Vmware Airwatch Mobile Device Management Guide

Guide VMware AirWatch de gestion des
terminaux mobiles
Gestion des terminaux mobiles de votre entreprise
Vous avez des commentaires sur la documentation ? Envoyez un ticket de support avec vos commentaires sur la
documentation en utilisant l'assistant de support sur support.air-watch.com.
Copyright © 2018 VMware, Inc. Tous droits réservés. Ce produit est protégé par les lois du copyright et par les traités internationaux concernant le copyright, ainsi que par les lois et les
traités sur la propriété intellectuelle. Les produits VMware sont couverts par un ou plusieurs brevets, répertoriés à l'adresse http://www.vmware.com/go/patents.
VMware est une marque déposée ou une marque de VMware, Inc. aux États-Unis et dans d'autres juridictions. Les autres marques et noms mentionnés sont des marques de leurs
propriétaires respectifs.
Guide VMware AirWatch de gestion des terminaux mobiles | v.2018.10 | October 2018
Copyright © 2018 VMware, Inc. Tous droits réservés.
1
Sommaire
Chapitre 1 : Introduction à la gestion de terminaux mobiles 6
Avantages de la gestion des terminaux mobiles 6
Navigateurs pris en charge 7
Plateformes prises en charge 7
Chapitre 2 : Workspace ONE UEM Console 8
Envoyer des commentaires 8
Assistant de démarrage 8
Gérer les paramètres du compte 10
Menu supérieur 12
Menu principal 14
Réduire et développer le sous-menu 15
Global Search 15
Notifications d'UEM Console 15
Aperçu d'UEM Console MonitorGestion des terminaux 18
Chapitre 3 : Installation de l'environnement 26

Se connecter à UEM Console 26
Certificat APNs 26
Confidentialité et collecte des données 28
Conditions d'utilisation 33
Personnalisation de l'apparence de la console 36
Actions restreintes d'UEM Console 37
Autres systèmes d'entreprise pour l'intégration 40
Chapitre 4 : Comptes utilisateur et administrateur 42

Types d'authentification utilisateur 42
Comptes d'utilisateurs basiques 48
Comptes utilisateurs basés sur l'annuaire 52
Affichage en liste des comptes utilisateur 55
Fonctionnalité d'importation par lots 58
Comptes administrateur 61
2
Chapitre 5 : Accès basé sur les rôles 64
Rôles par défaut et personnalisés 64
Rôles utilisateur 67
Rôles administrateur 68
Chapitre 6 : Groupes d'attribution 78

Création d'une liste de groupe d'attributions personnalisées 79
Attribuer un ou plusieurs groupes d'attribution 79
Groupes organisationnels 80
Smart Groups 87
Groupes d'utilisateurs 92
Groupes d'administrateurs 101
Voir les attributions 104
Chapitre 7 : Enrôlement du terminal 105

Enrôler un terminal auprès de VMware Workspace ONE Intelligent Hub 105
Flux de travail d'enrôlement supplémentaires 106
Enrôlement direct de Workspace ONE 107
Enrôlement basique vs. enrôlement par services d'annuaire 111
Enrôlement BYOD (Bring Your Own Device - Utilisation de terminaux personnels) 113
Auto-enrôlement ou préenrôlement 116
Inscription du terminal 123
Configurer les options d'enrôlement 131
Inscription de terminaux sur liste noire et blanche 139
Restrictions d'enrôlement supplémentaires 140
Enrôlement par détection automatique 146
Chapitre 8 : Terminaux partagés 148

Définir la hiérarchie des terminaux partagés 149
Se connecter et se déconnecter des terminaux Android partagés 150
Se connecter et se déconnecter des terminaux macOS partagés 151
Faire le check-in d'un terminal partagé à partir d'UEM Console 151
Activation de l'enrôlement basé sur les services d'annuaire 151
3
Chapitre 9 : Attributions de terminaux 153
Activer l'attribution de terminaux 153
Définir la règle d'attribution ou la plage réseau 155
Chapitre 10 : Profils des terminaux 157

Traitement du profil 157
Ajouter des paramètres généraux de profil 157
Affichage en liste des profils 159
Modification du profil du terminal 163
Profils de conformité 164
Zones de géo-barrière 165
Horaires 168
Afficher l'attribution des terminaux 169
Chapitre 11 : Ressources 170

Affichage en liste des ressources 170
Ajouter une ressource Exchange 171
Ajouter une ressource Wi-Fi 177
Ajouter une ressource VPN 180
Chapitre 12 : Politiques de conformité 188

Affichage en liste des stratégies de conformité 189
Règles de stratégies de conformité par plateforme 191
Ajouter une politique de conformité 196
Chapitre 13 : Étiquettes de terminaux 201

Filtrer les terminaux par étiquette 201
Création d'une étiquette 202
Ajouter des étiquettes 202
Gérer les étiquettes 203
Chapitre 14 : Gestion de terminaux 205

Tableau de bord des terminaux 205
Affichage en liste des terminaux 207
4
Détails du terminal 214
Actions sur les terminaux par plateforme 218
Statut d'enrôlement 224
Protection contre la réinitialisation 226
Valeurs de recherche 228
Chapitre 15 : Gestion des certificats 230

Affichage en liste des certificats numériques 230
Ressources d'intégration des certificats 231
Chapitre 16 : Attributs personnalisés 233

Base de données des attributs personnalisés 233
Créer des attributs personnalisés 233
Importation d'attributs personnalisés 233
Provisionnement d'attributs personnalisés propres à la plateforme 234
Créer des attributs personnalisés 234
Importation d'attributs personnalisés 234
Attribuer des groupes organisationnels avec les attributs personnalisés 235
Chapitre 17 : Portail en libre-service 237

Accéder au portail self-service depuis les terminaux 237
Personnalisations du portail self-service SSP 237
Configuration du programme d'amélioration produit 237
Mesures de sécurité basées sur des jetons 238
Configuration de la page de connexion par défaut pour le SSP 238
Page Mes terminaux du SSP 238
Actions à distance dans le SSP 240
Matrice des commandes du portail self-service 243
Options VMware Content Locker 243
5
Chapitre 1 :
Introduction à la gestion de terminaux
mobiles
Les terminaux mobiles sont des outils essentiels à l'entreprise. Ils permettent un accès immédiat au contenu et aux
ressources internes. Cependant, la diversité des plateformes mobiles, des systèmes d'exploitation et des versions peut
compliquer la gestion d'un ensemble de terminaux uniforme. Afin de remédier à ce problème,
Workspace ONE™ Unified Endpoint Manager Mobile Device Management™ (MDM) vous permet de configurer, de
sécuriser, de surveiller et de gérer tous les types de terminaux mobiles au sein de l'entreprise.
Avantages de la gestion des terminaux mobiles

La gestion de terminaux mobiles vous offre une solution adaptée aux problèmes d'accès et de sécurité inhérents à la
mobilité d'entreprise.
l Gérez des déploiements de terminaux mobiles à grande échelle depuis une console unique.
l Enrôlez les terminaux dans votre environnement professionnel de manière simple et rapide.
l Configurez et mettez à jour à distance les paramètres des terminaux.
l Appliquez des politiques de sécurité et de conformité.
l Sécurisez l'accès mobile aux ressources professionnelles.
l Verrouillez et effacez à distance les terminaux gérés.

Adaptez votre environnement MDM pour accéder immédiatement à la localisation, aux utilisateurs actuels et au contenu
du terminal. Automatisez votre déploiement MDM pour appliquer des paramètres de sécurité et de conformité grâce à
des règles et des avertissements propres à chaque utilisateur ou groupe organisationnel. Enfin, vous pouvez interdire ou
non les fonctionnalités et le contenu selon la localisation du terminal.
Ce guide vous explique comment créer, configurer et maintenir efficacement votre déploiement MDM.
6
Chapitre 1 : Introduction à la gestion de terminaux mobiles
Navigateurs pris en charge

Workspace ONE Unified Endpoint Management (UEM) Console prend en charge les derniers builds stables des
navigateurs Web suivants.
l Chrome
l Firefox
l Safari
l Internet Explorer 11
l Microsoft Edge
Remarque : si vous utilisez IE pour accéder à UEM Console, naviguez vers Panneau de contrôle > Paramètres >
Options Internet > Sécurité et assurez-vous que le niveau de sécurité ou le niveau de sécurité personnalisé inclut
l'option Téléchargement de polices et que cette dernière est activée.
Si vous utilisez un navigateur antérieur à ceux répertoriés précédemment, mettez à jour votre navigateur pour pouvoir
accéder à toutes les fonctionnalités d'UEM Console. Des tests approfondis ont été effectués sur plusieurs plateformes
afin de garantir le bon fonctionnement de ces navigateurs Internet. UEM Console peut rencontrer quelques problèmes
mineurs si vous optez pour un navigateur non certifié.
Plateformes prises en charge

Workspace ONE UEM prend en charge les terminaux et systèmes d'exploitation suivants.
l Android 4.0 et versions supérieures l Tizen 2.3 et versions ultérieures

l Apple iOS 7.0 et versions ultérieures l Windows Desktop (8/8.1/RT/10)
l Apple macOS 10.9 et les versions
l Windows 7 (ou version ultérieure)
ultérieures
l Chrome OS (dernière version) l Windows Phone (Windows Phone 8/ 8.1, Windows 10 Mobile)
l QNX 6.5 et versions ultérieures l Terminaux durcis Windows Mobile 5/6 et Windows CE 4/5/6
D'autres terminaux et systèmes d'exploitation pourraient être pris en charge dans un cadre limité. L'enrôlement direct de
Workspace ONE est pris en charge sur les terminaux iOS et Android uniquement. Pour plus d'informations, consultez la
section Enrôlement direct de Workspace ONE à la page 107.
Reportez-vous au guide de chaque plateforme en recherchant dans l'aide en ligne, en visitant docs.vmware.com ou en
contactant le support VMware pour plus d'informations.
7
Chapitre 2 :
Workspace ONE UEM Console
Workspace ONE™ Unified Endpoint Management (UEM) Console vous permet de visualiser et de gérer tous les aspects
de votre déploiement MDM. Grâce à une console unique, accessible sur Internet, vous pouvez ajouter rapidement et
facilement de nouveaux terminaux et utilisateurs à votre flotte, gérer les profils et configurer les paramètres système.
Familiarisez-vous avec les paramètres de sécurité et les fonctionnalités d'interface tels que l'assistant de démarrage, les
icônes de menu, l'envoi de commentaires et la recherche globale.
Envoyer des commentaires

Vous pouvez fournir des commentaires en remplissant une enquête facultative sur votre expérience avec
Workspace ONE UEM Console. Vos commentaires sont utilisés pour apporter des améliorations à notre logiciel.
Démarrez l'enquête en sélectionnant votre nom d'utilisateur dans le coin supérieur droit, puis sélectionnez Envoyer des
commentaires. Vous pouvez également faire ce choix dans la fenêtre contextuelle qui s'affiche après la 25e connexion sur
une période de 30 jours. Si vous ignorez cette fenêtre contextuelle, vous ne serez pas invité à nouveau.
Assistant de démarrage
L'assistant de démarrage sert de liste de contrôle qui vous guide pas à pas à travers les paramètres de Workspace ONE™
Unified Endpoint Management (UEM) Console. L'assistant présente les modules propres à votre déploiement, vous
offrant ainsi une expérience adaptée à votre configuration.
Naviguer dans l'assistant de démarrage

Le menu principal de l'assistant de démarrage fonctionne de façon simple et adaptée à vos besoins. Il ne se contente pas
de suivre votre progression dans le processus de configuration. Il peut être lancé, mis en pause et relancé, et permet
également de revenir en arrière pour vérifier et même modifier les réponses précédemment données.
l Cliquez sur Démarrer l'assistant pour initier la première étape du sous-module. Vous répondez aux questions et
accédez à la page correspondant aux réponses dans UEM Console afin de configurer les paramètres de chaque
fonction. À mesure que vous complétez les sous-modules, votre pourcentage de progression augmente dans le
compteur situé dans le coin supérieur droit.
l En cas d'interruption en cours de sous-module, sélectionnez Continuer pour revenir à la dernière page consultée.
8
Chapitre 2 : Workspace ONE UEM Console
l Vous pouvez également choisir de passer n'importe quel sous-module en cliquant sur Ignorer la section ; le bouton
Continuer est alors temporairement désactivé et un lien Reprendre la section apparaît. Activez le bouton Continuer
une fois de plus en sélectionnant ce lien.
La page de démarrage est divisée en quatre sous-modules : Workspace ONE, terminal, contenu et application. À chaque
sous-module correspond un nombre d'étapes. Les étapes partagées par les sous-modules sont automatiquement
enregistrées pour que vous n'ayez pas à effectuer la même action plusieurs fois.
l Workspace ONE – Représentant un libre accès depuis n'importe quel terminal personnel ou professionnel.
Connectivité sécurisée aux applications de productivité en entreprise : messagerie, calendrier, contacts, documents
et plus. Accès SSO instantané aux applications mobiles, Cloud et Windows. Sécurité des données robuste protégeant
l'entreprise et les employés contre les terminaux compromis.
Pour plus d'informations sur Workspace ONE, consultez la documentation VMware Workspace ONE, disponible sur
docs.vmware.com.
l Terminal – Exécuter sur les terminaux enrôlés dans le MDM des actions telles que le verrouillage, la notification et
l'effacement des données professionnelles. Déployer les profils pour configurer la messagerie, les restrictions, les
paramètres et plus. Configurer les règles de conformité pour s'assurer que les politiques de sécurité sont appliquées
à votre flotte de terminaux Voir comment gérer au mieux les terminaux depuis le tableau de bord et le Monitor.
l Contenu – Déployez du contenu et accédez-y lorsque vous êtes en déplacement grâce à l'application Content Locker.
Afficher et gérer votre contenu grâce aux tableaux de bord de contenu, aux rapports et aux journaux. Utiliser du
contenu personnel pour partager et collaborer avec d'autres utilisateurs. Intégrer aux référentiels existants et
déployer le contenu vers les terminaux mobiles.
l Application – Déployer des applications développées en interne, gratuites et disponibles publiquement ou achetées.
Déployer un catalogue d'applications personnalisé pour autoriser les utilisateurs à rechercher et télécharger des
applications. Intégrer la conformité ou les profils de contrôle d'application en établissant des listes blanche ou noire
d'applications. Configurer les options de gestion avancée d'applications telles que l'analyse d'applications.
Naviguez dans Workspace ONE, le terminal, le contenu et l'assistant de l'application

