieure pourrait ne pas avoir les mêmes ressources et autorisations que le rôle importé.

Dans de tels cas, Workspace ONE UEM vous avise avec le message suivant.

Certaines autorisations de cet environnement sont introuvables dans votre fichier importé. Vérifiez et corrigez les autorisations soulignées avant d'enregistrer.

Utilisez la page de la liste des catégories pour désélectionner les autorisations soulignées. Cette action vous permet d'enregistrer le rôle dans le nouvel environnement.

Copier le rôle

Vous pouvez gagner du temps en créant une copie d'un rôle existant. Vous pouvez également modifier les autorisations de la copie et l'enregistrer sous un autre nom.

Procédure

1 Cochez la case en regard du rôle à copier.

2 Sélectionnez le bouton Copier. La page Copier le rôle s'affiche.

3 Effectuez vos modifications dans Catégories, Nom et Description.

4 Une fois que vous avez terminé, cliquez sur Enregistrer.

Renommer un rôle administrateur

Si vous importez un rôle administrateur qui porte le même nom qu'un rôle administrateur existant, vous pourriez trouver utile de renommer au préalable le rôle existant. Le fait de changer le nom d'un rôle vous permet de garder à la fois le nouveau et l'ancien rôle dans le même environnement.

Procédure

1 Accédez à Comptes > Administrateurs > Rôles, puis cliquez sur l'icône Modifier ( ) du rôle que vous souhaitez renommer. La page Modifier le rôle s'affiche.

2 Modifiez le nom du rôle et, si vous le souhaitez, sa description.


Indicateur Lire/Modifier dans la section Catégories pour les rôles administrateur

Un indicateur visuel est situé dans la section Catégories et reflète la sélection actuelle des paramètres Lecture seule, Modifier ou la combinaison des deux. Il vous permet de voir quel paramètre a été sélectionné sans ouvrir et examiner les paramètres de sous-catégorie individuels.


VMware, Inc. 86

L'indicateur est représenté par une icône circulaire située à droite de la liste de catégorie qui rend compte des éléments suivants.

Toutes les options de cette catégories disposent de la fonction Modifier (qui, par définition implique également la fonction Lecture seule)

La fonction Modifier est activée pour la plupart des paramètres de la catégorie mais les modifications sont désactivées pour une sous-catégorie au moins.

Tous les paramètres de la catégorie disposent de la fonction Lecture seule (fonction Modifier désactivée).

La fonction Lecture seule est activée pour la plupart des paramètres de la catégorie mais les modifications sont activées pour une sous-catégorie au moins.

Attribuer ou modifier le rôle d'un administrateur

Vous pouvez attribuer des rôles à un administrateur qui développe les fonctionnalités d'un administrateur dans Workspace ONE UEM Console. Vous pouvez également modifier les rôles existants, en limitant et en étendant potentiellement leurs fonctionnalités.

Si vous modifiez un rôle qui est utilisé par un administrateur, la modification ne prend effet que lorsque l'administrateur se déconnecte, puis se reconnecte.

Procédure

1 Accédez à Comptes > Administrateurs > Affichage en liste, localisez le compte administrateur et cliquez sur l'icône Modifier dans le cluster de boutons d'actions. La page Ajouter/Modifier un administrateur s'affiche.

2 Sélectionnez l'onglet Rôles. Cliquez ensuite sur Ajouter un rôle.

3 Saisissez les détails du groupe organisationnel et du rôle pour chaque rôle ajouté.


Afficher les ressources d'un rôle d'administrateur

L'affichage de la liste des ressources (ou autorisations) peut vous aider à créer des rôles d'administrateur qui déterminent ce qu'un administrateur peut et ne peut pas faire dans UEM Console. Vous pouvez utiliser l'affichage en liste des rôles d'administrateur pour vérifier toutes les ressources de n'importe quel rôle d'administrateur, y compris les rôles personnalisés et par défaut.


Les rôles sont constitués de plusieurs centaines de ressources, ou autorisations, qui permettent d'accéder (en lecture seule ou en écriture) à une fonction spécifique au sein d'UEM console. Pour afficher les ressources d'un rôle administrateur, procédez comme suit.

Procédure



VMware, Inc. 87

2 Localisez le rôle administrateur dont vous souhaitez voir les autorisations. Si vous disposez d'une grande bibliothèque de rôles administrateur, utilisez la barre Liste de recherche dans le coin supérieur droit pour affiner la liste.

3 Sélectionnez le nom du rôle, qui est un lien. L'écran Afficher le rôle qui s'ouvre contient toutes les autorisations associées au rôle.

n Les catégories de rôle sont répertoriées dans le panneau de gauche. Il peut y avoir des sous-catégories de rôles à développer.

n Pour plus d'informations sur les indicateurs visuels Lecture/Écriture orange que vous pouvez observer sur cet écran, consultez la section Indicateur Lire/Modifier dans la section Catégories pour les rôles administrateur.

n Sélectionnez une catégorie spécifique dans le panneau de gauche. La catégorie, le nom et la description de chaque ressource s'affichent dans le panneau de droite. Le lien Détails situé à l'extrême droite dévoile chaque fonction en lecture seule et en écriture spécifique dans UEM Console.

n Vous pouvez utiliser la zone de texte Rechercher des ressources pour rechercher une fonction spécifique par nom. Par exemple, si vous souhaitez créer un rôle administrateur qui peut uniquement ajouter une balise à un terminal, saisissez le mot « balise » dans la zone de texte Rechercher des ressources et appuyez sur la touche Entrée. Chaque ressource contenant la chaîne « balise » dans la catégorie ou le nom ou dans la description ou les Détails de la description s'affiche dans le panneau de droite. Cette fonction de recherche permet de retrouver facilement la fonction spécifique associée à l'ajout de balises et son attribution à un rôle.

Note Rappelez-vous que le « préenrôlement », comme dans le préenrôlement de terminaux, inclut également la chaîne « balise ».

4 Lorsque vous avez terminé l'audit des rôles d'administrateur, sélectionnez Fermer.


VMware, Inc. 88

Étape suivante

Vous pouvez procéder ainsi pour créer vos propres rôles en consultant la section Créer un rôle administrateur.

Outil de comparaison des rôles administrateur

Lorsque vous créez un rôle d'administrateur, il est souvent plus facile de modifier un rôle existant que de créer un rôle d'administrateur de toutes pièces. L'outil de comparaison des rôles facilite ce processus.

L'outil de comparaison des rôles vous permet de voir uniquement les différences entre les deux rôles administrateur, ce qui rend le processus de comparaison relativement simple. Alternativement, vous pouvez comparer deux rôles administrateur pour confirmer et vérifier toutes les similitudes connues, qui peuvent être tout aussi importantes.

Comparer les rôles administrateur

Vous pouvez comparer les paramètres d'autorisation de deux administrateurs par souci de précision ou pour confirmer votre volonté de définir des différences.

Procédure


2 Choisissez deux des rôles répertoriés, même s'ils apparaissent sur différentes pages, et cochez les cases correspondantes.


VMware, Inc. 89

3 Cliquez sur Comparer. La page Comparer les rôles affiche une liste de catégories. Lorsque vous sélectionnez une catégorie spécifique à gauche, tous les détails correspondants sont complétés à droite.

n Si vous avez moins ou plus de deux rôles sélectionnés, le bouton Comparer ne s'affiche pas.

n Les sous-catégories de rôles peuvent être affichées dans le panneau de droite en cliquant sur le lien Détails situé à l'extrême droite. Réduisez la sous-catégorie de rôles en cliquant sur le lien Masquer.

n Une catégorie Tous/Toutes dans le panneau de gauche permet, lorsqu'elle est sélectionnée, d'afficher toutes les catégories parentes sur l'écran Comparer les rôles. Lorsque vous saisissez un paramètre de recherche dans la barre Rechercher des ressources, le panneau de droite n'affiche que la catégorie correspondante et la liste des ressources (également appelées autorisations).

n La fonction de recherche est persistante. Cela signifie que si vous avez un paramètre saisi dans la barre Rechercher les ressources, la catégorie Tous/Toutes affiche uniquement les catégories et les ressources qui correspondent. La fonction de recherche est permanente, même après avoir sélectionné des ressources spécifiques et les fonctions Lire et Modifier.

n Par défaut, seules les catégories et sous-catégories dont les paramètres diffèrent s'affichent. Vous pouvez afficher toutes les permissions, y compris les paramètres identiques pour les deux rôles sélectionnés, en cochant la case Afficher toutes les autorisations.

n Si vous sélectionnez deux rôles disposant d'autorisations totalement identiques, la console affiche un message en haut de l'écran Comparer les rôles.


VMware, Inc. 90

« Aucune différence d'autorisation entre les deux rôles. »

Étape suivante

Vous pouvez aussi cliquer sur le bouton Exporter pour créer un fichier .xlsx ou .csv (valeurs séparées par des virgules) pouvant être ouvert dans Excel. L'export contient l'ensemble des paramètres pour le rôle 1 et le rôle 2, afin de vous permettre d'analyser au mieux les différences entre les deux rôles.

Comment créer un administrateur de support technique restrictif et ajouter un rôle lui donnant des fonctions spécifiques

Vous pouvez créer un rôle personnalisé qui permet à un administrateur du support technique d'effectuer uniquement les opérations que vous lui autorisez à effectuer dans Workspace ONE UEM powered by AirWatch. Découvrez comment les comptes, les rôles et les autorisations programmables fonctionnent ensemble pour vous amener là où vous avez besoin.

Cas d'utilisation : vous avez besoin de ressources dédiées de support technique pour épauler la tâche d'ajout d'utilisateurs et de terminaux sans affecter les autres administrateurs. Ces administrateurs doivent également mettre les terminaux sur liste blanche et sur liste noire. En même temps, il est essentiel de limiter les points d'accès aux capacités de console plus élevées. Vous souhaitez ajouter plusieurs comptes d'administrateur et leur donner la possibilité d'ajouter des utilisateurs et des terminaux, ainsi que des périphériques de liste blanche et de liste noire, mais rien d'autre.

Le rôle créé dans ce cas d'utilisation est limité à quelques fonctions de console : ajout d'utilisateurs et de terminaux, ainsi que de terminaux de liste blanche et de liste noire. Ce rôle interdit toutes les autres fonctions dans Workspace ONE UEM.


Vous devez disposer d'un compte d'administrateur existant. Ce cas d'utilisation crée un rôle personnalisé basé sur le rôle « support technique », inclus avec Workspace ONE UEM powered by AirWatch, et l'attribue à votre compte d'administrateur.

Procédure


La liste complète des rôles d'administrateur s'affiche.

2 Entrez le mot clé « support » dans la zone de texte de recherche dans le coin supérieur droit de l'écran.

Tous les rôles contenant la chaîne de texte « support » apparaissent dans la liste.

3 Sélectionnez le rôle Support technique en cochant la case à gauche du nom du rôle.

Un nouveau cluster de boutons s'affiche sous le cluster de boutons principal.


VMware, Inc. 91

4 Sélectionnez le bouton Copier.

L'écran Copier le rôle s'affiche.

5 Saisissez le Nom et la Description de votre rôle de support technique personnalisé.

6 Sélectionnez le graphique orange à droite de la catégorie Tous sur le côté gauche de l'écran Copier le rôle. Sélectionnez Aucun dans la fenêtre contextuelle Choisir le mode de modification qui s'affiche.

Cette action supprime toutes les autorisations de ce rôle de support technique personnalisé, faisant table rase. Par conséquent, les seules autorisations dont disposent ces administrateurs sont celles que vous leur donnez ici.

7 Activez les huit autorisations suivantes. Vous pouvez trouver l'emplacement de la case à cocher de chaque autorisation en suivant la catégorie, la sous-catégorie et le nom de l'autorisation dans le tableau.

N'oubliez pas que vous pouvez entrer le nom de l'autorisation dans la zone de texte Ressources de recherche et accéder directement à son emplacement.

Catégorie > Sous-catégories Nom de l'autorisation (case à cocher)

Comptes > Utilisateurs > Comptes Ajouter des comptes d'utilisateurs (Modifier)

Comptes > Utilisateurs > Comptes Modifier les comptes d'utilisateurs (Modifier)

Comptes > Utilisateurs > Comptes Modifier l'inscription des utilisateurs (Modifier)

Comptes > Utilisateurs > Comptes Inscription de l'utilisateur (Lecture)

Gestion du terminal > Affichage en liste des terminaux

Accès à l'affichage en liste des terminaux (Lecture)

Gestion du terminal > Affichage en liste des terminaux

Terminaux (Lecture)

Paramètres > Terminaux et utilisateurs > Général

Ajouter le terminal sur liste noire (Modifier)

Paramètres > Terminaux et utilisateurs > Général

Ajouter un terminal de la liste blanche (Modifier)


VMware, Inc. 92

En commençant par le début du tableau, voici un aperçu des quatre premières autorisations à titre d'exemple. Le nom de la première autorisation dont nous avons besoin (appelée Ajouter un compte d'utilisateur) est disponible sur l'écran Copier le rôle en sélectionnant la catégorie « Compte » dans le panneau de gauche.

Dans ce même panneau, sélectionnez la sous-catégorie « Utilisateurs » et enfin, sélectionnez « Comptes » sous utilisateurs. Vous pouvez maintenant voir toutes les autorisations dans le panneau de droite de l'écran Copier le rôle.

Dans cette sous-catégorie « Comptes > Utilisateurs > Comptes », quatre cases à cocher nous intéressent.

1 et 2) Sélectionnez le lien Détails dans « Ajouter/modifier » pour afficher deux autorisations dans la liste. Cochez ces cases comme indiqué dans le tableau. « Ajouter des comptes d'utilisateur » et « Modifier les comptes d'utilisateur » ont tous deux la case à cocher Modifier.

3) Ensuite, sélectionnez le lien Détails pour « Ajouter un terminal » ci-dessus. Vous devez voir l'autorisation suivante dans notre liste : « Modification de l'enregistrement de l'utilisateur », qui a également la case à cocher Modifier.

4) Il reste une autorisation de cette sous-catégorie qui s'appelle « Enregistrement de l'utilisateur ». Pour la trouver, cliquez sur le lien Détails pour « Vue ». La case à cocher Lecture est présente.

Suivez le même processus pour les quatre autorisations restantes dans le tableau, en commençant par « Accès à l'affichage en liste des terminaux ».

8 Cliquez sur Enregistrer pour finaliser la définition du rôle de support technique personnalisé.

9 Attribuez ce rôle personnalisé à votre compte d'administrateur existant en accédant à Comptes > Administrateurs > Affichage en liste et cherchez votre compte d'administrateur dans la liste.

10 Sélectionnez l'icône Modifier ( ) à gauche de votre compte d'administrateur.

L'écran Ajouter/Modifier un administrateur s'affiche.

