Como gerenciar dispositivos. VMware Workspace ONE UEM 1903

Transcrição

1 Como gerenciar dispositivos VMware Workspace ONE UEM 1903

2 Você pode encontrar a documentação técnica mais atualizada no site da VMware, em: O site da VMware também fornece as atualizações mais recentes de produtos. Caso tenha comentários sobre esta documentação, envie seu feedback para: docfeedback@vmware.com VMware, Inc Hillview Ave. Palo Alto, CA VMware Brasil Rua Surubim, 504 4º andar CEP Cidade Monções São Paulo SÃO PAULO: Brasil Tel: Fax: Direitos autorais 2019 VMware, Inc. Todos os direitos reservados. Informações sobre direitos autorais e marca registrada. VMware, Inc. 2

3 Conteúdo 1 10 Painel do dispositivo 10 Modo de exibição de lista de dispositivos 12 Pop-up de passar o mouse no modo de exibição de lista de dispositivos 13 Filtrar dispositivos no modo de exibição de lista 13 Adicionar dispositivo do modo de exibição de lista 15 Dispositivos com inscrição cancelada 17 Ações em massa no Modo de exibição de lista de dispositivos 18 Seleção de dispositivos no modo de exibição de lista de dispositivos 19 Detalhes dos dispositivos 20 Abas do menu de detalhes do dispositivo 22 Ações do dispositivo por plataforma 23 Descrições de ação do dispositivo 27 Status de inscrição 32 Visualização de detalhes do status de inscrição 33 Proteção contra limpeza de dados 34 Definir configurações de proteção contra limpeza de dados para dispositivos gerenciados 34 Visualizar registros de limpeza de dados 35 Atribuições do dispositivo 36 Ativar atribuições de dispositivo 36 Definir regras de atribuição ou intervalo de rede do dispositivo 39 Dispositivos compartilhados 40 Definir a hierarquia de dispositivos compartilhados 42 Configurar dispositivos compartilhados 42 Como fazer o login e o logout nos dispositivos Android compartilhados 44 Como fazer o login e o logout nos dispositivos compartilhados ios 44 Fazer o login e o logout nos dispositivos macos compartilhados 44 Check-in em um dispositivo compartilhado no console do UEM 45 Ativar inscrição baseada em serviço de diretório 45 Valores de pesquisa 46 2 Inscrição de dispositivo 48 Inscrever um dispositivo no Workspace ONE Intelligent Hub 48 Fluxos de trabalho de inscrição adicionais 49 Inscrição direta do Workspace ONE 51 Opções compatíveis de inscrição direta do Workspace ONE 51 Ativar a inscrição direta para o Workspace ONE 53 Inscrever seu dispositivo com a inscrição direta do Workspace ONE 54 VMware, Inc. 3

4 Inscrição básica x de serviços de diretório 55 Integração de serviços de diretório e restrições de inscrição 56 Considerações de inscrição, básico versus diretório 57 Ativar inscrição básica 58 Inscrição BYOD (estratégia BYOD) 58 Considerações de inscrição, BYOD 58 Identifique os dispositivos corporativos e especifique o tipo de proprietário padrão 60 Solicitar aos usuários que identifiquem o tipo de propriedade 61 Autoinscrição versus validação de dispositivo 61 Considerações de inscrição, autoinscrição 62 Processo padrão de autoinscrição 63 Considerações de inscrição, validação de dispositivo 63 Modo supervisionado 65 Preparar um dispositivo de usuário único 67 Preparar um dispositivo para múltiplos usuários 68 Registro do dispositivo 69 Considerações de inscrição, registro 69 Registrar um dispositivo individual 71 Identificadores de dispositivo ausentes durante o registro 73 Registrar vários dispositivos 74 Registro do dispositivo do usuário 74 Orientar usuários a registrarem o próprio dispositivo 75 Rastreamento do status da inscrição do dispositivo 76 Ativar tokens de registro e criar uma mensagem padrão 76 Gerar um token com o console do UEM 77 Gerar um token com o Self Service Portal (SSP) 78 Realizar inscrição com token de registro 79 Configurar opções de inscrição 79 Configurar opções de inscrição em Termos de uso 81 Configurar opções de inscrição na aba Agrupamento 81 Configurar opções de inscrição na aba de solicitação opcional 84 Configurar opções de inscrição na aba Personalização 87 Como autorizar e desautorizar o registro de dispositivos 87 Adicionar um dispositivo autorizado ou não autorizado 88 Restrições adicionais de inscrição 89 Considerações de inscrição, restrições adicionais 89 Definir configurações de restrição de inscrição 90 Limite de dispositivos inscritos por grupo organizacional 91 Criar Políticas de restrição de inscrição 92 Motivos pelos quais você não deve inscrever dispositivos em global 94 Inscrição por detecção automática 95 Configurar inscrição por detecção automática a partir de um grupo organizacional principal 95 VMware, Inc. 4

5 Configurar inscrição por detecção automática a partir de um grupo organizacional herdeiro 96 3 Contas de usuário e de administrador 97 Tipos de autenticação de usuário 97 Autenticação básica do usuário 98 Active Directory com autenticação LDAP 99 Active Directory com autenticação LDAP e VMware Enterprise Systems Connector 100 Proxy de autenticação 101 Autenticação SAML Autenticação baseada em token 103 Ativar tipos de segurança para inscrição 104 Contas de usuários básicas 106 Criar contas de usuários básicas 106 Contas de usuário baseadas em diretório 108 Criar uma conta do usuário baseada em diretório 109 Modo de exibição de lista de contas de usuários 112 Recurso de importação em lote 114 Importação de usuários ou dispositivos em lote 115 Importação em lote de grupos de usuários 116 Como editar usuários básicos com a importação em lote 117 Mover usuários com a importação em lote 117 Contas de administrador 118 Criar uma conta de administrador 118 Criar uma conta de administrador temporária 119 Como gerenciar contas administrativas Acesso com base em funções 121 Funções padrão e personalizada 122 Editar uma função de usuário padrão para criar uma função de usuário personalizada 122 Funções do administrador padrão 123 Editar uma função administrativa padrão para criar uma função administrativa personalizada 124 Funções de usuário 125 Criar uma nova função de usuário 125 Configurar uma função padrão 126 Como atribuir ou editar a função de um usuário existente 126 Funções do administrador 127 Modo de exibição de lista de funções do administrador 127 Indicador ler/editar em categorias para funções do administrador 133 Atribuir ou editar a função de um administrador 133 Exibir os recursos de uma função de administrador 133 Ferramenta de comparação de funções do administrador 134 VMware, Inc. 5

6 5 Grupos 137 atribuição 137 Exibição em lista do grupo de atribuição 138 Atribuir um ou mais grupos de atribuições 139 Grupos organizacionais 140 Características dos grupos organizacionais 141 Criar grupos organizacionais 145 Funções dos tipos de grupo organizacional 146 Restrições do grupo organizacional 147 Comparação das configurações de grupos organizacionais 147 Grupos inteligentes 148 Criar um grupo inteligente 149 Atribuição de Grupo inteligente 152 Excluir grupos em perfis e políticas 153 Modo de exibição de lista de grupos inteligentes 154 Grupos de usuários 157 Grupos de usuários sem integração do diretório, Personalizado 157 Grupos de usuários com integração de diretório 158 Editar permissões de grupo de usuários 162 Exceção ao grupo de uso para atribuição 163 Como acessar os detalhes do usuário 163 Modo de exibição de lista de grupos de usuários 164 Grupos de administradores 166 Modo de exibição de lista dos grupos de administradores 166 Adicionar grupos de administradores 167 Exibir atribuições Atribuições do dispositivo 170 Ativar atribuições de dispositivo 170 Definir regras de atribuição ou intervalo de rede do dispositivo Perfis do dispositivo 175 Processamento de perfis 175 Adicionar definição das configurações gerais do perfil 176 Modo de exibição de lista de perfis de dispositivos 178 Pop-up de passar o mouse de perfil do dispositivo 179 Confirmar instalação de perfil do dispositivo 180 Exibição somente leitura dos perfis dos dispositivos 181 Editar perfil de dispositivo 181 Editar configurações gerais do perfil de dispositivo 181 Editar configurações de payload do perfil de dispositivo 182 VMware, Inc. 6

7 Perfis de conformidade 182 Adicionar um perfil de conformidade 183 Áreas de geofencing 184 Compatibilidade de geofencing em dispositivos ios 184 Adicionar área de Cerca geográfica 185 Aplicar uma delimitação geográfica a um perfil 186 ibeacons 186 Agendamentos 186 Definir um agendamento 187 Aplique um agendamento a um perfil 187 Aplicar um agendamento a um perfil existente 188 Excluir um agendamento 188 Exibir atribuição do dispositivo Recursos 190 Modo de exibição de lista de recursos 190 Adicionar um recurso do Exchange 192 Definir configurações avançadas para Exchange do ios 193 Definir configurações avançadas para Exchange do macos 194 Definir configurações avançadas para Exchange do Android 194 Definir configurações avançadas para o Exchange para Windows Phone 195 Definir configurações avançadas para o Windows Desktop Exchange 196 Adicionar um recurso do Wi-Fi 196 Definir configurações avançadas para proxy do Wi-Fi 198 Definir configurações avançadas para Wi-Fi do macos 198 Definir configurações avançadas para Wi-Fi do Android 199 Definir configurações avançadas para Wi-Fi do Windows 200 Adicionar um recurso da VPN 200 Definir configurações avançadas para VPN do ios 201 Definir configurações avançadas para VPN do Android 202 Definir configurações avançadas para VPN do Windows Phone políticas de conformidade 207 Modo de exibição de lista das políticas de conformidade 208 Visualizar página de dispositivos 209 Regra de política de conformidade por plataforma 210 Descrições de regras de política de conformidade 211 Ações de políticas de conformidade por plataforma 213 Adicionar uma política de conformidade 215 Exibir atribuição do dispositivo 218 Detecção de dispositivo comprometido com atestado de integridade 219 Configurar o Atestado de Integridade com as Políticas de conformidade do Windows Desktop 219 VMware, Inc. 7

8 Configurar as políticas de conformidade para o Atestado de Integridade do Windows Phone Privacidade para implantações de BYOD 224 Segurança e privacidade no Workspace ONE UEM 224 Definir configurações de privacidade 226 Avisos de privacidade para usuários de BYOD 228 Configurações de privacidade 229 Criar um aviso de privacidade para usuários de BYOD 229 Boas práticas de privacidade 230 Coleta de dados dos usuários finais de BYOD 232 Termos de uso para os usuários finais de BYOD 235 Restrições para dispositivos BYOD 236 Apagar dados corporativos de dispositivos BYOD Etiquetas do dispositivo 238 Filtrar dispositivos por etiqueta 239 Criar uma nova etiqueta nas configurações do sistema 239 Atribuir etiquetas a um único dispositivo 240 Atribuir etiquetas a vários dispositivos 241 Editar uma etiqueta de dispositivo existente 241 Excluir uma etiqueta de dispositivo existente Introdução aos relatórios 244 Relatórios do Workspace ONE Intelligence 245 Requisitos do Workspace ONE Intelligence 246 Instalação do serviço Workspace ONE Intelligence Connector no local 248 Execução do instalador de relatórios 249 Gerenciamento de relatórios 252 Visão geral dos relatórios do Workspace ONE UEM 254 Novos relatórios 255 Gerar relatórios 262 Inscrever-se em um relatório antigo 263 Gerenciar relatórios 264 Solução de problemas com relatórios 265 Armazenamento de arquivo 269 Requisitos para o armazenamento de arquivos 270 Ativação do armazenamento de arquivos para relatórios 271 Relata armazenamento 272 Requisitos para o armazenamento de relatórios 272 Habilitar o armazenamento de relatórios 273 VMware, Inc. 8

9 13 Gerenciamento de certificado 275 Renove ou revogue certificados digitais 275 Recursos de integração de certificado Atributos personalizados 278 Criar atributos personalizados 278 Importação de atributos personalizados 279 Atribuir grupos organizacionais usando atributos personalizados 280 VMware, Inc. 9

10 1 Gerencie dispositivos em sua frota e realize funções em um conjunto específico de dispositivos usando várias telas diferentes no Workspace ONE UEM Console. Você pode examinar o fluxo de dados com o Monitor e analisar em mais detalhes a sua frota com o Dashboard do dispositivo. É possível agrupar dispositivos juntos e criar listas personalizadas com o Visualização da lista de dispositivos. Você também pode gerar Relatórios e usar Etiquetas para identificar facilmente os dispositivos. Você até pode configurar o Portal de autoatendimento (SSP) para permitir que os usuários a gerenciar seus próprios dispositivos e reduzir a pressão sobre a equipe de suporte técnico. Este capítulo inclui os seguintes tópicos: Painel do dispositivo Modo de exibição de lista de dispositivos Detalhes dos dispositivos Ações do dispositivo por plataforma Status de inscrição Proteção contra limpeza de dados Atribuições do dispositivo Dispositivos compartilhados Valores de pesquisa Painel do dispositivo Depois que os dispositivos forem inscritos, você poderá gerenciá-los usando o Workspace ONE UEM Painel de dispositivo. O Painel de dispositivo oferece uma visão de alto nível de toda sua frota e permite acessar e realizar ações em dispositivos individuais rapidamente. VMware, Inc. 10

11 Visualize representações gráficas de estatísticas relevantes, incluindo informações importantes de dispositivos de sua frota, tais como: tipo de proprietário do dispositivo, estatísticas de conformidade e detalhamento de plataformas e sistemas operacionais. Você pode acessar cada conjunto de dispositivos nas categorias apresentadas selecionando qualquer uma das visualizações de dados do Painel do dispositivo. No Modo de exibição de lista, é possível tomar medidas administrativas como enviar mensagens, bloquear, apagar e mudar grupos associados ao dispositivo. Segurança Veja as principais causas de problemas de segurança em sua frota de dispositivos. A seleção de qualquer um dos gráficos de rosca exibe uma Lista de dispositivos filtrada composta de dispositivos afetados pelo problema de segurança selecionado. Se permitido pela plataforma, poderá configurar uma política de conformidade para atuar nesses dispositivos. Comprometido O número e a porcentagem de dispositivos comprometidos (com jailbreak ou raiz) na implementação. Sem código de acesso O número e a porcentagem de dispositivos sem um código de acesso configurado para fins de segurança. Sem criptografia O número e a porcentagem de dispositivos não criptografados para fins de segurança. O número informado exclui a criptografia de cartões SD no Android. Somente os dispositivos que não têm criptografia de disco são incluídos no gráfico de rosca. VMware, Inc. 11

12 Propriedade Visualize o número total de dispositivos em cada categoria de propriedade. A seleção de qualquer um dos segmentos do gráfico de barras exibe uma Lista de dispositivos filtrada composta de dispositivos afetados pelo tipo de propriedade selecionado. Visão geral/detalhamento de dispositivos vistos recentemente Visualize o número e a percentagem de dispositivos que se comunicaram recentemente com o servidor de MDM Workspace ONE UEM. Por exemplo, se vários dispositivos não forem vistos em mais de 30 dias, selecione o gráfico de barras correspondente para exibir apenas esses dispositivos. Você pode selecionar todos esses dispositivos filtrados e enviar uma mensagem solicitando o check-in deles. Plataformas Visualize o número total de dispositivos em cada categoria de plataforma. A seleção de qualquer um dos gráficos exibe uma Lista de dispositivos filtrada composta de dispositivos sob a plataforma selecionada. Inscrição Visualize o número total de dispositivos em cada categoria de inscrição. A seleção de qualquer um dos segmentos do gráfico exibe uma Lista de dispositivos filtrada composta de dispositivos com o status de inscrição selecionado. Detalhamento de sistemas operacionais Visualize os dispositivos em sua frota com base no sistema operacional. Existem gráficos separados para Apple ios, Android, Windows Phone e Windows Rugged. A seleção de qualquer um dos gráficos exibe uma Lista de dispositivos filtrada composta de dispositivos executando a versão do sistema operacional selecionada. Modo de exibição de lista de dispositivos Use o Modo de exibição de lista para ver uma listagem completa de todos os dispositivos no grupo organizacional atualmente selecionado. Para obter informações sobre um dispositivo específico, consulte a Detalhes dos dispositivos. A coluna Última visualização exibe um indicador que mostra o número de minutos passados desde que foi feito check-in do dispositivo. O indicador é vermelho ou verde, dependendo do número de minutos estabelecido em Tempo limite de inatividade do dispositivo (min). Esse indicador pode ser configurado em Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Avançado. Selecione um dispositivo na coluna Informações gerais a qualquer momento para abrir a página de detalhes do dispositivo. Classifique colunas e configure os filtros de dados para revisar a atividade do dispositivo de acordo com informações específicas. Por exemplo, organize a coluna Status de conformidade para exibir somente os dispositivos que estão fora de conformidade e direcionar somente para esses dispositivos. Faça uma busca de dispositivos por apelido ou pelo nome de usuário para isolar um dispositivo ou usuário. VMware, Inc. 12

13 Personalização do layout do modo de exibição de lista de dispositivos Exiba a lista completa de colunas visíveis no Modo de exibição de lista de dispositivos selecionando o botão Layout e selecionando a opção Personalizado. Essa exibição permite que você mostre ou oculte as colunas Lista de dispositivos de acordo com suas preferências. Existe também a opção de atribuir seu modo de exibição personalizado de coluna a todos os administradores no grupo organizacional atual ou abaixo dele (GO). Por exemplo, você pode ocultar Número do ativo no Modo de exibição de lista de dispositivos do GO atual e de todos os GOs abaixo. Depois de concluir todas as personalizações, selecione o botão Aceitar para salvar suas preferências e aplicar essa nova exibição de coluna. Você pode retornar às configurações do botão Layout a qualquer momento para fazer o ajuste fino das suas preferências de exibição da coluna. Pesquisar no modo de exibição de lista É possível acessar rapidamente as informações de um único dispositivo para realizar uma ação remota. Para executar uma pesquisa vá para Dispositivos > Modo de exibição de lista, selecione a barra Pesquisar lista e digite um nome de usuário, apelido do dispositivo ou outro elemento de identificação do dispositivo. Essa ação iniciará uma busca em todos os dispositivos, usando seu parâmetro de pesquisa, dentro do atual grupo organizacional e de todos os grupos herdeiros. Pop-up de passar o mouse no modo de exibição de lista de dispositivos Cada dispositivo na coluna Informações gerais exibe um ícone de dica de ferramenta com o formato de uma pasta no canto superior direito, ao lado do apelido do dispositivo. Quando esse ícone é tocado (em dispositivo móvel de tela de toque) ou ao passar o ponteiro do mouse sobre ele (PC ou Mac), ele exibe uma janela pop-up. Essa tela pop-up contém informações como Apelido, Grupo organizacional, ID do grupo, Gerenciamento e Propriedade. Ícones de dica de ferramenta semelhantes são encontrados nas colunas Inscrição e Status de conformidade no Modo de exibição de lista de dispositivos. Esses ícones de dica de ferramenta apresentam Pop-up de passar o mouse que exibem a Data de inscrição e Violações de conformidade, respectivamente. Filtrar dispositivos no modo de exibição de lista Aplique os filtros para visualizar somente os dispositivos de seu interesse. Selecione o botão Filtro para ativar um ou mais dos seguintes filtros para exibir somente os dispositivos que se encaixam nas categorias selecionadas. VMware, Inc. 13

14 Configuração Gerenciamento Descrição Exibe dispositivos que têm o gerenciamento Nível de aplicativo ou dispositivos gerenciados pelo Catálogo, Contêiner ou MDM. Exibe dispositivos gerenciados por um método Desconhecido, um método que está Off-line ou Todos os métodos de gerenciamento. Propriedade Exibe dispositivos que possuem níveis de propriedade Corporativo dedicado, Corporativo compartilhado, Propriedade do funcionário ou Não atribuído. É possível filtrar um ou mais níveis de propriedade por vez. Grupos inteligentes Grupos de usuários Exibe os dispositivos que fazem parte do Grupo inteligente que você escolher. Clique na caixa de texto Pesquisa e selecione uma opção na lista de Grupos inteligentes que aparecem. Role a página para baixo para visualizar a listagem alfabética dos Grupos inteligentes. Exibe os dispositivos que fazem parte dos Grupos de usuários que você escolher. Clique na caixa de texto Pesquisa e selecione uma opção na lista de Grupos de usuários que aparecem. Role a página para baixo para visualizar a listagem alfabética dos Grupos de usuários. Tipo de dispositivo Plataforma Versão do S.O. Selecione uma opção na listagem completa de plataformas do dispositivo. É possível filtrar mais de uma plataforma por vez. É preciso selecionar pelo menos uma plataforma antes de poder selecionar uma versão do sistema operacional. Ao selecionar várias plataformas, é exibida uma lista de versões de sistema operacional, agrupadas de acordo com cada plataforma selecionada. Segurança Comprometido Criptografia Código de acesso Selecione Comprometido, Não comprometido, Desconhecido ou Todos (as) acima. Um dispositivo comprometido é um dispositivo com jailbreak (para dispositivos ios) ou com raiz (para dispositivos Android). Selecione Criptografado, Não criptografado, Desconhecido ou Todos (as) acima. Selecione Código de acesso, Sem código de acesso, Desconhecido ou Todas as opções de código de acesso. Status Status de inscrição Última visualização Conformidade Histórico de inscrição Selecione Inscritos, Limpeza dos dados corporativos pendente, Limpeza dos dados do dispositivo pendente, Não inscrito(s) ou Todas as anteriores. Exibe os dispositivos com base há quanto tempo eles verificaram. Use as caixas de texto mínimo e máximo na opção Última visualização (dias) para exibir os dispositivos vistos pela última vez dentro de um intervalo de dias. Os números digitados são inclusivos: 1 exibe todos os dispositivos vistos pela última vez há mais de 1 dia, mas há menos de 2 dias. Uma entrada de 2 exibe todos os dispositivos vistos pela última vez há 2 dias, mas há menos de 3 dias e assim por diante. Uma entrada de zero exibe dispositivos vistos pela última vez há mais de 0 dias, mas há menos de 1 dia (24 horas). Para exibir os dispositivos vistos pela última vez mais do que (ou iguais a) o número máximo de dias inserido, deixe a caixa de texto mínimo em branco. Para exibir os dispositivos vistos pela última vez menos do que (ou iguais a) o número mínimo de dias inserido, deixe a caixa de texto máximo em branco. Selecione Em conformidade, Fora de conformidade, Verificação de conformidade pendente, Indisponível, Desconhecido ou Todas as anteriores. Selecione as datas de inscrição entre Ontem, Semana passada, Mês passado ou Todas as datas de inscrição. Avançado Endereço MAC Filtre por endereço de controle de acesso à mídia de um dispositivo. VMware, Inc. 14

15 Configuração Intervalo IP Etiquetas Tunnel Conformidade do conteúdo Modo Perdido Descrição Filtre dispositivos pelo endereço de protocolo de internet atualmente atribuído. Digite os endereços IP nas caixas de texto IP inicial do intervalo e IP final do intervalo para exibir os dispositivos que se enquadram nesse intervalo. O endereço IP atual pode ser um dos muitos endereços IP associados de um dispositivo, a maioria dos quais pode ser encontrada na guia Rede em Detalhes do dispositivo. Como um dispositivo pode relatar vários e diferentes endereços IP, o endereço IP usado no filtro pode nem sempre corresponder ao endereço IP mostrado na grade Visualização da Lista de dispositivos. Visualize dispositivos por suas etiquetas atribuídas, que podem ser pesquisadas e selecionadas em um menu suspenso. Selecione entre exibir todos os dispositivos, exibir dispositivos conectados ao túnel ou dispositivos não conectados ao túnel. Selecione entre exibir todos os dispositivos, exibir apenas dispositivos com documentos necessários ausentes e apenas dispositivos sem a versão mais recente do conteúdo obrigatório. Visualize todos os dispositivos ou apenas os dispositivos com o Modo perdido ativado. Aplicável somente a dispositivos ios. Depois de selecionar vários filtros, confira a notificação com número dentro de um círculo à direita do botão Filtro para ver exatamente quantos filtros foram aplicados para mostrar a listagem. Selecione o X ao lado do botão Filtro para limpar todos os filtros selecionados e retornar à listagem completa de dispositivos. Adicionar dispositivo do modo de exibição de lista Você pode adicionar ou registrar um dispositivo incluindo atribuição de usuário, atributos personalizados e etiquetagem. Procedimentos 1 Vá até Dispositivos > Exibição de lista ou Dispositivos > Ciclo de vida > Status de inscrição. 2 Selecione o botão Adicionar dispositivo. A página Adicionar dispositivo é exibida. Preencha o seguinte na aba Usuário. Configuração Descrição Usuário Pesquisar texto Cada dispositivo deve ser atribuído a um usuário. Procure um usuário com essa caixa de texto inserindo parâmetros de pesquisa e selecione o botão Procurar usuário. Você pode selecionar um usuário entre os resultados da pesquisa ou selecionar o link Criar novo usuário. Criar novo usuário Tipo de segurança Nome de usuário Senha, Confirmar senha Endereço de Selecione entre usuários Básicos e de Diretório. Para obter mais informações, consulte Autenticação básica do usuário e Active Directory com autenticação LDAP. Digite o nome de usuário que identifica seu usuário no ambiente Workspace ONE UEM. Digite e confirme a senha correspondente ao nome de usuário. Digite o endereço de da conta do usuário. VMware, Inc. 15

16 Configuração Grupo organizacional para inscrição Exibir detalhes avançados do usuário Descrição O grupo organizacional (GO) que serve como GO de inscrição para o dispositivo. Exiba todos os detalhes avançados do usuário, inclusive informações abrangentes sobre nome de usuário, telefone e nome do gerente. Também estão incluídas configurações de identificação opcionais, como departamento, ID do funcionário e centro de custos. Selecione a Função do usuário padrão para o usuário que está sendo adicionado que determina quais permissões o usuário tem enquanto usar um dispositivo conectado.para obter mais informações, consulte Funções de usuário. Perfis de dispositivo Apelido previsto Grupo organizacional Propriedade Plataforma Mostrar opções de deviceinformation avançadas Digite o nome do dispositivo que aparece no modo de exibição de lista de dispositivos. Você também pode incorporar valores de pesquisa. Para obter detalhes, consulte Valores de pesquisa. Selecione o grupo organizacional no menu suspenso com o qual o dispositivo será associado. Selecione a propriedade do dispositivo no menu suspenso. Selecione entre Nenhum, Corporativo - Dedicado, Corporativo - Compartilhado e Funcionário. Selecione a plataforma do dispositivo no menu suspenso. Exibir todas as configurações de informações avançadas sobre o dispositivo. Configurações de informação avançada sobre o dispositivo Modelo S.O. UDID Número de série IMEI SIM Número do ativo Selecione o modelo do dispositivo na lista suspensa. O conteúdo desse menu suspenso depende da seleção feita no menu suspenso Plataforma. Selecione o sistema operacional do dispositivo na lista suspensa. O conteúdo desse menu suspenso depende da seleção feita no menu suspenso Plataforma. Digite o identificador de dispositivo único do dispositivo. Digite o número de série do dispositivo. Digite o número de identificação do equipamento móvel internacional do dispositivo de 15 dígitos. Digite as especificações do SIM card do dispositivo. Digite o número do ativo para o dispositivo. Esse número é criado internamente na sua organização e essa configuração é fornecida para abrigar o datapoint. Mensagem Tipo de mensagem Endereço de Modelo de mensagem de e- mail Selecione o tipo de mensagem que deseja enviar (Nenhum, SMS ou ) para o dispositivo depois da inscrição bem-sucedida no ambiente da Workspace ONE UEM. Digite o endereço de para o qual você deseja enviar a mensagem de inscrição. Essa caixa de texto só fica disponível quando é selecionado como Tipo de mensagem. Selecione o modelo de no menu suspenso. Há um link que você pode usar para abrir a página Modelo de mensagem para criar um modelo de mensagem de . VMware, Inc. 16

17 Configuração Número de telefone Modelo de mensagem SMS Descrição Digite o número de telefone para o qual deseja enviar a mensagem de texto SMS. Essa caixa de texto só fica disponível quando SMS é selecionado como Tipo de mensagem. Selecione o modelo de SMS no menu suspenso. Há um link que você pode usar para abrir a página Modelo de mensagem para criar um modelo de mensagem SMS. 3 (Opcional) Atribua Atributos personalizados ao dispositivo. Selecione o botão Adicionar e forneça um Atributo e seu Valor. 4 (Opcional) Atribua Etiquetas ao dispositivo. Selecione o botão Adicionar e selecione uma etiqueta no menu suspenso para cada etiqueta que quiser atribuir. 5 Selecione Salvar. Dispositivos com inscrição cancelada Dispositivos com inscrição cancelada podem ser visualizados no Workspace ONE UEM Console fornecido, desde que tenham sido registrados ou tenham tido um status de inscrito no passado. Você também pode obter acesso aos logs de solução de problemas feitos antes do cancelamento da inscrição do dispositivo no console do UEM. Status de inscrição cancelada Um dispositivo com inscrição cancelada é um dispositivo em um dos três cenários possíveis. 1 O dispositivo é novo no Workspace ONE UEM e não está registrado, não está inscrito e, portanto, não foi gerenciado. Dispositivos nesse cenário não ficam visíveis no console do UEM. 2 O novo dispositivo iniciou o processo de inscrição do Workspace ONE e está registrado com o console do UEM, mas ainda não estão totalmente inscrito. Esse cenário normalmente ocorre durante uma onda de novas inscrições nas quais os dispositivos são registrados como uma forma de restrição de inscrição. O mecanismo que permite que dispositivos registrados sejam inscritos é uma lista de dispositivos autorizados. Um dispositivo nesse estado pode ser visto pelo console do UEM com o status 'inscrição cancelada'. Considerando que um dispositivo registrado tradicionalmente é uma parte do processo de inscrição, um dispositivo não permanece nesse cenário por muito tempo. 3 O dispositivo foi totalmente inscrito no Workspace ONE UEM Console uma vez, mas ele foi excluído do console do UEM. Essa ação o remove de todos as funções e recursos de gerenciamento de dispositivo. Nesse cenário, o dispositivo ainda está registrado com o console UEM e permanece na lista de autorizados. O dispositivo também pode ser visto pelo console do UEM com o status inscrição cancelada e, portanto, pode ser facilmente reinscrito. Um dispositivo pode permanecer nesse cenário indefinidamente. É possível reter aproximadamente até 150 mil dispositivos nesta lista de autorizados. Entre em contato com o suporte se suas necessidades excederem esta quantidade. VMware, Inc. 17

18 Você pode remover o registro de dispositivos autorizados a qualquer momento, o que faz com que o console UEM não veja e nem conheça o dispositivo (cenário 1 precedente). Um dispositivo nesse cenário pode ser inscrito em uma data futura. Como alternativa, você pode remover o dispositivo da lista de autorizados e adicionar o dispositivo a uma lista de não autorizados, impedindo a inscrição futura e proibindo de modo eficiente o dispositivo de sua frota. Acesso a logs de solução de problemas feitos antes do cancelamento da inscrição Você pode acessar os logs de solução de problemas/comandos feitos antes que o dispositivo tenha sido cancelado. Estes logs podem ser úteis para obter uma visão completa do histórico do dispositivo. Execute as seguintes etapas para exibir os logs de solução de problemas/comandos. Procedimentos 1 Vá para Dispositivos > Exibição de lista. 2 Selecione um dispositivo que você sabe que a inscrição foi cancelada no passado. Ou então, você pode Filtrar o modo de exibição de lista para mostrar apenas dispositivos com um Status de Inscrição cancelada. Quando você selecionar um dispositivo, os Detalhes de exibição são exibidos. 3 Selecione a aba suspensa Mais e selecione Solução de problemas, seguido pela aba Comandos. Próximo passo Se você não pretende reinscrever um dispositivo com inscrição cancelada anteriormente para o mesmo grupo organizacional de cliente, considere excluir o registro do dispositivo permanentemente, assim o histórico do dispositivo é apagado após a reinscrição. Entre em contato com o suporte do Workspace ONE para fazer essa organização. Ações em massa no Modo de exibição de lista de dispositivos Depois de filtrar um subconjunto de dispositivos, você pode executar ações em massa para vários dispositivos selecionando os dispositivos e selecionando-os no cluster do botão de ação. Para obter mais informações, consulte Seleção de dispositivos no modo de exibição de lista de dispositivos. VMware, Inc. 18

19 As ações em massa somente estão disponíveis no Modo de exibição de lista de dispositivos se estiverem habilitadas nas configurações do sistema (Grupos e configurações > Todas as configurações > Sistema > Segurança > Ações restritas). Os comandos para proteger a senha exigem um PIN para serem executados. Com os dispositivos selecionados no Modo de exibição de lista, o número de dispositivos selecionados é exibido ao lado dos botões de ação. Esse número inclui os dispositivos filtrados e selecionados. Limite de gerenciamento em massa no Modo de exibição de lista de dispositivos Você pode definir um número máximo de dispositivos que podem receber um comando de ação em massa para garantir operações sem problemas ao gerenciar uma grande frota de dispositivos. Altere esses limites em Grupos e configurações > Todas as configurações > Dispositivos e usuários > Avançado > Gerenciamento em massa. Quando vários dispositivos são selecionados e há um limite de gerenciamento em massa, um link aparece ao lado do número de itens selecionados com a mensagem: Algumas ações estão desativadas devido aos limites em massa. Aviso de ação em massa enfileirada no Modo de exibição de lista de dispositivos Ações em massa levam tempo para serem processadas. Quando você inicia uma nova ação em massa enquanto o console do Workspace ONE UEM está processando uma ação em massa existente, uma mensagem de aviso é exibida. Your previous bulk actions requested are still being processed. This request is run once the previous actions are complete. Do you want to continue with the current request? Selecione Sim para adicionar a nova ação em massa para a fila. Selecione Não para cancelar a nova ação em massa. Seleção de dispositivos no modo de exibição de lista de dispositivos Você pode selecionar dispositivos individuais em uma página marcando as caixas de seleção individuais à esquerda de cada dispositivo. Você também pode selecionar um bloco de dispositivos em várias páginas. Você pode até selecionar todos os dispositivos em toda a frota, o que poderia disparar o aviso de ações restritas. Seleção de um bloco de dispositivos Você pode selecionar um bloco contíguo de dispositivos, mesmo em várias páginas, marcando a caixa de seleção no início do bloco. Depois, com a tecla shift pressionada, marque a caixa de seleção do dispositivo no final do bloco. Essa ação é semelhante à seleção de bloco em ambientes Windows e Mac. Permite ainda que você aplique ações em massa para os dispositivos selecionados. VMware, Inc. 19

20 Seleção de todos os dispositivos A caixa de seleção Global, localizada à esquerda do cabeçalho da coluna Última visualização, pode ser usada para marcar ou desmarcar todos os dispositivos da lista. Se o modo de exibição de lista contiver uma listagem filtrada de dispositivos, a caixa de seleção Global poderá ser usada para marcar ou desmarcar todos os dispositivos filtrados. Quando a caixa de seleção Global tem um sinal de menos verde ( ), o que significa que pelo menos um, mas nem todos os dispositivos foram selecionados. Selecione este ícone novamente e ele muda para um sinal de marca de seleção ( ), indicando que todos os dispositivos na lista (filtrados ou não filtrados) foram selecionados. Selecione uma terceira vez, e ele muda novamente para uma caixa de seleção vazia ( ), indicando que nenhum dispositivo na lista está atualmente selecionado. Aviso de ação restrita em todos os dispositivos selecionados Quando você ativa uma ação com todos os dispositivos em sua frota selecionados, uma mensagem de aviso é exibida. Você está tentando atuar sobre [número selecionado] dispositivos. Essa ação pode não se aplicar a todos os dispositivos. Certas limitações desta ação incluem o status de inscrição, tipo de gerenciamento, plataforma do dispositivo, modelo ou sistema operacional. Esse aviso é para alertar sobre a natureza diversa de uma frota grande de dispositivos com uma infinidade de diferentes fabricantes, sistemas operacionais e recursos. Não está relacionado com o Limite de gerenciamento em massa e com qualquer aviso que poderia ser gerado. Se você tiver um Limite de gerenciamento em massa adequado, a mensagem Aviso de ação restrita não será exibida. Detalhes dos dispositivos Use a página Detalhes do dispositivo para rastrear informações detalhadas para um único dispositivo e acessar rapidamente ações de gerenciamento de usuários e dispositivos. Acesse Detalhes do dispositivo selecionando um apelido do dispositivo em um dos dashboards disponíveis ou usando as ferramentas de pesquisa disponíveis no Workspace ONE UEM Console. A página principal apresenta várias seções importantes. Selos de notificação exibe o Status comprometido, as Violações de conformidade, a Data de inscrição, a hora em que foi visto pela última vez para o dispositivo selecionado e a Disponibilidade do serviço de localização/gps (somente para dispositivos Android). Segurança Exibe as configurações de segurança, como software de gerenciamento utilizado, status do código de acesso e proteções de dados. Informações do usuário Exibe informações básicas do usuário, incluindo nome completo e e- mail. VMware, Inc. 20

21 Informações sobre o dispositivo Esse painel contém detalhes do dispositivo como grupo organizacional, localização, grupos inteligentes, número de série, UDID, número de ativo, status da bateria, incluindo a integridade da bateria (somente para dispositivos Android Zebra), capacidade de armazenamento, memória física e informações sobre a garantia. Perfis Exibe todos os perfis como instalados (ativos), atribuídos (inativos) e não gerenciados (transferidos localmente). Aplicativos Exibe todos os aplicativos instalados, automáticos e sob demanda. Conteúdo Exibe conteúdo marcado como obrigatório pelo administrador no Repositório gerenciado do Workspace ONE UEM, bem como no repositório do administrador. Certificados Lista todos os certificados instalados, incluindo certificados próximos da data de expiração. Aplicativos do administrador Exibe as informações do Workspace ONE Intelligent Hub instalado, incluindo o número da versão. Informações sobre a bateria zebra (somente para dispositivos Android Zebra) exibe informações detalhadas da bateria, incluindo a integridade da bateria, data de fabricação, número de série e número da peça. Painel Detalhes do dispositivo O painel exibe informações básicas do dispositivo, como o tipo e modelo do dispositivo, número da versão do sistema operacional, tipo de propriedade, cluster do botão de ação do dispositivo e o indicador da Lista recente. Selecionar os botões de seta no indicador Lista recente muda o dispositivo selecionado com base em sua posição no Modo de exibição de lista filtrado. Cluster de botões de ação em Detalhes do dispositivo Realize ações comuns no dispositivo com o cluster de botão de ação, incluindo Consulta, Enviar [mensagem], Bloquear e outras ações acessadas pelo botão Mais ações. As Ações do dispositivo disponíveis variam por plataforma, fabricante do dispositivo e modelo e status de inscrição e configuração específica do seu Workspace ONE UEM Console. Consulte as Ações do dispositivo por plataforma para obter uma lista completa das ações remotas que um administrador pode solicitar usando o console. VMware, Inc. 21

22 Abas do menu de detalhes do dispositivo Você pode usar as Abas do menu para acessar informações específicas do dispositivo que variam de acordo com a plataforma do dispositivo selecionada. Abas do menu Resumo Conformidade Descrição Visualize estatísticas gerais, como status de inscrição, conformidade, última visualização, disponibilidade de GPS, plataforma/modelo/so, grupo organizacional, número de série, status da bateria, capacidade de armazenamento, memória física e memória virtual. Exibe o status, o nome da política, data da última e da próxima verificação de conformidade e as ações já realizadas no dispositivo. A aba Conformidade inclui resolução avançada de problemas e recursos de conveniência. Dispositivos fora de conformidade e dispositivos com status Conformidade pendente têm funções de solução de problemas disponíveis. Você pode reavaliar a conformidade por dispositivo ( ) ou obter informações detalhadas sobre o status de conformidade do dispositivo ( ). Os usuários com privilégios Somente leitura podem visualizar a política de conformidade específica na aba Conformidade enquanto administradores podem editar a política de conformidade. Perfis Aplicativos Conteúdo Local Usuário Visualize todos os perfis atualmente atribuídos, instalados e não gerenciados em um dispositivo. Visualize todos os aplicativos atualmente atribuídos e instalados no dispositivo. A coluna Conformidade do aplicativo identifica aplicativos compilados com SDK que estão fora de conformidade com as configurações de conformidade do aplicativo SDK. Encontre essas configurações em Grupos e configurações > Todas as configurações > Configurações e políticas > Conformidade do aplicativo SDK. Visualize status, tipo, nome, versão, prioridade, implementação, última atualização, data, hora das visualizações e o conteúdo do dispositivo marcado como Obrigatório pelo administrador no Repositório gerenciado do Workspace ONE UEM. Esta aba também fornece uma barra de ferramentas para ação administrativa (instalar ou excluir). Visualize a localização atual e o histórico de localização de um dispositivo. Selecione o Período ou o prazo retroativo para Pesquisar os pontos de dados de localização. O Período personalizado permite selecionar um intervalo de datas e horas em incrementos de 5 minutos. Você também pode revisar as coordenadas de latitude e longitude desses pontos de dados movendo o ponteiro sobre os marcadores de localização no mapa. Ative a coleta de dados de localização em Grupos e configurações > Todas as configurações > Dispositivos e usuários selecionando a página Configurações de hub específica da plataforma. Para obter mais informações sobre dados de localização relacionados à privacidade, consulte Coordenadas de GPS para boas práticas de privacidade. Edite o número de pontos de dados de localização coletados e a distância mínima entre locais em Grupos e configurações > Todas as configurações > Instalação > Mapas. Acesse detalhes sobre o usuário de um dispositivo e o status dos outros dispositivos inscritos para o usuário. VMware, Inc. 22

23 Abas do menu Mais Descrição Essas guias de menu adicionais variam de acordo com a plataforma do dispositivo. Rede Exibe o status de rede atual de um dispositivo (celular, Wi-Fi, Bluetooth, IMEI). Segurança Visualize o status atual de segurança de um dispositivo, segundo as suas configurações. Telecom Visualize quantidades de chamadas, dados e mensagens enviadas e recebidas. Observações Visualize e adicione observações sobre o dispositivo. Por exemplo, observe o status de envio ou se o dispositivo está em reparo ou fora de uso. Certificados Identifique os certificados dos dispositivos por nome e emissor. Essa aba também oferece datas de validade do certificado. Produtos Visualize o histórico completo e o status de todos os pacotes de produtos provisionados para o dispositivo, além de quaisquer erros de aprovisionamento. Você também pode forçar o reprocesso (reimplementação) de um produto. Termos de uso Visualize uma lista de contratos de licença de usuário final (EULAs) aceitos pelo usuário durante a inscrição. Mais,cont. Alertas Visualize todos os alertas associados ao dispositivo. Log de dispositivos compartilhados Visualize o histórico do dispositivo compartilhado, incluindo check-ins e check-outs anteriores e o status. Histórico de status Visualize o histórico de um dispositivo em relação ao seu status de inscrição. Log direcionado Visualize os logs para o console, o catálogo, os serviços do dispositivo, o gerenciamento de dispositivos e o Self Service Portal. Você deve ativar o log de destino em configurações e um link é fornecido para essa finalidade. Você deve, em seguida, selecionar o botão Criar novo log e selecionar um período de tempo para que o log seja coletado. Solução de problemas Visualize o Log de evento e os Comandos de informações de log. Esta página apresenta funções de exportação e busca, permitindo que execute pesquisas e análises específicas. Log de eventos Visualize informações detalhadas de depuração e verificações de servidor, incluindo Filtrar por Tipo de grupo de evento, Intervalo de datas, Gravidade, Módulo e Categoria. No Log de evento listado, a coluna Dados do evento pode exibir links que abrem separadamente uma tela com mais detalhes sobre o evento específico. Essa informação permite executar solução de problemas avançada, como determinar por que um perfil falha ao ser instalado. Comandos Visualize uma lista detalhada de comandos pendentes, em fila e concluídos que são enviados para o dispositivo. Inclui um Filtro permitindo que você filtre por Categoria, Status e Comando específico. Anexos Utilize esse espaço de armazenamento no servidor para capturas de tela, documentos e links para solução de problemas e outros fins sem ocupar espaço no próprio dispositivo. Ações do dispositivo por plataforma Como administrador do Workspace ONE UEM, você pode executar comandos remotamente para dispositivos individuais (ou em massa) em sua frota; além disso, diferentes plataformas oferecem diferentes ações. Cada uma dessas ações de dispositivo específicas para plataforma e definições representa comandos remotos que um administrador pode invocar a partir do UEM Console. Para obter mais informações, consulte Descrições de ação do dispositivo. VMware, Inc. 23

24 Ação Android Apple ios Apple macos Apple TV Chrome OS QNX Windows Rugged Win 7 Windows Phone Windows Desktop Adicionar etiqueta Workspace ONE Intelligent Hub (consulta) (*) Visualização remota de aplicativo Aplicativos (consulta) (*) Livros (consulta) Cancelar solicitação de log Certificados (consulta) (*) Alterar o código de acesso do dispositivo Alterar grupo organizacional Alterar o tipo de proprietário Limpar bloqueio de ativação Limpar código de acesso (consulta) Limpar código de acesso (Container) Limpar código de acesso (configuração de restrições) Excluir dispositivo Informações do dispositivo (consulta) (*) Apagar dados do dispositivo Editar dispositivo Ativar/desativar modo perdido Inscrever Redefinição empresarial VMware, Inc. 24

25 Ação Android Apple ios Apple macos Apple TV Chrome OS QNX Windows Rugged Win 7 Windows Phone Windows Desktop Apagar dados corporativos Gerenciador de arquivos Encontrar dispositivo Atualização do ios Local Bloquear dispositivo Bloquear SSO Definição das configurações de gerenciamento Marcar como Não perturbe Substituir o nível de log de trabalho Perfis (consulta) (*) Aprovisionamento imediato Consultar todos Reinicializar dispositivo Gerenciador de registro Controle remoto Gerenciamento remoto Visualização remota Renomear dispositivo Solicitar log de depurações Solicitar check-in do dispositivo Solicitar a localização do dispositivo VMware, Inc. 25

26 Ação Android Apple ios Apple macos Apple TV Chrome OS QNX Windows Rugged Win 7 Windows Phone Windows Desktop Reiniciar Workspace ONE Intelligent Hub Segurança (consulta) (*) Enviar mensagem Iniciar o AirPlay Iniciar o AWCM Parar o AWCM Sincronizar dispositivo Gerenciador de tarefas Visualizar manifesto Inicialização a quente (*) Essa ação do Windows 7 é satisfeita pela execução de um comando "Consultar todos", que retorna todas as mesmas informações como se cada comando de consulta fosse executado separadamente. VMware, Inc. 26

27 Descrições de ação do dispositivo Visualize uma descrição detalhada de cada ação que pode ser executada em um dispositivo, remotamente pelo console. Adicionar etiqueta Atribua uma etiqueta personalizável a um dispositivo que possa ser usada para identificar determinado dispositivo da sua frota. Consulta de Hub inteligente do Workspace ONE Envie um comando de consulta paraworkspace ONE Intelligent Hub no dispositivo para garantir que ele foi instalado e está funcionando normalmente. Aplicativo de visualização remota Faça várias capturas de tela de um aplicativo instalado e envie-as para a tela de visualização remota no console do UEM. Você pode escolher o número de capturas de tela e o intervalo, em segundos, entre as capturas de tela. Dispositivos Android e ios exigem a instalação do VMware Content Locker no dispositivo para executar o Visualização remota do aplicativo. Aplicativos (consulta) Envie um comando de consulta MDM ao dispositivo para que ele retorne uma lista dos aplicativos instalados. Livros (consulta) Envie um comando de consulta ao dispositivo para que ele retorne uma lista dos livros instalados. Certificados (consulta) Envie um comando de consulta MDM ao dispositivo para que ele retorne uma lista dos certificados instalados. Alterar código de acesso do dispositivo Substitua qualquer código de acesso usado para acessar o dispositivo selecionado por um novo código de acesso. Alterar grupo organizacional Altere a página inicial do grupo organizacional do dispositivo para um outro GO pré-existente. Inclui uma opção para escolher entre um grupo organizacional estático ou um dinâmico. Alterar o tipo de proprietário Altere a configuração de propriedade de um dispositivo, quando aplicável. As opções incluem Corporativo-dedicado, Corporativo-compartilhado, Propriedade do funcionário ou Indefinido. Limpar bloqueio de ativação Limpe o bloqueio de ativação em um dispositivo ios. Se Bloqueio de ativação estiver ativado, o usuário precisará de uma ID da Apple e uma senha antes de executar as seguintes ações: desativar Buscar iphone, restaurar o dispositivo para as configurações de fábrica ou reativá-lo para utilização. Limpar código de acesso (contêiner) Limpe o código de acesso específico do contêiner. Deve ser usado quando o usuário tiver esquecido o código de acesso do contêiner do dispositivo. Limpar código de acesso (dispositivo) Limpe o código de acesso do dispositivo. Deve ser usado quando o usuário tiver esquecido o código de acesso do dispositivo. Limpar código de acesso (configuração de restrições) Limpe o código de acesso que restringe recursos do dispositivo como instalação de aplicativos, uso do Safari, da câmera e muito mais. VMware, Inc. 27

28 Excluir dispositivo Exclua e cancele a inscrição de um dispositivo do Console. Envie o comando para apagar dados corporativos ao dispositivo, que será apagado no próximo check-in e marcado como Exclusão em andamento no Console. Se a proteção contra a limpeza for desativada no dispositivo, o comando emitido apagará imediatamente os dados corporativos e removerá a representação do dispositivo no Console. Informações do dispositivo (consulta) Envie um comando de consulta MDM ao dispositivo para obter informações básicas sobre ele, como apelido, plataforma, modelo, grupo organizacional, versão do sistema operacional e status de propriedade. remoção de dados de dispositivo Envie um comando MDM para apagar os dados de um dispositivo eliminando todos os dados e o sistema operacional. Isso coloca o dispositivo em um estado em que a partição de recuperação será necessária para reinstalar o sistema operacional. Esta ação não pode ser desfeita. Considerações sobre limpeza de dispositivos ios Para dispositivos ios 11 e anteriores, o comando Apagar dados do dispositivo também apaga os dados SIM da Apple associados aos dispositivos em questão. Para dispositivos ios 11 e superiores, é possível preservar o plano de dados SIM da Apple (se houver nos dispositivos). Para isso, marque a caixa de seleção Preservar plano de dados na página Limpeza do dispositivo, antes de enviar o comando de limpeza do dispositivo. Para dispositivos com ios 11.3 e superior, existe uma opção adicional para ativar ou desativar ignorar a tela Configuração de proximidade ao enviar o comando de limpeza para o dispositivo. Quando a opção está ativada, a tela Configuração de proximidade será ignorada no Assistente de configuração e, portanto, o usuário do dispositivo não conseguirá ver a opção de Configuração de proximidade. Para dispositivos da área de trabalho do Windows, você pode escolher o tipo de limpeza de dispositivo. Limpe: esta opção limpa o dispositivo de todo o conteúdo. Limpar com proteção: esta opção é semelhante a uma limpeza normal do dispositivo, mas não pode ser evitada pelo usuário. O comando Limpar com proteção continua tentando redefinir o dispositivo até que ser bem-sucedido. Em algumas configurações de dispositivos, esse comando pode deixar o dispositivo incapaz de inicializar. VMware, Inc. 28

29 Limpeza e persistência dos dados de provisionamento: esta opção limpa o dispositivo, mas especifica que os dados de provisionamento devem ser copiados para um local persistente. Depois que a limpeza é executada, os dados de provisionamento são restaurados e aplicados ao dispositivo. A pasta de provisionamento é salva. Você pode encontrar a pasta navegando no dispositivo até %ProgramData %\Microsoft\Provisioning. Editar dispositivo Edite informações do dispositivo, como Apelido, Número do ativo, Proprietário do dispositivo, Grupo de dispositivos e Categoria do dispositivo. Ativar/Desativar o Modo perdido Use esse recurso para bloquear um dispositivo e enviar uma mensagem, número de telefone ou texto para a tela de bloqueio. O Modo perdido não pode ser desativado pelo usuário. Quando o Modo Perdido for desativado por um administrador, o dispositivo retorna à funcionalidade normal. Os usuários recebem uma mensagem informando que a localização do dispositivo foi compartilhada (ios 9.3 ou posterior supervisionada) Solicitar a localização do dispositivo Consulta o dispositivo quando em Modo Perdido e utiliza a aba Localização para achar o dispositivo (ios 9.3 ou posterior supervisionada) Inscrever Envie uma mensagem ao usuário para inscrever seu dispositivo. Como opção, é possível utilizar um modelo de mensagem que pode incluir informações de inscrição, como instruções detalhadas e links úteis. Essa ação só está disponível em dispositivos não inscritos. Redefinição empresarial Redefina um dispositivo empresarial para as configurações de fábrica, mantendo apenas a inscrição do Workspace ONE UEM. Apagar dados corporativos Use Apagar dados corporativos em um dispositivo para cancelar a inscrição e remover todos os recursos corporativos gerenciados, incluindo aplicativos e perfis. Essa ação não pode ser desfeita, e uma nova inscrição será exigida para Workspace ONE UEM gerenciar esse aplicativo novamente. Inclui opções para evitar futuras reinscrições, bem como um campo de Descrição da observação para você adicionar todos os detalhes importantes sobre a ação. A ação Apagar dados corporativos não é compatível com os dispositivos associados a um domínio de nuvem. Gerenciador de arquivos Inicialize um gerenciador de arquivos dentro do UEM Console para visualizar remotamente o conteúdo do dispositivo, adicionar pastas, realizar pesquisas e carregar arquivos. Encontrar dispositivo Envie uma mensagem de texto para o aplicativo do Workspace ONE UEM desejado, juntamente com um som (com opções para repeti-lo quantas vezes quiser e de configurar a duração do intervalo em segundos entre cada reprodução do som). Esse som serve para ajudar o usuário a localizar um dispositivo perdido. Atualização do ios Envie uma atualização do sistema operacional para um ou mais dispositivos ios. Aplicável apenas para dispositivos supervisionados, inscritos no DEP, com versão do ios 9 ou posterior. Localização Revele a localização de um dispositivo mostrando-o em um mapa usando o recurso de GPS habilitado pelo macos Workspace ONE Intelligent Hub. Também requer a aprovação do usuário para ativar a funcionalidade nas Preferências do sistema do macos. VMware, Inc. 29

30 Bloquear dispositivo Envie um comando MDM para bloquear um dispositivo selecionado, tornando-o inutilizável até que seja desbloqueado. Bloquear SSO Bloqueie o usuário do dispositivo fora do Contêiner Workspace ONE UEM e todos os aplicativos instalados. Configurações de gerenciamento Ative ou desative roaming de voz, roaming de dados e hotspots pessoais. Marcar como "Não perturbe" Marque o dispositivo como "Não perturbe" para evitar o recebimento de mensagens, s, perfis e qualquer outro tipo de interação de entrada. Apenas os dispositivos marcados ativamente como "Não perturbe" têm a ação Limpar opção "Não perturbe" disponível, que elimina as restrições. Substituir o nível de log de trabalho Substitua o nível de log de evento de trabalho atual e especificado no dispositivo selecionado. Esta ação define o detalhamento de log dos trabalhos enviados por push pelo Aprovisionamento de produto e substitui o atual nível de log definido nas configurações de hub do Android. A substituição do nível do log de tarefa pode ser cancelada selecionando o item do menu suspenso Redefinir para padrão na tela de ação ou alterando o nível do log de tarefa sob a categoria de Aprovisionamento de produto nas configurações de hub do Android. Perfis (consulta) Envie um comando de consulta MDM ao dispositivo para que ele retorne uma lista de perfis dos dispositivos instalados. Provisionamento imediato Fornecimento de produtos para um dispositivo. Aprovisionamento é a capacidade de criar uma instalação ordenada dos arquivos, ações, perfis e aplicativos em um único produto que pode ser enviado por push para os dispositivos. Consultar todos Envie um comando de consulta ao dispositivo para que ele retorne uma lista de aplicativos instalados (incluindo o Workspace ONE Intelligent Hub, quando aplicável), livros, certificados, informações do dispositivo, perfis e medidas de segurança. Reinicializar dispositivo Reinicialize um dispositivo remotamente, reproduzindo o efeito de ligardesligar novamente. Gerenciador de registro Inicialize um gerenciador de registro dentro do UEM Console para visualizar remotamente o registro do sistema operacional do dispositivo, adicionar chaves, realizar pesquisas e adicionar propriedades. Controle remoto Assuma o controle de um dispositivo compatível remotamente com essa ação, que inicia um aplicativo do console, permitindo que você dê suporte e solucione problemas no dispositivo. Dispositivos Android exigem a instalação do serviço de controle remoto no dispositivo. Gerenciamento remoto Assuma o controle de um dispositivo compatível remotamente com essa ação, que inicia um aplicativo do console, permitindo que você dê suporte e solucione problemas no dispositivo. Dispositivos Android exigem a instalação do serviço de controle remoto no dispositivo. Visualização remota Ative um fluxo ativo de saída do dispositivo para um destino de sua escolha (incluindo endereço IP, porta, porta de áudio, tempo de digitalização e senha) para visualizar o que o usuário vê e como ele opera o dispositivo. VMware, Inc. 30

31 Renomear dispositivo Altere o apelido do dispositivo no UEM Console. Solicitar o log do dispositivo Solicite o log de depuração no dispositivo selecionado, para depois visualizar o log selecionando a guia Mais e escolhendo Anexos > Documentos. Você não pode ver o log dentro do Workspace ONE UEM ConsoleO log é entregue como um arquivo ZIP que pode ser usado para solucionar problemas e fornecer suporte. Quando você solicita um log, pode optar por receber os logs do Sistema ou do Hub. O Sistema fornece logs no nível do sistema. O Hub fornece logs dos vários agentes em execução no dispositivo. Solicitar o check-in do dispositivo Solicite que o dispositivo selecionado faça check-in no UEM Console. Essa ação atualiza o status da coluna Última visualização. Reinicie o VMware Workspace ONE Intelligent Hub reinicie o Workspace ONE Intelligent Hub. Deve ser usado durante a solução de problemas para quando o processo de inscrição ou o processo de instalação do submódulo for interrompido. Segurança (consulta) Envie um comando de consulta MDM para o dispositivo exibir a lista de medidas de segurança ativas (gerenciador de dispositivos, criptografia, código de acesso, certificados, etc.). Enviar mensagem Envie uma mensagem para o usuário do dispositivo selecionado. Escolha entre , Enviar notificação (pelo AirWatch Cloud Messaging) e SMS. Iniciar o AirPlay Transmitir o conteúdo audiovisual do dispositivo para um destino de espelhamento do AirPlay. O endereço do MAC (formato "xx:xx:xx:xx:xx:xx" sem diferenciação de maiúsculas e minúsculas) do destino é obrigatório. Um código de acesso também pode ser especificado se necessário. Tempo de digitalização define o número de segundos (10-300) dedicados à pesquisa do destino. Requer macos ou versões superiores. Iniciar/Parar o AWCM Iniciar/Parar o serviço do Cloud Messaging no dispositivo selecionado. O VMware AirWatch Cloud Messaging (AWCM) agiliza a entrega de mensagens e comandos do Console de administração eliminando a necessidade de os usuários acessarem à internet ou utilizarem contas de consumidor, como IDs do Google. Sincronizar dispositivo Sincronize o dispositivo selecionado com o UEM Console alinhando seu status de Última visualização. Gerenciador de tarefas Inicialize um gerenciador de tarefas dentro do UEM Console para visualizar remotamente tarefas em execução no dispositivo, incluindo tarefas de Nome, ID do processo e Ações aplicáveis que você pode executar. Ver manifesto Visualize o Manifesto do pacote do dispositivo no formato XML no console do UEM. O manifesto de dispositivos Windows Rugged lista os metadados para widgets e aplicativos. Reiniciar Inicie uma reinicialização do sistema operacional sem executar um autoteste de inicialização (POST). VMware, Inc. 31

32 Status de inscrição Use a página Status de inscrição para acessar o status da inscrição por dispositivo, importar e inscrever dispositivos em massa, dispositivos autorizados e não autorizados, revogar/redefinir tokens de dispositivos. Selecione Dispositivos > Ciclo de vida > Status de inscrição para ver a lista completa de todos os dispositivos por status da inscrição no grupo organizacional atualmente selecionado. Classifique colunas e configure os filtros de dados para revisar a atividade do dispositivo de acordo com informações específicas. Por exemplo, organize a coluna Status do token para exibir somente os dispositivos cujo registro não seja aplicável e atue somente nesses dispositivos específicos. Faça uma busca de dispositivos por apelido ou pelo nome de usuário para isolar um dispositivo ou usuário. Configuração Filtros Descrição Você pode filtrar categorias inteiras de dispositivos usando filtros que permitem ver apenas os dispositivos nos quais está interessado. Status de inscrição Plataforma Propriedade Status do token Tipo de Token Fonte Visto pela primeira vez Adicionar Registrar dispositivo Você pode registrar ou Adicionar um único dispositivo para inscrição. Dispositivos autorizados ou não autorizados Você pode limitar a inscrição aos dispositivos previamente identificados ou autorizados. Como alternativa, você pode evitar uma inscrição de dispositivos não autorizados. Importação em lote Importe vários dispositivos ou vários usuários com a tela Importação em lote. Para obter mais informações, consulte Adicionar dispositivo do modo de exibição de lista, Adicionar um dispositivo autorizado ou não autorizado e Importação de usuários ou dispositivos em lote. Reenviar a mensagem Reenvie a mensagem original para um usuário, incluindo a URL do Self Service Portal, a ID de grupo e as credenciais de login. Mais ações Alterar grupo organizacional Alterar o tipo de proprietário Apagar Redefinir token Mova o dispositivo selecionado para o grupo organizacional que você escolher. Altere o tipo de propriedade do dispositivo selecionado. Exclua permanentemente as informações de registro de dispositivos selecionados. Essa ação força o usuário a registrar-se novamente antes da inscrição. Se for o caso, você deve revogar o token antes de excluir o registro de um dispositivo. Redefina o status de um token se ele foi revogado ou expirou. VMware, Inc. 32

33 Configuração Anular o token Seleção de vários dispositivos Layout Descrição Exija o vencimento do status de registro do token dos dispositivos selecionados, bloqueando o acesso de usuários ou dispositivos indesejados. Para as ações Redefinir token e Anular o token, você pode optar por desativar a configuração Notificar usuários, que impede que a notificação de padrão seja enviada. Atue em dispositivos individuais ou em vários dispositivos marcando a caixa de seleção ao lado de cada dispositivo e usando os botões de ação. Depois de aplicar um filtro para mostrar um conjunto específico de dispositivos, você pode realizar ações em massa para vários dispositivos selecionados. Faça isso selecionando os dispositivos e uma ação nos botões Reenviar a mensagem e Mais ações. Você pode marcar caixas de seleção individuais. Você também pode selecionar todo o conjunto de dispositivos filtrados, marcando a caixa de seleção Global, localizada no topo da coluna de caixa de seleção. Quando você seleciona uma ação para um ou mais dispositivos, uma tela de confirmação é exibida permitindo Salvar ou Cancelar a ação. Exiba a lista completa de colunas disponíveis ou opte por exibir ou ocultar colunas de acordo com suas preferências, selecionando a opção Personalizado. Existe também a opção de atribuir seu modo de exibição personalizado de coluna a todos os administradores no grupo organizacional atual ou abaixo dele. Você pode retornar às configurações do botão Layout a qualquer momento para modificar suas preferências de exibição da coluna. Visualização de detalhes do status de inscrição Selecione o apelido de um dispositivo na coluna Informações gerais a qualquer momento para abrir a página Visualizar detalhes para esse dispositivo. Em Visualizar detalhes, você pode reenviar a mensagem de inscrição selecionando o botão Reenviar a mensagem. Você também pode editar as informações de inscrição do dispositivo selecionando o botão Editar registro e concluindo a seção Informação avançada sobre o dispositivo. A opção Visualizar detalhes exibe uma série de abas, cada uma contendo informações de inscrição relevantes sobre o dispositivo. Resumo Visualize a data de registro, o tempo decorrido desde que o dispositivo foi visto pela primeira vez, além de informações básicas sobre o dispositivo e o usuário. Usuário Exiba informações detalhadas do usuário. Mensagem Visualize a mensagem de saída de da ativação do dispositivo, incluindo informações de credencial e código QR. Há um recurso disponível, chamado "Mensagem de registro de usuário", que permite que o administrador da Workspace ONE UEM oculte a guia Mensagem, depois que o dispositivo for registrado com êxito. Atributos personalizados Visualize os atributos personalizados associados ao dispositivo.. Etiquetas Visualize as etiquetas atualmente associadas ao dispositivo. VMware, Inc. 33