Chacun des quatre sous-modules affiche une liste des sections représentant des fonctionnalités que vous pouvez
configurer ou ignorer, selon les besoins de votre organisation. Les fonctionnalités non configurées affichent une case à
cocher vide Incomplète alors que les fonctionnalités configurées affichent une case à cochée verte Complète.
l Sélectionnez le bouton Configurer pour commencer à définir les paramètres de la fonction qui vous intéresse.
l Examinez ou modifiez les paramètres d'une fonctionnalité complète en sélectionnant le bouton Modifier.
l Le pourcentage de la barre de progression progresse à mesure que vous exécutez chaque fonctionnalité.
l La plupart des fonctionnalités comportent un bouton Vidéo en regard du bouton Configurer ou Modifier. Cette
vidéo vous permet de voir la fonctionnalité en action et de vous aider à comprendre son utilité pour votre
organisation.
l Certaines fonctionnalités du sous-module peuvent être ignorées sans pénalité pour le pourcentage de la barre de
progression complétée. Si disponible, sélectionnez le bouton Ignorer cette étape pour supprimer la fonctionnalité de
votre liste. Pour afficher à nouveau la fonctionnalité, sélectionnez le bouton Réinitialiser.
Certaines fonctionnalités et fonctions demandent une configuration particulière. Par exemple, Mobile Single Sign-On
exige d'avoir configuré Enterprise Connector, Active Directory et VMware Identity Manager. Lorsque cela est possible,
vous disposez d'un bouton pour lancer la configuration de ces fonctionnalités requises.
9
Activer l'assistant de démarrage manuellement

Pour une nouvelle implémentation Workspace ONE UEM, accédez à la page de démarrage du menu principal, située au-
dessus de l'icône Monitor dans le volet de gauche. Vous pouvez toutefois activer manuellement l'assistant de démarrage
dès que vous le souhaitez. L'activation manuelle de l'Assistant de démarrage redémarre la démonstration.
1. Sélectionnez un groupe organisationnel autre que le groupe le plus élevé de la hiérarchie.
2. Naviguez vers Groupes et paramètres > Groupes > Groupes organisationnels > Détails du groupe organisationnel.
Vérifiez que vous vous trouvez dans un groupe organisationnel de niveau client et enregistrez vos modifications.
3. Accédez à Groupes et paramètres > Tous les paramètres > Système > Démarrage.
4. Sélectionnez Activer pour chacun des champs de cette page :

a. Statut de démarrage de Workspace ONE
b. Démarrage - Statut des terminaux
c. Démarrage - Statut du contenu
d. Démarrage - Statut des applications
5. Enregistrez les modifications sur la page.

Pour plus d'informations, consultez la section Groupes organisationnels à la page 80.
Gérer les paramètres du compte

Vous pouvez gérer les paramètres de votre compte, y compris les informations personnelles de l'utilisateur, les
préférences de notification, l'historique de connexion et la configuration de sécurité.
Utilisateur
Assurez-vous que vous pouvez être joint en entrant vos informations personnelles dans l'onglet Utilisateur, notamment
votre adresse e-mail, jusqu'à quatre numéros de téléphone différents, votre fuseau horaire et vos paramètres régionaux.
Notifications
Utilisez les paramètres Notifications de la page Paramètres de notification pour activer ou désactiver les alertes
d'expiration des licences APNs, sélectionner comment les recevoir et modifier l'adresse e-mail à laquelle elles sont
envoyées. Pour plus d'informations, reportez-vous à la section Configurer les paramètres de notification à la page 17.
Connexions
Passez en revue tout votre historique de connexion, notamment la date et l'heure de connexion, l'adresse IP source, le
type de connexion, les applications source, le modèle et la version du navigateur, la plateforme de système d'exploitation
et le statut de connexion.
Les administrateurs AirWatch et système peuvent configurer le nombre maximal de tentatives de connexion non valides
avant que les administrateurs ne soient déconnectés de force de la console en accédant à Groupes et paramètres > Tous
les paramètres > Admin > Sécurité de la console > Mots de passe.
10
Vous êtes déconnecté de force d'UEM Console lorsque le nombre de tentatives de connexion infructueuses est supérieur
au nombre maximal de tentatives de connexion non valides. Dans ce cas, vous devez réinitialiser votre mot de passe en
utilisant le lien de dépannage sur la page de connexion. Sinon, vous pouvez obtenir l'assistance d'un administrateur pour
déverrouiller votre compte en utilisant l'affichage en liste des administrateurs. Vous recevez une notification par e-mail
lorsque votre compte est verrouillé et lorsqu'il est déverrouillé.
Sécurité
Vous pouvez réinitialiser votre mot de passe de connexion, les questions de récupération du mot de passe et votre
code PIN de sécurité à quatre chiffres.
Mot de passe
Le mot de passe accompagne le nom d'utilisateur de votre compte lorsque vous vous connectez à UEM Console. Vous
pouvez le réinitialiser à tout moment.
Questions de récupération de mot de passe

Les questions de récupération du mot de passe constituent la méthode grâce à laquelle vous réinitialisez votre mot de
passe. Vous devez définir cette question en même temps que sa réponse lorsque vous vous connectez à UEM Console
pour la première fois. Vous pouvez sélectionner une nouvelle question de récupération du mot de passe en cliquant sur
Réinitialiser. Cette action déconnecte l'utilisateur automatiquement. Lorsqu'il se reconnecte, il voit l'écran Paramètres
de sécurité dans lequel il doit faire un choix dans la liste de questions de récupération du mot de passe et fournir la
réponse.
Les administrateurs qui n'ont jamais sélectionné une question de récupération du mot de passe et ne disposent pas de
bouton de réinitialisation pour les questions de récupération du mot de passe doivent demander la suppression et la
recréation de leur compte. Lors de la toute première connexion après la recréation du compte, ils doivent définir une
question de récupération du mot de passe et une réponse.
Vous êtes déconnecté de force de la page de connexion lorsque vous donnez plus de trois réponses erronées à une
question de récupération du mot de passe. Dans ce cas, vous devez réinitialiser votre mot de passe en utilisant le lien de
dépannage sur la page de connexion. Sinon, vous pouvez obtenir l'assistance d'un administrateur pour déverrouiller
votre compte en utilisant l'affichage en liste des administrateurs. Vous recevez une notification par e-mail lorsque votre
compte est verrouillé et lorsqu'il est déverrouillé.
Code PIN de sécurité

Établissez la sécurité d'UEM Console en créant un code PIN de sécurité. Le code PIN sert de protection contre la
réinitialisation accidentelle du terminal ou la suppression involontaire d'aspects importants de votre environnement,
notamment les utilisateurs et les groupes organisationnels. Il sert également de deuxième niveau de sécurité. Il
représente un deuxième niveau d'authentification pour bloquer les actions effectuées par des utilisateurs non
approuvés.
Lorsque vous vous connectez pour la première fois à UEM Console, vous devez définir un code PIN de sécurité.
Réinitialisez votre code PIN de sécurité régulièrement pour réduire les risques.
11
Menu supérieur
Le menu d'en-tête apparaît en haut de la plupart des pages de Workspace ONE™ UEM Console ; il vous permet d'accéder
aux fonctions et fonctionnalités suivantes.
l Groupe organisationnel – Sélectionnez le groupe organisationnel (onglet intitulé « Global ») auquel vous souhaitez
appliquer les modifications.
l Ajouter – Créez rapidement un administrateur, un terminal, un utilisateur, une politique de conformité, du contenu,
un profil, une application interne ou publique.
l Recherche globale – ( ) Effectuez une recherche dans tous les aspects de votre déploiement dans UEM Console,
notamment parmi les terminaux, les utilisateurs, le contenu, les applications, les paramètres de configuration, les
administrateurs, les pages, etc.
l Notifications – ( ) Restez informé des principaux événements de la console grâce aux notifications. Le nombre
d'alertes requérant votre attention est indiqué par le badge situé au-dessus du bouton Notifications.
l Sauvegardé – ( ) Accédez à vos fonctionnalités préférées ou à celles que vous utilisez le plus dans UEM Console.
l Aide – ( ) Parcourez les guides disponibles et la documentation d'UEM Console ou faites des recherches dans ceux-
ci.
l Compte – Affichez les informations de votre compte. Modifiez le rôle du compte qui vous est attribué dans
l'environnement actuel. Personnalisez les paramètres relatifs aux coordonnées, à la langue, aux notifications et
affichez l'historique des connexions et les paramètres de sécurité, notamment la réinitialisation du code PIN. Vous
pouvez aussi vous déconnecter d'UEM Console et revenir à l'écran de connexion.
l Actualiser – ( ) Voir les statistiques et les informations mises à jour sans quitter l'affichage actuel en rafraîchissant
l'écran.
l Sections disponibles – ( ) Personnalisez l'aperçu du Monitor en sélectionnant uniquement les sections que vous
souhaitez voir. Disponible uniquement sur l'écran du Monitor.
l Exporter – ( ) Génère une liste complète (ou filtrée, si un filtrage est utilisé) des utilisateurs, terminaux, profils,
applications, livres ou politiques dans un fichier de valeurs séparées par des virgules (CSV) que vous pouvez visualiser
et analyser avec Excel.
l Accueil – ( ) Utilisez cette icône pour définir dans UEM Console l'écran de votre choix comme page d'accueil. La
prochaine fois que vous ouvrirez UEM Console, l'écran que vous aurez choisi s'affichera sur votre page d'accueil.
l Enregistrer – ( ) Ajoutez la page actuelle à la liste de pages enregistrées pour un accès plus rapide aux pages
préférées d'UEM Console.
Pour plus d'informations, voir les rubriques suivantes.
12
Groupes organisationnels à la page 80.

Gérer les paramètres du compte à la page 10.
Accès basé sur les rôles à la page 64.
Notifications d'UEM Console à la page 15.
Workspace ONE UEM Console à la page 8.
Aperçu d'UEM Console MonitorGestion des terminaux à la page 18.
13
Menu principal
Le menu principal permet de naviguer vers toutes les fonctionnalités disponibles au sein de votre rôle et de votre
déploiement MDM.
Démarrage Assurez-vous de la mise en place des éléments nécessaires à la réussite d'un déploiement basique.
L'assistant de démarrage reflète uniquement les modules qui vous intéressent dans Workspace ONE™
Unified Endpoint Management (UEM) Console. Il vous offre une expérience d'intégration plus adaptée à
votre configuration.
Monitor Affichez et gérez les informations MDM qui vous aident à prendre les décisions nécessaires et ayez un
aperçu rapide de votre flotte de terminaux. Affichez des informations comme les applications les plus
souvent mises sur liste noire pour violation de conformité. Suivez les licences de module grâce au tableau
de bord d'administration et surveillez tous les terminaux actuellement en conflit avec les politiques de
conformité. Sélectionnez et appliquez les modèles du secteur pour faciliter le processus d'intégration avec
les applications et les politiques pour vos terminaux iOS.
Terminaux Accédez à un aperçu détaillé des aspects les plus communs des terminaux de votre flotte, notamment le
statut de conformité et la répartition par type de propriété, dernière connexion, type de plateforme et type
d'enrôlement. Basculez facilement d'une vue à l'autre selon votre préférence : tableau de bord complet,
affichage en liste ou affichage détaillé. Accédez aux onglets supplémentaires : tous les profils actuels, statut
d'enrôlement, paramètres de notification et de protection contre l'effacement des données, politiques de
conformité, certificats, configuration des produits et gestion des imprimantes.
Comptes Sondez et gérez les utilisateurs et administrateurs de votre déploiement MDM. Accédez aux groupes
d'utilisateurs, aux rôles, au statut du lot et aux paramètres associés à vos utilisateurs et gérez-les. Vous
pouvez également accéder aux groupes d'administrateurs, aux rôles, à l'activité du système et aux
paramètres associés à vos administrateurs, et les gérer.
Applications et livres Gérez le catalogue d'applications, le catalogue de livres et les commandes du programme d'achats en
volume (VPP). Affichez aussi les données analytiques et les journaux d'applications, ainsi que les paramètres
des applications, notamment les catégories d'application, les Smart Groups, les groupes d'applications, les
applications recommandées, les géo-barrières et les profils associés aux applications.
Contenu Accédez à une présentation détaillée de l'utilisation du contenu, notamment l'historique de stockage, le
statut des utilisateurs/du contenu, l'intérêt pour le contenu et la répartition des utilisateurs. Gérez et
importez le contenu disponible pour les utilisateurs et les terminaux. Vous pouvez également accéder au
statut d'importation par lots, aux catégories de contenu, aux référentiels de contenu, au stockage de
l'utilisateur, à la configuration de la page d'accueil de VMware Content Locker et à tous les autres
paramètres propres au contenu.
E-mails Accédez à la présentation détaillée des informations de messagerie concernant votre déploiement. Ces
informations comprennent le statut de gestion des e-mails, les terminaux gérés, les violations de politiques
d'e-mail, le type de déploiement et l'heure de la dernière connexion.
Télécommunications Accédez à la présentation détaillée des terminaux utilisant les télécommunications, notamment l'utilisation
du forfait, l'historique d'utilisation et les données en itinérance. Affichez et gérez l'utilisation des
télécommunications et le suivi de l'itinérance, notamment les paramètres des appels, des SMS et du
contenu.
Groupes et Gérez les structures, les types et les statuts liés aux groupes organisationnels, aux Smart Groups, aux groupes
paramètres d'applications, aux groupes d'utilisateurs et aux groupes d'administrateurs. Configurez l'ensemble des
paramètres système ou accédez aux paramètres liés à toutes les options du menu principal listées ci-dessus.
14
Réduire et développer le sous-menu