11 Sélectionnez l'onglet Rôles.

12 Attribuez le rôle de support technique personnalisé au compte d'administrateur.

Ce cas d'utilisation indique que seules neuf fonctions d'UEM Console sont attribuées à votre rôle d'administrateur. Vous pouvez cependant ajouter ce rôle personnalisé de support technique ainsi que d'autres rôles à votre compte d'administrateur, même si ce dernier est déjà associé à un ou plusieurs rôles.

13 Cliquez sur Enregistrer pour terminer l'attribution de rôle.


VMware, Inc. 93

Résultats

Lorsque des administrateurs disposant uniquement de ce rôle de support technique personnalisé se connectent à votre environnement Workspace ONE UEM, les seules fonctions auxquelles ils ont accès sont le bouton Ajouter, à partir duquel ils ne peuvent sélectionner que les deux choix suivants : Terminal et Utilisateur. Ils ont également accès au bouton du menu principal Terminaux qui inclut l'Affichage en liste et Cycle de vie > Statut d'inscription, où vous ajoutez des terminaux de la liste blanche et de la liste noire.


VMware, Inc. 94

Groupes 5Workspace ONE UEM powered by AirWatch utilise plusieurs types de groupes différents pour gérer les utilisateurs, les terminaux, les applications, le contenu, etc.


n Groupes d'attribution

n Groupes organisationnels

n Smart Groups

n Groupes d'utilisateurs

n Groupes d'administrateurs

n Voir les attributions

Groupes d'attribution

Groupes d'attribution est un terme générique utilisé pour classer certaines structures de gestion des groupes au sein de Workspace ONE UEM powered by AirWatch. Les groupes organisationnels, Smart Groups et groupes d'utilisateurs ont chacun des fonctionnalités indépendantes qui les distinguent les uns des autres.

Cependant, ces groupes partagent tous la capacité d'attribuer facilement du contenu aux terminaux des utilisateurs. Les groupes d'attribution permettent à l'administrateur de gérer ces trois structures de groupe depuis un seul emplacement.

Accédez à Groupes et paramètres > Groupes > Groupes d'attribution.

VMware, Inc. 95

Vous pouvez utiliser l'affichage en liste pour attribuer plusieurs groupes organisationnels, Smart Groups et groupes d'utilisateurs à un ou plusieurs profils, applications publiques ou politiques.

Affichage en liste des groupes d'attribution

L'affichage en liste des groupes d'attribution organise trois types de groupes qui ont comme fonction l'attribution du contenu aux terminaux : groupes organisationnels, Smart Groups et groupes d'utilisateurs. Vous pouvez créer une liste de groupes que vous voulez afficher.

Accédez à Groupes et paramètres > Groupes > Groupes d'attribution, pour l'affichage en liste des groupes d'attribution. Les seuls groupes d'attribution répertoriés pour l'affichage sont ceux gérés par le groupe organisationnel dans lequel se trouve l'administrateur.

Trier par colonne

Vous pouvez trier la liste de groupes par colonne en sélectionnant l'en-tête.

Filtrer les groupes

Vous pouvez filtrer des groupes par Type (Smart Groups, groupes organisationnels et groupes d'utilisateurs). Vous pouvez également les filtrer selon leur attribution (Attributions, Exclusions, Tout et Aucun).

Sélectionnez les liens dans la liste des groupes d'attribution

Les quatre colonnes de la liste des groupes d'attribution on une fonction spécifique et nécessite une mention spéciale.

n La colonne Groupes dispose d'un lien pour chaque Smart Group. Vous pouvez sélectionner ce lien pour modifier le Smart Group.


VMware, Inc. 96

n Si vous sélectionnez des valeurs non nulles dans la colonne Attributions, la page Afficher les attributions s'affiche, même pour les groupes organisationnels et les groupes d'utilisateurs attribués. Cette fonction vous permet d'afficher et de confirmer les attributions aux profils, aux applications publiques et aux politiques de conformité. Pour plus d'informations, reportez-vous à la section Voir les attributions.

n Si vous sélectionnez des valeurs non nulles dans la colonne Exclusions, la page Afficher les attributions s'affiche, même pour les groupes organisationnels et les groupes d'utilisateurs exclus. La page Afficher les attributions vous permet d'afficher et de confirmer les attributions des profils, applications publiques et politiques de conformité.

n Si vous sélectionnez le numéro de colonne Terminaux, la page Affichage en liste des terminaux s'affiche. La page Affichage en liste des terminaux répertorie tous les terminaux dans le groupe organisationnel, Smart Group ou groupe d'utilisateurs sélectionné. Pour plus d'informations, reportez-vous à la documentation Gestion des terminaux Workspace ONE UEM.

Attribuer un ou plusieurs groupes d'attribution

Vous pouvez attribuer des groupes aux politiques de conformité, aux applications publiques et aux profils de terminaux. Vous pouvez également attribuer plusieurs groupes de chaque type individuel (organisation, intelligent ou utilisateur) dans une seul séance.

Pour attribuer des applications publiques, vous pouvez configurer différentes politiques d'applications selon les groupes d'utilisateurs. Pour plus d'informations, reportez-vous à la section Utiliser le déploiement flexible pour l'attribution d'applications dans le Guide VMware Workspace ONE UEM de gestion des applications mobiles, qui est disponible sur docs.vmware.com.

Procédure

1 Accédez à Groupes et paramètres > Groupes > Groupes d'attribution.


VMware, Inc. 97

2 Sélectionnez un ou plusieurs groupes dans la liste et cliquez sur le bouton Attribuer au-dessus de l'entête de la colonne.

3 La page Attribuer s'affiche avec les groupes organisationnels, les Smart Groups et les groupes d'utilisateurs que vous avez sélectionnés.

4 Attribuez-les en lançant une recherche d'un profil, d'une application publique et d'une politique de conformité. Vous pouvez choisir jusqu'à 10 profils, 10 applications publiques et une seule politique de conformité.

Vous ne pouvez choisir que plusieurs entités d'un seul type par session. Par exemple, vous pouvez attribuer plusieurs groupes à 10 profils maximum dans une seule commande. Cependant, vous ne pouvez pas, dans une seule commande, attribuer plusieurs groupes à 10 profils, 10 applications et une politique de conformité. Si vous avez plusieurs entités de différents types, vous devez entreprendre des sessions d'attributions séparées pour chaque type (profils, applications et politiques).

5 Cliquez sur Suivant pour afficher la page Afficher l'attribution des terminaux pour confirmer l'attribution des groupes.

6 Cliquez sur Enregistrer et publier pour terminer l'attribution.

Groupes organisationnels

Considérez les groupes organisationnels comme des branches individuelles d'un arbre généalogique, chaque feuille étant un utilisateur de terminal. Workspace ONE UEM powered by AirWatch identifie chaque feuille et établit son rang dans l'arbre généalogique à l'aide des groupes organisationnels (OG). La plupart des clients font ressembler les arbres de groupes organisationnels à leur hiérarchie d'entreprise : cadres, direction, opérations, ventes, etc.

Vous pouvez également établir des groupes organisationnels selon les fonctionnalités et le contenu Workspace ONE UEM.


VMware, Inc. 98

Vous pouvez accéder aux groupes organisationnels en naviguant vers Groupes et paramètres > Groupes > Groupes organisationnels > Affichage en liste ou grâce au menu déroulante des groupes organisationnels.

n Créez des groupes pour les entités au sein de votre organisation (Direction, Salariés, Employés à l'heure, Ventes, Vente au détail, RH, Cadres, etc.).

n Personnalisez les hiérarchies avec des niveaux parents et enfants (par exemple, « Salariés » et « Employés à l'heure » en tant qu'enfants sous « Direction »).

n de vous intégrer à plusieurs infrastructures internes au niveau de la couche ;

n Déléguez un accès basé sur les rôles et une gestion basée sur une structure mutualisée.

Identifiez l'ID de groupe d'un groupe organisationnel

Vous pouvez identifier l'ID de groupe d'un groupe organisationnel en procédant comme suit.

1 Accédez au groupe organisationnel que vous souhaitez identifier en le sélectionnant dans le menu déroulant Groupe organisationnel.

2 Passez votre curseur sur l'étiquette du groupe organisationnel. Une fenêtre contextuelle affiche le nom et l'ID de groupe du groupe organisationnel actuellement sélectionné.

Caractéristiques des groupes organisationnels

Les groupes organisationnels s'adaptent aux entités fonctionnelles, géographiques et organisationnelles et offrent une solution mutualisée.

n Extensibilité – Assurez une prise en charge flexible pour une croissance exponentielle.

n Mutualisation – Créez des groupes se comportant comme des environnements indépendants.

n Héritage – Rationalisez le processus de configuration en paramétrant les sous-groupes pour qu'ils héritent des configurations parentes.


VMware, Inc. 99

Grâce au menu déroulant Groupe organisationnel, l'ensemble des profils, des fonctions, des applications et des autres paramètres MDM peut être défini au niveau supérieur World-Wide Enterprises.

Les sous-groupes organisationnels, comme AsiaPacific et EMEA, ou même AsiaPacific > Manufacturing et AsiaPacific > Operations > Corporate peuvent ensuite hériter de ces paramètres.

Les paramètres entre les groupes organisationnels d'une même famille comme AsiaPacific et EMEA profitent de la nature mutualisée des groupes organisationnels, en gardant ces paramètres séparés les uns des autres. Cependant, ces deux groupes organisationnels de même famille héritent des paramètres de leur groupe organisationnel parent, World Wide Enterprises.


VMware, Inc. 100

Vous pouvez aussi choisir de remplacer les paramètres à un niveau inférieur et de modifier uniquement les paramètres que vous souhaitez. Ces paramètres peuvent être modifiés et/ou propagés à n'importe quel niveau.

Conditions de la configuration des groupes organisationnels

Avant de définir la hiérarchie de votre groupe organisationnel dans Workspace ONE UEM Console, décidez d'abord de la structure du groupe. La structure de groupe vous permet de tirer le meilleur parti des paramètres, des applications et des ressources.

n Administration déléguée – Vous pouvez déléguer l'administration des sous-groupes à des administrateurs de niveau inférieur en limitant leur visibilité à un sous-groupe organisationnel.

n Les administrateurs d'entreprise peuvent accéder à ce niveau et voir tous les éléments de l'environnement.

n Le responsable LA a accès au groupe organisationnel LA et ne peut gérer que les terminaux qui s'y trouvent.

n Le responsable NY a accès au groupe NY et ne peut gérer que les terminaux qui s'y trouvent.

n Paramètres système – Les paramètres peuvent être appliqués à différents niveaux dans l'arborescence de groupes organisationnels et les sous-groupes peuvent en hériter. Ils peuvent aussi être remplacés à n'importe quel niveau. Les paramètres comprennent les options d'enrôlement de terminaux, les méthodes d'authentification, les paramètres de confidentialité et la personnalisation d'apparence.

n L'ensemble de l'entreprise établit l'enrôlement d'après le serveur Active Directory de l'entreprise.

n Les terminaux des chauffeurs remplacent l'authentification du groupe supérieur et autorisent l'enrôlement par jeton.

n Les terminaux de l'entrepôt héritent des paramètres AD du groupe supérieur.

n Cas d'utilisation des terminaux – Un profil peut être attribué à un ou plusieurs groupes organisationnels. Les terminaux membres de ces groupes peuvent alors recevoir le profil. Consultez la section Profils pour plus d'informations. AirWatch recommande de configurer les terminaux à l'aide des paramètres de profil, d'application et de contenu en fonction des attributs comme le fabricant et le modèle du terminal, le type de propriété ou les groupes d'utilisateurs avant de créer les groupes organisationnels.

n Les terminaux des cadres ne peuvent pas installer d'applications ni avoir accès au réseau Wi-Fi des commerciaux.

n Les terminaux des commerciaux sont autorisés à installer des applications et ont un accès VPN.

Comparaison des paramètres Remplacer et Hériter pour les groupes organisationnels

La hiérarchie de la structure du groupe organisationnel (OG) que vous définissez détermine les groupes organisationnels enfant et parent. Les groupes organisationnels enfant héritent des paramètres de leurs groupes organisationnels parent, mais vous pouvez choisir de remplacer cet héritage.


VMware, Inc. 101

Chaque page de paramètres système applique ses paramètres selon deux types d'options d'héritage/de remplacement relatives à la hiérarchie du groupe organisationnel : 1) paramètre actuel et 2) autorisation pour les sous-groupes. Le groupe organisationnel auquel elle applique les paramètres est le groupe organisationnel dans lequel vous vous trouvez actuellement.

En d'autres termes, si vous vous trouvez dans le groupe organisationnel Employés\Entrepôt, les modifications que vous apportez aux paramètres s'appliquent à ce groupe organisationnel ainsi qu'à tous les groupes organisationnels enfants du groupe organisationnel Entrepôt.

Par exemple, la page de paramètres Personnalisation d'apparence, qui s'affiche en accédant à Groupes et paramètres > Tous les paramètres > Système > Personnalisation d'apparence, contrôle toutes les images d'arrière-plan personnalisées, les logos et les modèles de couleurs du groupe organisationnel visible dans le menu déroulant du groupe organisationnel.

En reprenant notre exemple précédent, vous pouvez importer une nouvelle image d'arrière-plan, un nouveau logo, un autre modèle de couleurs, tous spécifiques du groupe organisationnel Employés\Entrepôt. Si vous le souhaitez, vous pouvez également configurer les paramètres à appliquer au groupe organisationnel Entrepôt uniquement. Cette option est activée en modifiant l'héritage de ce groupe organisationnel sur la page des paramètres.

Autorisation pour les sous-groupes

Considérez le paramètre Autorisation pour les sous-groupes comme l'attitude du groupe organisationnel parent envers le groupe organisationnel enfant. Il existe trois paramètres distincts pour l'autorisation pour les sous-groupes : Hériter ou remplacer, Hériter uniquement et Remplacer uniquement.

Le paramètre Hériter ou remplacer signifie simplement que le parent n'a aucune préférence pour les autorisations de l'enfant. Lorsque le paramètre Autorisation pour les sous-groupes d'un parent est Hériter ou remplacer, le paramètre actuel du groupe organisationnel enfant détermine si les paramètres sont hérités ou remplacés. Par défaut, les autorisations pour les sous-groupes sont définies sur Hériter ou remplacer.

Un paramètre Autorisation pour les sous-groupes défini sur Hériter uniquement sur le parent force l'héritage sur tous les enfants. Ce paramètre signifie que tous les enfants ont les mêmes paramètres que le parent. Un paramètre Autorisation pour les sous-groupes défini sur Remplacer uniquement supprime l'effet d'héritage sur tous les groupes organisationnels enfant, ce qui vous oblige à configurer des paramètres spécifiques à ce groupe organisationnel enfant.

Les paramètres Autorisation pour les sous-groupes affectent uniquement les enfants d'un niveau inférieur. Ces paramètres n'ont aucun impact sur les petits-enfants ou les groupes organisationnels inférieurs.