34 Inscrição off-line Se disponível, essa aba permite inscrever o dispositivo off-line. Esse recurso é útil para quando você deseja aproveitar ao máximo o tempo agendado de um dispositivo em estado indisponível (por exemplo, em uma viagem). Proteção contra limpeza de dados A limpeza remota de um dispositivo de conteúdo corporativo privilegiado, chamada de Apagar dados corporativos, é uma etapa realizada quando um dispositivo é perdido ou roubado. Esse recurso foi criado como proteção contra a ameaça do conteúdo corporativo chegar aos concorrentes. No entanto, há situações em que os processos agendados, como o mecanismo de conformidade e outras diretrizes automatizadas apagam vários dispositivos. Como administrador, você pode desejar saber quando uma dessas diretivas é agendada e ter a chance de intervir. Defina as configurações de proteção contra apagamento de dados definindo um limite de apagamento, que é um número mínimo de dispositivos apagados em determinado período. Por exemplo, se mais de 10 dispositivos forem apagados em 20 minutos, você pode colocar as limpezas futuras em espera até depois de validar os comandos de apagamento. Você pode revisar os registros de limpeza de dados para ver quando os dispositivos foram apagados e por qual motivo. Depois de analisar as informações, você pode aceitar ou rejeitar os comandos para apagar dados em espera e desbloquear o sistema para redefinir o contador de limite do apagamento de dados. Definir configurações de proteção contra limpeza de dados para dispositivos gerenciados Defina um limite para apagar dispositivos gerenciados e notifique os administradores por quando o limite for atingido. Você só pode definir essas configurações no grupo organizacional no nível Global ou do Cliente. Procedimentos 1 Vá para Dispositivos > Ciclo de vida > Configurações > Proteção contra a limpeza de dados de dispositivo gerenciado. 2 Defina as seguintes configurações. Configuração Dispositivos apagados Dentro de (minutos) Descrição Digite o número de Dispositivos apagados que será o seu limite para o acionamento da proteção contra limpeza de dados. Digite o valor para Dentro de (minutos) que é o tempo que deve ocorrer para que a limpeza de dados dispare uma proteção contra a limpeza de dados. VMware, Inc. 34

35 Configuração Descrição Selecione um modelo de mensagem de para os administradores. Crie um modelo de mensagem para proteção contra limpeza de dados indo para Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Modelos de mensagem e selecioneadicionar, depois, selecione Ciclo de vida do dispositivo como a Categoria e Notificação de proteção contra limpeza de dados como o Tipo. Você pode usar os valores de pesquisa a seguir como parte do seu modelo de mensagem. {EnterpriseWipeInterval} O valor de Dentro de (minutos) na página de configurações. {WipeLogConsolePage} Um link para a página de log da limpeza de dados. Para Insira os endereços de dos administradores que devem ser notificados. Esses administradores devem ter acesso à Página de log de remoção de dados. Para obter detalhes, consulte Valores de pesquisa. 3 Selecione Salvar. Visualizar registros de limpeza de dados Você pode visualizar a página Registro de limpezas para ver quando os dispositivos foram eliminados e por que razão. Depois de analisar as informações, você pode aceitar ou rejeitar os comandos para apagar dados em espera e desbloquear o sistema para reiniciar o contador de limite da limpeza de dados. Se o sistema estiver bloqueado, você verá uma faixa no topo da página indicando esse status. Procedimentos 1 Vá para Dispositivos > Ciclo de vida > Log de limpeza. O recurso Relatar log de limpeza de dispositivo acessa a página Log de limpeza e fica disponível por padrão para administradores do sistema, administradores de SaaS e administradores do Workspace ONE UEM. Você pode adicionar esse recurso a qualquer função de administrador personalizada usando a página Criar função do administrador. Para obter mais informações, consulte Criar função de administrador. 2 Filtrar o log de limpeza pelos seguintes parâmetros. Intervalo de datas Tipo de remoção de dados Status Fonte Propriedade VMware, Inc. 35

36 3 Visualize a lista de dispositivos e determine se os dispositivos apresentados são válidos para limpeza de dados. As ações pendentes do dispositivo têm o status "Em espera". Os dispositivos apagados antes que o limite seja alcançado são exibidos com o status "Processado". a b Se os apagamentos forem válidos, selecione cada dispositivo e clique em Aprovar limpezas na lista de comandos. O status mudará para Aprovado. Se os apagamentos não forem válidos, selecione cada dispositivo e clique em Rejeitar limpezas na lista de comandos. O status mudará para Rejeitado. 4 Redefina o contador de limite do dispositivo e permita comandos de apagar selecionando Desbloquear sistema. Próximo passo O sistema permite comandos futuros automatizados para apagar até que o limite seja excedido novamente. Você só pode executar esta ação no grupo organizacional no nível Global ou do Cliente. Atribuições do dispositivo As atribuições de dispositivo permitem que você mova dispositivos entre grupos organizacionais (OG) e nomes de usuário com base no intervalo de endereço IP da rede ou em atributos personalizados. Essa abordagem é uma alternativa à organização do conteúdo (por exemplo, perfis, aplicativos, políticas e produtos) por grupo de usuários. Em vez de os administradores moverem manualmente dispositivos entre os grupos organizacionais, é possível direcionar o console para mover automaticamente os dispositivos quando conectarem-se ao Wi- Fi que você definir. Você também pode mover dispositivos com base em regras personalizadas de atributo que definir. Um caso de uso típico para atribuições de dispositivos é um usuário que altera regularmente funções que exigem perfis e aplicativos especializados para cada função. Você deve optar pela implementação de Grupos de usuários ou de Atribuições de dispositivos para mover os dispositivos, pois o Workspace ONE UEM não é compatível com as duas funções no mesmo dispositivo. Ativar atribuições de dispositivo Antes de poder mover dispositivos entre grupos organizacionais (GO) e nomes de usuário com base no IP ou em atributo personalizado, primeiro é necessário ativar atribuições de dispositivos. Atribuições do dispositivo só podem ser configuradas em um grupo organizacional herdeiro. VMware, Inc. 36

37 Procedimentos 1 Vá para Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Avançado e então selecione Substituir ou Herdar para a Configuração atual, de acordo com as suas necessidades. 2 Selecione Ativado na configuração Regras de atribuição do dispositivo. 3 Escolha o Tipo de gerenciamento. Grupo organizacional por intervalo IP Move o dispositivo para um GO específico quando o dispositivo deixa um intervalo de rede Wi-Fi e entra em outro. Essa ação aciona o envio automático de perfis, aplicativos, políticas e produtos por push. Grupo organizacional por atributo personalizado Move o dispositivo para um grupo organizacional com base em atributos personalizados. VMware, Inc. 37

38 Atributos personalizados permitem que os administradores extraiam valores específicos de um dispositivo gerenciado e os retornem para Workspace ONE UEM Console. Também é possível atribuir valor de atributo aos dispositivos para uso em aprovisionamento de produto ou valores de pesquisa de dispositivo. Quando o Grupo organizacional por atributo personalizado está ativado, aparece o link Clique aqui para criar uma regra de atribuição baseada em atributo personalizado. Quando selecionado, esse link abre outra guia em seu navegador. Essa aba exibe a página Regras de atribuição do atributo personalizado, para que você possa criar suas próprias regras de atribuição de atributo. Para obter mais informações, consulte Atribuir grupos organizacionais usando atributos personalizados. Nome de usuário por intervalo de IP quando um dispositivo sai de uma rede e entra em outra, o dispositivo muda os nomes de usuário em vez de mudar para outro GO. Essa mudança de nome de usuário aciona o mesmo envio de perfis, aplicativos, políticas e produtos por push que a mudança de GO. Essa opção é para os clientes com capacidade limitada para criar grupos organizacionais, proporcionando uma maneira alternativa para aproveitar o recurso de atribuição de dispositivo. Importante se você quiser mudar o Tipo de atribuição em uma configuração de atribuição existente, é necessário excluir todos os intervalos atualmente definidos. Remova as atribuições de intervalo de IP em Grupos e configurações > Grupos > Grupos organizacionais > Intervalos de rede. Remova as atribuições de atributos personalizadas em Dispositivos > Provisionamento > Atributos personalizados > Regras de atribuição de atributos personalizados. 4 Escolha as opções de Proprietário do dispositivo. Apenas dispositivos com os tipos de propriedade selecionados são atribuídos. Corporativo dedicado Corporativo compartilhado Propriedade do funcionário Indefinido 5 Você pode adicionar um intervalo de rede selecionando o link Clique aqui para criar um intervalo de rede. Como alternativa, você pode visitar essa página em Grupos e configurações > Grupos > Grupos organizacionais > Intervalos de rede. A seleção de configurações de intervalos de rede só ficará visível se Atribuições do dispositivo estiver habilitada para o grupo organizacional em que você estiver ao visitar este local. Para obter mais informações, consulte Definir regras de atribuição ou intervalo de rede do dispositivo. Quando selecionado, a página Intervalos de rede é exibida. 6 Selecione Salvar depois que todas as opções estiverem definidas. VMware, Inc. 38

39 Definir regras de atribuição ou intervalo de rede do dispositivo Quando seu dispositivo se conecta ao Wi-Fi, o dispositivo faz a autenticação e instala automaticamente perfis, aplicativos, políticas e aprovisionamentos de produto específicos para o GO selecionado. Você também pode definir regras com base em atributos personalizados. Quando um dispositivo se inscreve com um atributo designado, a regra atribui o dispositivo ao grupo organizacional configurado. O dispositivo também pode ser atribuído no caso em que o dispositivo recebe uma provisão de produto contendo um atributo personalizado de qualificação. Atribuições do dispositivo só podem ser configuradas em um grupo organizacional herdeiro. Procedimentos 1 Vá para Grupos e configurações > Grupos > Grupos organizacionais > Intervalos de rede. A opção Intervalos de rede não estará visível até que você ative as atribuições do dispositivo. Portanto, se você não conseguir localizar 'Intervalos de rede ' no caminho de navegação de grupos organizacionais, consulte Ativar atribuições de dispositivo. 2 Para adicionar um único intervalo de endereço IP, selecione Adicionar alcance de rede. Na página Adicionar/editar intervalo de rede, conclua estas configurações e selecione Salvar. Tabela 1 1. Adicionar alcance de rede Configuração Endereço de IP inicial Endereço de IP final Nome do grupo organizacional Nome de usuário Descrição Descrição Digite a extremidade superior do intervalo da rede. Digite a extremidade inferior do intervalo da rede. Digite o nome do GO para o qual os dispositivos são movidos quando o intervalo de rede é inserido. Esta configuração só ficará visível se o Tipo de atribuição de rede for Grupo organizacional por intervalo IP. Digite o nome de usuário para quem os dispositivos são registrados quando o intervalo de rede é inserido. Esta configuração só ficará visível se o Tipo de atribuição de rede for Nome de usuário por intervalo IP. Opcionalmente, adicione uma descrição útil do intervalo de rede. A sobreposição de intervalos de rede resulta na mensagem "Falha ao salvar, o intervalo de rede existe". VMware, Inc. 39

40 3 Se você tiver vários intervalos de rede para adicionar, pode selecionar Importação em lote para poupar tempo. a b c Na página Importação em lote, selecione o link Baixar modelo para esse tipo de lote para ver e baixar o modelo de importação em lote. Preencha este modelo, importe-o usando a página Importação em lote. Selecione Salvar. Dispositivos compartilhados A funcionalidade Dispositivo compartilhado/dispositivo de vários usuários garante que a segurança e a autenticação estejam disponíveis para cada usuário final exclusivo. E, se aplicável, dispositivos compartilhados permitem apenas que usuários finais específicos acessem informações confidenciais. Equipar cada funcionário da sua empresa com um dispositivo pode ser oneroso. O Workspace ONE UEM permite que você compartilhe dispositivos móveis entre os usuários usando uma única configuração fixa para todos os usuários ou uma configuração exclusiva para cada usuário individual. Ao administrar dispositivos compartilhados, primeiro é preciso que configure dispositivos com restrições e configurações aplicáveis antes de implementá-los para os usuários. Uma vez implementado, o Workspace ONE UEM usa um processo de login ou logout simples para dispositivos compartilhados, em que os usuários simplesmente digitam seus serviços de diretório ou credenciais dedicadas para fazer login. A função de usuário determina o seu nível de acesso a recursos corporativos como conteúdo, funções e aplicativos. Essa função garante a configuração automática de funcionalidades e recursos disponíveis depois que o usuário efetua o login. VMware, Inc. 40

41 As funções de login ou logout são autocontidas dentro do Workspace ONE Intelligent Hub. A autocontenção garante que o status da inscrição nunca seja afetado e que o dispositivo seja gerenciado estando ou não em uso. Recursos de dispositivos compartilhados Existem recursos básicos em torno da funcionalidade e segurança de dispositivos compartilhados por vários usuários. Esses recursos oferecem motivos convincentes para considerar dispositivos compartilhados como uma solução econômica para aproveitar ao máximo a mobilidade empresarial. Funcionalidade Personalize a experiência de cada usuário sem perder as configurações corporativas. O login em um dispositivo o configura automaticamente com acesso corporativo e configurações específicas, aplicativos e conteúdo com base na função do usuário final e no grupo organizacional (GO). Permita o processo de login/logout autocontido no Workspace ONE Intelligent Hub ou no VMware Identity Manager. Depois que o usuário faz logout do dispositivo, as definições de configuração da sessão são apagadas. O dispositivo então está pronto para fazer login para outro usuário final. Segurança Forneça dispositivos com as configurações de dispositivos compartilhados antes de distribuí-los aos usuários. Faça login e logout dos dispositivos sem afetar a inscrição no Workspace ONE UEM. Autentique os usuários durante o login com credenciais de serviços de diretório ou com as credenciais dedicadas do Workspace ONE UEM. Autentique os usuários finais usando o VMware Identity Manager. Gerencie dispositivos, mesmo quando um deles não estiver conectado. Plataformas compatíveis com dispositivos compartilhados Os seguintes dispositivos são compatíveis com a funcionalidade de dispositivos compartilhados/multiusuário. Android 4.3 ou superior Dispositivos ios com Workspace ONE Intelligent Hub v4.2 ou posterior, Dispositivos macos com Workspace ONE Intelligent Hub v2.1 ou posterior. VMware, Inc. 41

42 Definir a hierarquia de dispositivos compartilhados Crie a hierarquia de subgrupos em um único grupo organizacional com base nas necessidades da sua empresa. Ao fazer login na pela primeira vez no Workspace ONE UEM, você vê um único grupo organizacional (GO) que foi criado exclusivamente para você com o nome de sua organização. Esse grupo serve como seu GO de nível superior. Abaixo deste grupo principal, você pode criar subgrupos para construir a estrutura hierárquica da sua empresa. Procedimentos 1 Vá para Grupos e configurações > Grupos > Grupos organizacionais > Detalhes do grupo organizacional. Aqui, você pode ver um GO representando sua empresa. 2 Verifique se os Detalhes do grupo organizacional exibidos são precisos e use as configurações disponíveis para fazer modificações, se necessário. Caso faça alguma alteração, clique em Salvar. 3 Selecione Adicionar grupo organizacional herdeiro. 4 Digite as seguintes informações para o primeiro GO abaixo do GO de nível superior. Configuração Nome ID de grupo Tipo País Idioma Indústria do cliente Fuso horário Descrição Insira um nome de exibição para o grupo organizacional (GO) herdeiro. Use apenas caracteres alfanuméricos. Não use caracteres especiais. Insira um identificador para o GO para os usuários utilizarem durante o login do dispositivo. As IDs de grupo são utilizadas durante a inscrição para associar dispositivos ao GO apropriado. Certifique-se de que os usuários que compartilham dispositivos recebam a ID do grupo, já que pode ser exigida para login do dispositivo dependendo da sua configuração de dispositivos compartilhados. Se você não estiver em um ambiente on-premise, a ID de grupo identificará seu grupo organizacional em todo o ambiente SaaS compartilhado. Por esse motivo, todas as IDs de grupo devem ter nomes exclusivos. Selecione o tipo de GO pré-configurado que reflete a categoria do GO herdeiro. Selecione o país onde está localizado o GO. Selecione o idioma do país selecionado. Essa configuração só está disponível quando o Tipo é Cliente. Selecione na lista de Indústrias do cliente. Selecione o fuso horário para a localização do grupo organizacional. 5 Selecione Salvar. Configurar dispositivos compartilhados Semelhante à validação do dispositivo para um único usuário, a validação para vários usuários (um dispositivo compartilhado ) permite que um administrador de TI configure dispositivos destinados a serem utilizados por mais de um usuário. VMware, Inc. 42

43 Procedimentos u Preencha a seção Segurança, como aplicável: Configuração Exigir código de acesso para os dispositivos compartilhados. Requer caracteres especiais. Comprimento mínimo do código de acesso do dispositivo compartilhado Data de expiração do código de acesso dos dispositivos compartilhados (dias) Manter códigos de acesso dos dispositivos compartilhados por um tempo mínimo (dias) Histórico do código de acesso Logout automático ativado Logout automático após Ativar o modo de aplicativo único. Descrição Estabeleça que os usuários criem um código de acesso de dispositivos compartilhados no Portal Self-Service para verificação dos dispositivos. Este código de acesso é diferente de um código de acesso de login único ou um código de acesso de nível de dispositivo. Exija caracteres especiais para o código de acesso de dispositivos compartilhados, incluindo caracteres %, &, etc. Estabelece o comprimento mínimo de caracteres que o código de acesso compartilhado deve ter. Define o período de tempo (em dias) que o código de acesso compartilhado expirará. Determine a quantidade mínima de tempo (em dias) em que o código de acesso de dispositivos compartilhados deva ser alterado. Defina o número de códigos de acesso que serão lembrados pelo sistema, proporcionando um ambiente mais seguro, impedindo o usuário de reutilizar códigos de acesso antigos. Configure um logout automático após um período específico. Defina o período de tempo de ativação da função Logout automático em Minutos, Horas ou Dias. Marque esta caixa de seleção para configurar o modo de aplicativo único, que bloqueia o dispositivo em um único aplicativo quando um usuário final faz login no dispositivo. Para verificar um dispositivo ios no modo de aplicativo único, os usuários finais fazem login usando suas credenciais. Quando o dispositivo é verificado outra vez, o mesmo retorna ao modo de aplicativo único. Ativar o modo de aplicativo único, desativa o botão de Início no dispositivo. Observação O modo de aplicativo único é válido apenas para os dispositivos ios supervisionados. Limpar o código de acesso do dispositivo ao fazer logout (somente Android) Limpar dados de aplicativo ao fazer logout (somente Android) Reinstalar aplicativos no logout (somente Android Work Managed Device e Android (Legacy)) Essa configuração controla se o código de acesso atual do dispositivo será limpo quando o usuário efetuar o logout (verificar) em dispositivo compartilhado mulltiusuário. Limpe os dados do aplicativo quando o usuário efetuar o logout em um dispositivo compartilhado (verificá-lo). Use a lista suspensa para selecionar Sempre reinstalar o aplicativo entre usuários ou Nunca reinstalar o aplicativo entre usuários. Para implantações Android (Legacy), você pode optar por reinstalar o aplicativo se o Hub não puder limpar os dados do aplicativo entre os usuários. VMware, Inc. 43

44 Como fazer o login e o logout nos dispositivos Android compartilhados Para utilizar as funcionalidades do dispositivo compartilhado em dispositivos Android, você precisa inscrevê-lo usando o Workspace ONE Intelligent Hub e configurar o Launcher do VMware Workspace ONE como a tela inicial padrão. O Launcher do Workspace ONE é baixado automaticamente durante a inscrição. Uma vez que o aplicativo é instalado e selecionado como tela inicial padrão, o dispositivo entra em um estado de check-in. Enquanto estiver nesse estado, o usuário final não pode sair desta página e o dispositivo solicitará que o usuário faça check-out. Para remover o perfil e retornar o dispositivo a um estado acessível, apague os dados corporativos no dispositivo de um usuário de validação através do console da Workspace ONE UEM Console. Procedimentos 1 Na página de login do Launcher do Workspace ONE, os usuários devem digitar sua ID de grupo, nome de usuário e senha. Se Solicitar o grupo organizacional estiver habilitado no console, os usuários finais deverão digitar uma ID de grupo para fazer login. 2 Selecione Login e aceite os Termos de uso, se aplicável. O dispositivo está configurado. Uma fez feito o login, os perfis são enviados baseados no grupo inteligente do usuário e as associações do grupo de usuários. Próximo passo Para fazer logout de um dispositivo Android, selecione o botão Configurações e selecione Logout. Como fazer o login e o logout nos dispositivos compartilhados ios É possível fazer o login e o logout de um dispositivo ios que é compartilhado entre vários usuários. Próximo passo Selecione Logout sob a seção Dispositivo compartilhado. Observação Quando o logout do dispositivo compartilhado é feito, tanto o código de acesso do dispositivo como o Single Sign-On são apagados sem qualquer aviso ou notificação. o dispositivo nesse estado permite que o próximo usuário possa configurar outro código de acesso. Fazer o login e o logout nos dispositivos macos compartilhados Vários usuários podem fazer o login e o logout em um dispositivo macos compartilhado ativando o envio automático de perfis do dispositivo. VMware, Inc. 44

45 Fazer o login em um dispositivo macos usando credenciais de rede atribuídas, ao fazer o login em um dispositivo macos que tenha sido preparado, você receberá os perfis atribuídos à sua conta no Workspace ONE UEM. Desconectar-se um dispositivo macos o procedimento de logoff do macos padrão também registra o dispositivo dos seu perfil de usuário Workspace ONE UEM atribuído. Check-in em um dispositivo compartilhado no console do UEM Você pode fazer check-in do dispositivo diretamente do Workspace ONE UEM Console, evitando a necessidade de o usuário final fazer o check-in do dispositivo usando o Workspace ONE Intelligent Hub instalado Ao fazer check-in do dispositivo usando o console do UEM, você efetivamente redefine a inscrição para o usuário multivalidação com o grupo organizacional, os perfis, os aplicativos prescritos e assim por diante. No lado do dispositivo, o Workspace ONE Intelligent Hub é reiniciado e exibe a tela de check-out. No momento, esse recurso se aplica somente a dispositivos ios. Não há suporte para os dispositivos que se inscreveram usando um método que não seja o Workspace ONE Intelligent Hub (por exemplo, inscrição direta, Workspace ONE ou Container). Não há suporte para check-in em massa de dispositivos do console. Procedimentos 1 Vá para Dispositivos > Modo de exibição de lista e localize o dispositivo ios compartilhado que você deseja fazer o check-in. 2 Selecione o Apelido do dispositivo para exibir Detalhes do dispositivo. 3 Selecione o botão Mais ações no canto superior direito da tela. 4 Na seção Gerenciamento, selecione Fazer check-in do dispositivo. Ativar inscrição baseada em serviço de diretório A inscrição no serviço de diretório indica o processo de integrar a Workspace ONE UEM à sua infraestrutura de serviço de diretório da organização. Integrar seu serviço de diretório desta maneira significa que você pode importar usuários automaticamente e, opcionalmente, grupos de usuários, como grupos de segurança e listas de distribuição. Ao interagir com um serviço de diretório, como o Active Directory (AS), você tem opções para a forma como importa usuários. Permitir que todos os usuários do diretório se inscrevam Você pode permitir que todos os usuários do seu serviço de diretório se inscrevam. Você também pode configurar seu ambiente para detectar automaticamente usuários com base em seu . Depois, crie uma conta de usuário da Workspace ONE UEM para eles quando fazem a inscrição do dispositivo. VMware, Inc. 45

46 Adicionar usuários individualmente: depois de se integrar a um serviço de diretório, você pode adicionar usuários individualmente como faria para criar contas básicas de usuários da Workspace ONE UEM. A única diferença é que você deve inserir o nome de usuário e selecionar Verificar usuário para preencher automaticamente as informações restantes do seu serviço de diretório. Carregamento em lote de arquivo CSV Com essa opção, é possível importar uma lista de contas de serviços de diretório em um arquivo modelo CSV. Esse arquivo tem colunas específicas, algumas delas não podem ser deixadas em branco. Integrar com grupos de usuários (Opcional) Com esse método, você pode usar suas associações de grupo de usuários existentes para atribuir perfis, aplicativos, políticas de conformidade e assim por diante. Observação Para obter informações sobre como integrar seu ambiente Workspace ONE UEM com o serviço de diretório, consulte o VMware AirWatch Directory Services Guide. Se estiver considerando integrar a Workspace ONE UEM com o provedor de SAML, consulte o VMware AirWatch SAML Integration Guide, disponível em docs.vmware.com. Valores de pesquisa Um valor de pesquisa é uma variável que representa um elemento de dados específico de uma conta de dispositivo, usuário ou administrador. Valores de pesquisa podem ser inestimáveis para o preenchimento de um processo ou de um formulário. Em várias caixas de texto diferentes no Workspace ONE UEM Console, você pode adicionar valores de pesquisa no lugar de valores inseridos manualmente ou estáticos. Na maioria dos casos, os valores de pesquisa funcionam como um substituto para uma informação que você não sabe ou à qual não tem acesso. Por exemplo, a tela Adicionar dispositivo é usada para adicionar um dispositivo à sua frota. Uma das caixas de texto desta tela que pode ser preenchida com valores de pesquisa é a Apelido previsto. O apelido representa o dispositivo em várias telas diferentes no console do UEM, incluindo Exibição de lista do dispositivo e Visualizar detalhes. Embora você possa inserir um apelido estático manualmente, em vez disso, você pode usar valores de pesquisa para padronizar o apelido e torná-lo um identificador valioso. Um formato de apelido comum pode ser construído com os seguintes valores de pesquisa. {EnrollmentUser} {DeviceModel} {DeviceOperatingSystem} {DeviceSerialNumberLastFour} Se você digitar o texto acima na caixa de texto Apelido previsto, ela produzirá um apelido parecido com o que está na Exibição de lista do dispositivo. jsmith ipad ios GHKD Este apelido fornece instantaneamente pelo menos três informações úteis. E com os quatro últimos dígitos do número de série do dispositivo no final, é praticamente garantido que ele seja exclusivo. VMware, Inc. 46

47 Sobrecarga de dados Quando usado, não adicione valores de pesquisa à memória do dispositivo com uma carga extra. Os valores de pesquisa são um construto do próprio console do UEM, não algo que é transferido para o dispositivo. Cadeia de caracteres estática Versus valores de pesquisa Valores de pesquisa não podem ser aplicados depois que uma cadeia de caracteres estática foi digitada em uma caixa de texto. Por exemplo, suponha que você tenha 100 dispositivos para inscrever. Você adiciona os primeiro 50 dispositivos usando uma cadeia de caracteres estática inserida manualmente para o Apelido previsto. Para os próximo 50 dispositivos, você opta por usar um valor de pesquisa para o Apelido previsto no lugar. Esses 100 dispositivos, metade com apelidos estáticos e a outra metade com valores de pesquisa, pode coexistir perfeitamente bem. Não há nenhum problema em misturar e fazer a correspondência de cadeias de caracteres estáticas e valores de pesquisa. No entanto, você não pode retornar para os 50 primeiros dispositivos e substituir o apelido da cadeia de caracteres estática por um valor de pesquisa. Valores de pesquisa personalizados Você pode usar o recurso Atributos personalizados para formar seus próprios valores de pesquisa. Em seguida, você pode usar esses valores de pesquisa personalizados da mesma forma que fez com os valores de pesquisa comum. Para obter detalhes, consulte Criar atributos personalizados. Listagem de valores de pesquisa Para fazer referência a uma listagem completa de valores de pesquisa, incluindo os locais no Workspace ONE UEM, dos quais eles são acessados, consulte VMware, Inc. 47

48 Inscrição de dispositivo 2 É necessário inscrever um dispositivo para que ele possa ser gerenciado pelo Workspace ONE UEM Console. Há vários caminhos de inscrição, cada caminho com opções. Inscrevendo o dispositivo em Global O grupo organizacional (GO) global é projetado para abrigar Cliente e outros tipos de GOs. Devido à forma como funciona a herança, se você adicionar dispositivos a Global e configurar Global com configurações destinadas a afetar esses dispositivos, você também afetará todos os GOs de cliente abaixo. Isso minimiza os benefícios de multiempresa e herança. Para obter mais informações, consulte Motivos pelos quais você não deve inscrever dispositivos em global. Este capítulo inclui os seguintes tópicos: Inscrever um dispositivo no Workspace ONE Intelligent Hub Fluxos de trabalho de inscrição adicionais Inscrição direta do Workspace ONE Inscrição básica x de serviços de diretório Inscrição BYOD (estratégia BYOD) Autoinscrição versus validação de dispositivo Registro do dispositivo Configurar opções de inscrição Como autorizar e desautorizar o registro de dispositivos Restrições adicionais de inscrição Inscrição por detecção automática Inscrever um dispositivo no Workspace ONE Intelligent Hub Inscrever um dispositivo com o Workspace ONE Intelligent Hub é a opção principal para dispositivos Android, ios e Windows. VMware, Inc. 48

49 Procedimentos 1 Acesse AWAgent.com no navegador do dispositivo que deseja inscrever. O Workspace ONE UEM detecta automaticamente se o Workspace ONE Intelligent Hub já está instalado e redireciona para a loja de aplicativos móveis apropriada para fazer download do Workspace ONE Intelligent Hub, se necessário. Para fazer download do Workspace ONE Intelligent Hub de uma loja de aplicativos pública, é necessário ter um Apple ID ou uma conta do Google. 2 Execute o Workspace ONE Intelligent Hub ao concluir o download ou volte para sua sessão do navegador. Importante Para assegurar uma instalação bem-sucedida e o funcionamento do Workspace ONE Intelligent Hub no seu dispositivo Android, ele precisa ter um mínimo de 60 MB de espaço disponível. O CPU e o tempo de execução de memória são alocados por aplicativo na plataforma Android. Se um aplicativo utilizar mais do que o alocado, os dispositivos Android se otimizarão eliminando o aplicativo. 3 Digite o seu endereço de . O Workspace ONE UEM verifica se o seu endereço foi anteriormente adicionado ao ambiente. Nesse caso, você já está configurado como usuário e seu grupo organizacional já está atribuído. Se o Workspace ONE UEM não identificar você como usuário com base em seu endereço de , você deverá digitar sua URL do ambiente, ID de grupo e Credenciais. Se a URL do ambiente e a ID do grupo forem necessárias, o administrador do Workspace ONE UEM poderá fornecê-las. 4 Finalize a inscrição seguindo todas as mensagens restantes. Você pode usar seu endereço de no lugar do nome de usuário. Se dois usuários tiverem o mesmo , a inscrição falhará. Fluxos de trabalho de inscrição adicionais Em alguns casos específicos, o processo de inscrição deve ser adaptado para a organização e para a implementação. Para cada opção de inscrição adicional, os usuários precisarão de credenciais detalhadas na seção Informação obrigatória desse manual. Ambientes de vários domínios há suporte para inscrição de login em ambientes de um ou vários domínios, desde que tenham o seguinte formato. dominio\nomedeusuario. Modo quiosque e designer de quiosque os usuários finais de desktop do Windows podem configurar seus dispositivos de desktop no modo quiosque. Os usuários também podem usar o designer de quiosque no console do Workspace ONE UEM para criar um quiosque de vários aplicativos. Notificação - Solicitação de inscrição O usuário recebe uma notificação ( e SMS) com a URL de inscrição e digita a ID do grupo e as credenciais de login. Quando o usuário final aceita os Termos de uso (TOU), o dispositivo faz a inscrição automática e provisiona todos os recursos e conteúdo do MDM. Essa aceitação inclui aplicativos e recursos selecionados do servidor Workspace ONE UEM. VMware, Inc. 49

50 Inscrição com 1 clique Nesse fluxo de trabalho, aplicado a inscrições via Web, um administrador envia um token gerado pela Workspace ONE UEM ao usuário com uma URL de link para inscrição. O usuário simplesmente seleciona o link fornecido para autenticar e inscrever o dispositivo, tornando o processo de inscrição fácil e rápido para o usuário. Esse método também pode ser protegido configurando tempos de expiração. Inscrição na Web Há uma tela de boas-vindas opcional que o administrador pode selecionar para inscrições via Web anexando "/enroll/welcome" ao ambiente ativo. Por exemplo, ao fornecer a URL > /enroll/welcome aos usuários que participam da Inscrição via Web, eles veem uma tela Bem-vindo ao Workspace ONE UEM. Essa tela inclui opções de inscrição com um Endereço de ou ID do grupo. A opção Inscrição via Web aplica-se à versão 8.0 e posteriores do Workspace ONE UEM. Autenticação de dois fatores Nesse fluxo de trabalho, um administrador envia o mesmo token de inscrição gerado pela Workspace ONE UEM, mas o usuário também precisa digitar suas credenciais de login. Esse método é tão fácil de executar quanto a Inscrição de um clique, mas adiciona outro nível de segurança. A medida de segurança adicional exige que o usuário digite suas credenciais exclusivas. Registro de usuário O usuário faz o login no Self Service Portal (SSP) e registra o seu próprio dispositivo. Depois de finalizar o registro, o sistema envia um ao usuário com a URL de inscrição e as credenciais de login. Esse fluxo de trabalho presume que os administradores ainda não tenham realizado o registro do dispositivo para uma frota de dispositivos corporativos. Também presume que você exija que os dispositivos corporativos sejam registrados para que os administradores possam rastrear o status da inscrição. Além disso, o registro do usuário final significa que os dispositivos corporativos podem ser usados juntos com dispositivos comprados pelo usuário. Validação do dispositivo para um único usuário O administrador inscreve os dispositivos que serão utilizados em nome de um usuário. Esse método é útil para administradores que configuram vários dispositivos para toda uma equipe ou membros únicos de uma equipe. Esse método economiza o tempo e o esforço dos usuários de inscrição dos seus próprios dispositivos. O administrador também pode configurar, inscrever e enviar por correio um dispositivo diretamente para um usuário que fica baseado fora da sede. Validação do dispositivo para múltiplos usuários O administrador inscreve os dispositivos utilizados por vários usuários. Cada dispositivo é inscrito e provisionado com um conjunto específico de recursos que os usuários acessam somente depois que estes fizerem o login com as suas credenciais. Para obter mais informações, consulte os tópicos a seguir. Ativar tokens de registro e criar uma mensagem padrão. Registro do dispositivo do usuário. Registro do dispositivo. Preparar um dispositivo de usuário único. Preparar um dispositivo para múltiplos usuários. VMware, Inc. 50

51 Inscrição direta do Workspace ONE A inscrição direta usando o VMware Workspace ONE é a maneira mais eficiente de iniciar com dispositivos que sejam de propriedade da empresa e habilitados pessoalmente (COPE). O modelo COPE oferece às empresas uma maneira de chegar a um equilíbrio entre o consumo de dispositivos e a segurança e o controle que o departamento de TI precisa. Como administrador, você pode configurar uma solicitação opcional, restringir por tipo de dispositivo, limitar por grupo de usuários e adiar a instalação de aplicativos para o usuário. Opções de inscrição suportadas no Workspace ONE A maioria das opções de inscrição existentes é compatível com Inscrição direta com o Workspace ONE. Dentre as opções que ainda não são suportadas, a maioria deve ser adicionada em uma versão futura do Workspace ONE UEM. Para obter mais informações, consulte Opções compatíveis de inscrição direta do Workspace ONE. Ativar a Inscrição direta no Workspace ONE Como a opção Inscrição direta com o Workspace ONE, por padrão, está desativada em cada grupo organizacional, você deverá ativá-la. As opções de substituição de principal e herdeiro se aplicam às soluções máximas de recurso multiempresa. Para obter mais informações, consulte Ativar a inscrição direta para o Workspace ONE. Inscrever seu dispositivo com a inscrição direta do Workspace ONE Com a Inscrição direta do Workspace ONE ativada, fazer logon no grupo organizacional de inscrição usando um dispositivo de qualificação com o aplicativo Workspace ONE significa que você é inscrito imediatamente. Para obter mais informações, consulte Inscrever seu dispositivo com a inscrição direta do Workspace ONE. Opções compatíveis de inscrição direta do Workspace ONE O recurso Inscrição direta do Workspace ONE funciona com a maioria das opções e plataformas de inscrição existentes disponíveis antes do desenvolvimento do recurso. A inscrição direta com o Workspace ONE é compatível com as seguintes plataformas e opções de inscrição. Plataformas compatíveis ios. Android herdado. VMware, Inc. 51

52 Android empresarial. Vá para Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Inscrição, selecione cada guia aplicável e faça as seleções de acordo com a compatibilidade com a Inscrição direta do Workspace ONE. Autenticação As seguintes opções de autenticação são compatíveis com a inscrição direta do Workspace ONE. Usuários do diretório. Usuários do Active Directory SAML plus são compatíveis "imediatamente". O SAML sem usuários LDAP é compatível desde que o registro de usuário já exista no Workspace ONE UEM no momento do login inicial. Usuários básicos, usuários de validação, SAML sem usuários de diretório e usuários de Proxy de autenticação não são compatíveis no momento. Inscrição aberta. O Workspace ONE não monitora as configurações de Exigir o Workspace ONE Intelligent Hub para ios ou macos, que são usadas para bloquear inscrições na web em suas respectivas plataformas. Termos de uso Todas as opções dos termos de uso são compatíveis com a inscrição direta do Workspace ONE. Agrupamento Todas as opções de agrupamento são compatíveis com a inscrição direta do Workspace ONE. Restrições As seguintes opções de restrições são compatíveis com a inscrição direta do Workspace ONE. Usuários conhecidos e grupos configurados. Limite máximo de dispositivos inscritos. Configurações de políticas são parcialmente compatíveis. Tipos de proprietário permitidos O Workspace ONE apenas solicitará para propriedade do funcionário e corporativo dedicado. Caso não queira nenhum tipo, desative a solicitação opcional e use o tipo de propriedade padrão. Tipos de inscrição permitidos não são compatíveis. Plataforma do dispositivo, modelo do dispositivo e restrições de sistema operacional são compatíveis. Restrições de grupo de usuários. VMware, Inc. 52

53 Prompts opcionais As seguintes opções de prompts opcionais são compatíveis com a inscrição direta do Workspace ONE. Solicitação de proprietário do dispositivo. Solicitar número do ativo (compatível apenas quando a opção Solicitação de proprietário do dispositivo estiver ativada). Todas as outras solicitações opcionais não são compatíveis. Personalização As seguintes opções de personalização são compatíveis com a inscrição direta do Workspace ONE. Uso de modelo de mensagem específico para cada plataforma. URL para redirecionamento após a inscrição (somente ios). Mensagem de perfil de MDM (somente ios). Usar aplicativos de MDM personalizados. de suporte para a inscrição e Telefone de suporte para a inscrição não são compatíveis. Método de Não há suporte para a preparação de dispositivos por meio da inscrição direta do Workspace ONE. Se você precisa preparar um dispositivo, para um ou vários usuários, será preciso inscrever o dispositivo usando o Workspace ONE Intelligent Hub em vez da inscrição direta do Workspace ONE. Ativar a inscrição direta para o Workspace ONE Você pode ativar o Workspace ONE Direct Enrollment no grupo organizacional (GO) de sua preferência. Depois de ativada, todos os dispositivo qualificados que fizerem login pela primeira vez na Workspace ONE UEM serão inscritos diretamente. Dispositivos não qualificados, que não atendem aos critérios definidos por você, estão inscritos no estado não gerenciado ou contêiner. A inscrição direta é desativada por padrão. Para ativar a inscrição direta para o Workspace ONE, siga estas etapas. Procedimentos 1 Alterne para o grupo organizacional para o qual você deseja ativar a inscrição direta para o Workspace ONE. 2 Vá para Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Inscrição e selecione a guia Restrições. 3 Se necessário, selecione para substituir as configurações do GO principal. VMware, Inc. 53

54 4 Role para baixo até Requisitos de gerenciamento para o Workspace ONE e selecione as opções de configuração. Configuração Exigir o MDM para o Workspace ONE Grupo de usuários atribuído ios Android herdado Android empresarial Descrição Solicitar a inscrição aos dispositivos e usuários qualificados imediatamente após o login no Workspace ONE. Dispositivos fora dos critérios definidos têm permissão para se inscrever em um estado não gerenciado e podem passam por gerenciamento mais tarde (Gerenciamento adaptativo). Esta configuração especifica o grupo de usuários que você deseja incluir no processo de inscrição direta. Você também pode selecionar Todos os usuários, que é a seleção padrão quando você habilita Exigir o MDM para o Workspace ONE. Ative essa configuração para incluir dispositivos ios. O status desativado torna os dispositivos ios não elegíveis para a inscrição direta, embora eles ainda possam se inscrever no Workspace ONE UEM em um estado não gerenciado. Ative esta opção para incluir os dispositivos Android herdados. O status desativado torna os dispositivos Android herdados não elegíveis para a inscrição direta, embora eles ainda possam se inscrever no Workspace ONE UEM em um estado não gerenciado. Ative essa configuração para incluir dispositivos Android empresariais. O status desativado torna os dispositivos Android empresariais não elegíveis para a inscrição direta, embora eles ainda possam se inscrever no Workspace ONE UEM em um estado não gerenciado. 5 Selecione Salvar. Apenas opções compatíveis definidas nas outras guias de inscrição se aplicam à sua configuração de inscrição direta salva. Próximo passo Uma vez que a inscrição direta do Workspace ONE tiver sido ativada, a próxima etapa é Inscrever seu dispositivo com a inscrição direta do Workspace ONE. Para obter mais informações sobre as opções de inscrição direta no Workspace ONE e as opções de inscrição em geral, consulte Opções compatíveis de inscrição direta do Workspace ONE e Configurar opções de inscrição. Inscrever seu dispositivo com a inscrição direta do Workspace ONE Com a inscrição direta do Workspace ONE habilitada, fazer logon no grupo organizacional de inscrição usando um dispositivo e usuário de qualificação com o aplicativo Workspace ONE significa que você está inscrito imediatamente. Os usuários também podem instalar aplicativos imediatamente, o que é útil para sua empresa. Além disso, eles podem ignorar esta etapa e optar pela instalação de aplicativos mais tarde. Para inscrever um dispositivo com a inscrição direta do Workspace ONE, o usuário realiza as seguintes etapas. Procedimentos 1 Fazer download, instalar e executar o aplicativo Workspace ONE do repositório ou loja de aplicativos específico da plataforma. VMware, Inc. 54

55 2 Insira o endereço de ou URL do servidor. 3 Digite seu nome de usuário e senha dos serviços de diretório. 4 Selecione etapas afirmativas específicas para sua plataforma para instalar ou habilitar o Workspace Services. a b c ios permita que o servidor abra as Configurações, digite seu código de acesso ao dispositivo, instale um perfil de dispositivo não assinado e abra uma tela no Workspace. Android legado instale o Workspace ONE Intelligent Hub, permita que ele faça e gerencie chamadas telefônicas e selecione a propriedade do seu dispositivo com uma opção para inserir o número de ativo do dispositivo. Ative o aplicativo de administrador do dispositivo e, em seguida, faça o login no Workspace ONE. Corporativo Android aceite (ou recuse) o acordo de termos de uso, configure o perfil de trabalho e crie o código de acesso do Workspace ONE. 5 Quando o Workspace ONE terminar a rotina de instalação, você pode Continuar a instalar aplicativos. 6 Você pode instalar aplicativos individuais selecionados a partir de uma lista, Instalar todos ou Ignorar essa etapa inteiramente. Inscrição básica x de serviços de diretório Se você tiver uma infraestrutura de serviços de diretório como Active Directory (AD), Lotus Domino e Novell e-directory, é possível aplicar os usuários e grupos existentes na Workspace ONE UEM. Se você não tiver uma infraestrutura de serviços de diretório ou se escolher não integrar a ela, precisará realizar a Inscrição básica. Inscrição básica significa criar manualmente contas de usuário no console do UEM. Observação Embora a Workspace ONE UEM seja compatível com um mix de usuários básicos e baseados em diretório, você normalmente usa um ou outro para a inscrição inicial de usuários e dispositivos. VMware, Inc. 55

56 Prós e contras Inscrição básica Inscrição de serviço do diretório Prós Pode ser usada para qualquer método de implementação. Não requer integração técnica. Não exige infraestrutura empresarial. Potencialmente, pode se inscrever em múltiplos grupos organizacionais. Os usuários podem se autenticar utilizando credenciais corporativas existentes. Pode detectar e sincronizar automaticamente as alterações do sistema do diretório na Workspace ONE UEM. Método seguro de fazer a integração com seu serviço de diretório existente. Prática de integração padrão. Pode ser usada para a inscrição direta do Workspace ONE. Implementações de SaaS usando o VMware Enterprise Systems Connector não exigem alterações no firewall e uma configuração segura é oferecida a outra infraestrutura, como servidores Microsoft ADCS, SCEP e SMTP. Contras As credenciais só existem na Workspace ONE UEM e não coincidem necessariamente com as credenciais corporativas. Não oferece segurança federada. Login único não compatível. Workspace ONE UEM armazena todos os nomes de usuários e senhas. Não pode ser usada para a inscrição direta do Workspace ONE. Exige uma infraestrutura de serviço de diretório. Implementações SaaS exigem configuração adicional porque o VMware Enterprise Systems Connector está instalado atrás do firewall ou em uma DMZ. Integração de serviços de diretório e restrições de inscrição Quando a integração dos serviços de diretório é configurada no Workspace ONE UEM, as contas de serviços de diretório herdam as configurações de inscrição do grupo organizacional (GO) no qual os serviços de diretório estão configurados. Contas básicas, no entanto, cumprem as configurações locais, incluindo substituições. Por exemplo, suponha que a opção Apagar dados corporativos de dispositivos dos usuários que foram removidos de grupos configurados esteja habilitada no grupo organizacional de cliente. VMware, Inc. 56

57 Dado este cenário, os usuários de inscrição de diretório em Sales01 que deixarem um grupo configurado veem os dados dos seus dispositivos serem apagados, apesar da substituição configurada desse grupo organizacional. Isso ocorre mesmo que essas contas tenham dispositivos inscritos em um GO diferente, porque as configurações de inscrição são centradas no usuário, não no dispositivo. No entanto, nesse mesmo cenário, dispositivos pertencentes a usuários de inscrição básica do GO Sales01 que saírem de um grupo configurado não serão apagados. Isso ocorre porque os usuários de inscrição básica em Sales01 não são parte do GO integrado ao serviço de diretório e, portanto, reconhecem e respeitam a restrição de inscrição substituída. Considerações de inscrição, básico versus diretório Ao considerar uma inscrição de usuário, além dos prós e contras existentes de usuários Básicos x Diretório, considere também as seguintes questões. Para ver os prós e contras de usuários básicos x usuários do diretório, consulte Inscrição básica x de serviços de diretório. Consideração nº 1: Quem pode se inscrever? Ao responder a esta pergunta, considere o seguinte. O objetivo da sua implementação de MDM é gerenciar dispositivos para todos os usuários da sua organização na base de DN * configurada ou abaixo dela? Se for esse o caso, a maneira mais fácil de alcançar esse objetivo será permitir que todos os usuários se inscrevam, verificando se as caixas de seleção Limitar inscrição estejam desmarcadas. Você pode permitir que todos os usuários se inscrevam durante a implementação inicial e, depois de algum tempo, restringir a inscrição para impedir que usuários desconhecidos se inscrevam. À medida que sua organização adiciona novos funcionários ou membros aos grupos de usuários existentes, essas alterações são sincronizadas e mescladas. Há usuários ou grupos que não devem estar incluídos no MDM? Em caso afirmativo, você deve adicionar usuários individualmente ou importando em lote um arquivo CSV com os usuários qualificáveis? Se quiser restringir alguns usuários e grupos, consulte Definir configurações de restrição de inscrição. Consideração nº 2: Onde os usuários serão atribuídos? Outra consideração a fazer ao integrar seu ambiente Workspace ONE UEM com os serviços de diretório é como você atribui usuários do diretório aos grupos organizacionais durante uma inscrição. Ao responder a esta pergunta, considere o seguinte. Você criou uma estrutura de grupo organizacional que mapeia logicamente para seus grupos de serviço de diretório? Você precisa concluir essa tarefa antes de poder editar as atribuições de grupo de usuários. Se seus usuários estiverem inscrevendo seus próprios dispositivos, a opção de selecionar uma ID do grupo de uma lista é simples. Erro humano é um fator nessa simplicidade e pode levar a atribuições de grupo incorretas. VMware, Inc. 57

58 Você pode selecionar uma ID do grupo automaticamente com base no grupo de usuários ou permitir que os usuários selecionem uma ID do grupo em uma lista. Essas opções de Modo de atribuição da ID do grupo estão disponíveis em Dispositivos > Configurações do dispositivo > Dispositivos e usuários > Geral > Inscrição e selecionando a guia Agrupamento. Se quiser configurar opções de ID do grupo, consulte Configurar opções de inscrição na aba Agrupamento. * A base DN, ou o nome distinto é o ponto a partir do qual um servidor procura usuários. Um nome distinto é um nome que identifica de modo único uma entrada no diretório. Cada entrada no diretório tem um DN. Ativar inscrição básica A Inscrição básica é o processo de criar manualmente contas de usuário e grupos de usuários para cada um dos usuários da organização. Se a sua organização não integrar a Workspace ONE UEM um serviço de diretório, a inscrição básica será a forma de criar contas de usuário. Se você tiver um número pequeno de contas básicas para criar, crie-as uma de cada vez, como descrito em Criar contas de usuários básicas. Para inscrições básicas envolvendo números maiores de usuários finais, você pode poupar tempo preenchendo e carregando arquivos modelo em formato CSV. Esses arquivos contêm todas as informações de usuário por meio do recurso importar em lote. Para obter mais informações, consulte Importação de usuários ou dispositivos em lote. Inscrição BYOD (estratégia BYOD) Um grande desafio no gerenciamento de dispositivos pessoais dos usuários é reconhecer e distinguir entre dispositivos do funcionário e da empresa e, então, limitar a inscrição apenas a dispositivos aprovados. Workspace ONE UEM permite configurar várias opções que personalizam a experiência do usuário de inscrever um dispositivo pessoal. Antes de começar, você deve considerar como planeja identificar os dispositivos dos funcionários em sua implementação e se pretende estabelecer restrições de inscrição para dispositivos de funcionários. Considerações de inscrição, BYOD Presumindo que você esteja permitindo que os funcionários inscrevam seus dispositivos pessoais em seu ambiente do Workspace ONE UEM, haverá muitas considerações necessárias antes de continuar. VMware, Inc. 58

59 Consideração nº 1: Os usuários BYOD vão se inscrever no VMware Workspace ONE ou no Workspace ONE Intelligent Hub? O VMware Workspace ONE é uma plataforma empresarial segura que entrega e gerencia qualquer aplicativo em qualquer dispositivo. Começa com autoacesso de logon único aos aplicativos na nuvem, móveis e Windows e inclui ferramentas de , calendário, arquivo e colaboração fortemente integradas. Com o Workspace ONE, os usuários não precisam inscrever seus dispositivos pessoais para ter acesso aos serviços. O aplicativo Workspace ONE pode ser baixado da Apple App Store, do Google Play ou da Microsoft Store e instalado. Um usuário então entra e acessa aplicativos com base nas políticas estabelecidas. O aplicativo Workspace ONE configura um perfil de gerenciamento de MDM durante a instalação que inscreve o dispositivo automaticamente. O Workspace ONE Intelligent Hub representa a opção de inscrição herdada para dispositivos móveis. Para obter os detalhes, consulte Inscrever um dispositivo no Workspace ONE Intelligent Hub. Consideração nº 2: Como você especificará o tipo de propriedade? Todo dispositivo inscrito no Workspace ONE UEM tem um tipo de propriedade atribuído: corporativo dedicado, corporativo compartilhado ou do funcionário. Os dispositivos pessoais dos funcionários são categorizados como Propriedade do funcionário e estariam sujeitos a configurações específicas de privacidade e restrições configuradas para o tipo. Para responder a essa pergunta sobre um tipo específico de propriedade, considere o seguinte. Você tem acesso a uma lista master dos dispositivos da empresa que você pode carregar em massa no console do UEM? Em caso afirmativo, você pode considerar o carregamento dessa lista e configurar o tipo de propriedade padrão como Propriedade do funcionário. Você considerou as implicações legais de permitir que os usuários selecionem um tipo de propriedade em uma lista? Por exemplo, se um usuário inscrever um dispositivo pessoal, mas selecionar incorretamente da empresa como tipo de propriedade. Quais são as ramificações quando esse usuário viola uma política e os dados do seu dispositivo pessoal são totalmente apagados? Para seu programa BYOD, é possível configurar o Workspace ONE UEM para aplicar o tipo de proprietário padrão durante a inscrição ou permitir que os usuários selecionem o tipo de proprietário apropriado. Consideração nº 3: Você aplicará outras restrições de inscrição para dispositivos de propriedade do funcionário? Ao responder a esta pergunta, considere o seguinte. Sua implementação de MDM é compatível apenas com algumas plataformas de dispositivos? Em caso afirmativo, você pode especificar as plataformas e permitir que apenas dispositivos que funcionam nelas possam se inscrever. Você limitará o número de dispositivos pessoais que um funcionário pode inscrever? Em caso afirmativo, você pode especificar um número máximo de dispositivos que um usuário pode inscrever. VMware, Inc. 59

60 Você pode definir restrições adicionais de inscrição para controlar melhor quem pode se inscrever e que tipos de dispositivos são permitidos. Por exemplo, você pode optar por oferecer compatibilidade apenas aos dispositivos Android com funcionalidade de gerenciamento empresarial integrada. Depois que sua organização avaliar e determinar quais tipos de dispositivos de propriedade do funcionário deseja usar em seu ambiente de trabalho, você poderá definir essas configurações. Para mais informações, consulte Restrições adicionais de inscrição. Identifique os dispositivos corporativos e especifique o tipo de proprietário padrão Preparar uma lista de dispositivos pode ser útil se você tiver um mix de dispositivos da empresa e dos funcionários que eles mesmos inscrevam. Quanto a inscrição começa, os dispositivos identificados como de propriedade da empresa têm seu tipo de propriedade configurado automaticamente com base no que você selecionou. Então, você pode configurar todos os dispositivos do funcionário, que não estão na lista, para inscrição com um tipo de Propriedade do funcionário. O procedimento a seguir explica como importar uma lista de dispositivos da empresa pré-aprovados. Você pode aplicar automaticamente o tipo de propriedade Da empresa depois da inscrição, mesmo que você tenha uma restrição que aplique automaticamente o tipo Propriedade do funcionário. Restrições para uma inscrição aberta, por outro lado, permitem ou bloqueiam explicitamente a inscrição de dispositivos com parâmetros correspondentes que você identifica incluindo plataforma, modelo e sistema operacional. Procedimentos 1 Vá para Dispositivos > Ciclo de vida > Status de inscrição e selecione Adicionar, depois Importação em lote, que exibe a tela de Importação em lote. Como alternativa, você pode selecionar Adicionar e depois Dispositivos autorizados para inserir até 30 dispositivos autorizados por vez por IMEI, UDID ou número de série. Também pode selecionar Corporativo Corporativo - compartilhado como tipo de propriedade. 2 Digite um Nome do lote e Descrição do lote, selecione Adicionar dispositivo autorizado como Tipo de lote. 3 Selecione o link chamado "Fazer download do modelo com um exemplo de dispositivos autorizados" e salve este modelo em CSV em um local ao qual você tenha acesso. Edite esse arquivo CSV no Excel para adicionar todos os dispositivos que você deseja autorizar, e depois salve. 4 Selecione Escolher arquivo e depois o arquivo CSV salvo. 5 Selecione Importar para importar essas informações do dispositivo à lista de autorizações. 6 Defina o tipo de Propriedade padrão do dispositivo para Propriedade do funcionário para todas as inscrições em aberto. a Vá para Dispositivos > Configurações de dispositivos > Dispositivos e usuários > Geral > Inscrição e selecione a guia Agrupamento. b Selecione Propriedade do funcionário como Propriedade padrão do dispositivo. VMware, Inc. 60

61 c d e Selecione a Função padrão atribuída ao usuário, que determinar o nível de acesso dele ao Self Service Portal (SSP). Selecione a Ação padrão para Usuários inativos, que determina o que fazer se o usuário for marcado como inativo. Selecione Salvar. Solicitar aos usuários que identifiquem o tipo de propriedade Se a sua implementação tiver grupos organizacionais com vários tipos de propriedade, é possível solicitar aos usuários que identifiquem seu tipo de propriedade durante a inscrição. Uma consideração cuidadosa deve ser usada antes de permitir que os usuários escolham seu próprio tipo de propriedade. Você pode sempre atualizar a propriedade posteriormente, mas é mais seguro criar uma lista de dispositivos da empresa. Depois, inscreva os dispositivos da empresa separadamente e então defina o tipo de proprietário como Do funcionário. Pré-requisitos Embora simples, essa abordagem presume que todo usuário selecionará corretamente o tipo de propriedade adequado aplicável ao seu dispositivo. Se um usuário de dispositivo pessoal selecionar o tipo de propriedade corporativa no erro, seu dispositivo ficará sujeito às políticas e aos perfis que não se aplicam a dispositivos pessoais. Essa seleção errada pode ter implicações legais sérias quanto à privacidade do usuário. Procedimentos 1 Vá para Dispositivos > Configurações do dispositivo > Dispositivos e usuários > Geral > Inscrição e selecione a guia Prompt opcional. 2 Selecione Solicitar tipo de propriedade do dispositivo. Durante a inscrição, usuários são solicitados a selecionar seu tipo de propriedade. 3 Selecione Salvar. Autoinscrição versus validação de dispositivo A Workspace ONE UEM é compatível com dois métodos de inscrição de dispositivos corporativos. Você pode permitir que os usuários inscrevam seus próprios dispositivos ou que administradores inscrevam dispositivos em nome dos usuários em um processo chamado validação de dispositivo. Na validação do dispositivo, um administrador inscreve os dispositivos antes de atribuí-los e distribuí-los aos usuários finais. Esse método é útil para administradores que precisam configurar dispositivos compartilhados por vários usuários na organização. VMware, Inc. 61

62 Além disso, a validação de dispositivo funciona bem para dispositivos recentemente provisionados, pois ela acontece antes de um funcionário receber o dispositivo. Se os seus usuários já têm dispositivos corporativos, faz mais sentido permitir que eles façam a autoinscrição. Permitir que os usuários inscrevam seus próprios dispositivos também é útil quando o número total de dispositivos tornar inviável para os administradores realizar a validação de dispositivos. A validação de dispositivo pode ser realizada em dispositivos Android, Windows Phone, ios e macos. Observação o Windows Phone atualmente é compatível apenas com a validação de dispositivo de usuário único. Não há suporte para a preparação de dispositivos por meio da inscrição direta do Workspace ONE. Se você precisa preparar um dispositivo, para um ou vários usuários, será preciso inscrever o dispositivo usando o Workspace ONE Intelligent Hub em vez da inscrição direta do Workspace ONE. Para obter mais informações, consulte Inscrição direta do Workspace ONE. Considerações de inscrição, autoinscrição Se quiser poupar tempo permitindo que os usuários se inscrevam, considere estas questões. Consideração nº 1: Proprietário do dispositivo Seus usuários já têm dispositivos corporativos atribuídos? Nesse caso, pode não ser prático coletar cada dispositivo e validá-lo e deixar os usuários fazerem a inscrição. Seus usuários compartilharão dispositivos ou terão seus dispositivos dedicados? Se os usuários não vão compartilhar os dispositivos, você pode torná-los responsáveis pela inscrição dos seus próprios dispositivos. Consideração 2: Detecção automática Você associará o domínio de da sua organização ao ambiente da Workspace ONE UEM? Esse processo, conhecido como detecção automática, significa que os usuários precisam apenas inserir seu endereço de e credenciais. A URL de inscrição e a ID do grupo são automaticamente inseridas. Consulte também Configurar inscrição por detecção automática a partir de um grupo organizacional herdeiro e Configurar inscrição por detecção automática a partir de um grupo organizacional principal. Consideração 3: Inscrição direta do Workspace ONE A inscrição direta do Workspace ONE é um recurso adequado para a autoinscrição. Uma vez ativado, todos os dispositivos qualificados que efetuarem login no grupo organizacional de inscrição são imediatamente inscritos. E depois de totalmente instalado, o usuário pode concordar em instalar aplicativos selecionados pela empresa ou optar por sair da instalação de aplicativos. Para obter mais informações, consulte Inscrição direta do Workspace ONE. VMware, Inc. 62

63 Processo padrão de autoinscrição A autoinscrição pode exigir que os usuários finais saibam a ID do grupo apropriado e as credenciais de login. Se você tiver feito a integração com os serviços de diretório, essas credenciais serão as mesmas que as do serviço de diretório do usuário. Você também pode associar o domínio de da sua organização com seu ambiente Workspace ONE UEM em um processo conhecido como detecção automática. Com a detecção automática ativada, os dispositivos de plataformas compatíveis solicitam que os usuários insiram seu endereço de . Esses dispositivos preencherão automaticamente a inscrição se o domínio de deles (texto depois corresponder, sem a necessidade de digitar uma ID do grupo ou URL de inscrição. Para obter mais informações, consulte Inscrição por detecção automática. Procedimentos 1 Os usuários acessam AWAgent.com, que detecta automaticamente se o Workspace ONE Intelligent Hub está instalado. Se Workspace ONE Intelligent Hub não estiver instalado, o site redireciona para a app store móvel adequada. 2 Os usuários do AirWatch Container baixam o aplicativo AirWatch Container na app store. 3 Depois de iniciar o aplicativo Workspace ONE Intelligent Hub ou Container, os usuários digitam suas credenciais, além do endereço de ou URL/ID do grupo, e continuam com a inscrição. Próximo passo Considerações de inscrição, validação de dispositivo Os administradores podem inscrever dispositivos em nome dos usuários em um processo chamado validação de dispositivo. A validação de dispositivos serve para simplificar o processo de registro e para inscrever dispositivos ios compartilhado por vários usuários. Você também pode validar dispositivos para provisionar uma frota de dispositivos inteira rapidamente com o Apple Configurator. Consideração 1: Uso de validação do dispositivo A menos que estejam usando o Apple Configurator, os administradores devem validar os dispositivos individualmente. Para grandes implementações, considere o tempo e o pessoal exigidos para a tarefa. Embora administradores possam preparar novos dispositivos facilmente, os funcionários que já usam dispositivos da empresa devem enviar os dispositivos ou coletá-los no local para que eles sejam preparados. Se você tiver milhares de dispositivos para fazer a pré-inscrição, a validação de dispositivos pode levar tempo. Portanto, é melhor realizá-la quando um novo lote de dispositivos é provisionado. Assim, você tem acesso aos dispositivos antes de os funcionários os receberem. VMware, Inc. 63

64 A validação de dispositivo pode ser realizada em dispositivos Android, Windows Phone e ios das seguintes formas. Usuário único (Padrão) Utilizado quando você está validando um dispositivo que qualquer usuário pode inscrever. Usuário único (Avançada) Utilizada quando você está preparando e inscrevendo um dispositivo para um usuário em particular. Múltiplos usuários Utilizada quando você está preparando um dispositivo cujo uso será compartilhado por vários usuários. Observação o Windows Phone atualmente é compatível apenas com a validação de dispositivo de usuário único. Consideração 2: Você está participando do programa de inscrição de dispositivos da Apple? Para maximizar os benefícios dos dispositivos Apple inscritos no programa de Gerenciamento de dispositivos móveis (MDM), a Apple introduziu o Programa de registro de dispositivo (DEP). Com o DEP, você pode fazer as ações a seguir. Instale um perfil não removível de MDM em um dispositivo para impedir que os usuários consigam removê-lo. Provisione dispositivos no modo Supervisionado (apenas ios). Dispositivos no modo Supervisionado podem acessar definições adicionais de segurança e configuração. Exija a inscrição de todos os usuários. Atenda às necessidades da sua organização personalizando e agilizando o processo de inscrição. Evite o backup do icloud impedindo que os usuários façam login com o ID Apple ao gerar um perfil DEP. Exija atualizações do SO para todos os usuários. Consideração 3: Uso do Apple Configurator O Apple Configurator permite que os administradores de TI implementem e gerenciem dispositivos Apple ios com eficiência. Organizações como lojas de varejo, salas de aula e hospitais acham especialmente útil fazer a pré-inscrição dos dispositivos para vários usuários compartilharem. É possível usar o Configurator para inscrever dispositivos dedicados pré-registrados destinados a um único usuário adicionando dados do número de série/imei a um dispositivo registrado do usuário no console. Um grande benefício do Apple Configurator é que você pode usar um hub USB ou carrinho de dispositivo ios para provisionar vários dispositivos em minutos. VMware, Inc. 64

65 Consideração 4: Uso da inscrição direta do Workspace ONE Não há suporte para a preparação de dispositivos por meio da inscrição direta do Workspace ONE. Se você precisa preparar um dispositivo, para um ou vários usuários, será preciso inscrever o dispositivo usando o Workspace ONE Intelligent Hub em vez da inscrição direta do Workspace ONE. Para obter mais informações, consulte Inscrição direta do Workspace ONE. Consideração 5: Validação ou registro de usuário único? Se você estiver considerando validar dispositivos para um único usuário, o registro pode ser preferível. A diferença entre validar um único usuário e registrar um dispositivo é sutil, mas importante. Registro quando você registra um dispositivo, você faz isso para um usuário individual, denominado. Esse procedimento significa que o dispositivo espera que o primeiro usuário que faz login seja o mesmo usuário ao qual ele foi registrado. Se outro usuário tentar efetuar login em um dispositivo registrado, a premissa de segurança determina que o dispositivo está bloqueado e não pode ser inscrito. Validação de usuário único quando você prepara um dispositivo, faz isso para que qualquer usuário qualificado se inscreva no Workspace ONE UEM. Na teoria, você pode entregar um dispositivo validado para qualquer usuário qualificado e ele poderá efetuar login no dispositivo e se inscrever no Workspace ONE UEM com êxito. O fluxo de trabalho de validação permite que você prepare o dispositivo e, em seguida, inicie o Workspace ONE Intelligent Hub, onde qualquer usuário de inscrição qualificado poderá fazer login. O Workspace ONE UEM executa então uma única reatribuição para associar o dispositivo a esse usuário. Modo supervisionado Os administradores têm a opção de ativar o Modo supervisionado para dispositivos inscritos por meio do Apple Configurator, o que ativa recursos de segurança adicionais aprimorados. No entanto, esse modo não introduz diversas limitações no dispositivo. Benefícios Quando o dispositivo está supervisionado e inscrito na Workspace ONE UEM, o administrador tem estes recursos aprimorados disponíveis para configuração em comparação com os dispositivos normais. Restrições elevadas sobre MDM Evitar que o usuário remova aplicativos. A remoção de aplicativos também pode ser restringida localmente no dispositivo usando as restrições na Configuração do sistema. Bloquear AirDrop. Evitar que usuários modifiquem as configurações da conta do icloud e do , evitando a modificação da conta. Desativar imessage. Definir restrições de avaliação de conteúdo da ibookstore. VMware, Inc. 65