Vous pouvez réduire le sous-menu en sélectionnant la flèche située en bas de
Workspace ONE™ Unified Endpoint Management (UEM) Console. Cela permet de créer
davantage d'espace à l'écran pour les informations sur le terminal.
Pour développer ou rouvrir le sous-menu, sélectionnez la flèche modifiée.
Global Search
À l'aide d'une conception modulaire avec une interface à onglets, Global Search effectue des recherches sur l'ensemble de
votre déploiement. Global Search applique votre chaîne de recherche à un seul onglet à la fois, produisant des résultats
plus rapides. Appliquez la même chaîne dans une autre zone de Workspace ONE™ UEM Console en sélectionnant un
autre onglet.
Après avoir effectué une recherche globale, sélectionnez les onglets suivants pour afficher les résultats.
l Terminaux – Renvoie les résultats correspondant au nom convivial des terminaux, ainsi qu'au nom des profils de
terminaux.
l Comptes – Renvoie les résultats correspondant aux noms d'utilisateur et aux noms d'administrateurs.
l Applications – Renvoie les résultats correspondant aux applications internes, publiques, achetées et Web.
l Contenu – Renvoie les résultats correspondant à tout contenu apparaissant sur les terminaux.
l Paramètres – Renvoie les résultats correspondant aux paramètres individuels et aux pages principales de la console.
Vous pouvez également rechercher un groupe organisationnel en sélectionnant le menu déroulant Groupe
organisationnel. La barre de recherche s'affiche au dessus de la liste.
Notifications d'UEM Console
Les notifications représentent un outil de communication conçu pour vous tenir informé des événements de
Workspace ONE™ Unified Endpoint Management (UEM) Console susceptibles d'avoir un impact sur votre activité. Le
bouton Notifications se trouve à côté du bouton de recherche globale.
15
Il existe de nombreux types de notifications.

l Expiration APNS – Vous êtes averti 30 jours avant l'expiration des certificats APNs pour MDM. Il s'agit d'une alerte de
priorité critique. Après l'expiration du certificat APNs, l'alerte de priorité critique est réduite au niveau d'alerte de
priorité haute. Cette notification vous permet d'éviter les problèmes liés à l'expiration des certificats et maintient le
contact entre vos terminaux et Workspace ONE UEM.
l Expiration du certificat d'APNs d'application – Vous êtes averti 30 jours avant l'expiration d'un APNs pour les
applications. Il s'agit d'une alerte de priorité critique. Cette notification vous permet d'éviter les problèmes liés à
l'expiration des certificats et maintient les applications fonctionnelles sur vos terminaux.
l Protection contre la suppression des applications – Cette alerte de haute priorité s'affiche lorsque le seuil de
suppression des applications est dépassé. Vous pouvez sélectionner le lien Vérifier la suppression d'application dans
le groupe de notifications.
l Alerte de stockage du journal de l'application du terminal – Cette notification correspond à une alerte de haute
priorité qui s'affiche lorsque votre journal de stockage atteint 75 % de sa capacité. Purgez vos journaux ou
augmentez la limite en contactant votre représentant du support. Cette alerte peut être rejetée.
l Exportation de la liste d'affichage – Cette notification s'affiche lorsque l'exportation de l'affichage en liste des unités
ou des utilisateurs que vous avez demandée est terminée et prête pour l'examen. Le niveau de cette notification est
Information prioritaire et elle peut être rejetée.
l Mise à jour du serveur pair à pair requise – Vous êtes averti lorsqu'une nouvelle version du serveur pair à pair est
disponible et que vous pouvez mettre à niveau votre serveur pour éviter toute interruption de service.
l Provisionnement de l'expiration du profil – Vous êtes averti lorsqu'un profil de provisionnement contenant des
applications expire et que vous devez le régénérer et le mettre à jour. Le niveau de priorité de cette notification est
Critique et elle peut être rejetée.
l Fusion des groupes d'utilisateurs en attente – Cette notification vous informe que le processus de fusion des
groupes d'utilisateurs est en attente d'approbation de l'administrateur. Cette notification s'affiche dans deux cas :
o Le paramètre Fusion automatique des modifications est désactivé sur votre groupe d'utilisateurs basé sur le
répertoire, ce qui signifie que toutes les modifications ont besoin d'une approbation.
o Le paramètre Fusion automatique des modifications est activé et le nombre de changements est supérieur au
nombre maximal de modifications autorisées. La partie des modifications située au-dessus du seuil a besoin de
l'approbation de l'administrateur.
l Mises à jour automatiques d'applications VPP – Alertes haute priorité qui vous informent lorsqu'une application
installée avec le programme d'achats en volume d'Apple (VPP) a une version mise à jour que vous pouvez installer.
Pour plus d'informations sur les notifications du cycle de vie des terminaux, consultez la section Configurer les
notifications du cycle de vie à la page 137.
Gérer les notifications d'UEM Console

Lorsque des notifications actives requièrent votre attention, un badge numéroté s'affiche sur l'icône d'avertissement et
indique le nombre d'alertes actives. Affichez l'écran pop-up Notifications en sélectionnant l'icône en forme de sonnette
16
des notifications.
Vous pouvez gérer les notifications que vous recevez. Cette gestion comprend l'affichage de la liste des alertes actives, le
renouvellement du service APNs, la fermeture des alertes expirées, l'affichage de la liste des alertes ignorées et la
configuration des paramètres de notification.
Chaque alerte affiche le groupe organisationnel dans lequel se trouve le service APNs d'un certificat MDM. L'alerte
indique également la date d'expiration du certificat et un lien vers Renouveler votre APNs.
l Afficher les alertes actives – L'affichage par défaut affiche la liste des alertes actives.
l Renouveler votre APNs – Affiche l'écran Modifier le groupe organisationnel. Cet écran apparaît lorsque le groupe
organisationnel qui gère le terminal avec expiration imminente de licence est différent du groupe organisationnel
dans lequel vous vous trouvez. Renouvelez cette licence APNs en sélectionnant Oui pour changer automatiquement
de groupe organisationnel.
Renouvelez la licence et gardez la liaison entre le terminal et Workspace ONE™ UEM en suivant les instructions sur la
page des paramètres APNs pour MDM.
l Ignorer l'alerte – Fermez l'alerte arrivée à expiration et envoyez-la à la liste des alertes ignorées en sélectionnant le
bouton X. Vous ne pouvez pas fermer les notifications de priorité critiques.
l Afficher les alertes ignorées – Affichez la liste d'alertes ignorées en sélectionnant l'onglet Rejeté(e) en haut de la
fenêtre popup de notifications.
Configurer les paramètres de notification

Utilisez les paramètres Notifications de la page Paramètres de notification pour activer ou désactiver les alertes
d'expiration des licences APNs, choisir comment les recevoir et modifier l'adresse e-mail à laquelle elles sont envoyées.
Pour configurer les paramètres de notification, suivez les étapes suivantes.

1. Cliquez sur le bouton Compte accessible sur la plupart des pages de Workspace ONE™ Unified Endpoint
Management (UEM) Console, puis sélectionnez Gérer les paramètres de compte et sélectionnez l'onglet
Notifications.
Vous pouvez également accéder, à la page des paramètres de notification en cliquant sur l'icône des paramètres
située en bas à droite de l'écran des notifications.
2. Sélectionnez la façon dont vous souhaitez recevoir une notification lorsque chacun des événements suivants se
produit.
Paramètre Description
Expiration APNS Cette notification vous permet d'éviter les problèmes liés à l'expiration des certificats et
maintient le contact entre vos terminaux et Workspace ONE UEM.
Exportation de la Vous pouvez déclencher une alerte lorsque l'exportation d'un affichage en liste des
liste d'affichage utilisateurs ou d'un affichage en liste des terminaux est complet.
17
Fusion de groupes Vous pouvez déclencher une alerte lorsque les modifications de la base de données Active
d'utilisateurs Directory sont synchronisées avec Workspace ONE UEM et que vous avez désactivé
l'option Fusion automatique des modifications.
Mises à jour Vous pouvez déclencher une alerte lorsqu'une application installée avec le programme
automatiques d'achats en volume d'Apple (VPP) a une version mise à jour que vous pouvez installer.
d'applications VPP
Expiration des Cette notification vous permet d'éviter les problèmes liés à l'expiration des certificats et
certificats APNs maintient les applications fonctionnelles sur vos terminaux.
d'application
Expiration des Vous êtes averti lorsqu'un profil de provisionnement contenant des applications expire et
profils de que vous devez le régénérer et le mettre à jour.
provisionnement
3. Pour chaque événement, sélectionnez Aucune, Console, E-mail ou Console et e-mail.

Pour sélectionner E-mail et Console et e-mail, vous devez entrer au moins une adresse e-mail dans le champ
Envoyer un e-mail à :. Vous pouvez entrer plusieurs adresses e-mail séparées par des virgules.
4. Enregistrez ou annulez vos modifications.
Aperçu d'UEM Console MonitorGestion des terminaux

L'aperçu de Workspace ONE™ UEM Monitor est votre portail central pour un accès rapide aux informations importantes.
Identifiez rapidement les problèmes importants et entreprenez une action depuis un emplacement unique dans
UEM Console.
18
La sélection d'un graphique à barres ou à secteurs sur cette page fait apparaître l'affichage en liste des terminaux. Cet
affichage en liste contient tous les terminaux propres à la valeur que vous avez sélectionnée. Vous pouvez alors effectuer
des actions telles que l'envoi d'un message à ces terminaux.
Par exemple, sélectionnez le graphique à secteurs du statut d'antivirus. En quelques secondes, l'affichage en liste des
terminaux répertorie les terminaux qui ont déclenché une violation de politique en raison de l'absence de logiciel
antivirus. Sélectionnez tous les terminaux de cette liste en cochant la case à gauche de chacun d'eux. Vous pouvez
également cocher la case Sélectionner tout qui se trouve en dessous du bouton Ajouter un terminal. Le groupe de
boutons s'affiche au-dessus de la liste. Sélectionnez le bouton Envoyer pour envoyer un message aux utilisateurs des
terminaux sélectionnés. Vous pouvez choisir d'envoyer un e-mail, une notification Push ou un SMS.
La page Monitor > Aperçu fournit des graphiques récapitulatifs et des vues détaillées.
l Terminaux – Affichez le nombre exact de terminaux.
o Statut de tous les terminaux : inscrits, enrôlés, en attente d'effacement des données professionnelles, en attente
de réinitialisation et désenrôlés.
o Répartition par plateforme des terminaux enrôlés dans Workspace ONE UEM.
o Historique d'enrôlement des derniers jours, de la dernière semaine et du dernier mois.
l Conformité – Affichez les terminaux en violation de politiques.

o Toutes les stratégies de conformité actuellement violées par les terminaux, notamment concernant les
applications, les paramètres de sécurité, la géolocalisation et plus encore.
o Politiques les plus souvent transgressées, parmi tous les types de politiques de conformité établies .
19
o Applications sur liste noire, notamment celles installées sur les terminaux, classées par instances de violation ;
o Terminaux ne comportant pas les applications que vous souhaitez installer pour vos utilisateurs.
l Profils – Affichez les profils non mis à jour.

o Dernière version du profil, notamment les terminaux disposant d'anciennes versions de chaque profil.
l Applications – Affichez les applications associées aux terminaux.

o Dernière version du profil, notamment les terminaux disposant d'anciennes versions de chaque profil.
o Applications les plus installées, classées par nombre de terminaux sur lesquels l'application est installée.
l Contenu – Affichez les terminaux disposant de contenu non mis à jour.

o Dernière version de contenu, notamment chaque fichier non à jour classé par instance.
l E-mail – Affichez les terminaux actuellement incapables de recevoir des e-mails.

o Terminaux bloqués pour les e-mails, notamment les terminaux bloqués par défaut, sur liste noire ou désenrôlés.
l Certificats – Affichez les certificats arrivant à expiration.