Paramètre actuel

Si Autorisation pour les sous-groupes est l'attitude du parent vis-à-vis de l'enfant, alors le paramètre actuel d'un groupe organisationnel est l'attitude de l'enfant vis-à-vis du parent. Le paramètre actuel d'un groupe organisationnel peut uniquement être Hériter ou Remplacer.


VMware, Inc. 102

Un paramètre actuel défini sur Hériter signifie que le groupe organisationnel enfant accepte tous les paramètres du groupe organisationnel parent. Sélectionnez le paramètre actuel Remplacer, et l'enfant rejette le parent et devient autonome. La sélection de Remplacer signifie que vous pouvez créer de nouveaux paramètres pour l'enfant.

Vous ne pouvez modifier le paramètre actuel d'un groupe organisationnel que si le paramètre d'autorisation enfant du groupe organisationnel parent est Hériter ou remplacer.

Toujours avec l'exemple ci-dessus, si vous souhaitez affecter les paramètres Personnalisation d'apparence au groupe organisationnel Entrepôt uniquement, vous pouvez modifier le paramètre actuel de chaque groupe organisationnel enfant du groupe Entrepôt pour le définir sur Remplacer, à condition que le paramètre Autorisation pour les sous-groupes du groupe Entrepôt corresponde au paramètre Hériter ou remplacer par défaut. Vous pouvez ensuite configurer le paramètre Personnalisation d'apparence à votre guise pour les enfants du groupe Entrepôt, pour définir une apparence identique ou différente.

Modification des paramètres d'autorisation

Vous ne pouvez pas modifier le paramètre actuel d'un enfant si le paramètre Autorisation pour les sous-groupes de son parent ne l'autorise pas. Par exemple, si le paramètre d'autorisation enfant de MomandDadOG est Remplacer uniquement, vous ne pouvez pas modifier le paramètre actuel de JuniorOG en le définissant sur Hériter. En bref, les paramètres Autorisation pour les sous-groupes d'un groupe organisationnel parent sont prioritaires sur le paramètre actuel du groupe organisationnel enfant.

Lorsque vous modifiez les paramètres actuels d'un enfant de Remplacer à Hériter, la définition du paramètre Autorisation pour les sous-groupes de son parent sur Hériter uniquement a pour effet de verrouiller le paramètre Autorisation pour les sous-groupes du groupe organisationnel enfant. Vous ne pouvez pas modifier le paramètre d'autorisation pour les sous-groupes dans ce scénario. Ce comportement ne s'applique pas si le paramètre du groupe organisationnel enfant n'est jamais remplacé.

Pour contourner ce comportement, vous devez modifier les paramètres d'autorisation enfant sur le groupe organisationnel parent en définissant l'option Hériter ou remplacer, ce qui déverrouille le paramètre d'autorisation pour les sous-groupes du groupe organisationnel enfant.

Une stratégie plus large consiste à planifier à l'avance, en configurant l'héritage et en remplaçant les paramètres au niveau des groupes organisationnels appropriés en fonction de la structure de hiérarchie souhaitée.

Héritage, mutualisation et authentification

Le concept de remplacement des paramètres en fonction du groupe organisationnel, lorsqu'il est combiné avec des caractéristiques de groupe organisationnel telles que l'héritage et la mutualisation, peut également être combiné avec l'authentification. Cette combinaison permet des configurations flexibles.

Le modèle de groupe organisationnel suivant illustre cette flexibilité.


VMware, Inc. 103

Dans ce modèle, les administrateurs, qui disposent généralement d'autorisations et de fonctionnalités plus importantes, sont positionnés au sommet de cette branche de groupe organisationnel. Ces administrateurs se connectent à leur groupe organisationnel en utilisant l'authentification SAML qui est réservée aux administrateurs.

Les utilisateurs d'entreprise sont subordonnés aux administrateurs : leur groupe organisationnel est considéré comme l'enfant de leur groupe. En qualité d'utilisateurs (et non d'administrateurs), leurs paramètres de connexion SAML ne peuvent pas hériter des paramètres administrateur. Par conséquent, le paramètre SAML des utilisateurs d'entreprise est remplacé.

Les utilisateurs BYOD diffèrent des utilisateurs d'entreprise. Les terminaux utilisés par les utilisateurs BYOD appartiennent aux utilisateurs eux-mêmes et contiennent probablement davantage d'informations personnelles. Ces profils de terminaux pourraient donc nécessiter des paramètres légèrement différents. Les utilisateurs BYOD pourraient disposer de conditions d'utilisation différentes. Les terminaux BYOD pourraient avoir besoin de paramètres d'effacement des données professionnelles différents. Pour toutes ces raisons et plus encore, il pourrait être utile pour les utilisateurs BYOD de se connecter à un autre groupe organisationnel.

Et bien qu'ils ne soient pas subordonnés aux utilisateurs d'entreprise au sens de la hiérarchie de l'entreprise, le fait de définir les utilisateurs BYOD comme des enfants d'utilisateurs d'entreprise présente des avantages. Cet arrangement signifie que les utilisateurs BYOD héritent des paramètres applicables à TOUS les terminaux des utilisateurs d'entreprise en les appliquant simplement au groupe organisationnel des utilisateurs d'entreprise.

L'héritage s'applique également aux paramètres d'authentification SAML. Étant donné que les utilisateurs de terminaux personnels sont des enfants des utilisateurs d'entreprise, ils héritent de leur SAML pour les paramètres d'authentification utilisateur.

Un autre modèle consiste à définir les utilisateurs BYOD comme des frères des utilisateurs d'entreprise.

Dans le cadre de ce modèle alternatif, les remarques suivantes sont valables.

n Tous les profils de terminaux conçus pour s'appliquer globalement à TOUS les terminaux, y compris les politiques de conformité, et les autres paramètres de terminaux applicables


VMware, Inc. 104

globalement sont appliqués à deux groupes organisationnels au lieu d'un. Cette duplication s'explique par le fait que l'héritage des utilisateurs d'entreprise pour les utilisateurs BYOD n'est plus un facteur dans ce modèle. Les utilisateurs d'entreprise et les utilisateurs BYOD sont des pairs, et il n'y a donc pas d'héritage.

n Un autre remplacement SAML doit être appliqué aux utilisateurs BYOD. Ce remplacement est nécessaire, parce que le système suppose qu'il hérite des paramètres SAML de son parent (administrateurs). Une telle hypothèse est erronée, parce que les utilisateurs BYOD ne sont pas des administrateurs et ne disposent pas des mêmes accès et permissions.

n Les utilisateurs BYOD continuent d'être traités séparément des utilisateurs d'entreprise. Ce modèle alternatif signifie qu'ils continuent de profiter de leurs propres paramètres de profil de terminal.

Quel facteur permet de déterminer le meilleur modèle ? Comparez le nombre de paramètres de terminal applicables globalement avec le nombre de paramètres de terminal spécifiques au groupe. Pour résumer, si vous voulez traiter tous les terminaux de la même manière, définissez les utilisateurs BYOD en tant qu'enfants des utilisateurs d'entreprise. S'il est plus important de conserver des paramètres séparés, définissez les utilisateurs BYOD en tant que frères des utilisateurs d'entreprise.

Créer des groupes organisationnels

Vous devez créer un groupe organisationnel pour chaque entité professionnelle dans laquelle des terminaux sont déployés. N'oubliez pas que le groupe organisationnel dans lequel vous êtes actuellement est le groupe parent du sous-groupe organisationnel que vous allez créer.

Procédure

1 Accédez à Groupes et paramètres > Groupes > Groupes organisationnels > Détails.

2 Sélectionnez l'onglet Ajouter un sous-groupe organisationnel et complétez les paramètres suivants.


Nom Saisissez un nom pour le sous-groupe organisationnel à afficher. Utilisez des caractères alphanumériques uniquement. N'utilisez pas de caractères spéciaux.

ID de groupe Saisissez un identifiant pour le groupe organisationnel que l'utilisateur final utilisera pour connecter son terminal. Les ID de groupe sont utilisés lors de l'enrôlement pour rassembler les terminaux dans le bon groupe organisationnel.

Assurez-vous que les utilisateurs qui partagent des terminaux reçoivent l'ID de groupe, celui-ci pouvant être exigé pour la connexion du terminal, en fonction des paramètres de terminal partagé.

Si vous n'êtes pas dans un environnement sur site, l'ID de groupe identifie votre groupe organisationnel dans tout l'environnement SaaS partagé. Pour cette raison, tous les ID de groupe doivent posséder un nom unique.

Type Sélectionnez le type de groupe organisationnel préconfiguré qui reflète la catégorie du sous-groupe organisationnel.


VMware, Inc. 105


Pays Sélectionnez le pays où le groupe organisationnel est basé.

Paramètres régionaux Choisissez une langue pour le pays sélectionné.

Secteur d'activité du client

Ce paramètre est uniquement disponible lorsque le type est « Client ». Sélectionnez dans la liste de secteurs d'activité des clients.

Fuseau horaire Sélectionnez le fuseau horaire pour l'emplacement du groupe organisationnel.


Fonctions des types de groupe organisationnel

Les types de groupe organisationnel peuvent avoir un impact sur les paramètres qu'un administrateur peut configurer.

n Global – Le groupe organisationnel le plus élevé. Généralement, ce groupe est appelé Global et dispose du type Global.

n Pour les environnements SaaS hébergés, vous ne pouvez pas accéder à ce groupe.

n Les clients sur site peuvent activer la journalisation détaillée à ce niveau.

n Partenaire – Le groupe organisationnel de niveau supérieur pour les partenaires (revendeurs tiers de Workspace ONE UEM).

n Client – Le groupe organisationnel de niveau supérieur pour chaque client.

n Un groupe organisationnel client ne peut pas avoir de groupes organisationnels parent/enfant de type client.

n Certains paramètres peuvent être configurés uniquement au niveau d'un groupe client. Ces paramètres se répercutent jusqu'aux organisations de niveau inférieur. Parmi les exemples figurent les domaines de messagerie à détection automatique, les paramètres du programme d'achats en grande quantité (VPP), les paramètres du programme d'enrôlement des terminaux (avant AirWatch 8.0) et le contenu personnel.

n Conteneur – Le type de groupe organisationnel par défaut.

n Tous les groupes organisationnels en dessous d'un groupe organisationnel client doivent être de type conteneur. Vous pouvez avoir des conteneurs entre les groupes partenaire et client.

n Prospect – Clients potentiels. Similaire à un groupe organisationnel client. Pourrait avoir moins de fonctionnalités qu'un véritable groupe client.

Il existe d'autres types de groupes organisationnels comme Division, Région, et vous avez aussi la possibilité de définir votre propre type de groupe organisationnel. Ces derniers n'ont pas de caractéristiques spécifiques et fonctionnent de la même façon que le type de groupe organisationnel Conteneur.


VMware, Inc. 106

Ajout de terminaux au niveau Global

Le groupe organisationnel Global est conçu pour héberger le groupe Client et d'autres types de groupes organisationnels. Étant donné le fonctionnement de l'héritage, si vous ajoutez des terminaux au groupe Global et configurez ce groupe avec des paramètres ayant une incidence sur ces terminaux, vous modifiez également tous les sous-groupes organisationnels Client. Cela réduit les avantages de la mutualisation et de l'héritage.

Pour plus d'informations, consultez la section Raisons pour lesquelles vous ne devez pas enrôler de terminaux dans Global.

Raisons pour lesquelles vous ne devez pas enrôler de terminaux dans Global

Il est déconseiller d'enrôler les terminaux directement au niveau supérieur du groupe organisationnel (appelé communément Global pour plusieurs raisons. Il s'agit de la mutualisation, de l'héritage et de la fonctionnalité.

Mutualisation

Vous pouvez créer autant de groupes organisationnels enfants que nécessaire et configurer chacun d'entre eux indépendamment. Les paramètres que vous appliquez à un groupe organisationnel enfant n'ont aucun impact sur les autres groupes enfants.

Héritage

Les modifications apportées au niveau d'un groupe organisationnel parent s'appliquent aux enfants. De la même manière, les modifications apportées à un groupe organisationnel enfant ne s'appliquent pas au parent ou aux autres enfants.

Fonctionnalité

Certains paramètres et fonctionnalités ne peuvent être configurés que pour les groupes organisationnels de type Client. Cela inclut la protection contre la réinitialisation, les télécommunications et le contenu personnel. Les terminaux ajoutés directement au groupe organisationnel de niveau supérieur Global sont exclus de ces paramètres et fonctionnalités.

Le groupe organisationnel Global est conçu pour héberger le groupe Client et d'autres types de groupes organisationnels. Étant donné le fonctionnement de l'héritage, si vous ajoutez des terminaux au groupe Global et configurez ce groupe avec des paramètres ayant une incidence sur ces terminaux, vous modifiez également tous les sous-groupes organisationnels Client. Cela réduit les avantages de la mutualisation et de l'héritage.

Restrictions de groupe organisationnel

Si vous tentez de configurer un paramètre limité au groupe organisationnel, les pages de paramètres dans Groupes et paramètres > Tous les paramètres vous informent de la limite.


VMware, Inc. 107

Les restrictions suivantes s'appliquent à la création de groupes organisationnels de niveau Client.

n Dans un environnement SaaS (software-as-a-service) ou sur site, vous ne pouvez pas créer de groupes organisationnels clients imbriqués.

Comparer deux groupes organisationnels

Vous pouvez comparer les paramètres d'un groupe organisationnel à un autre pour réduire les problèmes de migration des version. Cette fonction de comparaison des groupes organisationnels n'est disponible que pour les clients sur site.

Exemple de scénario de migration des versions : lorsqu'un serveur de test d'acceptation utilisateur (UAT) a été mis à niveau, configuré et testé, vous pouvez comparer directement les paramètres UAT aux paramètres de production.


Vous pouvez effectuer les tâches suivantes lorsque vous comparez les paramètres des groupes organisationnels.

n Téléchargez les fichiers XML contenant les paramètres des groupes organisationnels de différentes versions de logiciels Workspace ONE UEM.

n Éliminez la possibilité d'une différence de configuration susceptible de poser des problèmes lors de la migration de version.

n Filtrez les résultats de la comparaison, affichant les paramètres que vous souhaitez comparer uniquement.

n Recherchez un seul paramètre par nom grâce à la fonction de recherche.

Procédure

1 Accédez à Groupes et paramètres > Tous les paramètres > Administrateur > Gestion des paramètres > Comparaison des paramètres.

2 Sélectionnez un groupe organisationnel dans votre environnement, depuis le menu déroulant de gauche (portant le numéro 1). Sinon, vous pouvez importer le fichier de paramètres XML en cliquant sur le bouton Importer et en sélectionnant un fichier XML exporté de paramètres de groupe organisationnel.

3 Sélectionnez le groupe organisationnel avec lequel vous voulez effectuer la comparaison dans le menu déroulant de droite (portant le numéro 2).

4 Affichez une liste de tous les paramètres pour les deux groupes organisationnels choisis en sélectionnant le bouton Mettre à jour.

n Les différences entre les paramètres des deux groupes organisationnels seront automatiquement surlignées.

n Vous pouvez aussi cocher la case Afficher les différences uniquement. Cette case affiche seulement les paramètres qui s'appliquent à un groupe organisationnel mais pas un autre.