66 Desativar o Game Center e a ibookstore. Segurança aprimorada Impedir que os usuários visitem sites com conteúdo adulto no Safari. Restringir os dispositivos que podem se conectar aos destinos AirPlay específicos, como Apple TVs. Evitar a instalação de certificados ou perfis de configuração não gerenciados. Forçar todo o tráfego de rede de dispositivos por meio de um proxy de HTTP global. Modo quiosque Bloquear dispositivos para um aplicativo com modo de aplicativo único e desativar o botão Início. Personalização de papel de parede e texto no dispositivo Ative ou elimine o bloqueio de ativação Limitações O acesso USB aos dispositivos supervisionados é restrito ao Mac de supervisão. Não é possível copiar dados para e do dispositivo usando o itunes a menos que o certificado de identidade do Apple Configurator esteja instalado no dispositivo. Mídias como fotos e vídeos não podem ser copiadas do dispositivo para um PC ou Mac. Para transferir esse tipo de dados, use o VMware Content Locker para sincronizar o conteúdo com a seção de Documentos pessoais do usuário. Como alternativa, é possível usar um aplicativo de compartilhamento de arquivo para transferir os dados via WLAN/WWAN para um servidor. O modo supervisionado impede o acesso a logs do lado do dispositivo usando o Utilitário de configuração do iphone (IPCU). Isso dificulta a solução de problemas de qualquer problema do aplicativo ou dispositivo. O motivo da dificuldade é que os logs do dispositivo só podem ser obtidos se o dispositivo estiver conectado ao Mac de supervisão. Para remediar alguns dos desafios, use o Workspace ONE SDK para enviar logs e logística dos aplicativos para o console do UEM. Os dispositivos não podem ser redefinidos com configurações de fábrica facilmente. Quando um dispositivo é retornado à configuração de fábrica, ele deve ser trazido de volta ao Mac de supervisão para restaurá-lo novamente ao modo supervisionado. Esse procedimento pode ser problemático se o Mac não estiver próximo ao dispositivo. Ao decidir se deseja ou não ativar o Modo supervisionado, considere o seguinte. Embora ele ative recursos adicionais que melhoram a segurança no dispositivo, as limitações de USB devem ser consideradas. A proximidade do dispositivo ao Mac de supervisão desempenha um papel importante nas decisões. Como a limitação USB impede o acesso a logs do lado do dispositivo, um dispositivo com problemas precisa ser enviado de volta a uma estação e reavaliado para restaurar a funcionalidade. Decidir sobre a supervisão do dispositivo com antecedência é importante porque o processo de supervisionar ou "não supervisionar" exigirá o envio do dispositivo para um local ou estação de TI. VMware, Inc. 66

67 Preparar um dispositivo de usuário único A preparação do dispositivo de único usuário no Workspace ONE UEM Console permite que um único administrador prepare os dispositivos para outros usuários em seu nome, o que pode ser útil para administradores de TI encarregados de distribuir uma frota de dispositivos. Não há suporte para a preparação de dispositivos por meio da inscrição direta do Workspace ONE. Se você precisa preparar um dispositivo, para um ou vários usuários, será preciso inscrever o dispositivo usando o Workspace ONE Intelligent Hub em vez da inscrição direta do Workspace ONE. Importante A conexão LDAP é obrigatória ao validar dispositivos. Para criar esse payload, consulte Conectando um dispositivo aos Serviços de diretório, neste guia. Procedimentos 1 Vá para Contas > Usuários > Modo de exibição de lista e selecione Editar para a conta de usuário na qual você deseja ativar a validação do dispositivo. 2 Na página Adicionar/Editar usuário, selecione a aba Avançado. a b c Role para baixo até a seção Validação. Selecione Habilitar validação do dispositivo. Selecione as configurações de validação que serão aplicadas ao usuário de validação. Dispositivos para um único usuário valida dispositivos para um único usuário. 3 Alterne o modo de validação para um único usuário do dispositivo como Padrão ou Avançada. O modo de validação padrão exige que um usuário digite informações de login após a validação, enquanto o modo Avançado permite que o usuário da validação inscreva o dispositivo em nome de outro usuário. 4 Verifique se a opção Dispositivo para múltiplos usuários está definida como Desativada. 5 Inscrever o dispositivo. Inscreva usando o Workspace ONE Intelligent Hub inserindo a URL do servidor e a ID do grupo. Abra o navegador Web do dispositivo, vá para a URL de inscrição e digite a ID de grupo apropriada. 6 Digite as suas credenciais para validação do dispositivo durante a inscrição. a Se necessário, especifique que você está validando para Dispositivos para um único usuário. Você só precisará fazer isso se a validação do dispositivo para múltiplos usuários também estiver ativada em modo de validação. VMware, Inc. 67

68 7 Conclua a inscrição para validação Avançada ou Padrão. a b Se estiver fazendo a validação Avançada, você precisará inserir o nome de usuário do usuário final proprietário do dispositivo que o utilizará. Continue com o processo de inscrição instalando o perfil do gerenciamento de dispositivos móveis (MDM) e aceitando todos os avisos e mensagens que surgirem na tela. Se estiver realizando a validação padrão, o usuário deverá digitar as suas próprias credenciais na janela de login quando concluir a inscrição. O dispositivo já se encontra validado e pronto para ser utilizado pelo novo usuário. Se um contrato de termos de uso de inscrição estiver em vigor, o usuário único de validação não verá esse prompt de contrato de TOU até fazer login em sua conta do SSP. Preparar um dispositivo para múltiplos usuários A validação de dispositivo multiusuário/de uso compartilhado permite que um administrador de TI provisione dispositivos destinados ao uso por mais de um usuário. A validação de múltiplos usuários permite que o dispositivo faça a alteração do usuário atribuído dinamicamente, à medida que outros usuários da rede fazem login no dispositivo. Não há suporte para a preparação de dispositivos por meio da inscrição direta do Workspace ONE. Se você precisa preparar um dispositivo, para um ou vários usuários, será preciso inscrever o dispositivo usando o Workspace ONE Intelligent Hub em vez da inscrição direta do Workspace ONE. Procedimentos 1 Vá para Contas > Usuários > Modo de exibição de lista e selecione Editar para a conta de usuário na qual você deseja ativar a validação do dispositivo. 2 Na página Adicionar/Editar usuário, selecione a aba Avançado. a b c Role para baixo até a seção Validação. Selecione Habilitar validação do dispositivo. Selecione as configurações de validação que serão aplicadas ao usuário de validação. Dispositivos para um único usuário valida dispositivos para um único usuário. 3 Alterne o modo de validação para um único usuário do dispositivo como Padrão ou Avançada. O modo de validação padrão exige que um usuário digite informações de login após a validação, enquanto o modo Avançado permite que o usuário da validação inscreva o dispositivo em nome de outro usuário. 4 Verifique se a opção Dispositivo para múltiplos usuários está definida como Ativada. 5 Inscreva o dispositivo usando um dos dois métodos a seguir. Inscreva usando o Workspace ONE Intelligent Hub inserindo a URL do servidor e a ID do grupo. Abra o navegador Web do dispositivo, vá para a URL de inscrição e digite a ID de grupo apropriada. VMware, Inc. 68

69 6 Digite as suas credenciais para validação do dispositivo durante a inscrição. Se necessário, especifique que você está validando para Dispositivos para um único usuário. Você só precisará fazer isso se a validação do dispositivo para múltiplos usuários também estiver ativada para o usuário da validação. 7 Conclua a inscrição para validação Avançada ou Padrão. Se estiver fazendo a validação Avançada, você precisará inserir o nome de usuário do usuário final proprietário do dispositivo que o utilizará. Continue com o processo de inscrição instalando o perfil do gerenciamento de dispositivos móveis (MDM) e aceitando todos os avisos e mensagens que surgirem na tela. Se estiver realizando a validação padrão, o usuário deverá digitar as suas próprias credenciais na janela de login quando concluir a inscrição. O dispositivo agora está validado e pronto para uso pelos novos usuários. Registro do dispositivo Registrar dispositivos da empresa antes de eles serem inscritos é opcional e o principal benefício dessa opção é restringir a inscrição apenas aos dispositivos registrados. Outro benefício é rastrear status de inscrições, o que permite saber quais usuários já se inscreveram e quais ainda não. Você então pode notificar os usuários que ainda não se inscreveram. A Workspace ONE UEM pode registrar dispositivos com êxito sem identificadores de dispositivo durante a fase de entrada de dados pelos usuários ou administradores. Uma terceira vantagem em registrar dispositivos antes da inscrição é a segurança. Um dispositivo registrado espera que o usuário efetuando o login pela primeira vez seja a mesma pessoa registrada. Se outro usuário tentar efetuar login em um dispositivo registrado, o dispositivo estará bloqueado e não será possível se inscrever. Considerações de inscrição, registro Se quiser continuar com o registro dos dispositivos antes da inscrição, considere estas opções. Quem registrará os dispositivos? Uma consideração importante ao registrar dispositivos é decidir quem realiza o registro do dispositivo em si. Qual é o número total de dispositivos em sua implementação? Em grandes implementações de milhares de dispositivos, você pode adicionar essas informações a um arquivo.csv. Em seguida, carregue esse arquivo antes que dispositivos sejam provisionados. Você também pode passar a tarefa de registro do dispositivo para o usuário final. Você apoia um programa de BYOD, no qual os funcionários podem usar seus dispositivos pessoais? Se optar por restringir a inscrição apenas a dispositivos registrados, você deverá dar instruções aos funcionários sobre como registrar seus dispositivos. VMware, Inc. 69

70 Registro do dispositivo do usuário pelo SSP É possível direcionar os usuários para que registrem seus próprios dispositivos antes de inscrevê-los no Workspace ONE UEM, caso tenha adotado o BYOD. Você também pode exigir que os usuários com dispositivos da empresa registrem seus dispositivos se quiser rastrear a inscrição ou utilizar tokens de registro. Em ambos os casos, você deverá notificar seus usuários do processo que precisam seguir. As instruções a seguir supõem que o usuário tenha credenciais da Workspace ONE UEM, sejam suas credenciais de serviço de diretório ou de uma conta de usuário anteriormente ativada. Se você optar pela inscrição com serviços de diretório sem adicionar manualmente os usuários, não terá contas de usuário já criadas. Nesse caso, se quiser que os usuários registrem dispositivos, você deverá enviar um ou notificação via intranet para cada grupo de usuários fora do Workspace ONE UEM com as instruções de registro. Se você tiver ativado tokens de registro para autenticação de inscrição, eles serão enviados para o usuário pelo tipo de mensagem selecionado no momento. Restrição de inscrição apenas aos dispositivos registrados Nesse ponto, independentemente de os administradores ou usuários terem dispositivos registrados, você pode restringir a inscrição apenas a dispositivos registrados. Para isso, vá para Dispositivos > Configurações do dispositivo > Dispositivos e usuários > Geral > Inscrição e selecione Somente dispositivos registrados. Rastreamento do status da inscrição Quando os dispositivos estiverem registrados, você poderá rastrear o status da inscrição na página Painel do dispositivo, selecionando o gráfico Inscrição, que permite filtrar com base no status da inscrição. Você também pode acessar o Monitor, que lista os dispositivos inscritos recentemente. Registro de dispositivos individuais Digite informações importantes do dispositivo e do ativo, como apelido, para fácil reconhecimento no console do UEM, modelo, sistema operacional, número de série, identificador exclusivo de dispositivo (UDID) e número do ativo. Esse processo também pode ser a última etapa na adição de um único usuário se você clicar em Salvar e adicionar dispositivo em vez de em Salvar. Registrar múltiplos dispositivos Similar à adição de usuários em massa, esse processo simplifica o processo de registro de dispositivo ao adicionar vários dispositivos de uma só vez. Pode ser incluído no processo de Criação de conta de usuário em massa. Registro do dispositivo do usuário É possível direcionar os usuários para que registrem seus próprios dispositivos antes de inscrevê-los no Workspace ONE UEM, caso tenha adotado o BYOD em sua implementação. Com isso, é possível exigir que os dispositivos sejam registrados antes de os usuários poderem se inscrever. VMware, Inc. 70

71 Para obter mais informações, consulte Ativar tokens de registro e criar uma mensagem padrão. Sincronização de grupo de usuários durante a inscrição Se você pretende organizar as atribuições do seu aplicativo, as atribuições de perfil do dispositivo, as atribuições de política de conformidade ou mapeamentos de usuário em torno de grupos de usuários, considere manter a configuração de Sincronização de grupo de usuários habilitada, que é a sua configuração padrão. Essa configuração faz com que o Workspace ONE faça uma chamada em tempo real para o servidor de autenticação toda vez que um registro do dispositivo for criado. Para obter mais informações, consulte a seção Sincronização de grupo de usuários em Configurar opções de inscrição na aba Agrupamento. Registrar um dispositivo individual Embora a opção Importação em lote torne conveniente o registro de centenas ou mesmo dezenas de dispositivos, quando você tiver um número pequeno de dispositivos para registrar, poderá registrar os dispositivos individualmente. Procedimentos 1 Selecione o botão Adicionar, que pode ser encontrado no canto superior direito de praticamente qualquer tela no Workspace ONE UEM Console. Quando selecionado, o botão exibe um menu suspenso com várias opções. 2 Selecione Dispositivo. A página Adicionar dispositivo é exibida. VMware, Inc. 71

72 3 Preencha as opções de acordo com suas necessidades, começando com a aba Usuário. Configuração Descrição Seção do usuário Pesquisar texto Pesquise o usuário digitando um parâmetro de pesquisa e selecionando o botão Procurar usuário. Em uma pesquisa bem-sucedida, selecione a conta de usuário na qual você está registrando o dispositivo. Vários caixas de texto já preenchidas são exibidas, incluindo Tipo de segurança, Nome de usuário, Senha e Endereço de . Você pode editar essas caixas de texto, exibindo detalhes avançados do usuário. Seção do dispositivo Apelido previsto Grupo organizacional Propriedade Plataforma Exibir opções avançadas de informações do dispositivo Modelo S.O. UDID* Número de série* IMEI* SIM* Número do ativo* Digite o apelido do dispositivo. Esta caixa de texto aceita Valores de pesquisa, que você pode inserir selecionando o sinal de adição. Para obter detalhes, consulte Valores de pesquisa. Selecione o grupo organizacional ao qual o dispositivo pertence. Selecione o nível de propriedade do dispositivo. Selecione a plataforma do dispositivo. Exiba configurações de informações avançadas sobre o dispositivo. Selecione o modelo do dispositivo. A opção desse menu suspenso depende da seleção da Plataforma. Selecione o sistema operacional do dispositivo. A opção desse menu suspenso depende da seleção da Plataforma. Digite o identificador de dispositivo único do dispositivo. Digite o número de série do dispositivo. Digite o número de identificação de equipamento móvel internacional do dispositivo. Digite o módulo de identidade do assinante para o dispositivo. Digite o número de ativo do dispositivo. Seção de mensagens Tipo de mensagem Endereço de Modelo de mensagem de e- mail Número de telefone Modelo de mensagem SMS O tipo de notificação enviada ao usuário quando o dispositivo é adicionado. Selecione entre Nenhum, ou SMS. A opção requer um endereço de válido. Você também deve selecionar um Modelo de mensagem de . A opção SMS requer um número de telefone, incluindo código do país e código de área. Podem ser aplicadas tarifas de SMS. Você também deve selecionar um Modelo de mensagem SMS. É necessário para o tipo de mensagem de . É necessário para o tipo de mensagem de . Selecione um modelo no menu suspenso. Para ver a mensagem de , utilize o botão Visualizar mensagem. É necessário para o tipo de mensagem SMS. É necessário para o tipo de mensagem SMS. Selecione um modelo na lista suspensa. Para ver a mensagem SMS, utilize o botão Visualizar mensagem. VMware, Inc. 72

73 * Entre essas configurações denotadas, pelo menos uma é necessária para registrar um dispositivo. Para registrar um dispositivo Windows Phone, é necessário digitar o IMEI ou o número de série do dispositivo. Para registrar um dispositivo Windows Desktop, é necessário digitar o número de série do dispositivo. 4 (Opcional) Preencha a guia Atributos personalizados. Configuração Adicionar Aplicativo Atributos Valor Descrição Adicione um Atributo personalizado e seu Aplicativo e Valor correspondentes selecionando esse botão. Para usar o recurso de atributo personalizado ao adicionar um dispositivo, você deve ter um atributo personalizado já criado. Isso pode ser feito em Capítulo 14Atributos personalizados. Selecione o aplicativo que coleta o atributo. Selecione o atributo personalizado no menu suspenso. Selecione o valor do atributo personalizado no menu suspenso. 5 (Opcional) Preencha a guia Etiquetas. Configuração Adicionar Etiqueta Descrição Adicione uma Etiqueta ao dispositivo. Selecione a Etiqueta no menu suspenso de Etiquetas existentes. 6 Selecione Salvar para concluir o processo de registro do dispositivo. Agora o dispositivo está registrado na conta de usuário selecionada do Workspace ONE UEM, especificada na etapa 3. Próximo passo Entregue o dispositivo ao usuário para que ele possa fazer o login e concluir o processo de inscrição. Se outro usuário tentar fazer login neste dispositivo antes do usuário registrado, o dispositivo será bloqueado e não poderá ser inscrito. Identificadores de dispositivo ausentes durante o registro Se nenhum identificador de dispositivo for especificado durante o registro (como UDID, IMEI e número de série), a Workspace ONE UEM usará esses atributos para corresponder um dispositivo inscrito ao seu registro automaticamente: Quando informações de registro inadequadas forem fornecidas, a classificação a seguir permitirá que a Workspace ONE UEMregistre os dispositivos com sucesso. 1 Usuário para quem o dispositivo foi registrado. 2 Plataforma (se especificada). 3 Modelo (se especificado). 4 Tipo de propriedade (se especificado). VMware, Inc. 73

74 5 Data do registro de inscrição correspondente mais antigo Registrar vários dispositivos Embora o Registro de dispositivo individual funcione melhor quando você tem apenas alguns dispositivos que deseja adicionar, se tiver centenas ou até mesmo dezenas de dispositivos para registrar, o processo Importação em lote será o mais conveniente. Procedimentos 1 Vá para Contas > Usuários > Modo de exibição de lista ou Dispositivos > Ciclo de vida > Status de inscrição. a Selecione Adicionar e Importação em lote para exibir a tela Importação em lote. 2 Preencha cada uma das opções necessárias: Nome do lote, Descrição do lote e Tipo de lote. Na opção Arquivo em lotes (.csv) há uma lista de modelos baseados em tarefas que você pode usar para carregar usuários e seus dispositivos em massa. 3 Selecione o modelo apropriado de download e salve o arquivo CSV em algum lugar acessível. 4 Localize o arquivo CSV salvo, abra-o com o Excel e digite todas as informações relevantes para cada dispositivo que você deseja importar. Cada modelo é preenchido previamente com entradas de exemplos que demonstram o tipo de informação (e seu formato) a ser inserida em cada coluna. Campos no arquivo CSV indicados com um asterisco (*) são obrigatórios. 5 Salve o modelo concluído como um arquivo CSV. No console do UEM, selecione o botão Escolher arquivo na tela Importação em lote. Navegue até o caminho onde você salvou o arquivo CSV concluído e selecione esse arquivo. 6 Clique em Salvar para concluir o registro de todos os usuários listados e dos dispositivos correspondentes. Registro do dispositivo do usuário Orientar usuários finais a registrarem seus dispositivos pode ser preferível se você não tiver certeza sobre os detalhes do dispositivo durante a configuração. Como alternativa, se você tiver uma implementação BYOD em vigor, essa diretiva pode ser prudente. Se o BYOD for suportado em sua implementação, instrua os usuários a registrar seus dispositivos antes de se inscreverem no Workspace ONE UEM. Você pode seguir essa etapa e ainda exigir que os dispositivos sejam registrados antes de os usuários se inscreverem. Se você quiser monitorar a inscrição ou usar tokens de registro, exija que os usuários com dispositivos da empresa registrem seus dispositivos. Em todo caso, você deve notificar os usuários sobre o processo. As instruções a seguir supõem que o usuário tenha credenciais da Workspace ONE UEM, sejam suas credenciais de serviço de diretório ou de uma conta de usuário anteriormente ativada. Se você optar por inscrever com serviços de diretório sem adicionar manualmente os usuários, não deve ter nenhuma conta de usuário já criada. VMware, Inc. 74

75 Se quiser que os usuários registrem dispositivos, você deve enviar um ou notificação para cada grupo de usuários fora do Workspace ONE UEM com as instruções de registro. Se você tiver ativado tokens de registro para autenticação de inscrição, eles serão enviados para o usuário na mensagem selecionada. Envie um ou notificação via intranet para usuários externos da Workspace ONE UEM com instruções de registro. Certifique-se de que a autenticação da inscrição esteja ativada para o Active Directory ou proxy de autenticação em Dispositivos > Configurações de dispositivos > Dispositivos e usuários > Geral > Inscrição > Autenticação. Verifique se a configuração Rejeitar usuários desconhecidos está desmarcada em Dispositivos > Configurações do dispositivo > Dispositivos e usuários > Geral > Inscrição > Restrições. Crie contas de usuários que permitam que todos os usuários registrem seus dispositivos e envie mensagens de ativação de conta de usuário para cada um deles com instruções de registro. As duas opções exigem o fornecimento de informações básicas aos usuários. Onde registrar Os usuários podem se registrar na URL do Portal Self-Service. Essa URL segue a estrutura > /MyDevice, em que <AirWatchEnvironment > é a URL de inscrição. Para obter mais informações, consulte Orientar usuários a registrarem o próprio dispositivo. Como fazer a autenticação no Self Service Portal Os usuários precisam de uma ID de grupo, um nome de usuário e uma senha para fazer o login no Self Service Portal (SSP). Orientar usuários a registrarem o próprio dispositivo Quando o usuário recebe a mensagem de registro, ele pode registrar seus próprios dispositivos para poupar tempo. Inclua estas instruções na mensagem de registro que você envia aos usuários finais, para que eles recebam o que precisam para registrar seus próprios dispositivos. Procedimentos 1 Vá para a URL do Portal de autoatendimento (SSP): > /MyDevice, em que <AirWatchEnvironment> é a URL de inscrição do seu ambiente. 2 Faça login inserindo a ID do grupo e as credenciais (um endereço de ou um nome de usuário e senha). Essas credenciais podem ser correspondentes às credenciais do serviço de diretório para usuários do diretório. 3 Selecione Adicionar dispositivo para abrir o formulário Registrar dispositivo. 4 Digite a informação do dispositivo preenchendo as caixas de texto necessárias no formulário Registrar dispositivo. 5 Selecione Salvar para enviar o formulário e registrar o dispositivo. VMware, Inc. 75

76 Rastreamento do status da inscrição do dispositivo Ocasionalmente, você pode precisar resolver problemas ocorridos durante o registro de dispositivo ou rastrear o estágio do processo geral de inscrição. Os usuários finais podem apagar acidentalmente a mensagem contendo as instruções de registro ou podem não utilizar o código de autenticação fornecido antes da data de vencimento. Gerencie o status da inscrição na página Status da inscrição em Dispositivos > Ciclo de vida > Status da inscrição. Rastreie o status de inscrição dos dispositivos classificando a coluna Status de inscrição na listagem ou filtrando a visualização da lista por Status de inscrição. Usando a página Status da inscrição, você pode produzir uma lista personalizada dos dispositivos registrados (mas não inscritos), selecionar todos os dispositivos nessa lista personalizada e reenviar as instruções de inscrição. Se passar tempo suficiente e a inscrição de um dispositivo falhar, você pode escolher redefinir (ou até mesmo revogar) o token de registro. Para obter mais informações, consulte o Status de inscrição. Ativar tokens de registro e criar uma mensagem padrão Se você restringir uma inscrição somente aos dispositivos registrados, você também terá a opção de exigir um token de registro. Essa opção aumenta a segurança confirmando que um usuário participar está autorizado para se inscrever. Você também pode enviar um ou mensagem SMS com o token de inscrição anexado para os usuários com contas do Workspace ONE UEM. Procedimentos 1 Ative a inscrição baseada em token selecionando o grupo organizacional apropriado. Vá para Dispositivos > Configurações do dispositivo > Dispositivos e usuários > Geral > Inscrição e certifique-se de que a guia Autenticação está selecionada. VMware, Inc. 76

77 2 Role para baixo até a seção Como começar e selecione Somente dispositivos registrados como Modo de inscrição do dispositivo. Uma ativação chamada Registro com Token obrigatório é exibida. Ativar essa opção restringe a inscrição apenas a dispositivos registrados por token. 3 Selecione um Tipo de inscrição com token. Fator único O token é tudo o que se precisa para a inscrição. Dois fatores Um token e um login com credenciais do usuário são necessários para a inscrição. 4 Defina o Comprimento de registro de token. Essa configuração obrigatória mostra como o token de registro é complexo e deve conter um valor entre 6 e 20 caracteres alfanuméricos de comprimento. 5 Defina o Período de vencimento do token (em horas). Essa configuração obrigatória é o tempo em que um usuário final deve selecionar um link e inscrever-se. Depois de expirado, você precisa enviar outro link. Gerar um token com o console do UEM Você pode usar o Console do UEM para gerar e enviar um token de registro, que é um método altamente seguro para inscrever um dispositivo móvel. Procedimentos 1 Vá para Contas > Usuários > Modo de exibição de lista e selecione Editar usuário para um usuário. Esse processo também funciona com a criação de usuários. A página Adicionar/Editar usuário será exibida. VMware, Inc. 77

78 2 Role para baixo e selecione um Tipo de mensagem. para usuários do diretório SMS para contas de usuário básicas 3 Selecione um Modelo de mensagem. Em seguida, selecione Salvar e adicionar dispositivo. Você pode usar o modelo padrão ou criar um modelo selecionando o link abaixo que abre a página Modelo de mensagem em uma nova aba. A tela Adicionar dispositivo é exibida. 4 Revise as informações Gerais sobre o dispositivo e confirme as informações sobre a Mensagem. Depois de concluído, selecione Salvar para enviar o token ao usuário com o tipo de mensagem selecionado. Observação O token não fica acessível no console do UEM por questão de segurança. Gerar um token com o Self Service Portal (SSP) Você pode usar o Self Service Portal (SSP) para gerar e enviar um token de registro, que pode ser usado em seguida para inscrever um dispositivo com segurança. Procedimentos 1 Faça o login no Self Service Portal. Se estiver usando logon único ou smartcards para autenticação, é possível fazer login em um dispositivo ou computador. Usuários do diretório podem fazer login usando suas credenciais do serviço do diretório. 2 Selecione Adicionar dispositivo. 3 Digite as informações do dispositivo (apelido e plataforma) e qualquer outro detalhe preenchendo as configurações no formulário Registrar dispositivo. Certifique-se de que o endereço de e o número de telefone estejam presentes e precisos, pois podem não ser preenchidos automaticamente. 4 Selecione Salvar para enviar o token de inscrição para o usuário com o tipo de mensagem selecionado. Observação O token não será mostrado nessa página e só aparecerá na mensagem enviada. Como um recurso de segurança, as seguintes alterações foram feitas para contas que se inscreveram com um token. Endereço de e número de telefone na tela Adicionar dispositivo e na tela Conta foram deixados como somente leitura. A ação de Exibir mensagem de inscrição foi removida. VMware, Inc. 78

79 Realizar inscrição com token de registro Para inscrever um dispositivo, você pode usar um token de registro, que é um método de autenticação altamente seguro. Procedimentos 1 Abra a mensagem de SMS ou no dispositivo e selecione o link que contém o token de inscrição. Se uma página de inscrição solicitar uma ID do grupo ou token, digite o token diretamente. 2 Digite o nome de usuário ou senha se a autenticação de dois fatores for usada. 3 Continue a inscrição como de costume. Depois de concluir, o dispositivo é associado ao usuário para o qual o token foi criado. Próximo passo Depois que o perfil de MDM estiver instalado no dispositivo, o token será considerado "usado" e não poderá ser usado para inscrever outros dispositivos. Se a inscrição não for concluída, o token ainda poderá ser usado em outro dispositivo. Se o token expirar com base no limite de tempo inserido, você precisará gerar outro token de inscrição. Configurar opções de inscrição Personalize seu fluxo de trabalho de inscrição incorporando as opções avançadas disponíveis no Workspace ONE UEM Console. Acesse mais opções de inscrição em Dispositivos > Configurações dos dispositivos > Dispositivos e usuários > Geral > Inscrição. Como começar Configuração Adicionar domínio de Modo(s) de autenticação Descrição Este botão é usado para configurar o serviço de detecção automática para registrar domínios de no seu ambiente. Selecione os tipos de autenticação permitida, que incluem: Básico Contas de usuários básicas (aquelas que você criar manualmente no console do UEM) podem se inscrever. Diretório Contas de usuário do diretório (aquelas que você importou ou permitiu usando a integração do serviço de diretório) podem se inscrever. A Inscrição direta do Workspace ONE é compatível somente para usuários de diretório com ou sem SAML. Proxy de autenticação Permite que os usuários se inscrevam utilizando contas de usuário do Proxy de autenticação. Os usuários se autenticam a um endpoint da web. Digite URL do Proxy de autenticação, URL do Proxy de autenticação backup e Tipo de método de autenticação (escolha entre básica HTTP e ActiveSync do Exchange). VMware, Inc. 79

80 Configuração Fonte da autenticação para o Intelligent Hub Descrição Selecione o sistema que o serviço do Intelligent Hub usará como fonte para os usuários e políticas de autenticação. Workspace ONE UEM - Selecione esta configuração se desejar que os Serviços do Hub usem Workspace ONE UEM como a fonte. Quando você configurou a página Configuração do Hub para os Serviços do Hub, você inseriu a URL tenant dos Serviços do Hub. Identity Manager - Selecione esta configuração se desejar que os Serviços do Hub usem o VMware Identity Manager como a fonte. Quando você configurou a página Configuração de hub para os Serviços do Hub, você inseriu a URL tenant do VMware Identity Manager. Modo de inscrição do dispositivo Exigir token de registro Exigir inscrição do Intelligent Hub para ios Exigir inscrição do Intelligent Hub para macos Selecione o modo de inscrição do dispositivo preferencial, que inclui: Inscrição aberta Essencialmente, permite que qualquer pessoa que cumpra com outros critérios de inscrição (modo de autenticação, restrições, entre outros) se inscreva. A Inscrição direta do Workspace ONE é compatível somente com inscrição aberta. Somente dispositivos registrados Somente usuários permitidos podem se inscrever usando dispositivos registrados por você ou por eles. O registro do dispositivo é o processo de adicionar dispositivos corporativos ao console do UEM antes que eles sejam inscritos. Para obter mais informações sobre como registrar dispositivos, consulte a seção "Inscrição" do Manual de gerenciamento de dispositivos móveis do VMware Workspace ONE UEM. A Inscrição direta do Workspace ONE é compatível, permitindo que apenas dispositivos registrados se inscrevam, mas somente se tokens de registro não forem exigidos. Visível apenas quando Somente dispositivos registrados está selecionado. Se você restringir a inscrição somente aos dispositivos registrados, você também terá a opção de exigir um token de registro a ser usado na inscrição. Isso aumenta a segurança confirmando que um usuário em particular está autorizado para se inscrever. Você pode enviar um ou mensagem SMS com um token de inscrição anexo para usuários com contas da Workspace ONE UEM. Marque esta caixa de seleção para exigir que os usuários de dispositivos ios façam download e instalem o Workspace ONE Intelligent Hub antes de se inscreverem. Se desativado, a inscrição pela Web estará disponível. Marque esta caixa de seleção para exigir que os usuários de dispositivos macos baixem e instalem o Workspace ONE Intelligent Hub antes de se inscreverem. Se desativado, a inscrição pela Web estará disponível. Além das abas Autenticação e Termos de uso, você pode, opcionalmente, preencher as seguintes abas de inscrição. 1 Configurar opções de inscrição na aba Agrupamento. 2 Definir configurações de restrição de inscrição. 3 Configurar opções de inscrição na aba de solicitação opcional. 4 Configurar opções de inscrição na aba Personalização. VMware, Inc. 80

81 Configurar opções de inscrição em Termos de uso A aba Termos de uso permite que você adicione e revise os termos de uso, pois ela pertence à inscrição. A guia Termos de uso pode ser encontrada em Dispositivos > Configurações do dispositivos > Dispositivos e usuários > Geral > Inscrição. Configuração Aceitar Termos de Uso para continuar Adicionar novos Termos de Uso para a inscrição Descrição Ative essa configuração para exigir a aceitação de um acordo de termos de uso no momento da inscrição. Selecione para iniciar a adição de um acordo de termos de uso para fins de inscrição. Importante Se você habilitar "Aceitar ""Termos de Uso"" para continuar", você deve criar um documento de Termos de uso, do contrário, a inscrição dos dispositivos Windows Desktop pode falhar. Configurar opções de inscrição na aba Agrupamento A aba Agrupamento permite visualizar e definir informações básicas do grupo organizacional e das IDs de grupo para os usuários finais. Ative o Modo de atribuição da ID do grupo para selecionar como o ambiente do Workspace ONE UEM atribui as IDs de grupo aos usuários. A guia Agrupamento pode ser encontrada em Dispositivos > Configurações do dispositivos > Dispositivos e usuários > Geral > Inscrição. VMware, Inc. 81

82 Configuração Modo de atribuição da ID do grupo Descrição A Inscrição direta do Workspace ONE é compatível com todos os modos de atribuição. Padrão Selecione essa opção se os usuários receberem a ID do grupo para a inscrição. A ID de grupo utilizada determina o grupo organizacional do usuário. Solicitar que o usuário selecione a ID Ative essa opção para permitir que os usuários do serviço de diretório selecionem uma ID do grupo em uma lista no momento da inscrição. A seção Atribuição de ID de grupo lista todos os grupos organizacionais e suas respectivas IDs. Essa lista não exige que você execute o mapeamento da atribuição de grupo, porém significa que os usuários podem vir a selecionar uma ID de grupo incorreta. Selecionar automaticamente de acordo com o grupo de usuários Essa opção se aplicará somente se você estiver integrando com grupos de usuários. Ative essa opção para garantir que os usuários sejam automaticamente atribuídos a grupos organizacionais com base em suas atribuições de grupo de serviço do diretório. A seção Configurações de atribuição de grupo lista todos os grupos organizacionais para o ambiente e seus respectivos grupos de usuários do serviço de diretório. Selecione o botão Editar atribuição de grupo para modificar as associações de grupo organizacional/grupo de usuários e definir o grau de precedência de cada grupo. Por exemplo, você tem três grupos, Executivos, Vendas e Global, que são classificados de acordo com suas funções. Todos fazem parte de Global, portanto, se tivesse que classificar esse grupo de usuários como "primeiro", isso coloca todos os usuários em um único grupo organizacional. Em vez disso, se classificar Executivos como primeiro, você garante que o pequeno número de pessoas pertencentes a esse grupo sejam colocadas no próprio grupo organizacional delas. Em seguida, classifique Vendas como segundo, para garantir que todos os funcionários desse departamento sejam colocados em um grupo organizacional específico para vendas. Classifique Global como último e qualquer pessoa que ainda não tenha sido atribuída a um grupo será colocada em um grupo organizacional separado. VMware, Inc. 82

83 Tabela 2 1. Padrão Configuração Proprietário do dispositivo padrão Função padrão Procedimento padrão para usuários inativos Descrição Selecione o Proprietário do dispositivo padrão da inscrição de dispositivos no grupo organizacional atual. A Inscrição direta do Workspace ONE é compatível com a definição de propriedade de um dispositivo padrão. Selecione as funções padrão atribuídas aos usuários no grupo organizacional atual, o que pode afetar o acesso ao Self-Service Portal. 1 Acesso completo Concede aos usuários acesso às funções mais altas do SSP, como instalar ou remover perfis e aplicativos, redefinir senhas, enviar mensagens de dispositivo e ter acesso de gravação ao conteúdo. 2 Acesso básico concede acesso de baixo impacto. Os usuários podem registrar seus próprios dispositivos, somente visualizar (mas não instalar) perfis e aplicativos, visualizar suas próprias contas e consultar e encontrar seus próprios dispositivos. 3 Acesso externo Usuários com acesso externo contam com todas os recursos dos usuários de acesso básico, mas também têm acesso (somente leitura) ao conteúdo no SSP explicitamente compartilhado com eles. A Inscrição direta do Workspace ONE é compatível com a definição de uma função padrão. Selecione a ação padrão que afeta os usuários do Active Directory, caso seus dispositivos se tornem inativos. A Inscrição direta do Workspace ONE é compatível com a definição de uma ação padrão para usuários inativos. Tabela 2 2. Sincronizar grupos de usuários Configuração Sincronizar grupos de usuários em tempo real no Workspace ONE Descrição O Workspace ONE pode sincronizar grupos de usuários para determinados usuários conforme eles se registram com o console do UEM. Habilitado por padrão, esse recurso é mais eficaz quando os grupos de usuários estão sendo usados com grande frequência para atribuição de aplicativo, atribuição de perfil, atribuição de política ou mapeamento de usuário. Este recurso faz uso intensivo da CPU, portanto, a menos que seu caso de uso seja semelhante ao acima, desative essa configuração para melhorar o desempenho e impedir problemas de latência ao inicializar o aplicativo Workspace ONE. Tabela 2 3. Mapeamento de função do usuário Configuração Ativar mapeamento de diretório baseado em grupo Descrição Marque essa caixa para ativar atribuições classificadas que vinculam um grupo de usuários do diretório a uma função específica do Workspace ONE UEM. Os usuários pertencentes a um determinado grupo serão atribuídos a funções associadas. Se pertencerem a mais de um grupo, eles terão o emparelhamento com a classificação mais alta. Você pode editar a ordem na qual os grupos de usuários com função serão classificados selecionando o botão Editar atribuição. A Inscrição direta do Workspace ONE é compatível com o mapeamento baseado no grupo do diretório. VMware, Inc. 83

84 Configurar opções de inscrição na aba de solicitação opcional Na guia Solicitação opcional, você pode solicitar informações adicionais sobre o dispositivo ou apresentar mensagens opcionais de inscrição ou de informações de MDM ao usuário. A guia Prompt opcional pode ser encontrada em Dispositivos > Configurações do dispositivos > Dispositivos e usuários > Geral > Inscrição. Configuração Solicitar tipo de proprietário do dispositivo Exibir mensagens de boas-vindas Exibir mensagem de instalação de MDM Habilitar o envio de solicitando a inscrição Habilitar a solicitação de número de ativo do dispositivo Exibir mensagens de transição de inscrição (somente para Android) Habilitar autenticação mútua TLS para Windows Descrição É possível marcar a opção de solicitar que o usuário selecione o tipo de propriedade do dispositivo. Caso contrário, configure um tipo de propriedade de dispositivo padrão para o grupo organizacional atual. Inscrição direta do Workspace ONE é compatível com a solicitação de tipo de propriedade do dispositivo. É possível exibir uma mensagem de boas-vindas para os usuários no início do processo de inscrição do dispositivo. É possível configurar o cabeçalho e o corpo dessa mensagem de boas-vindas em Sistema > Localização > Editor de localização. Em seguida, selecione os rótulos "EnrollmentWelcomeMessageHeader" e "EnrollmentWelcomeMessageBody", respectivamente. É possível exibir uma mensagem para seus usuários durante o processo de inscrição do dispositivo. É possível configurar o cabeçalho e o corpo dessa mensagem de instalação de MDM em Sistema > Localização > Editor de localização. Em seguida, selecione os rótulos "EnrollmentMdmInstallationMessageHeader" e "EnrollmentMdmInstallationMessageBody", respectivamente. Se você optar por personalizar seu próprio cabeçalho e o corpo das mensagens usando o Editor de localização, você deve optar por "Substituir" na opção Configuração atual. Isso garante que suas personalizações sejam usadas em vez das mensagens padrão. Além de fazer alterações de localização única, você também pode fazer alterações de localização em massa, fazendo o upload de um arquivo com valores separados por vírgulas (CSV) editado. Baixa esse arquivo CSV de modelo de localização indo para Sistema > Localização > Editor de localização e selecione o botão Modificar. Edite o arquivo de acordo com suas preferências para afetar as alterações de localização em massa e carregue-o usando a mesma tela. É possível solicitar ao usuário que insira as credenciais de durante a inscrição. A solicitação de de inscrição pede o endereço de do usuário final para preencher a opção no registro do usuário automaticamente. Esses dados são úteis para organizações que estão implementando para dispositivos utilizando o valor de pesquisa { Address}. É possível solicitar que o usuário digite o número de ativo do dispositivo durante a inscrição. A Inscrição direta do Workspace ONE é compatível com a solicitações de de inscrição, mas apenas quando Solicitar tipo de propriedade do dispositivo estiver ativada e somente para dispositivos de Propriedade da empresa. É possível exibir ou ocultar as mensagens de inscrição em dispositivos Android. É possível forçar o Windows Phone e os dispositivos Windows a utilizar endpoints protegidos pela autenticação mútua TLS, o que exige instalação e configuração extras. Entre em contato com o Suporte para obter assistência. VMware, Inc. 84

85 Criar uma mensagem de inscrição personalizada Você pode personalizar as mensagens relacionadas à inscrição de um dispositivo e quaisquer solicitações futuras relacionadas ao MDM enviadas a um dispositivo. Embora seja totalmente opcional, as mensagens personalizadas normalmente são preferidas em vez das mensagens padrão. Elas diminuem a confusão entre os usuários porque exibem o nome específico da organização em notificações em vez de URL de ambiente ou simplesmente "Workspace ONE UEM". Procedimentos 1 Vá para Dispositivos > Configurações do dispositivo > Geral > Inscrição e selecione a guia Personalização. 2 Selecione Usar modelo de mensagem específico para cada plataforma e um modelo de mensagem de atribuição do menu suspenso para cada plataforma. Consulte Criar modelos de mensagem. 3 Para dispositivos ios, configure opcionalmente o seguinte. a b Digite uma URL de redirecionamento após a inscrição para dispositivos ios. Digite uma Mensagem de perfil de MDM para dispositivos ios, que é a mensagem exibida no prompt de instalação para o perfil de MDM no momento da inscrição. 4 Selecione Salvar. Criar modelos de mensagem Você pode criar sua própria biblioteca de modelos personalizados de mensagens por plataforma para atender a vários cenários, incluindo de inscrição. Procedimentos 1 Vá para Dispositivos > Configurações do dispositivo > Geral > Modelos de mensagens e selecione Adicionar. 2 Defina o menu suspenso Categoria para coincidir com a categoria do seu modelo. As opções incluem Administrador, Aplicativo, Conformidade, Conteúdo, Ciclo de vida do dispositivo, Inscrição e Termos de uso. 3 Defina o Tipo que melhor corresponder à subcategoria. As opções do menu suspenso Tipo dependem da configuração da Categoria. 4 Configure o menu suspenso Selecionar idioma. Selecione o botão Adicionar para adicionar idiomas. 5 Marque a caixa de seleção Padrão se quiser que o modelo seja o modelo padrão para a Categoria selecionada. 6 Selecione o Tipo de mensagem para o modelo. As opções são , SMS e Enviar notificação. VMware, Inc. 85

86 7 Crie sua mensagem de digitando texto na caixa Corpo da mensagem. A opção Texto sem formatação tem apenas uma fonte com espaçamento uniforme serif (Courier) sem opções de formatação. A opção HTML ativa um ambiente de edição em Rich Text incluindo fontes, formatação, cabeçalho, marcadores, recuo, justificado, subscrito, sobrescrito, imagem e capacidade de hyperlink. O ambiente HTML é compatível com o código básico de HTML usando a tecla Exibir fonte, o qual você pode usar para alternar entre o Rich Text e exibições de fonte. 8 Salve seu modelo selecionando o botão Salvar. Configurar notificações de ciclo de vida Notificações de ciclo de vida permitem que você entregue mensagens personalizadas depois de eventos específicos durante o ciclo de vida de um dispositivo, incluindo inscrição e cancelamento da inscrição. Essa definição opcional pode ser configurada em Dispositivos > Ciclo de vida > Configurações > Notificações e digitando as seguintes opções para as seções a seguir. Inscrição do dispositivo cancelada: envie um de notificação quando a inscrição do dispositivo for cancelada. Dispositivo inscrito com êxito: envie um de notificação quando um dispositivo for inscrito com êxito. Dispositivo bloqueado por restrição de inscrição: envie uma notificação por se uma restrição de inscrição bloquear um dispositivo. É possível configurar esse comportamento em Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Inscrição e selecionando a guia Restrições. Configuração Descrição Enviar para. Nenhum: selecione essa opção para não enviar s de confirmação depois do bloqueio, inscrição ou cancelamento de inscrição bem-sucedido de dispositivo. Usuário: envie um de confirmação para o usuário do dispositivo informando se o bloqueio, inscrição ou cancelamento da inscrição foi bem-sucedido. CC: envie o mesmo de confirmação a um ou vários endereços de separados por vírgula. Modelo de mensagem: selecione o modelo de mensagem desejado na lista suspensa. Você pode adicionar um novo modelo de mensagem ou editar um modelo existente selecionando o hiperlink "Clique aqui..." que direciona você para a página de configuração Dispositivos e usuários > Geral > Modelos de mensagem. Administrador: envie um de confirmação ao administrador da Workspace ONE UEM informando se a instalação ou a anulação da instalação foi bem-sucedida. Para: envie o mesmo de confirmação a um único ou a vários endereços de separados por vírgula. VMware, Inc. 86

87 Configurar opções de inscrição na aba Personalização Você pode fornecer um nível extra de suporte ao usuário incluindo e número de telefone configurando a aba Personalização Esse nível de suporte é valioso quando os usuários não conseguem inscrever seus próprios dispositivos por algum motivo. A guia Personalização pode ser encontrada em Dispositivos > Configurações do dispositivos > Dispositivos e usuários > Geral > Inscrição. Configuração Usar o modelo de mensagem específico para cada plataforma de suporte para a inscrição Telefone de suporte para a inscrição URL para redirecionamento após a inscrição (somente ios) Mensagem de perfil de MDM (somente ios) Usar aplicativos de MDM personalizados Descrição Se ativado, você pode selecionar um modelo de mensagem exclusivo para cada plataforma. O link fornecido exibe a página Modelo de mensagem, permitindo que você comece a criar modelos imediatamente. A Inscrição direta do Workspace ONE é compatível com os modelos de mensagens específicos da plataforma. Digite o endereço de de suporte. Digite o número do telefone de suporte. Você pode fornecer uma URL de redirecionamento após a inscrição à qual o usuário será direcionado após uma inscrição bem-sucedida. Essa URL pode ser um recurso da empresa, como seu site, ou a tela de login para acesso a mais recursos. A Inscrição direta do Workspace ONE é compatível com as URL para redirecionamento após a inscrição. Somente para dispositivos ios, essa caixa de texto é para uma mensagem que aparece durante a inscrição. Você pode especificar uma mensagem com um máximo de 255 caracteres. A Inscrição direta do Workspace ONE é compatível com as mensagens de perfil de MDM somente ios. Exibe um link que abre a página Lista de grupos de aplicativos. Esse link é rotulado Grupos de aplicativos. A Inscrição direta do Workspace ONE é compatível com aplicativos de MDM personalizados. Como autorizar e desautorizar o registro de dispositivos Uma lista de não autorizados é uma listagem explícita dos dispositivos ou aplicativos não permitidos. Uma lista de autorizados é uma listagem explícita de dispositivos ou aplicativos que são os únicos permitidos. Esse conceito pode ser aplicado ao registro para permitir controlar quais dispositivos têm permissão de inscrição e quais não têm. VMware, Inc. 87

88 Por exemplo, em uma implementação de dispositivos de propriedade da empresa, você pode criar uma lista de dispositivos ios aprovados. Você poderá basear essa lista de dispositivos por IMEI (Identificador Internacional de Equipamentos Móveis), número de série ou UDID (Identificador Exclusivo de Dispositivo). Dessa forma, a inscrição é restrita apenas aos dispositivos que você identificou e a inscrição por dispositivos pessoais do funcionário pode ser proibida. Além disso, se um dispositivo for roubado ou perdido, você poderá adicionar o seu IMEI, número de série ou informação UDID a uma lista de dispositivos não autorizados. Colocar o dispositivo na lista de não autorizados cancela sua inscrição, remove todos os perfis de MDM e impede nova inscrição até que o dispositivo seja removido da lista de não autorizados. Observação a funcionalidade atual da Microsoft determina que não é possível desautorizar dispositivos Windows Phone por IMEI ou UDID. Adicionar um dispositivo autorizado ou não autorizado Você pode adicionar uma lista de não autorizados (dispositivo com inscrição restrita) ou lista de autorizados (dispositivo liberado para inscrição) com base em vários atributos do dispositivo. Procedimentos 1 Vá para Dispositivos > Ciclo de vida > Status de inscrição e selecione Adicionar. 2 Selecione Dispositivos não autorizados ou Dispositivos autorizados no menu suspenso Adicionar e preencha as configurações. Configuração Dispositivos autorizados/não autorizados Atributo do dispositivo Grupo organizacional Propriedade Informações adicionais Plataforma Descrição Digite a lista de dispositivos autorizados/não autorizados (pela seleção Atributo do dispositivo), até 30 por vez. Selecione o tipo de atributo de dispositivo correspondente. Selecione IMEI, Número de série ou UDID. Confirme para qual grupo organizacional os dispositivos estão ou não autorizados. Você pode permitir dispositivos apenas com os tipos de propriedade selecionados. Essa opção só fica disponível durante a colocação dos dispositivos na lista de autorizados. Permite selecionar uma plataforma para aplicar sua lista de autorizados ou não autorizados. Você pode autorizar ou desautorizar todos os dispositivos pertencentes a uma plataforma inteira. Essa opção somente está disponível quando a caixa de seleção Informações adicionais estiver ativada. 3 Selecione Salvar para confirmar as configurações. VMware, Inc. 88

89 Restrições adicionais de inscrição Aplicar outras restrições de inscrição é possível para qualquer implementação, independentemente da integração com serviços de diretório, suporte para BYOD, registro de dispositivo ou outras configurações. Você pode definir restrições adicionais de inscrição para controlar quem pode se inscrever e que tipos de dispositivos são permitidos. Você também pode determinar o número máximo de dispositivos inscritos por grupo organizacional. Quando configurar restrições de inscrição, você pode até salvar essas restrições como uma política. Considerações de inscrição, restrições adicionais As restrições de inscrição permitem ajustar os parâmetros de inscrição que você deseja aplicar à sua implementação. Ao decidir quais restrições de inscrição pode usar, considere os itens a seguir. Consideração nº1: Você restringirá plataformas específicas, versões de SO ou o número máximo de dispositivos permitidos? Você deseja oferecer compatibilidade apenas para os dispositivos que apresentam gerenciamento empresarial integrado, como Samsung SAFE/Knox, HTC Sense, LG Enterprise e Motorola? Em caso afirmativo, você pode exigir que os dispositivos Android tenham uma versão empresarial compatível como restrição de inscrição. Você deseja limitar o máximo de dispositivos que um usuário pode inscrever? Em caso afirmativo, você pode definir esse valor, incluindo distinguir entre dispositivos da empresa e do funcionário. Há alguma plataforma que não é compatível com sua implementação? Em caso afirmativo, você pode criar uma lista de plataformas de dispositivo bloqueadas para impedir que se inscrevam. Sua organização deve avaliar o número e tipos de dispositivos de propriedade dos funcionários. Eles também devem determinar quais eles desejarem usar em seu ambiente de trabalho. Depois de concluir esse trabalho, você pode salvar as restrições de inscrição como uma política. Consideração nº 2: Você restringirá a inscrição a uma lista definida de dispositivos corporativos? Outras opções de registro fornecem controle dos dispositivos que os usuários têm permissão para inscrever. Útil para acomodar implementações de BYOD, você pode evitar a inscrição de dispositivos não autorizados ou restringir a inscrição apenas de dispositivos autorizados. Você pode colocar dispositivos na lista de autorizados por tipo, plataforma ou IDs e números de série específicos do dispositivo. Para obter mais informações, consulte Adicionar um dispositivo autorizado ou não autorizado. VMware, Inc. 89

90 Consideração nº 3: Você restringirá o número de dispositivos inscritos por grupo organizacional? Você pode aplicar um limite sobre o número de dispositivos inscritos em um grupo organizacional (GO). Impor esse limite ajuda a gerenciar sua implementação ao evitar que você exceda o número de inscrições válidas. Para obter mais informações, consulte Limite de dispositivos inscritos por grupo organizacional. Definir configurações de restrição de inscrição Ao integrar a Workspace ONE UEM com serviços de diretório, é possível determinar quais usuários podem inscrever dispositivos em sua implementação corporativa. Você pode restringir a inscrição apenas a usuários conhecidos ou a grupos configurados. Usuários conhecidos são usuários que já existem no console do UEM. Os grupos configurados são os usuários associados a grupos de serviço de diretório, caso você opte por integrar-se a grupos de usuários. Também é possível limitar o número de dispositivos inscritos por grupo organizacional e salvar as restrições como política reutilizável. Essas opções estão disponíveis em Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Inscrição e selecionando a guia Restrições. A aba Restrições permite personalizar as políticas de restrição de inscrição por grupo organizacional e funções do grupo de usuários. Crie e atribua políticas de restrição existentes utilizando as configurações de políticas. Atribua a política a um grupo de usuários na área Configurações de atribuição de grupo. Selecione dispositivos autorizados ou não autorizados por plataforma, sistema operacional, UDID, IMEI e assim por diante. VMware, Inc. 90

91 Configuração Controle de acesso de usuários Defina um limite para o máximo de dispositivos inscritos nesse grupo organizacional e abaixo Descrição A inscrição direta do Workspace ONE é compatível com todas as opções de controle de acesso de usuário. Limitar a inscrição aos usuários conhecidos Ative para restringir a inscrição apenas aos usuários que existem no console do UEM. Essa restrição aplica-se a usuários de diretório que você adicionou manualmente ao console do UEM um por um ou por meio da importação em lote. Essa opção também pode ser usada para bloquear inscrições depois de uma implementação inicial que tenha permitido que qualquer pessoa se inscrevesse. Esta opção permite que você escolha quem pode se inscrever. Você pode desativar essa opção para permitir que todos os usuários de diretório que não possuam contas no console do UEM se inscrevam no Workspace ONE UEM. As contas de usuário são criadas automaticamente durante a inscrição. Inscrição restrita a grupos configurados Ative essa opção para limitar a inscrição e só permitir que os usuários pertencentes a todos os grupos ou a grupos selecionados (se você tiver optado pela integração com grupos de usuários) possam inscrever dispositivos. Não selecione esta opção se não tiver integrado com seus grupos de usuários dos serviços de diretório. Você pode criar Workspace ONE UEM contas de usuário durante a inscrição desabilitando a opção de permitir que todos os usuários de diretório se inscrevam. Selecione Apagar dados corporativos de dispositivos de usuários que são removidos dos grupos configurados para apagar automaticamente os dados corporativos dos dispositivos. Se a opção Todos os grupos for selecionada, os dispositivos que não pertençam a um grupo de usuários serão removidos. Se a opção Grupos selecionados for selecionada, os dispositivos que não pertençam a um grupo de usuários específico serão removidos. Uma opção para a integração com grupos de usuários é criar um grupo de serviços de diretório Aprovado para MDM e importá-lo para o Workspace ONE UEM. Após essa etapa de importação, é possível adicionar grupos de usuário de serviços de diretório existentes ao grupo Aprovado para MDM, pois eles se tornam elegíveis para Workspace ONE UEM. Ative e Digite o limite de dispositivos para limitar o número de dispositivos permitidos para inscrição no grupo organizacional atual (GO). A inscrição direta do Workspace ONE é compatível com esta opção. Observação As restrições não se aplicam a dispositivos ios inscritos pelo Programa de registro de dispositivos (DEP) da Apple, pois as informações necessárias do dispositivo só são recebidas depois que o dispositivo é inscrito. Limite de dispositivos inscritos por grupo organizacional Você pode aplicar um limite sobre o número de dispositivos inscritos em um grupo organizacional (GO). Impor esse limite ajuda a gerenciar sua implementação ao evitar que você exceda o número de inscrições válidas. VMware, Inc. 91

92 Esse limite de dispositivos pode ser implementado em qualquer tipo de GO (global, cliente parceiro). Quando um limite é definido em um GO, você não pode definir outro limite em nenhum lugar no mesmo nível do GO. Você pode definir outro limite de dispositivos inscritos, mas só se estiver configurando em um nível de GO separado. Limite o número de dispositivos inscritos por grupo organizacional A limitação do número de dispositivos inscritos por grupo organizacional pode ser uma maneira eficaz de gerenciar o número de licenças em um ambiente de licenciamento por dispositivo. Se essa opção não estiver disponível, verifique o GO principal (superior ao GO atual) ou um GO herdeiro (inferior ao GO atual). É provável que um limite já tenha sido definido acima ou abaixo do GO atual. Procedimentos 1 Vá para Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Inscrição e selecione a guia Restrições. 2 Ative o limite em Definir um limite máximo de dispositivos inscritos neste grupo organizacional e abaixo. Criar Políticas de restrição de inscrição Sua organização deve avaliar o número e tipos de dispositivos de propriedade dos funcionários. Eles também devem determinar quais dispositivos usar em seu ambiente de trabalho. Depois de concluir esse trabalho, você pode salvar as restrições de inscrição como uma política. Procedimentos 1 Vá para Dispositivos > Configurações de dispositivo > Dispositivos e usuários > Geral > Inscrição. VMware, Inc. 92

93 2 Selecione a aba Restrições e depois selecione Adicionar política localizado na seção Configurações de políticas. 3 Na tela Adicionar/editar política de restrição da inscrição, adicione uma política de restrição de inscrições. Configuração Nome da política de restrição da inscrição Grupo organizacional Tipo de política Tipos de propriedades permitidas Tipos de inscrições permitidas Limite de dispositivos por usuário Descrição Digite um nome para a política de restrição da inscrição. Selecione um grupo organizacional no menu suspenso. O GO ao qual a nova política de restrição de inscrição se aplica. Selecione o tipo de política de restrição de inscrição, que pode ser Grupo organizacional padrão, para aplicar ao grupo organizacional selecionado, ou Política do grupo de usuários, para aplicar ao grupo de usuários específico por meio das configurações de atribuição de grupo na guia Restrições. Decida se permite ou não dispositivos Corporativo - Dedicado, Corporativo - Compartilhado e Propriedade do funcionário. Inscrição direta do Workspace ONE só é compatível com os tipos de propriedade Corporativo dedicado e Propriedade do funcionário. Escolha se permite ou não a inscrição de dispositivos usando os aplicativos MDM (Workspace ONE Intelligent Hub) e AirWatch Container (para ios/android). Marque Ilimitado para permitir que os usuários inscrevam quantos dispositivos quiserem. A inscrição direta do Workspace ONE permite configurar um limite de dispositivos por usuário. Desmarque esta caixa para digitar valores na seção Limite de dispositivos por usuário, para definir o número máximo de dispositivos por tipo de propriedade. Quantidade máxima de dispositivos por usuário Quantidade máxima de dispositivos corporativos Quantidade máxima de dispositivos compartilhados Quantidade máxima de dispositivos pessoais VMware, Inc. 93

94 Configuração Tipos de dispositivos permitidos Descrição Marque a caixa de seleção Limitar a inscrição para plataformas, sistemas operacionais ou modelos específicos para adicionar restrições adicionais e específicas do dispositivo. Essa opção é compatível com a inscrição direta do Workspace ONE. Observação a funcionalidade atual da Microsoft determina que não é possível desautorizar dispositivos Windows Phone por IMEI ou UDID. Modo de restrições de nível de dispositivos Este campo só ficará disponível se a opção Limitar a inscrição para plataformas, modelos ou sistemas operacionais específicos estiver selecionada no campo Tipos de dispositivos autorizados. Determine o tipo de limitações de dispositivo necessário. Permitir somente dispositivos autorizados da lista Selecione essa opção para permitir explicitamente apenas os dispositivos que correspondam aos parâmetros inseridos e bloquear todo o resto. Impedir a inscrição de dispositivos não autorizados Selecione essa opção para bloquear explicitamente dispositivos compatíveis com parâmetros inseridos e permitir todo o resto. Para qualquer modo de restrição de nível de dispositivo, selecione Adicionar restrição de dispositivo para escolher uma Plataforma, Modelo, Fabricante (específico para dispositivos Android), ou Sistema operacional. Você também pode adicionar um Limite de dispositivo por restrição definida de dispositivo. Você pode adicionar várias restrições de dispositivo. Você também pode bloquear dispositivos específicos com base no IMEI, número de série ou UDID indo para Dispositivos > Ciclo de vida > Status de inscrição e selecionando Adicionar. Essa é uma maneira eficiente de bloquear um único dispositivo e impedir que ele seja inscrito novamente sem afetar dispositivos de outros usuários. A opção de evitar nova inscrição também está disponível como uma opção ao apagar dados corporativos. Essa opção é compatível com a inscrição direta do Workspace ONE. 4 Selecione Salvar para salvar suas alterações e volte para a tela Dispositivos e usuários/geral/inscrição. Motivos pelos quais você não deve inscrever dispositivos em global Há vários motivos pelos quais inscrever dispositivos diretamente no grupo organizacional (GO) de nível superior, normalmente chamado de Global, não é uma boa ideia. Esses motivos são recurso multiempresa, herança e funcionalidade. Recurso multiempresa Você pode criar quantos grupos organizacionais herdeiros precisar e configurar cada um independentemente dos outros. As configurações que aplicar a um GO herdeiro não afetam outros irmãos. Herança As alterações feitas a um GO de nível principal aplicam-se aos herdeiros. Por outro lado, as alterações feitas em GO de nível herdeiro não se aplicam ao principal ou aos herdeiros. Funcionalidade VMware, Inc. 94

95 Há configurações e funcionalidades configuráveis apenas para os grupos organizacionais do tipo Cliente. Elas incluem proteção contra apagamento, telecomunicações e conteúdo pessoal. Dispositivos adicionados diretamente ao GO global de nível superior são excluídos dessas configurações e funcionalidade. O grupo organizacional (GO) global é projetado para abrigar Cliente e outros tipos de GOs. Devido à forma como funciona a herança, se você adicionar dispositivos a Global e configurar Global com configurações destinadas a afetar esses dispositivos, você também afetará todos os GOs de cliente abaixo. Isso minimiza os benefícios de multiempresa e herança. Inscrição por detecção automática Workspace ONE UEM simplifica o processo de inscrição, utilizando o sistema de descoberta automática para inscrever dispositivos em ambientes e grupos organizacionais usando os endereços de dos usuários. A detecção automática também pode ser utilizada para possibilitar que os usuários finais façam a autenticação no portal de autoatendimento (SSP) usando seus endereços de . Observação Para ativar uma descoberta automática para ambientes locais, certifique-se de que o seu ambiente tenha comunicação com os servidores de detecção automática da Workspace ONE UEM. Registro para a inscrição via detecção automática O servidor verifica se um domínio de já existe, permitindo que um domínio seja registrado somente em um ambiente de um grupo organizacional. Devido a essa verificação do servidor, registre seu domínio no nível hierárquico mais alto do seu grupo organizacional. A detecção automática é configurada automaticamente para novos clientes de Software como serviço (SaaS). Configurar inscrição por detecção automática a partir de um grupo organizacional principal A inscrição por detecção automática simplifica o processo de inscrição inscrevendo os dispositivos nos ambientes e grupos organizacionais pretendidos utilizando os endereços de dos usuários. Configure uma inscrição por detecção automática a partir de um GO principal seguindo estas etapas. Procedimentos 1 Vá para Grupos e configurações > Todas as configurações > Administrador > Serviços de nuvem e ative a configuração Detecção automática. Digite o endereço de de login em ID da AirWatch da descoberta automática e selecione Definir identidade. a Se necessário, vá para para definir a senha para o serviço de descoberta automática. Depois de ter registrado e selecionado Definir identidade, o token HMAC será preenchido automaticamente. Clique em Teste de conexão para garantir que a conexão esteja funcionando. VMware, Inc. 95