o Certificats expirant dans un mois, dans un à trois mois, dans trois à six mois, dans six à douze mois et dans plus
de douze mois. Vous pouvez aussi afficher les certificats qui ont déjà expiré.
L'ensemble de terminaux affichés dépend de votre groupe organisationnel actuel, et notamment de tous les terminaux
des sous-groupes organisationnels. En changeant de groupe organisationnel dans le menu déroulant, les résultats des
terminaux sont automatiquement mis à jour.
Changez d'affichage en cliquant sur l'icône d'affichage en liste ( ) et celle d'affichage des graphiques ( ).
Sélectionnez une valeur pour ouvrir la vue de liste de cet ensemble de terminaux. Vous pouvez alors effectuer des actions
telles que l'envoi d'un message à ces terminaux.
Personnalisez le Monitor en sélectionnant l'icône des sections disponibles ( ). Cochez ou décochez les cases relatives
aux sections disponibles (terminaux, conformité, profils, etc.) et cliquez sur Enregistrer pour personnaliser l'aperçu du
Monitor.
Vous pouvez exporter les données du Monitor au format PDF en cliquant sur l'icône Exporter ( ). L'exportation au
format PDF s'avère utile pour fournir des rapports quotidiens, hebdomadaires ou mensuels de l'état actuel de votre
déploiement de terminaux mobiles.
Intelligence
Les rapports et analyses Intelligence personnalisés peuvent vous fournir des connaissances plus approfondies sur votre
flotte de terminaux. Ces connaissances incluent une meilleure visibilité sur les problèmes de performance, des outils de
planification hautement efficaces et des temps de déploiement accélérés.
Assurez-vous que vous êtes dans un groupe organisationnel de type Client, puis accédez à Monitor > Intelligence,
cliquez sur le bouton Suivant pour voir comment fonctionne Intelligence et choisir de tirer parti du service.
Vous pouvez désactiver les rapports Intelligence personnalisés à tout moment.
Pour plus d'informations, consultez la section Intelligence Workspace ONE dans le Guide de l'utilisateur de
Workspace ONE Intelligence sur docs.vmware.com.
20
Panneau d'administration
Le panneau d'administration donne un aperçu des informations sur la licence de module et les composants
Workspace ONE™ UEM déployés. Le panneau d'administration contient un résumé des licences réparti dans deux
sections distinctes : Produits actifs et Composants déployés.
Accédez au panneau d'administration en naviguant vers Monitor > Panneau d'administration. L'accès au panneau
d'administration ne peut se faire qu'au niveau d'un groupe organisationnel client. Pour plus d'informations, consultez la
section Fonctions des types de groupe organisationnel à la page 85.
Produits actifs dans le panneau d'administration

La section Produits actifs confirme la validité de licence des fonctionnalités incluses dans votre déploiement (navigateur,
conteneur, gestion des terminaux mobiles, catalogue d'applications, etc.). Pour chaque fonctionnalité, vous voyez le
nombre total de licences, le modèle de licence et le type de licence.
Composants déployés dans le panneau d'administration

Les composants déployés disposent d'un panneau pour tous les composants activés au niveau du groupe
organisationnel client. Chacun des composants indique le statut de connectivité des éléments.s
l VMware Enterprise Systems Connector
l Secure Email Gateway
l VMware Tunnel
Vous pouvez sélectionner le bouton d'actualisation ( ) pour actualiser le statut de connectivité du composant activé.
Vous pouvez également sélectionner le bouton des paramètres ( ) pour afficher la page des paramètres système qui
correspond au composant activé.
Modèles du secteur pour iOS

Un modèle du secteur est un ensemble d'applications mobiles et de profils que vous pouvez transférer vers vos
terminaux, améliorant ainsi nettement le processus de déploiement. Vous pouvez sélectionner des modèles basés sur
des secteurs tels que la santé et la vente et les adapter à vos besoins. Pour plus d'informations, consultez le Guide
VMware AirWatch pour la plateforme iOS, disponible sur docs.vmware.com.
Surveillance des applications et des profils

La surveillance des applications et des profils fournit une méthode rapide pour suivre le déploiement récent des
applications et des profils sur vos terminaux. Le moniteur affiche les données historiques sur le processus de
déploiement et le statut d'installation de l'application ou du profil sur les terminaux.
La surveillance des applications et des profils suit le statut des déploiements d'applications et de profils sur vos terminaux
utilisateur. Le moniteur suit uniquement les applications et les profils déployés dans les 15 derniers jours. Ces données
vous permettent de consulter le statut de vos déploiements et de diagnostiquer les problèmes.
Lorsque vous recherchez une application ou un profil, une carte contenant les données de déploiement est ajoutée dans
la vue Surveillance des applications et des profils. Vous pouvez uniquement afficher cinq cartes à la fois. Ces cartes
restent ajoutées jusqu'à ce que vous vous déconnectiez. Toutes les cartes doivent à nouveau être ajoutées lorsque vous
vous reconnectez.
21
La section Historique affiche uniquement les sept derniers jours de données. Elle affiche le nombre de terminaux
indiquant le statut Terminé pour le déploiement. La section Déploiement actuel affiche le statut du déploiement du
terminal. Pour plus d'informations sur les statuts de déploiement, consultez la section Statuts de surveillance des
applications et des profils à la page 22. Si le statut Incomplet s'affiche, sélectionnez le numéro en regard du statut pour
afficher la liste de tous les terminaux indiquant le statut. Cette fonctionnalité vous permet d'examiner les terminaux
présentant des problèmes afin de dépanner votre déploiement.
La surveillance des applications et des profils suit uniquement les déploiements démarrés après la mise à niveau vers
Workspace ONE™ UEM versions 9.2.1 et supérieures. Si vous avez déployé l'application ou le profil avant la mise à niveau,
le moniteur ne suit aucune donnée sur le déploiement.
Statuts de surveillance des applications et des profils

La surveillance des applications et des profils affiche le statut de déploiement actuel des terminaux au cours d'un
déploiement. Le statut combine différents statuts d'installation d'applications et de profils en Terminé, En attente ou
Incomplet.
Statut Description
Terminé Les terminaux indiquent le statut Terminé lorsque l'installation de l'application ou du profil s'est bien
déroulée.
22
Statut Description
En Les terminaux indiquent le statut En attente lorsqu'une application ou un profil indique les statuts suivants.
attente Profils
o Installation en attente.
o Suppression en attente.
o Suppression non confirmée.
o Suppression confirmée.
Applications
o A besoin d'être échangée.
o Échange.
o Invite en cours.
o Installation en cours.
o Suppression du MDM.
o MDM supprimé.
o Inconnue.
o Commande d'installation prête pour le terminal.
o En attente d'installation sur le terminal.
o Demande de connexion en cours.
o Mise à jour en cours.
o Version en attente.
o Demande de gestion en cours.
o Commande d'installation distribuée.
o Téléchargement en cours.
o Commande reconnue.
23
Statut Description
Incomplet Le terminal indique le statut Incomplet lorsqu'une application ou un profil indique les statuts suivants.
Profils
o Information en attente.
Applications
o Supprimée par l'utilisateur.
o Installation rejetée.
o Échec de l'installation.
o Licence non disponible.
o Rejetée.
o Gestion rejetée.
o Échec du téléchargement.
o Critères manquants.
o Échec de la commande.
Si le statut Incomplet s'affiche, sélectionnez le numéro en regard du statut pour afficher la liste de tous les
terminaux indiquant le statut. Cette fonctionnalité vous permet d'examiner les terminaux présentant des
problèmes afin de dépanner votre déploiement.
Effectuer le suivi d'un déploiement grâce à la surveillance des applications et des profils
Effectuez le suivi d'un déploiement d'une application ou d'un profil sur des terminaux utilisateur grâce à la surveillance
des applications et des profils. Celle-ci fournit des informations en un clin d'œil sur le statut de vos déploiements.
Pour effectuer le suivi d'un déploiement :
1. Accédez à Monitor > Surveillance des applications et des profils.
2. Dans le champ de recherche, entrez le nom de l'application ou du profil. Vous devez appuyer sur la touche Entrée de
votre clavier pour lancer la recherche.
3. Sélectionnez le profil ou l'application dans le menu déroulant et cliquez sur Ajouter.

Les données d'application ou de profil s'affichent sur une carte. Vous ne pouvez ajouter que cinq cartes à la fois.
Rapports et analyses
Workspace ONE™ UEM possède des fonctionnalités avancées de création de rapports et de journalisation des
événements qui offrent aux administrateurs des statistiques interactives et axées sur les résultats, concernant votre
flotte de terminaux.
Vous pouvez exploiter ces rapports prédéfinis ou créer des rapports personnalisés selon des préférences de fichier, des
plages de données, des groupes d'utilisateurs ou des terminaux spécifiques. Accédez à la page Rapports en naviguant
vers Monitor > Rapports et analyses > Rapports > Affichage en liste. Le rapport est accessible depuis la page Mes
rapports située en haut de la page Rapports.
24
Pour plus d'informations, consultez la section Présentation des rapports et analyses dans le Guide VMware AirWatch
sur les rapports et analyses disponible sur docs.vmware.com.
25
Chapitre 3 :
Installation de l'environnement
Vous pouvez déterminer l'URL d'environnement et les identifiants de connexion, générer des certificats pour la gestion
des plateformes, configurer les télécommunications et les paramètres de confidentialité, personnaliser Workspace ONE™
Unified Endpoint Management (UEM) Console, etc.
Se connecter à UEM Console
Pour pouvoir vous connecter à Workspace ONE™ Unified Endpoint Management (UEM) Console, vous devez disposer de
l'URL d'environnement et d'identifiants de connexion. La provenance de ces informations dépend de votre type de
déploiement.
l Déploiement SaaS – Votre responsable de compte vous fournira l'URL de votre environnement ainsi que votre nom
d'utilisateur/mot de passe. L'URL n'est pas personnalisable et se présente généralement sous la forme suivante :
awmdm.com.
l Sur site – L'URL pour les déploiements sur site est personnalisable et se présente sous la forme suivante :
awmdm.MonEntreprise.com.
Votre responsable de compte vous fournit des identifiants de configuration initiale pour votre environnement. Les
administrateurs responsables de la création de comptes supplémentaires visant à déléguer les responsabilités de gestion
peuvent également créer et distribuer des identifiants pour leur environnement. Consultez la section Création d'un
compte administrateur pour plus de détails.
Une fois l'URL d'environnement d'UEM Console chargée par votre navigateur, vous pouvez vous connecter à l'aide du
nom d'utilisateur et du mot de passe fourni par votre administrateur Workspace ONE UEM.
Pour plus d'informations sur le processus connexion en lui-même, notamment sur les tentatives de connexion non
valides et les verrouillages, consultez la section Gérer les paramètres du compte à la page 10.
Certificat APNs
Pour gérer des terminaux iOS, vous devez d'abord obtenir un certificat de service de notifications Push d'Apple (APNs).
Un certificat APNs permet à Workspace ONE UEM de communiquer en toute sécurité avec les terminaux Apple et de
renvoyer des informations à UEM Console.
26
Chapitre 3 : Installation de l'environnement
D'après l'Enterprise Developer Program d'Apple, la validité d'un certificat APNs est d'un an, après quoi il doit être
renouvelé. UEM Console envoie des rappels par l'intermédiaire de notifications au fur et à mesure que la date
d'expiration approche. Votre certificat actuel est révoqué lorsque vous effectuez un renouvellement depuis le portail de
développement d'Apple, ce qui empêche la gestion des terminaux jusqu'à l'importation du nouveau certificat. Prévoyez
d'importer votre certificat aussitôt après l'avoir renouvelé. Envisagez l'utilisation d'un certificat différent pour chaque
environnement si vous utilisez des environnements de production et de test distincts.
Pour plus d'informations, consultez l'article KB Génération et renouvellement d'un certificat APNs pour
Workspace ONE UEM : https://support.air-watch.com/articles/115001662728.
Expiration des certificats APNs

Le bouton de notification dans la barre d'en-tête de la console vous informe lorsque les certificats APNs pour MDM
arrivent à expiration. Cette information préalable vous permet d'agir.
Pour plus d'informations, consultez la section Notifications d'UEM Console à la page 15.
Générer un certificat APNs

Vous devez générer et parfois renouveler les certificats APNs pour assurer et maintenir une communication sûre entre
vos terminaux iOS et Workspace ONE™ UEM. Pour générer un certificat APNs, vous devez choisir l'une des deux
méthodes.
1. Suivez les étapes décrites dans Assistant de démarrage à la page 8.
OU
2. Générez des certificats APNs manuellement en effectuant les opérations suivantes.
a. Accédez à Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Apple > APNs pour
MDM.
b. Si la date de validité est passée, sélectionnez le bouton Renouveler et suivez les instructions sur l'écran. Un lien
d'instructions vous montre comment utiliser le portail Apple Push Certificate pour importer une demande de
certificat. Sur cette page, le bouton Accéder à Apple ouvre le portail Apple Push Certificate dans un nouvel
onglet de votre navigateur. Deux éléments vous sont nécessaires pour continuer.
i. La demande de certificat Workspace ONE UEM, un fichier au format PLIST que vous pouvez enregistrer sur
votre terminal.
ii. L'identifiant Apple initialement utilisé pour créer le certificat.
27
c. Cliquez sur Suivant pour passer, à la page suivante sur laquelle vous devez saisir votre identifiant Apple et
importer le certificat Workspace ONE UEM MDM émis par Apple (fichier PEM).
d. Cliquez sur Enregistrer.
Confidentialité et collecte des données

Il est important que vous informiez vos employés de la manière dont leurs données sont collectées et stockées lorsqu'ils
s'enrôlent dans Workspace ONE™ UEM. UEM Console vous permet de créer une notification de confidentialité
personnalisée pour informer les utilisateurs des données collectées sur leurs terminaux enrôlés.
Définissez avec votre service juridique quel message communiquer à vos utilisateurs concernant la collecte des données.
Déclarations de confidentialité pour les utilisateurs BYOD

Une déclaration de confidentialité informe vos utilisateurs des données collectées sur leurs terminaux selon le type du
terminal, le type de déploiement et le type de propriété.
Configuration de la déclaration de confidentialité

Les déclarations de confidentialité sont automatiquement configurées en fonction du groupe organisationnel et du type
de propriété du terminal se connectant. Vous pouvez afficher une déclaration de confidentialité pour chaque type de
propriété : Personnel, Professionnel, Partagé, et Inconnu.
Déploiement de la déclaration de confidentialité

Lorsque vous attribuez un type de propriété pour recevoir les déclarations de confidentialité, tous les utilisateurs du type
de propriété sélectionné reçoivent la notification de confidentialité sous forme de raccourci. Si vous avez inséré la valeur
de recherche de la déclaration de confidentialité PrivacyNotificationUrl dans votre modèle de message, ce
dernier contient alors une URL qui permet à l'utilisateur de lire la déclaration de confidentialité.
Les utilisateurs reçoivent automatiquement la déclaration de confidentialité si :
l ils enrôlent un nouveau terminal et qu'ils appartiennent à un type de propriété pour lequel la déclaration de
confidentialité est activée.
l Ils utilisent actuellement un terminal enrôlé et leur type de propriété est modifié après l'enrôlement pour un type qui
attribue le raccourci Web.
Pour savoir comment déployer une déclaration de confidentialité lors de l'activation du terminal, consultez la section
Inscrire un terminal individuel.
Créer une déclaration de confidentialité pour les utilisateurs BYOD

Informez vos utilisateurs des données collectées sur leurs terminaux enrôlés par votre compagnie à l'aide d'une
notification de déclaration de confidentialité. Définissez avec votre service juridique quel message communiquer à vos
utilisateurs concernant la collecte des données.
1. Naviguez vers Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Modèles de
message.
2. Cliquez sur Ajouter pour créer un modèle. Si vous avez déjà créé un modèle de notification de déclaration de
confidentialité, sélectionnez-le dans la liste de modèles disponibles ou modifiez-le.
28
3. Complétez les paramètres Ajouter/Modifier le modèle de message.