VMware, Inc. 108

n Les paramètres individuels qui sont vides (ou non indiqués) s'affichent dans la liste de comparaison en tant que « NULL ».

Smart Groups

Les Smart Groups sont des groupes personnalisables dans Workspace ONE UEM powered by AirWatch qui déterminent les plateformes, les terminaux et les utilisateurs qui recevront une application, un livre, une stratégie de conformité, un profil de terminal ou un provisionnement attribué.

Lorsque vous créez des groupes organisationnels, vous prenez appui sur la structure interne de l'entreprise : l'emplacement géographique, l'entité et le service. Par exemple, « Ventes au nord », « RH au sud ». Les Smart Groups, en revanche, permettent d'envoyer des contenus et des paramètres par plateforme de terminal, modèle, système d'exploitation, étiquette de terminal ou groupe d'utilisateurs. Vous pouvez même envoyer du contenu à des utilisateurs appartenant à différents groupes organisationnels.

Vous pouvez créer des Smart Groups lorsque vous importez du contenu et définissez les paramètres. Cependant, leur flexibilité vous permet également d'en créer à tout moment pour une attribution ultérieure.

L'avantage principal des Smart Groups réside dans leur caractère réutilisable. La création d'une nouvelle attribution à chaque ajout de contenu ou définition de profil/politique pourrait être intuitive. En revanche, si vous attribuez des personnes à des Smart Groups une seule fois, vous pouvez simplement inclure ces Smart Groups dans votre définition de contenu.

Créer et attribuer un Smart Group

Vous pouvez créer un Smart Group défini par plateforme, propriété, groupe d'utilisateurs, version du système d'exploitation, modèle, balise de terminal, OEM d'entreprise, voire par nom convial de terminaux individuels.

Par exemple, vous pouvez créer un Smart Group contenant tous les terminaux iPhone Touch personnels exécutant une version d'iOS antérieure à 9.0.2. Ajoutez à ce Smart Group tous les terminaux Android HTC version 2.0 exécutant un système d'exploitation version 4.1 ou ultérieure. Vous pouvez exclure de ce groupe les terminaux dans le groupe d'utilisateurs « à plein temps ». À ce pool hautement personnalisé de *terminaux, vous pouvez attribuer dix profils de terminaux, dix applications ou une politique de conformité.

*Certaines restrictions peuvent s'appliquer en raison de la nature multiplateforme de ce pool de terminaux personnalisé. Par exemple, vous voudrez peut-être attribuer des applications qui ne proposent pas de version Android.

Vous pouvez attribuer un Smart Group de deux façons. Tout d'abord, depuis l'affichage en liste des groupes d'attribution une fois le Smart Group enregistré. Deuxièmement, à partir du paramètre Groupes d'attribution, qui se trouve sur plusieurs écrans de la création de terminaux.


VMware, Inc. 109

Création d'un Smart Group

Avant de pouvoir attribuer un Smart Group à une application, un livre, une stratégie de conformité, un profil de terminal ou une configuration de produit, vous devez d'abord le créer.

Regardez la vidéo suivante qui fournit cinq recommandations sur la création de Smart Groups.Comment créer un Smart Group intelligemment(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_smartgroup_smartly)

Procédure

1 Sélectionnez le Groupe organisationnel (GO) approprié auquel votre nouveau Smart Group s'appliquera et à partir duquel il sera géré. La sélection d'un GO est facultative.

2 Accédez à Groupes et paramètres > Groupes > Groupes d'attribution, puis cliquez sur Ajouter un Smart Group.

3 Saisissez un nom pour le Smart Group.

4 Vous pouvez également activer l'Aperçu des terminaux pour afficher les terminaux qui sont inclus dans le Smart Group que vous avez conçu. Cet aperçu des terminaux est désactivé par défaut pour optimiser les performances.

5 Configurez le type de Smart Group.

n Critères

L'option Critères fonctionne mieux pour les groupes comprenant un grand nombre de terminaux (plus de 500) qui reçoivent des mises à jour générales. Cette méthode fonctionne mieux, car les détails propres à ces groupes peuvent atteindre tous les points de terminaison de votre flotte mobile.

n Terminaux ou utilisateurs

L'option Terminaux ou utilisateurs fonctionne mieux pour les groupes comprenant un plus petit nombre de terminaux (500 ou moins) qui reçoivent des mises à jour ponctuelles, mais néanmoins importantes. Cette méthode fonctionne mieux, car vous pouvez sélectionner les membres du groupe à un niveau granulaire.


VMware, Inc. 110

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_smartgroup_smartly

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_smartgroup_smartly

Le passage de Critères à Terminaux ou utilisateurs efface toutes les saisies et sélections effectuées.

a Avec le type Critères, choisissez des paramètres à ajouter au Smart Group. Si aucune sélection n'est effectuée dans un paramètre, ce filtrage n'est pas appliqué dans les critères.


Groupe organisationnel Ce critère filtre les terminaux par groupe organisationnel sélectionné. Vous pouvez sélectionner plusieurs groupes organisationnels.

Groupe d'utilisateurs Ce critère filtre les terminaux par groupes d'utilisateurs sélectionnés. Vous pouvez sélectionner plusieurs groupes d'utilisateurs.

Propriété Ce critère filtre les terminaux par type de propriété sélectionné.

Étiquettes Ce critère filtre les terminaux en fonction de leur étiquetage. Il est possible d'en sélectionner plusieurs.

Plateforme et système d'exploitation

Ce critère filtre les terminaux par plateforme et système d'exploitation sélectionné. Vous pouvez sélectionner plusieurs combinaisons de chaque.

Même s'il s'agit d'un critère au sein d'un Smart Group, la plateforme configurée dans le profil de terminal ou la politique de conformité sera toujours prioritaire sur celle du Smart Group. Par exemple, si un profil de terminal est créé pour la plateforme iOS, il sera seulement attribué aux terminaux iOS même si le Smart Group comporte des terminaux Android.

OEM et modèle Cette option de critères s'applique uniquement aux sélections de plateformes Windows Desktop effectuées dans Plateforme et le système d'exploitation.

Vous pouvez sélectionner un ou plusieurs fabricants d'équipement d'origine et plusieurs modèles par OEM.

Modèle (hérité) Cette option de critères filtre les terminaux de poste de travail non-Android et non-Windows par modèle. Les modèles individuels affichés sont basés sur les sélections effectuées dans Plateforme et système d'exploitation.

Faites votre choix dans la liste des modèles présentés à inclure dans votre Smart Group.

Version OEM d'entreprise Ce critère filtre les terminaux par version OEM. Vous pouvez sélectionner plusieurs versions d'OEM.

Une version OEM d'entreprise est une classification basée sur le logiciel applicable aux modèles de terminal OEM. Par exemple, une version OEM d'entreprise peut être un support logiciel supplémentaire pour les terminaux tels que les extensions de mobilité de Motorola (MX) ou Samsung SAFE. Une version OEM d'entreprise peut également être le type spécifique de système d'exploitation Android offert par un OEM, tel que ceux proposés par Honeywell, LG et Sony.

Type de gestion Filtrez les terminaux en fonction de la manière dont le terminal est géré.

Catégorie d'inscription Filtrez les terminaux en fonction de la manière dont le terminal est inscrit.


VMware, Inc. 111


Ajouts Ce critère ajoute des terminaux et des utilisateurs individuels qui ne sont pas inclus dans les critères de filtrage. Vous pouvez sélectionner plusieurs terminaux et utilisateurs.

Exclusions Ce critère exclut des terminaux individuels, des utilisateurs individuels et des groupes d'utilisateurs qui sont inclus dans les critères de filtrage. Vous pouvez exclure plusieurs terminaux, utilisateurs et groupes d'utilisateurs.

b Utilisez le type Terminaux ou utilisateurs pour attribuer du contenu et des paramètres à des cas particuliers, en dehors des critères mobiles habituels de l'entreprise. Saisissez le nom convivial dans Terminaux et le nom d'utilisateur (prénom ou nom) dans Utilisateurs. Vous devez ajouter au moins un terminal ou un utilisateur pour pouvoir enregistrer le Smart Group.


Terminaux Ajoutez un terminal à ce Smart Group en saisissant son nom convivial. Vous pouvez ajouter plusieurs terminaux à l'aide de cette méthode.

Utilisateurs Ajoutez des utilisateurs à ce Smart Group en saisissant leur nom d'utilisateur, leur prénom ou leur nom de famille. Vous pouvez ajouter plusieurs utilisateurs à l'aide de cette méthode.

6 Cliquez sur Enregistrer pour terminer.

Attribution de Smart Group

Une fois que vous avez créé le Smart Group représentant les utilisateurs et leurs terminaux et avant qu'il puisse prendre effet, vous devez l'attribuer à au moins un produit de terminal. Vous pouvez l'attribuer à une application, un livre, une stratégie de conformité, un profil de terminal, un produit provisionné ou un modèle du Hub.

Il existe deux méthodes pour attribuer un Smart Group : au moment de la création du produit de terminal, et lors de la gestion du Smart Group en tant que tel.

Attribuer un Smart Group lors de la création d'un produit du terminal

Attribuez un Smart Group lors de l'ajout ou de la création d'une application, d'un livre, d'une stratégie de conformité, d'un profil de terminal ou d'une configuration de produit.

Procédure

1 Complétez le champ déroulant Groupes attribués.

2 Sélectionnez un Smart Group dans la liste déroulante. Les Smart Groups disponibles sont gérés uniquement au sein du groupe organisationnel auquel les ressources sont ajoutées, ou d'un de ses sous-groupes organisationnels.


VMware, Inc. 112

3 Si aucun Smart Group ne correspond aux critères d'attribution souhaités, sélectionnez Créer un Smart Group. Vous pouvez attribuer plus d'un Smart Group par application, livre, stratégie de conformité, profil de terminal ou configuration de produit.

4 Cliquez sur Enregistrer pour inclure l'attribution.

Attribuer un Smart Group lors de la gestion du Smart Group

Vous pouvez attribuer un Smart Group au cours du processus de gestion du Smart Group lui-même.

Procédure

1 Affichez la liste complète des Smart Groups en accédant à Groupes et paramètres > Groupes > Groupes d'attribution.

2 Sélectionnez le(s) Smart Group(s) que vous souhaitez attribuer et cliquez sur Attribuer. La page Attribuer s'affiche. Sélectionnez le lien vers les groupes en haut de la page Attribuer pour afficher la page Groupes. Vous verrez sur cette page les groupes organisationnels qui gèrent les Smart Groups. Revenez à la page d'attribution en sélectionnant le bouton Fermer.

3 Depuis la page Attribuer, utilisez le champ de recherche pour afficher une liste de produits éligibles pour l'attribuer aux Smart Group(s) sélectionné(s).

4 Cliquez sur Suivant pour afficher la page Afficher l'attribution des terminaux et confirmer le statut d'attribution.

5 Cliquez sur Enregistrer et publier.

Exclure des groupes dans les profils et politiques de conformité

Vous pouvez exclure des groupes de l'attribution de profils de terminal et de stratégies de conformité avec autant de facilité que pour l'attribution de groupes à ces produits de terminaux.


Vous devez avoir défini les groupes avant de lancer cette tâche. Vous devez au moins faire en sorte qu'un Smart Group soit composé des utilisateurs que vous souhaitez exclure. Cette tâche vous permet de créer un nouveau Smart Group à la volée, mais si vous préférez exclure un groupe d'organisationnel ou un groupe d'utilisateurs, reportez-vous respectivement à Créer des groupes organisationnels, Ajouter des groupes d'utilisateurs avec intégration d'annuaire ou Ajouter des groupes d'utilisateurs sans intégration d'annuaire (personnalisés).

Procédure

1 Lors de l'ajout d'un profil de terminal ou d'une stratégie de conformité, sélectionnez Oui en regard du paramètre Exclusions pour afficher l'option Groupes exclus.


VMware, Inc. 113

2 Dans les paramètres des groupes exclus, sélectionnez les groupes que vous souhaitez exclure de l'attribution de ce profil ou de cette politique.

n Vous pouvez entrer les premières lettres du groupe par nom et la fonction de recherche automatique affiche tous les groupes dont le nom correspond à la chaîne que vous avez entrée.

n Vous pouvez sélectionner un ou plusieurs groupes organisationnels, groupes d'utilisateurs ou Smart Groups.

n Vous pouvez créer un nouveau Smart Group en sélectionnant le bouton Créer un Smart Group.

3 Sélectionnez Enregistrer et publier (pour les profils de terminal) ou Suivant (pour les stratégies de conformité) et continuez le processus pour ces tâches.

Résultats

Si vous sélectionnez le même groupe dans les paramètres des groupes attribués et des groupes exclus, vous ne pouvez pas enregistrer le profil ou la politique.

Exemple

Vous souhaitez qu'une stratégie de conformité s'applique à tous les utilisateurs de terminaux à l'exception des dirigeants.

Étape suivante

Prévisualisez les terminaux concernés en sélectionnant Afficher l'attribution des terminaux.

Affichage en liste des Smart Groups

Gérez vos Smart Groups en les modifiant, en les attribuant, en supprimant leur attribution, en les excluant ou en les supprimant depuis Workspace ONE UEM Console.

Affichez la liste complète des Smart Groups en accédant à Groupes et paramètres > Groupes > Groupes d'attribution. Les administrateurs ne voient que les groupes qu'ils peuvent gérer selon leurs paramètres de permissions.


VMware, Inc. 114

Les colonnes Groupes, Attributions, Exclusions et Terminaux contiennent toutes des liens cliquables donnant accès à des informations détaillées.

n Lorsque vous cliquez sur les liens des colonnes Attributions ou Exclusions, l'écran Afficher les attributions du Smart Group s'affiche.

n Lorsque vous cliquez sur un lien dans la colonne Terminaux, la page Terminaux > Affichage en liste s'affiche et contient uniquement les terminaux du Smart Group.

n Vous pouvez filtrer votre collection de groupes par type de groupe (Smart Groups, groupes organisationnels, groupes d'utilisateurs ou tous) ou par statut d'attribution. Le statut attribué indique si le groupe est attribué, exclus, attribué et exclus, ou aucun des deux.

n Vous pouvez également attribuer un Smart Group directement depuis la liste.

Supprimer un Smart Group

Lorsque vous n'avez plus besoin d'un Smart Group, vous pouvez le supprimer. Vous ne pouvez supprimer qu'un Smart Group à la fois. La sélection de plus d'un Smart Group masque le bouton Supprimer.

Pour pouvoir être supprimé, un Smart Group ne peut pas être attribué à un produit de terminal. Voir Supprimer l'attribution d'un Smart Group.

Si vous êtes certain que le Smart Group que vous souhaitez supprimer n'est pas attribué, procédez comme suit.

