用户注册选项

可以通过多种方式让用户在 Endpoint Management 中注册其设备。在考虑具体情况之前,请决定要在 MDM+MAM、MDM 还是 MAM 中注册哪些设备。有关这些管理模式的详细信息,请参阅管理模式

在最高级别,有四个注册选项:

  • 注册邀请: 向用户发送注册邀请或邀请链接。
  • 自助服务门户: 设置一个用户能够访问以下载 Secure Hub 并注册其设备或者向自己发送注册邀请的门户。
  • 手动注册: 发出电子邮件、手册或某些其他通信信息,让用户知晓系统已启动并且可以进行注册。用户随后将手动下载 Secure Hub 并注册其设备。
  • 企业: 另一个用于设备注册的选项是通过 Apple 部署计划和 Google Android Enterprise。您可以通过其中的每个计划来购买预配置并且可随时供用户使用的设备。有关详细信息,请参阅 Apple 支持 中的 Apple 部署计划文章以及 Android Enterprise Web 站点 上的 Google Android Enterprise 文档。

注册邀请

可以通过电子邮件向 iOS、macOS 或 Android 设备的用户发送注册邀请。还可以通过 SMTP 或 SMS 向 iOS、macOS、Android 或 Windows 设备的用户发送安装链接。有关详细信息,请参阅注册设备

如果选择使用注册邀请方法,您可以:

  • 根据平台,可以从多达七种注册模式中进行选择。
  • 使用这些模式的任意组合。
  • 从 Endpoint Management 设置页面启用或禁用这些模式。
  • 从“用户名 + 密码”、“双重”或“用户名 + PIN”中选择默认值。有关每种注册模式的信息,请参阅配置注册模式

如果选择基于证书,请考虑从允许的选项中排除“用户名 + 密码”传统身份验证。“用户名 + 密码”身份验证可能会在您的环境中暴露一个弱的登录矢量,并且可能会导致强制遵守的安全质量无效。

邀请可实现多种目的。最常见的邀请用法是通知用户系统可用,并且可以进行注册。邀请 URL 是唯一的。用户使用邀请 URL 后,该 URL 将不再可用。可以使用此属性将用户或设备注册限制到您的系统。

可以通过以下方式之一设置 Endpoint Management,以便 iOS 用户在注册过程中提供凭据:

  • 用户在注册过程中键入其凭据。

  • 用户将派生凭据提供商提供的智能卡插入到其桌面中。有关派生凭据的信息,请参阅派生凭据

配置注册配置文件时,可以根据 Active Directory 组控制特定用户能够注册的设备数。例如,您可能会允许您的财务部门每个用户只使用一台设备。

请注意某些注册选项的附加成本和陷阱。要使用 SMS 发送邀请,需要额外的基础结构。有关此选项的详细信息,请参阅通知

此外,要通过电子邮件发送邀请,请确保用户拥有在 Secure Hub 外部访问电子邮件的方法。对于 MDM 注册,可以使用一次性密码 (OTP) 注册模式作为 Active Directory 密码的备选方法。

自助服务门户

用户可以通过自助服务门户申请注册邀请。默认模式为“用户名 + 密码”,但是,您也可以将该要求更改为“双重身份验证”或“用户名 + PIN”。有关设置自助服务门户的信息,请参阅配置注册模式

手动注册

进行手动注册时,用户将通过自动发现或者通过输入服务器信息连接到 Endpoint Management。使用自动发现时,用户将仅通过其电子邮件地址或用户主体名称格式的 Active Directory 凭据进行登录。不使用自动发现时,用户必须输入其服务器地址和 Active Directory 凭据。有关设置自动发现的详细信息,请参阅 设置 Endpoint Management 自动发现服务

可以通过多种方式简化手动注册过程。可以创建一个指南,将其分发给用户,并请用户自行注册。可以请您的 IT 部门在某个时间段内手动注册几组用户。可以使用用户必须输入其凭据或服务器信息的任何类似的方法。

用户加入

设置您的环境后,需要确定如何使用户加入到您的环境中。本文开头的部分探讨了用户注册模式的具体信息。本节将探讨您与用户取得联系的方法。

开放式注册与选择性邀请

登录用户时,可以通过两种基本方法允许注册:

  • 开放式注册。默认情况下,任何具有 LDAP 凭据和 Endpoint Management 环境信息的用户都可以注册。
  • 有限注册。可以通过仅允许具有邀请的用户进行注册来限制用户数量。还可以通过 Active Directory 组限制开放式注册。

使用此邀请方法时,还可以限制用户能够注册的设备数。在大多数情况下,可接受开放式注册,但有几点事项需要注意:

  • 对于 MAM 注册,您可以通过 Active Directory 组成员身份轻松限制开放式注册。
  • 对于 MDM 注册,您可以根据 Active Directory 组成员身份限制可以注册的设备数。如果仅允许在您的环境中注册企业设备,该限制通常不是问题。但是,您可能希望考虑在要限制环境中的设备数量的 BYOD 工作区中使用此方法。

通常很少执行选择性邀请,因为与开放式注册相比,此注册方法需要执行更多操作。为使用户在您的环境中注册其设备,必须向每个用户发送一个唯一的邀请。有关如何发送注册邀请的信息,请参阅注册邀请

为要在环境中注册的每个用户或组发送邀请。该过程可能需要很长时间,具体取决于贵组织的规模。可以使用 Active Directory 组批量创建邀请,但必须分批执行此方法。

首次与用户联系

决定要使用开放式注册还是选择性邀请并设置了这些环境后,请告知用户其注册选项。

如果使用选择性邀请方法,电子邮件和 SMS 消息将属于此过程的一部分。对于开放式注册,还可以通过 Endpoint Management 控制台发送电子邮件。有关详细信息,请参阅 注册邀请

在任一情况下,都请谨记,如果要发送电子邮件,则需要 SMTP 服务器。如果要发送文本消息,则需要 SMS 服务器。制定决策时,这些服务器可能有需要考虑的附加成本。选择方法之前,请考虑您希望新用户如何访问信息,例如电子邮件。如果希望所有用户都通过 Endpoint Management 访问其电子邮件,向其发送邀请电子邮件将是一个问题。

还可以通过 Endpoint Management 以外的其他方式为开放式注册环境发送通信。对于该选项,请务必包含所有相关信息。让用户知道他们可以从哪里获取 Secure Hub 应用程序以及注册时使用的方法。如果您关闭了发现,还要为用户提供 Endpoint Management 服务器地址。要了解有关发现的更多信息,请参阅设置 Endpoint Management 自动发现服务