96 2 Ative a opção Fixação de certificado de descoberta automática para carregar o seu próprio certificado e fixá-lo na função de descoberta automática. Você pode revisar as datas de validade e outras informações de certificados existentes, além de poder Substituir e Limpar esses certificados. 3 Selecione Adicionar um certificado e as configurações Nome e Certificado são exibidas. Digite o nome do certificado que deseja carregar, selecione o botão Carregar e o certificado localizado no dispositivo. 4 Selecione Salvar para concluir a configuração da detecção automática. Próximo passo Oriente os usuários que se inscreverem sozinhos para selecionar uma opção de endereço de para autenticação, em vez de digitar uma URL de ambiente e uma ID de grupo. Quando os usuários inscrevem dispositivos com um endereço de , eles se inscrevem no mesmo grupo listado no Grupo organizacional para inscrição da conta de usuário associada. Configurar inscrição por detecção automática a partir de um grupo organizacional herdeiro Você pode configurar a Inscrição por detecção automática de um grupo organizacional herdeiro abaixo do grupo organizacional de inscrição. Para ativar a inscrição por detecção automática dessa forma, você precisa exigir que os usuários selecionem uma ID do grupo durante a inscrição. Forçar usuários a selecionar um ID de grupo durante as inscrições. Procedimentos 1 Vá para Dispositivos > Configurações do dispositivo > Geral > Inscrição e selecione a guia Agrupamento. 2 Selecione Solicitar que o usuário selecione a ID do grupo. 3 Selecione Salvar. VMware, Inc. 96

97 Contas de usuário e de 3 administrador Você deve criar e integrar as contas de usuário nos dispositivos para se inscrever no Workspace ONE UEM. Da mesma forma, as contas de administrador devem ser criadas e atribuídas para facilitar o gerenciamento de usuários e dispositivos. O console do UEM permite estabelecer uma infraestrutura completa de usuários e administradores. Ele disponibiliza opções de configuração para autenticação, integração empresarial e manutenção contínua. Este capítulo inclui os seguintes tópicos: Tipos de autenticação de usuário Contas de usuários básicas Contas de usuário baseadas em diretório Modo de exibição de lista de contas de usuários Recurso de importação em lote Contas de administrador Tipos de autenticação de usuário Antes de poder inscrever qualquer dispositivo, cada usuário do dispositivo deve ter uma conta de usuário autêntica reconhecida por Workspace ONE UEM. O tipo de autenticação do usuário escolhido depende das necessidades da sua organização. Autenticação básica Este tipo de autenticação de usuário é independente de qualquer sistema de conta de usuário corporativo atualmente disponível, como Novell, Lotus Domino ou Active Directory da Microsoft. Assim, as credenciais só existem dentro da arquitetura Workspace ONE UEM. Para obter mais informações, consulte Autenticação básica do usuário. Autenticação do Active Directory com LDAP O sistema de conta mais usado normalmente é a autenticação Lightweight Directory Access Protocol (LDAP) do Active Directory (AD) da Microsoft. Esse tipo de autenticação de usuário aproveita e se alinha com o AD, tornando-a mais fácil para o usuário final já que precisam somente do login corporativo e a senha. VMware, Inc. 97

98 Para obter mais informações, consulte Active Directory com autenticação LDAP e Active Directory com autenticação LDAP e VMware Enterprise Systems Connector. Tipos de autenticação adicionais Há outros tipos de métodos de autenticação, incluindo o uso de um proxy de autenticação, Security Assertion Markup Language (SAML) e a autenticação segura e fácil de usar que é baseada em token. Para obter mais informações, consulte Proxy de autenticação, Autenticação SAML 2.0 e Autenticação baseada em token. Ativar tipos de segurança para inscrição Depois de selecionar o tipo de autenticação do usuário, você deve habilitar o modo de autenticação nas configurações de inscrição. Para obter mais informações, consulte Ativar tipos de segurança para inscrição. Autenticação básica do usuário É possível usar a Autenticação básica para identificar usuários na arquitetura da Workspace ONE UEM, mas esse método não oferece integração com as contas de usuários corporativas existentes. Prós Pode ser usada para qualquer método de implementação. Não requer integração técnica. Não exige infraestrutura empresarial. Contras Não pode ser usada com detecção automática. As credenciais só existem na Workspace ONE UEM e não coincidem necessariamente com as credenciais corporativas. Não oferece segurança federada nem Single Sign-On. Workspace ONE UEM armazena todos os nomes de usuários e senhas. Não pode ser usada para a inscrição direta do Workspace ONE. VMware, Inc. 98

99 1 O usuário do console acessa o Workspace ONE UEM SaaS usando a conta local para autenticação (autenticação básica). As credenciais são criptografadas durante o transporte. (por exemplo, nome de usuário: jdoe@air-watch.com, senha: abcd). 2 O usuário do dispositivo inscreve o dispositivo usando as credenciais da conta local da Workspace ONE UEM (autenticação básica). As credenciais são criptografadas durante o transporte. (por exemplo, nome de usuário: jdoe2, senha: 2557). Para obter mais informações, consulte Inscrição direta do Workspace ONE. Active Directory com autenticação LDAP O Active Directory (AD) com autenticação Lightweight Directory Access Protocol (LDAP) é usado para integrar as contas de usuário e administrador da Workspace ONE UEM com as contas corporativas existentes. Prós Os usuários agora podem se autenticar com as credenciais corporativas existentes. Proteja o método de integração com LDAP/AD. Prática de integração padrão. Pode ser usada para a inscrição direta do Workspace ONE. Contras Requer um servidor AD ou outro servidor Lightweight Directory Access Protocol (LDAP). VMware, Inc. 99

100 1 O dispositivo conecta-se à Workspace ONE UEM para inscrever-se. O usuário digita seu nome de usuário e senha dos serviços de diretório. O nome de usuário e a senha são criptografados durante o transporte. Workspace ONE UEM não armazena a senha dos serviços de diretório do usuário. 2 Workspace ONE UEM consulta os serviços de diretório do cliente via protocolo seguro LDAP pela internet usando uma conta de serviço para autenticação. 3 As credenciais do usuário são validadas em relação aos serviços de diretório corporativos. 4 Se as credenciais do usuário forem válidas, o servidor da Workspace ONE UEM permite que um dispositivo conclua a inscrição. Para obter mais informações, consulte Inscrição direta do Workspace ONE. Active Directory com autenticação LDAP e VMware Enterprise Systems Connector O Active Directory com autenticação LDAP e VMware Enterprise Systems Connector fornece a mesma funcionalidade que a autenticação tradicional de AD e LDAP. Esse modelo funciona na nuvem para implementações de Software como serviço (SaaS). Prós Os usuários podem se autenticar utilizando credenciais corporativas existentes. Não requer modificações no firewall, já que a comunicação é iniciada no VMware Enterprise Systems Connector dentro da sua rede. A transmissão de credenciais é criptografada e segura. Oferece configuração segura para outras infraestruturas, como servidores BES, Microsoft ADCS, SCEP e SMTP. Pode ser usada para a inscrição direta do Workspace ONE. Contras Requer a instalação do VMware Enterprise Systems Connector atrás do firewall ou em uma zona desmilitarizada. VMware, Inc. 100

101 Exige configuração extra. Modelo de implementação de SaaS Modelo de implementação no local Para obter mais informações, consulte Inscrição direta do Workspace ONE. Proxy de autenticação O proxy de autenticação entrega integração dos serviços de diretório na nuvem ou em redes internas físicas. Nesse modelo, o servidor de Workspace ONE UEM comunica-se com um servidor Web público ou com um servidor Exchange ActiveSync. Essa configuração autentica os usuários contra o controlador do domínio. Prós Oferece um método seguro para integração do proxy com o AD/LDAP por meio da nuvem. Os usuários podem se autenticar utilizando credenciais corporativas existentes. É um módulo leve, que requer configuração mínima. Contras Exige um servidor Web que faz interface direta com o público ou um servidor Exchange ActiveSync com conexões com um servidor AD/LDAP. VMware, Inc. 101

102 Só é viável para layouts de arquitetura específicos. Solução muito menos robusta do que o VMware Enterprise Systems Connector. Não pode ser usada para a inscrição direta do Workspace ONE. 1 O dispositivo conecta-se à Workspace ONE UEM para inscrever-se. O usuário digita seu nome de usuário e senha dos serviços de diretório. O nome de usuário e a senha são criptografados durante o transporte. Workspace ONE UEM não armazena a senha dos serviços de diretório do usuário. 2 Workspace ONE UEM depende do nome de usuário e senha para um endpoint de proxy de autenticação configurado que exige autenticação (por exemplo, autenticação básica). 3 As credenciais do usuário são validadas em relação aos serviços de diretório corporativo. 4 Se as credenciais do usuário forem válidas, o servidor da Workspace ONE UEM permite que um dispositivo conclua a inscrição. Para obter mais informações, consulte Inscrição direta do Workspace ONE. Autenticação SAML 2.0 A autenticação SAML 2.0 é compatível com logon único e autenticação federada. O Workspace ONE UEM nunca recebe credenciais corporativas. Se uma organização tiver um servidor de provedor de identidade SAML, use a integração SAML 2.0. Prós Oferece recursos de Single Sign-On. Autenticação com credenciais corporativas existentes. O Workspace ONE UEM nunca recebe credenciais corporativas em texto sem formatação. Pode ser usado para inscrição direta do Workspace ONE quando emparelhado com um usuário de diretório SAML. Contras Requer infraestrutura corporativa para provedor de identidade SAML. VMware, Inc. 102

103 Não pode ser usada para inscrição direta do Workspace ONE quando emparelhada com um usuário básico do SAML. O ambiente de vários domínios não é suportado. 1 O dispositivo se conecta ao Workspace ONE UEM para inscrição. O servidor do UEM redireciona o dispositivo para o provedor de identidade especificado pelo cliente. 2 O dispositivo conecta-se em segurança por HTTPS ao provedor de identidade fornecido pelo cliente e o usuário digita as credenciais. As credenciais são criptografadas durante o transporte diretamente entre o dispositivo e o endpoint SAML. 3 As credenciais são validadas contra os serviços de diretório. 4 O provedor de identidade retorna uma resposta SAML assinada com o nome de usuário autenticado. 5 O dispositivo responde de volta ao servidor do Workspace ONE UEM e apresenta a mensagem SAML assinada. O usuário é autenticado.. Autenticação baseada em token A autenticação baseada em token é a maneira mais fácil que o usuário tem para inscrever o dispositivo. Com essa configuração de inscrição, o Workspace ONE UEM gera um token que é colocado dentro da URL de inscrição. Para uma autenticação com token único, o usuário acessa o link no dispositivo para finalizar a inscrição e o servidor do Workspace ONE UEM usa o token fornecido ao usuário como referência. Para mais segurança, defina um prazo de validade (em horas) para cada token. Definir um prazo de validade minimiza o potencial de outro usuário obter acesso a quaisquer informações e recursos disponíveis para o dispositivo. Você também pode decidir implementar uma autenticação de dois fatores para incluir um passo adicional na verificação da identidade do usuário. Com essa configuração de autenticação, o usuário deve digitar seu nome de usuário e senha quando acessar o link de inscrição com o token fornecido. VMware, Inc. 103

104 Prós Um esforço mínimo para inscrição e autenticação do dispositivo por um usuário. Proteja o uso do token definindo um prazo de validade. O usuário não precisa de credenciais para autenticação de token único. Contras Requer SMTP ( ) ou integração SMS para enviar tokens para o dispositivo. 1 O administrador autoriza o registro do dispositivo do usuário. 2 O token de uso único é gerado e enviado ao usuário do Workspace ONE UEM. 3 O usuário recebe um token e vai para a URL de inscrição. O usuário deve informar o token e, opcionalmente, a autenticação de dois fatores. 4 Processo de inscrição do dispositivo. 5 O Workspace ONE UEM marca o token como expirado. Observação O SMTP é incluído nas implementações SaaS. Ativar tipos de segurança para inscrição Quando a Workspace ONE UEM for integrada com um tipo de segurança de usuário selecionado e antes da inscrição, ative cada modo de autenticação que pretende permitir. Procedimentos 1 Vá até Dispositivos > Configurações do dispositivo > Dispositivos e usuários > Geral > Inscrição na guia Agrupamento. VMware, Inc. 104

105 2 Marque as caixas de seleção apropriadas para a configuração Modo de autenticação. Configuração Adicionar domínio de Modo(s) de autenticação Fonte da autenticação para o Intelligent Hub Descrição Este botão é usado para configurar o serviço de detecção automática para registrar domínios de e- mail no seu ambiente. Selecione os tipos de autenticação permitida, que incluem: Básico Contas de usuários básicas (aquelas que você criar manualmente no console do UEM) podem se inscrever. Diretório Contas de usuário do diretório (aquelas que você importou ou permitiu usando a integração do serviço de diretório) podem se inscrever. A Inscrição direta do Workspace ONE é compatível somente para usuários de diretório com ou sem SAML. Proxy de autenticação Permite que os usuários se inscrevam utilizando contas de usuário do Proxy de autenticação. Os usuários se autenticam a um endpoint da web. Digite URL do Proxy de autenticação, URL do Proxy de autenticação backup e Tipo de método de autenticação (escolha entre básica HTTP e ActiveSync do Exchange). Selecione o sistema que o serviço do Intelligent Hub usará como fonte para os usuários e políticas de autenticação. Workspace ONE UEM - Selecione esta configuração se desejar que os Serviços do Hub usem Workspace ONE UEM como a fonte. Quando você configurou a página Configuração do Hub para os Serviços do Hub, você inseriu a URL tenant dos Serviços do Hub. Identity Manager - Selecione esta configuração se desejar que os Serviços do Hub usem o VMware Identity Manager como a fonte. Quando você configurou a página Configuração de hub para os Serviços do Hub, você inseriu a URL tenant do VMware Identity Manager. Modo de inscrição do dispositivo Exigir token de registro Exigir inscrição do Intelligent Hub para ios Exigir inscrição do Intelligent Hub para macos Selecione o modo de inscrição do dispositivo preferencial, que inclui: Inscrição aberta Essencialmente, permite que qualquer pessoa que cumpra com outros critérios de inscrição (modo de autenticação, restrições, entre outros) se inscreva. A Inscrição direta do Workspace ONE é compatível somente com inscrição aberta. Somente dispositivos registrados Somente usuários permitidos podem se inscrever usando dispositivos registrados por você ou por eles. O registro do dispositivo é o processo de adicionar dispositivos corporativos ao console do UEM antes que eles sejam inscritos. Para obter mais informações sobre como registrar dispositivos, consulte a seção "Inscrição" do Manual de gerenciamento de dispositivos móveis do VMware Workspace ONE UEM. A Inscrição direta do Workspace ONE é compatível, permitindo que apenas dispositivos registrados se inscrevam, mas somente se tokens de registro não forem exigidos. Visível apenas quando Somente dispositivos registrados está selecionado. Se você restringir a inscrição somente aos dispositivos registrados, você também terá a opção de exigir um token de registro a ser usado na inscrição. Isso aumenta a segurança confirmando que um usuário em particular está autorizado para se inscrever. Você pode enviar um ou mensagem SMS com um token de inscrição anexo para usuários com contas da Workspace ONE UEM. Marque esta caixa de seleção para exigir que os usuários de dispositivos ios façam download e instalem o Workspace ONE Intelligent Hub antes de se inscreverem. Se desativado, a inscrição pela Web estará disponível. Marque esta caixa de seleção para exigir que os usuários de dispositivos macos baixem e instalem o Workspace ONE Intelligent Hub antes de se inscreverem. Se desativado, a inscrição pela Web estará disponível. VMware, Inc. 105

106 3 Selecione Salvar. Contas de usuários básicas Crie contas de usuários básicos na Workspace ONE UEM para seus usuários se não estiver integrando com um serviço de diretório. Contas de usuários básicas também são úteis para fins de teste: elas podem ser criadas rapidamente e descartadas depois. Para obter mais informações, consulte Inscrição básica x de serviços de diretório. Prós Pode ser usada para qualquer método de implementação. Não requer integração técnica. Não exige infraestrutura empresarial. Potencialmente, pode se inscrever em múltiplos grupos organizacionais. Contras As credenciais só existem na Workspace ONE UEM e não coincidem necessariamente com as credenciais corporativas. Não oferece segurança federada. Login único não compatível. Workspace ONE UEM armazena todos os nomes de usuários e senhas. Não pode ser usada para a inscrição direta do Workspace ONE. Criar contas de usuários básicas Você pode criar contas de usuários básicas para cada usuário para fazer a autenticação e acessar o sistema da Workspace ONE UEM. Depois, é possível enviar aos usuários básicos uma notificação com instruções sobre a ativação da conta, incluindo um link para redefinição de senha que expira em 24 horas. Este tópico detalha a criação de contas de usuários, uma de cada vez. Para criar contas de usuário em massa, consulte Importação de usuários ou dispositivos em lote. Procedimentos 1 Vá para Contas > Usuários > Modo de exibição de lista, selecione Adicionar e Adicionar usuário. A página Adicionar/Editar usuário será exibida. VMware, Inc. 106

107 2 Na aba Geral, complete as configurações seguintes para adicionar um usuário básico. Configurações Tipo de segurança Nome de usuário Senha Confirme a senha Nome completo Nome de exibição Endereço de Nome de usuário do Domínio Número de telefone Descrição Selecione Básico para adicionar um usuário básico. Digite o nome de usuário com o qual o novo usuário será identificado. Digite a senha que o usuário utilizará para fazer o login. Confirme a senha. Preencha o Nome, Nome do meio e Sobrenome do usuário. Represente o usuário no UEM Console digitando um nome. Digite ou edite o endereço de do usuário. Digite ou edite o nome de usuário do do usuário. Selecione o domínio de no campo suspenso de configuração. Digite o número de telefone do usuário, incluindo sinal de adição, o código do país e o código de área.essa opção é obrigatória se você pretende utilizar o SMS para enviar notificações. Inscrição Grupo organizacional para inscrição Permitir que o usuário se inscreva em outros grupos organizacionais Grupos organizacionais adicionais Função do usuário Escolha o grupo organizacional no qual o usuário se inscreverá. É possível escolher se deseja ou não que o usuário se inscreva em mais de um grupo organizacional. Se você ativar essa opção, mas deixar em branco Grupos organizacionais adicionais, qualquer grupo organizacional filho criado no Grupo organizacional de inscrição poderá ser usado como um ponto de inscrição. Essa configuração só aparece quando a opção de permitir que o usuário se inscreva em GOs adicionais está Ativada. Essa configuração permite que você adicione grupos organizacionais adicionais nos quais o usuário básico pode se inscrever. Selecione a função para o usuário que você está adicionando nesse campo suspenso da configuração. Notificação Tipo de mensagem Modelo de mensagem Selecione o tipo de mensagem que deseja enviar para o usuário: , SMS ou Nenhum. A seleção do SMS exige uma entrada válida na opção Número de telefone. O usuário básico ativa a conta com essa notificação. Por razões de segurança, essa notificação não inclui a senha do usuário. Em vez disso, um link para redefinir a senha é incluído na notificação. O usuário básico seleciona esse link para definir outra senha. O link de redefinição de senha expira automaticamente em 24 horas. Selecione o modelo para ou mensagens SMS, selecionando um no campo suspenso de configuração. Opcionalmente, selecione Visualizar a mensagem e selecione Configurar modelo de mensagem para criar um modelo. VMware, Inc. 107

108 3 Você também pode selecionar a aba Avançado e completar as seguintes configurações. Configurações Descrição Seção "Informações avançadas" Senha do Confirmar a senha de Nome principal do usuário Categoria Departamento ID do funcionário Centro de custo Digite a senha de do usuário que você está adicionando. Confirme a senha de do usuário que você está adicionando. Digite o nome principal do usuário básico. Essa configuração é opcional. Selecione a Categoria de usuário para o usuário que está sendo adicionado. Digite o departamento do usuário para fins administrativos. Digite a ID do funcionário do usuário para fins administrativos. Digite o centro de custos do usuário para fins administrativos. Seção "Certificados" Usar S/MIME Certificado de criptografia separado Certificado de criptografia antigo Ative ou desative o Secure/Multipurpose Internet Mail Extensions (S/MIME). Se ativado, você deve ter um perfil compatível com S/MIME e carregar um certificado S/MIME selecionando Carregar. Ative ou desative o certificado de criptografia. Se ativado, você deve carregar um certificado de criptografia selecionando o botão Carregar. Geralmente, o mesmo certificado S/MIME é usado para assinatura e criptografia, a menos que um certificado diferente seja explicitamente utilizado. Ative ou desative o uso de um certificado de criptografia de versão legada. Se ativado, você deve Carregar um certificado de criptografia. Seção "Preparação" Habilitar preparação do dispositivo Ative ou desative a validação de dispositivos. Se ativado, você deve selecionar entre Dispositivo para um único usuário e Dispositivo para múltiplos usuários. Para Dispositivo para um único usuário, você deve selecionar entre Padrão, onde os próprios usuários farão o login depois da validação e Avançado, onde um dispositivo será inscrito em nome de outro usuário. 4 Selecione Salvar para salvar apenas o novo usuário ou selecione Salvar e adicionar dispositivo para salvar o novo usuário e prosseguir para a página Adicionar dispositivo. Contas de usuário baseadas em diretório Integrar com um serviço de diretório existente permite que você insira usuários automaticamente. Isso elimina a necessidade de adicionar usuários manualmente ao Workspace ONE UEM Console. Todos os usuários de diretório que você deseja gerenciar por meio do Workspace ONE UEM devem ter uma conta de usuário correspondente no console do UEM. Para obter mais informações, consulte Inscrição básica x de serviços de diretório. Você pode adicionar diretamente seus usuários de serviços de diretório existentes ao Workspace ONE UEM, utilizando um dos métodos a seguir. Faça o carregamento em lote de um arquivo contendo todos os seus usuários dos serviços de diretório. O ato de importação em lote cria automaticamente uma conta de usuário. VMware, Inc. 108

109 Crie contas de usuário, uma de cada vez, digitando o nome do usuário do diretório e selecionando Verificar usuário para o preenchimento automático dos detalhes restantes. Não importe em lote nem crie manualmente contas de usuário, em vez disso, permita que todos os usuários do diretório façam sua própria inscrição. Prós Os usuários podem se autenticar utilizando credenciais corporativas existentes. Pode detectar e sincronizar automaticamente as alterações do sistema do diretório na Workspace ONE UEM. Método seguro de fazer a integração com seu serviço de diretório existente. Prática de integração padrão. Pode ser usada para a inscrição direta do Workspace ONE. Implementações de SaaS usando o VMware Enterprise Systems Connector não exigem alterações no firewall e uma configuração segura é oferecida a outra infraestrutura, como servidores Microsoft ADCS, SCEP e SMTP. Contras Exige uma infraestrutura de serviço de diretório. Implementações SaaS exigem configuração adicional porque o VMware Enterprise Systems Connector está instalado atrás do firewall ou em uma DMZ. Criar uma conta do usuário baseada em diretório Você deve criar contas para cada usuário no sistema da Workspace ONE UEM e autenticar usuários do diretório que utilizam as credenciais corporativas existentes. Este tópico detalha a criação de contas de usuários, uma de cada vez. Para criar contas de usuário em massa, consulte Importação de usuários ou dispositivos em lote. Procedimentos 1 Vá para Contas > Usuários > Modo de exibição de lista e selecione Adicionar e Adicionar Usuário. A página Adicionar/Editar usuário será exibida. 2 Na aba Geral, conclua as configurações seguintes para adicionar o usuário básico. Configurações Tipo de segurança Nome do diretório Domínio Descrição Adicione um usuário do Active Directory selecionando Diretório como Tipo de segurança. Essa configuração já preenchida identifica o nome do Active Directory. Escolha o nome de domínio no menu suspenso. VMware, Inc. 109

110 Configurações Nome de usuário Nome completo Nome de exibição Endereço de Nome de usuário do Domínio ( ) Número de telefone Descrição Digite o nome de usuário do diretório e selecione Verificar usuário. Se o sistema encontrar uma correspondência, as informações do usuário serão automaticamente preenchidas. As configurações restantes desta seção só ficarão disponíveis depois que você localizar um usuário do Active Directory com o botão Verificar usuário. Use Editar atributos para permitir a edição de qualquer opção que sincronize um valor em branco do diretório. Editar atributos também permite que você preencha as informações correspondentes do usuário automaticamente. Se uma configuração sincronizar um valor real do diretório, essa configuração deve ser editada no próprio diretório. A alteração entra em vigor na próxima sincronização do diretório. Preencha todos as opções em branco retornadas do diretório em Nome completo e selecione Editar atributos para salvar a adição. Digite o nome que será exibido no console de administração. Digite ou edite o endereço de do usuário. Digite ou edite o nome de usuário do do usuário. Selecione o domínio de no menu suspenso. Digite o número de telefone do usuário, incluindo sinal de adição, o código do país e o código de área.se você quiser usar SMS para enviar notificações, o número de telefone será necessário. Inscrição Grupo organizacional para inscrição Permitir que o usuário se inscreva em outros grupos organizacionais Função do usuário Escolha o grupo organizacional no qual o usuário se inscreverá. Escolha se deseja ou não permitir que o usuário se inscreva em mais de um grupo organizacional. Se Ativado for selecionado, preencha o campo Grupos organizacionais adicionais. No menu suspenso, selecione a função para o usuário que você está adicionando. Notificação Tipo de mensagem Modelo de mensagem Escolha o tipo de mensagem que será enviada ao usuário: , SMS, ou Nenhum. A seleção do SMS exige uma entrada válida na caixa de texto Número de telefone. Escolha o modelo para ou mensagens SMS nesse campo suspenso da configuração. Opcionalmente, selecione Visualizar mensagem para ver o modelo e selecione o link Configurar modelos de mensagem para criar um modelo. 3 Você pode, opcionalmente, selecionar a aba Avançado e concluir as seguintes configurações. Configurações Descrição Seção "Informações avançadas" Senha do Confirmar a senha de e- mail Nome distinto Digite a senha de do usuário que você está adicionando. Confirme a senha de do usuário que você está adicionando. Para usuários de diretório reconhecidos pelo Workspace ONE UEM, esse campo será preenchido com o nome distinto do usuário. O nome distinto é uma cadeia que representa o nome de usuário e todos os códigos de autorização associados a um usuário do Active Directory. VMware, Inc. 110

111 Configurações Nome diferenciado do gerente Categoria Departamento ID do funcionário Centro de custo Atributo personalizado 1 a 5 (apenas para usuários do diretório) Descrição Digite o nome distinto do gerente do usuário. Esta caixa de texto é opcional. Escolha a categoria de usuários para o usuário que está sendo adicionado. Digite o departamento do usuário para fins administrativos da sua empresa. Digite a ID do funcionário do usuário para fins administrativos da sua empresa. Digite o centro de custos do usuário para fins administrativos da sua empresa. Digite os atributos personalizados previamente configurados, quando aplicável. Você pode definir esses atributos personalizados em Grupos e configurações > Todas as configurações > Dispositivos e usuários > Avançado > Atributos personalizados. Observação Atributos personalizados podem ser configurados apenas em grupos organizacionais Cliente. Seção "Certificados" Usar S/MIME Certificado de criptografia separado Certificado de criptografia antigo Ative ou desative o uso do Secure/Multipurpose Internet Mail Extensions (S/MIME). Se ativado, você deve ter um perfil compatível com S/MIME e carregar um certificado S/MIME selecionando Carregar. Ative ou desative o uso de um certificado de criptografia separado. Se ativado, você deve carregar um certificado de criptografia selecionando o botão Carregar. Geralmente, o mesmo certificado S/MIME é usado para assinatura e criptografia, a menos que um certificado diferente seja explicitamente utilizado. Ative ou desative o uso de um certificado de criptografia de versão legada. Se ativado, você deve Carregar um certificado de criptografia. Seção "Preparação" Habilitar preparação do dispositivo Ative ou desative a validação de dispositivos. Se ativado, você deve escolher entre Dispositivo para um único usuário e Dispositivo para múltiplos usuários. Para Dispositivo para um único usuário, você deve selecionar entre Padrão, onde os próprios usuários farão o login depois da validação e Avançado, onde um dispositivo será inscrito em nome de outro usuário. 4 Selecione Salvar para salvar apenas o novo usuário ou selecione Salvar e adicionar dispositivo para salvar o novo usuário e prosseguir para a página Adicionar dispositivo. Próximo passo Para obter mais informações sobre a adição de usuários do diretório ao Workspace ONE UEM, consulte Adicionar usuários do diretório individuais um por vez e Importação de usuários do diretório em lote. na Documentação de serviços de diretório do VMware Workspace ONE UEM em docs.vmware.com. VMware, Inc. 111

112 Modo de exibição de lista de contas de usuários A página Modo de exibição de lista, que pode ser visualizada em Contas > Usuários > Modo de exibição de lista, oferece ferramentas úteis para manutenção de conta de usuário comum. Personalizar o modo de exibição de lista Você pode usar o Modo de exibição de lista de contas de usuários para criar listas personalizadas de usuários imediatamente. Você também pode personalizar o layout da tela com base nos critérios mais importantes para você. Você pode exportar essa lista personalizada para análise posterior e adicionar novos usuários individualmente ou em massa. VMware, Inc. 112

113 Ação Filtros Descrição Visualize apenas os usuários desejados usando os filtros a seguir. Tipo de segurança Grupo organizacional para inscrição Status de inscrição Grupo de usuários Função do usuário Adicionar Adicionar usuário Realize uma adição única de uma conta de usuário básica. Adicionar um funcionário ou um funcionário recentemente promovido que precisa de acesso aos recursos de MDM. Para obter mais informações, consulte Criar contas de usuários básicas. Importação em lote Adicione vários usuários no Workspace ONE UEM importando um arquivo CSV. Digite um nome único e uma descrição de grupo para organizar vários usuários de uma vez. Para obter mais informações, consulte Importação de usuários ou dispositivos em lote. Layout Classificação Exportar Permite personalizar o layout da coluna. Resumo Visualize o Modo de exibição de lista com as colunas padrão e as configurações de visualização. Personalizado Selecione apenas as colunas no Modo de exibição de lista que você deseja ver. Você também pode aplicar colunas selecionadas a todos os administradores no grupo organizacional atual ou abaixo dele. A maioria das colunas no modo de exibição de lista (tanto no layout Resumo quanto no Personalizado) é classificável e inclui Dispositivos, Grupos de usuários e Grupo organizacional de inscrição. Salve um arquivo CSV de todo o modo de exibição de lista que pode ser visualizado e analisado no Excel. Interagir com contas de usuários O modo de exibição em lista também apresenta uma caixa de seleção à esquerda de cada conta de usuário. Visualize detalhes do usuário selecionando o hipertexto nome do usuário na coluna Informações gerais. O ícone Editar ) permite fazer alterações básicas na conta de usuários. Marcar uma única caixa de seleção faz três botões de ação aparecerem, Enviar mensagem, Adicionar dispositivo e Mais ações. Você pode selecionar várias contas de usuários usando a caixa de seleção que, por sua vez, modifica as ações disponíveis. Ação Enviar mensagem. Adicionar dispositivo. Mais ações Adicionar ao grupo de usuários. Remover do grupo de usuários. Descrição Ofereça suporte imediato a um único usuário ou a um grupo de usuários. Envie um de ativação de usuário (modelo de usuário) para um usuário, para notificá-lo de suas credenciais de inscrição. Adicione um dispositivo para o usuário selecionado. Disponível apenas para seleções de usuários únicos. Exiba as seguintes opções. Adicione usuários selecionados a um grupo de usuários novo ou existente para gerenciamento simplificado de usuários. Para obter mais informações, consulte Modo de exibição de lista de grupos de usuários e Editar permissões de grupo de usuários. Remova usuários selecionados do grupo de usuários existente. VMware, Inc. 113

114 Ação Alterar grupo organizacional Excluir Ativar Desativar Descrição Mova manualmente o usuário para um grupo organizacional diferente. Atualize o conteúdo disponível, permissões e restrições de um usuário se ele mudar de posição, receber uma promoção ou mudar de local de escritório. Se um membro da organização rescindir o contrato de trabalho, você pode excluir uma conta de usuário total e rapidamente. Apagar informações de conta é equivalente a conta jamais ter existido em um primeiro momento. Uma conta excluída não poderá ser reativada. Se o proprietário de uma conta excluída retorna, uma nova conta deve ser criada para ele. Ative uma conta previamente desativada se um usuário retornar a uma organização ou precisar ser reintegrado à empresa. A desativação é uma medida de segurança. A desativação é usada quando um usuário está ausente em ação, seu dispositivo está fora de conformidade ou o dispositivo foi perdido ou roubado. Todas as informações sobre uma conta desativada são mantidas, como nome, endereço de , senha, inscrição de grupo organizacional e assim por diante. Uma conta desativada significa simplesmente que ninguém com essas credenciais de conta será capaz de fazer login no Workspace ONE UEM Console enquanto a conta estiver desativada. Uma vez que o problema de segurança for resolvido (o usuário é localizado, o dispositivo fica em conformidade, o dispositivo é recuperado), você pode Ativar a conta. Recurso de importação em lote Se você tiver vários usuários para adicionar à Workspace ONE UEM, é possível criar usuários e grupos de usuários em massa ou importá-los em lote dos seus serviços de diretório. Fazer uma importação em lote significa pegar um modelo fornecido em formato CSV. Depois, preencher com seus próprios dados e carregar o modelo preenchido. Alterações em diretórios de usuários externos LDAP e AD Depois de carregar sua lista de lotes de usuários e de grupos de usuários, nenhuma alteração nos diretórios externos de usuários LDAP/AD foi atualizada em Workspace ONE UEM. Essas alterações de usuários e grupo de usuários devem ser atualizadas manualmente ou carregadas como um novo lote. Usuários e dispositivos Escolha entre os quatro templates de importação em lote: dispositivos não autorizados, dispositivos autorizados, dispositivo/usuário simples e dispositivo/usuário avançado. Para obter mais informações, consulte Importação de usuários ou dispositivos em lote. Grupos de usuários Você pode importar grupos de usuários em lotes quase da mesma maneira que usuários individuais, concluindo um template fornecido do Workspace ONE UEM e carregando-o. Para obter mais informações, consulte Importação em lote de grupos de usuários. VMware, Inc. 114

115 Edição de usuários básicos É possível editar e mover usuários em grupos em vez de um de cada vez, alterando determinadas colunas no arquivo CSV que você carrega como parte de um procedimento de importação em lote. Esse tipo de manipulação de colunas só se aplica a dois tipos de autenticação de usuário: a autenticação básica e o proxy de autenticação. Para obter mais informações, consulte Como editar usuários básicos com a importação em lote. Como mover usuários entre grupos organizacionais A importação em lote também pode ser usada para mover vários usuários para um grupo organizacional diferente. Para obter mais informações, consulte Mover usuários com a importação em lote. Importação de usuários ou dispositivos em lote Para economizar tempo, você pode importar vários usuários e dispositivos para o UEM Console. Os usuários podem ser básicos (armazenados no banco de dados), baseados em diretório (LDAP) ou de proxy de autenticação. Procedimentos 1 Vá para Contas > Usuários > Status do lote ou Dispositivos > Ciclo de vida > Status de inscrição > Adicionar e selecione Importação em lote. 2 Digite as informações básicas, incluindo um Nome de lote e Descrição de lote no Workspace ONE UEM Console. 3 Selecione o tipo de lote aplicável no menu suspenso Tipo de lote. 4 Selecione e baixe o modelo que melhor corresponde ao tipo de importação em lote que você está fazendo. Dispositivos não autorizados Importe uma lista de dispositivos conhecidos, fora de conformidade por IMEI, número de série ou UDID. Os dispositivos não autorizados não têm permissão de inscrição. Se um dispositivo não autorizado tentar se inscrever, ele é automaticamente bloqueado. Dispositivos autorizados Importe dispositivos pré-aprovados por IMEI, número de série ou UDID. Use este modelo para importar uma lista de dispositivos confiáveis. A propriedade e a ID do grupo associadas ao dispositivo são automaticamente aplicadas durante a inscrição. Usuário e/ou dispositivo VMware, Inc. 115

116 Selecione entre um modelo CSV Simples e um Avançado. O modelo simples apresenta apenas as opções usadas com mais frequência e o modelo avançado apresenta as opções de importação completas, não resumidas. Alterar grupo organizacional Move usuário para um grupo organizacional diferente. 5 Abra o arquivo CSV. Confirme se os usuários são parte ou não do grupo organizacional (GO) da inscrição. O arquivo CSV apresenta várias colunas correspondentes às opções na página Adicionar/Editar usuário. Quando você abre o modelo CSV, observe que os dados de amostra foram adicionados a cada coluna no modelo. Os dados de amostra são apresentados para informar qual tipo de dados é necessário e o formato no qual que eles devem estar. Observação Um arquivo CSV (valores separados por vírgula) é simplesmente um arquivo de texto cuja extensão foi alterada de "TXT" para "CSV". Ele armazena dados tabulares (texto e números) em texto sem formatação. Cada linha do arquivo é um registro de dados. Cada registro é composto de um ou mais campos, separados por vírgulas. Pode ser aberto e editado em qualquer editor de texto. Também pode ser aberto e editado no Microsoft Excel. a Vá para Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Inscrição e selecione a guia Agrupamento. Para inscrição baseada no diretório, o Tipo de segurança para cada usuário deve ser Diretório. Se o Modo de atribuição de ID de grupo estiver definido como Padrão, seus usuários são parte do GO da inscrição. 6 Insira os dados para os usuários da sua organização, incluindo informações sobre o dispositivo (se for o caso) e salve o arquivo. 7 Volte à página Importação em lote e selecione Escolher arquivo para localizar e carregar o arquivo CSV salvo baixado e preenchido anteriormente. 8 Selecione Salvar. Importação em lote de grupos de usuários Para poupar tempo, você pode importar em vários grupos de usuários do Lightweight Directory Access Protocol (LDAP)/Active Directory (AD) no Workspace ONE UEM Console. Procedimentos 1 Vá para Contas > Grupos de usuários > Modo de exibição de lista e selecione Adicionar. 2 Selecione Importação em lote. 3 Digite as informações básicas, incluindo o Nome e a Descrição do lote no Workspace ONE UEM Console. VMware, Inc. 116

117 4 Em Arquivo para importação em lote com extensão.csv, selecione o botão Escolher arquivo para localizar e carregar o arquivo CSV completo. 5 Como alternativa, selecione o link Fazer o download do modelo para este tipo de lote, salve o arquivo CVS e use-o para preparar um novo arquivo de importação. Abra o arquivo.csv que tem várias colunas correspondentes às configurações que aparecem na página Adicionar grupo de usuários. Colunas com um asterisco são obrigatórias e devem ser preenchidas com dados. Salve o arquivo. O título da última coluna no modelo do arquivo CSV é rotulado "IDGrupo/Gerenciar(Editar e Excluir)/Gerenciar(Usuários e Inscrição)/atribuição UG/Herdar Admin". Esse título de coluna corresponde às configurações e está de acordo com a lógica da guia Permissões da página Editar grupo de usuários. Para obter detalhes, consulte Editar permissões de grupo de usuários. 6 Selecione Importar. 7 Se a importação em lote não for realizada com êxito, visualize a lista de erros clicando em Contas > Status do lote. Você pode visualizar erros específicos da importação em lote clicando no hiperlink Erros. Como editar usuários básicos com a importação em lote O recurso de Importação em lote permite editar e mover usuários em grupos em vez de individualmente. Os usuários precisam existir na Workspace ONE UEM para que esse procedimento funcione. Edite as configurações a seguir no arquivo CSV e use a Importação em lote para carregar esse arquivo. Senha (apenas básica). Nome. Nome do meio. Sobrenome. Endereço de . Número de telefone. Número de celular. Departamento. Nome de usuário do . Senha do . Grupos organizacionais autorizados (apenas na ID de grupo e nas subordinadas) Categoria de usuário da inscrição (essa categoria está disponível para o usuário, caso contrário, padronizada como 0) Função do usuário da inscrição (essa função está disponível para o usuário, caso contrário ele assume a função padrão de grupo organizacional). A edição do usuário básico aplica-se apenas aos Autenticação básica do usuário e aos Proxy de autenticação. Mover usuários com a importação em lote Você pode usar o recurso Importação em lote para mover conjuntos de usuários para outro grupo organizacional. Procedimentos 1 Na tela Importação em lote, digite as informações básicas, incluindo um nome e uma descrição do lote na Workspace ONE UEM Console. VMware, Inc. 117

118 2 Selecione Alterar grupo organizacional na lista de modelos e salve o arquivo CSV em algum lugar de fácil acesso. 3 Insira a ID do grupo aplicável do grupo organizacional atual do usuário, nome de usuário a ser movido e ID do grupo de destino do novo grupo organizacional do usuário. 4 Volte para a tela de Importação em lote, selecione Escolher arquivo para localizar e carregar o arquivo CSV salvo e selecione Abrir. 5 Selecione Salvar. Contas de administrador Contas de administrador permitem que você mantenha as configurações do Gerenciamento de dispositivos móveis (MDM), envie ou revogue recursos e conteúdo e muito mais do console do UEM. Além disso, uma Conta de administrador temporária possibilita o recurso de assistência remota dentro do console do Unified Endpoint Management. Essas contas administrativas temporárias, com vencimento configurável, podem ser usadas para acessar áreas normalmente reservadas aos titulares de contas administrativas permanentes. Criar uma conta de administrador Você pode criar quantas contas de administrador (cada uma com um conjunto de permissões ou funções) você precisar para gerenciar sua frota de dispositivos. Para obter mais informações, consulte Criar uma conta de administrador. Criar uma conta de administrador temporária Devido à data de vencimento configurável, contas de administrador temporárias são ideais para recrutar ajuda do maior grupo de usuários para solução de problemas, teste e exercícios de treinamento. Para obter mais informações, consulte Criar uma conta de administrador temporária. Adicionar, editar e excluir contas de administrador Conforme o número de contas de administrador se expande, você pode realizar tarefas de manutenção do sistema para reatribuir permissões ou funções, redefinir uma senha ou desativar e excluir contas de administrador. Para obter mais informações, consulte Como gerenciar contas administrativas. Criar uma conta de administrador Você pode adicionar Contas de administrador na página Modo de exibição de lista de administradores, fornecendo acesso a recursos avançados do Workspace ONE UEM Console. Cada administrador que mantém e supervisiona o Console deve ter uma conta individual. Procedimentos 1 Vá até Contas > Administradores > Modo de exibição de lista, selecione Adicionar e Adicionar administrador. A página Adicionar/Editar administrador é exibida. VMware, Inc. 118

119 2 Na aba Básico, na configuração Tipo de usuário, selecione Básico ou Diretório. Se você selecionar Básico, preencha todas as configurações obrigatórias na aba Básico, incluindo nome de usuário, senha, nome e sobrenome. Você pode ativar a Autenticação de dois fatores selecionando entre e SMS como método de entrega e tempo de expiração de token em minutos. Também é possível selecionar uma opção Notificação, selecionando entre Nenhum, e SMS. O administrador recebe uma resposta gerada automaticamente. Se você selecionar Diretório, digite Domínio e nome de usuário do administrador. 3 Selecione a aba Detalhes e digite as informações adicionais, se necessário. 4 Selecione a aba Funções e selecione o Grupo organizacional seguido pela Função que deseja atribuir ao novo administrador. Adicione novas funções utilizando Adicionar função. 5 Selecione a guia API e escolha o tipo de Autenticação. 6 Selecione a aba Observações e digite Observações adicionais para o usuário administrador. 7 Selecione Salvar para criar a conta de administrador com a função atribuída. Criar uma conta de administrador temporária Você pode conceder acesso administrativo temporário ao seu ambiente para suporte, demonstrações e outros casos de uso por tempo limitado. Procedimentos 1 Vá para Contas > Administradores > Modo de exibição de listae selecione Adicionar. Selecione a opção Adicionar administrador temporário. Como alternativa, selecione o botão Ajuda na barra de cabeçalho que aparece no canto superior direito de quase todas as páginas do Workspace ONE UEM e selecione Adicionar administrador temporário. 2 Na guia Básico, escolha adicionar uma conta de administrador temporária com base no Endereço de ou no nome de usuário e conclua as seguintes configurações. Configuração Endereço de Nome de usuário Senha/Confirmar senha Período de validade Número do ticket Descrição Digite o endereço de em que a conta de administrador temporária é baseada. Disponível apenas quando o botão de opção Endereço de está selecionado. Digite o nome de usuário em que a conta de administrador temporária é baseada. Disponível apenas quando o botão de opção nome do usuário está selecionado. Digite e confirme a senha associada ao endereço de ou ao nome de usuário. Selecione um Período de validade cujo padrão é de 6 horas. Você também pode definir este menu suspenso como Inativo para criar a conta agora e ativá-lo depois. Opcionalmente, você pode adicionar Perguntar número do ticket do ZenDesk como marcador de referência. VMware, Inc. 119

120 3 Na aba Funções, é possível adicionar e excluir funções aplicáveis à conta de administrador temporária. Adicione uma função selecionando o botão Adicionar função e o grupo organizacional e função à qual a conta administrativa temporária se aplica. Edite uma função existente selecionando o ícone de edição ( organizacional e uma função diferentes. ) e selecione um grupo Exclua uma função selecionando o ícone de exclusão ( ). 4 Selecione Salvar. Como gerenciar contas administrativas Você pode implementar funções administrativas importantes para manutenção contínua e para acompanhar contas administrativas em Contas > Administradores > Modo de exibição de lista. Exiba a página Adicionar/editar administrador selecionando o link do hipertexto na coluna nome do usuário. Este link permite atualizar as funções atuais atribuídas rapidamente ou mudar funções em sua organização para manter os privilégios atualizados. Você também pode alterar as informações administrativas e redefinir uma senha. Você pode Filtrar a lista de administradores para incluir todas as funções ou limitar a lista apenas a uma função específica que deseja ver. Exiba os botões de ação aplicáveis ao administrador usando o botão de seleção ao lado do nome de usuário do administrador. Ver histórico Monitore quando os administradores entram e saem do Workspace ONE UEM Console. Desativar Altere o status de uma conta de administrador de ativo para inativo. Esse recurso permite suspender temporariamente as funções de gerenciamento e privilégios. Ao mesmo tempo, esse recurso permite que você mantenha as funções definidas da conta de administrador para uso posterior. Ativar Altere o status de uma conta de administrador de inativo para ativo. Excluir Remover a conta de administrador a partir do console do UEM. Esse tipo de ação é útil para quando um administrador termina o emprego. Redefinir senha Disponível somente para administradores básicos. Envia um para o endereço de do administrador básica no registro. O contém um link que expira em 48 horas. Para redefinir a senha, o administrador básico deve selecionar o link e responder à pergunta de recuperação de senha. Isso permite que o administrador básico altere suas próprias senhas. Os administradores baseados em diretório devem redefinir as próprias senhas usando o sistema do Active Directory. Os administradores temporários não podem redefinir suas senhas. Outro administrador deve excluir e recriar a conta de administrador temporária. VMware, Inc. 120

121 Acesso com base em funções 4 Você pode criar funções que concedem tipos específicos de acesso para o Workspace ONE UEM Console. Você pode definir funções para usuários individuais e grupos com base nos níveis de acesso ao console do UEM que você julgar serem úteis. Por exemplo, os administradores do suporte técnico da sua empresa podem ter acesso limitado dentro do console, enquanto o gerente de TI tem uma gama maior de permissões. Para ativar o controle de acesso baseado em função, você deve primeiro definir as funções de administrador e usuário dentro do console do UEM. Recursos específicos, também conhecidos como permissões, definem essas funções, o que ativa e desativa o acesso a vários recursos no console do UEM. As funções também podem ser criadas para usuários finais que precisam de acesso ao portal de autoatendimento. Já que as funções (e especificamente os recursos ou permissões) determinam o que os usuários e administradores podem ou não fazer no console do UEM, tome cuidado para conceder os recursos ou permissões corretos. Por exemplo, se você exigir que os administradores insiram uma nota antes que os dados corporativos de um dispositivo sejam apagados, a função deve não somente ter as permissões para apagar os dados corporativos de um dispositivo, mas também para adicionar uma nota. Comparar duas funções administrativas Você pode comparar as permissões da função de um administrador com outro em nome da precisão ou para confirmar diferenças propositais de permissões. Para obter mais informações, consulte Comparar funções administrativas. Este capítulo inclui os seguintes tópicos: Funções padrão e personalizada Funções de usuário Funções do administrador VMware, Inc. 121

122 Funções padrão e personalizada Há várias funções padrão já fornecidas pelo Workspace ONE UEM para sua escolha. Essas funções estão disponíveis em cada upgrade e contribuem para a atribuição rápida de funções a novos usuários. Se você precisar de mais personalização, poderá criar funções personalizadas para ajustar os privilégios e permissões de usuários mais detalhadamente. Diferente das funções padrão, as funções personalizadas exigem atualizações manuais a cada atualização do Workspace ONE UEM. Cada tipo de função inclui vantagens e desvantagens inerentes. As Funções padrão economizam tempo na configuração de uma nova função a partir do zero, oferecem uma variedade de privilégios administrativos e são atualizadas automaticamente em conjunto com as atualizações de recursos e configurações. No entanto, as funções padrão podem não ser adequadas para sua organização ou implementação de MDM. Por esse motivo, as funções personalizadas foram criadas. Funções padrão do usuário A lista de funções abaixo está disponível por padrão para os usuários no console do Unified Endpoint Management. Função de acesso completo Fornece total permissão para executar todas as tarefas no Self Service Portal. Função de acesso básico Fornece todas as permissões, exceto comandos de MDM do Self Service Portal. As Funções personalizadas permitem que você personalize quantas funções exclusivas precisar e permitem modificações grandes ou pequenas para diferentes usuários e administradores. No entanto, as funções personalizadas devem ser mantidas manualmente ao longo do tempo e devem ser atualizadas com novos recursos. Editar uma função de usuário padrão para criar uma função de usuário personalizada Se nenhuma das funções padrão disponíveis for adequada para sua organização, considere modificar uma função de usuário existente e criar uma função de usuário personalizada. Crie uma função de usuário personalizada editando uma função padrão que acompanha o UEM Console. Procedimentos 1 Certifique-se de que você esteja atualmente no grupo organizacional com o qual deseja que a nova função seja associada. 2 Vá até Contas > Usuários > Funções. VMware, Inc. 122

123 3 Determine qual função da lista adapta-se melhor à função que você deseja criar. Em seguida, edite essa função selecionando no ícone Editar ( função é exibida. ) para a extrema direita. A página Adicionar/Editar 4 Edite as caixas de texto Nome, Descrição e Página inicial conforme necessário. Analise cada uma das caixas de seleção. Essas opções representam as várias permissões, marcando e desmarcando as opções conforme necessário. 5 Selecione Salvar para salvar suas alterações, substituindo as configurações anteriores da função pelas novas. Funções do administrador padrão As funções abaixo estão disponíveis por padrão para os administradores no Workspace ONE UEM Console. Use a Ferramenta de comparação de função do administrador para comparar as permissões específicas ou duas funções do administrador. Para obter mais informações, consulte Comparar funções administrativas. Função Administrador de sistema Administrador da AirWatch Administrador do console Gerenciador do dispositivo Visualizador de relatório Gerenciamento de conteúdo Descrição A função Administrador do sistema oferece acesso completo ao ambiente do Workspace ONE UEM. Essa função inclui acesso às configurações de segurança e de senha, ao gerenciamento de sessão e às informações de auditoria do console do UEM. Essas informações estão localizadas na aba Administração, sob Configuração do sistema. Essa função é limitada aos gerentes de ambiente, por exemplo, equipes de operações de SaaS para todos os ambientes SaaS hospedados pela VMware. A função Administrador da AirWatch permite amplo acesso ao ambiente da Workspace ONE UEM. No entanto, esse acesso exclui a aba Administração da Configuração do sistema, porque ela gerencia configurações de nível mais alto do console do UEM. Essa função é limitada a funcionários da VMware com acesso a ambientes para fins de configuração, instalação e solução de problemas. A função de administrador do console é a função padrão de administrador para ambientes SaaS compartilhados. A função tem funcionalidade limitada de atributos de política de conformidade, criação de relatórios e seleção de grupo organizacional. A função de gerenciador de dispositivos concede acesso significativo ao console do UEM. No entanto, essa função não é designada para definir a maioria das Configurações do sistema. Essas configurações incluem o Active Directory (AD)/Lightweight Directory Access Protocol (LDAP), o Simple Mail Transfer Protocol (SMTP), os Agentes e outros. Para essas tarefas é melhor utilizar uma função mais alta, como a de administrador da AirWatch ou de administrador do sistema. A função de visualizador de relatórios permite a visualização dos dados coletados por meio do Gerenciamento de dispositivos móveis (MDM). Essa função limita o usuário a gerar, visualizar, exportar e assinar relatórios no console do UEM. A função de gerenciamento de conteúdo só inclui acesso ao gerenciamento do VMware Content Locker. Use essa função para administradores especializados responsáveis por fazer o upload e gerenciar o conteúdo de um dispositivo. VMware, Inc. 123

124 Função Gerenciamento de aplicativos Suporte técnico Administrador apenas do App Catalog Somente leitura Administrador do Horizon Administrador do NSX Privacy Officer Descrição A função de gerenciamento de aplicativos permite aos administradores com esse acesso implementar e gerenciar aplicativos públicos e internos da frota de dispositivos. Use essa função para um administrador de gerenciamento de aplicativo. A função de suporte técnico concede as ferramentas necessárias para a maior parte das funções de nível 1 do Help Desk de TI. A ferramenta primária disponível para essa função é a capacidade de ver e responder às informações do dispositivo com ações remotas. No entanto, essa função também contém recursos para a visualização de relatórios e pesquisa de dispositivos. A função administrativa Somente catálogo de aplicativos tem muitas das mesmas permissões que o Gerenciamento do aplicativo. Adicionadas a essas permissões estão as habilidades de adicionar e manter contas de administrador e de usuário, grupos de administradores e usuários, detalhes do dispositivo e etiquetas. A função Somente leitura concede acesso à maior parte do console do UEM, mas limita o acesso ao status somente leitura. Utilize essa função para fazer auditoria ou registrar as configurações em um ambiente do Workspace ONE UEM. Esta função não é útil para operadores ou administradores do sistema. A função Administrador do Horizon é um conjunto especialmente projetado de permissões para complementar uma configuração do Workspace ONE UEM integrada com a visualização do VMware Horizon. A função Administrador do NSX é um conjunto de permissões especialmente designado para complementar o VMware Controlador NSX integrado ao Workspace ONE UEM. Essa função oferece complemento total do sistema e permissões de gerenciamento de certificado, permitindo que os administradores unam a segurança de endpoint com a segurança do centro de dados. A função de Privacy Officer fornece acesso de leitura à Visão geral do monitor, Modo de exibição de lista de dispositivos, Visualização de configurações do sistema e permissões totais de edição das configurações de privacidade. Editar uma função administrativa padrão para criar uma função administrativa personalizada Se as funções padrão disponíveis não forem adequadas para os recursos administrativos em sua organização, considere modificar uma função padrão existente para uma função administrativa personalizada. Crie uma função de administrador personalizada editando uma função padrão que acompanha o UEM Console. Procedimentos 1 Certifique-se de que você esteja atualmente no grupo organizacional com o qual deseja que a nova função seja associada. 2 Vá até Contas > Administradores > Funções. 3 Determine qual função da lista adapta-se melhor à função que você deseja criar. Marque a caixa de seleção para essa função. 4 Selecione Copiar no menu de ações acima da lista. A página Copiar função é exibida. VMware, Inc. 124

125 5 Edite as configurações específicas da cópia na página Copiar função resultante. Crie um Nome exclusivo e Descrição para a função personalizada. 6 Selecione Salvar. Próximo passo Para obter mais informações, consulte Criar função de administrador. Funções de usuário As funções de usuário permitem ativar ou desativar ações específicas que usuários conectados podem realizar. Essas ações incluem controle de acesso a uma limpeza de dispositivo, consulta de dispositivo e gerenciamento de conteúdo pessoal. Você também pode personalizar as páginas iniciais e restringir o acesso ao portal de autoatendimento. A criação de várias funções de usuário economiza tempo. Você pode fazer configurações abrangentes entre diferentes grupos organizacionais ou alterar a função de um usuário específico a qualquer momento. Criar uma nova função de usuário Além do Acesso básico predefinido e das funções de Acesso total, você pode criar funções personalizadas. Ter várias funções de usuário disponíveis aumenta a flexibilidade e pode poupar tempo ao atribuir funções a novos usuários. Procedimentos 1 Vá para Contas > Usuários > Funções e selecione Adicionar função. A página Adicionar/Editar função é exibida. 2 Digite um Nome e Descrição e selecione Página inicial do SSP para os usuários com essa nova função. Para funções de usuário existentes, a Página inicial padrão é a página Meus dispositivos. 3 Selecione em uma lista de opções o nível de acesso e o controle que os usuários dessa função atribuída devem ter no SSP. Clique em Desmarcar todos para limpar todas as caixas de marcação na página. Marque todas as caixas de seleção na página na opção Selecionar tudo. 4 Clique em Salvar para salvar a função. A função do usuário adicionada aparece na lista na página Funções. Próximo passo Na página Funções, você pode visualizar, editar ou excluir funções. VMware, Inc. 125

126 Configurar uma função padrão Uma função padrão é a função de linha de base na qual todas as funções de usuário são baseadas. Configurar uma função padrão permite que você defina as permissões e privilégios que os usuários receberão automaticamente no momento da inscrição. Procedimentos 1 Vá para Dispositivos > Configurações do dispositivo > Dispositivos e usuários > Geral > Inscrição e selecione a guia Agrupamento. 2 Configure um nível padrão de acesso para usuários no Self Service Portal (SSP) selecionando uma Função padrão. Essas configurações de função são personalizáveis por grupo organizacional. Acesso completo Concede aos usuários acesso às funções mais altas do SSP, como instalar ou remover perfis e aplicativos, redefinir senhas, enviar mensagens de dispositivo e ter acesso de gravação ao conteúdo. Acesso básico concede acesso de baixo impacto. Os usuários podem registrar seus próprios dispositivos, somente visualizar (mas não instalar) perfis e aplicativos, visualizar suas próprias contas e consultar e encontrar seus próprios dispositivos. Acesso externo Usuários com acesso externo contam com todas os recursos dos usuários de acesso básico, mas também têm acesso (somente leitura) ao conteúdo no SSP explicitamente compartilhado com eles. 3 Selecione Salvar. Como atribuir ou editar a função de um usuário existente Você pode editar a função de um usuário específico, por exemplo, para conceder ou restringir o acesso às funções da Workspace ONE UEM. Procedimentos 1 Selecione o grupo organizacional adequado. 2 Vá até Contas > Usuários > Exibição de lista. 3 Procure pelo usuário específico que deseja editar na lista. Depois de ter identificado o usuário, selecione o ícone Editar sob a caixa de seleção. A tela Adicionar/Editar usuário é exibida. 4 Na aba Geral, role até a seção Inscrição e selecione Função de usuário no menu suspenso para alterar a função desse usuário específico. 5 Selecione Salvar. VMware, Inc. 126

127 Funções do administrador As funções de administrador permitem que você ative ou desative permissões para todas as configurações e recursos disponíveis no console do UEM. Essas configurações concedem ou restringem recursos do console para cada membro da sua equipe administrativa, permitindo estabelecer uma hierarquia de administradores específica para suas necessidades. A criação de várias funções de administrador economiza tempo. Ao definir configurações abrangentes entre diferentes grupos organizacionais, você pode alterar as permissões para um administrador específico a qualquer momento. Modo de exibição de lista de funções do administrador O modo de exibição de lista de funções do administrador permite que você adicione, edite, compare e mantenha sua biblioteca de funções para toda sua base de administradores. O modo de exibição de lista de funções do administrador pode ser encontrado em Contas > Administradores > Exibição de lista. Adicionar função Crie uma nova função administrativa do zero selecionando o botão Adicionar função. Para obter mais informações, consulte Criar função de administrador. Importar função e exportar função Você pode importar uma função exportada de outro ambiente. Você também pode exportar uma função salva como arquivo XML para um local no seu dispositivo, adequado para importação posterior. Selecione a função que deseja exportar e o botão Exportar. Para obter mais informações, consulte os tópicos a seguir. Importar funções administrativas Exportar funções administrativas Problemas de controle de versão na importação e exportação de funções do administrador Copiar função Você pode economizar tempo fazendo a cópia de uma função existente, inclusive de suas permissões. Para obter mais informações, consulte Copiar função. Visualizar usuários O botão Exibir usuários permite ver o Modo de exibição de lista de administradores, mostrando uma lista de todos eles. Marque a caixa de seleção à esquerda do nome da função e, em seguida, selecione o botão Exibir usuários. VMware, Inc. 127

128 Excluir função É possível excluir uma função não utilizada da biblioteca de funções administrativas. Você não pode excluir uma função atribuída a um administrador. Selecione uma função não atribuída que deseja excluir e selecione o botão Excluir. Renomear uma função Se você estiver importando uma função administrativa com o mesmo nome que uma função administrativa existente, poderá renomear a função existente primeiro. Para obter mais informações, consulte Renomear uma função do administrador. Exibir os recursos de uma função de administrador Você pode visualizar todos os recursos ou permissões de qualquer função de administrador, incluindo funções padrão e personalizadas. Este modo de exibição pode ajudá-lo a determinar o que um administrador pode ou não pode fazer no UEM console. Para obter mais informações, consulte Exibir os recursos de uma função de administrador. Editar função Você pode editar o nome, a descrição e permissões específicas de uma função existente. Selecione o ícone de lápis à esquerda do nome da função na listagem, e a tela Editar função aparece, permitindo que você faça alterações. Comparar duas funções Também é possível comparar as configurações de permissões individuais entre duas funções. Para obter mais informações, consulte Comparar funções administrativas. Criar função de administrador Você pode criar funções de administrador que definem tarefas específicas que podem ser realizadas na Workspace ONE UEM. Você então atribui essas funções a administradores individuais. VMware, Inc. 128

129 Procedimentos 1 Vá para Contas > Administradores > Funções e clique em Adicionar função no UEM Console. 2 Em Criar função, digite o Nome e a Descrição da função. VMware, Inc. 129

130 3 Selecione na lista de Categorias. A seção Categorias organiza as categorias de nível superior, tais como Gerenciamento de dispositivo, sob o qual estão localizadas subcategorias incluindo Aplicativos, Navegação e Gerenciamento em massa, entre outras. Essa subdivisão de categorias permite um processo fácil e rápido de criação de função. Cada subcategoria definida no painel direito tem uma caixa de seleção para Ler e Editar. Quando você seleciona na seção Categorias, os conteúdos subcategorizados (configurações individuais) preenchem o painel direito. Cada configuração individual apresenta sua própria caixa de seleção Ler e Editar e "selecione tudo" para Ler e Editar no cabeçalho da coluna. Essa disposição permite a criação de funções com nível de controle e personalização flexível. Use a caixa de texto Pesquisar recursos para restringir o número de recursos do qual você pode selecionar. Os recursos geralmente são rotulados da mesma forma como são chamados no próprio UEM Console. Por exemplo, se você deseja limitar uma função administrativa à edição de logs de aplicativos, digite Logs de aplicativos na caixa Pesquisar recursos e uma listagem de todos os recursos que contêm a string Logs de aplicativos é exibida. 4 Selecione a opção apropriada Ler e Editar nos campos de recursos correspondentes. Você também pode escolher desmarcar qualquer um dos recursos selecionados. 5 Para fazer seleções de categorias em branco, selecione Nenhum, Ler ou Editar diretamente da seção Categoria, sem nunca preencher o painel à direita. Selecione o ícone circular à direita do rótulo Categoria, que é um menu suspenso. Utilize esse método de seleção quando tiver certeza de que deseja selecionar nenhum(a), somente leitura ou editar recursos para toda a configuração da categoria. 6 Selecione Salvar para terminar de criar a função personalizada. Agora você pode visualizar a função adicionada à lista na página Funções. Aqui você também pode editar os detalhes da função ou excluí-la. Próximo passo Você precisará atualizar a função personalizada depois de cada atualização de versão da Workspace ONE UEM para incluir as novas permissões na última versão. Importar funções administrativas Você pode importar funções de administrador salvas em outro ambiente, como um arquivo XML, tornando as funções administrativas um recurso portátil, que pode economizar tempo. VMware, Inc. 130

131 Procedimentos 1 Vá até Contas > Administradores > Funções e selecione Importar função. 2 Na página Importar função, selecione Procurar e localize o arquivo XML salvo anteriormente. Selecione Carregar para carregar a função administrativa para a lista de Categorias para validação. 3 A Workspace ONE UEM executa uma série de verificações de validação, incluindo uma verificação de arquivo.xml, importação de verificação da permissão de função, verificação do nome da função duplicada e verificação da descrição e nome em branco. 4 Confira as configurações do recurso e verifique as especificações da função importada selecionando Categorias específicas no painel esquerdo. 5 Você também pode editar os recursos e o Nome e a Descrição da função importada de acordo com suas necessidades. Se quiser manter a função existente e a importada, renomeie a função administrativa existente antes de importar a nova função. a b c Se a função que você está importando tiver o mesmo nome de uma função existente em seu ambiente, uma mensagem é exibida. Existe uma função com esse nome neste ambiente. Gostaria de substituir a função existente? é exibida. Se você selecionar Não, a função existente no seu ambiente permanecerá intocada e a importação da função é cancelada. Se você selecionar Sim, seu PIN de segurança será solicitado e, se informado corretamente, substituirá a função existente pela função importada. 6 Selecione Salvar para aplicar a função importada ao novo ambiente. Exportar funções administrativas Você pode exportar funções de administrador como um arquivo XML e importar esses arquivos em outro ambiente, tornando as funções administrativas um recurso portátil, que pode economizar tempo. Procedimentos 1 Vá até Contas > Administradores > Funções. VMware, Inc. 131