1 Accédez à Groupes et paramètres > Groupes > Groupes d'attribution et recherchez le Smart Group que vous souhaitez supprimer de la liste.

2 Cochez la case située à gauche du Smart Group que vous souhaitez supprimer.

3 Sélectionnez Supprimer dans le menu d'actions qui s'affiche.

Résultats : le Smart Group non attribué a été supprimé.


VMware, Inc. 115

Modifier un Smart Group

Vous pouvez modifier un Smart Group établi. Toutes les modifications que vous appliquez à un Smart Group ont des répercutions sur l'ensemble des profils et des politiques auxquels ce Smart Group est attribué.

Procédure

1 Accédez à Groupes et paramètres > Groupes > Groupes d'attribution.

2 Sélectionnez l'icône Modifier ( ) située à gauche du Smart Group répertorié que vous souhaitez modifier. Vous pouvez aussi sélectionner le nom du Smart Group dans la colonne Groupe. La page Modifier le Smart Group affichera les paramètres actuels.

3 Sur la page Modifier le Smart Group, modifiez soit les critères soit les terminaux et utilisateurs (selon l'option choisie lors de l'enregistrement du Smart Group), puis cliquez sur Suivant.

4 Sur la page Afficher les attributions, vous pouvez vérifier les profils, applications, livres, configurations et stratégies qui peuvent être ajoutés aux terminaux ou supprimés de ceux-ci suite à vos modifications.

5 Cliquez sur Publier pour enregistrer les modifications apportées aux Smart Groups. Les attributions de l'ensemble des profils, des applications, des livres, des configurations et des politiques liés à ce Smart Group sont modifiées en fonction des nouveaux critères.

Résultats

L’enregistreur des événements de la console garde une trace des modifications apportées aux Smart Groups, notamment de l’auteur de la modification, des terminaux ajoutés et des terminaux supprimés.

Exemple

Voici un exemple de besoin typique de modification d'un Smart Group. Supposons qu'un Smart Group pour cadres est attribué à une politique de conformité, à un profil de terminal et à deux applications internes. Si vous souhaitez exclure certains dirigeants d'un ou plusieurs des éléments de contenu attribués, il vous suffit de modifier le Smart Group en spécifiant Exclusions. Cette action empêche non seulement l'installation des deux applications internes sur les terminaux des cadres exclus, mais également celle de la stratégie de conformité et du profil de terminal.

Supprimer l'attribution d'un Smart Group

Vous pouvez supprimer l'attribution d'un Smart Group d'une application, un livre, une stratégie, un profil ou un produit. Cette action entraîne la suppression du contenu associé depuis tous les terminaux.


VMware, Inc. 116

Procédure

1 Pour supprimer l'attribution de Smart Groups des applications, livres, politiques de conformité, profils de terminaux ou provisionnements de produits. Suivez les chemins de navigation indiqués.

n Applications natives : accédez à Ressources > Applications > Natives et sélectionnez l'onglet Publiques ou Internes.

n Applications SaaS : accédez à Ressources > Applications > SaaS et sélectionnez l'onglet Publiques ou Internes.

n Livres : accédez à Ressources > Livres > Affichage en liste et sélectionnez l'onglet Publics, Internes ou Web.

n Stratégie de conformité : accédez à Terminaux > Stratégies de conformité > Affichage en liste.

n Profil de terminal : accédez à Ressources > Profils et lignes de base > Profils.

n Provisionnement de produit : accédez à Terminaux > Provisionnement > Affichage en liste des produits.

2 Localisez le contenu ou le paramètre dans la liste et sélectionnez l'icône Modifier dans le menu d'actions.

3 Sélectionnez l'onglet Attribution ou localisez la zone de texte Smart Groups.

4 Cliquez sur Supprimer (X) en regard du Smart Group dont vous souhaitez supprimer l'attribution. Cette action n'entraîne pas la suppression du Smart Group. Elle supprime simplement l'attribution du Smart Group des paramètres enregistrés.

5 Suivez les étapes habituelles pour enregistrer vos modifications.

Rechercher des événements liés aux Smart Groups à l'aide du journal des événements de la console

Vous pouvez suivre les modifications apportées aux Smart Groups (ainsi que l'auteur et la date de la modification) grâce au journal des événements de la console. Ce suivi peut s'avérer utile en cas de résolution de problème sur les terminaux.

Procédure

1 Accédez à Monitor > Rapports et analyses > Événements > Événements de la console.

2 Sélectionnez Smart Groups dans le filtre déroulant Module situé au-dessus de la liste des événements de la console.

3 Appliquez les filtres supplémentaires de votre choix, notamment la période, la sévérité et la catégorie.

4 Le cas échéant, cliquez sur le lien hypertexte de la colonne Données de l'événement qui contient des détails supplémentaires pouvant vous aider dans votre recherche.


VMware, Inc. 117

Groupes d'utilisateurs

Vous pouvez regrouper des ensembles d'utilisateurs en groupes d'utilisateurs qui , comme les groupes organisationnels, filtrent l'attribution des applications et des profils. Lors de la configuration de votre environnement dans Workspace ONE UEM powered by AirWatch, alignez les groupes d'utilisateurs avec les groupes de sécurité et les rôles professionnels au sein de votre organisation.

Vous pouvez attribuer des profils, des politiques de conformité, du contenu et des applications aux utilisateurs et aux terminaux avec des groupes d'utilisateurs. Vous pouvez ajouter vos groupes de services d'annuaire dans Workspace ONE UEM ou créer entièrement des groupes d'utilisateurs.

En plus des groupes d'utilisateurs, vous pouvez également gérer le contenu en attribuant des terminaux selon des plages d'adresses IP réseau préconfigurées ou des attributs personnalisés.

Groupes d'utilisateurs sans intégration d'annuaire, personnalisés

La création de groupes d'utilisateurs en dehors de la structure Active Directory existant au sein votre organisation vous permet de créer des groupes d'utilisateurs spécialisés à tout moment. Personnalisez les groupes d'utilisateurs en fonction de votre déploiement en configurant l'accès aux fonctionnalités et au contenu de façon spécifique.

Vous pouvez par exemple créer un groupe d'utilisateurs provisoire pour un projet spécifique nécessitant des politiques de conformité, des profils de terminaux et des applications spécialisés.

Pour plus d'informations sur l'ajout de groupes d'utilisateurs par lots, consultez la section Importer par lots les groupes d'utilisateurs.

Ajouter des groupes d'utilisateurs sans intégration d'annuaire (personnalisés)

Vous pouvez établir un groupe d'utilisateurs personnalisé en dehors de votre structure professionnelle, et ce, en fonction du groupe d'utilisateurs nécessaires. Les groupes d'utilisateurs personnalisés ne peuvent être ajoutés qu'au niveau d'un groupe organisationnel client.

Procédure

1 Accédez à Comptes > Groupes d'utilisateurs > Affichage en liste, sélectionnez Ajouter, puis cliquez sur Ajouter un groupe d'utilisateurs.

2 Choisissez Personnalisé pour le paramètre Type du groupe d'utilisateurs.

3 Saisissez le nom du groupe et la description utilisés pour identifier le groupe d'utilisateurs dans Workspace ONE UEM Console.

4 Confirmez le groupe organisationnel qui gère le groupe d'utilisateurs et cliquez sur Enregistrer.


VMware, Inc. 118

5 Vous pouvez ajouter des utilisateurs à ce nouveau groupe d'utilisateurs en accédant à Comptes > Utilisateurs > Affichage en liste.

Ajoutez plusieurs utilisateurs en cochant les cases situées à gauche de chaque nom d'utilisateur répertorié. Sélectionnez ensuite le bouton Gestion au-dessus de l'en-tête de colonne et choisissez Ajouter au groupe d'utilisateurs.

Groupes d'utilisateurs avec intégration d'annuaire

Une alternative aux groupes d'utilisateurs personnalisés sans intégration avec Active Directory est offerte à travers l'intégration des groupes d'utilisateurs qui applique votre structure Active Directory existante, vous offrant alors de nombreux avantages.

Une fois que vous avez importé vos groupes de services d'annuaire existants dans Workspace ONE UEM comme groupes d'utilisateurs, vous pouvez exécuter les actions suivantes.

n Gestion des utilisateurs – Référencez vos groupes de services d'annuaire existants (tels que les groupes de sécurité ou les listes de distribution) et alignez la gestion des utilisateurs dans Workspace ONE UEM avec les systèmes organisationnels existants.

n Profils et politiques – Attribuez les profils, les applications et les politiques aux groupes d'utilisateurs d'un déploiement Workspace ONE UEM.

n Mises à jour intégrées – Mettez automatiquement à jour les attributions des groupes d'utilisateurs en fonction des modifications apportées à l'appartenance au groupe.

n Autorisations de gestion – Définissez les autorisations de gestion pour permettre uniquement aux administrateurs approuvés de modifier les attributions de profils et de politiques pour certains groupes d'utilisateurs.

n Enrôlement – Autorisez les utilisateurs à s'enrôler avec les identifiants existants et à attribuer automatiquement un groupe organisationnel.

L'administrateur doit désigner un groupe organisationnel existant comme groupe organisationnel racine principal à partir duquel il gérera les terminaux et les utilisateurs. Les services d'annuaire doivent être activés au niveau de ce groupe organisationnel racine.

Vous pouvez ajouter vos groupes de services d'annuaire existants à Workspace ONE UEM. Ceci n'entraîne pas la création immédiate de comptes utilisateur pour chaque compte de service d'annuaire, mais permet de s'assurer que Workspace ONE UEM les reconnaît comme des groupes d'utilisateurs. Vous pouvez utiliser ce groupe pour limiter qui est autorisé à s'enrôler.

Pour plus d'informations sur l'ajout de groupes d'utilisateurs d'annuaires en masse, consultez la section Importer par lots les groupes d'utilisateurs.

Ajouter des groupes d'utilisateurs avec intégration d'annuaire

Définir des groupes d'utilisateurs avec intégration d'annuaire favorise une approche alignée de la gestion des terminaux : l'enrôlement des terminaux et les mises à jour qui suivent, l'aperçu administratif et la gestion des utilisateurs sont verrouillés avec votre structure de service d'annuaire existant.


VMware, Inc. 119


Assurez-vous que le type de groupe d'utilisateurs sélectionné est Annuaire.

Procédure

1 Accédez à Comptes > Groupes d'utilisateurs > Affichage en liste, sélectionnez Ajouter, puis cliquez sur Ajouter un groupe d'utilisateurs.


Type Sélectionnez le type de groupe d'utilisateurs.

n Annuaire – Créez un groupe d'utilisateurs aligné avec votre structure Active Directory existante.

n Personnalisé – Créez un groupe d'utilisateurs à l'intérieur de la structure Active Directory existante de votre organisation. Ce type de groupe d'utilisateurs accorde aux utilisateurs d'annuaire et basiques l'accès aux fonctionnalités et au contenu pour qu'ils personnalisent les groupes d'utilisateurs en fonction de votre déploiement. Les groupes d'utilisateurs personnalisés ne peuvent être ajoutés qu'au niveau d'un groupe organisationnel client.

Type externe Sélectionnez le type externe de groupe que vous ajoutez.

n Groupe – Renvoie à la classe d'objets de l'unité organisationnelle sur laquelle votre groupe d'utilisateurs sera basé. Personnalisez cette classe en accédant à Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > Services d'annuaire > Groupe.

n Unité organisationnelle – Elle renvoie à la classe d'objets de l'unité organisationnelle sur laquelle votre groupe d'utilisateurs sera basé. Personnalisez cette classe en accédant à Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > Services d'annuaire > Groupe.

n Requête personnalisée – Vous pouvez également créer un groupe d'utilisateurs contenant des utilisateurs que vous localisez en lançant une requête. En sélectionnant ce type externe, vous remplacez la fonction Texte recherché mais vous affichez la section Requête personnalisée.

Texte recherché Saisissez les critères de recherche pour identifier le nom d'un groupe d'utilisateurs dans votre annuaire puis cliquez sur Rechercher pour le trouver. Si un groupe d'annuaire contient votre texte de recherche, une liste de noms de groupe apparaît.

Cette option n'est pas disponible lorsque l'option Type externe est définie sur Requête personnalisée.

Nom d'annuaire Le paramètre Lecture seule affiche l'adresse de votre serveur de services d'annuaire.

Domaine et Nom de base unique du groupe

Ces informations sont automatiquement complétées en fonction des informations relatives au serveur des services d'annuaire, saisies sur la page Services d'annuaire (Groupes et paramètres > Système > Intégration d'entreprise > Services d'annuaire).

Sélectionnez le signe plus (+) Récupérer le nom unique de base à côté du paramètre Nom unique de base du groupe qui affiche la liste des noms uniques que vous pouvez sélectionner.

Classe d'objets personnalisée

Ceci permet d'identifier la classe d'objets pour laquelle vous avez lancé votre requête. La classe d'objets par défaut est « Personne » mais vous pouvez fournir une classe d'objets personnalisée pour mieux identifier vos utilisateurs.

Ce paramètre est disponible lorsque l'option Requête personnalisée est sélectionnée comme Type externe.


VMware, Inc. 120


Nom de groupe Choisissez un nom de groupe dans la liste de résultats de la fonction Rechercher le texte. La sélection d'un nom de groupe altère automatiquement la valeur du paramètre Nom unique.

Cette option n'est disponible qu'une fois votre recherche réussie grâce au champ Texte recherché.

Nom unique Ce paramètre en lecture seule affiche le nom unique du groupe que vous créez.

Cette option est disponible lorsque les options Groupe ou Unité d'organisation sont sélectionnées comme Type externe.

Nom unique de base personnalisé

Il permet d'identifier le nom unique qui sert de point de départ à votre requête. Le nom unique de base par défaut est AirWatch et sso. Toutefois, si vous souhaitez effectuer la demande depuis un autre point de départ, vous pouvez fournir un nom unique de base personnalisé.


Attribution au groupe organisationnel

Ce paramètre facultatif vous permet d'attribuer le groupe d'utilisateurs créé à un groupe organisationnel spécifique.


Paramètres du groupe d'utilisateurs

Faites votre choix entre Appliquer les paramètres par défaut et Utiliser les paramètres personnalisés pour ce groupe d'utilisateurs. Reportez-vous à la section Paramètres personnalisés pour des descriptions de champs supplémentaires. Vous pouvez configurer cette option depuis les paramètres de permission une fois le groupe créé.


Requête personnalisée : Requête

Ce paramètre affiche la requête actuellement chargée et utilisée lorsque vous sélectionnez le bouton Requête de test, puis Continuer. Les modifications apportées au paramètre Logique personnalisée ou Classe d'objets personnalisées s'afficheront ici.

Logique personnalisée

Ajoutez votre requête de logique personnalisée ici : nom d'utilisateur ou nom d'administrateur. Par exemple, "cn=jsmith". Vous pouvez autant de nom unique que vous le souhaitez. Le bouton Requête de test vous permet de voir si la syntaxe de votre demande est correcte avant de cliquer sur Continuer.