Nom Saisissez un nom pour le modèle de message.
Description Saisissez une description du modèle créé.
Catégorie Cliquez sur Enrôlement.
Type Sélectionnez Activation du terminal MDM.
Sélectionner Sélectionnez la langue par défaut pour votre message. Cliquez sur Ajouter pour ajouter plus de
la langue langues par défaut pour une distribution multilingue.
Par défaut Définit ce modèle comme modèle de message par défaut.
Type de Sélectionnez un ou plusieurs types de messages : E-mail, SMS, ou message Push.
message
4. Créez une notification de contenu. Les types de message sélectionnés dans Type de message décident des messages
prêts à être configurés.
Élément Description
E-mails
Mise en forme Choisissez entre Texte brut ou HTML pour votre notification.
du contenu de
l'e-mail
Objet Saisissez l'objet de votre notification.
Corps du Rédigez le message de l'e-mail à envoyer à vos utilisateurs. Les outils de modification et de mise
message en forme qui s'affiche dans la zone de texte dépendent du format choisi dans la mise en forme
du contenu de l'e-mail.
Si vous avez activé la déclaration de confidentialité visuelle, veuillez inclure la valeur de recherche
PrivacyNotificationUrl dans le corps du message.
SMS
Corps du Rédigez le message du SMS à envoyer à vos utilisateurs.
message Si vous avez activé la déclaration de confidentialité visuelle, veuillez inclure la valeur de recherche
Notification Push
Corps du Rédigez le message de la notification Push à envoyer à vos utilisateurs.
message Si vous avez activé la déclaration de confidentialité visuelle, veuillez inclure la valeur de recherche
5. Cliquez sur Enregistrer.
Paramètres de confidentialité
Les paramètres de confidentialité vous permettent de définir la manière dont les informations relatives aux terminaux et
aux utilisateurs sont traitées dans Workspace ONE™ UEM Console. Ces informations sont particulièrement utiles dans le
29
cadre de déploiements BYOD.

l Vérifiez et adaptez les politiques de confidentialité en fonction de la propriété du terminal ce qui vous permet de
vous conformer aux lois de protection des données en vigueur dans d'autres pays ou aux restrictions légalement
définies.
l Assurez-vous que certains rééquilibrages et vérifications informatiques sont en place afin d'empêcher une surcharge
des serveurs et des systèmes.
Important : chaque territoire a ses propres lois régissant les types de données qui peuvent être recueillies auprès des
utilisateurs finaux. Effectuez une recherche détaillée avant de Configurer les paramètres de confidentialité à la
page 30.
Configurer les paramètres de confidentialité

La confidentialité des utilisateurs finaux est notre première préoccupation pour vous et vos utilisateurs.
Workspace ONE™ UEM offre un contrôle granulaire sur les données collectées des utilisateurs et sur les données visibles
par les administrateurs.
Configurez les paramètres de confidentialité pour répondre aux besoins de vos utilisateurs et à ceux de votre activité.
1. Naviguez vers Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Confidentialité.
2. Sélectionnez les paramètres appropriés pour la collecte des données suivantes : GPS, Télécoms, Applications, Profils
et Réseau.
Collecter et afficher – Les données utilisateur sont collectées et affichées dans UEM Console.
Collecter, ne pas afficher – Les données utilisateur sont collectées pour les rapports, mais ne sont pas
affichées dans UEM Console.
Ne pas collecter – Les données utilisateur ne sont pas collectées et, par conséquent, ne sont pas affichées.
3. Sélectionnez le paramètre approprié pour les commandes possibles sur les terminaux.
Autoriser – La commande est effectuée depuis des terminaux sans autorisation de l'utilisateur.
Autoriser cette action avec la permission de l'utilisateur – La commande est exécuté sur les terminaux
uniquement si l'utilisateur le permet.
Bloquer – La commande ne s'exécute pas sur les terminaux.
Vous pouvez envisager de désactiver toutes les commandes à distance pour les terminaux personnels, en particulier
la réinitialisation complète. Ceci empêche l'effacement ou la suppression par inadvertance du contenu personnel
d'un utilisateur.
Remarque : si vous désactivez la fonction d'effacement pour certains types de propriété iOS, les utilisateurs ne
voient pas l'autorisation « Effacer tous les contenus et paramètres » lors de l'enrôlement.
Si vous autorisez le contrôle à distance, le gestionnaire de fichiers ou l'accès au gestionnaire du registre pour les
terminaux durcis Android/Windows, nous vous conseillons d'utiliser l'option Autoriser cette action avec la
30
permission de l'utilisateur. Ce paramètre exige que l'utilisateur final consente à ce que l'administrateur accède à son
terminal via une invite avant l'exécution de la commande. Si vous autorisez l'utilisation de toutes les commandes,
veillez à le mentionner clairement dans vos conditions d'utilisation.
4. Pour les informations utilisateur, indiquez si vous voulez afficher ou ne pas afficher dans la console les
informations relatives au prénom, au nom de famille, au numéro de téléphone, aux comptes de messagerie et au
nom d'utilisateur.
Si une option autre que le nom d'utilisateur est définie sur Ne pas afficher, elle indique alors « Privé » quelles que
soient les sections d'UEM Console dans lesquelles elle apparaît. Vous ne pouvez pas rechercher les options définies
sur Ne pas afficher dans la console. Lorsqu'un nom d'utilisateur est défini sur Ne pas afficher, il indique alors « Privé
» sur les pages Affichage en liste des terminaux et Détails du terminal seulement. Toutes les autres pages
d'UEM Console affichent le nom de l'utilisateur enrôlé.
Si vous le souhaitez, vous pouvez chiffrer les informations d'identification personnelles, notamment le prénom, le
nom de famille, l'adresse e-mail et le numéro de téléphone. Accédez à Groupes et paramètres > Tous les
paramètres > Système > Sécurité > Sécurité des données depuis le groupe organisationnel client ou global pour
lequel vous souhaitez configurer le chiffrement. Activez le chiffrement, sélectionnez les champs de données
utilisateur à chiffrer et cliquez sur Enregistrer pour chiffrer les données. En procédant ainsi, vous limiterez certaines
fonctionnalités d'UEM Console, comme la recherche, le tri et le filtrage.
5. Sélectionnez si vous souhaitez Activer ou Désactiver le Mode Ne pas déranger sur le terminal. Ce paramètre permet
aux utilisateurs d'ignorer les commandes MDM pour une période donnée. Lorsque cette option est activée, vous
pouvez sélectionner une période de grâce ou une durée d'activation définie en minutes, heures ou jours à l'issue de
laquelle le Mode Ne pas déranger expire.
Pour plus d'informations sur l'utilisation du mode Ne pas déranger, consultez l'article suivant, disponible
dans la base de connaissance VMware : https://support.air-watch.com/articles/115001662448.
6. Sélectionnez Activer ou Désactiver la déclaration de confidentialité conviviale sur le terminal.

l Lorsqu'elle est activée, vous pouvez choisir Oui (afficher une déclaration de confidentialité) ou Non (ne pas
afficher de déclaration de confidentialité) pour chaque niveau de propriété : Personnel, Professionnel, Partagé,
et Inconnu.
7. Cliquez sur Enregistrer. Vous devez saisir votre code PIN pour enregistrer les modifications. Cliquez sur Enregistrer.
Meilleures pratiques relatives à la confidentialité

Trouver l'équilibre entre vos besoins professionnels et les problèmes de confidentialité de vos employés pose un défi
réel. Il existe des méthodes simples pour gérer les paramètres de confidentialité afin de trouver le meilleur équilibre.
Important : chaque déploiement est différent. Adaptez au mieux les paramètres et politiques à votre organisation en
consultant vos propres équipes juridique, RH et de gestion.
Informations utilisateur pour les meilleures pratiques en matière de confidentialité

En général, vous pouvez afficher les informations sur un utilisateur comme le prénom, le nom de famille, le numéro de
téléphone et l'adresse e-mail pour les terminaux personnels et professionnels.
31
Informations sur l'application pour les meilleures pratiques en matière de confidentialité

En général, il est approprié de définir la collecte des informations sur les applications sur Ne pas collecter ou Collecter, ne
pas afficher pour les terminaux personnels. Ce paramètre est important, car les applications publiques installées sur un
terminal peuvent être considérées comme des informations identifiables personnelles si elles sont affichées. Pour les
terminaux professionnels, toutes les applications installées sur le terminal seront rapportées à Workspace ONE™ UEM.
Si l'option « Ne pas collecter » est sélectionnée, seules les informations relatives aux applications personnelles ne seront
pas collectées. Workspace ONE UEM collecte toutes les applications gérées, qu'elles soient publiques, internes ou
achetées.
Commandes à distance pour les meilleures pratiques en matière de confidentialité

Pensez à désactiver toutes les commandes à distance pour les terminaux personnels. Cependant, si vous souhaitez
autoriser les actions ou les commandes à distance, nous vous conseillons de mentionner explicitement ces actions et
commandes distantes dans vos conditions d'utilisation.
Coordonnées GPS pour les meilleures pratiques sur la confidentialité

La collecte des coordonnées GPS a un lien fondamental avec les préoccupations en matière de protection de la vie privée.
Bien que la collecte de données GPS pour les terminaux appartenant à l'employé ne soit pas appropriée, les remarques
suivantes s'appliquent à tous les terminaux enrôlés dans Workspace ONE™ UEM.
l Seul VMware Workspace ONE Intelligent Hub renvoie les données de localisation GPS du terminal à UEM Console.
o Les autres applications qui utilisent le SDK Workspace ONE UEM comme VMware Browser, Content Locker,
Boxer, etc. n'envoient pas les données GPS à UEM Console.
o Le GPS est généralement utilisé pour les terminaux perdus ou volés. Il est également utilisé lorsque
l'emplacement d'un terminal fait partie intégrante d'une fonction de Workspace ONE UEM Console, comme les
géo-barrières.
o Lorsque les données GPS sont rapportées, Workspace ONE UEM définit une région de 1 km autour de cet
emplacement. Il rapporte les informations de localisation lorsque le terminal se situe en dehors de cette zone ou
lorsque l'utilisateur ouvre une application Workspace ONE UEM ou interne. Aucune nouvelle donnée GPS n'est
rapportée à moins que l'une de ces situations se présente.
Données de télécommunications pour les meilleures pratiques