132 2 Marque a caixa de seleção ao lado da função de administrador que você deseja exportar. Fazer isso exibe os botões de ações acima da lista de função. Se você selecionar mais de uma função administrativa, a ação Exportar não é disponibilizada. 3 Selecione Exportar e salve o arquivo XML em um local em seu dispositivo. Copiar função Você pode economizar tempo fazendo uma cópia de uma função existente. Você também pode alterar as permissões da cópia e salvá-la com um nome diferente. Procedimentos 1 Marque a caixa de seleção ao lado da função que deseja copiar. 2 Selecione o botão Copiar. A página Copiar função é exibida. 3 Faça suas alterações de Categoria, Nome e Descrição. 4 Quando terminar, selecione Salvar. Renomear uma função do administrador Se você estiver importando uma função de administrador com o mesmo nome que uma função do administrador existente, poderá ser uma boa ideia renomear a função existente primeiro. Renomear uma função permite manter as funções antiga e nova no mesmo ambiente. Procedimentos 1 Vá para Contas > Administradores > Funções e selecione o ícone Editar ( deseja renomear. A página Editar função é exibida. ) da função que 2 Edite o Nome da função e, opcionalmente, a Descrição. 3 Selecione Salvar. Problemas de controle de versão na importação e exportação de funções do administrador Pode haver casos em que uma função exportada é importada para outro ambiente que está executando uma versão anterior do Workspace ONE UEM. Essa versão anterior pode não ter os mesmos recursos e permissões que compõem a função importada. Nesses casos, o Workspace ONE UEM notifica você com a mensagem a seguir. Há algumas permissões nesse ambiente que não existem no seu arquivo importado. Reveja e corrija as permissões destacadas antes de salvar. Use a página de listagem da categoria para desmarcar as permissões destacadas. Essa ação permite que você salve a função no novo ambiente. VMware, Inc. 132

133 Indicador ler/editar em categorias para funções do administrador Há um indicador visual na seção Categorias que reflete a seleção atual de somente leitura, edição ou uma combinação de cada um. Esse indicador informa o que falta na configuração e solicita que você abra e examine as configurações individuais da subcategoria. O indicador apresenta um ícone circular localizado do lado direito da lista de categoria que informa o seguinte. Todas as opções nessa categoria permitem edição (que, por definição, significa que também oferecem o recurso de somente leitura). A maioria das configurações de categoria tem a capacidade de edição ativada, mas com pelo menos uma subcategoria de edição desativada. Todas as configurações de categoria têm a opção somente leitura ativada (editar desativada). A maioria das configurações é somente leitura, mas as edições são ativadas pelo menos para uma subcategoria. Atribuir ou editar a função de um administrador Você pode atribuir funções a um administrador que ampliem as capacidades dele no Workspace ONE UEM Console. Você também pode editar funções existentes, possivelmente limitando ou expandindo seus recursos. Procedimentos 1 Vá para Contas > Administradores > Exibição de lista, localize a conta do administrador e selecione o ícone Editar no cluster de botões de Ação. A página Adicionar/Editar administrador é exibida. 2 Selecione a aba Funções. Selecione Adicionar função. 3 Digite os detalhes do Grupo organizacional e da Função para cada função que for adicionada. 4 Selecione Salvar. Exibir os recursos de uma função de administrador Visualizar a lista de recursos (ou permissões) pode ajudar a criar funções administrativas, que determinam o que um administrador pode e não pode fazer no UEM Console. Você pode usar o Modo de exibição de lista de funções administrativas para ver todos os recursos de qualquer função administrativa, incluindo funções personalizadas e padrão. Pré-requisitos As funções são compostas de centenas de recursos, ou permissões, que atuam como acesso (edição ou somente leitura) a um recurso específico dentro do UEM Console. Para ver os recursos de uma função do administrador, siga estas etapas. VMware, Inc. 133

134 Procedimentos 1 Vá até Contas > Administradores > Funções. 2 Localize a função do administrador para a qual você gostaria de ver as permissões. Se você tiver uma grande biblioteca de funções do administrador, use a barra Pesquisar lista no canto superior direito para reduzir a listagem. 3 Selecione o nome da função, que é um link, e a tela Ver função, que contém todas as permissões associadas à função, é exibida. As categorias da função estão listadas no painel esquerdo. Pode haver subcategorias da função, que você pode expandir para visualizar. Para obter mais informações sobre os indicadores visuais de ler/editar de cor laranja vistos nesta tela, consulte Indicador ler/editar em categorias para funções do administrador. Selecione uma categoria específica no painel esquerdo, e a categoria, o nome e a descrição de cada recurso serão exibidos no painel direito. O link Detalhes no lado direito revela cada recurso específico de edição e somente leitura dentro do UEM Console. Você pode usar a caixa Pesquisar recursos para localizar um recurso específico pelo nome. Por exemplo, se você deseja criar uma função do administrador que só pode adicionar uma etiqueta a um dispositivo, digite a palavra etiqueta na caixa Pesquisar recursos e pressione a tecla Enter. Todos os recursos que contêm a string etiqueta são exibidos no painel direito. Isso torna mais fácil localizar o recurso específico relacionado a etiquetas e atribuí-lo a uma função. 4 Ao terminar de monitorar as funções do administrador, selecione Fechar. Próximo passo Você pode aplicar essas etapas para criar suas próprias funções em Criar função de administrador. Ferramenta de comparação de funções do administrador Ao criar uma nova função de administrador, muitas vezes será mais fácil modificar uma função existente do que criar uma função administrativa do zero. A ferramenta Comparar funções facilita esse processo. A ferramenta Comparar funções permite que você veja apenas as diferenças entre duas funções de administrador, o que torna o processo de comparação razoavelmente simples. Como alternativa, você pode comparar duas funções de administrador para confirmar e verificar todas as semelhanças conhecidas, que podem ser igualmente importantes. Comparar funções administrativas Você pode comparar as configurações de permissão de quaisquer duas funções de administrador em nome da precisão ou para confirmar suas diferenças propositais de configuração. Procedimentos 1 Vá até Contas > Administradores > Funções. VMware, Inc. 134

135 2 Localize quaisquer duas das funções listadas, incluindo as que aparecem em páginas diferentes e selecione-as. 3 Selecione Comparar. A página Comparar funções exibe uma lista de categorias. Selecionar uma categoria específica à esquerda preenche todos os dados da categoria à direita. O botão Comparar não aparecerá se você tiver menos ou mais que duas funções selecionadas. As subcategorias da função podem ser visualizadas no painel à direita clicando no link Detalhes, no lado direito. Recolha a subcategoria de função clicando no link Ocultar. Há uma categoria Todos no painel à esquerda que, quando selecionada, exibe todas as categorias principais na página Comparar funções. Quando você digita um parâmetro de busca na barra Pesquisar recursos, o painel à direita exibe apenas as categorias correspondentes e a lista de recursos (também chamados de permissões). A função de pesquisa é permanente. Essa persistência significa que se você tiver um parâmetro na barra Pesquisar recursos, selecionar a categoria Todos exibe apenas as categorias e recursos correspondentes. A função de pesquisa é permanente, mesmo depois de selecionar recursos específicos e fazer as seleções Ler e Editar. Por padrão, somente as categorias e subcategorias com configurações diferentes são exibidas. Você pode exibir todas as permissões, incluindo as permissões idênticas nas duas funções selecionadas ativando a caixa de seleção Mostrar todas as permissões. VMware, Inc. 135

136 Se você selecionar duas funções com permissões idênticas em todos os aspectos, o Console exibirá esta mensagem no topo da página Comparar funções. "Não há diferenças nas permissões entre as duas funções.". Próximo passo Opcionalmente, você também pode selecionar Exportar para criar um arquivo CSV (valores separados por vírgula), visualizável no Excel. Esse arquivo CSV contém todas as configurações da Função 1 e da Função 2, o que permite analisar as diferenças entre elas. VMware, Inc. 136

137 Grupos 5 O Workspace ONE UEM usa vários tipos diferentes de grupos para gerenciar usuários, dispositivos, aplicativos, conteúdo e muito mais. Este capítulo inclui os seguintes tópicos: atribuição Grupos organizacionais Grupos inteligentes Grupos de usuários Grupos de administradores Exibir atribuições atribuição Grupos de atribuições é um termo genérico usado para categorizar determinadas estruturas de agrupamento de gerenciamento dentro da Workspace ONE UEM. Grupos organizacionais, Grupos inteligentes e Grupos de usuários têm um conjunto de recursos completos e propriedades cada e são distintos um do outro. Um elemento que eles têm em comum é a forma como os grupos podem ser usados para atribuir conteúdo aos dispositivos de usuários facilmente. Os grupos de atribuições permitem que um administrador gerencie essas três estruturas de agrupamento de um único local. Vá até Grupos e configurações > Grupos > Grupos de atribuição. VMware, Inc. 137

138 Você pode usar o Modo de exibição de lista para atribuir vários grupos organizacionais, grupos inteligentes e grupos de usuários para um ou mais perfis, aplicativos públicos e políticas. Exibição em lista do grupo de atribuição O Modo de exibição de lista de grupos de atribuições organiza três tipos de grupos com a função de atribuir conteúdo aos dispositivos: grupos organizacionais, grupos inteligentes e grupos de usuários. Você pode criar uma listagem apenas de grupos que tenha interesse em ver. Navegue até para Grupos e configurações > Grupos > Grupos de atribuição, e a Exibição da lista de grupos de atribuições é exibida. Os únicos grupos de atribuição listados para visualização são aqueles gerenciados pelo OG no qual o administrador está atualmente. Classificar por colunas Você pode classificar a listagem de grupos por colunas individuais selecionando o cabeçalho da coluna. Filtrar grupos Você pode filtrar grupos por Tipo de grupo (grupos inteligentes, grupos organizacionais e grupos de usuários). Você pode filtrar grupos por como ou se foram Atribuídos (atribuições, exclusões, todos e nenhum). Selecionar links na lista de grupos de atribuições Quatro colunas na página Listagem de grupos de atribuições servem uma função específica e precisam de menção especial. A coluna de Grupos apresenta um link para cada Grupo inteligente. Você pode selecionar esse link para editar o grupo inteligente. VMware, Inc. 138

139 Se você selecionar valores diferentes de zero na coluna Atribuições, a página Visualizar atribuições será exibida, mesmo para grupos organizacionais e grupos de usuários atribuídos. Essa função permite que você exiba e confirme as atribuições de perfis, aplicativos públicos e políticas de conformidade. Para obter mais informações, consulte Exibir atribuições. Se você selecionar valores diferentes de zero na coluna Exclusões, a página Visualizar atribuições será exibida, mesmo para grupos organizacionais e grupos de usuários excluídos. A página Exibir atribuições permite visualizar e confirmar exclusões de perfis, aplicativos públicos e políticas de conformidade. Se o número da coluna Dispositivos estiver selecionado, a página Modo de exibição de lista de dispositivos será exibida. O Modo de exibição de lista de dispositivos contém a lista de todos os dispositivos no grupo organizacional, grupo inteligente ou grupo de usuários selecionado. Para obter mais informações, consulte os documentos de gerenciamento de dispositivos do Workspace ONE UEM. Atribuir um ou mais grupos de atribuições Você pode atribuir grupos a perfis de dispositivos, aplicativos públicos e políticas de conformidade. Você também pode atribuir vários grupos de cada tipo individual (organizacional, inteligente ou usuário) em uma só sessão. Para atribuir aplicativos públicos, é possível configurar políticas de aplicativos distintas para diferentes grupos de usuários. Para obter mais informações, consulte Utilizar implantação flexível para atribuir aplicativos no Manual de gerenciamento de aplicativos móveis do VMware Workspace ONE UEM, que pode ser encontrado em docs.vmware.com. Procedimentos 1 Vá até Grupos e configurações > Grupos > Grupos de atribuição. VMware, Inc. 139

140 2 Selecione um ou mais grupos na lista e selecione Atribuir acima do cabeçalho da coluna. 3 A página Atribuir exibe os Grupos organizacionais, os Grupos inteligentes e os Grupos de usuários que você selecionou. 4 Atribua-os iniciando uma busca por um Perfil, um Aplicativo público e Política de conformidade. Você pode escolher até 10 perfis, até 10 aplicativos públicos e uma única política de conformidade. Você só pode escolher várias entidades de um único tipo por sessão. Por exemplo, você pode atribuir vários grupos a até 10 perfis diferentes em um único comando. No entanto, não pode, em um comando único, atribuir vários grupos a 10 perfis, 10 aplicativos e uma política de conformidade. Se tiver várias entidades de vários tipos, você deverá realizar sessões de atribuição separadas para cada tipo (perfis, aplicativos e políticas). 5 Selecione Próximo para exibir a página de Exibir atribuição do dispositivo que você pode usar para confirmar a atribuição de grupos. 6 Selecione Salvar e publicar para finalizar a atribuição. Grupos organizacionais Pense nos grupos organizacionais como ramificações individuais em uma árvore genealógica, com cada folha como um usuário do dispositivo. O Workspace ONE UEM identifica cada folha e estabelece sua posição na árvore genealógica usando grupos organizacionais (OG). A maioria dos clientes faz com que as árvores OG se pareçam com sua hierarquia corporativa: executivos, gerenciamento, operações, vendas e assim por diante. VMware, Inc. 140

141 Você também pode estabelecer grupos organizacionais baseados nos recursos e conteúdo do Workspace ONE UEM. Você pode acessar grupos organizacionais em Grupos e configurações > Grupos > Grupos organizacionais > Modo de exibição de lista ou por meio do menu suspenso do grupo organizacional. Construa grupos para entidades dentro da sua organização (Gerenciamento, Assalariados, De hora em hora, Vendas, Varejo, RH, Executivos e assim por diante). Personalize hierarquias com níveis principais e herdeiros (por exemplo, 'Assalariados' e 'Por hora' como herdeiro sob 'Gerenciamento'). Faça a integração com várias infraestruturas internas no nível da camada. Delegue acesso baseado na função e gerenciamento com base em uma estrutura multiempresa. Características dos grupos organizacionais Grupos organizacionais podem acomodar entidades funcionais, geográficas e organizacionais e ativar uma solução multiempresa. Dimensionamento Suporte flexível para um crescimento exponencial. Multiempresa Crie grupos que funcionam como ambientes independentes. Herdar Otimize o processo de configuração inicial determinando que os grupos herdeiros recebam as configurações dos grupos principais. Usando o exemplo de menu suspenso de grupo organizacional, é possível definir perfis, recursos, aplicativos e outras configurações do MDM em nível de "Empresa mundial". As configurações podem ser herdadas pelos grupos organizacionais herdeiros, como Ásia/Pacífico e EMEA ou até mesmo para netos Austrália > Divisão de fabricaçãoou netos Austrália > Divisão de operações > Corporativo. VMware, Inc. 141

142 Configurações entre grupos organizacionais irmãos, como Ásia/Pacífico e EMEA aproveitam a natureza multiempresa dos GOs, mantendo essas configurações separadas uma da outra. No entanto, esses dois GOs irmãos herdam configurações do seu GO principal, Empresas mundiais. Você também pode substituir as configurações de um nível mais baixo e alterar somente parte das configurações. Essas configurações podem ser alteradas ou executadas em qualquer nível. Considerações para configurar grupos organizacionais Antes de configurar a sua hierarquia de grupo organizacional (GO) no console da Workspace ONE UEM Console, decida a estrutura do grupo. A estrutura do grupo permite que você faça melhor uso das configurações, aplicativos e recursos. Administração delegada Você pode delegar a administração de subgrupos para administradores de níveis inferiores, limitando sua visibilidade somente para os grupos organizacionais inferiores. Administradores corporativos podem acessar e visualizar tudo no ambiente. O gerente de Los Angeles tem acesso ao GO LA e pode gerenciar somente esses dispositivos. O gerente de Nova York tem acesso ao GO NY e pode gerenciar somente esses dispositivos. Configurações do sistema As configurações podem ser aplicadas a diferentes níveis da hierarquia do grupo organizacional e herdadas. Elas também podem ser desfeitas em qualquer nível. As configurações incluem opções de inscrição, métodos de autenticação, configurações de privacidade e identidade visual. Empresa geral estabelece que a inscrição deve ser feita no servidor do Active Directory da empresa. Dispositivos de driver substituem a autenticação principal e permitem a inscrição baseada em token. Os dispositivos de depósito herdam as configurações do Active Directory do grupo principal. Caso de uso do dispositivo Um perfil pode ser atribuído a um ou a vários grupos organizacionais. Os dispositivos nesses grupos poderão, assim, receber o perfil. Consulte a seção Perfis para obter mais informações. Considere configurar dispositivos utilizando perfis, aplicativos e conteúdo de acordo com atributos como marca, modelo do dispositivo, tipo de proprietário ou grupos de usuários, antes de criar grupos organizacionais. Os dispositivos dos Executivos não podem instalar aplicativos e têm acesso à rede Wi-Fi de vendas. Os dispositivos de Vendas têm permissão para instalar aplicativos e acesso à VPN. Configuração Substituir x Herdar para grupos organizacionais A hierarquia da estrutura do grupo organizacional (OG) que você faz determina quais OGs são herdeiros e quais são os pais. Os OGs herdeiros herdam as configurações de seus grupos organizacionais principais, porém você pode optar por substituir essa herança. VMware, Inc. 142

143 Cada página de configurações do sistema aplica suas configurações de acordo com dois tipos de opções de herança/substituição, nas quais a hierarquia do grupo organizacional está envolvida: 1) Configuração atual e 2) Permissão de herdeiro. O OG ao qual as configurações são aplicadas é o OG em que você está atualmente. Por exemplo, a página de configurações Branding encontrada ao navegar até Grupos e configurações > Todas as configurações > Sistema > Branding controla todas as imagens de fundo personalizadas, logotipos e esquemas de cores para o OG em exibição no menu suspenso do grupo organizacional. Mude os OGs, e agora você tem a opção de importar uma nova imagem de fundo, um novo logotipo, um esquema de cores diferente, tudo específico para esse OG. Esta opção é ativada alterando a herança dos OGs na página de configurações. Permissão para herdeiro Pense na definição de permissão para herdeiros como a atitude do pai-mãe em relação ao OG herdeiro. Há três configurações diferentes para permissão de herdeiro: Herdar ou substituir, Somente herdar e Somente substituir. A configuração Herdar ou substituir simplesmente significa que o pai não tem preferência pelas permissões do herdeiro. Quando a configuração de permissão para herdeiros de um pai é Herdar ou substituir, a configuração atual do OG herdeiro determina se eles substituem ou herdam as configurações. Por padrão, todas as permissões de herdeiros são definidas como Herdar ou substituir. Uma configuração de permissão de herdeiro de Somente herdar no pai força a herança em todos os herdeiros. Isso significa que todos os herdeiros têm as mesmas configurações que os pais. Uma configuração de permissão de herdeiro de Somente substituir remove o efeito de herança em todos os OGs herdeiros, exigindo que você defina configurações específicas para esse OG herdeiro. As configurações de permissão para herdeiros afetam apenas herdeiros um nível abaixo. Essas configurações não afetam os netos ou os OGs mais abaixo. Configuração atual Se a permissão de herdeiro é a atitude dos pais em relação ao herdeiro, a configuração atual de um GO é a atitude do herdeiro em relação ao pai. A configuração atual de um OG pode ser somente Herdar ou Substituir. Uma configuração atual de Herdar significa que o OG herdeiro aceita todas as configurações do OG pai. Selecione uma configuração atual de Substituir, e o herdeiro rejeita o pai e fica sozinho. Isso significa que você pode fazer novas configurações para o herdeiro. Você pode alterar a configuração atual de um OG somente se a configuração de permissão para o herdeiro do OG pai seja Herdar ou substituir. Alterar as configurações de permissão Você não pode alterar a configuração atual de um herdeiro se a configuração de permissão de herdeiro do pai não permitir. Por exemplo, se a configuração de permissão para herdeiros do MomandDadOG for Somente substituir, você não pode alterar a configuração atual de JuniorOG para Herdar. Em suma, as configurações de permissão para herdeiros do OG pai têm precedência. VMware, Inc. 143

144 Quando você altera as configurações atuais de um herdeiro de Substituir para Herdar, alterar a configuração Permissão para herdeiro do pai para Somente herdar tem o efeito de bloquear a configuração de permissão para herdeiros do OG herdeiro de tal forma que você não pode alterá-lo. Esse comportamento não se aplica se a configuração do OG herdeiro nunca for substituída. A solução alternativa para esse comportamento é que você deve alterar as configurações de permissão para herdeiro no OG pai de volta para Herdar ou substituir, desbloqueando a configuração Permissão para herdeiro do OG herdeiro. A estratégia maior é planejar com antecedência, definindo as configurações de herança e substituição para os níveis de OG que fazem sentido, considerando a estrutura de hierarquia desejada. Herança, multiempresa e autenticação O conceito de substituir as configurações com base em cada grupo organizacional, quando combinado com as características do grupo organizacional (GO), como herança e multiempresa, pode ser combinado ainda mais com a autenticação. Essa combinação possibilita configurações flexíveis. O modelo de grupo organizacional a seguir ilustra essa flexibilidade. Nesse modelo, os Administradores, geralmente em posse de maior permissões e funcionalidade, são posicionados na parte superior desse nível de GO. Esses administradores fazem login em seu GO usando SAML específico para administradores. Usuários corporativos são subservientes aos administradores, por isso seu GO é organizado como seus herdeiros. Sendo usuários e não administradores, seu login SAML não pode herdar a configuração de administrador. Portanto, a configuração SAML dos usuários corporativos é substituída. Usuários de BYOD diferem de usuários corporativos. Dispositivos usados pelos usuários BYOD pertencem aos próprios usuários e provavelmente contêm mais informações pessoais. Portanto, esses perfis de dispositivo podem exigir configurações um pouco diferentes. Usuários BYOD podem ter contratos de termos de uso diferentes. Dispositivos BYOD podem precisar de parâmetros diferentes para apagar dados corporativos. Por todos esses motivos, entre outros, pode fazer sentido que os usuários BYOD façam login em GO separados. E, embora não sejam subservientes a usuários corporativos pela hierarquia da empresa, colocar os usuários de BYOD como herdeiros dos usuários corporativos tem suas vantagens. Essa disposição significa que os usuários de BYOD herdam as configurações aplicáveis a TODOS os dispositivos de usuários corporativos simplesmente aplicando-os aos GO de usuários corporativos. A herança também se aplica a configurações de autenticação SAML. Como os usuários de BYOD são herdeiros dos usuários corporativos, os usuários de BYOD herdam seu SAML para as configurações de autenticação de usuários. VMware, Inc. 144

145 Um modelo alternativo é tornar os usuários de BYOD irmãos dos usuários corporativos. Com esse modelo alternativo, o seguinte é possível: Todos os perfis de dispositivo destinados a uso global em TODOS os dispositivos, incluindo políticas de conformidade e outras configurações de dispositivo globalmente aplicáveis são aplicadas aos dois grupos organizacionais em vez de um. O motivo para essa necessidade de duplicação é porque a herança de usuários corporativos para usuários BYOD já não é um fator neste modelo. Usuários corporativos e usuários de BYOD estão no mesmo nível e, portanto, não há nenhuma herança. Outra substituição SAML deve ser aplicada aos usuários BYOD. Essa substituição é necessária porque o sistema presume estar herdando as configurações de SAML do usuário principal Administradores. Tal pressuposto é um erro, porque os usuários de BYOD não são administradores e não têm o mesmo acesso e permissões. Usuários BYOD continuam a ser manipulados separadamente dos usuários corporativos. Esse modelo alternativo significa que eles continuam a aproveitar suas próprias configurações de perfil do dispositivo. Qual fator determina qual modelo é o melhor? Compare os números de configurações de dispositivo a serem aplicadas globalmente com o número de configurações de dispositivo específicas por grupo. Basicamente, se você deseja tratar todos os dispositivos geralmente da mesma maneira, então considere tornar os usuários BYOD herdeiros dos usuários corporativos. Se for mais importante manter configurações separadas, então considere tornar os usuários BYOD irmãos dos usuários corporativos. Para obter mais informações, consulte Apagar dados corporativos de dispositivos BYOD. Para obter um exemplo detalhado de inscrições envolvendo a herança de GO, consulte Integração de serviços de diretório e restrições de inscrição. Criar grupos organizacionais Você deve criar um grupo organizacional (GO) para cada entidade de negócios onde os dispositivos estão implementados. Compreenda que o GO em que você está atualmente é o principal em relação ao GO herdeiro que você está prestes a criar. Procedimentos 1 Vá para Grupos e configurações > Grupos > Grupos organizacionais > Detalhes. VMware, Inc. 145

146 2 Selecione a aba Adicionar grupo organizacional herdeiro e conclua as seguintes configurações. Configuração Nome ID de grupo Tipo País Idioma Indústria do cliente Fuso horário Descrição Insira um nome de exibição para o grupo organizacional (GO) herdeiro. Use apenas caracteres alfanuméricos. Não use caracteres especiais. Insira um identificador para o GO para os usuários utilizarem durante o login do dispositivo. As IDs de grupo são utilizadas durante a inscrição para associar dispositivos ao GO apropriado. Certifique-se de que os usuários que compartilham dispositivos recebam a ID do grupo, já que pode ser exigida para login do dispositivo dependendo da sua configuração de dispositivos compartilhados. Se você não estiver em um ambiente on-premise, a ID de grupo identificará seu grupo organizacional em todo o ambiente SaaS compartilhado. Por esse motivo, todas as IDs de grupo devem ter nomes exclusivos. Selecione o tipo de GO pré-configurado que reflete a categoria do GO herdeiro. Selecione o país onde está localizado o GO. Selecione o idioma do país selecionado. Essa configuração só está disponível quando o Tipo é Cliente. Selecione na lista de Indústrias do cliente. Selecione o fuso horário para a localização do grupo organizacional. 3 Selecione Salvar. Funções dos tipos de grupo organizacional O tipo de um grupo organizacional pode afetar quais configurações são disponibilizadas para um administrador. Global o grupo organizacional de nível mais elevado. Geralmente, esse grupo é chamado Global e tem o tipo Global. Para ambientes SaaS hospedados, você não conseguirá acessar esse grupo. Clientes de instalação local podem ativar o log detalhado nesse nível. Parceiro o grupo organizacional de nível superior para parceiros (revendedores terceirizados do Workspace ONE UEM). Cliente O grupo organizacional de nível superior de cada cliente. Um grupo organizacional Cliente não pode ter grupos organizacionais herdeiros/principais do tipo Cliente. Algumas configurações só podem ser feitas em um grupo do tipo Cliente. Essas configurações são transferidas para as organizações inferiores. Alguns exemplos dessas configurações incluem domínios de de detecção automática, configurações do Programa de compra por volume, configurações do Programa de inscrição de dispositivos (anterior ao AirWatch 8.0) e conteúdo pessoal. Contêiner O tipo de grupo organizacional padrão. Todos os grupos organizacionais abaixo de um grupo organizacional Cliente devem ser do tipo contêiner. Você pode ter contêineres entre os grupos Parceiro e Cliente. VMware, Inc. 146

147 Cliente potencial possíveis clientes. Semelhante a um grupo organizacional de cliente. Pode ter funcionalidade reduzida em comparação à de um grupo de clientes de fato. Há outros tipos de grupos organizacionais, como Divisão, Região e a capacidade de definir seu próprio tipo de grupo organizacional. Esses tipos não têm nenhuma característica especial, funcionam de forma idêntica ao tipo de grupo organizacional Contêiner. Adicionando dispositivos em Global O grupo organizacional (GO) global é projetado para abrigar Cliente e outros tipos de GOs. Devido à forma como funciona a herança, se você adicionar dispositivos a Global e configurar Global com configurações destinadas a afetar esses dispositivos, você também afetará todos os GOs de cliente abaixo. Isso minimiza os benefícios de multiempresa e herança. Para obter mais informações, consulte Motivos pelos quais você não deve inscrever dispositivos em global. Restrições do grupo organizacional Se você tentar definir uma configuração limitada ao grupo organizacional (GO), as páginas de configuração em Grupos e configurações > Todas as configurações notificarão sobre a limitação. As seguintes restrições aplicam-se à criação de grupos organizacionais de nível de Cliente. Em um ambiente de software como serviço (SaaS), você não pode criar grupos organizacionais de cliente aninhados. Em um ambiente no local, você pode criar grupos organizacionais de cliente aninhados, mas somente se sua função administrativa for Administrador do sistema. Comparação das configurações de grupos organizacionais No papel de administrador, você poderá achar útil comparar as configurações de um grupo organizacional (GO) com as de outro. Ao comparar as configurações do GO, os seguintes itens são disponibilizados. Carregue os arquivos XML que contêm as configurações de grupos organizacionais das diferentes versões de software do Workspace ONE UEM. Elimine a possibilidade de uma diferença na configuração que cause problemas durante a migração da versão. Filtre os resultados da comparação para exibir apenas as configurações que tenha interesse em comparar. VMware, Inc. 147

148 Pesquise por uma única configuração por nome com a função Pesquisar. O recurso de comparação de grupo organizacional está disponível apenas para clientes no local. Comparar dois grupos organizacionais Você pode comparar configurações de um grupo organizacional com outro para mitigar problemas de migração de versão. Um exemplo de uma migração de versão ocorre quando o servidor de Teste de aceitação do usuário (TAU) passa por upgrade, é configurado e testado, e você pode comparar as configurações do TAU com as configurações de produção diretamente. Procedimentos 1 Vá até Grupos e configurações > Todas as configurações > Administrador > Gerenciamento de configurações > Comparação das configurações. 2 Selecione um grupo organizacional em seu ambiente no menu suspenso à esquerda (marcado com o número 1). Como alternativa, carregue o arquivo de configurações XML selecionando o botão Carregar e escolhendo um arquivo XML de configuração do grupo organizacional exportado. 3 Selecione o grupo organizacional no menu suspenso à direita (marcado com o número 2). 4 Exiba uma lista de todas as configurações para os dois grupos organizacionais selecionados usando o botão Atualizar. As diferenças entre os dois conjuntos de GO são automaticamente realçadas. Você pode marcar a caixa Mostrar apenas as diferenças. Essa caixa de seleção exibirá somente as configurações que se aplicam a um grupo organizacional, mas não a outro. Configurações individuais que estão em branco (ou não especificadas) vão aparecer na lista de comparação como "NULL". Grupos inteligentes Grupos inteligentes são grupos personalizáveis que determinam quais plataformas, dispositivos e usuários recebem um aplicativo, livro, política de conformidade, perfil de dispositivo ou provisão atribuído. Quando você cria grupos organizacionais, normalmente os baseia na estrutura corporativa interna: localização geográfica, unidade de negócios e departamento. Por exemplo, Vendas Norte, RH Sul. Grupos inteligentes, no entanto, oferecem a flexibilidade de entregar conteúdo e configurações por plataforma do dispositivo, modelo, sistema operacional, etiqueta ou grupo de usuários. É possível distribuir conteúdo para usuários individuais em vários grupos organizacionais. A criação de grupos inteligentes se torna possível quando você carrega conteúdo e define configurações. No entanto, sua natureza modular significa que também é possível criá-los a qualquer momento, o que os disponibiliza para uma futura atribuição. VMware, Inc. 148

149 O principal benefício dos grupos inteligentes é que eles podem ser utilizados novamente. Pode ser intuitivo criar uma nova atribuição toda vez que adicionar conteúdo ou definir um perfil ou uma política. Em vez disso, se você definir destinatários para grupos inteligentes apenas uma vez, você pode simplesmente incluir esses grupos inteligentes em sua definição de conteúdo. Criar e atribuir um Grupo inteligente Você pode criar um grupo inteligente definido por plataforma, proprietário, grupo de usuários, versão do sistema operacional, modelo, etiqueta do dispositivo, OEM empresarial e até mesmo dispositivos individuais por nome amigável. Por exemplo, você pode criar um grupo inteligente que contém todos os dispositivos de funcionários iphone Touch com versão ios anteriores a Adicione a esse mesmo grupo inteligente todos os dispositivos Android, HTC versão 2.0 com sistema operacional versão 4.1 ou superior. Fora desse grupo, você pode excluir dispositivos no grupo de usuários "tempo integral". Para esse pool de *dispositivos altamente personalizado, você pode atribuir 10 perfis de dispositivo, 10 aplicativos ou uma política de conformidade. *Algumas restrições podem ser aplicadas devido à natureza de várias plataformas desse pool de dispositivo personalizado. Por exemplo, pode haver aplicativos que você deseja atribuir e que não oferecem uma versão Android. Você pode atribuir um grupo inteligente de duas maneiras. Primeiro, no Modo de exibição de lista de grupos de atribuições após o grupo inteligente ser salvo. Segundo, a configuração de grupos de atribuições que se encontra nas telas de criação de produto de vários dispositivos. Criar um grupo inteligente Antes de atribuir um grupo inteligente a um aplicativo, livro, política de conformidade, perfil de dispositivo ou provisão de produto, primeiro é preciso criar um. Procedimentos 1 Escolha o Grupo organizacional (GO) aplicável, ao qual seu novo grupo inteligente se aplica e de onde será gerenciado. Selecionar um GO é opcional. 2 Vá para Grupos e configurações > Grupos > Grupos de atribuições e selecione Adicionar Grupo inteligente. 3 Digite um Nome para o grupo inteligente. 4 Opcionalmente, você pode ativar a Visualização do dispositivo para ver quais dispositivos estão incluídos no grupo inteligente criado. Essa visualização do dispositivo é desabilitada por padrão para melhorar o desempenho. 5 Configure o tipo de grupo inteligente. Critérios VMware, Inc. 149

150 A opção Critérios funciona melhor para grupos com grandes números de dispositivos (mais de 500) que recebem atualizações gerais. Esse método funciona melhor porque os detalhes inerentes a esses grupos podem alcançar todos os endpoints da sua frota móvel. Dispositivos ou usuários A opção Dispositivos ou usuários funciona melhor para grupos com um pequeno número de dispositivos (500 ou menos), que recebe atualizações esporádicas, embora importantes. Esse método funciona melhor por causa do nível granular com o qual você pode selecionar membros do grupo. VMware, Inc. 150

151 A alternância entre Critérios e Dispositivos ou usuários apaga todas as entradas e seleções que você tenha feito. a No tipo Critérios, selecione os parâmetros de qualificação a serem adicionados ao grupo inteligente. Se nenhuma seleção for feita em qualquer configuração, então esse filtro não será aplicado nos critérios. Configuração Grupo organizacional Grupo de usuários Propriedade Etiquetas Plataforma e sistema operacional Modelo Versão OEM empresarial Tipo de gerenciamento Categoria de inscrição Descrição Esta opção de critérios filtra dispositivos pelos grupos organizacionais selecionados. Você pode selecionar mais de um GO. Esta opção de critérios filtra dispositivos pelos grupos de usuários selecionados. Você pode selecionar mais de um grupo de usuários. Esta opção de critérios filtra dispositivos pelo tipo de propriedade selecionado. Esta opção de critérios filtra dispositivos de acordo com o jeito que foram marcados. Você pode selecionar mais de uma etiqueta. Esta opção de critérios filtra dispositivos pela plataforma e pelo SO selecionados. Você pode selecionar várias combinações de cada um. Embora a plataforma seja um critério dentro de um grupo inteligente, a plataforma configurada no perfil do dispositivo ou na política de conformidade sempre terá precedência sobre a plataforma do grupo inteligente. Por exemplo, se um perfil do dispositivo for criado para a plataforma ios, ele só será atribuído aos dispositivos ios, mesmo que o grupo inteligente inclua dispositivos Android. Esta opção de critérios filtra dispositivos pelo modelo. Modelos individuais exibidos são baseados nas seleções feitas em Plataforma e sistema operacional. Você pode selecionar (ou excluir) opções da lista de modelos. Esta opção de critérios filtra dispositivos pela versão do fabricante do equipamento original. Você pode selecionar mais de um OEM. Filtre os dispositivos de acordo com a maneira como o dispositivo é gerenciado. Filtre os dispositivos de acordo com a maneira como o dispositivo está inscrito. VMware, Inc. 151

152 Configuração Adições Exclusões Descrição Esta opção de critérios adiciona dispositivos e usuários individuais que não foram incluídos nos critérios de filtro. Você pode selecionar mais de um dispositivo e mais de um usuário. Esta opção de critérios exclui dispositivos individuais, usuários individuais e grupos de usuários que foram incluídos nos critérios de filtro. Você pode excluir mais de um dispositivo, mais de um usuário e mais de um grupo de usuários. b Use o tipo Dispositivos ou usuários para atribuir conteúdo e configurações para casos especiais fora dos critérios gerais de mobilidade empresarial. Digite o apelido do dispositivo em Dispositivos e o nome de usuário (nome ou sobrenome) em Usuários. É preciso adicionar pelo menos um dispositivo ou usuário, ou não será possível salvar o grupo inteligente. Configuração Dispositivos Usuários Descrição Adicione um dispositivo a esse grupo inteligente digitando o apelido do dispositivo. Você pode adicionar mais de um dispositivo usando esse método. Adicione usuários a esse grupo inteligente digitando o nome de usuário, o nome ou o sobrenome. Você pode adicionar mais de um usuário usando esse método. 6 Selecione Salvar ao concluir. Atribuição de Grupo inteligente Depois de criar o grupo inteligente que representa os usuários e seus dispositivos e antes que possa entrar em vigor, você deve atribuí-lo a pelo menos um produto de dispositivo. Você pode atribuir a um aplicativo, um livro, uma política de conformidade, um perfil de dispositivo ou uma provisão de produto. Há dois métodos para atribuir um grupo inteligente: atribuir um grupo inteligente ao criar o produto do dispositivo e atribuir um grupo inteligente ao gerenciar o próprio grupo inteligente. Atribuir um grupo inteligente ao criar produto do dispositivo Você pode atribuir um grupo inteligente ao adicionar ou criar um aplicativo, livro, política de conformidade, perfil de dispositivo ou aprovisionamento de produto. Procedimentos 1 Preencha o menu suspenso Grupos atribuídos. 2 Selecione um grupo inteligente no menu suspenso. Grupos inteligentes são gerenciados apenas no grupo organizacional (GO) ao qual o recurso está sendo adicionado ou a um GO herdeiro. 3 Se nenhum grupo inteligente corresponder aos critérios de atribuição desejados, selecione a opção Criar um grupo inteligente. Você pode atribuir mais de um grupo inteligente por aplicativo, livro, política de conformidade, perfil de dispositivo, canal de vídeo ou aprovisionamento de produto. 4 Selecione Salvar para incluir a atribuição. VMware, Inc. 152

153 Atribuir grupo inteligente ao gerenciar o grupo inteligente Você também pode atribuir um grupo inteligente durante o processo de gerenciamento do próprio grupo. Procedimentos 1 Visualize a lista completa de grupos inteligentes em Grupos e configurações > Grupos > Grupos de atribuição. 2 Selecione um ou mais grupos inteligentes que deseja atribuir e selecione Atribuir. A página Atribuir é exibida. Selecione o link de Grupos no topo da página Atribuir para exibir a página Grupos. Nessa página, os grupos organizacionais que gerenciam os grupos inteligentes são exibidos. Volte à página de Atribuição selecionando o botão Fechar. 3 Na página Atribuir, use a caixa de pesquisa para ver a lista de produtos elegíveis e atribuí-los para os grupos inteligentes selecionados. 4 Selecione Próximo para exibir a página Exibir atribuição do dispositivo e confirme o status de atribuição. 5 Selecione Salvar e publicar. Excluir grupos em perfis e políticas Você pode excluir grupos da atribuição de perfis de dispositivos e políticas de conformidade com tanta facilidade quanto a atribuição de grupos a esses produtos de dispositivo. Pré-requisitos Você deve ter os grupos definidos antes de iniciar esta tarefa. No mínimo, você deve conseguir criar um grupo inteligente composto pelos usuários que você deseja excluir. Essa tarefa permite criar um novo grupo inteligente em tempo real, mas, se você preferir excluir um grupo organizacional ou um grupo de usuários, consulte Criar grupos organizacionais, Adicionar grupos de usuários com integração com um diretório ou Adicionar grupos de usuários sem integração com um diretório, personalizado, respectivamente. Procedimentos 1 Ao adicionar um perfil de dispositivo ou política de conformidade, selecione Sim ao lado da configuração Exclusões para exibir a opção Grupos excluídos. 2 Na configuração Grupos excluídos, selecione os grupos que deseja excluir da atribuição deste perfil ou política. Você pode inserir as primeiras letras do grupo pelo nome, e a função de pesquisa automática mostra todos os grupos cujo nome corresponde à string digitada. Você pode selecionar um ou mais grupos organizacionais, grupos de usuários ou grupos inteligentes. Você pode criar um novo grupo inteligente selecionando o botão Criar Grupo inteligente. VMware, Inc. 153

154 3 Selecione Salvar e publicar (para perfis de dispositivos) ou Avançar (para políticas de conformidade) e continue o processo para essas tarefas. Se selecionar o mesmo grupo nas configurações de Grupos atribuídos e de Grupos excluídos, a política ou o perfil não será salvo. Você deseja que uma política de conformidade seja aplicada a todos os usuários de dispositivos, exceto executivos. Próximo passo Visualize os dispositivos afetados selecionando Visualizar atribuição de dispositivo. Modo de exibição de lista de grupos inteligentes Gerencie seus grupos inteligentes editando, atribuindo, cancelando a atribuição, excluindo e apagandoos com o Workspace ONE UEM Console. Visualize a lista completa de grupos inteligentes em Grupos e configurações > Grupos > Grupos de atribuições. Os administradores só podem ver os grupos que podem gerenciar com base em suas configurações de permissões. As colunas Grupos, Atribuições, Exclusões e Dispositivos destacam links selecionáveis para visualizar informações detalhadas. Ao selecionar links nas colunas Atribuições ou Exclusões, a tela Visualizar atribuições dos grupos inteligentes é exibida. Ao selecionar um link na coluna Dispositivos serão exibidos Dispositivos > Modo de exibição de lista, mostrando apenas os dispositivos incluídos no grupo inteligente. VMware, Inc. 154

155 Você pode Filtrar a sua coleção de grupos por Tipo de grupo (inteligente, organizacional, usuário ou todos) ou por status Atribuído. O status atribuído mostra se o grupo está atribuído, excluído, ambos ou nenhum. Você pode Atribuir um grupo inteligente diretamente da lista. Editar um Grupo inteligente Você pode editar um grupo inteligente estabelecido. Todas as edições que fizer em um grupo inteligente afetarão todas as políticas e perfis aos quais esse grupo inteligente esteja atribuído. Procedimentos 1 Vá até Grupos e configurações > Grupos > Grupos de atribuição. 2 Selecionar o ícone Editar ( ) localizado à esquerda do grupo inteligente listado que você deseja editar. Você também pode selecionar o nome do grupo inteligente na coluna Grupo. A página Editar grupo inteligente é exibida com as configurações existentes. 3 Na página Editar grupo inteligente, altere Critérios ou Dispositivos e usuários (dependendo com qual tipo o grupo inteligente foi salvo) e selecione Próximo. 4 Na página Visualizar atribuições, você pode ver quais perfis, aplicativos, livros, aprovisionamentos e políticas podem ser adicionados ou removidos dos dispositivos como resultado. 5 Selecione Publicar para salvar as edições no seu grupo inteligente. Todos os perfis, aplicativos, livros, aprovisionamento e políticas vinculados a esse grupo inteligente atualizarão as atribuições do dispositivo baseado nessa edição. O Agente de log de eventos do Console monitora as alterações feitas em grupos inteligentes, incluindo o autor das alterações, dispositivos adicionados e removidos. Este é um exemplo de uma necessidade típica de editar um grupo inteligente. Suponha que um grupo inteligente para executivos é atribuído a uma política de conformidade, perfil de dispositivo e dois aplicativos internos. Se você quiser excluir alguns dos executivos de um ou mais itens de conteúdo atribuídos, basta editar o grupo inteligente especificando Exclusões. Essa ação impede que não apenas os dois aplicativos internos sejam instalados nos dispositivos dos executivos excluídos, mas também a política de conformidade e o perfil do dispositivo. Excluir um grupo inteligente Quando você não tiver mais uso para um grupo inteligente, poderá excluí-lo. Só possível excluir um grupo inteligente de cada vez. A seleção de mais de um grupo inteligente faz com que o botão Excluir fique indisponível. Pré-requisitos O grupo inteligente não pode ser atribuído a nenhum produto de dispositivo. Se um grupo inteligente estiver atribuído, você não poderá excluí-lo. Consulte Cancelar atribuição de um grupo inteligente. VMware, Inc. 155

156 Procedimentos 1 Vá para Grupos e configurações > Grupos > Grupos de atribuições e localize o grupo inteligente que deseja excluir da listagem. 2 Marque a caixa de seleção à esquerda do grupo inteligente que você deseja excluir. 3 Selecione Excluir no menu de ações exibido. O grupo inteligente não atribuído foi removido. Cancelar atribuição de um grupo inteligente É possível cancelar atribuição de um grupo inteligente de um aplicativo, livro, canal, política, perfil ou produto. Essa ação remove o conteúdo associado de todos os dispositivos no grupo inteligente. Procedimentos 1 Para cancelar a atribuição dos grupos inteligentes de aplicativos, livros, políticas de conformidade, perfis de dispositivo ou aprovisionamentos de produto: Siga os caminhos de navegação mostrados. Aplicativos: vá para Aplicativos e livros > Aplicativos > Modo de exibição de lista e selecione a guia Público ou Interno. Livros: vá para Aplicativos e livros > Livros > Modo de exibição de lista e selecione a guia Público, Interno ou Web. Canais: vá para Conteúdo > Vídeo > Canais. Política de conformidade: vá para Dispositivos > Políticas de conformidade > Modo de exibição de lista. Perfil de dispositivo: vá para Dispositivos > Perfis e recursos > Perfis. Aprovisionamento de produto: vá para Dispositivos > Provisionamento > Produtos > Modo de exibição de lista. 2 Localize o conteúdo ou a configuração da lista e selecione o ícone Editar no menu de ações. 3 Selecione a aba Atribuição ou localize a caixa de texto Grupos inteligentes atribuídos. 4 Clique em Excluir (X) ao lado do grupo inteligente do qual você deseja cancelar a atribuição. Essa ação não exclui o grupo inteligente. Ela simplesmente remove a atribuição do grupo inteligente da configuração salva. 5 Siga os passos necessários para Salvar as suas alterações. Pesquisa de eventos de grupo inteligente usando o log de eventos do Console Você pode rastrear as alterações nos grupos inteligentes, quando foram feitas e por quem, usando o log Evento do console. Esse rastreamento pode ser útil para resolver problemas de dispositivos. VMware, Inc. 156

157 Procedimentos 1 Vá até Monitor > Relatórios e técnicas de análise > Eventos > Eventos do Console. 2 Selecione Grupos inteligentes no filtro suspenso Módulo, no topo da listagem de Eventos do console. 3 Aplique mais filtros conforme a necessidade, incluindo Intervalo de datas, Gravidade e Categoria. 4 Se for o caso, selecione o link de hipertexto na coluna Dados do evento que contém detalhes adicionais que podem ajudar na sua pesquisa. Grupos de usuários Você pode agrupar conjuntos de usuários em grupos de usuários, como grupos organizacionais, que atuam como filtros para a atribuição de perfis e aplicativos. Ao configurar o ambiente de MDM, ajuste grupos de usuários com grupos de segurança e funções de negócios na organização. Você pode atribuir perfis, políticas de conformidade, conteúdo e aplicativos a usuários e dispositivos com grupos de usuários. Você pode adicionar seus grupos de serviços de diretório existentes no Workspace ONE UEM ou criar grupos de usuários do zero. Como alternativa aos grupos de usuários, você também pode gerenciar conteúdo atribuindo dispositivos de acordo com um intervalo de endereços IP de rede pré-configurado ou atributos personalizados. Grupos de usuários sem integração do diretório, Personalizado A criação de um grupo de usuários fora da estrutura do Active Directory existente permite a criação de grupos de usuários especializados a qualquer momento. Personalize os grupos de usuários de acordo com sua implementação estabelecendo acesso específico a recursos e conteúdos. Por exemplo, você pode criar um grupo de usuários temporário para um projeto específico que precise de aplicativos, perfis de dispositivo e políticas de conformidade específicos. Para obter mais informações sobre como adicionar grupos de usuários em lote, consulte Importação em lote de grupos de usuários. Adicionar grupos de usuários sem integração com um diretório, personalizado Você pode estabelecer um grupo de usuários personalizado fora da sua estrutura corporativa, o que pode ser preferível, dependendo do tipo de grupo de usuários que você precisa. Os grupos de usuários personalizados só podem ser adicionados em um grupo organizacional de cliente. Procedimentos 1 Vá até Contas > Grupos de usuários > Modo de exibição de lista e selecione Adicionar e Adicionar grupo de usuários. 2 Modifique a opção Tipo do grupo de usuários para Personalizado. VMware, Inc. 157

158 3 Digite o Nome do grupo e a Descrição usada para identificar o grupo de usuários no Workspace ONE UEM Console. 4 Confirme o grupo organizacional que gerencia o grupo de usuários e selecione Salvar. 5 Você pode então adicionar usuários a esse novo grupo de usuários em Contas > Usuários > Modo de exibição de lista. Adicione vários usuários marcando as caixas de seleção à esquerda de cada nome de usuário listado. Em seguida, selecione o botão Gerenciamento acima dos títulos da coluna e selecione Adicionar ao grupo de usuários. Grupos de usuários com integração de diretório Uma alternativa aos grupos personalizados de usuários sem integração com o Active Directory é a integração do grupo de usuários, que aplica sua estrutura existente do Active Directory, oferecendo vários benefícios. Quando você importa grupos de usuários de serviços do diretório existente, como grupos de usuários do Workspace ONE UEM, é possível realizar as ações a seguir. Gerenciamento de usuário Faz referência aos seus grupos de serviços de diretório existentes (como grupos de segurança ou listas de distribuição) e alinha o gerenciamento de usuário no Workspace ONE UEM com os sistemas organizacionais existentes. Perfis e políticas Atribua perfis, aplicativos e políticas em uma implementação do Workspace ONE UEM para grupos de usuários. Atualizações integradas Atualize automaticamente as atribuições de grupo de usuários com base nas mudanças de associação do grupo. Permissões de gerenciamento Defina permissões de gerenciamento para permitir que apenas administradores aprovados alterem as atribuições de políticas e perfis para determinados grupos de usuários. Inscrição Permita que usuários se inscrevam com as credenciais existentes e atribuam automaticamente um grupo organizacional. O administrador deve designar um grupo organizacional existente como grupo organizacional principal, de onde ele gerenciará dispositivos e usuários. Os serviços de diretório devem estar ativados no grupo organizacional raiz. Você pode adicionar seus grupos de serviços de diretório existentes no Workspace ONE UEM. Embora a integração não crie imediatamente contas de usuários para cada uma das suas contas de serviços de diretório, ela garante que o Workspace ONE UEM as reconheça como grupos de usuários. Você pode usar esse grupo para restringir quem pode se inscrever. Para obter mais informações sobre como adicionar grupos de usuários do diretório em lote, consulte Importação em lote de grupos de usuários. VMware, Inc. 158

159 Adicionar grupos de usuários com integração com um diretório Criar grupos de usuários com integração com o diretório promove uma abordagem alinhada com o gerenciamento de dispositivos: inscrição de dispositivo mais atualizações posteriores, visão geral administrativa e gerenciamento de usuários estão cada um em sincronia com sua estrutura de serviços de diretório existente. Pré-requisitos Certifique-se de que o Tipo do grupo de usuários é Diretório. Procedimentos 1 Vá para Contas > Grupos de usuários > Modo de exibição de lista, selecione Adicionar e Adicionar grupo de usuários. Configuração Tipo Descrição Selecione o tipo de Grupo de usuários. Diretório Crie um grupo de usuários alinhado à estrutura do Active Directory existente. Personalizado Crie um grupo de usuários fora da estrutura do Active Directory existente em sua organização. Este tipo de grupo de usuários concede acesso a recursos e conteúdo para usuários básicos e do diretório para personalizar os grupos de usuários, de acordo com a sua implementação. Os grupos de usuários personalizados só podem ser adicionados em um grupo organizacional de cliente. Tipo externo Pesquisar texto Nome do diretório Domínio e DN do grupo de base Selecione o tipo externo de grupo que está adicionando. Grupo A classe de objeto de grupo na qual seu grupo de usuários será baseado. Personalize essa classe indo para Grupos e Configurações > Todas as configurações > Sistema > Integração corporativa > Serviços de diretório > Grupo. Unidade organizacional A classe de objeto de unidade organizacional na qual seu grupo de usuários será baseado. Personalize essa classe indo para Grupos e Configurações > Todas as configurações > Sistema > Integração corporativa > Serviços de diretório > Grupo. Consulta personalizada Também é possível criar um grupo de usuários localizados por meio de uma consulta personalizada. A seleção deste tipo externo substitui a função Pesquisar texto, mas exibe a seção Consulta personalizada. Identifique o nome de um grupo de usuários em seu diretório inserindo os critérios de pesquisa e selecionando Pesquisar para procurá-lo. Se o texto pesquisado existir em um grupo de diretório, será exibida uma lista de nomes de grupos. Essa opção não é disponibilizada quando Tipo externo está definido como Consulta personalizada. Configuração somente leitura que exibe o endereço do seu servidor de serviços de diretório. Essas informações são preenchidas automaticamente com base nas informações do servidor de serviços de diretório que você inserir na página Serviços de diretório (Grupos e configurações > Sistema > Integração corporativa > Serviços de diretório). Selecione o sinal de mais (+) Buscar DN ao lado da configuração DN do grupo de base, que exibe uma lista de elementos de nomes distintos para você selecionar. VMware, Inc. 159

160 Configuração Classe de objeto personalizada Nome do grupo Nome distinto Base DN personalizada Atribuição de grupo organizacional Configurações de grupos de usuários Descrição Identifique a classe de objeto sob a qual sua consulta é executada. A classe de objeto padrão é "pessoa", mas você pode informar uma classe de objeto personalizada para identificar seus usuários de forma otimizada e precisa. Essa opção está disponível apenas quando Consulta personalizada está selecionada como Tipo externo. Selecione um Nome do grupo na lista de resultados Pesquisar texto. A seleção de um nome do grupo altera automaticamente o valor na configuração Nome distinto. Essa opção somente é disponibilizada depois de uma pesquisa bem-sucedida com a configuração Pesquisar texto. Essa configuração somente leitura exibe o nome distinto completo do grupo sendo criado. Essa opção está disponível apenas quando Grupo ou Unidade organizacional está selecionado como Tipo externo. Identifique o nome distinto da base que serve como ponto de partida da sua consulta. O nome distinto padrão básico é 'AirWatch' e 'sso'. No entanto, se você quiser executar uma consulta com um ponto de partida diferente, é possível fornecer um nome distinto da base personalizado. Essa opção está disponível apenas quando Consulta personalizada está selecionada como Tipo externo. Essa configuração opcional permite atribuir o grupo de usuários que você está criando a um determinado grupo organizacional. Essa opção está disponível apenas quando Grupo ou Unidade organizacional está selecionado como Tipo externo. Selecione entre Aplicar configuração padrão e Utilizar ajustes personalizados para este grupo de usuário. Consulte a seção Configurações personalizadas para ver mais descrições de configurações. Você pode configurar essa opção nas configurações de permissão após a criação do grupo. Essa opção está disponível apenas quando Grupo ou Unidade organizacional está selecionado como Tipo externo. Consulta personalizada Consulta Lógica personalizada Essa configuração exibe a consulta carregada no momento, que será executada ao selecionar o botão Testar consulta e o botão Continuar. As alterações feitas na configuração Lógica personalizada ou no campo Classe de objeto personalizada serão refletidas aqui. Adicione aqui a sua lógica de consulta personalizada, como um nome de usuário ou de administrador. Por exemplo, "cn=jsmith". Você pode incluir mais ou menos partes do nome distinto. O botão Testar consulta permite ver se a sintaxe da sua consulta está correta, antes de selecionar o botão Continuar. Ajustes personalizados Permissões de gerenciamento Função padrão Política de inscrição padrão Você pode permitir ou impedir que todos os administradores gerenciem o grupo de usuários sendo criado. Selecione uma função padrão para o grupo de usuários no menu suspenso. Selecione uma política de inscrição padrão no menu suspenso. VMware, Inc. 160

161 Configuração Sincronizar automaticamente com o diretório Mesclar mudanças automaticamente Número máximo de alterações permitidas Adicionar membros ao grupo automaticamente Enviar ao usuário quando outros usuários forem adicionados Modelo de mensagem Descrição Essa opção ativa a sincronização do diretório, que detecta a associação do usuário no servidor do diretório e a armazena em uma tabela temporária. Administradores aprovam alterações no console, a menos que a opção Mesclar automaticamente esteja selecionada. Se quiser evitar que os grupos de usuários sincronizem automaticamente durante a sincronização agendada, essa configuração deve ser desativada. Ative essa opção para aplicar alterações de sincronização automaticamente da base de dados sem aprovação administrativa. Use essa configuração para definir um limite para o número permitido de alterações de sincronização automáticas do grupo de usuários antes de uma aprovação ser necessária. As alterações acima do limite precisam de aprovação do administrador e uma notificação é enviada com essa finalidade. Para obter mais informações, consulte o Manual para o Gerenciamento de Dispositivos Móveis da VMware AirWatch. Essa opção só é disponibilizada quando a configuração Mesclar mudanças automaticamente está ativada. Ative essa configuração para adicionar usuários automaticamente ao grupo de usuários. Se quiser evitar que os grupos de usuários sincronizem automaticamente durante a sincronização agendada, essa configuração deve ser desativada. Ative para enviar um aos usuários quando os usuários ausentes estejam sendo adicionados ao grupo de usuários. A adição de usuários ausentes é a combinação da tabela temporária de grupo de usuários com a tabela do Active Directory. Essa opção só é disponibilizada quando Enviar ao usuário quando outros usuários forem adicionados está ativado. Selecione um modelo de mensagem a ser usado para a notificação de durante a adição de usuários ausentes ao grupo de usuários. Ao adicionar os novos usuários do Active Directory ao Workspace ONE UEM Console, a disponibilidade do modelo de mensagem depende do modo de inscrição conforme configurado no Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Inscrição selecionando Autenticaçãoe fazendo uma escolha na opção Modo de inscrição do dispositivo. Quando Inscrição aberta estiver selecionado como o Modo de inscrição do dispositivo, um modelo de de ativação do usuário estará disponível na lista suspensa do Modelo de mensagem. Esta mensagem de permite que o novo usuário do AD se inscreva. Quando Somente dispositivos registrados estiver selecionado como Modo de inscrição do dispositivo, um modelo de de ativação do dispositivo estará disponível na lista suspensa do Modelo de mensagem. Esta mensagem de permite que o novo usuário do AD inscreva o dispositivo. Se Exigir token de registro estiver habilitado, o dispositivo poderá ser registrado com o token integrado na mensagem. Para obter mais informações sobre Nome distinto, pesquise o artigo TechNet da Microsoft denominado Nomeação de objeto em 2 Selecione Salvar. VMware, Inc. 161

162 Editar permissões de grupo de usuários Permissões de ajustes do grupo de usuários permitem que você reconsidere quem dentro de sua organização pode editar certos grupos. Por exemplo, se sua organização tiver um grupo de usuários para os executivos da empresa, você pode não desejar que administradores de nível inferior tenham permissões de gerenciamento para esse grupo de usuários. Utilize a página Permissões para controlar quem pode gerenciar certos grupos de usuários e quem pode atribuir perfis, políticas de conformidade e aplicativos para grupos de usuários. Procedimentos 1 Vá para Contas > Grupos de usuários > Modo de exibição de lista. 2 Selecione o ícone Editar de uma linha de grupo de usuário existente. 3 Clique na aba Permissões e em Adicionar. 4 Selecione o Grupo organizacional para o qual você deseja definir permissões. 5 Selecione as Permissões que deseja ativar. Gerenciar grupo (editar/apagar) Ative a capacidade de editar e excluir grupos de usuários. Gerenciar usuários dentro do grupo e permitir a inscrição Gerencie os usuários do grupo e permita uma inscrição de dispositivo no grupo organizacional (OG). Essa configuração pode ser ativada apenas quando a opção Gerenciar grupo (editar/apagar) também está ativada. Se a opção Gerenciar grupo (editar/apagar) estiver desativada, essa configuração também fica desativada. Usar grupo para atribuição Use o grupo para atribuir políticas de segurança e recursos da empresa aos dispositivos. Essa configuração pode ser alterada apenas se a opção Gerenciar grupo (editar/apagar) estiver desativada. Se a opção Gerenciar grupo (editar/apagar) estiver ativada, essa configuração fica bloqueada e não editável. Essa configuração é desativada quando o grupo de usuários é gerenciado por um GO principal e você deseja atribuir o grupo de um dos GOs herdeiros. 6 Selecione o Escopo dessas permissões, ou seja, quais grupos de administradores podem gerenciar ou usar esse grupo de usuários. Apenas uma das seguintes opções pode estar ativada. Somente administradores As permissões afetam apenas os administradores no grupo organizacional principal. Todos os administradores deste grupo organizacional e seus herdeiros As permissões afetam os administradores no grupo organizacional e todos os administradores em grupos organizacionais herdeiros. 7 Selecione Salvar. VMware, Inc. 162

163 Exceção ao grupo de uso para atribuição Em determinado caso de uso, a opção Usar grupo para atribuição em Editar permissões do grupo de usuários está indisponível. Isso significa que você não pode usar esse grupo de usuários como um grupo de atribuições. Você não pode selecionar a opção Usar grupo para atribuição (e, portanto, não pode ser usado como grupo de atribuição ou grupo inteligente) no caso de uso a seguir. Quando o grupo de usuários é gerenciado por um OG pai e você deseja atribuir o grupo de um dos OGs herdeiros. Como acessar os detalhes do usuário Quando seus usuários e os grupos de usuários estiverem definidos, você poderá visualizar todas as informações relacionadas, incluindo detalhes, dispositivos associados e interações. Acesse as informações do usuário de qualquer local no Workspace ONE UEM Console em que o nome do usuário for exibido, incluindo cada uma das seguintes páginas no Console. Membro do grupo de usuários (Contas > Grupos de usuários > Exibição de detalhes > Mais > Exibir usuários) Exibição de lista de usuários (Contas > Usuários > Exibição de lista) Exibição de lista de administradores (Contas > Administradores > Exibição de lista). A página Detalhes do usuário é uma exibição de página única. Todos os grupos de usuários associados. Todos os dispositivos associados ao usuário ao longo do tempo e um link para todos os dispositivos inscritos. Todos os dispositivos que o usuário fez o "check-out" em um ambiente de dispositivo compartilhado e um link para um concluir um histórico de check-in e check-out do dispositivo. Todos os logs de evento específicos do usuário e do dispositivo. Todos os Termos de uso atribuídos, aceitos e rejeitados. Criptografar dados pessoais Você pode criptografar informações de identificação pessoal, incluindo nome e sobrenome, endereço de e número de telefone. Procedimentos 1 Vá para Grupos e configurações > Todas as configurações > Sistema > Segurança > Segurança de dados no grupo organizacional de nível Global ou de Cliente para o qual você deseja configurar a criptografia. VMware, Inc. 163

164 2 Ative a configuração Criptografar informações do usuário e selecione configurações individuais de dados do usuário para ativar a criptografia. Isso desativa as funcionalidades de pesquisa, classificação e filtro. 3 Clique em Salvar para criptografar os dados do usuário para que não fiquem acessíveis na base de dados. Ao fazer isso, alguns recursos do Workspace ONE UEM Console, como pesquisa, classificação e filtro, ficarão limitados. Modo de exibição de lista de grupos de usuários A página Modo de exibição de lista dos grupos de usuários apresenta ferramentas úteis para manutenção comum do grupo de usuários, incluindo visualização, mesclagem, exclusão de grupos de usuários e de usuários ausentes. Vá para Contas > Grupos de usuários > Modo de exibição de lista. Você pode usar o Modo de exibição de lista de grupos de usuários para criar listas de grupos de usuários imediatamente com base nos critérios mais importantes para você. Você também pode adicionar novos grupos de usuários individualmente ou em massa. Ação Filtros Descrição Exiba apenas os grupos de usuários desejados usando os filtros a seguir. Tipo de grupo de usuários. Status da sincronização. Status da mesclagem. Adicionar Adicionar grupo de usuários. Importação em lote Classificar e redimensionar colunas Visualizar detalhes Exportar ( ) Execute uma única adição de Grupo de usuários baseado no diretório ou Grupo de usuários personalizado. Importe novos grupos de usuários em massa usando um arquivo CSV. Você pode organizar vários grupos de usuários de uma vez inserindo um nome exclusivo e a descrição. As colunas no Modo de exibição de lista classificáveis são Nome do grupo, Última sincronização, Usuários e Status da mesclagem. As colunas que podem ser redimensionados são Nome do grupo e Última sincronização. Visualize informações básicas do grupo de usuários na Exibição de detalhes selecionando o link na coluna Nome do grupo. Essas informações incluem nome do grupo, tipo de grupo, tipo externo, gerente e número de usuários. A Exibição de detalhes também inclui um link para as configurações de mapeamento do grupo em Todas as configurações > Dispositivos e usuários > Geral > Inscrição na aba Agrupamento. Salve um arquivo CSV de todo o Modo de exibição de lista filtrado e não filtrado que pode ser visualizado e analisado no Excel. O Modo de exibição de lista de grupos de usuários também apresenta uma caixa de seleção e o ícone Editar à esquerda do usuário. Selecionar o ícone Editar ( ) permite fazer alterações básicas no grupo de usuários. Você pode realizar ações em lote nos grupos de usuários selecionando um ou mais grupos, o que revela os botões de ação para a listagem. VMware, Inc. 164