Paramètres personnalisés : Autorisations de gestion

Vous pouvez autoriser ou non tous les administrateurs à gérer le groupe d'utilisateurs que vous créez.

Rôle par défaut Sélectionnez un rôle par défaut pour le groupe d'utilisateurs depuis le menu déroulant.

Stratégie d'enrôlement par défaut

Sélectionnez une politique d'enrôlement par défaut depuis le menu déroulant.

Synchronisation automatique avec l'annuaire

Cette option active la synchronisation d'annuaire qui permet de détecter l'appartenance de l'utilisateur depuis le serveur d'annuaire et de la stocker dans un tableau provisoire. Les administrateurs approuvent les modifications apportées à la console, sauf si l'option Fusion automatique est sélectionnée.

Si vous souhaitez empêcher la synchronisation automatique des groupes d'utilisateurs pendant une synchronisation planifiée, ce paramètre doit être désactivé.


VMware, Inc. 121


Fusion automatique des modifications

Activez cette option pour appliquer automatiquement les modifications depuis la base de données sans approbation administrative.

Nombre maximum de modifications autorisé

Utilisez ce paramètre afin de définir un seuil pour le nombre de modifications de synchronisation automatiques du groupe d'utilisateurs pouvant se produire avant de donner l'approbation.

Les modifications dépassant le seuil doivent être approuvées par l'administrateur et une notification est envoyée à cet effet.

Cette option est disponible seulement lorsque l'option Fusion automatique des modifications est activée.

Ajout automatique des membres du groupe

Activez ce paramètre pour ajouter automatiquement des utilisateurs au groupe d'utilisateurs.

Si vous souhaitez empêcher la synchronisation automatique des groupes d'utilisateurs pendant une synchronisation planifiée, ce paramètre doit être désactivé.

Envoi d'e-mails à l'utilisateur lors de l'ajout d'utilisateurs manquants

Permet d'envoyer un e-mail aux utilisateurs lorsque des utilisateurs manquants sont ajoutés au groupe d'utilisateurs. L'ajout d'utilisateurs manquants combine le tableau temporaire des groupes d'utilisateurs avec le tableau Active Directory.

Modèle de message Cette option est disponible seulement lorsque l'option Envoi d'e-mails à l'utilisateur lors de l'ajout d'utilisateurs manquants est activée.

Sélectionnez un modèle de message pour la notification par e-mail lors de l'ajout d'utilisateurs manquants au groupe d'utilisateurs.

Lors de l'ajout d'utilisateurs Active Directory dans la Workspace ONE UEM Console, la disponibilité du modèle de message dépend du mode d'enrôlement configuré dans Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement en sélectionnant Authentification et en choisissant la valeur de l'option Mode d'enrôlement des terminaux.

Lorsque Enrôlement ouvert est sélectionné en tant que Mode d'enrôlement des terminaux, un modèle d'e-mail Activation de l'utilisateur est disponible dans le menu déroulant Modèle de message. Cet e-mail permet au nouvel utilisateur AD de s'inscrire.

Lorsque Terminaux enregistrés uniquement est sélectionné en tant que Mode d'inscription des terminaux, un modèle d'e-mail Activation du terminal est disponible dans le menu déroulant Modèle de message. Cet e-mail permet au nouvel utilisateur AD d’inscrire ses terminaux. Si Exiger un jeton d'enregistrement est activé, le terminal peut être enregistré avec le jeton intégré dans le message.

Pour plus d'informations sur le nom unique, recherchez l'article TechNet de Microsoft intitulé « Object Naming » sur https://technet.microsoft.com/.


Modifier les autorisations de vos groupes d'utilisateurs

En déterminant les autorisations des groupes d'utilisateurs, vous pouvez reconsidérer qui, au sein de votre organisation, peut modifier certains groupes. Par exemple, si votre entreprise dispose d'un groupe d'utilisateurs pour les cadres, vous ne voudrez peut-être pas que les administrateurs d'un niveau inférieur gèrent les autorisations de ce groupe d'utilisateurs.


VMware, Inc. 122

https://technet.microsoft.com/

Utilisez la page Permissions pour contrôler qui gère certains groupes d'utilisateurs et qui attribue les profils, les politiques de conformité et les applications aux groupes d'utilisateurs.

Procédure

1 Accédez à Comptes > Groupes d'utilisateurs > Affichage en liste.

2 Cliquez sur Modifier en regard d'un groupe d'utilisateurs existant.

3 Sélectionnez l'onglet Permissions, puis cliquez sur Ajouter.

4 Sélectionnez le groupe organisationnel pour lequel vous souhaitez définir des permissions.

Vous devez sélectionner un groupe organisationnel (GO) qui se trouve dans la hiérarchie racine des groupes organisationnels du groupe d'utilisateurs.

5 Sélectionnez les autorisations que vous souhaitez activer.

n Gérer ce groupe (Modifier/Supprimer) – Activez la possibilité de modifier et de supprimer les groupes d'utilisateurs.

n Gérer les utilisateurs au sein du groupe et autoriser l'enrôlement : gère les utilisateurs du groupe d'utilisateurs et autorise l'enrôlement des terminaux dans le groupe organisationnel. Ce paramètre ne peut être activé que lorsque l'option Gérer ce groupe (Modifier/Supprimer) est également activée. Si l'option Gérer ce groupe (Modifier/Supprimer) est désactivée, ce paramètre est également désactivé.

n Utiliser ce groupe pour l'attribution – Utilise le groupe pour attribuer aux terminaux des politiques de sécurité et des ressources d'entreprise. Ce paramètre ne peut être modifié que lorsque l'option Gérer ce groupe (Modifier/Supprimer) est désactivée. Si l'option Gérer ce groupe (Modifier/Supprimer) est activée, ce paramètre est verrouillé et non modifiable.

n Le paramètre est désactivé lorsque le groupe d'utilisateurs est géré par un groupe organisationnel parent et que vous souhaitez attribuer le groupe à partir de l'un de ses groupes organisationnels enfant.

6 Choisissez la portée de ces permissions, c'est-à-dire quels groupes d'administrateurs sont autorisés à gérer ou à utiliser ce groupe d'utilisateurs. Une seule des options suivantes peut être active.

n Administrateur uniquement : les autorisations ne concernent que les administrateurs du groupe organisationnel parent.

n Tous les administrateurs de ce groupe d'organisations ou du groupe d'organisations situé en dessous : les autorisations ont une incidence sur les administrateurs du groupe organisationnel et sur tous les administrateurs de tous les groupes organisationnels enfants situés en-dessous.



VMware, Inc. 123

Accès aux détails des utilisateurs

Une fois vos utilisateurs et groupes d'utilisateurs en place, vous pouvez afficher toutes les informations sur les utilisateurs concernant leurs détails, les terminaux associés et les interactions.

Accédez aux informations utilisateur depuis n'importe quel emplacement de Workspace ONE UEM Console où apparaît le nom de l'utilisateur, y compris dans les pages suivantes de la console.

n Membres d'un groupe d'utilisateurs (Comptes > Groupes d'utilisateurs > Affichage des détails > Plus > Afficher les utilisateurs)

n Affichage de la liste des utilisateurs (Comptes > Utilisateurs > Affichage en liste)

n Affichage de la liste des administrateurs (Comptes > Administrateurs > Affichage en liste).

Les détails de l'utilisateur s'affichent sur une seule page.

n tous les groupes d'utilisateurs associés

n tous les terminaux associés à l'utilisateur à un moment ou à un autre, ainsi qu'un lien vers l'ensemble des terminaux enrôlés

n tous les terminaux auxquels l'utilisateur s'est connecté dans un environnement de terminaux partagés, ainsi qu'un lien vers l'historique complet des connexions/déconnexions de terminaux

n tous les journaux d'événements concernant les terminaux et l'utilisateur

n Toutes les conditions d'utilisation attribuées, acceptées et refusées

Chiffrer les données personnelles

Vous pouvez chiffrer les informations d'identification personnelles, notamment le prénom, le nom de famille, l'adresse e-mail et le numéro de téléphone.

Procédure

1 Accédez à Groupes et paramètres > Tous les paramètres > Système > Sécurité > Sécurité des données depuis le groupe organisationnel Global ou de niveau Client pour lequel vous voulez configurer le chiffrement.

2 Activez le paramètre Chiffrer les informations utilisateur, puis sélectionnez les paramètres de données de l'utilisateur individuel pour activer le chiffrement. Cette action désactive les fonctions de recherche, de tri et de filtrage.

3 Cliquez sur Enregistrer pour chiffrer les données utilisateur de manière à ce qu'elles ne soient pas accessibles dans la base de données. En procédant ainsi, vous limiterez certaines fonctionnalités de Workspace ONE UEM Console, comme la recherche, le tri et le filtrage.

Affichage en liste des groupes d'utilisateurs

La page d'affichage en liste des groupes d'utilisateurs fournit des outils utiles pour la maintenance et le maintien des groupes d'utilisateurs communs, notamment l'affichage, la fusion,


VMware, Inc. 124

la suppression des groupes d'utilisateurs, l'ajout d'utilisateurs manquants et la synchronisation des groupes d'utilisateurs.

Accédez à Comptes > Groupes d'utilisateurs > Affichage en liste.

Vous pouvez utiliser l'affichage en liste des comptes d'utilisateurs pour créer immédiatement des listes d'utilisateurs, selon les critères que vous jugez importants. Vous pouvez aussi ajouter de nouveaux utilisateurs, individuellement ou en masse.

Action Description

Filtres Affichez seulement les utilisateurs souhaités en utilisant les filtres suivants.

n Type de groupe d'utilisateurs.

n Statut de synchronisation.

n Statut de fusion.

Ajout

Ajoutez un groupe d'utilisateurs.

Ajoutez un seul groupe d'utilisateurs, basé sur l'annuaire ou personnalisé.

Importation par lots Importez de nouveaux groupes d'utilisateurs par lot en utilisant un fichier de valeurs séparées par des virgules (.csv). Vous pouvez organiser plusieurs groupes d'utilisateurs à la fois en entrant un nom et une description uniques.

Tri et redimensionnement des colonnes

Les colonnes de l'affichage en liste peuvent être triées par nom de groupe, dernière synchronisation, utilisateurs et statut de la fusion. Les colonnes qui peuvent être redimensionnées sont Nom du groupe et Dernière synchronisation.

Affichage des détails Affichez les informations sur les groupes d'utilisateurs basiques dans la vue Détails en sélectionnant le lien dans la colonne Nom du groupe. Ces informations comprennent le nom du groupe et son type, le type externe, le responsable et un certain nombre d'utilisateurs. L'affichage des détails comprend également un lien vers les paramètres de mappage du groupe dans Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement sous l'onglet Regroupement.

Exporter ( )Enregistrez un fichier .xlsx ou .csv (valeurs séparées par des virgules) de l'intégralité de l'Affichage en liste avec ou sans filtre. Ces deux formats de fichier peuvent être affichés et analysés avec MS Excel.

L'affichage en liste des groupes d'utilisateurs propose une case à cocher et une icône Modifier,

à gauche de l'utilisateur. Sélectionnez l'icône Modifier ( ) pour faire des modifications de base au groupe d'utilisateurs. Vous pouvez effectuer des actions en masse sur des groupes d'utilisateurs en sélectionnant un ou plusieurs groupes afin d'afficher les boutons d'action sur les listes.

Plus d'actions pour les groupes d'utilisateurs

Vous pouvez sélectionner plusieurs groupes d'utilisateurs en cochant autant de cases que vous le souhaitez. Les boutons d'actions seront alors différents et ces actions s'appliqueront à plusieurs groupes ainsi qu'à leurs utilisateurs respectifs.


VMware, Inc. 125

Action Description

Synchroniser Copiez les utilisateurs du groupe d'utilisateurs récemment ajoutés vers le tableau temporaire, manuellement, avant la synchronisation d'Active Directory automatiquement programmée par Workspace ONE UEM et Workspace ONE Express

Note Le processus de synchronisation des attributs utilisateur se poursuit même s'il existe un utilisateur en double. Lorsqu'un tel échec de synchronisation se produit, une entrée est créée dans le journal des événements de la console à des fins de dépannage, appelée DuplicateUserSyncFailure. Vérifiez cette entrée et les autres entrées du journal des événements de la console en accédant à Surveiller > Rapports et analyses > Événements > Événement de la console.

Afficher les utilisateurs

Affiche l'écran Membres d'un groupe d'utilisateurs dans lequel vous pouvez passer en revue les noms d'utilisateur de tous les membres du groupe d'utilisateurs sélectionné.

Plus d'actions

Afficher et fusionner Affichez, ajoutez et/ou supprimez des utilisateurs récemment ajoutés au tableau temporaire des groupes d'utilisateurs. Les utilisateurs du groupe d'utilisateurs qui s'affichent dans ce tableau attendent que le groupe d'utilisateurs automatisé se synchronise dans Workspace ONE UEM et Workspace ONE Express.

Ajouter les utilisateurs manquants

Combinez le tableau temporaire des groupes d'utilisateurs avec le tableau Active Directory, rendant l'ajout de ces nouveaux utilisateurs au groupe d'utilisateurs officiel.

Supprimer Supprimez un groupe d'utilisateurs.

Ajouter des utilisateurs aux groupes d'utilisateurs

Vous pouvez ajouter des utilisateurs aux groupes d'utilisateurs, selon les besoins. Si vous ne souhaitez pas attendre la synchronisation Active Directory des groupes d'utilisateurs, qui est une occurrence automatique planifiée, vous pouvez synchroniser manuellement les groupes d'utilisateurs.

Lors de l'ajout d'un nouvel utilisateur à un ou plusieurs groupes d'utilisateurs, suivez ces étapes :

Procédure

1 Accédez à Comptes > Utilisateurs > Affichage en liste.

2 Sélectionnez un ou plusieurs utilisateurs dans la liste en cochant la case située à gauche de chaque entrée.

3 Cliquez sur Plus d'actions, puis sur Ajouter un groupe d'utilisateurs. La page Ajouter les utilisateurs sélectionnés à un groupe d'utilisateurs personnalisé s'affiche.

4 Vous pouvez ajouter des utilisateurs à un groupe d'utilisateurs existant ou créer un nouveau groupe d'utilisateurs.

5 Choisissez le nom du groupe.



VMware, Inc. 126

7 Accédez à Comptes > Groupes d'utilisateurs > Affichage en liste.

a La synchronisation Active Directory (AD) (processus planifié et automatisé) copie ces utilisateurs du groupe d'utilisateurs en attente dans un tableau temporaire. Ensuite, ces utilisateurs du groupe d'utilisateurs sont examinés, ajoutés ou supprimés.

b Si vous ne souhaitez pas attendre la synchronisation AD automatisée, vous pouvez effectuer la synchronisation manuellement. Démarrez une synchronisation manuelle en sélectionnant le groupe d'utilisateurs auquel vous avez ajouté les utilisateurs, puis sélectionnez le bouton Synchroniser.