Il est uniquement approprié de collecter les données de télécommunications des terminaux personnels si elles font partie
d'une allocation dans le cadre de laquelle vous financez le forfait mobile de l'utilisateur. Dans ce cas, ou pour les
terminaux professionnels, les remarques suivantes concernant les données collectées s'appliquent :
l Opérateur téléphonique/Code pays – Le code pays et l'opérateur téléphonique sont enregistrés et peuvent être
utilisés pour suivre les télécommunications. Les forfaits peuvent être établis et attribués de manière appropriée aux
terminaux en fonction de leur opérateur téléphonique et de leur pays. Ces informations peuvent aussi être utilisées
pour suivre les terminaux par opérateur téléphonique et pays d'origine ou par opérateur téléphonique et pays
actuel.
l Statut de l'itinérance – Ce statut peut être utilisé pour suivre les terminaux dont le statut est « En itinérance » ou
« Pas en itinérance ». Des politiques de conformité peuvent être définies pour désactiver les appels et les données
mobiles en itinérance ou pour effectuer d'autres actions de conformité. En outre, si un forfait est attribué à un
terminal, Workspace ONE™ UEM peut suivre l'utilisation des données mobiles en itinérance. La collecte et la
32
surveillance du statut d'itinérance peuvent être utiles pour éviter les surcoûts élevés des opérateurs téléphoniques,
lors de l'itinérance.
l Utilisation des données mobiles – L'utilisation des données mobiles désigne l'utilisation des données en nombre
total d'octets envoyés et reçus. Ces données peuvent être collectées pour chaque terminal mobile. Si un forfait est
attribué au terminal dans AirWatch, vous pouvez surveiller l'utilisation des données d'après le pourcentage du
nombre total de données par cycle de facturation. Cette fonctionnalité vous permet de créer des politiques de
conformité basées sur le pourcentage de données utilisées et vous permet d'éviter les surcoûts élevés facturés par
les opérateurs téléphoniques.
l Utilisation des appels – L'utilisation des appels désigne le nombre de minutes d'appel qui peut être collecté pour
chaque terminal mobile. Comme pour l'utilisation des données, si un forfait est attribué au terminal, vous pouvez
surveiller l'utilisation d'après le pourcentage de minutes consommées par cycle de facturation. Cette méthode vous
permet de créer des stratégies de conformité basées sur le pourcentage de minutes utilisées et peut s'avérer utile
pour éviter les surcoûts élevés des opérateurs téléphoniques.
l Utilisation des SMS – L'utilisation des SMS désigne le nombre de SMS qui peut être collecté pour chaque terminal
mobile. Comme pour l'utilisation des données, si un forfait est attribué au terminal, vous pouvez surveiller
l'utilisation des SMS d'après le pourcentage du nombre total de messages par cycle de facturation. Cette méthode
vous permet de créer des politiques de conformité basées sur le pourcentage de messages utilisés. La surveillance de
l'utilisation des SMS permet d'éviter les surcoûts élevés facturés par les opérateurs téléphoniques.
Conditions d'utilisation
Assurez-vous que tous les utilisateurs disposant de terminaux gérés acceptent la politique en définissant et appliquant
les conditions d'utilisation. Si nécessaire, les utilisateurs doivent accepter les conditions d'utilisation avant de poursuivre
l'enrôlement, d'installer des applications ou d'accéder à UEM Console. UEM Console vous permet de personnaliser
entièrement les conditions d'utilisation et d'en attribuer une version propre à chaque groupe et sous-groupe
organisationnel.
Les conditions d'utilisation s'affichent lors de l'enrôlement de chaque terminal. Accédez aux fonctions suivantes.
l Définissez les numéros de version.
l Définissez les plateformes pour recevoir les conditions d'utilisation.
l Envoyez un e-mail aux utilisateurs pour les avertir de mises à jour des conditions d'utilisation.
l Créez des copies des conditions d'utilisation propres à chaque langue.
l Créez plusieurs conditions d'utilisation et attribuez-les aux groupes organisationnels selon la plateforme ou le type
de propriété.
l Répondez aux exigences légales des groupes spécifiques en personnalisant les conditions d'utilisation.
Créer les conditions d'utilisation pour l'enrôlement

Vous pouvez créer un accord sur les conditions d'utilisation spécifiques aux fins d'enrôlement. Vous pouvez également
limiter les terminaux autorisés pour l'enrôlement par plateforme de terminal, type de propriété et type d'enrôlement.
33
1. Assurez-vous que votre groupe organisationnel actuel est bien celui pour lequel vous créez les conditions
d'utilisation.
2. Naviguez vers Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement et
sélectionnez l'onglet Conditions d'utilisation.
3. Cliquez sur le bouton Ajouter une nouvelle condition d'utilisation pour l'enrôlement et définissez les options
suivantes.
Nom Saisissez un nom unique pour la nouvelle condition d'utilisation.
Type Cette option est prédéfinie sur Enrôlement.
Version Cette option fait l'objet d'un suivi automatique et est renseignée en conséquence.
Plateformes ; Si vous ne voulez pas créer votre condition d'utilisation pour une catégorie spécifique
Propriété du terminal ; et de terminal, conservez la sélection par défaut Indifférent pour ces options.
Type d'enrôlement Si vous préférez spécifier une plateforme, une propriété et un enrôlement, vous
pouvez sélectionner une ou plusieurs de ces catégories et définir les limites propres à
votre condition d'utilisation.
l Si vous cliquez sur Plateforme sélectionnée, choisissez les plateformes de votre
choix dans la liste. Vos conditions d'utilisation s'appliquent aux plateformes de
terminal que vous sélectionnez, toutes les autres étant exclues.
l Si vous cliquez sur Types de propriété sélectionnés, choisissez le type de

propriété de votre choix dans la liste. Vos conditions d'utilisation s'appliquent aux
types de propriété que vous sélectionnez, tous les autres étant exclus.
l Si vous cliquez sur Types d'enrôlement sélectionnés, choisissez le type

d'enrôlement de votre choix dans la liste. Vos conditions d'utilisation s'appliquent
aux types d'enrôlement que vous sélectionnez, tous les autres étant exclus.
Notifications Envoyez un e-mail aux utilisateurs lorsque les conditions d'utilisation sont mises à
jour en cochant cette case. L'e-mail de notification est envoyé lorsque vous
sélectionnez Enregistrer à l'étape 5.
Sélectionner la langue Vous pouvez, si vous le souhaitez, créez des conditions d'utilisation pour chaque
langue correspondant à vos besoins, en choisissant une langue dans le menu
déroulant Sélectionner la langue.
4. Saisissez vos conditions d'utilisation traduites dans la zone de texte.

L'éditeur propose un outil de saisie de texte basique permettant de créer des conditions d'utilisation ou de coller des
conditions d'utilisation existantes. Si vous collez le texte d'un contenu externe, cliquez avec le bouton droit de la
souris dans la fenêtre de texte et sélectionnez Copier au format texte afin d'éviter les erreurs HTML ou de formatage.

Vous pouvez appliquer les conditions d'utilisation du MDM en créant une politique de conformité pour l'acceptation
des conditions d'utilisation du MDM.
34
Création de conditions d'utilisation pour les applications ou la console

Vous pouvez également créer des conditions d'utilisation basées sur l'application pour informer les utilisateurs
lorsqu'une application collecte des données ou impose des restrictions.
Lorsque les utilisateurs exécutent ces applications depuis votre catalogue d'applications d'entreprise, ils doivent accepter
leurs conditions d'utilisation pour y accéder. Vous pouvez définir les conditions d'utilisation pour les versions
d'applications, créer des conditions d'utilisation pour chaque langue et supprimer des applications si les conditions
d'utilisation ne sont pas acceptées.
Les conditions d'utilisation de la console s'affichent lorsqu'un administrateur se connecte pour la première fois à
Workspace ONE™ UEM Console. Pour UEM Console, vous pouvez définir les numéros de version des conditions
d'utilisation et créer des copies des conditions d'utilisation propres à chaque langue.
Pour les applications, attribuez les conditions d'utilisation lors de l'ajout ou de la modification d'une application grâce à
l'onglet Conditions d'utilisation.
1. Naviguez vers Groupes et paramètres > Tous les paramètres > Système > Conditions d'utilisation.
2. Cliquez sur Ajouter des conditions d'utilisation.
3. Saisissez un nom pour vos conditions d'utilisation et sélectionnez le type : Console ou Application.
4. Configurez les paramètres tels que le numéro de version et la période de grâce, en fonction du type sélectionné.
5. Saisissez les conditions d'utilisation dans la zone de texte fournie. L'éditeur propose un outil de saisie de texte
basique permettant de créer des conditions d'utilisation ou de coller des conditions d'utilisation existantes. Si vous
collez le texte d'un contenu externe, cliquez avec le bouton droit de la souris dans la fenêtre de texte et sélectionnez
Copier au format texte afin d'éviter les erreurs HTML ou de formatage.
Affichage de l'acceptation des conditions d'utilisation

Même si des stratégies de conformité peuvent être définies pour forcer l'acceptation des conditions d'utilisation, vous
pouvez également consulter les utilisateurs qui ont accepté ou non les conditions. Vous pouvez ensuite, si nécessaire, les
contacter individuellement.
1. Naviguez vers Groupes et paramètres > Tous les paramètres > Système > Conditions d'utilisation.
2. Utilisez la liste déroulante Type pour filtrer les conditions d'utilisation en fonction de leur type, comme par exemple,
Enrôlement. La colonne Utilisateurs/Terminaux affiche les terminaux pour lesquels les conditions d'utilisation ont
été acceptées/non acceptées/attribuées.
3. Cliquez sur le nombre approprié dans la colonne Terminaux pour les conditions d'utilisation afin d'en afficher les
informations. Vous pouvez également accéder au menu déroulant de cette rangée et cliquer sur l'un des éléments
suivants :
l Afficher les terminaux ou les utilisateurs – Affiche tous les terminaux et leurs statuts d'acceptation. Vous
pouvez filtrer les résultats par groupe organisationnel.
l Afficher les versions précédentes – Affichez les précédentes conditions d'utilisation.
l Afficher les conditions d'utilisation – Affichez les conditions d'utilisation.
35
Suivre l'acceptation des conditions d'utilisation grâce aux rapports

Vous pouvez suivre l'acceptation des conditions d'utilisation et prendre certaines mesures en conséquence.
Consultez les détails des groupes organisationnels spécifiques, l'acceptation des conditions d'utilisation de la console et
de l'enrôlement de terminaux. Consultez les acceptations directement dans Workspace ONE™ UEM Console ou exportez
le rapport au format CSV pour le consulter dans Excel.
1. Accédez à Monitor > Rapports et analyses > Rapports > Affichage en liste.
2. Recherchez et générez le rapport Détails de l'acceptation des conditions d'utilisation en cliquant sur le titre du
rapport.
3. Sélectionnez les groupes organisationnels.
4. Sélectionnez le type de conditions d'utilisation.
5. Sélectionnez le format du rapport.
6. Sélectionnez Télécharger pour enregistrer le rapport.
Important : VMware Workspace ONE UEM ne pas fournit pas d'exemples de texte juridiquement contraignant. Les
équipes juridiques de votre entreprise doivent passer en revue tout exemple de texte fourni.
Personnalisation de l'apparence de la console

Workspace ONE™ Unified Endpoint Management (UEM) Console propose de nombreuses options de personnalisation.
Elles vous permettent de personnaliser les options de vos outils et ressources Workspace ONE UEM selon le modèle de
couleurs, le logo et l'apparence globale de votre organisation.
La personnalisation d'apparence peut être configurée pour la mutualisation, afin de doter chaque groupe organisationnel
de l'entreprise d'une apparence unique.
Pour plus d'informations, consultez la section Groupes organisationnels à la page 80.
Personnalisation de l'apparence de la console

Vous pouvez vous aligner sur le modèle de couleurs, le logo et l'esthétique globale de votre organisation en
personnalisant la console.
1. Sélectionnez le groupe organisationnel que vous souhaitez personnaliser, puis naviguez vers Groupes et paramètres
> Tous les paramètres > Système > Personnalisation d'apparence.
2. Configurez les paramètres suivants dans l'onglet Personnalisation d'apparence.

l Importez un logo d'entreprise en important un fichier enregistré sur votre ordinateur. La résolution suggérée
pour l'image importée est de 800x300.
l Importez un arrière-plan pour la page de connexion en important un fichier enregistré sur votre ordinateur. La
résolution suggérée pour l'image importée est de 1 024x768.
l Importez un arrière-plan pour la page de connexion au portail self-service en important un fichier enregistré sur
votre ordinateur. La résolution suggérée pour l'image importée est de 1 024x768.
36
3. Configurez les personnalisations dans la section Couleurs de l'onglet Personnalisation d'apparence.
4. Configurez les paramètres dans l'onglet CSS personnalisé.

l Saisissez un code CSS personnalisé pour une personnalisation avancée.
Actions restreintes d'UEM Console

Dans le cas où Workspace ONE™ Unified Endpoint Management (UEM) Console est laissé sans surveillance, une
protection supplémentaire est fournie contre les actions malveillantes potentiellement destructrices. Vous pouvez
rendre ces actions inaccessibles aux utilisateurs non autorisés. Naviguez vers Groupes et paramètres > Tous les
paramètres > Système > Sécurité > Actions restreintes.
Activez l'envoi d'un message à tous les terminaux.

Activez ce paramètre pour permettre à un administrateur système d'envoyer un message à tous les terminaux de votre
déploiement, depuis la page Affichage en liste des terminaux. Il peut également être utilisé pour envoyer un message à
un groupe spécifique.
Pour plus d'informations, consultez la section Affichage en liste des terminaux à la page 207.
Sélectionner les actions protégées par mot de passe