165 Mais ações para grupos de usuários Você pode selecionar mais de um grupo de usuários marcando quantas caixas de seleção quiser. Isso modifica os botões de ação disponíveis e também faz com que as ações disponíveis sejam aplicadas a vários grupos e seus respectivos usuários. Ação Sincronizar Visualizar usuários Descrição Copie manualmente, usuários do grupo de usuários recentemente adicionados para a tabela temporária antes do agendamento, sincronização automatizada com o Active Directory pelo Workspace ONE UEM. Exibe a tela Membros do grupo de usuários, permitindo que você revise os nomes de usuários de todos os membros do grupo de usuários selecionado. Mais ações Visualizar e mesclar Adicionar usuários ausentes Apagar Visualize, adicione e remova usuários recentemente adicionados à tabela temporária de grupo de usuários. Os usuários do grupo de usuários que aparecem nesta tabela aguardam a sincronização automatizada do grupo de usuários do Workspace ONE UEM. Combine a tabela temporária de grupo de usuários com a tabela do Active Directory, tornando oficial a adição desses novos usuários no grupo de usuários. Exclua um grupo de usuários. Adicionar usuários a grupos de usuários Você pode adicionar usuários a grupos de usuários conforme necessário. Quando você tiver um novo usuário para adicionar a um ou mais grupos de usuários, siga estas etapas. Procedimentos 1 Vá até Contas > Usuários > Exibição de lista. 2 Selecione um ou mais usuários na listagem inserindo uma marca de seleção na caixa de seleção à esquerda. 3 Selecione o botão Mais ações e clique em Adicionar ao grupo de usuários. A página Adicionar usuários selecionados ao grupo personalizado de usuários é exibida. 4 Você pode adicionar usuários a um Grupo de usuários existente ou criar um Novo grupo de usuários. 5 Selecione o Nome do grupo. 6 Selecione Salvar. 7 Vá para Contas > Grupos de usuários > Modo de exibição de lista. a A sincronização com o Active Directory (AD) (que é um processo automático, agendado) copia esses usuários pendentes do grupo para uma tabela temporária. Então, esses usuários do grupo são revisados, adicionados ou removidos. VMware, Inc. 165

166 b Se você não quiser esperar pela sincronização automatizada do AD, poderá aplicar a sincronização manual. Inicie a sincronização manual selecionando o grupo de usuários ao qual adicionou os usuários e o botão Sincronizar. 8 Você pode optar por selecionar Mais > Exibir e mesclar para executar tarefas de manutenção, como avaliar, adicionar e remover usuários de grupos pendentes. 9 Combine a tabela temporária de usuários do grupo de usuários pendente com os usuários do grupo de usuários do Active Directory selecionando Mais > Adicionar usuários ausentes. Grupos de administradores Os grupos de administradores permitem que você monte subconjuntos de contas de administradores para atribuir funções e permissões além das permissões resultantes de ter uma conta de administrador. Os grupos de administradores podem ser usados para atribuir funções e permissões, concedendo acesso ao console específico a um projeto especial. Você pode adicionar seus administradores de serviços de diretório existentes em grupos administrativos ou criar grupos administrativos do zero usando consultas personalizadas. Por exemplo, se você tiver uma nova diretriz de negócios, pode precisar atribuir acesso administrativo especial a um grupo de mediadores de treinamento. Você pode criar um grupo de administradores, executar uma rede personalizada para facilitadores de treinamento e atribuir uma função específica da nova iniciativa de negócios. Para obter mais informações, consulte Contas de administrador. Modo de exibição de lista dos grupos de administradores A página Modo de exibição em lista de grupos de administradores apresenta ferramentas úteis para manutenção comum de grupo de usuários e acompanhamento. Esse acompanhamento inclui adicionar, visualizar, mesclar e excluir grupos de usuários e usuários faltantes. Visualize essa página indo para Contas > Administradores > Grupos de administradores. Exiba a página Editar grupo de administradores selecionando o nome do hipertexto na coluna Nome do grupo no modo de exibição em lista. Use essa página para alterar o nome do grupo de administradores. Também é possível adicionar e remover funções aplicáveis aos membros do grupo. Para obter mais informações, consulte Funções do administrador. Exiba a listagem Membros do grupo de administradores selecionando o número do link de hipertexto na coluna Administrador. Essa lista mostra os nomes de todos os administradores no grupo de administradores. Acesse as seguintes ações e funções de manutenção selecionando o botão ao lado do nome do grupo. Ação Sincronizar Descrição Copie usuários do grupo de administradores recentemente adicionados para a tabela temporária manualmente, antes do agendamento, sincronização automatizada com o Active Directory pelo Workspace ONE UEM. Mais ações VMware, Inc. 166

167 Ação Visualizar e mesclar Excluir Superior, Para cima, Para baixo, Inferior Adicionar usuários ausentes. Descrição Visualize, adicione e remova usuários recentemente adicionados à tabela temporária de grupo administrativo. Os administradores do grupo de administração que aparecem na tabela aguardam a sincronização automatizada do grupo de administradores da Workspace ONE UEM. Exclua um grupo administrativo. Você pode editar a classificação de cada grupo administrativo conforme aparece na listagem. Mover os grupos dessa forma é útil para quando você tem mais grupos administrativos do que uma página pode exibir. Combine a tabela temporária de grupo administrativo com a tabela do Active Directory, tornando oficial a adição desses novos administradores no grupo. Adicionar grupos de administradores Você pode adicionar grupos administrativos para atribuir funções e permissões adicionais para projetos especiais seguindo estas etapas. Procedimentos 1 Vá para Contas > Administradores > Grupos de administradores e selecione Adicionar. Conclua as configurações aplicáveis. Configuração Tipo externo Nome do diretório Domínio e DN do grupo de base Pesquisar texto Descrição Selecione o tipo externo de grupo de administradores que está adicionando. Grupo A classe de objeto de grupo na qual seu grupo de administradores é baseado. Personalize essa classe indo para Grupos e Configurações > Todas as configurações > Sistema > Integração corporativa > Serviços de diretório > Grupo. Unidade organizacional A classe de objeto de unidade organizacional na qual seu grupo de administradores é baseado. Personalize essa classe de objeto indo para Grupos e Configurações > Todas as configurações > Sistema > Integração corporativa > Serviços de diretório > Grupo. Consulta personalizada Também é possível criar um grupo de administradores localizados por meio de uma consulta personalizada. A seleção deste tipo externo substitui a função Pesquisar texto, mas exibe a seção Consulta personalizada. Configuração somente leitura que exibe o endereço do seu servidor de serviços de diretório. Essas informações são preenchidas automaticamente com base nas informações do servidor de serviços de diretório que você inserir na página Serviços de diretório (Contas > Grupos de usuários > Configurações > Serviços de diretório). Selecione o sinal de mais (+) Obter DN ao lado da configuração DN do grupo de base, que exibe uma lista de Nomes de domínios básicos para você selecionar. Digite os critérios de pesquisa para identificar o nome de um grupo de administradores em seu diretório e selecione Pesquisar para procurá-lo. Se o texto pesquisado existir em um grupo de diretório, será exibida uma lista de nomes de grupos. Também é possível aplicar funções padrão ao grupo de administradores que está criando. Depois da execução bem-sucedida de uma pesquisa, selecione a aba Funções e o botão Adicionar para adicionar uma nova função. ou edite uma função existente alterando a seleção de Grupo organizacional e Função. Essa configuração está disponível apenas quando Grupo ou Unidade organizacional está selecionado como o Tipo externo. VMware, Inc. 167

168 Configuração Classe de objeto personalizada Base DN personalizada Nome do grupo Nome distinto Classificação Descrição Identifique a classe de objeto sob a qual sua consulta é executada. A classe de objeto padrão é pessoa, mas você pode fornecer uma classe de objeto personalizada para identificar seus administradores com maior precisão. Essa configuração está disponível apenas quando Consulta personalizada está selecionada como Tipo externo. Identifique o nome distinto da base que serve como ponto de partida da sua consulta. O padrão é "airwatch" e "sso", mas você poderá fornecer um nome distinto da base personalizado se quiser executar a consulta usando um ponto de partida diferente. Essa configuração está disponível apenas quando Consulta personalizada está selecionada como Tipo externo. Selecione um Nome do grupo na lista de resultados Pesquisar texto. A seleção de um nome do grupo altera automaticamente o valor na configuração Nome distinto. Esta configuração só é disponibilizada depois de uma pesquisa bem-sucedida com a configuração Pesquisar texto. Configuração somente leitura que exibe o nome distinto completo do grupo de administradores sendo criado. Esta configuração só é disponibilizada depois de uma pesquisa bem-sucedida com a configuração Pesquisar texto. Configuração somente leitura que exibe a classificação do grupo de administradores depois de criado. É possível alterar a classificação de um grupo de administradores em Grupos e configurações > Grupos > Grupos de administradores e movendo sua posição relativa com o botão de ação Mais à direita da listagem de grupos de administradores. Sincronização automática Mesclar automaticamente Número máximo de alterações permitidas Adicionar membros ao grupo automaticamente Fuso horário Localidade Página inicial Essa opção ativa a sincronização do diretório, que detecta a associação do usuário no servidor do diretório e a armazena em uma tabela temporária. Um administrador aprova todas as alterações do Console a menos que a opção Mesclar automaticamente esteja ativada. Ative essa opção para aplicar alterações de sincronização automaticamente da base de dados sem aprovação administrativa. Use essa configuração para definir um limite para o número de alterações de sincronização automáticas do grupo de administradores que podem ocorrer antes de uma aprovação ser necessária. Essa opção só é disponibilizada quando a função Mesclar automaticamente está ativada. Ative essa opção para adicionar administradores automaticamente ao grupo de administradores. Digite o fuso horário associado com o grupo de administradores. Essa configuração obrigatória afeta o momento da execução agendada e automatizada do sincronismo do Active Directory. Selecione a configuração de localização (idioma) associada ao grupo de administradores. Essa configuração é obrigatória. Digite a página inicial para administradores no grupo de administradores. A definição padrão para essa configuração obrigatória é o Painel do dispositivo, mas você pode configurar para qualquer página da sua escolha. Consulta personalizada VMware, Inc. 168

169 Configuração Consulta Lógica personalizada Descrição Essa configuração exibe a consulta carregada no momento, que será executada ao selecionar o botão Testar consulta e o botão Continuar. As alterações feitas na opção Lógica personalizada ou na configuração Classe de objeto personalizada serão refletidas aqui. Adicione sua lógica de consulta personalizada aqui, como um nome de administrador. Por exemplo, "cn=jsmith". Você pode incluir mais ou menos partes do nome distinto. O botão Testar consulta permite ver se a sintaxe da sua consulta gera uma pesquisa bem-sucedida, antes de selecionar o botão Continuar. Para obter mais informações sobre Nome distinto, pesquise o artigo TechNet da Microsoft denominado Nomeação de objeto em 2 Selecione Salvar. Exibir atribuições Para sua comodidade, é possível confirmar os perfis, aplicativos, livros, canais e políticas de conformidade incluídos no (e excluídos do) grupo atribuído. Procedimentos 1 Vá para a lista de grupos em Grupos e configurações > Grupos > Grupos de atribuições e encontre um grupo que tenha sido atribuído a pelo menos uma entidade. 2 Na coluna Atribuições, selecione o número com o hyperlink para abrir a página Exibir atribuições. Essa página exibe apenas as categorias que contêm Atribuições ou Exclusões no grupo. Próximo passo Acima da linha de cabeçalho na tela Visualizar atribuições, use os botões Atualizar, e Exportar e a caixa de texto Lista de pesquisa para localizar e confirmar que perfil, aplicativo, livro, canal e política de conformidade específicos foram atribuídos. VMware, Inc. 169

170 Atribuições do dispositivo 6 As atribuições de dispositivo permitem que você mova dispositivos entre grupos organizacionais (OG) e nomes de usuário com base no intervalo de endereço IP da rede ou em atributos personalizados. Essa abordagem é uma alternativa à organização do conteúdo (por exemplo, perfis, aplicativos, políticas e produtos) por grupo de usuários. Em vez de os administradores moverem manualmente dispositivos entre os grupos organizacionais, é possível direcionar o console para mover automaticamente os dispositivos quando conectarem-se ao Wi- Fi que você definir. Você também pode mover dispositivos com base em regras personalizadas de atributo que definir. Um caso de uso típico para atribuições de dispositivos é um usuário que altera regularmente funções que exigem perfis e aplicativos especializados para cada função. Você deve optar pela implementação de Grupos de usuários ou de Atribuições de dispositivos para mover os dispositivos, pois o Workspace ONE UEM não é compatível com as duas funções no mesmo dispositivo. Este capítulo inclui os seguintes tópicos: Ativar atribuições de dispositivo Definir regras de atribuição ou intervalo de rede do dispositivo Ativar atribuições de dispositivo Antes de poder mover dispositivos entre grupos organizacionais (GO) e nomes de usuário com base no IP ou em atributo personalizado, primeiro é necessário ativar atribuições de dispositivos. Atribuições do dispositivo só podem ser configuradas em um grupo organizacional herdeiro. VMware, Inc. 170

171 Procedimentos 1 Vá para Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Avançado e então selecione Substituir ou Herdar para a Configuração atual, de acordo com as suas necessidades. 2 Selecione Ativado na configuração Regras de atribuição do dispositivo. 3 Escolha o Tipo de gerenciamento. Grupo organizacional por intervalo IP Move o dispositivo para um GO específico quando o dispositivo deixa um intervalo de rede Wi-Fi e entra em outro. Essa ação aciona o envio automático de perfis, aplicativos, políticas e produtos por push. Grupo organizacional por atributo personalizado Move o dispositivo para um grupo organizacional com base em atributos personalizados. VMware, Inc. 171

172 Atributos personalizados permitem que os administradores extraiam valores específicos de um dispositivo gerenciado e os retornem para Workspace ONE UEM Console. Também é possível atribuir valor de atributo aos dispositivos para uso em aprovisionamento de produto ou valores de pesquisa de dispositivo. Quando o Grupo organizacional por atributo personalizado está ativado, aparece o link Clique aqui para criar uma regra de atribuição baseada em atributo personalizado. Quando selecionado, esse link abre outra guia em seu navegador. Essa aba exibe a página Regras de atribuição do atributo personalizado, para que você possa criar suas próprias regras de atribuição de atributo. Para obter mais informações, consulte Atribuir grupos organizacionais usando atributos personalizados. Nome de usuário por intervalo de IP quando um dispositivo sai de uma rede e entra em outra, o dispositivo muda os nomes de usuário em vez de mudar para outro GO. Essa mudança de nome de usuário aciona o mesmo envio de perfis, aplicativos, políticas e produtos por push que a mudança de GO. Essa opção é para os clientes com capacidade limitada para criar grupos organizacionais, proporcionando uma maneira alternativa para aproveitar o recurso de atribuição de dispositivo. Importante se você quiser mudar o Tipo de atribuição em uma configuração de atribuição existente, é necessário excluir todos os intervalos atualmente definidos. Remova as atribuições de intervalo de IP em Grupos e configurações > Grupos > Grupos organizacionais > Intervalos de rede. Remova as atribuições de atributos personalizadas em Dispositivos > Provisionamento > Atributos personalizados > Regras de atribuição de atributos personalizados. 4 Escolha as opções de Proprietário do dispositivo. Apenas dispositivos com os tipos de propriedade selecionados são atribuídos. Corporativo dedicado Corporativo compartilhado Propriedade do funcionário Indefinido 5 Você pode adicionar um intervalo de rede selecionando o link Clique aqui para criar um intervalo de rede. Como alternativa, você pode visitar essa página em Grupos e configurações > Grupos > Grupos organizacionais > Intervalos de rede. A seleção de configurações de intervalos de rede só ficará visível se Atribuições do dispositivo estiver habilitada para o grupo organizacional em que você estiver ao visitar este local. Para obter mais informações, consulte Definir regras de atribuição ou intervalo de rede do dispositivo. Quando selecionado, a página Intervalos de rede é exibida. 6 Selecione Salvar depois que todas as opções estiverem definidas. VMware, Inc. 172

173 Definir regras de atribuição ou intervalo de rede do dispositivo Quando seu dispositivo se conecta ao Wi-Fi, o dispositivo faz a autenticação e instala automaticamente perfis, aplicativos, políticas e aprovisionamentos de produto específicos para o GO selecionado. Você também pode definir regras com base em atributos personalizados. Quando um dispositivo se inscreve com um atributo designado, a regra atribui o dispositivo ao grupo organizacional configurado. O dispositivo também pode ser atribuído no caso em que o dispositivo recebe uma provisão de produto contendo um atributo personalizado de qualificação. Atribuições do dispositivo só podem ser configuradas em um grupo organizacional herdeiro. Procedimentos 1 Vá para Grupos e configurações > Grupos > Grupos organizacionais > Intervalos de rede. A opção Intervalos de rede não estará visível até que você ative as atribuições do dispositivo. Portanto, se você não conseguir localizar 'Intervalos de rede ' no caminho de navegação de grupos organizacionais, consulte Ativar atribuições de dispositivo. 2 Para adicionar um único intervalo de endereço IP, selecione Adicionar alcance de rede. Na página Adicionar/editar intervalo de rede, conclua estas configurações e selecione Salvar. Tabela 6 1. Adicionar alcance de rede Configuração Endereço de IP inicial Endereço de IP final Nome do grupo organizacional Nome de usuário Descrição Descrição Digite a extremidade superior do intervalo da rede. Digite a extremidade inferior do intervalo da rede. Digite o nome do GO para o qual os dispositivos são movidos quando o intervalo de rede é inserido. Esta configuração só ficará visível se o Tipo de atribuição de rede for Grupo organizacional por intervalo IP. Digite o nome de usuário para quem os dispositivos são registrados quando o intervalo de rede é inserido. Esta configuração só ficará visível se o Tipo de atribuição de rede for Nome de usuário por intervalo IP. Opcionalmente, adicione uma descrição útil do intervalo de rede. A sobreposição de intervalos de rede resulta na mensagem "Falha ao salvar, o intervalo de rede existe". VMware, Inc. 173

174 3 Se você tiver vários intervalos de rede para adicionar, pode selecionar Importação em lote para poupar tempo. a b c Na página Importação em lote, selecione o link Baixar modelo para esse tipo de lote para ver e baixar o modelo de importação em lote. Preencha este modelo, importe-o usando a página Importação em lote. Selecione Salvar. VMware, Inc. 174

175 Perfis do dispositivo 7 Os perfis de dispositivo são os principais meios pelos quais você pode gerenciar dispositivos. Eles representam as configurações que, quando combinadas com políticas de conformidade, ajudam a aplicar regras e procedimentos corporativos. Crie perfis para cada tipo de plataforma e configure um payload, que consiste em configurações individuais definidas para cada tipo de plataforma. O processo de criação de um perfil consiste em especificar antes as configurações Gerais e depois as configurações de payload. As configurações Gerais determinam como o perfil é implementado e quem o recebe. O payload do perfil é a própria restrição real e outras configurações aplicadas ao dispositivo durante a instalação do perfil. Este capítulo inclui os seguintes tópicos: Processamento de perfis Adicionar definição das configurações gerais do perfil Modo de exibição de lista de perfis de dispositivos Editar perfil de dispositivo Perfis de conformidade Áreas de geofencing Agendamentos Exibir atribuição do dispositivo Processamento de perfis Os perfis de dispositivos fornecem uma base padronizada para o gerenciamento de dispositivos. Juntamente com as políticas de conformidade, os perfis de dispositivos são o mecanismo pelo qual o gerenciamento de dispositivos torna-se uma ferramenta valiosa. VMware, Inc. 175

176 O processamento e a publicação dos perfis de dispositivos exercem uma pressão significativa no servidor e devem ser controlados para aliviar essa pressão. O Workspace ONE UEM Console usa uma lógica de lotes para os tipos de perfis de dispositivos que consomem mais capacidade dos processadores. Essa lógica de lotes pode ser ajustada em Grupos e configurações > Todas as configurações > Instalação > Ajuste de desempenho. Adicionar definição das configurações gerais do perfil As seguintes configurações e opções de perfil se aplicam à maioria das plataformas e podem ser usadas como uma referência geral. No entanto, algumas plataformas podem oferecer diferentes seleções. Essas etapas e configurações aplicam-se a qualquer perfil. Procedimentos 1 Vá para Dispositivos > Perfis & Recursos > Perfis > Adicionar. Você pode selecionar entre as seguintes opções para adicionar um perfil. Adicionar perfil Realize a adição única de um novo perfil de dispositivo. Carregar perfil Carregue um perfil assinado em seu dispositivo. Importação em lote Importe novos perfis de dispositivo em massa usando um arquivo CSV. Digite um nome único e uma descrição de grupo para organizar vários usuários de uma vez. 2 Selecione Adicionar perfil. 3 Selecione a plataforma adequada para o perfil que deseja implementar. Dependendo da plataforma, as configurações abaixo podem variar. 4 Preencha a aba Geral nas seguintes configurações. Configurações Nome Versão Descrição Implementação Descrição Nome do perfil a ser exibido no Workspace ONE UEM Console. Caixa de texto somente leitura que informa a versão atual do perfil como determinado pela opção Adicionar versão. Uma breve descrição do perfil explicando a sua finalidade. Determina se o perfil será automaticamente removido após cancelar a inscrição (não se aplica a perfis do Android). Gerenciado O perfil é removido. Manual O perfil permanece instalado até ser removido pelo usuário. VMware, Inc. 176

177 Configurações Tipo de atribuição Descrição Determina como o perfil será implementado para dispositivos. Automático O perfil é implementado em todos os dispositivos. Opcional Um usuário pode instalar o perfil do portal de autoatendimento (SSP) ou ele pode ser implementado em dispositivos individuais, a critério do administrador. Os usuários finais também podem instalar perfis representando aplicativos web, usando um web clip ou payload Favorito. E se você configurar o payload para aparecer no catálogo de aplicativos, pode instalá-lo do catálogo de aplicativos. Interativo (Não se aplica ao ios ou Android). Esse perfil é de um tipo exclusivo que os usuários finais instalam com o Self Service Portal. Quando instalados, esses tipos de perfis especiais interagem com sistemas externos para gerar dados e enviá-los ao dispositivo. Essa opção só estará disponível se ativada em Grupos e Configurações > Todas as configurações > Dispositivos e usuários > Avançado > Opções de perfil. Conformidade O perfil é aplicado ao dispositivo pelo Mecanismo de conformidade quando o usuário não realiza a ação corretiva para deixar seu dispositivo em conformidade. Para obter mais informações, consulte Perfis de conformidade. Permitir remoção Sempre O usuário pode remover manualmente o perfil a qualquer momento. Com autorização O usuário pode remover o perfil com a autorização do administrador. A seleção dessa opção adiciona uma caixa de texto Senha à conta. Nunca O usuário não pode remover o perfil do dispositivo. Gerenciado por Grupos atribuídos Exclusões Exibir atribuição do dispositivo Critérios de atribuição adicionais Data da remoção O grupo organizacional com acesso administrativo ao perfil. Refere-se ao grupo ao qual você quer que o perfil do dispositivo seja adicionado. Inclui uma opção para criar um novo grupo inteligente, que pode ser configurado com especificações mínimas de sistema operacional, modelos de dispositivo, categorias de propriedade, grupos organizacionais e mais. Para obter mais informações, consulte atribuição. Embora a plataforma seja um critério dentro de um grupo inteligente, a plataforma configurada no perfil do dispositivo ou na política de conformidade sempre terá precedência sobre a plataforma do grupo inteligente. Por exemplo, se um perfil do dispositivo for criado para a plataforma ios, ele só será atribuído aos dispositivos ios, mesmo que o grupo inteligente inclua dispositivos Android. Se Sim for selecionado, uma nova caixa de texto Grupos excluídos é exibida. Essa caixa de texto permite que você selecione os grupos que deseja excluir da atribuição do perfil do dispositivo. Consulte Excluir grupos em perfis e políticas para obter mais detalhes. Depois de fazer uma seleção de Grupo atribuído, você pode visualizar uma lista de todos os dispositivos atribuídos, considerando as atribuições e exclusões do grupo inteligente. Estas caixas de verificação ativam restrições adicionais para o perfil. Instalar apenas nos dispositivos dentro das áreas selecionadas. Digite um endereço em qualquer lugar do mundo e um raio em km ou milhas para fazer um "perímetro de instalação de perfil". Para obter mais informações, consulte Áreas de geofencing. Ativar o agendamento e instalar somente durante períodos selecionados Especifique um horário configurado em que os dispositivos recebem o perfil somente dentro desse prazo. A seleção desta opção adiciona o campo obrigatório Agendamentos atribuídos. Para obter mais informações, consulte Agendamentos. A data em que o perfil é removido do dispositivo. Deve ser uma data futura, formatada como DD/MM/YYYY. VMware, Inc. 177

178 5 Configure um payload para a plataforma do dispositivo. Para obter instruções detalhadas sobre como configurar um payload específico para uma plataforma específica, consulte o manual da plataforma aplicável, disponível em docs.vmware.com. 6 Selecione Salvar e publicar. Modo de exibição de lista de perfis de dispositivos Após criar e atribuir perfis, será necessária uma maneira de gerenciar essas configurações uma de cada vez e remotamente em uma única origem. Em Dispositivos > Perfis e recursos > Perfis você pode encontrar uma maneira centralizada de organizar e direcionar os perfis. Você pode criar listas personalizadas de perfis de dispositivos com base nos critérios especificados usando Filtros, Layout e Classificação de colunas. Você também pode exportar essas listas para um arquivo CSV adequado para visualização com Excel e ver o status do perfil do dispositivo. Configuração Filtros Descrição Visualize apenas os perfis desejados usando os seguintes filtros. Status Filtre os dispositivos para visualizar os que estão ativos, inativos ou todos os dispositivos. Plataforma Filtre dispositivos por 13 tipos de plataformas ou todas as plataformas. Grupo inteligente Filtre dispositivos selecionado um grupo inteligente no menu suspenso. Layout Exportar Classificação de colunas Detalhes do perfil Permite que você personalize o layout da coluna da lista. Resumo Visualize o Modo de exibição de lista com as colunas padrão e as configurações de visualização. Personalizado Selecione apenas as colunas no Modo de exibição de lista que você deseja ver. Você também pode aplicar colunas selecionadas a todos os administradores no grupo organizacional atual ou abaixo dele. Salve um arquivo CSV com o Modo de exibição de lista, que pode ser visualizado e analisado no Excel. Se você aplicar um filtro ao Modo de exibição de lista, a listagem exportada refletirá os resultados filtrados. Selecione o cabeçalho da coluna para acionar a classificação da lista. Nas visualizações Resumo e Personalizado, na coluna Detalhes do perfil, cada perfil apresenta um ícone que representa o tipo de payload. individual. Os tipos de payloads únicos apresentam um ícone exclusivo para esse tipo de payload Os perfis com vários payloads do mesmo tipo apresentam um selo de número no canto superior direito do ícone. de número. Os perfis com múltiplos payloads de tipos diferentes apresentam um ícone genérico com um selo VMware, Inc. 178

179 Configuração Status de instalação Descrição Essa coluna mostra o status de uma instalação de perfil, exibindo três indicadores com ícone, cada um com um link de número de hipertexto. A seleção deste link exibe a página Visualizar dispositivos, que é uma lista dos dispositivos afetados na categoria selecionada. Instalado ( instalado com êxito. Não instalado ( mas não foi instalado. ) Este indicador mostra o número de dispositivos no qual o perfil está atribuído e ) Este indicador mostra o número de dispositivos no qual o perfil está atribuído, Atribuído ( ou não. ) Este indicador mostra o número total de perfis atribuídos, estejam eles instalados Botão de opção e Editar ícone O Modo de exibição de lista apresenta um botão de opção e o ícone Editar, cada um à esquerda do perfil. Selecionar o ícone Editar ( ) permite fazer alterações básicas no grupo de usuários. A seleção de um único botão de opção faz com que os botões Dispositivos, XML e Mais ações apareçam acima da lista. Dispositivos Visualize dispositivos disponíveis para o perfil, se o perfil estiver instalado, se não estiver, veja o motivo. Pesquise quais dispositivos estão em sua frota e faça o envio por push de perfis manualmente, se necessário. </ > XML Exiba o código XML que Workspace ONE UEM é gerado após a criação do perfil. Visualize e salve o código XML para reutilização ou alteração fora do Console. Mais ações Copiar Faça uma cópia de um perfil existente e ajuste a configuração da cópia para iniciar com perfis de dispositivo. Ativar/Desativar Alterne entre a ativação e a desativação de um perfil de dispositivo. Excluir Faça a manutenção da sua lista de perfis removendo perfis desnecessários. Pop-up de passar o mouse de perfil do dispositivo Cada perfil de dispositivo na coluna Detalhes do perfil apresenta um ícone de dica de ferramenta no canto superior direito. Quando esse ícone é tocado (em dispositivo móvel de tela de toque) ou ao passar o ponteiro do mouse sobre ele (PC ou Mac), ele exibe uma janela pop-up. Essa janela pop-up contém informações de perfil como Nome do perfil, Plataforma e o payload incluído Tipo. VMware, Inc. 179

180 Um ícone de dica de ferramenta semelhante é encontrado na coluna Grupos atribuídos na Lista de perfis, com caixas pop-up de passar o mouse exibindo Grupos inteligentes atribuídos e Tipo de implementação. Confirmar instalação de perfil do dispositivo Nos casos pouco frequentes em que os perfis não puderem ser instalados nos dispositivos desejados, a tela Visualizar dispositivos permitirá ver os motivos específicos pelos quais isso não foi possível. Procedimentos 1 Vá para Dispositivos > Perfis e recursos > Perfis e selecione o número de links à direita da coluna Status de instalação para abrir a tela Visualizar dispositivos. 2 (Opcional) Crie um arquivo de valores separados por vírgula (CSV) de toda a página Visualizar dispositivos selecionando o ícone Exportar ( ). O Excel pode ser usado para ler e analisar o arquivo CSV. 3 (Opcional) Personalize quais colunas serão exibidas na página Visualizar dispositivos selecionando o ícone Colunas disponíveis ( ). Visualizar coluna de status de comando de dispositivos Os dispositivos ios apresentam a coluna Status do comando na tela Visualizar dispositivos, que inclui os status de instalação a seguir, conforme eles se relacionam com o dispositivo ios selecionado. Os seguintes status aparecem na coluna Status de comando. Erro Exibido como um link que, quando selecionado, mostra o código do erro específico aplicável ao dispositivo. Mantido Exibido quando o dispositivo está incluído em um certificado de processamento em lote vigente. Não aplicável Exibido quando a atribuição de perfil não afetar o dispositivo, mas for parte do grupo inteligente ou da implementação. Por exemplo, quando o tipo de perfil é não gerenciado. Agora não Exibido quando o dispositivo está bloqueado ou ocupado de alguma maneira. Pendente Exibido quando a instalação está em fila e agendada para conclusão. Sucesso Exibido quando o perfil é instalado com sucesso. VMware, Inc. 180

181 Exibição somente leitura dos perfis dos dispositivos Os perfis de dispositivo criados e gerenciados por um grupo organizacional (GO) estarão em modo somente leitura quando acessados por um administrador com poucos privilégios. A janela de perfil refletirá o estado somente leitura adicionando o comentário "este perfil está sendo gerenciado em um grupo organizacional superior e não pode ser editado". Essa limitação somente leitura aplica-se também a atribuições de grupo inteligente. Quando um perfil é criado em um GO principal e atribuído a um grupo inteligente, um administrador de GO herdeiro pode ver o grupo, mas não pode editá-lo. Esse comportamento mantém uma segurança baseada em hierarquia, promovendo a comunicação entre os administradores. Editar perfil de dispositivo Ao utilizar o Workspace ONE UEM Console, você poderá editar um perfil do dispositivo que já tenha sido instalado nos dispositivos de sua frota. Existem dois tipos de alterações que você pode fazer no perfil de qualquer dispositivo. Geral Configurações gerais de perfil servem para gerenciar a distribuição do perfil: como o perfil é atribuído, por qual grupo organizacional é gerenciado, para/de qual grupo é atribuído/excluído. Payload As configurações de perfil de payload afetam o dispositivo: requisito de código de acesso, restrições do dispositivo como uso da câmera ou captura de tela, configurações do Wi-Fi, da VPN, entre outros. Como a operação do dispositivo em si não é afetada, as alterações em Geral podem ser feitas sem a republicação do perfil. Salvar essas alterações resultará no envio do perfil somente para os dispositivos que ainda não tiverem sido atribuídos ao perfil. As alterações em payload, entretanto, devem sempre ser republicadas para todos os dispositivos, novos e existentes, já que o funcionamento do dispositivo em si é afetado. Editar configurações gerais do perfil de dispositivo As configurações gerais de perfil incluem alterações que gerenciam apenas sua distribuição. Essa distribuição inclui a forma como o perfil é atribuído, por qual grupo organizacional (GO) é gerenciado e para/de qual grupo é atribuído/excluído. Para mais informações, veja Adicionar definição das configurações gerais do perfil e Exibir atribuição do dispositivo. VMware, Inc. 181

182 Procedimentos 1 Navegar até Dispositivos > Perfis e recursos > Perfis e selecione o ícone Editar ( ações do perfil que você deseja editar. ) no menu de Os únicos perfis editáveis são os perfis que um grupo organizacional (ou um grupo organizacional herdeiro abaixo) gerencia. 2 Faça qualquer alteração desejada na categoria Geral. 3 Após concluir as alterações em Geral., você pode selecionar Salvar e publicar para aplicar o perfil a qualquer novo dispositivo que tenha sido adicionado ou removido. Os dispositivos já atribuídos com o perfil recebem o perfil republicado novamente. A tela Exibir atribuição do dispositivo aparece, confirmando a lista de dispositivos atualmente atribuídos. Editar configurações de payload do perfil de dispositivo As configurações de perfil de payload incluem alterações que afetam o dispositivo: exigência de código de acesso, restrições do dispositivo, como uso de câmera ou captura de tela, configurações de Wi-Fi, VPN entre outros. O botão Adicionar versão permite criar uma versão de incremental do perfil em que as configurações possam ser modificadas no payload. Procedimentos 1 Ative a edição do Payload que afeta a operação do dispositivo selecionando o botão Adicionar versão. Ao selecionar o botão Adicionar versão e salvar suas alterações, o perfil do dispositivo será publicado novamente para todos os dispositivos aos quais ele foi atribuído. Essa nova publicação inclui dispositivos que já têm o perfil. Para obter instruções detalhadas sobre como configurar um payload específico, consulte o manual da plataforma aplicável, disponível em docs.vmware.com. 2 Depois de concluir as alterações no payload, selecione Salvar e publicar para aplicar o perfil a todos os dispositivos atribuídos. A tela Exibir atribuição do dispositivo aparece, permitindo confirmar a exibição da lista de dispositivos atualmente atribuídos. Perfis de conformidade Para compreender os Perfis de conformidade, você precisa compreender totalmente os perfis de dispositivo e políticas de conformidade. Os perfis de dispositivo servem como base para a segurança e o gerenciamento de dispositivos, enquanto as políticas de conformidade atuam como porta de segurança para proteger o conteúdo corporativo. VMware, Inc. 182

183 Os perfis de dispositivo concedem controle sobre uma grande variedade de configurações de dispositivo. Essas configurações incluem complexidade de código de acesso, Cerca geográfica, cronogramas, funcionalidade de hardware do dispositivo, Wi-Fi, VPN, , Certificados e muito mais. O mecanismo de conformidade monitora regras, impõe ações e aplica encaminhamentos (todos definidos por você). Perfis de conformidade, no entanto, tentam fornecer o mecanismo de conformidade com todas as opções e configurações normalmente disponíveis apenas para perfis do dispositivo. Para obter mais informações, consulte Capítulo 9políticas de conformidade. Por exemplo, você pode fazer um perfil de dispositivo especial idêntico ao seu perfil de dispositivo normal, apenas com configurações mais restritivas. Você pode, então, aplicar esse perfil de dispositivo especial na aba Ações quando definir sua política de conformidade. Com essa organização, se o usuário não deixar o dispositivo em conformidade, você pode aplicar o perfil de conformidade mais restritivo. Adicionar um perfil de conformidade Você pode adicionar um perfil de conformidade, que é um híbrido de uma política de conformidade e um perfil de dispositivo, unindo o melhor desses dois recursos. Adicionar um perfil de conformidade é um processo de duas partes: 1) faça um perfil de dispositivo e 2) atribua-o como uma "ação" em uma política de conformidade. Os perfis de conformidade são criados e salvos da mesma forma que os perfis de dispositivo Automático e Opcional. Procedimentos 1 Vá para Dispositivos > Perfis e Recursos > Perfis, selecione Adicionar e Adicionar Perfil, e selecione uma plataforma. 2 Selecione um Nome para seu perfil de conformidade que você possa reconhecer posteriormente. 3 Na aba de perfil Geral, selecione "Conformidade" na lista suspensa de configuração Tipo de atribuição. 4 Conclua as configurações restantes de Geral e Payload. 5 Quando terminar, selecione Salvar e publicar. 6 Selecione este perfil na sua política de conformidade. 7 Vá para Dispositivos > Políticas de conformidade > Exibição de lista, selecione Adicionar e selecione uma plataforma. 8 Defina as Regras e selecione Próximo. 9 Na aba Ações, faça as seguintes seleções. a b c Defina o primeiro menu suspenso como "Perfil". Defina o segundo menu suspenso como "Instalar o perfil de conformidade". Defina o terceiro menu suspenso para o dispositivo que você nomeou. VMware, Inc. 183

184 10 Selecione Próximo e continue com a definição das configurações restantes, incluindo as abas Atribuição e Resumo. 11 Salve a política de conformidade selecionando Concluir ou Concluir e Ativar. Próximo passo Para instruções detalhadas sobre como concluir um perfil de dispositivo, consulte Adicionar definição das configurações gerais do perfil. Para obter instruções detalhadas sobre como concluir uma política de conformidade, consulte Adicionar uma política de conformidade. Áreas de geofencing A Workspace ONE UEM permite definir seu perfil com uma área de geofencing. Uma área de geofencing limita o uso do dispositivo a áreas específicas, incluindo escritórios corporativos, instituições de ensino e lojas de departamentos. Você pode pensar em uma área de geofencing como um perímetro virtual para uma área geográfica do mundo real. Por exemplo, uma área de geofencing de um raio de 1,6 km poderia ser aplicada ao seu escritório e uma delimitação bem mais ampla pode ser aplicada para todo um estado. Depois de definir uma área de delimitação geográfica, você pode aplicá-la aos perfis, aplicativos de SDK e aplicativos da Workspace ONE UEM, como o VMware Content Locker, etc. A ativação da Área de geofencing é um processo de duas etapas. a b Adicionar área de Cerca geográfica. Aplicar uma delimitação geográfica a um perfil. O geofencing está disponível para dispositivos Android e ios. Lembre-se de que, embora o geofencing seja combinado com outro payload para ativar perfis de segurança baseados em localização, é recomendável ter apenas um payload por perfil. Para obter mais informações sobre como o Workspace ONE UEM rastreia a localização do GPS, consulte o seguinte artigo de Base de conhecimento: Compatibilidade de geofencing em dispositivos ios O geofencing funcionará somente para aplicativos em dispositivos ios que estejam com os Serviços de localização ativados. Para que os serviços de localização funcionem, o dispositivo deve estar conectado a uma rede celular ou a uma rede Wi-Fi. Caso contrário, o dispositivo deve ter recursos integrados de GPS. Para dispositivos apenas com Wi-Fi, os dados de GPS são informados quando o dispositivo está ligado e desbloqueado e quando o Workspace ONE Intelligent Hub está aberto e sendo usado. Para dispositivos celulares, os dados de GPS são informados quando o dispositivo muda de torres de telefonia celular. O VMware Browser e Content Locker informarão os dados de GPS (usando o Workspace ONE Intelligent Hub) quando o usuário abrir e usar esses dados. VMware, Inc. 184

185 Os dispositivos no "Modo avião" ficam com os serviços de localização (e, portanto, o geofencing) desativados. Dispositivo Wi-Fi Rede celular GPS embutido iphone ipad Wi-Fi + 3G/4G ipad Wi-Fi ipod Touch Os seguintes requisitos devem ser atendidos para que a localização de GPS seja atualizada. O Workspace ONE Intelligent Hub deve estar em execução no dispositivo. As configurações de privacidade devem permitir que os dados de localização de GPS sejam coletados (Grupos e configurações > Todas as configurações > Dispositivos e usuários > Geral > Privacidade). As configurações do Workspace ONE Intelligent Hub para Apple ios devem ativar Coletar dados de localização (Grupos e configurações > Todas as configurações > Dispositivos e usuários > Apple > Apple ios > Configurações de hub). Defina as configurações de SDK do Workspace ONE Intelligent Hub como as configurações de SDK padrão em vez de defini-las como Nenhuma. Adicionar área de Cerca geográfica Você precisa definir uma área de cerca geográfica antes de aplicar uma ao dispositivo. Procedimentos 1 Acesse a página de configurações de Área em Dispositivos > Perfis e recursos > Configurações do perfil > Áreas. Selecione Adicionar e Área de cerca geográfica. 2 Digite um Endereço e o Raio inicial da área de geofencing em quilômetros ou milhas. Você pode clicar duas vezes sobre qualquer área no mapa para definir uma localização central. 3 Selecione Pesquisar para visualizar no mapa a região geral em que a área de cerca geográfica será aplicada. Observação A integração com os mapas do Bing exige a carga de "conteúdo inseguro" nessa página. Se uma pesquisa de localização não responder conforme o esperado, selecione Exibir todo o conteúdo em seu navegador. 4 Digite o Nome da área (como aparece no Workspace ONE UEM Console) e selecione Salvar. Próximo passo Em seguida, você precisa aplicar uma delimitação geográfica a um perfil. Para mais informações, veja Aplicar uma delimitação geográfica a um perfil. VMware, Inc. 185

186 Aplicar uma delimitação geográfica a um perfil Depois de adicionar uma área da cerca geográfica, você pode aplicá-la ao perfil de segurança e combiná-la com outros payloads para criar perfis mais robustos. Se um usuário desativar manualmente os serviços de localização no seu dispositivo ios, Workspace ONE UEM não poderá mais coletar atualizações de localização. Workspace ONE UEM considera o dispositivo como estando no local em que os serviços foram desativados. Procedimentos 1 Vá para Dispositivos > Perfis e recursos > Perfis > ADICIONAR e selecione uma plataforma. 2 Selecione Instalar apenas nos dispositivos dentro das áreas selecionadas na aba Geral. Uma caixa com Áreas de geofencing atribuídas é exibida. Se nenhuma área geográfica tiver sido definida, o menu irá direcioná-lo para o menu de criação de área geográfica. 3 Digite uma ou várias áreas de geofencing para o perfil. 4 Configure um payload do tipo Código de acesso, Restrições ou Wi-Fi a ser aplicado somente enquanto os dispositivos estiverem dentro das áreas de geofencing selecionadas. 5 Selecione Salvar e publicar. Por exemplo, você pode definir áreas de delimitação geográfica para cada um dos seus escritórios. Então, adicione um payload Restrições que impeça o acesso ao Game Center, jogos multijogadores, conteúdo do YouTube e outras configurações. Depois de ativado, os funcionários do grupo organizacional aos quais o perfil foi aplicado não terão mais acesso a essas funções enquanto estiverem no escritório. ibeacons O ibeacon é um protocolo de detecção de proximidade baseado em Bluetooth desenvolvido pela Apple. Como tal, é exclusivo de determinados produtos da Apple. ibeacon é específico para dispositivos ios e é usado para gerenciar o reconhecimento de uma localização geográfica. Para obter mais informações, consulte o Manual para a Plataforma ios da VMware AirWatch, disponível em docs.vmware.com. Agendamentos Os agendamentos permitem que você controle quando o perfil de um dispositivo estará ativo. O perfil determina o quanto a usabilidade do dispositivo deve ser restritiva ou permissiva. O agendamento simplesmente coloca a instalação de perfis em uma agenda. A ativação de um agendamento é um processo de duas etapas. 1 Defina um agendamento. Para mais informações, consulte Definir um agendamento VMware, Inc. 186

187 2 Aplique um agendamento a um perfil. Para mais informações, consulte Aplique um agendamento a um perfil Definir um agendamento Você precisa definir um agendamento antes de aplicá-lo a um perfil do dispositivo. Procedimentos 1 Vá para Dispositivos > Perfis e recursos > Configurações dos perfis > Agendamentos. 2 Selecione Adicionar agenda acima da coluna Nome da agenda. 3 Selecione Adicionar agenda localizado sob a coluna Dia da semana e conclua as seguintes configurações. Configuração Nome do agendamento Fuso horário Dia da semana Dia inteiro Hora de início Hora do encerramento Descrição Digite o nome do agendamento exibido na listagem. Selecione o fuso horário do grupo organizacional onde o dispositivo é gerenciado. Aplique uma instalação de perfil agendada selecionando o dia da semana. Faça o perfil ser instalado à meia-noite no Dia da semana selecionado. A marcação desta caixa de seleção remove as colunas Hora de início e Hora de término. Selecione a hora do dia para a instalação do perfil. Selecione a hora do dia para a desinstalação do perfil. Ações Remova a agenda do dia clicando no X. 4 Selecione Salvar. Aplique um agendamento a um perfil Depois de definir um agendamento, é possível aplicá-lo a um novo perfil e combiná-lo com outros payloads para criar perfis mais robustos. Por exemplo, você pode definir cronogramas de horário de trabalho normais e adicionar um payload de Restrições que nega o acesso ao YouTube, jogos multiplayer e outros aplicativos. Depois de ativado, os usuários do grupo organizacional aos quais o perfil foi aplicado não têm mais acesso a essas funções durante os períodos especificados. Procedimentos 1 Vá para Dispositivos > Perfis e recursos > Perfis > ADD e selecione a sua plataforma. 2 Selecione Ativar o agendamento e instalar somente durante períodos selecionados na aba Geral. 3 Na caixa Agendamentos atribuídos, digite um ou mais agendamentos para esse perfil. VMware, Inc. 187

188 4 Configure um payload do tipo Código de acesso, Restrições ou Wi-Fi a ser aplicado somente enquanto os dispositivos estiverem dentro dos horários programados. 5 Selecione Salvar e publicar. Aplicar um agendamento a um perfil existente Você pode aplicar uma agenda definida anteriormente a um perfil existente, fazendo com que esse perfil cumpra as restrições de tempo que você cria. Procedimentos 1 Vá para Dispositivos > Perfis e recursos > Perfis e selecione o perfil a editar na listagem. Selecione o ícone de lápis ( ) ou clique no nome do perfil. 2 Na aba Geral da página do perfil, ative a configuração Ativar o agendamento e instalar somente durante períodos selecionados. 3 Na configuração Agendamento atribuído exibida, selecione o agendamento salvo anteriormente no menu suspenso. 4 Selecione Salvar e publicar. Excluir um agendamento Mantenha sua coleção livre de agendas não utilizadas excluindo-as. Você não pode excluir um agendamento atribuído a um perfil. Cancele a atribuição da agenda do perfil antes de excluir. Pré-requisitos Vá para Dispositivos > Perfis e recursos > Configurações dos perfis > Agendamentos. Procedimentos 1 Use o botão de seleção ao lado da agenda que quiser excluir. 2 Selecione o botão Excluir. Exibir atribuição do dispositivo Clicar no botão Salvar e publicar após a configuração de um perfil exibe a página Exibir atribuição do dispositivo, que serve como uma amostra dos dispositivos afetados (ou não afetados). VMware, Inc. 188

189 Dependendo do tipo de alteração que você faz em um perfil de dispositivo, a coluna Status da atribuição reflete vários estados. Adicionado O perfil foi adicionado e publicado no dispositivo. Removido O perfil é removido do dispositivo. Inalterado Indica que o perfil não está agendado para republicação no dispositivo. Atualizado Indica que o perfil é republicado em um dispositivo que já tem o perfil atribuído. Selecione Publicar para finalizar as alterações e, se necessário, voltar a publicar qualquer perfil necessário. VMware, Inc. 189

190 Recursos 8 Os recursos simplificam o aprovisionamento de payloads do Wi-Fi, da VPN e do Exchange para implementações do Workspace ONE UEM compatíveis com várias plataformas de dispositivo, como ios, Android e Windows. Crie um recurso para cada uma desses payloads e defina as configurações gerais que cada plataforma de dispositivo recebe. Como opção, é possível definir as configurações específicas da plataforma que se aplicam apenas aos dispositivos. Os recursos são definidos, gerenciados e implementados separadamente dos perfis de dispositivo. Implemente recursos juntamente com perfis de dispositivo para fornecer gerenciamento profundo e amplo de dispositivos para todas as plataformas compatíveis na sua implementação. Você não tem que usar recursos para implementar configurações do Wi-Fi, da VPN ou do Exchange. Se preferir, ainda pode criar perfis de dispositivo separados para esses payloads para cada plataforma. Considere a implementação de recursos quando esperar que as configurações do Wi-Fi, da VPN ou do Exchange sejam idênticas ou semelhantes entre plataformas. Então, crie perfis de dispositivos normalmente para gerenciar melhor a funcionalidade de cada plataforma. Este capítulo inclui os seguintes tópicos: Modo de exibição de lista de recursos Adicionar um recurso do Exchange Adicionar um recurso do Wi-Fi Adicionar um recurso da VPN Modo de exibição de lista de recursos Use o Modo de exibição de lista de recursos para adicionar e gerenciar sua coleção crescente de recursos de dispositivo que inclui visualização, exclusão e edição de configurações individuais do dispositivo. Adicionar um recurso Você pode adicionar um recurso para provisionar a sua frota de dispositivos multiplataforma com as mesmas configurações do Exchange, do Wi-Fi e da VPN. VMware, Inc. 190

191 Vá para Dispositivos > Perfis e recursos > Recursos e selecione Adicionar recurso. É necessário selecionar entre as opções a seguir para adicionar um recurso. Exchange Defina as configurações de para poder manter contato com seu servidor de e- mail do Exchange. Wi-Fi Defina as configurações de conectividade via Wi-Fi para manter a conectividade da rede. VPN Defina as configurações de rede virtual privada para manter uma conexão segura. Cada recurso exige três etapas de configuração distintas. Crie um recurso de dispositivo especificando os Detalhes do recurso, as Plataformas aplicáveis e a Atribuição do recurso para os dispositivos. Os Detalhes do recurso contêm o nome do recurso, descrição, dependências de servidor e outras configurações críticas que determina como o recurso opera. A Plataforma define em que dispositivos o recurso é executado. A Atribuição determina como o recurso é implementado, incluindo os grupos organizacionais, os grupos de usuários e os grupos inteligentes. Gerenciar Recursos Quando tiver reunido uma coleção de recursos, você poderá gerenciá-los em Dispositivos > Perfis e Recursos > Recursos e Filtrar, Visualizar, Editar e Excluir recursos. Filtre o Modo de exibição de lista de recursos para mostrar os recursos ativos, inativos ou todos os recursos. Visualize as diferentes plataformas incluídas em seu recurso selecionado o numeral do hyperlink na coluna Plataformas. Abra as Configurações avançadas para o recurso selecionando o nome da plataforma do hyperlink. Abra a página Visualizar dispositivos selecionando os numerais no hyperlink na coluna Instalado/Atribuído da página Plataformas. Essa página exibe a lista de dispositivos atribuídos ao recurso. Visualize e exporte o código XML e carregue um certificado clicando no hyperlink Visualizar na coluna XML da página Plataformas. Edite um recurso selecionando o link do nome do recurso, que exibe a seção Detalhes do recurso da página Editar recurso. Edite os detalhes do recurso clicando no lápis de edição ( ) à esquerda da lista de recursos. Você pode continuar a fazer edições nas outras seções da página Editar recurso selecionando o botão Próximo. Edite a atribuição do recurso selecionando o botão de opção à esquerda do recurso e clicando no botão Editar atribuição. VMware, Inc. 191

192 Exclua um recurso selecionando o botão de opção à esquerda do recurso e clicando no botão Excluir. Excluir um recurso define o recurso como inativo até que ele seja removido de todos os dispositivos. Adicionar um recurso do Exchange Você pode adicionar um recurso dedicado para fornecer aos dispositivos meios enviar e receber comunicações seguras via . Para obter uma visão geral, consulte Capítulo 8Recursos. Procedimentos 1 Vá para Dispositivos > Perfis e Recursos > Recursos e selecione Adicionar recurso seguido de Exchange e conclua as seguintes configurações. Configurações Descrição Detalhes do recurso Nome do recurso Descrição Nome do perfil a ser exibido no Workspace ONE UEM Console. Uma breve descrição do perfil explicando a sua finalidade. Informações de conexão Cliente de Host do Exchange Usar SSL Selecione o cliente de que deseja usar com o recurso. Digite o Host do Exchange para a conta de a ser incluída no recurso. Ative uma camada de soquete seguro para esse cliente de . Avançado Domain* User name* Address* Senha Certificado de identidade Sincronização retroativa de s Sincronizar agenda Sincronizar contatos Digite um valor de pesquisa para o domínio de . Digite um valor de pesquisa para o nome de usuário do . Digite um valor de pesquisa para o endereço de . Insira a senha para a conta do . Marque a caixa de seleção Exibir caracteres para exibir a senha abertamente. Carregue e anexe uma autoridade de certificação à conta de selecionando o botão Adicionar um certificado. Selecione o tamanho do histórico do que você quer sincronizar. Escolha entre 3 dias, 1 semana, 2 semanas, 1 mês e Ilimitado. Escolha sincronizar o calendário do seu dispositivo com o calendário do Exchange. Essa configuração é ativada por padrão nos dispositivos ios e macos. Escolha sincronizar os contatos do seu dispositivo com os contatos do Exchange. Essa configuração é ativada por padrão nos dispositivos ios e macos. * Para obter detalhes, consulte Valores de pesquisa. VMware, Inc. 192

193 2 Clique em Próximo para ir para a seleção de Plataformas. Escolha entre as seguintes plataformas compatíveis, optando pelas configurações padrão ou Configurações avançadas. Definir configurações avançadas para Exchange do ios. Definir configurações avançadas para Exchange do macos. Definir configurações avançadas para Exchange do Android. Definir configurações avançadas para o Exchange para Windows Phone. Definir configurações avançadas para o Windows Desktop Exchange. 3 Clique em Próximo para ir para a seção Atribuição. 4 Atribua os recursos aos dispositivos concluindo as configurações a seguir. Configurações Tipo de atribuição Descrição Determina como o recurso será implementado em dispositivos. Automático O recurso é implementado automaticamente em todos os dispositivos. Opcional Um usuário pode, opcionalmente, instalar o recurso do Self Service Portal (SSP). O recurso também pode ser implementado em dispositivos individuais, a critério do administrador. Gerenciado por Grupos atribuídos Exclusões Exibir atribuição do dispositivo Grupo organizacional com acesso administrativo ao recurso. O grupo ao qual você quer que o recurso de dispositivo seja adicionado. Inclui uma opção para criar um novo grupo inteligente, que pode ser configurado com especificações mínimas de sistema operacional, modelos de dispositivo, categorias de propriedade, grupos organizacionais e mais. Se Sim for selecionado, uma nova caixa de texto chamada Grupos excluídos será exibida, permitindo que você selecione os grupos que deseja excluir da atribuição desse recurso. Depois de fazer uma seleção na caixa de texto Grupo atribuído, você pode selecionar este botão para visualizar uma lista de todos os dispositivos aos quais este perfil será atribuído, considerando as atribuições e exclusões do grupo inteligente. Definir configurações avançadas para Exchange do ios As configurações avançadas do Exchange para ios consistem em opções de configuração de S/MIME e segurança, fornecimento de criptografia de específica para o usuário e baseada em certificado. Configuração Usar S/MIME. Certificado S/MIME Certificado de criptografia S/MIME Ativar troca por mensagem. Descrição Use Extensões seguras multiproposta de , uma criptografia de chave pública e assinatura padrão. Disponível apenas quando a opção Usar S/MIME está ativada. Selecione Adicionar um certificado para adicionar um certificado a s. Disponível apenas quando a opção Usar S/MIME está ativada. Adicione um certificado que criptografe e assine digitalmente s selecionando Adicionar um certificado. Disponível apenas quando a opção Usar S/MIME está ativada. Permitir que os usuários escolham quais mensagens de individuais assinar e criptografar usando o cliente de correio ios nativo (ios 8 ou posterior, somente supervisionada). VMware, Inc. 193

194 Configuração Descrição Configurações e segurança Impedir que as mensagens sejam movidas. Bloquear o uso em aplicativos de terceiros. Desativar a sincronização de contatos recentes. Impedir o Mail Drop. Impeça a movimentação de de uma caixa de entrada do Exchange para outra caixa de entrada no dispositivo. Impeça que outros aplicativos usem a caixa de entrada do Exchange para enviar mensagens. Impeça sugestões de contatos ao enviar no Exchange. Impeça que o recurso Mail Drop da Apple seja usado. Definir configurações avançadas para Exchange do macos Habilite seus dispositivos macos para recuperar a troca de definindo as configurações avançadas. Configuração Host interno do Exchange Porta Caminho do servidor interno Use SSL para o Host interno do Exchange. Host externo do Exchange. Porta Caminho de servidor externo Use SSL para Host externo do Exchange. Descrição O nome do servidor seguro para uso de EAS. Essa opção e a seguinte aparecem quando Cliente de nativo está selecionado. Digite o número da porta atribuída para comunicação com o host interno do Exchange. Localização do servidor seguro para uso de EAS. Comunique-se com o Host interno do Exchange ativando o Secure Socket Layer (SSL). Nome do servidor externo para uso de EAS. Digite o número da porta atribuída para comunicação com o host externo do Exchange. Localização do servidor externo para uso de EAS. Comunique-se com o Host de câmbio externo ativando o Secure Socket Layer (SSL). Definir configurações avançadas para Exchange do Android As configurações avançadas do Exchange para Android consistem em histórico de sincronização, restrições, agendamento de sincronização e S/MIME. Configure essas opções para entregar aos seus dispositivos Android. Configuração Descrição Configurações Sincronização retroativa da agenda Permitir sincronização de tarefas Sincronize um número selecionado de dias passados no calendário do dispositivo. Permita que as tarefas sincronizem com o dispositivo. VMware, Inc. 194

195 Configuração Tamanho máximo de truncamento de (KB) Assinatura de s Ignorar erros SSL Descrição Especifique o tamanho (em KB) além do qual os s são truncados quando sincronizados com os dispositivos. Digite a assinatura de a ser exibida nos s enviados. Permita que os dispositivos ignorem erros SSL para os processos do Agent. Restrições Permitir anexos Tamanho máximo do anexo Permitir encaminhamento de Permitir formato HTML Desativar capturas de tela Intervalo de sincronização Permita anexos nos s. Especifique o tamanho máximo do anexo em MB. Permita encaminhamento de s. Especifique se o sincronizado com o dispositivo pode estar no formato HTML. Se essa configuração estiver desativada, o será convertido em texto. Não permitir a captura de tela no dispositivo. Digite o número de minutos entre as sincronizações. Agendar sincronização para dias de pico Agende os dias de pico da semana para sincronização, a Hora de início e a Hora de término em dias selecionados. Defina a frequência de Agendar sincronização durante pico e Agendar sincronização fora de pico. A seleção de Automático sincroniza o automaticamente sempre que ocorrerem atualizações. A seleção de Manual somente sincroniza o quando selecionado. A seleção um valor de hora sincroniza o em um cronograma definido. Ative Usar SSL, Usar TLS e Conta padrão. Configurações de S/MIME Selecionar Usar S/MIME Aqui você pode selecionar um certificado S/MIME que pode ser associado a um Certificado de usuário no payload Credenciais. Certificado S/MIME Selecione o certificado a ser usado. Exigir mensagens S/MIME criptografadas Exija a criptografia das mensagens S/MIME. Exigir mensagens S/MIME assinadas Exija que todas as mensagens S/MIME sejam digitalmente assinadas. Forneça um Host de migração se estiver usando certificados S/MIME para criptografia. Definir configurações avançadas para o Exchange para Windows Phone As configurações avançadas do Exchange para Windows Phone consistem em configurações de agendamento de sincronização e de proteção de dados. Defina essas configurações para fornecer trocas de s para seus dispositivos com segurança. VMware, Inc. 195

196 Configurações Descrições Configurações Intervalo para a próxima sincronização (min) Log de diagnóstico Digite o número de minutos entre as sincronizações. Selecione o tipo de log de diagnóstico você quer coletar. Tipo de conteúdo Exigir proteção de dados quando bloqueado Domínios protegidos Permitir sincronização de e- mail Proteja dados quando um dispositivo estiver com bloqueio de PIN. Quando o dispositivo é configurado para usar bloqueio de PIN, os dados protegidos são criptografados usando uma chave empresarial separada. Se alguém tiver acesso ao bloqueio de PIN do dispositivo, o e os dados da organização serão protegidos por uma chave separada. Disponível apenas quando Exigir proteção de dados quando bloqueado está ativado. Digite valores de pesquisa dos domínios do Exchange que deseja proteger. Para obter detalhes, consulte Valores de pesquisa. Permita sincronização do . Desativar essa configuração remove o acesso ao por meio do Exchange Active Sync. Definir configurações avançadas para o Windows Desktop Exchange As configurações avançadas do Exchange para Windows Desktop consistem em configurações de agendamento de sincronização e de proteção de dados. Defina essas configurações para fornecer trocas de s para seus dispositivos com segurança. Configurações Descrições Configurações Intervalo para a próxima sincronização (min) Log de diagnóstico Escolha a frequência, em minutos, que o dispositivo sincroniza com o servidor EAS. Registre informações para solução de problemas. Tipo de conteúdo Permitir sincronização de Permita a sincronização de mensagens de . Adicionar um recurso do Wi-Fi Você pode adicionar um recurso dedicado para fornecer aos dispositivos meios de conectarem-se a uma rede sem fio, permitindo o envio e recebimento de dados de forma segura. VMware, Inc. 196

197 Procedimentos 1 Vá para Dispositivos > Perfis e Recursos > Recursos e selecione Adicionar recurso seguido de Wi-Fi e conclua as seguintes configurações. Configurações Descrição Detalhes do recurso Nome do recurso Descrição Nome do perfil a ser exibido no Workspace ONE UEM Console. Uma breve descrição do perfil explicando a sua finalidade. Informações de conexão Identificador do conjunto de serviços Rede oculta Conectar automaticamente Criptografia Senha Digite um identificador que esteja associado com o nome (SSID) da rede Wi-Fi desejada. Ative se a rede não estiver aberta para transmissão. Configuração que orienta o dispositivo a conectar-se à rede automaticamente. Use o menu suspenso para especificar se os dados transmitidos usando a conexão Wi-Fi estão criptografados. Exibido com base no Tipo de segurança. Insira a senha para a conta do . Marque a caixa de seleção Exibir caracteres para exibir a senha abertamente. 2 Clique em Próximo para ir para a seleção de Plataformas. Escolha entre as seguintes plataformas compatíveis, optando pelas configurações padrão ou Configurações avançadas. Definir configurações avançadas para proxy do Wi-Fi. Definir configurações avançadas para Wi-Fi do macos. Definir configurações avançadas para Wi-Fi do Android. Definir configurações avançadas para Wi-Fi do Windows. 3 Clique em Próximo para ir para a seção Atribuição. 4 Atribua os recursos aos dispositivos concluindo as configurações a seguir. Configurações Tipo de atribuição Descrição Determina como o recurso será implementado em dispositivos. Automático O recurso é implementado automaticamente em todos os dispositivos. Opcional Um usuário pode, opcionalmente, instalar o recurso do Self Service Portal (SSP). O recurso também pode ser implementado em dispositivos individuais, a critério do administrador. Gerenciado por Grupos atribuídos Grupo organizacional com acesso administrativo ao recurso. O grupo ao qual você quer que o recurso de dispositivo seja adicionado. Inclui uma opção para criar um novo grupo inteligente, que pode ser configurado com especificações mínimas de sistema operacional, modelos de dispositivo, categorias de propriedade, grupos organizacionais e mais. VMware, Inc. 197