Note Le processus de synchronisation des attributs utilisateur se poursuit même s'il existe un utilisateur en double. Lorsqu'un tel échec de synchronisation se produit, une entrée est créée dans le journal des événements de la console à des fins de dépannage, appelée DuplicateUserSyncFailure. Vérifiez cette entrée et les autres entrées du journal des événements de la console en accédant à Surveiller > Rapports et analyses > Événements > Événement de la console.

8 Vous pouvez aussi cliquer sur Plus > Afficher et fusionner pour procéder aux tâches de maintenance comme la vérification, l'ajout et/ou la suppression des utilisateurs des groupes d'utilisateurs en attente.

9 Combinez le tableau temporaire des utilisateurs du groupe d'utilisateurs en attente avec les utilisateurs du groupe d'utilisateurs Active Directory en sélectionnant Plus > Ajouter les utilisateurs manquants.

Groupes d'administrateurs

Les groupes d'administrateurs vous permettent de regrouper les sous-ensembles de comptes administrateurs pour l'attribution de rôles et d'autorisations, au-delà des permissions inhérentes au compte administrateur dans Workspace ONE UEM powered by AirWatch.

Les groupes d'administrateurs peuvent être utilisés pour attribuer des rôles et des permissions donnant accès à la console pour un projet spécifique. Vous pouvez ajouter vos groupes de services d'annuaire existants dans les groupes d'administrateurs ou créer entièrement des groupes d'utilisateurs.

Par exemple, si vous avez une nouvelle directive d'entreprise, vous pourriez avoir besoin d'attribuer un accès administrateur spécial à un groupe de formateurs. Vous pouvez créer un groupe d'administrateurs, effectuer une requête personnalisée pour les formateurs et attribuer un rôle propre à cette nouvelle initiative d'entreprise. Pour plus d'informations, reportez-vous à la section Comptes administrateur.

Affichage en liste des groupes d'administrateurs

La page Affichage en liste des groupes admin dans Workspace ONE UEM powered by AirWatch propose des outils utiles pour la maintenance et l'entretien des groupes d'utilisateurs courants.


VMware, Inc. 127

Ce type de maintenance comprend l'ajout, l'affichage, la fusion et la suppression des groupes d'utilisateurs et des utilisateurs manquants.

Consultez cette page en naviguant vers Comptes > Administrateurs > Groupes d'administrateurs.

Affichez la page Modifier le groupe d'administrateurs en sélectionnant le nom hypertexte dans la colonne Nom de groupe de la vue de liste. Utilisez cette page pour changer le nom du groupe d'administrateurs. Vous pouvez également ajouter et supprimer des rôles applicables aux membres du groupe. Pour plus d'informations, reportez-vous à la section Rôles administrateur.

Affichez la liste Membres du groupe administrateur en sélectionnant le numéro de lien hypertexte dans la colonne Admin. Cette liste répertorie les noms de tous les administrateurs du groupe d'administrateurs.

Accédez aux actions et aux fonctions de maintenance suivantes en sélectionnant le bouton radio situé à côté du nom du groupe.

Action Description

Synchronisation Copiez les utilisateurs du groupe d'administrateurs récemment ajoutés vers le tableau temporaire, manuellement, avant la synchronisation d'Active Directory automatiquement programmée par Workspace ONE UEM.

Plus d'actions

Afficher et fusionner Affichez, ajoutez et/ou supprimez des utilisateurs récemment ajoutés au tableau temporaire des groupes d'administrateurs. Les administrateurs du groupe d'administrateurs qui apparaissent dans ce tableau attendent la synchronisation de groupes d'administrateurs automatisée d'Workspace ONE UEM.

Supprimer Supprimer un groupe d'administrateurs

Mettre en premier, Déplacer vers le haut, Déplacer vers le bas, Mettre en dernier

Vous pouvez modifier le rang de chaque groupe d'administrateurs comme il apparaît dans la liste. Ceci s'avère utile lorsque les groupes d'administrateurs ne tiennent pas sur une seule page.

Ajoutez les utilisateurs manquants.

Combinez le tableau temporaire des groupes d'administrateurs avec le tableau Active Directory, officialisant ainsi l'ajout de ces nouveaux administrateurs au groupe.

Ajouter des groupes d'administrateurs

Vous pouvez ajouter des groupes d'administrateurs dans Workspace ONE UEM powered by AirWatch pour attribuer des autorisations et des rôles supplémentaires à vos administrateurs pour des projets particuliers.


VMware, Inc. 128

Procédure

1 Accédez à Comptes > Administrateurs > Groupes d'administrateurs et cliquez sur Ajouter. Configurez les paramètres appropriés.


Type externe Sélectionnez le type externe de groupe administrateur que vous ajoutez.

n Groupe – Renvoie à la classe d'objets du groupe sur laquelle votre groupe d'administrateurs est basé. Personnalisez cette classe en accédant à Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > Services d'annuaire > Groupe.

n Unité organisationnelle – Renvoie à la classe d'objets de l'unité organisationnelle sur laquelle votre groupe d'administrateurs est basé. Personnalisez cette classe d'objet en accédant à Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > Services d'annuaire > Groupe.

n Requête personnalisée – Vous pouvez également créer un groupe d'administrateurs avec des administrateurs que vous localisez en lançant une requête. En sélectionnant ce type externe, vous remplacez la fonction Texte recherché mais vous affichez la section Requête personnalisée.

Nom d'annuaire Le paramètre Lecture seule affiche l'adresse de votre serveur de services d'annuaire.

Domaine et Nom de base unique du groupe

Ces informations sont automatiquement complétées en fonction des informations relatives au serveur des services d'annuaire, saisies sur la page Services d'annuaire (Comptes > Groupes d'utilisateurs > Paramètres > Services d'annuaire).

Sélectionnez le signe plus (+) Récupérer le nom unique de base à côté du paramètre Nom unique de base du groupe qui affiche la liste des noms de domaine de base que vous pouvez sélectionner.

Texte recherché Saisissez les critères de recherche pour identifier le nom d'un groupe d'administrateurs dans votre annuaire puis cliquez sur Rechercher pour le trouver. Si un groupe d'annuaire contient votre texte de recherche, une liste de noms de groupe apparaît.

En outre, vous pouvez appliquer les rôles par défaut au groupe d'administrateurs que vous créez. Après une recherche réussie, sélectionnez l'onglet Rôles, puis cliquez sur Ajouter pour ajouter un nouveau rôle. Vous pouvez également modifier un rôle existant en changeant la sélection Groupe organisationnel et Rôle.

Ce paramètre est disponible lorsque les options Groupe ou Unité organisationnelle sont sélectionnées comme Type externe.

Classe d'objets personnalisée

Ceci permet d'identifier la classe d'objets pour laquelle vous avez lancé votre requête. La classe d'objets par défaut est « Personne », mais vous pouvez fournir une classe d'objets personnalisée pour mieux identifier vos utilisateurs.


Nom unique de base personnalisé

Il permet d'identifier le nom unique qui sert de point de départ à votre requête. Par défaut, il s'agit de « airwatch » ou de « sso », mais vous pouvez fournir un nom unique de base personnalisé si vous souhaitez effectuer la demande depuis un autre point de départ.


Nom de groupe Choisissez un nom de groupe dans la liste de résultats de la fonction Rechercher le texte. La sélection d'un nom de groupe altère automatiquement la valeur du paramètre Nom unique.

Ce paramètre n'est disponible qu'une fois votre recherche réussie grâce au champ Texte recherché.


VMware, Inc. 129


Nom unique Un paramètre Lecture seule affiche le nom unique du groupe d'administrateurs que vous créez.

Ce paramètre n'est disponible qu'une fois votre recherche réussie grâce au champ Texte recherché.

Rang Un paramètre Lecture seule affiche le rang du groupe d'administrateurs une fois créé. Vous pouvez modifier ce rang en accédant à Groupes et paramètres > Groupes > Groupes

d'administrateurs et en déplaçant sa position à l'aide du bouton Plus à droite de la liste de groupes d'administrateurs.

Synchronisation automatique

Cette option active la synchronisation d'annuaire qui permet de détecter l'appartenance de l'utilisateur depuis le serveur d'annuaire et de la stocker dans un tableau provisoire. Un administrateur approuve toutes les modifications apportées à la console, sauf si l'option Fusion automatique est activée.

Fusion automatique Activez cette option pour appliquer automatiquement les modifications depuis la base de données sans approbation administrative.

Nombre maximum de modifications autorisé

Utilisez ce paramètre afin de définir un seuil pour le nombre de modifications de synchronisation automatiques du groupe d'administrateurs pouvant se produire avant de donner l'approbation.

Ce paramètre est disponible seulement lorsque l'option Fusion automatique est activée.

Ajout automatique des membres du groupe

Activez cette option pour ajouter automatiquement des administrateurs au groupe d'administrateurs.

Fuseau horaire Renseignez le fuseau horaire associé au groupe d'administrateurs. Ce paramètre obligatoire impacte la synchronisation programmée et automatisée d'Active Directory.

Paramètres régionaux

Sélectionnez la langue associée au groupe d'administrateurs. Ce paramètre est obligatoire.

Page d'arrivée initiale

Renseignez les éléments de la page d'arrivée initiale pour les administrateurs dans le groupe d'administrateurs. Le paramètre par défaut pour ce paramètre obligatoire est le tableau de bord des terminaux, mais vous pouvez choisir la page que vous souhaitez.

Requête personnalisée

Requête Ce paramètre affiche la requête actuellement chargée et utilisée lorsque vous sélectionnez le bouton Requête de test, puis Continuer. Les modifications apportées au champ Logique personnalisée ou Classe d'objets personnalisées s'afficheront ici.

Logique personnalisée

Ajoutez votre requête de logique personnalisée ici, par exemple, nom d'administrateur. Par exemple, "cn=jsmith". Vous pouvez autant de nom unique que vous le souhaitez. Le bouton Requête de test vous permet de voir si la syntaxe des résultats de votre demande est correcte avant de cliquer sur Continuer.

Pour plus d'informations sur le nom unique, recherchez l'article TechNet de Microsoft intitulé « Object Naming » sur https://technet.microsoft.com/.



VMware, Inc. 130

https://technet.microsoft.com/

Voir les attributions

Vous avez la possibilité de prévisualiser et de confirmer les profils de terminal, applications, livres, canaux et stratégies de conformité inclus dans les groupes attribués ou exclus de ceux-ci dans Workspace ONE UEM powered by AirWatch.

Procédure

1 Accédez à la liste des Smart Groups dans Groupes et paramètres > Groupes > Groupes d'attribution et repérez un groupe attribué à au moins une entité.

2 Dans la colonne Attributions, sélectionnez le chiffre hypertexte pour ouvrir la page Afficher les attributions. Cette page affiche uniquement les catégories contenant des attributions ou des exclusions dans le groupe.

Étape suivante

Au-dessus de la ligne d'en-tête de l'écran Afficher les attributions, vous pouvez utiliser le bouton Actualiser, le bouton Exporter et la zone de texte Liste de recherche pour localiser et confirmer que chaque profil, application, livre, chaîne et stratégie de conformité a été attribué.


VMware, Inc. 131

Portail en libre-service dans Workspace ONE UEM 6Présentez le portail en libre-service (SSP) aux utilisateurs finaux du terminal et permettez-leur d'effectuer des tâches de gestion de terminal de base, d'examiner les problèmes et de les résoudre, afin de réduire les sollicitations du service de support. Si les administrateurs ont accès à Workspace ONE UEM powered by AirWatch, les utilisateurs finaux du terminal disposent eux du SSP.

Accéder au portail en libre-service depuis les terminaux

Vous pouvez accéder au portail en libre-service depuis vos postes de travail ou terminaux en naviguant vers https://AirWatchEnvironment > /MyDevice. Si vous utilisez un terminal prenant en charge les raccourcis et les signets, votre administrateur peut fournir ces raccourcis pour vous permettre d'accéder au portail en libre-service directement.

Personnalisations du portail en libre-service

Vous pouvez modifier l'arrière-plan de la page de connexion par défaut en configurant les paramètres de personnalisation d'apparence.

Accédez à Groupes et paramètres > Tous les paramètres > Système > Personnalisation d'apparence et sélectionnez le bouton Importer dans le paramètre Arrière-plan de la page de connexion du portail en libre-service. Sélectionnez une image d'arrière-plan personnalisée avec une taille suggérée de 1 024x768 pixels.

Configuration du programme d'amélioration produit

Le portail en libre-service est inclus dans le programme d'amélioration produit de VMware, qui vous permet d'influencer la qualité et l'efficacité de nos produits. Lorsqu'il est activé, ce programme teste uniquement les données d'utilisation, qui sont essentielles pour garantir que nous répondons aux besoins réels de nos clients.

Vous pouvez vous inscrire au programme d'amélioration des produits ou vous en désinscrire à tout moment en accédant à Groupes et paramètres > Tous les paramètres > Admin > Programmes d'amélioration des produits.

Pour en savoir plus sur ce programme, reportez-vous à la page https://resources.workspaceone.com/view/9yfkbk6r2pzldhjlhrz9.

VMware, Inc. 132

https://resources.workspaceone.com/view/9yfkbk6r2pzldhjlhrz9

https://resources.workspaceone.com/view/9yfkbk6r2pzldhjlhrz9

Mesures de sécurité basées sur des jetons

Comme fonctionnalité de sécurité, les modifications suivantes ont été apportées aux comptes enrôlés avec un jeton.

n L'adresse e-mail et le numéro de téléphone sur les écrans Ajouter un terminal et Compte sont en lecture seule.

n L'action Afficher le message d'enrôlement a été supprimée.


n Configuration de la page de connexion par défaut pour le SSP

n Page Mes terminaux du portail en libre-service

n Actions à distance dans le portail en libre-service

n Matrice des commandes du portail en libre-service

Configuration de la page de connexion par défaut pour le SSP

Vous pouvez définir la méthode d'authentification par défaut affichée sur le Portail en libre-service de Workspace ONE UEM powered by AirWatch en fonction des besoins de votre organisation et de vos utilisateurs.

Note ce paramètre n'est disponible qu'au niveau global pour les clients sur site.

Configurez ce paramètre en naviguant vers Groupes et paramètres > Tous les paramètres > Installation > Avancé > Autre et en définissant le type d'authentification SSP sur :

n E-mail – Invite les utilisateurs à saisir leur adresse e-mail, si vous avez activé la détection automatique.

n Détaillé – Les utilisateurs seront invités à saisir leur ID de groupe et leurs identifiants (nom d'utilisateur/mot de passe).

n Dédié – Les utilisateurs seront invités à saisir uniquement leurs identifiants (nom d'utilisateur/mot de passe). Cette option définit par défaut un seul ID de groupe pour les environnements à client unique.

Page Mes terminaux du portail en libre-service

La page Mes terminaux du Portail en libre-service donne accès aux informations détaillées des terminaux et permet aux utilisateurs d'effectuer de nombreuses actions dans Workspace ONE UEM powered by AirWatch.