Les actions restreintes offrent un niveau supplémentaire de protection contre les actions malveillantes qui pourraient
s'avérer destructrices. Configurez les paramètres pour les commandes restreintes en naviguant vers Groupes et
paramètres > Tous les paramètres > Système > Sécurité > Commandes restreintes.
Vous pouvez demander à ce que certaines actions nécessitent la saisie d'un code PIN par l'administrateur. Pour chaque
action que vous voulez protéger, sélectionnez l'option Commandes protégées par mot de passe pour l'activer ou la
désactiver selon vos besoins. Cette exigence permet un contrôle granulaire des actions que vous souhaitez protéger
davantage.
Remarque : certaines actions nécessitent toujours un code PIN et ne peuvent donc pas être désactivées. Signalées
par un astérisque (*) ci-dessous.
Définissez le nombre maximum de tentatives infructueuses acceptées par le système avant la déconnexion automatique
de la session. Si le nombre maximal de tentatives infructueuses est atteint, vous devez vous connecter à
Workspace ONE UEM Console et définir un nouveau code PIN de sécurité.
Suppression de comptes Protège contre la suppression d'un compte administrateur dans Comptes >
administrateur Administrateurs > Affichage en liste.
*Régénérez le certificat VMware Protège contre la régénération du certificat VMware Enterprise Systems Connector
Enterprise Systems Connector dans Groupes et paramètres > Tous les paramètres > Système > Intégration
d'entreprise > VMware Enterprise Systems Connector.
37
*Modification des certificats Protège contre la désactivation d'APNs pour MDM dans Groupes et paramètres >
APNs Tous les paramètres > Terminaux et utilisateurs > Apple > APNs pour MDM.
Suppression/Désactivation/Mise Protège contre la suppression, la désactivation ou la mise hors service d'une
hors service d'applications application dans Applications et livres > Applications > Affichage en liste.
Suppression/Désactivation de Protège contre la suppression ou la désactivation d'un fichier de contenu dans
contenu Contenu > Affichage en liste.
Basculement du chiffrement de Protège contre le paramètre Chiffrement des informations utilisateur dans Groupes
données et paramètres > Tous les paramètres > Système > Sécurité > Sécurité des
données.
Suppression de terminaux Protège contre la suppression d'un terminal dans Terminaux > Affichage en liste.
Le code PIN de sécurité de l'administrateur est toujours requis pour les actions en
masse, même lorsque ce paramètre est désactivé.
*Réinitialisation de terminaux Protège contre toute tentative de réinitialisation d'un terminal depuis l'affichage en
liste des terminaux ou la page des détails d'un terminal.
Réinitialisation des données Protège contre toute tentative de réinitialisation des données d'entreprise d'un
d'entreprise terminal depuis la page Détails du terminal pour les terminaux durcis Windows,
Android ou QNX.
Effacement des données Protège contre toute tentative d'effacement des données professionnelles d'un
professionnelles terminal depuis la page Détails du terminal.
Effacement des données Protège contre toute tentative de réinitialisation des données professionnelles sur
professionnelles (basé sur le un terminal supprimé d'un groupe d'utilisateurs. Ceci est un paramètre facultatif
basculement de l'appartenance que vous pouvez configurer dans Groupes et paramètres > Tous les paramètres >
à un groupe d'utilisateurs) Terminaux et utilisateurs > Général > Enrôlement dans l'onglet Restrictions. Si
vous limitez l'enrôlement aux groupes configurés dans cet onglet, vous pouvez
alors effacer les données professionnelles d'un terminal lorsque celui-ci est
supprimé d'un groupe. Pour plus d'informations, consultez la section Configurer les
paramètres de restriction d'enrôlement à la page 141.
*Suppression de groupes Protège contre toute tentative de supprimer le groupe organisationnel actuel dans
organisationnels Groupes et paramètres > Groupes > Groupes organisationnels > Détails du
groupe organisationnel.
Suppression/Désactivation de Protège contre toute tentative de suppression ou de désactivation d'un profil
profils depuis Terminaux > Profils et ressources > Affichage en liste.
Suppression de produits Protège contre toute tentative de suppression ou de désactivation d'un produit de
d'approvisionnement configuration depuis Terminaux > Préenrôlement et provisionnement > Produits
> Affichage en liste.
Révoquer le certificat Protège contre toute tentative de révocation d'un certificat dans Terminaux >
Certificats > Affichage en liste.
38
*Effacement du certificat de Protège contre toute tentative de suppression d'un certificat de canal sécurisé dans
canal sécurisé Groupes et paramètres > Tous les paramètres > Système > Avancé > Certificat de
canal sécurisé.
Suppression de comptes Protège contre toute tentative de suppression d'un compte utilisateur depuis
utilisateur Comptes > Utilisateurs > Affichage en liste.
Modifier dans les paramètres de Protège contre toute tentative de modifier les paramètres de confidentialité dans
confidentialité Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs
> Général > Confidentialité.
Supprimer le forfait de Protège contre la suppression d'un forfait de télécommunications dans Télécoms >
télécommunications Liste des forfaits.
Remplacer le niveau de Protège contre les tentatives de modification du niveau actuel de journalisation des
journalisation tâches à partir de Groupes et paramètres > Administrateur > Diagnostics >
Journalisation. Le remplacement du niveau de journalisation des tâches est utile
lorsqu'un terminal ou un groupe de terminaux rencontrent un problème. Dans ce
cas, l'administrateur peut remplacer les paramètres de ces terminaux en forçant un
niveau plus détaillé de journalisation qui sera utile pour la résolution des
problèmes.
*Réinitialisation/Basculement Protège contre la réinitialisation (et l'effacement ultérieur) de vos paramètres
de l'éditeur d'analyse d'intégration d'analyse d'applications. Cette commande est effectuée dans Groupes
d'applications et paramètres > Tous les paramètres > Applications > Analyse d'applications.
Arrêter Protège contre toute tentative d'arrêter/éteindre le terminal dans Terminaux
> Affichage en liste > Détails du terminal.
Nombre maximum de saisies Définit le nombre maximum de tentatives infructueuses de saisie du code PIN avant
infructueuses du code PIN le verrouillage de la console.ris Ce paramètre doit être compris entre 1 et 5 minutes.
Configurer les commentaires obligatoires pour effectuer des actions

Vous pouvez demander aux administrateurs de saisir des commentaires grâce à la case Exiger un commentaire et
d'expliquer la raison liée à l'exécution de ces commandes. Naviguez vers Groupes et paramètres > Tous les paramètres >
Système > Sécurité > Actions restreintes.
Si vous avez besoin que vos administrateurs saisissent un commentaire avant d'effectuer l'une de ces actions, veillez à
modifier le rôle avec la ressource Ajouter une remarque (autorisation). Pour plus d'informations, consultez la section
Créer un rôle administrateur à la page 70.
Verrouillage du Exigez un commentaire pour expliquer la tentative de verrouillage d'un terminal depuis
terminal l'affichage en liste des terminaux ou les détails du terminal.
Verrouillage de la Exigez un commentaire pour expliquer la tentative de verrouillage d'une session SSO depuis
SSO l'affichage en liste des terminaux ou les détails du terminal.
39
Réinitialisation du Exigez un commentaire pour expliquer la tentative de réinitialisation d'un terminal depuis
terminal l'affichage en liste des terminaux ou les détails du terminal.
Réinitialisation des Exigez un commentaire pour expliquer la tentative de réinitialisation des données d'entreprise
données d'un terminal depuis la page Détails du terminal pour les terminaux durcis Windows ou
d'entreprise Android.
Effacement des Exigez un commentaire pour expliquer la tentative d'effacement des données professionnelles
données depuis les détails du terminal.
professionnelles
Remplacer le niveau Exigez un commentaire avant toute tentative de modification du niveau de journalisation des
de journalisation tâches par défaut depuis Groupes et paramètres > Administrateur > Diagnostics >
Journalisation.
Redémarrer le Exigez un commentaire avant une tentative de redémarrage depuis Terminaux > Affichage en
terminal liste > Détails du terminal.
Arrêter Exigez un commentaire avant une tentative d'arrêt depuis Terminaux > Affichage en liste >
Détails du terminal.
Autres systèmes d'entreprise pour l'intégration

Utilisez les fonctionnalités MDM avancées en intégrant votre environnement Workspace ONE™ UEM à d'autres
infrastructures d'entreprise existantes, comme la gestion d'e-mails avec SMTP, les services d'annuaire et la gestion du
contenu avec des référentiels.
l Relais de messagerie (SMTP) – Offrez sécurité, visibilité et contrôle pour les e-mails.
l Services d'annuaire (LDAP/AD) – Utilisez les groupes d'entreprise existants pour la gestion des utilisateurs et des terminaux.
l Microsoft Certificate Services – Utilisez l'infrastructure de certificats Microsoft existante pour un déploiement Workspace ONE UEM.
l Protocole d'enrôlement avec un seul certificat (PKI SCEP) – Configurez les certificats pour le Wi-Fi, le VPN, Microsoft EAS, etc.
l Gestion d'e-mails avec Exchange 2010 (PowerShell) – Connectez Workspace ONE UEM de manière sécurisée pour appliquer des politiques
avec les serveurs de messagerie d'entreprise.
l Serveur d'entreprise BlackBerry (BES) – Intégrez la solution AirWatch au BES pour une gestion BlackBerry rationalisée.
l Services de certificats tiers – Importez des systèmes de gestion des certificats pour qu'ils soient gérés dans la console d'administration.
l Services Web Lotus Domino (HTTPS) – Accédez au contenu et aux fonctionnalités de Lotus Domino via votre déploiement AirWatch.
l Référentiels de contenu – Intégrez AirWatch à SharePoint, Google Drive, OneDrive, aux serveurs de fichiers et aux partages réseau.
l Syslog (Données des journaux d'événements) – Exportez des données de journaux d'événements pour un affichage sur tous les serveurs et
systèmes intégrés.
l Réseaux d'entreprise – Configurez des réseaux Wi-Fi et VPN et des profils de terminaux contenant les identifiants utilisateur pour y accéder.
l Gestion des événements et des informations de sécurité (SIEM) – Enregistrez et compilez des données des terminaux et de la console pour
garantir la sécurité et la conformité aux réglementations et aux politiques d'entreprise.
Pour plus d'informations sur l'intégration de Workspace ONE UEM à ces infrastructures, consultez le Guide VMware
Enterprise Systems Connector, disponible à l'adresse https://docs.vmware.com/en/VMware-Identity-
40
Manager/index.html. Consultez également le Guide de l'administrateur VMware Tunnel, le Guide de journalisation

AirWatch et le Guide d'installation AirWatch, tous disponibles sur docs.vmware.com. Vous pouvez également
rechercher ces rubriques sur docs.vmware.com.
41
Chapitre 4 :
Comptes utilisateur et administrateur
Des comptes utilisateur doivent aussi être créés et intégrés pour que les terminaux s'enrôlent dans
Workspace ONE™ UEM. De la même manière, des comptes administrateurs doivent être créés et attribués pour faciliter
la gestion des utilisateurs et des terminaux.
UEM Console vous permet d'établir une infrastructure utilisateur et administrateur complète. Elle offre des options de
configuration pour l'authentification, l'intégration d'entreprise et la maintenance permanente.
Types d'authentification utilisateur

Avant l'enrôlement de terminaux, chaque utilisateur de terminal doit avoir un compte utilisateur authentique reconnu
par Workspace ONE™ UEM. Le type d'authentification utilisateur que vous sélectionnez dépend des besoins de votre
organisation.
Authentification utilisateur basique

L'authentification basique peut être utilisée pour identifier des utilisateurs dans l'architecture Workspace ONE™ UEM,
mais cette méthode ne propose pas d'intégration aux comptes utilisateur d'entreprise existants.
Avantages
l Peut être utilisé pour n'importe quelle méthode de déploiement.
l Ne nécessite aucune intégration technique.
l Ne nécessite aucune infrastructure d'entreprise.

Inconvénients
l Ne peut pas être utilisé avec la détection automatique.
l Les identifiants existent uniquement dans Workspace ONE UEM et ne correspondent pas nécessairement aux
identifiants professionnels existants.
l Ne propose ni sécurité fédérée ni authentification unique.
l Workspace ONE UEM stocke tous les noms d'utilisateur et mots de passe.
l Ne peut pas être utilisé pour l'enrôlement direct de Workspace ONE.
42
Chapitre 4 : Comptes utilisateur et administrateur
1. L'utilisateur de la console se connecte sur le SaaS Workspace ONE UEM en utilisant un compte local pour
s'authentifier (authentification basique).
l Les identifiants sont chiffrés pendant le transfert.
l (Par exemple, nom d'utilisateur : jdupont@air-watch.com, mot de passe : abcd.)
2. L'utilisateur enrôle son terminal en utilisant les identifiants du compte local Workspace ONE UEM (authentification
basique).
l Les identifiants sont chiffrés pendant le transfert.
l (Par exemple, nom d'utilisateur : jdupont2, mot de passe : 2557.)

Pour plus d'informations, consultez la section Enrôlement direct de Workspace ONE.
Authentification Active Directory avec LDAP

L'authentification Active Directory (AD) avec Lightweight Directory Access Protocol (LDAP) permet d'intégrer les comptes
utilisateur et administrateur Workspace ONE™ UEM aux comptes d'entreprise existants.
Avantages
l Les utilisateurs finaux s'authentifient grâce à leurs identifiants professionnels existants.
l Méthode sécurisée d'intégration à LDAP/AD.
l Pratique d'intégration standard.
l Peut être utilisé pour l'enrôlement direct de Workspace ONE.

Inconvénients
l Nécessite un serveur AD ou LDAP.
43
1. Le terminal se connecte à Workspace ONE UEM en vue de son enrôlement. L'utilisateur saisit son nom d'utilisateur et
son mot de passe des services d'annuaire.
l Le nom d'utilisateur et le mot de passe sont chiffrés lors du transfert.
l Workspace ONE UEM ne stocke pas le mot de passe des services d'annuaire de l'utilisateur.
2. Workspace ONE UEM adresse les requêtes aux services d'annuaire du client via le protocole sécurisé LDAP à l'aide
d'un compte de service pour l'authentification.
3. Les identifiants de l'utilisateur sont validés auprès des services d'annuaire de l'entreprise.
4. S'ils sont valides, le serveur Workspace ONE UEM autorise le terminal à terminer son enrôlement.
Authentification Active Directory avec LDAP et VMware Enterprise Systems Connector

L'authentification Active Directory avec LDAP et VMware Enterprise Systems Connector offre les mêmes fonctionnalités
qu'une authentification Active Directory et LDAP traditionnelle. Ce modèle fonctionne via le Cloud pour les déploiements
SaaS.
Avantages
l Aucune modification du pare-feu n'est requise, puisque la communication s'effectue depuis VMware Enterprise
Systems Connector au sein de votre réseau.
l La transmission des identifiants est chiffrée et sécurisée.
l Propose aussi une configuration sécurisée pour d'autres infrastructures comme le BES, Microsoft ADCS ou SCEP et
les serveurs SMTP.
l Peut être utilisé pour l'enrôlement direct de Workspace ONE™.