198 Configurações Exclusões Exibir atribuição do dispositivo Descrição Se Sim for selecionado, uma nova caixa de texto chamada Grupos excluídos será exibida, permitindo que você selecione os grupos que deseja excluir da atribuição desse recurso. Depois de fazer uma seleção na caixa de texto Grupo atribuído, você pode selecionar este botão para visualizar uma lista de todos os dispositivos aos quais este perfil será atribuído, considerando as atribuições e exclusões do grupo inteligente. Definir configurações avançadas para proxy do Wi-Fi Definir configurações avançadas do Wi-Fi para conectar dispositivos à Workspace ONE UEM usando um proxy. Configuração Tipo de proxy URL do proxy Permissão de conexão direta se o PAC estiver inacessível Servidor Proxy Porta do servidor proxy Nome de usuário do proxy Senha do proxy Descrição Escolha entre Nenhum, Manual e Automático. Disponível apenas quando o Tipo de proxy é Automático. Insira a URL do proxy do Wi-Fi usado pelo dispositivo para conexão. Disponível apenas quando o Tipo de proxy é Automático. Ative se desejar permitir que o dispositivo se conecte durante os momentos em que o arquivo de configuração automática do proxy não estiver acessível. Disponível apenas quando o Tipo de proxy é Manual. Digite o nome do servidor proxy com o qual seus dispositivos se conectam. Disponível apenas quando o Tipo de proxy é Manual. Inclua o número de porta do servidor proxy pela qual o dispositivo faz a conexão com o servidor proxy. Disponível apenas quando o Tipo de proxy é Manual. Digite um nome de usuário reconhecido pelo servidor proxy. Disponível apenas quando o Tipo de proxy é Manual. Digite a senha correspondente ao nome de usuário informado. Definir configurações avançadas para Wi-Fi do macos Definir configurações de Wi-Fi avançadas para conectar os dispositivos ao Workspace ONE UEM usando um proxy. Configuração Perfil Descrição Escolha o destino da definição das configurações do proxy. Dispositivo Limite as configurações de proxy para o dispositivo macos específico Usuário Aplique as configurações de proxy ao usuário do dispositivo macos Aplique as configurações de proxy aos dois destinos marcando as duas caixas. Proxy Tipo de proxy URL do proxy Escolha entre Nenhum, Manual e Automático. Disponível apenas quando o Tipo de proxy é Automático. Digite a URL do proxy do Wi-Fi usado pelo dispositivo para conexão. VMware, Inc. 198

199 Configuração Permissão de conexão direta se o PAC estiver inacessível Servidor Proxy Porta do servidor proxy Nome de usuário do proxy Senha do proxy Descrição Disponível apenas quando o Tipo de proxy é Automático. Ative se desejar permitir que o dispositivo se conecte durante os momentos em que o arquivo de configuração automática do proxy não estiver acessível. Disponível apenas quando o Tipo de proxy é Manual. Digite o nome do servidor proxy com o qual seus dispositivos se conectam. Disponível apenas quando o Tipo de proxy é Manual. Inclua o número de porta do servidor proxy pela qual o dispositivo faz a conexão com o servidor proxy. Disponível apenas quando o Tipo de proxy é Manual. Digite um nome de usuário reconhecido pelo servidor proxy. Disponível apenas quando o Tipo de proxy é Manual. Digite a senha correspondente ao nome de usuário informado. Definir configurações avançadas para Wi-Fi do Android As configurações avançadas do Wi-Fi para Android consistem nas configurações do Fusion e do Proxy. Essas permitem especificar configurações sem fio para frequências de rádio, máscaras espectrais e configurações de servidor de proxy. Configuração Descrição Fusion Incluir configurações de Fusion Definir Fusion d/Ativar d Configurar código do país/código do país Configurar a banda de frequência de rádio Configurar 2.4 GHz/Ativar 2.4 GHz Máscara de canal 2,4 GHz Configurar 5 GHz/Ativar 5 GHz Máscara de canal 5 GHz Exiba as configurações principais para o recurso Fusion. Use uma especificação wireless d para operações em domínios regulamentares adicionais. Configure o Código do país para uso nas especificações d. Exiba todas as opções de especificação de radiofrequência, incluindo mascaramento de canal de 2.4 GHz e 5 GHz. Use a frequência sem fio de 2.4 GHz. Reduza a interferência adjacente do canal aplicando um canal ou máscara espectral em torno da frequência de 2.4 GHz. Use a frequência sem fio de 5 GHz. Reduza a interferência adjacente do canal aplicando um canal ou máscara espectral em torno da frequência de 5 GHz. Proxy Ativar proxy manual Servidor Proxy Porta do servidor proxy Lista de exclusão Exiba as configurações do servidor proxy. Digite o nome de domínio do proxy. Digite o número de porta a ser usado pelo servidor proxy. Digite nomes de host que não são encaminhados pelo proxy. Use um asterisco como curinga para o domínio. Por exemplo, *.air-watch.com. VMware, Inc. 199

200 Definir configurações avançadas para Wi-Fi do Windows Defina configurações avançadas do Wi-Fi para conectar seus dispositivos Windows (desktop e celular) à Workspace ONE UEM usando um proxy. Configuração Proxy URL Porta Descrição Ative para usar um proxy para conectar seus dispositivos Windows à Workspace ONE UEM. Disponível apenas quando o Proxy está ativado. Digite a URL do proxy do Wi-Fi usado pelo dispositivo para conexão. Disponível apenas quando o Proxy está ativado. Inclua o número de porta do servidor proxy pela qual o dispositivo faz a conexão com o servidor proxy. Adicionar um recurso da VPN Você pode adicionar um recurso dedicado para fornecer uma rede virtual privada (VPN). Uma VPN permite que os usuários enviem e recebam dados por redes públicas como se estivessem diretamente conectados a uma rede privada. Procedimentos 1 Vá para Dispositivos > Perfis e Recursos > Recursos e selecione Adicionar recurso seguido de VPN e conclua as seguintes configurações. Configurações Descrição Detalhes do recurso Nome do recurso Descrição Nome do perfil a ser exibido no Workspace ONE UEM Console. Uma breve descrição do perfil explicando a sua finalidade. Informações de conexão Tipo de conexão Servidor Selecione o tipo de conexão segura na listagem suspensa. Digite a URL do servidor. 2 Clique em Próximo para ir para a seleção de Plataformas. Escolha entre as seguintes plataformas compatíveis, optando pelas configurações padrão ou Configurações avançadas. Definir configurações avançadas para VPN do ios Definir configurações avançadas para VPN do Android Definir configurações avançadas para VPN do Windows Phone 3 Clique em Próximo para ir para a seção Atribuição. VMware, Inc. 200

201 4 Atribua os recursos aos dispositivos concluindo as configurações a seguir. Configurações Tipo de atribuição Descrição Determina como o recurso será implementado em dispositivos. Automático O recurso é implementado automaticamente em todos os dispositivos. Opcional Um usuário pode, opcionalmente, instalar o recurso do Self Service Portal (SSP). O recurso também pode ser implementado em dispositivos individuais, a critério do administrador. Gerenciado por Grupos atribuídos Exclusões Exibir atribuição do dispositivo Grupo organizacional com acesso administrativo ao recurso. O grupo ao qual você quer que o recurso de dispositivo seja adicionado. Inclui uma opção para criar um novo grupo inteligente, que pode ser configurado com especificações mínimas de sistema operacional, modelos de dispositivo, categorias de propriedade, grupos organizacionais e mais. Se Sim for selecionado, uma nova caixa de texto chamada Grupos excluídos será exibida, permitindo que você selecione os grupos que deseja excluir da atribuição desse recurso. Depois de fazer uma seleção na caixa de texto Grupo atribuído, você pode selecionar este botão para visualizar uma lista de todos os dispositivos aos quais este perfil será atribuído, considerando as atribuições e exclusões do grupo inteligente. Definir configurações avançadas para VPN do ios As configurações avançadas da VPN para ios consistem em configurações de conexão e autenticação, configurações de proxy e de fornecedor. Ative essas configurações conforme necessário para configurar a VPN para ios. Configurações Descrição Informações de conexão Conta Desconectar quando estiver no modo ocioso (min.). Enviar todo o tráfego. Regras de VPN por aplicativo Conectar automaticamente. Tipo de provedor Domínios Safari Insira o nome da conta da VPN. Permita que a VPN se desconecte automaticamente após certo tempo. O suporte para esse valor depende do provedor da VPN. Selecione para forçar todo o tráfego pela rede especificada. Selecione para ativar e configurar regras de VPN por aplicativo. Selecione para permitir que a VPN se conecte automaticamente aos domínios Safari. Essa opção é exibida quando a caixa de seleção Regras da VPN por aplicativo está marcada. Selecione o tipo de provedor de VPN por aplicativo. Determine como enviar o tráfego do túnel, por camada de aplicativo ou por camada IP selecionando entre AppProxy e PacketTunnel. Essa opção é exibida quando a caixa de seleção Regras da VPN por aplicativo está marcada. Digite cada domínio para ao qual deseja conectar automaticamente com a VPN por aplicativo. Esses domínios são sites internos que disparam uma conexão de VPN automática. Essa opção é exibida quando a caixa de seleção Regras da VPN por aplicativo está marcada. Autenticação Autenticação do usuário Nome do grupo Autentique usuários carregando um Certificado ou exigindo uma Senha para acesso à VPN. Digite o nome do grupo de Workspace ONE UEM. VMware, Inc. 201

202 Configurações Senha Certificado de identidade Ativar VPN sob demanda. Usar novas chaves sob demanda. Correspondência com o domínio ou host. Ação sob demanda Descrição Disponível quando a Autenticação do usuário está definida como Senha. Digite a senha para o nome do grupo da Workspace ONE UEM. Essa configuração só está disponível quando a Autenticação do usuário está definida como Certificado. Selecione Adicionar um certificado para qualquer nome e carregue um arquivo de certificado ou selecione uma autoridade de certificação existente usando um modelo de certificado. Essa configuração só está disponível quando a Autenticação do usuário está definida como Certificado. Ative VPN sob demanda para usar certificados para estabelecer conexões automáticas com a VPN. Essa configuração só está disponível quando a Autenticação do usuário está definida como Certificado. Ative a opção para ativar uma conexão com a VPN quando os usuários acessarem qualquer um dos domínios especificados. Essa configuração só está disponível quando a Autenticação do usuário está definida como Certificado. Digite um domínio ou nome de host que, quando acessado pelo usuário, acione a ativação de uma conexão com a VPN. Essa configuração só está disponível quando a Autenticação do usuário está definida como Certificado. Selecione a ação sob demanda específica do domínio que acontece quando os usuários finais ativam uma conexão com a VPN. Selecione entre Sempre estabelecer, Nunca estabelecer e Estabelecer se necessário. Proxy Proxy URL de configuração automática do servidor proxy Servidor Porta Nome de usuário Senha Selecione entre Nenhum, Manual e Automático. Disponível quando Proxy é Automático. Digite a URL do proxy do Wi-Fi usado pelo dispositivo para conexão. Disponível apenas quando o Proxy é Manual. Digite o nome do servidor proxy com o qual seus dispositivos se conectam. Disponível apenas quando o Proxy é Manual. Inclua o número de porta do servidor proxy pela qual o dispositivo faz a conexão com o servidor proxy. Disponível apenas quando o Proxy é Manual. Digite um nome de usuário reconhecido pelo servidor proxy. Disponível apenas quando o Proxy é Manual. Digite a senha correspondente ao nome de usuário informado. Configurações do fornecedor Chaves de fornecedor Chaves Valor Crie chaves personalizadas usando o dicionário de configuração do fornecedor. Digite a chave específica fornecida pelo fornecedor. Digite o valor da VPN para cada chave. Definir configurações avançadas para VPN do Android As configurações avançadas da VPN para Android consistem em autenticação e VPN sob demanda, que você deve definir para estabelecer a VPN para dispositivos Android. VMware, Inc. 202

203 Configuração Descrição Autenticação Identificar certificado. Fonte da credencial Nome da credencial Certificado Autoridade de certificação Modelo de certificado S/MIME Insira as credenciais do certificado usado para autenticar a conexão selecionando Adicionar um certificado. Selecione a fonte das credenciais. Selecione entre Carregar, Autoridade de certificação definida e Certificado do usuário. Disponível quando Fonte da credencial está definida como Carregar. Insira o nome da credencial carregada. Disponível quando Fonte da credencial está definida como Carregar. Clique em Carregar para selecionar um arquivo de certificado do seu dispositivo. Disponível quando Fonte da credencial está definida como Autoridade de certificado definida. Selecione a autoridade de certificação em uma lista suspensa. Disponível quando Fonte da credencial está definida como Autoridade de certificado definida. Essa configuração é preenchida automaticamente com base na sua seleção na configuração Autoridade de certificação. Disponível quando Fonte da credencial está definida como Certificado do usuário. Selecione entre certificado de assinatura S/MINE centrada no usuário ou certificado de criptografia S/MIME. Habilitar VPN sob demanda Ativar VPN sob demanda. Ative VPN sob demanda para usar certificados para estabelecer conexões automáticas com a VPN. Ative a VPN digitando o nome do aplicativo e selecionando o sinal de adição à esquerda do ícone de lupa. Você pode digitar mais de um aplicativo. Definir configurações avançadas para VPN do Windows Phone Defina as configurações de VPN do dispositivo para acessar de forma remota e segura a infraestrutura corporativa. Você também pode limitar o tráfego pela VPN configurando as conexões de VPN por aplicativo. Em seguida, defina a VPN para conectar automaticamente sempre que o aplicativo especificado for iniciado. Configurações Descrições Informações de conexão Configurações de conexão avançadas Endereços de roteamento Regras de roteamento de DNS Política de roteamento Configure regras avançadas de roteamento para conexões de VPN do dispositivo. Selecione Adicionar para digitar os endereços IP e tamanho de prefixo de sub-rede para conexão da VPN. Você pode adicionar mais endereços de roteamento, conforme necessário. Disponível quando as Configurações de conexão avançadas estão ativadas. Selecione Adicionar para digitar o Nome de domínio no qual o servidor da VPN é hospedado. Digite o Nome de domínio, Servidores DNS e Servidores proxy de Web para cada domínio específico. Disponível quando as Configurações de conexão avançadas estão ativadas. Permita que o tráfego use a conexão de rede local selecionando Permitir acesso direto a recursos externos. Por outro lado, selecione Forçar todo o tráfego através da VPN para enviar todo o tráfego pela VPN. Disponível quando as Configurações de conexão avançadas estão ativadas. VMware, Inc. 203

204 Configurações Proxy URL de configuração automática de proxy Servidor Porta Ignorar proxy para local Descrições Selecione Detecção automática para detectar todos os servidores proxy utilizados pela VPN automaticamente. Selecione Manual para configurar o servidor proxy. Disponível quando as Configurações de conexão avançadas estão ativadas. Digite a URL para configuração automática do proxy. Disponível apenas quando Proxy está definido como Detecção automática. Digite a URL de ajustes da configuração do servidor proxy. Exibido quando o Proxy está definido como Manual Insira o número de porta usado para acessar o servidor proxy. Exibido quando Proxy tá definido como Manual. Ignore o servidor proxy quando o dispositivo detecta que está na rede local. Autenticação Tipo de autenticação Selecione o protocolo de autenticação para a VPN. EAP Permite vários métodos de autenticação. Certificado da máquina Detecta um certificado do cliente no armazém do certificado do dispositivo para usar na autenticação. Protocolos Selecione o tipo de autenticação EAP. EAP-TLS Autenticação com Smart Card ou certificado do cliente. EAP-MSCHAPv2 Nome de usuário e senha. Tipo de credencial Seleção de certificado simples Utilizar as credenciais de login do Windows Selecione Utilizar o certificado para usar um certificado de cliente. Selecione Utilizar o cartão inteligente para usar um cartão inteligente para autenticar. Exibido quando a opção Protocolos está definida como EAP - TLS. Simplifique a lista de certificados da qual o usuário faz a seleção. O certificado mais recente é apresentado e a entidade para a qual o certificado foi emitido agrupa os certificados. Exibido quando a opção Protocolos está definida como EAP - TLS. Use as mesmas credenciais que o dispositivo Windows. Exibido quando a opção Protocolos está definida como EAP-MSCHAPv2. Regras de tráfego de VPN Identificador de aplicativo VPN sob demanda Política de roteamento Especifique as regras de tráfego de aplicativo aplicáveis inserindo o nome da família de pacote do aplicativo. Nome da família de pacotes, por exemplo: WorkspaceONE.MDMAgent_htcwkw4rx2gx4 Conecte-se automaticamente usando a VPN quando o aplicativo for iniciado. Selecione a política de roteamento para o aplicativo. Permitir acesso direto a recursos externos permite tanto o tráfego da VPN quanto pela conexão de rede local. Forçar todo o tráfego através de VPN força todo o tráfego pela VPN. VMware, Inc. 204

205 Configurações Filtros de tráfego VPN Regras amplas de VPN do dispositivo Descrições Adicione filtros de tráfego para aplicativos específicos legados e modernos. Selecione Adicionar novo filtro para adicionar Tipos de filtros e Valores de filtro às regras de roteamento. Somente o tráfego do aplicativo especificado que corresponda a essas regras pode ser enviado pela VPN. Protocolo IP Valor numérico de 0 a 255, que representa o protocolo IP para permissão. Por exemplo: TCP = 6 e UDP = 17. Endereço IP Uma lista de valores separados por vírgula especificando intervalos de endereços IP remotos para permissão. Portas Uma lista de valores separados por vírgula especificando intervalos de portas remotas para permissão. Por exemplo: , 200, A portas são válidas somente quando o protocolo está definido como TCP ou UDP. LocalPorts Uma lista de valores separados por vírgula especificando intervalos de portas locais pelas quais o tráfego é permitido. LocalAddress Uma lista de valores separados por vírgula especificando endereços IP locais pelos quais o tráfego é permitido. Selecione Adicionar para adicionar regras de tráfego para todo o dispositivo. Selecione Adicionar para adicionar Tipos de filtro e Valores de filtro às regras de roteamento. Somente o tráfego que corresponda a essas regras pode ser enviado pela VPN. Políticas Lembrar credenciais Sempre ligado Bloqueio da VPN Rede confiável Split Tunnel Desviar para local Detecção de rede confiável Tipo de conexão Tempo de desconexão por ociosidade Lembre-se das credenciais de login do usuário. Force a conexão da VPN ativando a conexão da VPN quando a conexão de rede cai e volta. Forçar que a VPN desative qualquer acesso à rede se a VPN não estiver conectada e impedir uma conexão ou modificação de outros perfis de VPN. Digite endereços de rede confiáveis separados por vírgulas. A VPN não se conecta quando uma conexão de rede confiável é detectada. Permita que os usuários usem uma VPN de split tunnel. Esse campo de texto aplica-se apenas a dispositivos Windows Phone 8.1. Desvie a conexão da VPN para tráfego de intranet local. Por exemplo, você não usa conexão da VPN se estiver conectado também à sua conexão de rede do trabalho no escritório. Esse campo de texto aplica-se apenas a dispositivos Windows Phone 8.1. Use a Detecção de rede confiável ao conectar-se à VPN. Esse campo de texto aplica-se apenas a dispositivos Windows Phone 8.1. Selecione o tipo de conexão que deseja permitir. Sempre ligado deixa a conexão da VPN em execução o tempo todo. Esse campo de texto aplica-se apenas a dispositivos Windows Phone 8.1. Defina o tempo máximo sem solicitações de conectividade até que a VPN seja automaticamente desconectada. Esse campo de texto aplica-se apenas a dispositivos Windows Phone 8.1. VPN sob demanda Permitir aplicativos Selecione Adicionar para definir aplicativos para ter todo o tráfego protegido pela VPN. Você pode adicionar quantos aplicativos quiser. VMware, Inc. 205

206 Configurações Redes permitidas Aplicativos excluídos Redes excluídas Lista de pesquisa de sufixo DNS Descrições Selecione Adicionar para definir redes. Todo o tráfego pelas redes configuradas está seguro pela VPN. Você pode adicionar quantas redes quiser. Selecione Adicionar para definir os aplicativos excluídos. O tráfego para esses aplicativos NÃO está seguro pela VPN. Você pode adicionar quantos aplicativos excluídos quiser. Selecione Adicionar para definir as redes excluídas. Todo o tráfego pelas redes excluídas NÃO está seguro pela VPN. Você pode adicionar quantas redes excluídas quiser. Selecione Adicionar para definir a lista de pesquisa de sufixo DNS. Sufixos DNS são anexados a URLs curtas para resolução de DNS e conectividade. Você pode adicionar quantos sufixos de DNS quiser. VMware, Inc. 206

207 políticas de conformidade 9 O mecanismo de conformidade é uma ferramenta automatizada pela Workspace ONE UEM que garante que todos os dispositivos estejam em conformidade com suas políticas. Essas políticas podem incluir configurações básicas de segurança, como exigir um código de acesso e ter um período mínimo de bloqueio do dispositivo. Para algumas plataformas, você também pode optar por definir e aplicar algumas precauções. Essas precauções incluem definição de força de senha, colocação de alguns aplicativos na lista de não autorizados e exigir intervalos de check-in do dispositivo para garantir que os dispositivos estejam seguros e em contato com a Workspace ONE UEM. Depois que os dispositivos forem determinados como fora de conformidade, o mecanismo de conformidade avisará os usuários para corrigir os problemas e evitar ações disciplinares no dispositivo. Por exemplo, o mecanismo de conformidade pode disparar uma mensagem para notificar o usuário de que seu dispositivo está fora de conformidade. Além disso, dispositivos fora de conformidade não podem ter perfis de dispositivo atribuídos e não podem ter aplicativos instalados no dispositivo. Se as correções não forem feitas no tempo estabelecido, o dispositivo perderá o acesso a determinadas funções e conteúdo definidos por você. As políticas e ações de conformidade disponíveis variam de acordo com a plataforma. Você pode automatizar encaminhamentos quando as correções não forem feitas, por exemplo, bloqueando o dispositivo e notificando o usuário para que entre em contato com você para desbloquear o dispositivo. Todas essas etapas de encaminhamento, ações disciplinares períodos de carência e mensagens podem ser personalizadas no Unified Endpoint Management Console. Existem dois métodos de medição da conformidade. Conformidade em tempo real (RTC) Amostras não agendadas recebidas do dispositivo são utilizadas para determinar se o dispositivo está ou não em conformidade. As amostras são solicitadas sob demanda pelo administrador. Mecanismo de conformidade O mecanismo de conformidade, um algoritmo de software que recebe e mede amostras agendadas, primordialmente determina a conformidade de um dispositivo. Os intervalos de tempo para a execução do agendamento são definidos no Console pelo administrador. VMware, Inc. 207

208 A aplicação de políticas de segurança móvel é representada por essa visão geral. 1 Escolha sua plataforma. Determine em qual plataforma que você deseja garantir a conformidade. Após selecionar a plataforma, todas as opções exibidas serão aplicáveis a essa plataforma. 2 Crie suas políticas. Personalize a sua política para que tenha uma ampla abrangência, desde uma lista de aplicativos, status de comprometimento, criptografia, fabricante, modelo e versão do sistema operacional, código de acesso e roaming. 3 Defina o escalonamento. Configure ações de acordo com o tempo, em horas ou dias, e aborde-as em camadas. 4 Especifique ações. Envie um SMS, ou notificações para o usuário do dispositivo ou envie um somente para o administrador. Solicite que o dispositivo faça check-in, remova ou bloqueie perfis específicos, instale perfis de conformidade, remova ou bloqueie aplicativos e realize uma limpeza dos dados corporativos. 5 Configure atribuições. Atribua a sua política de conformidade por grupo organizacional ou grupo inteligente e confirme a atribuição por dispositivo. Confirmar a integridade de dispositivos Windows Os dispositivos Windows permitem que você configure e verifique a integridade deles durante a inicialização para garantir que os recursos corporativos estejam protegidos. Para obter mais informações, consulte o tópico Detecção de dispositivo comprometido com atestado de integridade na documentação Gerenciamento de dispositivos do Windows Desktop em docs.vmware.com. Este capítulo inclui os seguintes tópicos: Modo de exibição de lista das políticas de conformidade Regra de política de conformidade por plataforma Adicionar uma política de conformidade Detecção de dispositivo comprometido com atestado de integridade Modo de exibição de lista das políticas de conformidade O modo de exibição de lista das políticas de conformidade permite ver todas as políticas de conformidade ativas e inativas, bem como suas configurações. Os dispositivos são classificados como Pendente durante uma inscrição inicial. Criar, salvar e atribuir uma política a um dispositivo inscrito fará com que seu status seja Em conformidade ou Fora de conformidade. VMware, Inc. 208

209 Da mesma forma, mudanças nas atribuições dos Grupos inteligentes farão com que a política de conformidade de um dispositivo passe para Pendente quando ele for novo no grupo inteligente. Dispositivos já atribuídos ao grupo inteligente não verão mudança no status de conformidade simplesmente porque o grupo inteligente expande (ou contrai) sua atribuição. Visualize a lista de políticas de conformidade em Dispositivos > Política de conformidade > Modo de exibição de lista. Configuração Status Menu de ações Descrição Filtre a listagem entre Todos, Ativos e Inativos. Visualize e edite políticas individuais, visualize a que dispositivos cada política foi designada e exclua políticas que você não deseja manter. Em conformidade/fora de conformidade/pendente/atribuído Os dígitos nessa coluna apresentam links de hipertexto que, quando selecionados, exibem a página Visualizar dispositivos para o status específico na política de conformidade selecionada. O status Atribuído é a soma dos dispositivos com status Em conformidade, Fora de conformidade e Pendente. Para obter mais informações, consulte Visualizar página de dispositivos. Visualizar página de dispositivos A página Visualizar dispositivos é usada para visualizar detalhes de conformidade para cada dispositivo atribuído na política selecionada. Ela é exibida ao selecionar um dos dígitos de texto do hiperlink na coluna Modo de exibição de lista da política de conformidade Em conformidade/fora de conformidade/pendente/atribuído. Filtre a lista entre esses quatro status selecionando no menu suspenso Status. O status Atribuído é a soma dos status Em conformidade, Fora de conformidade e Pendente. Há três status de dispositivos listados na coluna Status. Em conformidade A política de conformidade atribuída determinou que o dispositivo está em conformidade. Fora de conformidade A política de conformidade atribuída determinou que o dispositivo está fora de conformidade. Pendente A política de conformidade está agendada para ser atribuída ao dispositivo recéminscrito. VMware, Inc. 209

210 Você também pode configurar a C/E/S (propriedade) do dispositivo, Plataforma/SO/Modelo, Grupo organizacional, Última verificação de conformidade, Próxima verificação de conformidade e Ações realizadas. A coluna Ações realizadas lista as ações realizadas para solucionar dispositivos fora de conformidade. Você também pode escolher reavaliar a conformidade de um dispositivo específico. Ative o mecanismo de conformidade e denuncie o status de conformidade no dispositivo, selecionando Reavaliar a conformidade ( ). Regra de política de conformidade por plataforma Nem todas as regras da política de conformidade aplicam-se a todas as plataformas. A página Adicionar política de conformidade é baseada em plataforma, portanto, você só vê as regras e ações da política de conformidade aplicáveis ao deu dispositivo. Use a seguinte tabela para determinar quais regras estão disponíveis para implementar em seus dispositivos. Android e Política de conformidade Android legado Apple ios Apple macos Chrome OS QNX Windows Rugged Windows 7 Windows Phone Windows Desktop Lista de aplicativos Status de antivírus Uso de dados de celular Uso de mensagens de celular Uso de voz por celular Atributo de conformidade Status comprometido Última visualização do dispositivo Fabricante do dispositivo Criptografia Status do Firewall Espaço disponível no disco Área do ibeacon VMware, Inc. 210

211 Android e Política de conformidade Android legado Apple ios Apple macos Chrome OS QNX Windows Rugged Windows 7 Windows Phone Windows Desktop Vencimento do perfil de certificado interativo Última digitalização comprometida Aceitação dos termos de uso de MDM Modelo Versão do S.O. Código de acesso Roaming* Uso de dados celulares em roaming* Versão do patch de segurança Mudança do cartão SIM * Proteção da integridade do sistema Status da atualização automática do Windows Validação de cópia original do Windows Observação * Disponível apenas para usuários de Telecom Advanced. Descrições de regras de política de conformidade As regras de política de conformidade permitem que você crie uma base sólida para sua política como partes que compõem uma política. As ações, encaminhamentos e atribuições a seguir são integradas a essas regras. VMware, Inc. 211

212 Configuração Lista de aplicativos Status do antivírus Uso de dados/mensagens/chamadas de celulares Atributo de conformidade Status de comprometimento Última visualização do dispositivo Fabricante do dispositivo Criptografia Status do Firewall Espaço em disco disponível Área do ibeacon Vencimento do perfil de certificado interativo Última verificação de comprometimento Aceitação dos Termos de Uso do MDM Modelo Versão do S.O. Descrição Detecta aplicativos não autorizados específicos instalados em um dispositivo ou todos os aplicativos que não estão autorizados. Você pode proibir alguns aplicativos (como aplicativos de mídia social) e aplicativos não autorizados pelo fornecedor ou pode permitir apenas os aplicativos que especificar. Você também pode especificar um número de versão mínimo para um aplicativo. Detecta se um aplicativo antivírus está ou não em execução. O mecanismo de política de conformidade verifica na Central de ações no dispositivo uma solução antivírus. Se sua solução terceirizada não aparecer no centro de ações, ela será informada como não monitorada. Detecta quando os dispositivos dos usuários excedem o limite determinado pelo seu plano de telefonia. Para que essa política entre em vigor, Telecom deve estar configurado. Compara atributos importantes no dispositivo contra a segurança do endpoint de terceiro, que retorna um valor booleano representando a conformidade do dispositivo. Disponível apenas para dispositivos Windows Desktop. Detecta se o dispositivo está comprometido. Proíbe o uso de dispositivos com jailbreak ou root que estão inscritos na Workspace ONE UEM. Dispositivos com jailbreak e root removem configurações completas de segurança e podem introduzir um malware em sua rede, que poderá acessar seus recursos corporativos. O monitoramento do status de um dispositivo comprometido é especialmente importante em ambientes BYOD, em que os funcionários têm várias versões de dispositivos e sistemas operacionais. Detecta se o dispositivo não fez o check-in dentro do prazo determinado. Detecta o fabricante do dispositivo, o que permite que você identifique dispositivos de determinados fabricantes. Você pode proibir fabricantes específicos ou permitir apenas os que você indicar. Detecta se a criptografia está ou não ativada no dispositivo. Detecta se o aplicativo de firewall está ou não funcionando. O mecanismo de política de conformidade verifica na Central de ações no dispositivo uma solução de firewall. Se sua solução terceirizada não aparecer no centro de ações, ela será informada como não monitorada. Detecta o espaço de armazenamento disponível no dispositivo. Detecta se o seu dispositivo ios está dentro da área de um grupo de ibeacon. Detecta quando um perfil instalado no dispositivo vence em um período específico. Detecta se o dispositivo não informou seu status comprometido no prazo determinado. Detecta se os Termos de uso do MDM atuais não foram aceitos pelo usuário em um prazo determinado. Detecta o modelo do dispositivo. Você pode proibir modelos específicos ou permitir apenas os que você indicar. Detecta a versão do sistema operacional do dispositivo. Você pode proibir certas versões do SO ou permitir apenas os sistemas operacionais e versões que especificar. VMware, Inc. 212

213 Configuração Código de acesso Roaming* Uso de dados celulares em roaming* Versão do patch de segurança Mudança do cartão SIM* Proteção da integridade do sistema Status da atualização automática do Windows Validação de cópia genuína do Windows Descrição Detecta se um código de acesso está ou não presente no dispositivo. Detecta se o dispositivo está em roaming. Detecta o uso de dados de celular em roaming em relação a uma quantidade de dados estabelecida em MB ou GB. Detecta a data do patch de segurança mais recente do dispositivo Android do Google. Aplicável apenas à versão Android 6.0 e posterior. Detecta se o cartão SIM foi substituído. Detectar o status da proteção proprietária do macos de arquivos e diretórios de propriedade do sistema contra modificações por processos sem um "direito" específico, mesmo quando executado pelo usuário root ou por um usuário com privilégios de root. Detecta se a atualização automática do Windows foi ativada. O mecanismo de política de conformidade verifica na Central de ações no dispositivo uma solução de atualização. Se sua solução terceirizada não aparecer no centro de ações, ela será informada como não monitorada. Detecta se a cópia do Windows em execução no dispositivo é genuína. * Disponível apenas para usuários de Telecom Advanced. Ações de políticas de conformidade por plataforma As ações compatíveis por plataforma, exigidas pelas políticas de conformidade, estão a seguir. Android e Ação de política de conformidade Android legado Apple ios Apple macos Chrome OS QNX Windows Rugged Windows 7 Windows Phone Windows Desktop Aplicativo Bloquear/remover aplicativo gerenciado Bloquear/remover todos os aplicativos Comando Alterar configurações de roaming. Apagar dados corporativos (ios 5+) Redefinição empresarial VMware, Inc. 213

214 Android e Ação de política de conformidade Android legado Apple ios Apple macos Chrome OS QNX Windows Rugged Windows 7 Windows Phone Windows Desktop Atualizações do sistema operacional (Apenas DEP) Solicitar check-in do dispositivo Revogar tokens do Azure*. Bloquear Notificar Enviar para o usuário**. Enviar SMS para o dispositivo. Enviar notificação Push para o dispositivo. Enviar ao administrador. Perfil Instalar o Perfis de conformidade Bloquear/remover perfil Bloquear/remover tipo de perfil Bloquear/remover todos os perfis * Exige a ativação de "Usar o Azure AD para serviços de identidade" em Configuração > Sistema > Integração empresarial > Serviços de diretório > Avançado. Afeta todos os dispositivos de um determinado usuário, desativando todos os aplicativos que dependem do token do Azure. ** Inclui opção de CC o gerente do usuário. VMware, Inc. 214

215 Adicionar uma política de conformidade A adição de uma política de conformidade é um processo composto por quatro etapas: Regras, Ações, Atribuição e Resumo. Nem todas as funções e opções apresentadas neste manual estão disponíveis para todas as plataformas. O console Workspace ONE UEM baseia todas as opções disponíveis na escolha inicial da plataforma; portanto o console nunca apresentará uma opção que seu dispositivo não possa usar. Observação A conformidade do Windows Rugged é compatível apenas com dispositivos Motorola (a ação da Redefinição empresarial impõe a conformidade). Configure o mecanismo de conformidade com os perfis e encaminhamentos automáticos preenchendo as abas da Política de conformidade. Procedimentos 1 Vá para Dispositivos > Políticas de conformidade > Exibição de lista e selecione Adicionar. 2 Selecione uma plataforma na página Adicionar política de conformidade na qual sua política de conformidade será desenvolvida. 3 Detecte condições configurando a aba Regras primeiro fazendo a correspondência entre Qualquer ou Todas as regras. Adicionar regra Selecione para adicionar regras e parâmetros. Para obter mais informações, consulte Regra de política de conformidade por plataforma e Descrições de regras de política de conformidade. Anterior e Próximo Selecione para voltar ao passo anterior ou avançar, respectivamente. 4 Defina as consequências da não conformidade em sua política preenchendo a aba Ações. As ações disponíveis dependem da plataforma. Para obter mais informações, consulte Ações de políticas de conformidade por plataforma. 5 Especifique quais Ações e Encaminhamentos ocorrerão. Um Encaminhamento é simplesmente uma ação automática tomada quando a Ação anterior não tiver feito com que o usuário tomasse medidas corretivas para deixar o seu dispositivo em conformidade. Selecione os tipos de ações e opções para executar: VMware, Inc. 215

216 Configuração Descrição Ações e encaminhamentos Caixa de seleção Marcar como fora de conformidade Aplicativo Comando Notificar Permite que você realize ações em um dispositivo sem marcá-lo como fora de conformidade. O mecanismo de conformidade realiza essa tarefa observando as seguintes regras. A caixa de seleção "Marcar como fora de conformidade" é ativada (marcada) por padrão para cada nova ação. Se uma ação tem a opção Marcar como fora de conformidade habilitada (marcada), todas as ações subsequentes e escalonamentos também serão marcados como não compatíveis (marcada). Essas caixas de seleção subsequentes não podem ser editadas. Se uma ação tem a opção Marcar como não compatível não habilitada (desmarcada), então a próxima ação/escalonamento terá a opção habilitada por padrão (marcada). Essa caixa de seleção pode ser editada. Se uma ação/encaminhamento tiver opção Marcar como não conforme desativada e o dispositivo não passar na regra de conformidade, o dispositivo é considerado oficialmente "em conformidade". A ação prescrita é executada. O status de um dispositivo permanece "em conformidade" a menos que encontre uma ação/encaminhamento com a caixa de seleção Marcar como não conforme marcada. Apenas então o dispositivo é considerado fora de conformidade. Bloqueie ou remova um aplicativo gerenciado. Você pode também impor a conformidade do aplicativo estabelecendo uma lista de aplicativos autorizados e não autorizados ou por meio de uma lista de aplicativos obrigatórios. Inicie o check-in de um dispositivo ou apague dados corporativos. Bloqueie o usuário do . Se estiver usando o Gerenciamento de móvel junto com o mecanismo de conformidade de , a ação "Bloquear " se aplica. Acesse essa opção em > Políticas de conformidade > Políticas de . Essa ação permite a utilização de políticas de conformidade de dispositivos, como aplicativos não autorizados com qualquer política de mecanismo de conformidade de que você configurar. Selecionando esta ação, a conformidade de é acionada com uma única atualização de política no dispositivo se ele estiver fora de conformidade. Notifica alguém sobre a violação da conformidade. Você tem as seguintes opções para enviar uma notificação. Enviar para o usuário. Enviar SMS para o dispositivo. Enviar notificação Push para o dispositivo. Enviar ao administrador. É possível inserir vários endereços de na caixa de texto CC, desde que sejam separados por vírgulas. Você também pode copiar (CC) o gerente do usuário inserindo um valor de pesquisa; clique no sinal de mais ao lado da caixa de texto CC e selecione {UsersManager} no menu suspenso. Para obter detalhes, consulte Valores de pesquisa. Para Notificar ações, você tem a opção de usar um modelo de mensagem. Use essa opção desmarcando a caixa de seleção Modelo padrão, que exibe um menu suspenso que permite selecionar um modelo de mensagem. Também há um link que, quando selecionado, exibe a página Modelo de mensagem em uma nova janela. Essa página permite criar seu próprio modelo de mensagem. VMware, Inc. 216

217 Configuração Perfil Descrição Instale, remova ou bloqueie um perfil de dispositivo específico, um tipo de perfil de dispositivo ou um perfil de conformidade. Os perfis de conformidade são criados e salvos da mesma forma que os perfis de dispositivo Automático e Opcional. Vá para Dispositivos > Perfis e Recursos > Perfis, selecione Adicionar e Adicionar Perfil. Selecione uma plataforma e, na aba do perfil Geral, selecione "Conformidade" na configuração suspensa Tipo de atribuição. Perfis de conformidade são aplicados na aba Ações da página Adicionar política de conformidade para serem usados quando um usuário viola uma política de conformidade. Selecione Instalar o perfil de conformidade na lista suspensa e selecione o perfil de conformidade anteriormente salvo. Apenas encaminhamentos Botão Adicionar encaminhamento Depois do intervalo de tempo......executar as seguintes ações Cria um encaminhamento. Ao adicionar escalonamentos, o ideal é aumentar a segurança das ações a cada escalonamento adicional. Você pode atrasar o encaminhamento em minutos, horas ou dias. Repetir Marque essa caixa de seleção para repetir o encaminhamento por determinado número de vezes, antes que a próxima ação agendada inicie. Para macos, é possível realizar apenas estas ações: Apagar dados do dispositivo Enviar ao administrador Apagar dados corporativos Bloquear/remover perfil Enviar para o usuário Bloquear/remover tipo de perfil Enviar notificação por push para o dispositivo Bloquear/remover todos os perfis 6 Determine quais dispositivos estão sujeitos (e excluídos) da política de conformidade, preenchendo as guias Tarefa e Resumo da página Adicionar política de conformidade. Nomeie, finalize e ative a política na guia Resumo. Configuração Gerenciado por Grupos atribuídos Descrição Selecione o grupo organizacional no qual essa política de conformidade será gerenciada. Atribua esta política a um ou mais grupos. Para obter mais informações, consulte atribuição. VMware, Inc. 217

218 Configuração Exclusões Botão Exibir atribuição do dispositivo Descrição Se quiser excluir grupos, selecione Sim. Em seguida, selecione na lista de grupos disponíveis na caixa de texto Grupos excluídos. Consulte Excluir grupos em perfis e políticas Veja uma lista de dispositivos afetados por essa atribuição da política de conformidade. Embora a plataforma seja um critério dentro de um grupo inteligente, a plataforma configurada no perfil do dispositivo ou na política de conformidade sempre terá precedência sobre a plataforma do grupo inteligente. Por exemplo, se um perfil do dispositivo for criado para a plataforma ios, ele só será atribuído aos dispositivos ios, mesmo que o grupo inteligente inclua dispositivos Android. 7 Depois de determinar a atribuição dessa política, selecione Próximo. A aba Resumo será exibida. 8 Forneça um Nome e uma Descrição útil para a política de conformidade. 9 Selecione uma destas opções. Concluir Salve sua política de conformidade sem ativá-la nos dispositivos atribuídos. Concluir e ativar Salve e aplique a política a todos os dispositivos afetados. Exibir atribuição do dispositivo Selecione Exibir atribuição do dispositivo na aba Atribuição ao configurar uma política de conformidade para exibir a página Exibir atribuição do dispositivo. Essa página confirma os dispositivos afetados (ou não afetados). A coluna Status da atribuição exibe as entradas a seguir para os dispositivos que aparecerem na lista. Adicionada A política de conformidade foi adicionada aos dispositivos listados. Removido A política de conformidade foi removida do dispositivo. VMware, Inc. 218

219 Sem alterações O dispositivo permanece não afetado pelas alterações feitas na política de conformidade. Selecione Publicar para concluir as alterações e, se necessário, republicar qualquer política de conformidade. Detecção de dispositivo comprometido com atestado de integridade O Atestado de Integridade verifica se há falhas de integridade nos dispositivos durante a inicialização. Use o Atestado de Integridade para detectar dispositivos comprometidos do Windows Desktop. Em implantações de dispositivos BYOD e de propriedade corporativa, é importante saber que os dispositivos estão íntegros ao acessar os recursos corporativos. O serviço de Atestado de Integridade do Windows acessa as informações de inicialização do dispositivo a partir da nuvem por meio das comunicações seguras. Essas informações são medidas e verificadas em relação a pontos de dados relacionados para garantir que o dispositivo inicializou conforme o esperado e não é vítima de ameaças ou vulnerabilidades de segurança. As medidas incluem a Inicialização Segura, a Integridade de Código, o BitLocker e o Gerenciador de Inicialização. O Workspace ONE UEM permite configurar o serviço de Atestado de Integridade do Windows para garantir a conformidade do dispositivo. Se alguma das verificações ativadas falhar, o mecanismo das políticas de conformidade do Workspace ONE UEM aplicará medidas de segurança com base na política de conformidade configurada. Tal recurso permite que possa manter seus dados corporativos protegidos dos dispositivos fora de conformidade. Como o Workspace ONE UEM obtém as informações que necessita do hardware do dispositivo e não do seu sistema operacional (SO), os dispositivos comprometidos são detectados mesmo quando o kernel do SO está comprometido. Configurar o Atestado de Integridade com as Políticas de conformidade do Windows Desktop Mantenha os dispositivos protegidos usando o serviço de Atestado de Integridade do Windows para a detecção de dispositivos comprometidos. Esse serviço permite que o Workspace ONE UEM verifique a integridade do dispositivo durante a inicialização e execute ações corretivas. Procedimentos 1 Vá até Grupos e configurações > Todas as configurações > Dispositivos e usuários > Windows > Windows Desktop > Atestado de Integridade do Windows. 2 (Opcional) Selecione Usar servidor personalizado se estiver usando um servidor personalizado no local que executa o Atestado de Integridade. Digite a URL do servidor. VMware, Inc. 219

220 3 Defina as configurações do Atestado de Integridade: Configurações Descrições Definição do status de comprometido Usar o servidor personalizado URL do servidor Inicialização segura desativada A chave de declaração de identidade (AIK) não se encontra presente Política de prevenção de execução de dados (DEP) desativada BitLocker desativado Verificação da integridade do código desativada Proteção antimalware de inicialização antecipada desativada Verificação da versão de integridade do código Verificação da versão do gerenciador de inicialização Selecione para configurar um servidor personalizado para a Declaração de integridade. Esta opção requer um servidor executando o Windows Server 2016 ou versão mais recente. Ativar essa opção exibe o campo de URL do servidor. Digite a URL para o seu servidor de Declaração de integridade personalizado. Ative para sinalizar status de comprometido do dispositivo quando a inicialização segura estiver desativada no dispositivo. A inicialização segura força o sistema a inicializar em um estado de fábrica confiável. Quando a inicialização segura está habilitada, os componentes centrais usados para inicializar a máquina devem ter as assinaturas criptográficas corretas que a OEM confie. O firmware UEFI verifica a relação de confiança antes de permitir que a máquina seja iniciada. A inicialização segura impede a inicialização se detectar arquivos violados. Ative para sinalizar status de comprometido do dispositivo quando a AIK não estiver presente no dispositivo. Se a chave de declaração de identidade (AIK) estiver presente em um dispositivo, isso indica que o dispositivo possui um certificado de endosso (EK) da chave. Ele pode ser mais confiável do que um dispositivo que não tenha um certificado EK. Ative para sinalizar status de comprometido do dispositivo quando a DEP estiver desativada no dispositivo. A política de prevenção de execução de dados (DEP) é um recurso de proteção de memória integrado no nível do sistema do sistema operacional. A política impede o código de páginas de dados, como heap padrão, pilhas e pools de memória. A DEP é executada pelo hardware e software. Ative para sinalizar status de comprometido do dispositivo quando a criptografia do BitLocker estiver desativada no dispositivo. Ative para sinalizar status de comprometido do dispositivo quando a verificação de integridade do código estiver desativada no dispositivo. A integridade do código é um recurso que valida a integridade de um arquivo de sistema ou driver cada vez que ele for carregado na memória. Verificações de integridade de código para drivers não assinados ou arquivos de sistema antes de serem carregados no kernel. A verificação também examina usuários com privilégios administrativos que executem arquivos de sistema modificados por software malicioso. Ative para sinalizar status de comprometido do dispositivo quando o antimalware de inicialização antecipada estiver desativado no dispositivo. A proteção antimalware de inicialização antecipada (ELAM) disponibiliza proteção para os computadores em sua rede quando os mesmos inicializam e antes que os drivers de terceiros inicializem. Ative para sinalizar status de comprometido do dispositivo quando a verificação de versão de integridade do código falhar. Ative para sinalizar status de comprometido do dispositivo quando a verificação de versão de gerente de inicialização falhar. VMware, Inc. 220

221 Configurações Verificação do úmero da versão de segurança do aplicativo de inicialização Verificação do número da versão de segurança do gerenciador de inicialização Configurações avançadas Descrições Ative para sinalizar o status de comprometido do dispositivo quando o número de versão de segurança do aplicativo de inicialização não corresponder ao número inserido. Ative para sinalizar o status de comprometido do dispositivo quando o número de versão de segurança do gerente de inicialização não corresponder ao número inserido. Ative para definir configurações avançadas na seção de identificadores de versão de software. Identificadores de versão de software Verificação do hash da política da integridade do código Verificação do Hash da política de configuração de inicialização Verificação de PCR0 Habilite para definir uma lista de permissão para valores de Hash conhecidos e válidos, para o software de Integridade do código. Se o Hash não tiver um valor autorizado, a conformidade da declaração de integridade não funcionará. Habilite para definir uma lista de permissão de valores de Hash conhecidos e válidos, para o software de Configuração de inicialização segura. Se o Hash não tiver um valor autorizado, a conformidade da declaração de integridade não funcionará. Habilite para definir uma lista de permissão de medições conhecidas e válidas para o software de Verificação de PCR0k. Essas medições verificam o código de confiança do BIOS para assegurar que não tenha sido comprometido. Se a medição não tiver um valor autorizado, a conformidade da declaração de integridade não funcionará. 4 Selecione Salvar. Configurar as políticas de conformidade para o Atestado de Integridade do Windows Phone Mantenha os dispositivos protegidos usando o serviço de Atestado de Integridade do Windows para a detecção de dispositivos comprometidos. Esse serviço permite que a AirWatch verifique a integridade do dispositivo durante a inicialização e execute ações corretivas. A política de conformidade do status Comprometido pode ser aplicada em dispositivos Windows 10 com um Trusted Platform Module (TPM) 1.2 ou superior. Procedimentos 1 Vá até Grupos e configurações > Todas as configurações > Dispositivos e usuários > Windows > Windows Phone > Atestado de Integridade do Windows. 2 (Opcional) Selecione Usar servidor personalizado se estiver usando um servidor personalizado no local que executa o Atestado de Integridade. Digite a URL do servidor. VMware, Inc. 221

222 3 Defina as configurações do Atestado de Integridade: Configurações Descrições Definição do status de comprometido Usar o servidor personalizado URL do servidor Inicialização segura desativada A chave de declaração de identidade (AIK) não se encontra presente Política de prevenção de execução de dados (DEP) desativada BitLocker desativado Verificação da integridade do código desativada Proteção antimalware de inicialização antecipada desativada Verificação da versão de integridade do código Verificação da versão do gerenciador de inicialização Selecione para configurar um servidor personalizado para a Declaração de integridade. Esta opção requer um servidor executando o Windows Server 2016 ou versão mais recente. Ativar essa opção exibe o campo de URL do servidor. Digite a URL para o seu servidor de Declaração de integridade personalizado. Ative para sinalizar status de comprometido do dispositivo quando a inicialização segura estiver desativada no dispositivo. A inicialização segura força o sistema a inicializar em um estado de fábrica confiável. Quando a inicialização segura está habilitada, os componentes centrais usados para inicializar a máquina devem ter as assinaturas criptográficas corretas que a OEM confie. O firmware UEFI verifica a relação de confiança antes de permitir que a máquina seja iniciada. A inicialização segura impede a inicialização se detectar arquivos violados. Ative para sinalizar status de comprometido do dispositivo quando a AIK não estiver presente no dispositivo. Se a chave de declaração de identidade (AIK) estiver presente em um dispositivo, isso indica que o dispositivo possui um certificado de endosso (EK) da chave. Ele pode ser mais confiável do que um dispositivo que não tenha um certificado EK. Ative para sinalizar status de comprometido do dispositivo quando a DEP estiver desativada no dispositivo. A política de prevenção de execução de dados (DEP) é um recurso de proteção de memória integrado no nível do sistema do sistema operacional. A política impede o código de páginas de dados, como heap padrão, pilhas e pools de memória. A DEP é executada pelo hardware e software. Ative para sinalizar status de comprometido do dispositivo quando a criptografia do BitLocker estiver desativada no dispositivo. Ative para sinalizar status de comprometido do dispositivo quando a verificação de integridade do código estiver desativada no dispositivo. A integridade do código é um recurso que valida a integridade de um arquivo de sistema ou driver cada vez que ele for carregado na memória. Verificações de integridade de código para drivers não assinados ou arquivos de sistema antes de serem carregados no kernel. A verificação também examina usuários com privilégios administrativos que executem arquivos de sistema modificados por software malicioso. Ative para sinalizar status de comprometido do dispositivo quando o antimalware de inicialização antecipada estiver desativado no dispositivo. A proteção antimalware de inicialização antecipada (ELAM) disponibiliza proteção para os computadores em sua rede quando os mesmos inicializam e antes que os drivers de terceiros inicializem. Ative para sinalizar status de comprometido do dispositivo quando a verificação de versão de integridade do código falhar. Ative para sinalizar status de comprometido do dispositivo quando a verificação de versão de gerente de inicialização falhar. VMware, Inc. 222

223 Configurações Verificação do úmero da versão de segurança do aplicativo de inicialização Verificação do número da versão de segurança do gerenciador de inicialização Configurações avançadas Descrições Ative para sinalizar o status de comprometido do dispositivo quando o número de versão de segurança do aplicativo de inicialização não corresponder ao número inserido. Ative para sinalizar o status de comprometido do dispositivo quando o número de versão de segurança do gerente de inicialização não corresponder ao número inserido. Ative para definir configurações avançadas na seção de identificadores de versão de software. Identificadores de versão de software Verificação do hash da política da integridade do código Verificação do Hash da política de configuração de inicialização Verificação de PCR0 Habilite para definir uma lista de permissão para valores de Hash conhecidos e válidos, para o software de Integridade do código. Se o Hash não tiver um valor autorizado, a conformidade da declaração de integridade não funcionará. Habilite para definir uma lista de permissão de valores de Hash conhecidos e válidos, para o software de Configuração de inicialização segura. Se o Hash não tiver um valor autorizado, a conformidade da declaração de integridade não funcionará. Habilite para definir uma lista de permissão de medições conhecidas e válidas para o software de Verificação de PCR0k. Essas medições verificam o código de confiança do BIOS para assegurar que não tenha sido comprometido. Se a medição não tiver um valor autorizado, a conformidade da declaração de integridade não funcionará. Próximo passo Para obter mais informações, consulte o artigo da Microsoft TechNet em Atestado de Integridade. VMware, Inc. 223

224 Privacidade para implantações 10 de BYOD Uma das maiores preocupações dos usuários BYOD é a privacidade do conteúdo pessoal nos seus dispositivos. Sua empresa deve assegurar a eles que seus dados pessoais não estão sujeitos à supervisão corporativa. Com o MDM do Workspace ONE UEM, você pode garantir a privacidade dos dados pessoais ao criar políticas de privacidade personalizadas que não coletam dados pessoais baseados no tipo de propriedade do dispositivo. Além disso, você pode definir configurações de privacidade granulares para desabilitar a coleção de informações pessoais identificáveis e proibir certas ações remotas nos dispositivos dos funcionários para garantir a privacidade destes. Você deverá informar aos usuários finais sobre como seus dados são coletados e armazenados quando eles se inscreverem no Workspace ONE UEM. Importante Países e jurisdições têm regras diferentes que ditam como dados podem ser coletados dos usuários. Sua empresa deve pesquisar detalhadamente as leis aplicáveis antes de configurar seu BYOD e as políticas de privacidade. Este capítulo inclui os seguintes tópicos: Segurança e privacidade no Workspace ONE UEM Definir configurações de privacidade Avisos de privacidade para usuários de BYOD Coleta de dados dos usuários finais de BYOD Termos de uso para os usuários finais de BYOD Restrições para dispositivos BYOD Segurança e privacidade no Workspace ONE UEM O Workspace ONE UEM fornece níveis personalizados de gerenciamento de dispositivos e aplicativos para ajudar a equilibrar a segurança corporativa e a privacidade do usuário final em um cenário de BYOD. Cada tipo de gerenciamento fornece um equilíbrio diferente de privacidade e gerenciamento de dispositivos. Você deve trabalhar com sua equipe jurídica e equipes de TI para determinar qual equilíbrio é melhor para seus usuários BYOD. Use esta comparação para ajudar a fazer a escolha mais prática. VMware, Inc. 224

225 Tabela Privacidade vs. Segurança Gerenciamento mínimo Gestão adaptativa Gerenciamento necessário <- -- -> Dispositivos Nenhum perfil de MDM: os dispositivos não podem ser gerenciados pela empresa. Nenhum perfil para Wi-Fi, VPN, nativo, restrições etc. Nenhuma aplicação de complexidade de senha do dispositivo. Limpeza de fábrica e bloqueio do dispositivo remoto não são permitidos. Flexível: os usuários finais escolhem se seus dispositivos são gerenciados pelo Workspace Services. Perfis de configuração de Wi- Fi, VPN, nativo, restrições etc. estão disponíveis depois que os usuários ativam o Gerenciamento adaptativo por meio do Workspace Services. Requisito de senha e complexidade do dispositivo aplicado. Limpeza de fábrica e bloqueio do dispositivo remoto não são permitidos. Perfil MDM: os dispositivos são totalmente gerenciados pela empresa usando o Workspace ONE Intelligent Hub. Perfis de configuração de Wi- Fi, VPN, nativo, restrições etc. Requisito de senha e complexidade do dispositivo aplicado. Limpeza de fábrica e bloqueio do dispositivo remoto ativados. VMware, Inc. 225

226 Tabela Privacidade vs. Segurança (Continuação) Gerenciamento mínimo Gestão adaptativa Gerenciamento necessário públicos O usuário gerencia a instalação e as permissões do aplicativo Os usuários devem confiar em fontes desconhecidas (Android) ou Trust Developer (ios) para instalar aplicativos internos, SDK ou compactados. Os administradores não podem implantar o AppConfig e a Per App VPN ou aplicativos por envio. Os usuários acessam aplicativos de , conteúdo e navegação do VMware por meio do VMware Workspace ONE. Privacidade Modelo de privacidade centrado no usuário Informações mínimas sobre dispositivos e usuários coletadas em aplicativos. Os usuários configuram opções de privacidade para cada aplicativo instalado. Localização de GPS não rastreada. Os usuários são solicitados a ativar o Workspace Services quando acessam inicialmente um aplicativo em que o gerenciamento é necessário. Com o Workspace Services ativado, todas as funcionalidades de Gerenciamento necessário - Aplicativos são ativadas. Com o Workspace Services desativado, todas as funcionalidades de Gerenciamento mínimo - Aplicativos são ativadas. Modelo de privacidade balanceada O perfil do Workspace Services otimiza a funcionalidade e minimiza a violação de privacidade. O aviso de privacidade personalizado comunica políticas de TI e coleta dados aos usuários finais. Localização de GPS não rastreada. Os administradores enviam e executam aplicativos públicos, internos, SDL e agrupados a dispositivos usando ações do MDM. Os administradores monitoram aplicativos na lista de negações e realizam ações de conformidade em dispositivos. Os administradores configuram o SSO e a Per App VPN. Os administradores gerenciam aplicativos com o AppConfig. Modelo de privacidade centrado na empresa Dados corporativos protegidos no nível do dispositivo e do aplicativo. Workspace Services disponível. Rastreamento de localização por GPS e geofencing disponíveis. Definir configurações de privacidade A privacidade do usuário é uma grande preocupação para você e seus usuários. A Workspace ONE UEM oferece controle detalhado sobre quais os dados são coletados de usuários e quais dados coletados podem ser visualizados pelos administradores. Defina as configurações de privacidade para atender seus usuários e suas necessidades de negócios. Procedimentos 1 Vá para Dispositivos > Configurações dos dispositivos > Dispositivos e usuários > Geral > Privacidade. VMware, Inc. 226

227 2 Selecione a configuração apropriada para a coleta de dados de GPS, Telecom, Aplicativos, Perfis e Rede. Coletar e exibir Os dados do usuário são coletados e exibidos no UEM Console. Coletar, mas não exibir Os dados do usuário são coletados para uso em relatórios, mas não para exibição no UEM Console. Não coletar Os dados do usuário não são coletados, portanto, não são exibidos. 3 Selecione a configuração apropriada para os Comandos que podem ser realizados nos dispositivos. Considere desativar todos os comandos remotos para dispositivos de propriedade do funcionário, principalmente a remoção completa dos dados. Essa desativação evita a remoção acidental de um usuário ou a limpeza de seu conteúdo pessoal. Se você desativar a função apagar para tipos selecionados de propriedade de ios, os usuários não verão a permissão Apagar todo o conteúdo e configurações durante a inscrição. Permitir O comando é realizado em dispositivos sem permissão do usuário. Permitir com a autorização do usuário O comando é realizado em dispositivos, mas apenas com a permissão do usuário. Impedir O comando não é executado nos dispositivos. 4 Se pretende permitir acesso ao controle remoto, ao gerenciador de arquivos ou ao gerenciador de registro para dispositivos Android/Windows Rugged, considere o uso da opção Permitir com a autorização do usuário. Essa opção exige que o usuário concorde com o acesso do administrador ao seu dispositivo por meio de uma mensagem de alerta antes de a ação ser executada. Se você optar por permitir o uso de qualquer comando, mencione isso de forma clara no acordo de termos de uso. 5 Para Informações do usuário, selecione Exibir ou Não exibir no console para Nome, Sobrenome, Número de telefone, Contas de e Nome de usuário. 6 Se uma opção diferente de nome de usuário estiver definida como Não exibir, os dados são exibidos como "Privados" sempre que aparecerem no console do UEM. As opções definidas para Não exibir não são pesquisáveis no console. Quando um nome de usuário é definido como Não exibir, o nome aparece como "Privado" apenas no Modo de exibição de lista de dispositivos e páginas de Detalhes dos dispositivos. Todas as outras páginas no UEM Console mostram o nome do usuário inscrito. 7 Você pode criptografar informações de identificação pessoal, incluindo nome e sobrenome, endereço de e número de telefone. Vá para Grupos e configurações > Todas as configurações > Sistema > Segurança > Segurança de dados no grupo organizacional de nível Global ou de Cliente para o qual você deseja configurar a criptografia. Ativar a criptografia, selecionar qual dado de usuário criptografar e selecionar Salvar criptografa os dados do usuário. Ao fazer isso, alguns recursos do UEM Console, como pesquisa, classificação e filtro, ficarão limitados. VMware, Inc. 227

228 8 Selecione se deseja Ativar ou Desativar o Modo Não perturbe no dispositivo. Essa configuração permite que os dispositivos do usuário ignorem comandos de MDM por um período específico. Quando ativado, você pode selecionar um período de carência ou tempo de ativação em minutos, horas ou dias, depois do qual o Modo não perturbe expira. 9 Selecione se deseja Ativar ou Desativar o Aviso de privacidade de fácil utilização no dispositivo. 10 Quando Ativado, você pode escolher Sim (exibir um aviso de privacidade) ou Não (não exibir um aviso de privacidade) para cada nível de propriedade: Funcionário, Corporativo - Dedicado, Corporativo - Compartilhado e Desconhecido. 11 Clique em Salvar. Configurações de privacidade é uma ação restrita. Por isso, você deve inserir o PIN de quatro dígitos do Console para continuar. Avisos de privacidade para usuários de BYOD Um aviso de privacidade informa seus usuários sobre quais dados você coleta dos dispositivos deles com base no tipo de dispositivo, tipo de implementação e tipo de propriedade. Configuração do aviso de privacidade Os avisos de privacidade são entregues automaticamente de acordo com o grupo organizacional e a propriedade do dispositivo sendo conectado. Você pode escolher exibir um aviso de privacidade para cada nível de propriedade: Propriedade do funcionário, Corporativo - Dedicado, Corporativo - Compartilhado e Desconhecido. Implementação do aviso de privacidade Quando você atribui um tipo de propriedade para receber avisos de privacidade, todos os usuários no tipo de propriedade selecionado recebem a notificação de privacidade imediatamente como Web clip. Se você tiver inserido o valor de pesquisa do aviso de privacidade PrivacyNotificationUrl no seu modelo de mensagem, a mensagem incluirá uma URL onde o usuário poderá ler o aviso de privacidade. Os usuários receberão automaticamente o aviso de privacidade se: Inscreverem um novo dispositivo e pertencerem a um tipo de propriedade em que o aviso de privacidade está ativado. Usarem atualmente um dispositivo inscrito e sua propriedade é alterada após a inscrição para um tipo ao qual o Web clip está atribuído. Para saber como implementar um aviso de privacidade como parte de uma ativação de dispositivo, consulte Registrar um dispositivo individual. VMware, Inc. 228

229 Configurações de privacidade As configurações de privacidade permitem que você defina como o dispositivo e as informações do usuário são identificadas no Workspace ONE UEM Console. Essas informações são úteis em suas implementações do tipo "traga seu próprio dispositivo" (BYOD). Revise e ajuste as políticas de privacidade de acordo com a propriedade do dispositivo, de forma alinhada com leis de privacidade de dados em outros países ou com restrições definidas por lei. Certifique-se de que certas verificações e controles de TI estejam em vigor para impedir a sobrecarga de servidores e sistemas. Importante Cada jurisdição tem seus próprios regulamentos que regem quais dados podem ser coletados dos usuários. Analise cuidadosamente esses regulamentos antes de Definir configurações de privacidade. Criar um aviso de privacidade para usuários de BYOD Informe aos usuários quais dados sua empresa coleta dos dispositivos inscritos, usando um aviso de privacidade notificado. Determine com o seu departamento jurídico qual mensagem sobre a coleta de dados você deve informar aos seus usuários. Procedimentos 1 Vá para Grupos e ajustes > Todas as configurações > Dispositivos e usuários > Geral > Modelos de mensagem. 2 Selecione Adicionar para criar um modelo. Caso já tenha criado um modelo de notificação de privacidade, selecione-o na lista de modelos disponíveis para usá-lo ou editá-lo. 3 Conclua as configurações Adicionar ou editar modelo de mensagem. Configuração Nome Descrição Categoria Tipo Selecionar idioma Padrão Tipo de mensagem Descrição Digite um nome para o modelo de notificação. Digite uma descrição do modelo que está criando. Selecione Inscrição. Selecione Ativação de dispositivo MDM. Selecione o idioma padrão para seu modelo. Use o botão Adicionar para adicionar mais idiomas padrão em uma entrega com vários idiomas. Atribui esse modelo como um modelo de mensagem padrão. Selecione um ou mais tipos de mensagem: , SMS ou Envio. VMware, Inc. 229