Les onglets visibles et les actions disponibles dépendent de la plateforme de votre terminal. Consultez le guide de la plateforme concernée, disponible sur docs.vmware.com.


VMware, Inc. 133

Sélectionner une langue pour le portail en libre-service

Le portail en libre-service s'adapte automatiquement à la langue par défaut du navigateur. Vous pouvez cependant remplacer ce paramètre par défaut en choisissant dans le menu déroulant Sélectionner la langue sur l'écran de connexion.

Se connecter au portail en libre-service

Connectez-vous à l'aide des mêmes identifiants (ID de groupe, nom d'utilisateur et mot de passe) que ceux utilisés lors de l'enrôlement dans Workspace ONE UEM.

Modifier le mot de passe du portail en libre-service

Vous pouvez utiliser la page Compte pour modifier le mot de passe associé à votre compte Workspace ONE UEM. Ce mot de passe sera utilisé pour l'enrôlement du terminal et la connexion au portail en libre-service.

Modifiez votre mot de passe en cliquant sur le bouton Compte situé en haut à droite de l'écran du portail self-service. La page Compte utilisateur s'affiche vous permettant de cliquer sur le bouton Modifier à côté du champ Mot de passe actuel.

Note Si un utilisateur final du terminal se connecte au SSP pour modifier le code secret d'un terminal partagé avant qu'il n'expire, le délai d'expiration du groupe organisationnel associé au terminal partagé est appliqué à ce nouveau code d'accès (et non celui du groupe organisationnel à partir duquel l'utilisateur final est géré).

Supposons par exemple que vous disposiez d'une structure de groupe organisationnel avec un « parent » en haut et un « enfant » en dessous. Supposons que le compte de l'utilisateur final est géré à partir du « parent » avec un code secret qui expire au bout de 90 jours. Supposons également que le terminal partagé est géré par un « enfant » avec un code secret qui expire au bout de 30 jours. Ainsi, lorsque l'utilisateur final se connecte au portail en libre service et modifie le code secret du terminal partagé avant son expiration, la nouvelle date d'expiration du code d'accès passe de 90 jours (parent) à 30 jours (enfant).

La solution consiste alors à s'assurer de configurer le code secret du terminal partagé depuis le groupe organisationnel à partir duquel les utilisateurs sont gérés.

En tant qu'administrateur, si vous modifiez le code secret du terminal partagé de l'utilisateur final à l'écran Ajouter/modifier un utilisateur à partir de la Workspace ONE UEM Console, le délai d'expiration du groupe organisationnel à partir duquel l'utilisateur final est géré est bien appliqué au nouveau code secret.

Sélection d'un terminal dans le portail en libre-service

Lorsque vous êtes connecté au SSP, la page Mes terminaux affiche tous les terminaux associés au compte. Chaque terminal enrôlé apparaît dans son propre onglet en haut de l'écran du portail en libre-service. Cliquez sur l'onglet correspondant au terminal que vous souhaitez afficher et gérer.


VMware, Inc. 134

Le statut du terminal figure sous le nom du terminal dans l'onglet. Ces statuts sont : Découvert, Enrôlé, Enrôlement en attente, Désenrolé et En attente d'effacement des données professionnelles.

Ajouter un terminal dans le SSP

Vous pouvez ajouter un terminal directement depuis le SSP.

Procédure

1 Cliquez sur Ajouter un terminal sur la page Mes terminaux.

2 Remplissez les zones de texte requises : Nom convivial, Plate-forme, Propriété du terminal et Type de message, le cas échéant.

3 Cliquez sur Enregistrer pour ajouter les nouveaux terminaux au compte SSP.

Résultats

Note Un terminal nouvellement ajouté aura comme statut « Enrôlement en attente » jusqu'à ce qu'il soit pleinement enrôlé.

Informations sur le terminal dans le SSP

Lorsqu'un utilisateur se connecte au SSP, son terminal principal s'affiche dans la visionneuse. La page d'affichage principal présente les informations basiques telles que la date d'enrôlement, la dernière connexion et le statut du terminal.

Lorsque vous cliquez sur le bouton Voir les détails, les onglets suivants contenant des informations sur le terminal sélectionné s'affichent.

n Résumé – Affiche un résumé des informations sur la conformité, les profils, les applications, le contenu, le nom convivial, le numéro d'actif, le numéro UDID et l'adresse MAC Wi-Fi.

n Le nom convivial d'un terminal peut être modifié directement depuis l'affichage de l'onglet Résumé en sélectionnant l'icône Modifier à droite de la zone de texte Nom convivial.

Note la fonction du rôle utilisateur Résumé des terminaux contrôle la visibilité de l'onglet Résumé sur le portail en libre-service. Si des informations spécifiques ne sont pas disponibles dans l'affichage du rôle de l'utilisateur suite à la désactivation d'une fonction comme Applications du terminal, Conformité du terminal ou Profils des terminaux, les informations correspondantes figurant dans l'onglet Résumé seront également masquées. Pour obtenir des instructions détaillées sur la limitation des ressources pour les rôles d'utilisateur et d'administrateur, reportez-vous à la section Création d'un rôle utilisateur et Créer un rôle administrateur.

n Conformité – Cet onglet affiche le statut de conformité du terminal, notamment le nom et le niveau de toutes les politiques de conformité appliquées à ce terminal.


VMware, Inc. 135

n Profils – Cet onglet affiche tous les profils MDM (y compris les profils automatiques) qui ont été envoyés sur les terminaux enrôlés sous votre compte utilisateur. Cet affiche également le statut de chaque profil.

n Applications – Cet onglet affiche toutes les applications installées sur le terminal sélectionné et fournit des informations de base sur les applications.

n Sécurité – Affiche les informations de sécurité générales d'un terminal particulier enrôlé sous le compte utilisateur.

Actions à distance dans le portail en libre-service

Le Portail en libre-service Workspace ONE UEM powered by AirWatch permet aux utilisateurs finaux d'exploiter les principaux outils MDM sans intervention du service informatique. À condition qu'un administrateur le permette, les utilisateurs finaux peuvent exécuter le SSP dans un navigateur Web et accéder aux principaux outils d'assistance MDM.

Les administrateurs disposent de plusieurs actions et options distantes pour les terminaux gérés qui leur sont accessibles. Cependant, lorsque les terminaux appartiennent aux employés, ces derniers pourraient avoir besoin d'accéder à des outils de gestion similaires pour leur propre usage. Le portail en libre-service (SSP) permet aux employés d'utiliser certains des principaux outils MDM sans aucune intervention du service informatique. Si vous l'activez, les utilisateurs finaux peuvent exécuter le SSP dans un navigateur Web et accéder à ces outils d'assistance MDM. Vous pouvez également activer ou désactiver l'affichage des informations et la capacité d'effectuer des actions à distance depuis le portail en libre-service.

Les utilisateurs finaux peuvent réaliser des actions à distance sur les terminaux sélectionnés depuis le portail en libre-service. Votre administrateur détermine les autorisations d'action du terminal sélectionné et les actions disponibles dans le portail self-service, lesquelles varient selon la plateforme. Les actions autorisées sont réparties en Actions simples et en Actions avancées sur la page d'accès principale.

L'administrateur détermine les autorisations. Les actions des utilisateurs de terminaux pourraient donc être limitées. Consultez le guide de la plateforme concernée, disponible sur docs.vmware.com. Vous pouvez également rechercher les options propres à une plateforme dans l'aide en ligne.

Actions basiques à distance dans le SSP

Les actions basiques à distance s'affichent dans le sous-onglet Actions basiques du terminal sélectionné dans le portail en libre-service. Les actions disponibles dépendent du statut d'enrôlement, de la plateforme du terminal et des permissions.


VMware, Inc. 136

Action Description

Modifier le code d'accès

Spécifiez un nouveau code d'accès pour le terminal sélectionné.

Si un utilisateur final du terminal se connecte au SSP pour modifier le code secret d'un terminal partagé avant qu'il n'expire, le délai d'expiration du groupe organisationnel associé au terminal partagé est appliqué à ce nouveau code d'accès (et non celui du groupe organisationnel à partir duquel l'utilisateur final est géré).

Supposons par exemple que vous disposiez d'une structure de groupe organisationnel avec un « parent » en haut et un « enfant » en dessous. Supposons que le compte de l'utilisateur final est géré à partir du « parent » avec un code secret qui expire au bout de 90 jours. Supposons également que le terminal partagé est géré par un « enfant » avec un code secret qui expire au bout de 30 jours. Ainsi, lorsque l'utilisateur final se connecte au portail en libre service et modifie le code secret du terminal partagé avant son expiration, la nouvelle date d'expiration du code d'accès passe de 90 jours (parent) à 30 jours (enfant).

La solution consiste alors à s'assurer de configurer le code secret du terminal partagé depuis le groupe organisationnel à partir duquel les utilisateurs sont gérés.

En tant qu'administrateur, si vous modifiez le code secret du terminal partagé de l'utilisateur final à l'écran Ajouter/modifier un utilisateur à partir de la Workspace ONE UEM Console, le délai d'expiration du groupe organisationnel à partir duquel l'utilisateur final est géré est bien appliqué au nouveau code secret.

Supprimer le code d'accès

Effacez le code d'accès du terminal sélectionné et invitez à définir un nouveau code d'accès. Cette action s'avère utile si les utilisateurs oublient leur code d'accès et ne peuvent plus accéder à leur terminal.

Supprimer le terminal Supprimez le terminal du portail en libre-service.

Supprimer l'inscription

Supprimez du portail en libre-service tout enregistrement d'enrôlement en cours.

Demande d'informations

Demandez au terminal d'envoyer un ensemble complet d'informations MDM au serveur Workspace ONE UEM.

Réinitialisation de terminaux

Effacez toutes les données du terminal sélectionné, notamment l'ensemble des données, e-mails, profils et capacités MDM et réinitialisez le terminal.

Télécharger le Hub Téléchargez et installez Workspace ONE Intelligent Hub sur le terminal sur lequel vous affichez le SSP.


Efface toutes les données d'entreprise du terminal sélectionné et supprime le terminal de Workspace ONE UEM. Toutes les données d'entreprise contenues sur un terminal sont supprimées, y compris les profils MDM, politiques et applications internes. Le terminal revient à son état avant l'installation de Workspace ONE UEM.

Localiser le terminal Activez la fonctionnalité GPS pour localiser un terminal perdu ou volé. Cette action est masquée lorsque les paramètres de confidentialité sont restrictifs

Verrouiller le terminal/l'écran

Verrouille le terminal sélectionné de sorte qu'un utilisateur non autorisé ne puisse y accéder, ce qui est utile en cas de perte ou de vol du terminal. Les utilisateurs finaux peuvent également utiliser la fonction GPS pour localiser le terminal.

Verrouillage de la SSO Verrouillez le code d'accès SSO pour les applications sur ce terminal. L'ouverture de la prochaine application SSO exigera la saisie du code d'accès.

Faire sonner Localisez un terminal en le faisant sonner à distance.

Renvoyer le messages d'enrôlement

Envoyez une autre copie de l'e-mail, du SMS ou du code QR d'enrôlement initial vers le terminal qui souhaite s'enregistrer.

En tant que fonctionnalité de sécurité, l'adresse e-mail qui apparaît dans le formulaire Renvoyer le message d'enrôlement est en lecture seule pour les comptes qui s'enrôlent avec un jeton.


VMware, Inc. 137

Action Description

Envoyer un message Envoyez une notification par e-mail, téléphone, ou SMS au terminal.

Définir l'itinérance Active ou désactivez l'itinérance sur ce terminal.

Synchroniser le terminal

Équipe les terminaux des politiques d'entreprise, des applications et du contenu les plus récents.

Afficher le messages d'enrôlement

Affichez l'e-mail, le SMS ou le code QR compris dans le message d'enrôlement initial.

En tant que fonctionnalité de sécurité, cette action n'est pas disponible pour les comptes qui s'enrôlent avec un jeton.

Note les actions d'enregistrement et d'enrôlement apparaissent dans le SSP seulement lorsque le terminal est encore en cours d'enrôlement.

Actions avancées à distance dans le SSP

Les actions avancées à distance s'affichent dans le sous-onglet Actions avancées du terminal sélectionné dans le portail en libre-service. Les actions disponibles dépendent du statut d'enrôlement, de la plateforme du terminal et des permissions.

Action Description

Générer le jeton de l'application Générez un jeton que le terminal peut utiliser pour accéder aux applications protégées.

Gestion des e-mails Gérez les terminaux connectés à un compte de messagerie.

Réviser les conditions d'utilisation Révisez les anciennes conditions d'utilisation de ce compte.

Annuler le jeton Révoquez le jeton pour une application sélectionnée.

Importer un certificat S/MIME Importez un certificat S/Mime pour un compte de messagerie professionnelle.

Matrice des commandes du portail en libre-service

Chacune des plateformes de terminal majeures prend en charge diverses actions simples et avancées sur le Portail en libre-service dans Workspace ONE UEM powered by AirWatch.

Action Android iOS macOS Win Mobile Win 7 Win Desktop

Actions simples

Modifier le code d'accès. ✓

Supprimer le code d'accès (SSO). ✓ ✓ ✓

Supprimer le terminal. ✓ ✓ ✓ ✓ ✓ ✓

Supprimer l'inscription. ✓ ✓ ✓ ✓ ✓

Requête de terminal ✓ ✓ ✓ ✓ ✓

Réinitialisation du terminal ✓ ✓ ✓ ✓

Télécharger le Hub. ✓ ✓

Effacement des données professionnelles ✓ ✓ ✓ ✓ ✓ ✓


VMware, Inc. 138

Action Android iOS macOS Win Mobile Win 7 Win Desktop

Localiser le terminal. ✓ ✓ ✓ ✓

Verrouillage du terminal/de l'écran. ✓ ✓ ✓ ✓ ✓

Verrouiller la SSO. ✓

Faire sonner. ✓

Renvoyer le message d'enrôlement. ✓ ✓ ✓ ✓ ✓

Envoyer un message. ✓ ✓ ✓ ✓ ✓ ✓

Configurer l'itinérance. ✓

Synchroniser le terminal. ✓ ✓

Afficher le message d'enrôlement.* ✓ ✓ ✓ ✓ ✓

Actions avancées

Générer le jeton d'application. ✓ ✓ ✓ ✓ ✓ ✓

Gérer les e-mails. ✓ ✓ ✓

Consulter les conditions d'utilisation. ✓ ✓ ✓ ✓ ✓ ✓

Annuler le jeton. ✓ ✓ ✓ ✓ ✓ ✓

Importer un certificat S/MIME. ✓ ✓ ✓ ✓ ✓ ✓

* En tant que fonctionnalité de sécurité, cette action n'est pas disponible pour les comptes qui s'enrôlent avec un jeton.


VMware, Inc. 139

notions de base relatives à la console - vmware€¦ · aperçu d'uem console monitor 8...

Documents