230 4 Crie o conteúdo da notificação. Os tipos de mensagem que você selecionou em Tipo de mensagem determinam quais mensagens aparecem para configuração. Elemento Descrição Formato do conteúdo do Assunto Corpo da mensagem Escolha se sua notificação de será entregue como Texto sem formatação ou HTML. Digite o assunto da sua notificação de . Escreva a mensagem de a ser enviada para os usuários. As ferramentas de edição e formação exibidas nessas caixa de texto dependem do formato escolhido na seleção Formato do conteúdo do . Se você tiver ativado Aviso de privacidade visual, inclua o valor de pesquisa PrivacyNotificationUrl no corpo da mensagem. SMS Corpo da mensagem Escreva o SMS a ser enviado a seus usuários. Se você tiver ativado Aviso de privacidade visual, inclua o valor de pesquisa PrivacyNotificationUrl no corpo da mensagem. Envio por push Corpo da mensagem Escreva a notificação Push a ser enviada a seus usuários. Se você tiver ativado Aviso de privacidade visual, inclua o valor de pesquisa PrivacyNotificationUrl no corpo da mensagem. 5 Selecione Salvar. Boas práticas de privacidade Alcançar o equilíbrio entre as necessidades de negócios e as preocupações com a privacidade dos funcionários pode ser um desafio. Há algumas práticas simples que podem gerenciar as Configurações de privacidade para chegar ao melhor equilíbrio. Importante Cada implementação é diferente. Personalize as configurações e políticas que se adequam à sua organização da melhor forma consultando suas equipes jurídica, de recursos humanos e de gerenciamento. Informações do usuário para as boas práticas de privacidade Em geral, você exibe as informações do usuário como nome, sobrenome, número de telefone e endereço de para dispositivos do funcionário e da empresa. Informações de aplicativos para as boas práticas de privacidade Geralmente, recomenda-se configurar a coleta de dados do aplicativo como Não coletar ou Coletar e não exibir para dispositivos de propriedade do funcionário. Essa configuração é importante porque aplicativos públicos instalados no dispositivo, se visualizados, podem ser considerados informação de identificação pessoal. Para dispositivos corporativos, o Workspace ONE UEM registra todos os aplicativos instalados no dispositivo. VMware, Inc. 230

231 Se a opção Não coletar estiver selecionada, somente as informações pessoais do aplicativo não serão coletadas. O Workspace ONE UEM coleta todos os aplicativos gerenciados, sejam públicos, internos ou comprados. Comandos remotos para as boas práticas de privacidade Considere desativar todos os comandos remotos para dispositivos de propriedade do funcionário. No entanto, se você permitir ações ou comandos remotos, mencione-os explicitamente no acordo de termos de uso. Coordenadas de GPS para boas práticas de privacidade A coleta de coordenadas de GPS está relacionada de maneira fundamental às preocupações com a privacidade. Enquanto não é adequado coletar dados de GPS dos dispositivos de propriedade do funcionário, as seguintes observações se aplicam a todos os dispositivos inscritos no Workspace ONE UEM. Apenas o Workspace ONE Intelligent Hub transmite os dados de localização de GPS do dispositivo de volta para o console do UEM. Outros aplicativos que usam o Workspace ONE SDK, como o VMware Browser, Content Locker, o Boxer e assim por diante, não repassam os dados de GPS de volta para o console UEM. O GPS é normalmente usado em dispositivos perdidos ou roubados. Ele também é usado quando saber a localização de um dispositivo é parte da função inerente do Workspace ONE UEM Console, tal como o Geofencing. Quando dados do GPS são informados, a Workspace ONE UEM define uma região de 1 km ao redor do local. Então informa os dados de localização sempre que o dispositivo se move para fora da região ou quando o usuário abre um aplicativo da Workspace ONE UEM ou interno. Novos dados de GPS não serão informados, a menos que uma destas ações ocorra. Dados de Telecom para boas práticas de privacidade Só se coletam dados de telecomunicações de dispositivos dos funcionários que são parte de uma ajuda financeira em que as despesas de celular são subsidiadas. Nesse caso ou no caso de dispositivos de propriedade da empresa, considere os seguintes dados que você pode coletar. Código da operadora/do país: o código da operadora e do país são gravados e podem ser utilizados para fins de rastreamento de dados de consumo de telecomunicação. Os planos de telecomunicações podem ser definidos e os dispositivos podem ser atribuídos ao plano adequado, com base em sua operadora e país. Essa informação também pode ser utilizada para rastrear dispositivos por operadora e país de origem ou pelo país e operadora atuais. VMware, Inc. 231

232 Status de roaming: esse recurso pode ser utilizado para rastrear quais dispositivos estão em estado de roaming ou de não roaming. As políticas de conformidade podem ser estabelecidas para desativar o uso de voz e dados quando o dispositivo estiver em roaming ou para realizar outras ações de conformidade. Além disso, se o dispositivo estiver atribuído a um plano de telecomunicação, o Workspace ONE UEM pode rastrear o uso de dados enquanto estiver em roaming. A coleta e o monitoramento do status de roaming pode ser útil para evitar cobranças elevadas da operadora devido ao roaming. Uso de dados de celular: a utilização de dados em termos dos bytes totais enviados e recebidos. Esses dados podem ser coletados para cada dispositivo celular. Se o dispositivo estiver atribuído a um plano de telecomunicação, você poderá monitorar os dados de uso com base em uma porcentagem de um total de dados por ciclo de faturamento. Esse recurso permite que você crie políticas de conformidade baseadas no percentual de dados utilizados e é útil para evitar cobranças elevadas por parte da operadora. Uso de celular: os minutos de voz que podem ser coletados de cada dispositivo celular. Similar à utilização de dados, se o dispositivo receber um plano de telecomunicações, você pode monitorar o uso com base em uma porcentagem de minutos por ciclo de faturamento. Esse método permite que você crie políticas de conformidade baseadas no percentual de minutos usados e é útil para evitar cobranças elevadas por parte da operadora. Uso de mensagens SMS: dados de SMS que podem ser coletados para cada dispositivo celular. Similar à utilização de dados, se o dispositivo receber um plano de telecomunicações, você pode monitorar o uso de SMS com base em uma porcentagem de mensagens por ciclo de faturamento. Isso permite que você crie políticas de conformidade baseadas no percentual de mensagens utilizadas. O monitoramento do uso de SMS é útil para evitar cobranças elevadas por parte da operadora. Coleta de dados dos usuários finais de BYOD A infraestrutura do Workspace ONE UEM coleta e armazena vários tipos de dados gerados por usuários. A matriz seguinte liga cada tipo de dado à plataformas e sistemas operacionais dos quais os dados podem ser coletados. Use esta matriz para determinar qual coleta de dados é necessária para sua implementação. O Workspace ONE UEM também define dados opcionais que você pode coletar, como Bluetooth MAC. Você pode configurar estas opções e atribuir configurações de privacidade por tipo de propriedade: corporativo - dedicado, corporativo - compartilhado e funcionário. Android Apple ios macos Windows Rugged Windows Phone Windows 7 Windows Desktop Rastreamento de aplicativos Visualização de aplicativos internos instalados Visualização de versões do aplicativo X X VMware, Inc. 232

233 Android Apple ios macos Windows Rugged Windows Phone Windows 7 Windows Desktop Captura do status do aplicativo X X X Certificados Visualização da lista de certificados instalados X X * Rastreamento de ativos Nome do dispositivo UDID do dispositivo Número de telefone X X Número do IMEI/MEID X X Número de série do dispositivo Número IMSI X X X Modelo do dispositivo X X Apelido do modelo do dispositivo X X X Fabricante X X Versão do S.O. Build do SO X Versão do Kernel/Firmware X X X X X X Rastreio de erros do dispositivo X X Status do dispositivo Bateria disponível Capacidade da bateria X X Memória disponível X X Capacidade da memória X X Local Rastreamento de GPS ** X Rede Endereço IP do Wi-Fi MAC do Wi-Fi Força do sinal de Wi-Fi X X X Versão das configurações da operadora X X X X X Força do sinal do celular X X X X X X VMware, Inc. 233

234 Android Apple ios macos Windows Rugged Windows Phone Windows 7 Windows Desktop Tecnologia do celular (nenhuma, GSM, CDMA) X X X X X MCC atual X X X X X MNC atual X X X X X Número do cartão SIM X X X Rede da operadora do SIM X X X X X MNC do assinante X X X X X MAC do Bluetooth X X Exibir endereços IP X X Mostrar adaptadores de rede X X X X X Exibir endereço MAC X X Roaming Detectar o status em roaming Desabilitação das notificações push em roaming Ativação do roaming de voz (permitido) X X X X X X X X X X X X X X X X Uso de dados Rastreio de uso de dados através da rede celular Rastreio de uso de dados através da rede Wi-Fi X X X X X X X X X X X X Chamadas Rastreio do histórico de chamadas X X X X X X Mensagens Rastreio de histórico de SMS X X X X X X Status do celular Rede da operadora atual X X X X Status da rede atual X X X X X Visualização remota Controle remoto do dispositivo X X VMware, Inc. 234

235 Android Apple ios macos Windows Rugged Windows Phone Windows 7 Windows Desktop Captura de tela (salvar, enviar por , imprimir, etc.) Compartilhamento de tela (visualização remota dentro de um aplicativo) X X X X Gerenciador de arquivos Acesso ao gerenciador de arquivos do dispositivo Acesso ao gerenciador de registro do dispositivo X X X X X X Copiar arquivos X X Criação de pastas X X Baixar arquivos do dispositivo X X Mover arquivos X X Renomeação de pastas e arquivos Carregamento de arquivos no dispositivo X X X X - Pode ser coletado X - Não pode ser coletado * - Pode ser coletado em implementações do Workspace ONE Intelligent Hub ** - Pode ser coletado nas implementações do modo supervisionado do Workspace ONE Intelligent Hub ou do ios 9.3 e superiores Termos de uso para os usuários finais de BYOD Por motivos de responsabilidade, você deve informar aos seus funcionários sobre os dados que são coletados e as ações que são permitidas nos dispositivos inscritos no Workspace ONE UEM. Para ajudar a comunicar sua estratégia, crie acordos de Termos de Uso no Workspace ONE UEM Console. Os usuários devem ler e aceitar os Termos de Uso que você configurar antes que possam habilitar o MDM em seus dispositivos pessoais. Ao atribuir acordos de Termos de Uso baseados no tipo de propriedade, você pode criar e distribuir acordos diferentes para usuários BYOD e corporativos. Após sua empresa ter escrito o acordo de Termos de Uso, considere distribuí-lo aos funcionários em um documento de uma ou duas páginas que omite qualquer linguagem legal desnecessária. Este documento não é o Termos de Uso oficial com o qual os funcionários devem concordar, mas serve para comunicar suas políticas corporativas. Idealmente, os usuários não verão os termos de uso para os dispositivos de propriedade de funcionário na primeira vez que eles inscreverem seus dispositivos. Divulgue quais informações de usuário final você coleta e como suas políticas de BYOD os afetam. VMware, Inc. 235

236 Restrições para dispositivos BYOD O Workspace ONE UEM permite que você implemente políticas de segurança e restrições diferentes para dispositivos de propriedade de funcionários e para dispositivos corporativos dedicados. Com os perfis de restrição, você pode estabelecer restrições fortes para dispositivos corporativos dedicados e restrições mais flexíveis para dispositivos de propriedade de funcionários. Por exemplo, restrições a aplicativos como YouTube ou loja de aplicativos nativas não são tipicamente implementadas em dispositivos do funcionário. Ao invés disso, você pode criar perfis de segurança e restrições que aumentam o nível de segurança do dispositivo sem ter um impacto negativo em sua funcionalidade. Restrições independentes do dispositivo O Workspace ONE UEM disponibiliza as seguintes restrições para cada dispositivo e a plataforma: Backups criptografados - Proteja todos os backups com criptografia de dados para dispositivos BYOD com acesso ao conteúdo corporativo. Alerta de fraude obrigatório em navegadores compatíveis - Exige que os funcionários confirmem todos os avisos emitidos pelo navegador quando o mesmo detecta um website suspeito. Desabilitação da transferência de s - Proíbe a exposição de dados corporativos confidenciais desabilitando a capacidade de encaminhar s da empresa para uma conta pessoal, ou abri-los em aplicativos de terceiros. Restrições específicas por plataforma Cada plataforma tem seu próprio conjunto de restrições executáveis. Avalie estas restrições individualmente para determinar seu valor em sua implementação. Algumas, como restrições de ios limitadas a dispositivos supervisionados, não se aplicam porque os dispositivos dos funcionários não devem estar inscritos no Apple Configurator. Você pode criar perfis de segurança e restrições em Dispositivos > Perfis > Modo de exibição de lista e selecionando Adicionar. Depois selecione a plataforma apropriada. Se você criar perfis especificamente para dispositivos de propriedade de funcionários, apenas os atribua a grupos inteligentes com base no tipo de propriedade: Propriedade do funcionário. Apagar dados corporativos de dispositivos BYOD Um aspecto essencial da sua implementação BYOD é a remoção do conteúdo corporativo quando um funcionário deixa o emprego ou quando o dispositivo é perdido ou roubado. A Workspace ONE UEM permite que você realize a limpeza de dados corporativos nos dispositivos para remover todo o conteúdo e acesso da empresa, mas deixe arquivos e configurações pessoais sem alterações. VMware, Inc. 236

237 A Workspace ONE UEM deixa você decidir como a remoção de dados corporativos se aplica a aplicativos VPP públicos e comprados que se encontram em uma área indefinida entre dispositivos do funcionário e da empresa. A remoção de dados corporativos também remove a inscrição do dispositivo na Workspace ONE UEM e todo o conteúdo habilitado através do MDM. Esse conteúdo inclui contas de , configurações de VPN, perfis de Wi-Fi, conteúdo seguro e aplicativos corporativos. Se você utilizou códigos de resgate do Plano de compra por volume da Apple em dispositivos executando ios 6 e inferior, você não pode recuperar nenhuma licença resgatada para aquele aplicativo. Quando instalado, o aplicativo é associado à conta do usuário na App Store. Esta associação não pode ser desfeita. No entanto, você pode resgatar códigos de licença usados para ios 7 e superior. Executar apagamento de dados corporativos em um dispositivo BYOD Apagar dados corporativos do dispositivo cancela a inscrição do dispositivo no Workspace ONE UEM e exclui todo o conteúdo corporativo, incluindo contas de , configurações de VPN, perfis e aplicativos. Procedimentos 1 No Console de administração, selecione o grupo organizacional apropriado. 2 Vá até Dispositivos > Modo de exibição de lista e selecione um ou vários dispositivos da lista. 3 O modo de exibição Detalhes do dispositivo apresenta uma lista de ações que você pode realizar no menu suspenso Mais, no canto superior direito. Selecione Apagar dados corporativos. 4 Na caixa de diálogo de confirmação, selecione Impedir que o dispositivo seja inscrito novamente para impedir uma nova inscrição deste dispositivo. 5 Digite um PIN de segurança, se aplicável, e selecione Apagar dados corporativos para terminar a ação. Desativar o apagamento completo de dados para dispositivos BYOD Por razões de segurança e privacidade, você pode desativar a possibilidade de realização de um apagamento completo dos dados em um dispositivo BYOD. Se você desativar a opção de apagamento completo dos dados em tipos de propriedade de ios, usuários inscritos nesse tipo de propriedade não verão as permissões "Apagar todo o conteúdo e configurações" durante a instalação do perfil. Procedimentos 1 Vá para Dispositivos > Configurações dos dispositivos > Dispositivos e usuários > Geral > Privacidade. 2 Vá até a seção Comandos e encontre a coluna Funcionário. 3 Configure a opção Apagar todos os dados como Impedir e selecione Salvar. VMware, Inc. 237

238 Etiquetas do dispositivo 11 As etiquetas de dispositivo permitem que você identifique um dispositivo específico sem a necessidade de um perfil de dispositivo, grupo inteligente ou política de conformidade e sem criar uma observação. Por exemplo, se um dispositivo tiver uma bateria defeituosa ou uma tela quebrada, você poderá usar etiquetas para identificar esses dispositivos no Workspace ONE UEM Console. Outra forma é identificar variantes de hardware de uma forma mais visível, em vez de depender do número do modelo ou da descrição para identificar os dispositivos. Por exemplo, dois computadores podem ter o mesmo número de modelo, mas seus processadores podem ser ligeiramente diferentes ou a quantidade de memória pode ter sido personalizada. Colocar etiquetas em dispositivos com hardware aprimorado permite sua fácil identificação. Etiquetas e grupos inteligentes O recurso de etiquetas é integrado aos grupos inteligentes, o que significa que as etiquetas podem ser usadas para definir um grupo inteligente. Por exemplo, se tiver marcado todos os dispositivos em sua frota com danos estéticos, você poderá criar um grupo inteligente desses dispositivos. Você pode, então, excluir esse grupo inteligente do pool de dispositivos que atribuir temporariamente aos visitantes do site. Outro exemplo é etiquetar dispositivos de baixo desempenho. Crie um grupo inteligente desses dispositivos etiquetados e exclua-os do uso em atribuições de missão crítica. Permissões de funções e etiquetas de dispositivos Todas as atividades relacionadas ao recurso de etiqueta do dispositivo exigem as permissões de funções atribuídas por você aos administradores. Se quiser que os administradores tenham a responsabilidade de criar etiquetas, você deve adicionar essa permissão (também chamada de recurso) à função que atribuiu para esse administrador. Acontece o mesmo para exibir etiquetas, editar etiquetas, excluir etiquetas, atribuir etiquetas, mesmo com a capacidade de pesquisar por etiquetas. Para obter detalhes sobre a auditoria de permissões relacionadas a contas de administradores, consulte Exibir os recursos de uma função de administrador. VMware, Inc. 238

239 Este capítulo inclui os seguintes tópicos: Filtrar dispositivos por etiqueta Criar uma nova etiqueta nas configurações do sistema Atribuir etiquetas a um único dispositivo Atribuir etiquetas a vários dispositivos Editar uma etiqueta de dispositivo existente Excluir uma etiqueta de dispositivo existente Filtrar dispositivos por etiqueta Você pode utilizar o recurso de filtro no Modo de exibição de lista para mostrar apenas dispositivos com etiquetas específicas. Procedimentos 1 Vá para Dispositivos > Modo de exibição de lista, selecione Filtros para exibir a coluna Filtros à esquerda da lista de dispositivos. 2 Selecione Avançado na lista de Categorias de filtros e selecione Etiquetas. 3 Clique em qualquer lugar na caixa de texto Pesquisar e selecione na lista de etiquetas de dispositivos que aparece. Os dispositivos com etiquetas desmarcadas são filtrados da lista resultante. O Modo de exibição de lista de dispositivos é imediatamente atualizado quando a primeira etiqueta é selecionada. Criar uma nova etiqueta nas configurações do sistema Você pode criar uma nova etiqueta de dispositivo para usar no Workspace ONE UEM Console. As etiquetas permitem que você identifique rapidamente um dispositivo específico sem a necessidade de um perfil de dispositivo, grupo inteligente ou política de conformidade e sem a necessidade da criação de uma observação. Pré-requisitos Você deve ter as permissões corretas para criar uma etiqueta. Você pode verificar essas permissões exibindo todos os recursos (ou permissões) atribuídos de uma função de administrador, modificar a função com a permissão 'Criar etiqueta' e, se ainda não estiver atribuída, atribuir a função modificada à sua conta de administrador. Para obter detalhes, consulte Exibir os recursos de uma função de administrador. Procedimentos 1 Vá até Grupos e configurações > Todas as configurações > Dispositivos e usuários > Avançado > Etiquetas. VMware, Inc. 239

240 2 Clique no botão Criar etiqueta. A tela Criar etiqueta é exibida. 3 Digite o Nome para a etiqueta. A seleção do nome da etiqueta é o que torna a etiqueta útil ou não. Selecione um nome que possa ser usado para identificar rapidamente um dispositivo. 4 Selecione o Tipo de etiqueta desejado: Dispositivo, Geral ou Vídeo. 5 Selecione o Código de cor associado à etiqueta. Depois de atribuir essa etiqueta a um dispositivo, as etiquetas da cor configurada ficarão visíveis na Exibição da lista de dispositivos, facilitando encontrá-las. 6 Selecione Salvar. A etiqueta do dispositivo agora está disponível para ser atribuída a um dispositivo. Próximo passo Navegue até Dispositivos > Exibição da lista e selecione um ou mais dispositivos para atribuir a eles essa etiqueta. Atribuir etiquetas a um único dispositivo Quando você tiver que fazer um ajuste rápido único nas etiquetas do dispositivo, será possível atribuir facilmente uma ou mais etiquetas a um único dispositivo. Você pode atribuir etiquetas a um dispositivo para identificá-lo sem usar notas, perfis, políticas ou atribuir um apelido especial ao dispositivo. Você está procurando conceder permissões como parte de uma função de administrador que inclui (ou exclui) a capacidade de atribuir uma etiqueta a um dispositivo? Consulte Exibir os recursos de uma função de administrador. Procedimentos 1 Vá para Dispositivos > Modo de exibição de lista e selecione o dispositivo no qual você deseja colocar a etiqueta. Exiba Visualizar detalhes, selecionando o apelido do dispositivo na lista. Marque a caixa de seleção acima do ícone de lápis ao lado do dispositivo. 2 Selecione o botão Mais ações e depois Atribuir etiqueta. A tela Atribuição de etiqueta é exibida com uma listagem de etiquetas disponíveis para aplicar ao seu dispositivo selecionado. 3 Selecione cada uma das etiquetas que deseja atribuir ao dispositivo. Você pode selecionar mais de uma etiqueta. Se você selecionou Atribuir etiqueta na Visualização de detalhes do dispositivo, também tem o link Gerenciar etiquetas que, quando selecionado, abre a página Configurações do sistema de etiquetas, permitindo criar uma nova etiqueta. Para obter mais informações, consulte Criar uma nova etiqueta nas configurações do sistema. VMware, Inc. 240

241 4 Selecione Salvar. Atribuir etiquetas a vários dispositivos Você pode atribuir uma ou várias etiquetas a um ou mais dispositivos, permitindo identificá-los sem usar notas, perfis, políticas ou sem fornecer nomes amigáveis especiais aos dispositivos. Atribuir várias etiquetas a vários dispositivos poupa tempo. Pré-requisitos Você deve ter as permissões corretas para atribuir uma etiqueta a vários dispositivos. Você pode verificar essas permissões exibindo todos os recursos (ou permissões) atribuídos de uma função de administrador, modificar a função com a permissão 'Atribuir etiquetas com o Gerenciamento em massa de dispositivos' e, se ainda não estiver atribuída, atribuir a função modificada à sua conta de administrador. Para obter detalhes, consulte Exibir os recursos de uma função de administrador. Procedimentos 1 Vá para Dispositivos > Modo de exibição de lista. 2 Marque a caixa de seleção de cada dispositivo ao qual deseja atribuir uma etiqueta. 3 Selecione Mais ações e Atribuir etiqueta. A página Atribuição de etiqueta é exibida com uma listagem de etiquetas disponíveis para aplicar aos dispositivos selecionados. 4 Selecione as etiquetas que deseja atribuir a todos os dispositivos selecionados. Você pode selecionar mais de uma etiqueta. 5 Selecione Salvar. Editar uma etiqueta de dispositivo existente Você pode editar uma etiqueta de dispositivo existente para usar no Workspace ONE UEM Console. As etiquetas permitem que você identifique rapidamente um dispositivo específico sem a necessidade de um perfil de dispositivo, grupo inteligente ou política de conformidade e sem a necessidade da criação de uma observação. Pré-requisitos Você deve ter as permissões corretas para editar uma etiqueta. Você pode verificar essas permissões exibindo todos os recursos (ou permissões) atribuídos de uma função de administrador, modificar a função com a permissão 'Editar etiqueta' e, se ainda não estiver atribuída, atribuir a função modificada à sua conta de administrador. Para obter detalhes, consulte Exibir os recursos de uma função de administrador. Procedimentos 1 Vá até Grupos e configurações > Dispositivos e usuários > Avançado > Etiquetas. VMware, Inc. 241

242 2 Identifique a etiqueta que você deseja editar na lista. 3 Selecione o ícone de lápis ( ) ao lado da etiqueta a editar. A tela Editar etiqueta é exibida. 4 Você pode editar o Nome, o Tipo e o Código de cor da etiqueta. 5 Selecione Salvar. A etiqueta foi editada com um novo Nome, Tipo e Código de cor. Os dispositivos atribuídos para a etiqueta anterior foram atualizados com a etiqueta editada. Excluir uma etiqueta de dispositivo existente Desde que uma etiqueta não esteja atribuída e você não tenha planos de usá-la novamente, você pode excluí-la do Workspace ONE UEM Console. Pré-requisitos Você deve ter as permissões corretas para excluir uma etiqueta. Você pode verificar essas permissões exibindo todos os recursos (ou permissões) atribuídos de uma função de administrador, modificar a função com a permissão 'Excluir etiqueta' e, se ainda não estiver atribuída, atribuir a função modificada à sua conta de administrador. Para obter detalhes, consulte Exibir os recursos de uma função de administrador. As etiquetas que você deseja excluir não devem estar atribuídas a nenhum dispositivo. Para cancelar a atribuição de etiquetas a dispositivos, navegue até Dispositivos > Modo de exibição de lista e procure a etiqueta que deseja excluir. Abra a Exibição de detalhes do dispositivo com a etiqueta atribuída. Cancele a atribuição da etiqueta de todos os dispositivos aos quais ela esteja atribuída. Procedimentos 1 Depois de cancelar completamente a atribuição dessa etiqueta, navegue até Grupos e configurações > Dispositivos e usuários > Avançado > Etiquetas. 2 Identifique na lista a etiqueta que você deseja excluir. 3 Use o botão de seleção ao lado da etiqueta a excluir. O botão Excluir é exibido acima da lista. 4 Selecione Excluir. Uma confirmação aparece perguntando "Excluir permanentemente a etiqueta?" 5 Selecione OK na confirmação. Se a etiqueta estiver atribuída a um dispositivo, você não terá permissão para excluí-la. Consulte as instruções acima para cancelar a atribuição de etiquetas a dispositivos. VMware, Inc. 242

243 Se a etiqueta não estiver atribuída a qualquer dispositivo quando você excluí-la, ela será removida do Workspace ONE UEM Console. VMware, Inc. 243

244 Introdução aos relatórios 12 Os relatórios do Workspace ONE UEM fornecem acesso aos relatórios em várias seções de sua solução do Workspace ONE UEM. Use esses relatórios para analisar os padrões do UEM Console. Relatórios personalizados Os relatórios personalizados mudaram de locais. Navegue até Monitor > Intelligence. Para obter mais informações, consulte Relatórios do Workspace ONE Intelligence. Relatórios Workspace ONE UEM A funcionalidade de relatórios permite acessar informações detalhadas sobre os dispositivos, os usuários e os aplicativos em sua solução do Workspace ONE UEM. As exportações desses relatórios estão em formato CSV. Para obter mais informações, consulte Visão geral dos relatórios do Workspace ONE UEM. Relata armazenamento Otimize o armazenamento de seus Relatórios do Workspace ONE UEM por meio do armazenamento de relatórios. Esse recurso de armazenamento melhora o desempenho dos relatórios do Workspace ONE UEM. Considere habilitar o armazenamento de relatórios se você perceber o impacto sobre o desempenho do banco de dados do Workspace ONE UEM ao usar os relatórios. Para obter mais informações, consulte o Relata armazenamento. Este capítulo inclui os seguintes tópicos: Relatórios do Workspace ONE Intelligence Visão geral dos relatórios do Workspace ONE UEM Armazenamento de arquivo Relata armazenamento VMware, Inc. 244

245 Relatórios do Workspace ONE Intelligence Use os Relatórios do Workspace ONE Intelligence para agrupar os dados em sua implementação do Workspace ONE UEM. Os relatórios do Intelligence usam um sistema de armazenamento de relatórios com base na nuvem para coletar dados e criar relatórios. Plano de fundo dos relatórios O recurso de Relatórios fornece um acesso mais rápido e fácil a dados de inteligência de negócios essenciais, em comparação aos relatórios normais do Workspace ONE UEM. Crie relatórios usando os modelos de início ou personalize os relatórios predefinidos. Você pode selecionar a partir de categorias que incluem aplicativos, dispositivos e atualizações do sistema operacional. Esses relatórios fornecem os dados mais recentes extraídos do seu ambiente do Workspace ONE UEM. Os relatórios usam um serviço separado para enviar os dados para a um serviço de nuvem de relatórios. Este serviço captura os dados úteis para os administradores ao tentar responder perguntas críticas. O recurso reúne um instantâneo inicial da sua implementação e continua a capturar alterações contínuas. Instalar o serviço do Workspace ONE Intelligence Connector Antes de usar os recursos do Workspace ONE Intelligence, você deve instalar o serviço Workspace ONE Intelligence Connector (também conhecido como instalador ETL) em um servidor separado no seu ambiente do Workspace ONE UEM. Cada recurso usa o serviço Workspace ONE Intelligence Connector instalado a partir do instalador do Workspace ONE Intelligence Connector. O serviço Workspace ONE Intelligence Connector coleta os dados do seu servidor do Workspace ONE UEM Console e os envia para o serviço de nuvem de relatórios. Para obter mais informações, consulte Requisitos do Workspace ONE Intelligence e Instalação do serviço Workspace ONE Intelligence Connector no local. Assistente para relatórios O Assistente para relatórios pode criar um relatório personalizado usando um modelo de início ou um novo relatório. O assistente o orienta por todas as etapas. Os relatórios usam filtros personalizáveis para coletar dados de aplicativos e dispositivos com base em atributos chave. Inclua quantos filtros for necessário para estreitar os resultados do relatório. Cada filtro adicionado usa o operador "AND". Em seguida, selecione o valor para o valor e o operador para cada atributo. Para obter mais informações, consulte Execução do instalador de relatórios. VMware, Inc. 245

246 Gerenciar relatórios Após criar um relatório, gerencie-o a partir do Modo de exibição de Lista de relatórios. A partir desta tela, você pode executar relatórios, agendar sua execução, copiá-los e excluí-los. Para obter mais informações, consulte Gerenciamento de relatórios Requisitos do Workspace ONE Intelligence Antes de poder usar os recursos do Workspace ONE Intelligence, você deve ativar os relatórios criados pelo Workspace ONE Intelligence (diferente dos relatórios do Workspace ONE UEM). Em seguida, instale o serviço Workspace ONE Intelligence Connector (também conhecido como instalador ETL). Como acessar relatórios Os clientes de SaaS compartilhado trabalham com seus representantes de conta para acessar os relatórios criados pelo Workspace ONE Intelligence. Não é necessário instalar o seu próprio servidor do Workspace ONE Intelligence Connector para essas implementações. Os clientes de SaaS dedicado trabalham com seus representantes de conta para acessar os relatórios criados pelo Workspace ONE Intelligence. Não é necessário instalar o seu próprio servidor do Workspace ONE Intelligence Connector para essas implementações. Revise as instruções listadas neste artigo da base de conhecimento, Os clientes no local trabalham com seu representante de contas para acessar os relatórios criados pelo Workspace ONE Intelligence. Essas implantações devem instalar o seu próprio servidor do Workspace ONE Intelligence Connector. Versão obrigatória do console do Workspace ONE UEM O Workspace ONE Intelligence requer a versão 9.6 ou superior do Workspace ONE UEM Console. Permissões necessárias para o banco de dados Para instalar o Workspace ONE Intelligence Connector, o responsável pela instalação precisa de permissões para as seguintes funções do Console e dos servidores de serviços de diretório. DBOwner para o banco de dados do Workspace ONE UEM DBDatareader para o MSDB SQLAgentUserRole para o MSDB Requisitos do servidor do Workspace ONE Intelligence Connector para o local É necessário instalar o serviço Workspace ONE Intelligence Connector em seu próprio servidor antes de poder usar os recursos do Workspace ONE Intelligence. VMware, Inc. 246

247 Tabela Requisitos de hardware por número de dispositivos Componente dispositivos dispositivos dispositivos dispositivos Servidor CPUs 2 (processador Intel de 2 GHz) 2 (processador Intel de 2 GHz) 2 (processador Intel de 2 GHz) 2 (processador Intel de 2 GHz) Memória 4 GB 8 GB 8 GB 8 GB Armazenamento 25 GB 25 GB 25 GB 25 GB Tabela Requisitos de software Componente Requisitos Java Java 8 SO Windows Server 2012 R2 ou versões posteriores Tabela Requisitos de rede Componente Tráfego de saída do serviço do Workspace ONE Intelligence Connector Protocolo para o tráfego de saída do serviço do Workspace ONE Intelligence Connector Acesso à rede interna para o banco de dados do Workspace ONE UEM Requisitos Porta 443 HTTPS A porta usada se baseia em sua implementação do Workspace ONE UEM. Lista de permissões das regiões do serviço de nuvem para o local No servidor do Workspace ONE Intelligence Connector, inclua os destinos de URLs específicas na lista de permissões para que o instalador do conector possa chamar os pontos de extremidade para obter uma lista de todas as regiões compatíveis. Além disso, inclua outros destinos de URL na lista de permissões, dependendo da sua região. Para obter mais informações sobre listas de permissões e as regiões do mundo, consulte os tópicos a seguir no Guia do usuário do Workspace ONE Intelligence. URLs na lista de permissões para o local por região Local do ambiente de SaaS do Workspace ONE UEM mapeado para uma região do Workspace ONE Intelligence Proxy Se você tiver um servidor proxy e quiser usá-lo com o Workspace ONE Intelligence Connector, verifique se tem destinos específicos na lista de permissões. Se você não incluir os destinos listados na lista de permissões, a instalação poderá falhar. VMware, Inc. 247

248 Instalação do serviço Workspace ONE Intelligence Connector no local O serviço do Workspace ONE Intelligence Connector coleta dados do seu banco de dados do Workspace ONE UEM e os envia para o serviço de relatórios com base na nuvem. Encontre o conector em Você deve instalá-lo em seu próprio servidor. Para obter informações adicionais sobre o processo de instalação dos outros servidores de aplicativos do Workspace ONE UEM, consulte o Guia de instalação do VMware Workspace ONE UEM em Importante Se você atualizar o banco de dados do Workspace ONE UEM como parte do processo de atualização, será necessário interromper o Serviço do Workspace ONE Intelligence Connector durante a atualização do banco de dados do Workspace ONE UEM. Após concluir o processo de atualização, reinicie o serviço. Importante Se você alterar a configuração da Região de implementação, não execute o instalador novamente. Pré-requisitos Certifique-se de incluir as URLs aplicáveis na lista de permissões para que o processo de instalação do conector possa se comunicar com o serviço correto de relatórios com base na nuvem. Para a lista de URLs, consulte o tópico URLs na lista de permissões dos locais por região no Guia do usuário do Workspace ONE Intelligence. Se você usar um servidor proxy e quiser usá-lo com o Workspace ONE Intelligence Connector, certifiquese de incluir destinos específicos na lista de permissões. Se você não incluir os destinos listados na lista de permissões, a instalação poderá falhar. Consulte o tópico URLs na lista de permissões para uso de um servidor proxy em implantações locais no Guia do usuário do Workspace ONE Intelligence. Procedimentos 1 Certifique-se de cumprir os requisitos de hardware, software e rede descritos no Guia do usuário do Workspace ONE Intelligence. 2 Baixe o instalador do Workspace ONE Intelligence Connector no servidor configurado para o serviço. 3 Execute o instalador e clique em Próximo. 4 Aceite os Termos de uso e clique em Próximo 5 Certifique-se de que o serviço Workspace ONE Intelligence Connector Service está selecionado como um recurso a ser instalado. Clique em Próximo. O instalador detecta a versão do Java instalado no servidor de aplicativos. Se o instalador não detectar a versão necessária, instale-a. VMware, Inc. 248

249 6 Insira as configurações do servidor de banco de dados. Configuração Servidor do banco de dados que você está instalando em Conectar-se usando Descrição Selecione Procurar ao lado da caixa de texto Servidor do banco de dados e escolha seu banco de dados do Workspace ONE UEM na lista. Se estiver utilizando a porta padrão, não selecione Procurar. Em vez disso, use a seguinte sintaxe: DBHostName,<customPortNumber >, e depois selecione Procurar para escolher o servidor do banco de dados. Por exemplo: db.acme.com, 8043 Selecione um dos seguintes métodos de autenticação. A Autenticação do Windows usa uma conta de serviço do servidor Windows para autenticar. Você será solicitado a digitar a conta de serviço que você deseja usar. Essa conta de serviço é usada para executar todos os pools de aplicativos e serviços relacionados ao Workspace ONE UEM. A conta de serviço deve ter acesso de banco de dados do Workspace ONE UEM. A Autenticação do SQL Server usa o método de autenticação do servidor SQL. Você será solicitado a digitar o nome de usuário e a senha. Nome do catálogo do banco de dados Digite o nome do banco de dados do Workspace ONE UEM ou procure o servidor SQL e o selecione em uma lista. 7 Selecione a pasta de destino na qual deseja instalar o serviço Workspace ONE Intelligence Connector. 8 Defina as configurações de serviço do Workspace ONE Intelligence Connector. a Selecione a região de implantação para seu serviço de nuvem. Certifique-se de que a região correta está selecionada. Caso deseje alterar essa região futuramente, não execute o instalador novamente. Se você atualizar o serviço Workspace ONE Intelligence Connector a partir de uma versão anterior, esta tela não será exibida, pois não é possível alterar a região durante uma atualização. b Digite o token de instalação do Workspace ONE UEM. Esse token é criado como parte do processo de instalação do Workspace ONE UEM. 9 (Opcional) Insira as informações de proxy. Encontre estas informações no Workspace ONE UEM Console em Grupos e configurações > Todas as configurações > Instalação > Proxy > Configurações de proxy do console. 10 Selecione Instalar para instalar o serviço Workspace ONE Intelligence Connector. Após o término da instalação, selecione Concluir. Execução do instalador de relatórios O assistente de relatórios orienta a criação de um relatório personalizado em seu ambiente do Workspace ONE UEM. O assistente possui modelos em branco que você pode usar como base para seus relatórios, ou personalizar os relatórios predefinidos. VMware, Inc. 249

250 Para obter informações sobre como acessar a interface de usuário do Workspace ONE Intelligence, consulte Acesso ao Workspace ONE Intelligence. Procedimentos 1 Acesse a interface de usuário do Workspace ONE Intelligence. 2 Vá até Relatórios > Relatórios e selecione Adicionar relatório. 3 Selecione a categoria de relatório: Aplicativos, Dispositivos ou Atualizações do sistema operacional. 4 Selecione um modelo e selecione Próximo. Modelos de aplicativos Configuração Modelo de início de aplicativos Aplicativos gerenciados Todos os aplicativos Workspace ONE UEM ios e Android Agent Descrição Selecione para criar um relatório a partir de um modelo em branco. Selecione para criar um relatório que mostra uma lista de todos os aplicativos gerenciados em seus dispositivos. Selecione para criar um relatório que lista todos os aplicativos, gerenciados ou não gerenciados, em seus dispositivos. Selecione para criar um relatório que lista todos os detalhes do aplicativo Workspace ONE Intelligent Hub em seus dispositivos ios e Android. Modelos de dispositivos Configuração Inscrever dispositivo Dispositivos fora de conformidade Modelo de início do dispositivo Descrição Selecione para criar um relatório que lista todos os dispositivos inscritos e seus detalhes. Selecione para criar um relatório que lista todos os dispositivos que violam as políticas de conformidade. Selecione para criar um relatório a partir de um modelo em branco. Modelos de atualizações do sistema operacional Tabela Modelos de atualizações do sistema operacional Configuração Todas as atualizações do sistema operacional Windows Status de atualização crítica Status de atualização de segurança Descrição Crie um relatório para todas (ou filtradas) as atualizações no sistema operacional Windows. Crie um relatório contendo todas (ou filtradas) as atualizações críticas no sistema operacional. Crie um relatório voltado para atualizações de segurança no sistema operacional. VMware, Inc. 250

251 Tabela Modelos de atualizações do sistema operacional (Continuação) Configuração Status de atualização do Service Pack Modelo de início de atualizações do sistema operacional Descrição Crie um relatório sobre atualizações do Service Pack no sistema operacional. Selecione para criar um relatório com base em um modelo em branco. 5 Na tela Personalizar, selecione o ícone Adiciona filtro (+) para adicionar filtros ao seu modelo em branco ou para personalizar ainda mais um modelo de início. Cada filtro requer as seguintes configurações. Configuração Filtrar Seletores Valor Descrição Selecione um atributo que corresponde aos dados que você está tentando coletar. Por exemplo, o modelo de Dispositivos inscritos usa o atributo de Status de inscrição para estreitar os resultados. Selecione um operador que se aplica ao valor do atributo. Por exemplo, se você estiver usando o atributo de Grupo organizacional de dispositivo GUID, selecione o seletor Incluir para incluir todos os dispositivos no grupo organizacional que corresponder ao valor. Insira um valor para o qual você deseja receber dados. Para alguns seletores, você pode selecionar o valor em um menu suspenso, enquanto outros necessitam de uma entrada explícita. Por exemplo, se você estiver usando o atributo de Status de inscrição e o seletor Incluir, selecione Inscrito para receber um relatório em todos os dispositivos inscritos. Por outro lado, se você estiver filtrando os dispositivos de acordo com o atributo de País e o seletor Incluir, você deve inserir no nome do país que deseja incluir no relatório. Você deve Adicionar filtro para cada país que deseja filtrar. 6 Em Visualização do relatório, selecione Editar colunas. A tela Editar colunas é exibida. 7 Encontre a coluna que corresponde ao filtro que você selecionou para ver uma visualização do relatório. 8 Selecione Salvar para retornar para a tela Adicionar relatório e selecione Próximo. 9 Insira um nome e uma descrição para o relatório. 10 Selecione Executar relatório agora se você deseja executar o relatório após salvar o relatório personalizado. 11 (Opcional) Selecione Executar relatório agora ou crie um agendamento para o relatório para qualquer outro momento. 12 Selecione Salvar para salvar o relatório. VMware, Inc. 251

252 Acesso ao Workspace ONE Intelligence Acesse a interface do Workspace ONE Intelligence no Workspace ONE UEM Console. Na interface do Workspace ONE Intelligence, você pode usar painéis, automação e relatórios (relatórios personalizados anteriormente). Para acessar a interface do Workspace ONE Intelligence, você deve inserir suas credenciais e selecionar opt-in no serviço. Acesse os relatórios navegando até Monitor > Intelligence, selecione Opt-in e Iniciar após instalar o serviço Workspace ONE Intelligence Connector. Para retornar ao Workspace ONE UEM Console, siga as etapas necessárias. Procedimentos 1 Selecione o menu quadrado para serviços do VMware no canto superior direito da interface do usuário. 2 Selecione Workspace ONE UEM no menu de serviços do VMware. Gerenciamento de relatórios Após criar um relatório, você pode gerenciá-los a partir do Modo de exibição Visualização de lista. Você pode executar relatórios, agendar sua execução, copiá-los e excluí-los. Selecione um único relatório e use as ações de gerenciamento, o programador e os logs de auditoria. Modo de exibição de lista O modo de exibição de lista para Relatórios, Relatórios > Relatórios permite selecionar múltiplos relatórios e tomar medidas com uma seleção. Adicionar relatório - Abre o assistente para Relatórios para criar um relatório. Editar - Edita os filtros de um relatório. Executar - Executa o relatório imediatamente. Após a conclusão do relatório, você receberá um e- mail com um link direcionando-o até seu relatório. Compartilhar - Envia o relatório a um único ou vários administradores. Desta forma, eles podem acessar o relatório através do link enviado. Agendamento - Agenda a execução de um relatório e o envio de um contendo um link para o relatório após sua conclusão. Para acessar o relatório, os usuários devem ter uma conta de administrador no Workspace ONE UEM Console para fazer login e autenticar antes do download. Copiar - Cria uma cópia do relatório. Use essa ação caso deseje agendamentos diferentes para o mesmo relatório. Copiar também é útil ao criar um relatório com base em um relatório existente sem começar desde o início. Excluir - Exclui um relatório e o remove, bem como todas as inscrições associadas permanentemente. VMware, Inc. 252

253 Modo de exibição de único relatório Selecione um relatório para acessar as guias Visão geral, Agendamentos e Logs de auditoria. Visão geral - A guia Visão geral de um relatório contém as ações de gerenciamento. Editar Executar Compartilhar Excluir Agendamentos - A guia Agendamentos contém as ações de gerenciamento para agendamento de relatórios. Selecione para adicionar, editar ou excluir um relatório. Adicione um relatório e defina as configurações do assistente. Após a execução do relatório, o sistema envia um para os contatos configurados no assistente. O contém um link para download do relatório. Para acessar o relatório, os usuários devem ter uma conta de administrador no Workspace ONE UEM Console para fazer login e autenticar antes do download. No Assistente de Agendamento, defina as seguintes configurações para agendar um relatório. Tabela Configurações para agendar relatórios Configuração Nome do agendamento Reincidência Descrição Digite um nome para o agendamento. No menu suspenso, selecione a frequência de execução do relatório. A cada hora Diariamente Semanalmente Mensalmente O valor de Reincidência afeta as configurações de período disponíveis. Por hora - A cada Por hora - Inicia em Diariamente - Hora do dia Semanalmente - Dias da semana Semanalmente - Inicia em Mensalmente - Dia do mês Mensalmente - Inicia em Todas as configurações de reincidência - Termina em Enviar para Selecione o número de horas que deve transcorrer antes de uma nova execução do relatório. Selecione a hora do dia para execução do relatório. Selecione a hora do dia que você deseja para execução do relatório. Selecione os dias da semana e a hora do dia você deseja para execução do relatório. Selecione a hora do dia para execução do relatório. Selecione o dia do mês e a hora do dia que você deseja para execução do relatório. Essa configuração é exibida se a Reincidência estiver definida como Mensal. Selecione a hora do dia para execução do relatório. Caso deseje interromper a reincidência de um relatório, defina a data de término. Insira todos os endereços de dos destinatários. VMware, Inc. 253

254 Tabela Configurações para agendar relatórios (Continuação) Configuração Assunto Mensagem Descrição Insira um assunto para o enviado após a conclusão do relatório. O contém o link de acesso ao relatório. Digite uma mensagem para o enviado após a conclusão do relatório. Você pode exibir os relatórios agendados e sua frequência em Relatórios > Relatórios agendados. A página Relatórios agendados contém as ações Editar e Excluir para gerenciamento de agendamentos. Log de auditoria - A guia Log de auditoria lista os eventos de um relatório. Descubra quando um evento ocorreu, sua causa e o que aconteceu. O log lista os seguintes dados. Data e hora Conta do administrador Nome do evento Ação Visão geral dos relatórios do Workspace ONE UEM A funcionalidade de relatórios permite acessar informações detalhadas sobre os dispositivos, os usuários e os aplicativos em sua solução do Workspace ONE UEM. Use essas informações para solucionar problemas de sua implantação e tomar decisões com embasamento ao executar as ações. As exportações desses relatórios estão no formato de valores separados por vírgulas (CSV). Interface mais intuitiva. Aprimoramento na confiabilidade da geração de relatório. Seleção de filtro mais fácil. Downloads mais rápidos. Melhoria da capacidade de rastreamento de exportação de status. Funcionalidade simplificada de assinatura de relatórios. O armazenamento de seus relatórios depende da solução de armazenamento que você usa. Por padrão, o Workspace ONE UEM armazena os relatórios no banco de dados. Os relatórios permanecem no banco de dados até expirarem. Depois de expirados, os relatórios são excluídos automaticamente. Dependendo do tamanho da sua implantação, considere usar uma solução de armazenamento como uma extensão do seu banco de dados para melhorar o desempenho. Aumente o banco de dados com o armazenamento de arquivos e o armazenamento de relatórios. O armazenamento de arquivos armazena relatórios, conteúdo e aplicativos em um servidor separado. VMware, Inc. 254

255 O armazenamento de relatórios armazena os relatórios do Workspace ONE UEM em um armazenamento de arquivos dedicado separado de todos os outros tipos de conteúdo. Para melhorar o desempenho, considere habilitar o armazenamento de relatórios. Esse armazenamento usa um servidor dedicado para armazenar todos os relatórios do Workspace ONE UEM e aumentar o desempenho. Para obter mais informações, consulte o Relata armazenamento. Importante Se estiver usando a versão ou 9.0.3, você deve habilitar o armazenamento de arquivos usar os relatórios do Workspace ONE UEM. Para obter mais informações, consulte Armazenamento de arquivo Novos relatórios A etiqueta Novo na frente do nome do relatório no UEM Console identifica os relatórios novos. Esses relatórios combinam vários relatórios descontinuados. Para ver os novos relatórios, vá até Monitor > Relatórios e técnicas de análise > Relatórios > Modo de exibição da lista. Para ver os novos relatórios exportados, vá até Monitor > Relatórios e técnicas de análise > Exportações. O Workspace ONE UEM oferece 20 novos relatórios. A tabela a seguir mostra as colunas disponíveis para cada um dos novos relatórios. Histórico de login de administradores Nome Usuário principal Data de acesso IP de origem Browser Plataforma Status do login Status Funções de usuário administrador ID do grupo organizacional Nome do grupo organizacional Nome de usuário Nome Função Descrição da função Última data de login Tipo de usuário Principal Sobrenome Detalhes do aplicativo por dispositivo ID do grupo organizacional Nome do grupo organizacional Apelido Número de série Nome do aplicativo Identificador de aplicativo Versão instalada Tamanho do pacote (KB) Tamanho dinâmico (KB) Tamanho total Status da instalação Motivo de status de instalação VMware, Inc. 255

256 Implantado por Workspace ONE UEM Aplicativo gerenciado Versão atribuída Tipo de dispositivo Versão do S.O. Última visualização do dispositivo Aplicativo visto pela primeira vez Data de atualização do aplicativo ID do dispositivo Modelo do dispositivo Tipo de propriedade Nome de usuário Endereço de Detalhes de aplicativos nas listas de bloqueios ou negações por dispositivo ID do grupo organizacional Nome do grupo organizacional ID do dispositivo Nome de usuário Endereço de Número de série IMEI Plataforma do dispositivo Modelo do dispositivo Versão do S.O. Propriedade Número de telefone Nome do aplicativo Identificador de aplicativo Versão do aplicativo Aplicativo visto pela primeira vez Certificado prestes a expirar Nome do certificado Emitido para Emitido por Nome de CA Status Nome do perfil Apelido Nome do grupo organizacional Data de efetivação Dias até expirar Detalhes do conteúdo por dispositivo ID do grupo organizacional Nome do grupo organizacional ID do dispositivo Apelido Nome de usuário Endereço de Número de série IMEI Plataforma do dispositivo Modelo do dispositivo Versão do S.O. Propriedade Nome do conteúdo Tipo de conteúdo Conteúdo instalado Prioridade do conteúdo Importância do conteúdo Categoria de conteúdo Status Versão do conteúdo Tamanho do conteúdo em KB Data de efetivação Data de vencimento Data da última modificação Última visualização Dias offline VMware, Inc. 256

257 Contagem de dispositivos ativos Nome do grupo organizacional Número total de dispositivos ativos Número total de dispositivos inativos Número total de dispositivos Contagem de dispositivos ativos por usuário ID do grupo organizacional Nome de usuário Número total de dispositivos inativos Número total de dispositivos Número total de dispositivos ativos Log da bateria dos dispositivos ID do dispositivo Apelido ID do grupo organizacional Nome da organização Modelo do dispositivo Plataforma do dispositivo Versão do S.O. Proprietário Status da linha CA Horário da amostra Hora de transmissão Tempo de vida da bateria Tempo total da bateria Sinalizador da bateria Percentagem da vida útil da bateria Voltagem da bateria Bateria atual Temperatura da bateria Consumo de mah da bateria Intervalo médio da bateria Corrente média da bateria Vida útil da bateria de backup Tempo de vida útil da bateria reserva Percentagem da duração da bateria reserva Sinalizador de bateria na reserva Voltagem da bateria reserva Inventário do dispositivo ID do grupo organizacional Nome do grupo organizacional ID do dispositivo Apelido Nome de usuário Endereço de Nome Sobrenome Nome para exibição Número de série Plataforma do dispositivo Modelo do dispositivo Número de telefone Propriedade Operadora atual Roaming dos dispositivos Data de início do roaming Data de término do roaming Endereço MAC Endereço IP de acesso Wi-Fi IMEI Número do cartão Sim Conexão GPRS Capacidade do dispositivo (GB) Capacidade disponível (GB) Memória física disponível (MB) Memória física total (MB) Percentagem da vida útil da bateria VMware, Inc. 257

258 Versão do S.O. Data de inscrição Status de conformidade Status de inscrição Data do cancelamento da inscrição Gerenciado por Última visualização Número do ativo Está comprometido Buscar iphone País MDM gerenciado Identificador do dispositivo Operadora de origem Tempo de amostragem de energia CA Conectado à energia Remoção de Payload não permitida Está supervisionado? ID do dispositivo de EAS O Backup na nuvem está habilitado? Data do último backup do icloud O Bloqueio da ativação está habilitado? País de compra Estimada data de compra Status da garantia Data de registro Data de início da cobertura Data de término da cobertura Log de localização de dispositivo Nome do grupo organizacional ID do grupo organizacional Apelido ID do dispositivo Nome de usuário Endereço de Horário da amostra Latitude Longitude Elevação Postura de segurança do dispositivo ID do grupo organizacional Nome do grupo organizacional ID do dispositivo Apelido Número de série Modelo do dispositivo Número de telefone Propriedade Versão do S.O. Última visualização Está comprometido Endereço MAC Endereço IP de acesso Wi-Fi IMEI A proteção de dados está habilitada A criptografia em nível de bloco está habilitada A criptografia em nível de arquivos está habilitada O código de acesso está habilitado Código de acesso em conformidade S/N Instalação pendente Todos os perfis atribuídos estão instalados Código de acesso compatível com perfis Criptografia em conformidade Criptografia de armazenamento interno ativada Criptografia do cartão SD habilitada Dias offline VMware, Inc. 258

259 Nome de usuário para a inscrição Grupo de dispositivos Endereço de Detalhes do uso do dispositivo ID do grupo organizacional Nome do grupo organizacional ID do dispositivo Apelido Propriedade Plataforma do dispositivo Modelo do dispositivo Versão do S.O. Nome de usuário Endereço de Número de série IMEI Número de telefone Última visualização Número do cartão Sim Horário da amostra Operadora de origem Operadora atual País Endereço IP da rede Endereço IP do celular Roaming dos dispositivos Data de início do roaming Data de término do roaming Dados recebidos (KB) Dados enviados (KB) Uso de dados em roaming Uso de dados (MB) Nome do plano Identificador do cartão de celular Data do registro Horário de pico diário das chamadas Fora do horário de pico diário das chamadas Mensagem diária Limite de mensagens Uso diário de dados Ciclo de faturamento Pico mensal das chamadas Uso percentual de chamadas mensal Fora do horário de pico mensal das chamadas Mensagem mensal Uso percentual de mensagens mensal Uso de dados mensal Uso percentual de dados mensal Data e hora de início de chamada Minutos de duração da chamada Direção de chamada Estado de chamada respondida Estado de encerramento da chamada Estado de chamada de conexão Chamada em roaming Nome de contato Total KB Log de apagamento de dados de dispositivo ID do dispositivo ou endereço MAC Apelido Número de série Tipo de dispositivo ID do grupo organizacional Nome do grupo organizacional Nome de usuário Endereço de VMware, Inc. 259

260 Modelo do dispositivo Versão do S.O. Propriedade Apagamento solicitado por Tipo de remoção de dados Hora do evento Plataforma do dispositivo Dispositivos com detalhes do usuário ID do grupo organizacional Nome do grupo organizacional Apelido ID do dispositivo Nome de usuário ID do usuário Nome Sobrenome Endereço de Número de telefone do usuário Tipo de domínio Status do usuário Plataforma do dispositivo Modelo do dispositivo Versão do S.O. Propriedade Número de série IMEI Status de inscrição Status de conformidade Data de inscrição Registro de data cancelado Parâmetros de configuração de perfis Grupo organizacional Nome do perfil Tipo de perfil de grupo Plataforma do dispositivo Descrição Tipo de atribuição Modelo do dispositivo Nome mínimo do sistema operacional Nome máximo do sistema operacional Nome da configuração do perfil Valor Caminho do grupo organizacional Detalhes de perfil por dispositivo ID do grupo organizacional Nome do grupo organizacional Apelido Nome de usuário Nome de usuário do Endereço de Número de série Endereço MAC Modelo Versão do S.O. D/C/F Perfil Versão instalada Última Versão Data de instalação Instalado Técnicas de análise de SDK ID do dispositivo Apelido ID do grupo organizacional Identificador de aplicativo Nome do aplicativo Versão do aplicativo VMware, Inc. 260

261 Nome do grupo organizacional Nome de usuário Nome do evento Dados do evento Horário da amostra Histórico de dispositivos compartilhados ID do grupo organizacional Nome do grupo organizacional ID do dispositivo Nome do dispositivo Sobrenome Endereço de Data de check-in Data de saída Nome Detalhe de aceitação dos termos de uso Nome do grupo organizacional ID do grupo organizacional Nome de usuário Nome Sobrenome Endereço de Número de telefone Nome dos termos de uso Versão Versão aceita Aceito Aceito em Inscrever-se em um novo relatório Inscreva-se em um novo relatório para receber alertas da página Monitor do UEM Console. A assinatura permite que você acesse informações importantes sobre o uso e outros parâmetros técnicos. Por motivos de segurança, o de assinatura para novos relatórios não contém o relatório como um anexo de arquivo. O contém o link para download do relatório. Este link requer autenticação para permitir o download. Somente os administradores com credenciais válidas podem acessar os relatórios. Importante Os administradores com as permissões de função apropriadas e acesso ao grupo organizacional podem exibir e editar as inscrições de outros administradores. Procedimentos 1 Vá até Monitor > Relatórios e técnicas de análise > Relatórios > Modo de exibição de lista > Todos os relatórios. 2 Selecione o novo relatório desejado e o ícone Assinaturas de relatórios. 3 Na guia Parâmetros, ajuste as configurações aplicáveis para definir os critérios do escopo do relatório. Essas configurações variam, dependendo do relatório. VMware, Inc. 261

262 4 Na guia Agenda, defina as seguintes configurações. Configuração De Para Reincidência Data e hora Assunto Mensagem Descrição Especifica de quem a assinatura é enviada. Especifica quem recebe a assinatura. Define quando o UEM Console envia a assinatura. As opções disponíveis são uma vez, diária, semanal e mensal. Você também pode definir a hora do dia para o relatório e o final da reincidência. Se a reincidência estiver definida para dias específicos do mês, como o dia 31 de um mês quando o mês só tem 30 dias, você não receberá o relatório desse mês. Especifica quando começar a enviar inscrições. Especifica um assunto para ajudar a identificar a assinatura quando o UEM Console enviá-la. Define a mensagem para explicar a assinatura quando o UEM Console enviá-la. Gerar relatórios A solução de relatórios e técnicas de análise do Workspace ONE UEM inclui a capacidade de exportar dados de muitas seções no UEM Console. Na página Exportações do UEM Console, você pode baixar os relatórios gerados depois que os relatórios são gerados com êxito, os links para download ficam disponíveis na grade Exportar. Procedimentos 1 Vá até Monitor > Relatórios e técnicas de análise > Relatórios > Modo de exibição de lista e selecione o relatório desejado. 2 Na tela do relatório, conclua as configurações aplicáveis. Essas configurações variam, dependendo do relatório. 3 Clique em Baixar para exportá-lo para a página Exportações. 4 Vá até Monitor > Relatórios e técnicas de análise > Exportações e selecione o relatório desejado. Clique em Concluir, disponível na coluna Status do relatório selecionado para fazer o download. Observação Os novos relatórios exportados são mencionados como Novos relatórios e os relatórios existentes ficam em Relatórios na coluna Exportar tipo. VMware, Inc. 262

263 Próximo passo Observação A partir da versão 9.0, os relatórios, em uma estrutura de valores separados por vírgulas (CSV), ficam disponíveis para download no formato compactado. Inscrever-se em um relatório antigo Inscreva-se em um relatório para receber alertas da página Monitor do UEM Console. A assinatura permite que você acesse informações importantes sobre o uso e outros parâmetros técnicos. Importante As assinaturas associadas a um relatório descontinuado devem funcionar como estão. Em vez disso, eles são marcados como descontinuados. Considere usar novos relatórios e criar assinaturas para eles. Procedimentos 1 Vá até Monitor > Relatórios e técnicas de análise > Relatórios > Modo de exibição de lista > Todos os relatórios. 2 Selecione o relatório desejado e o ícone Assinaturas de relatórios. 3 Na guia Geral, defina as seguintes configurações. Configuração Descrição Formato de renderização Responder para Assunto Corpo da mensagem Descrição Define um nome descritivo para a assinatura. Define o formato do relatório. O formato de arquivo padrão é de valores separados por vírgulas (CSV). Especifica quem recebe a assinatura. Especifica um assunto para ajudar a identificar a assinatura quando o UEM Console enviá-la. Define a mensagem para explicar a assinatura quando o UEM Console enviá-la. 4 Na guia Parâmetros, ajuste as configurações aplicáveis para definir os critérios do escopo do relatório. Essas configurações variam, dependendo do relatório. 5 Na guia Execução, defina as seguintes configurações. Configuração Uma vez Diariamente Semanalmente Descrição Selecione esta opção para assinar este relatório uma única vez. Selecione esta opção para receber o relatório sempre que passar um determinado número de dias. Selecione esta opção para receber o relatório em determinados dias da semana. VMware, Inc. 263

264 Configuração Mensalmente Data e hora Intervalo Descrição Selecione esta opção para receber o relatório em um dia específico do mês. Você também pode definir a agenda para o primeiro, segundo, terceiro, quarto ou último dia da semana do mês. Se a reincidência for definida para um dia que não ocorre no mês, você não receberá um relatório. Por exemplo, se você definir a reincidência para a quarta sexta-feira de um mês, e o mês só tiver 3 sextas-feiras, você não receberá o relatório desse mês. Isso também se aplica a dias específicos do mês, como o dia 31 de um mês que só tem 30 dias. Defina o dia e hora específicos para receber o relatório. Defina a data de término para a assinatura do relatório. 6 Na guia Lista de distribuição, use um ou todos os parâmetros para fazer uma lista de distribuição de quem vai receber a assinatura. Configuração Escolha a função Escolha o usuário Digite o endereço de Pesquisar Lista Lista de distribuição Descrição Selecione uma função no menu e clique em Adicionar à lista para adicioná-la à lista de distribuição. Selecione usuários individuais e clique em Adicionar à lista para adicioná-los à lista de distribuição. Insira os endereços de destinatários para inscrevê-los manualmente, se você souber o endereço, e clique em Adicionar à lista para adicioná-los à lista de distribuição. Insira o texto a pesquisar na lista de distribuição para localizar entradas individuais e excluir entradas da lista de distribuição. Defina para quem o Workspace ONE UEM envia a assinatura. Crie essa lista usando as entradas de função, usuário e endereço de . Observação Os administradores podem editar as assinaturas inativas ou com falhas e podem salvá-las novamente para corrigir o erro. Gerenciar relatórios Você pode ir até Monitor > Relatórios e técnicas de análise > Relatórios > Modo de exibição da lista para visualizar relatórios no UEM Console. É possível exportar os dados em vários formatos e executar as seguintes ações. VMware, Inc. 264

265 Assinaturas de relatórios configurar relatórios para serem executados em intervalos específicos com parâmetros definidos. Adicionar a meus relatórios adicionar relatórios à guia Meus relatórios para ter acesso rápido. Solução de problemas com relatórios Se você tiver problemas com o recurso Relatórios, considere usar a solução de problemas antes de ligar para o suporte. Essas etapas de solução de problemas resolvem os problemas mais comuns do recurso Relatórios. Problema Os relatórios não iniciam. Motivo O serviço de processamento em segundo plano não está em execução. Solução VMware, Inc. 265

266 Siga as instruções em Ativar o serviço de processamento em segundo plano. Problema Erros ocorrem ocasionalmente durante o processamento de relatórios. Motivo Várias causas. Solução Consulte os seguintes logs. Logs do Console da Web para fins de solução de problemas, consulte os logs do console da Web quando ocorrer qualquer erro no console. Esses logs podem servir de referência para relatórios novos e existentes. Os logs podem ser encontrados aqui: \AirWatch\Logs\WebConsole\WebConsoleLog.txt Logs detalhados de erros sobre novos relatórios consulte os logs aqui: \AirWatch\Logs\Services\BackgroundProcessorServiceLogFile.txt Logs detalhados de erros sobre relatórios antigos consulte os logs do servidor de relatórios aqui: \Microsoft SQL Server\MSRS12.ABC\Reporting Services\LogFiles Ativar o serviço de processamento em segundo plano Os relatórios do Workspace ONE UEM exigem que o serviço de processamento em segundo plano esteja em execução no servidor do UEM Console. O processo de instalação habilita esse processamento, mas, se ele não estiver em execução, você deverá ativá-lo para usar os relatórios do Workspace ONE UEM. Cada servidor do UEM Console exige o serviço de processamento em segundo plano. Cada servidor processa relatórios e os grava em suas respectivas filas antes de enviá-los para o banco de dados, o armazenamento de arquivos ou o armazenamento de relatórios. Procedimentos 1 Pressione a tecla Windows + R na caixa do servidor do Console. VMware, Inc. 266

267 2 Execute o comando "services.msc". Uma tela lista todos os serviços em execução na caixa do Servidor do console. 3 Localize o Serviço do processador em segundo plano do AirWatch e selecione Propriedades. É exibida uma tela mostrando o status do serviço. VMware, Inc. 267

268 4 Certifique-se de que o status desse serviço seja Em execução. Se o status for Interrompido, certifique-se de Iniciar o serviço. VMware, Inc. 268