Inconvénients
l VMware Enterprise Systems Connector doit être installé derrière le pare-feu ou dans une zone DMZ.
l Nécessite une configuration supplémentaire.
44
Modèle de déploiement SaaS
Modèle de déploiement sur site
Pour plus d'informations sur l'intégration de votre environnement Workspace ONE UEM à ces infrastructures, consultez
Guide VMware Enterprise Systems Connector, disponible à l'adresse https://docs.vmware.com/en/VMware-Identity-
Manager/index.html.
Proxy d'authentification
Le proxy d'authentification fournit une intégration des services d'annuaire via le Cloud ou les réseaux internes renforcés.
Dans ce modèle, le serveur Workspace ONE™ UEM communique avec un serveur Web public ou un serveur
Exchange ActiveSync. Cette organisation permet d'authentifier les utilisateurs en fonction du contrôleur de domaine.
Avantages
l Offre une méthode sécurisée pour l'intégration du proxy avec AD/LDAP via le Cloud.
l Module léger qui n'exige qu'une configuration minimale.

Inconvénients
l Requiert un serveur Web public ou un serveur Exchange ActiveSync lié à un serveur AD/LDAP.
l Uniquement réalisable pour certaines configurations d'architecture.
l Solution beaucoup moins robuste que VMware Enterprise Systems Connector.
45
1. Le terminal se connecte à Workspace ONE UEM en vue de son enrôlement. L'utilisateur saisit son nom d'utilisateur et
son mot de passe des services d'annuaire.
l Le nom d'utilisateur et le mot de passe sont chiffrés lors du transfert.
l Workspace ONE UEM ne stocke pas le mot de passe des services d'annuaire de l'utilisateur.
2. Workspace ONE UEM relaie le nom d'utilisateur et le mot de passe vers un point de terminaison configuré de proxy
d'authentification qui nécessite une authentification (par exemple, authentification basique).
3. Les identifiants de l'utilisateur sont validés auprès des services d'annuaire de l'entreprise.
4. S'ils sont valides, le serveur Workspace ONE UEM autorise le terminal à terminer son enrôlement.
Authentification SAML 2.0

L'authentification Security Assertion Markup Language (SAML) 2.0 propose la prise en charge de l'authentification
unique, ainsi que l'authentification fédérée. Workspace ONE™ UEM ne reçoit jamais les identifiants professionnels.
Lorsqu'une organisation dispose d'un serveur fournisseur d'identité SAML, utilisez l'intégration SAML 2.0.
Avantages
l Propose des fonctionnalités d'authentification unique.
l Authentification avec les identifiants d'entreprise existants.
l Workspace ONE UEM ne reçoit jamais les identifiants professionnels en texte brut.
l Peut être utilisée pour l'enrôlement direct de Workspace ONE lorsqu'elle est associée à un utilisateur d'annuaire
SAML.
Inconvénients
l Nécessite une infrastructure professionnelle de fournisseurs d'identités SAML.
l Ne peut pas être utilisée pour l'enrôlement direct de Workspace ONE lorsqu'elle est associée à un utilisateur basique
SAML.
46
1. Le terminal se connecte à Workspace ONE UEM pour son enrôlement. Le serveur UEM redirige alors le terminal vers
le fournisseur d'identité spécifié par le client.
2. La terminal se connecte en toute sécurité via HTTPS au fournisseur d'identités fourni et l'utilisateur saisit ses
identifiants.
l Les identifiants sont chiffrés lors du transfert entre le terminal et le point de terminaison SAML.
3. Les identifiants sont validés auprès des services d'annuaire.
4. Le fournisseur d'identité renvoie une réponse SAML signée avec le nom d'utilisateur authentifié.
5. Le terminal répond au serveur Workspace ONE UEM et présente le message SAML signé. L'utilisateur est authentifié.
.
Authentification basée sur les jetons

L'authentification basée sur les jetons est la méthode la plus simple pour qu'un utilisateur enrôle son terminal. Grâce à ce
paramètre d'enrôlement, Workspace ONE™ UEM génère un jeton qui est placé dans l'URL d'enrôlement.
Pour l'authentification à un seul jeton, l'utilisateur accède au lien depuis le terminal pour procéder à l'enrôlement et le
serveur Workspace ONE UEM mentionne le jeton fourni par l'utilisateur.
Pour plus de sécurité, définissez une période d'expiration (en heures) pour chaque jeton. Vous réduisez ainsi le risque
qu'un autre utilisateur n'accède aux informations et fonctions disponibles sur ce terminal.
Vous pouvez aussi décider de mettre en place une authentification forte pour renforcer la vérification de l'identité de
l'utilisateur final. Avec ce paramètre d'authentification, l'utilisateur doit saisir son nom d'utilisateur et son mot de passe
en accédant au lien d'enrôlement grâce au jeton fourni.
Avantages
l Les utilisateurs enrôlent et authentifient leur terminal rapidement et facilement.
l Sécurisez l'utilisation des jetons en définissant une expiration.
l L'utilisateur n'a pas besoin d'identifiants pour l'authentification par jeton.

Inconvénients
l Requiert une intégration Simple Mail Transfer Protocol (SMTP) ou Short Message Service (SMS) pour l'envoi de
jetons au terminal.
47
1. L'administrateur autorise l'inscription du terminal de l'utilisateur.
2. Le jeton à usage unique généré est envoyé à l'utilisateur depuis Workspace ONE UEM Console.
3. L'utilisateur reçoit un jeton et navigue vers l'URL d'enrôlement. L'utilisateur doit saisir le jeton ou peut
éventuellement utiliser l'authentification à deux facteurs.
4. Processus d'enrôlement des terminaux
5. Workspace ONE UEM marque le jeton comme étant expiré.
Remarque : le protocole SMTP est inclus dans les déploiements SaaS.
Activer les types de sécurité pour l'enrôlement

Une fois que Workspace ONE™ UEM est intégré à un type de sécurité utilisateur sélectionné et avant l'enrôlement,
activez chaque mode d'authentification que vous prévoyez d'autoriser.
Naviguez vers Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement dans
l'onglet Authentification et cochez les cases appropriées pour le paramètre des mode(s) d'authentification.
Pour plus d'informations, reportez-vous à Terminaux et utilisateurs / Général / Enrôlement dans Paramètres système.
Comptes d'utilisateurs basiques

Créez des comptes utilisateur dans Workspace ONE™ UEM pour les utilisateurs si vous n'intégrez pas de service
d'annuaire. Les comptes utilisateur basiques sont également utiles pour les tests : ils peuvent être créés et supprimés
rapidement. Pour plus d'informations, consultez la section Enrôlement basique vs. enrôlement par services d'annuaire à
la page 111.
Avantages
l Peut être utilisé pour n'importe quelle méthode de déploiement.
l Ne nécessite aucune intégration technique.
48
l Ne nécessite aucune infrastructure d'entreprise.
l Peuvent être enrôlés dans potentiellement plusieurs groupes d'organisation.

Inconvénients
l Les identifiants existent uniquement dans Workspace ONE UEM et ne correspondent pas nécessairement aux identifiants professionnels
existants.
l Ne propose pas de sécurité fédérée.
l L'authentification unique n'est pas prise en charge.
l Workspace ONE UEM stocke tous les noms d'utilisateur et mots de passe.
Création de comptes utilisateur basiques

Vous pouvez créer des comptes utilisateur basiques pour que les utilisateurs s'authentifient et se connectent au système
Workspace ONE™ UEM. Vous pouvez ensuite envoyer aux utilisateurs à authentification basique une notification avec
des instructions sur l'activation de leur compte, y compris un lien de réinitialisation du mot de passe qui expire après 24
heures.
Cette section présente en détail la création d'un compte utilisateur après l'autre.
1. Naviguez vers Comptes > Utilisateurs > Affichage en liste et sélectionnez Ajouter, puis Ajouter un utilisateur. La
page Ajouter/Modifier l'utilisateur s'affiche.
2. Dans l'onglet Général, complétez les paramètres suivants pour ajouter un utilisateur basique.
Type de sécurité Sélectionnez Basique pour ajouter un utilisateur basique.
Nom Saisissez le nom d'utilisateur avec lequel le nouvel utilisateur sera identifié.
d'utilisateur
Mot de passe Saisissez le mot de passe qui permettra à l'utilisateur de se connecter.
Confirmer le Confirmez le mot de passe.
mot de passe
Nom complet Indiquez le prénom, le deuxième prénom et le nom de famille de l'utilisateur.
Nom d'affichage Représentez l'utilisateur dans UEM Console en entrant un nom.
Adresse e-mail Saisissez ou modifiez l'adresse e-mail de l'utilisateur.
Nom Saisissez ou modifiez le nom d'utilisateur de messagerie.
d'utilisateur d'e-
mail
Domaine Sélectionnez le domaine de messagerie dans le paramètre déroulant.
Numéro de Saisissez le numéro de téléphone de l'utilisateur, en incluant le signe plus, l'indicatif pays et
téléphone l'indicatif régional. Cette option est requise si vous prévoyez d'utiliser les SMS pour envoyer des
notifications.
49
Enrôlement
Groupe Sélectionnez le groupe organisationnel dans lequel l'utilisateur s'enrôle.
organisationnel
d'enrôlement
Autoriser Vous pouvez autoriser ou non l'utilisateur à s'enrôler dans plusieurs groupes organisationnels.
l'utilisateur à Si vous activez cette option, mais que vous laissez le champ Groupes organisationnels
s'enrôler dans supplémentaires vide, n'importe quel groupe organisationnel enfant créé sous le groupe
d'autres groupes organisationnel d'enrôlement peut être utilisé comme point de l'enrôlement.
organisationnels
Groupes Ce paramètre apparaît uniquement lorsque l'option permettant d'autoriser l'utilisateur à
organisationnels s'enrôler dans d'autres groupes organisationnels est activé.
supplémentaires Ce paramètre vous permet d'ajouter des groupes organisationnels supplémentaires à partir
desquels votre utilisateur de base peut s'enrôler.
Rôle de Sélectionnez le rôle de l'utilisateur que vous ajoutez, dans le paramètre déroulant.
l'utilisateur
Notifications
Type de Sélectionnez le type de message que vous souhaitez envoyer à l'utilisateur : E-mail, SMS, ou
message Aucun(e). Si vous sélectionnez SMS, vous devez saisir un numéro de téléphone valide dans le
champ approprié.
Modèle de L'utilisateur à authentification basique active son compte avec cette notification. Pour des
message raisons de sécurité, cette notification n'inclut pas le mot de passe de l'utilisateur. En revanche,
un lien de réinitialisation du mot de passe est inclus dans la notification. L'utilisateur à
authentification basique sélectionne ce lien pour définir un autre mot de passe. Ce lien de
réinitialisation du mot de passe expire automatiquement après 24 heures.
Sélectionnez le modèle pour les e-mails ou les SMS dans ce paramètre déroulant. Si vous le
souhaitez, vous pouvez sélectionner Aperçu du message pour prévisualiser le modèle et
sélectionnez l'option Configurer les modèles de message pour en créer un.
50
3. Si vous le souhaitez, vous pouvez sélectionner l'onglet Avancé et compléter les paramètres suivants.
Section d'informations avancées
Mot de passe de Saisissez le mot de passe de messagerie de l'utilisateur que vous ajoutez.
messagerie
Confirmer le mot de Confirmez le mot de passe de messagerie de l'utilisateur que vous ajoutez.
passe de messagerie
Nom principal de Saisissez le nom principal de l'utilisateur basique. Ce paramètre est facultatif.
l'utilisateur
Catégorie Sélectionnez la catégorie de l'utilisateur pour l'utilisateur ajouté.
Service Saisissez le service de l'utilisateur pour les besoins administratifs.
ID de l'employé Saisissez l'identifiant de l'utilisateur pour les besoins administratifs.
Centre de coûts Saisissez le centre de coûts de l'utilisateur pour les besoins administratifs.
Section de certificats
Utiliser S/MIME Activez ou désactivez l'utilisation du protocole Secure/Multipurpose Internet Mail
Extensions (S/MIME).
Si vous activez cette option, vous devez disposer d'un profil compatible avec S/MIME
et vous devez importer un certificat S/MIME en cliquant sur le bouton Importer.
Certificat de chiffrement Activez ou désactivez le certificat de chiffrement.
indépendant Si vous activez cette option, vous devez importer un certificat de chiffrement en
cliquant sur le bouton Importer. En général, le même certificat S/MIME est utilisé
pour la signature et le chiffrement, sauf si un certificat différent est expressément
utilisé.
Ancien certificat de Activez ou désactivez le certificat de chiffrement d'une version existante.
chiffrement Si vous activez cette option, vous devez importer un certificat de chiffrement.
Section de préenrôlement
Activer le préenrôlement Activez ou désactivez le préenrôlement des terminaux.
des terminaux Si vous activez cette option, vous devez sélectionner Terminaux à utilisateur unique
ou Terminaux partagés. Pour des terminaux à utilisateur unique, vous devez choisir
Standard, afin que les utilisateurs se connectent eux-mêmes après le préenrôlement,
ou Avancé, afin qu'un terminal soit enrôlé à la place d'un autre utilisateur. Pour plus
d'informations, consultez la section Auto-enrôlement ou préenrôlement à la page 116.
4. Cliquez sur Enregistrer pour enregistrer uniquement le nouvel utilisateur ou sur Enregistrer et ajouter un terminal
pour enregistrer le nouvel utilisateur et passer à la page Ajouter un terminal.
51
Comptes utilisateurs basés sur l'annuaire

L'intégration à un service d'annuaire existant vous permet de rechercher les utilisateurs automatiquement. Elle évite
d'avoir à ajouter les utilisateurs manuellement dans Workspace ONE™ UEM Console. Pour plus d'informations, consultez
la section Enrôlement basique vs. enrôlement par services d'annuaire à la page 111.
Tous les utilisateurs d'annuaire que vous souhaitez gérer grâce à Workspace ONE UEM doivent avoir un compte
utilisateur dans UEM Console.
Vous pouvez ajouter directement vos utilisateurs des services d'annuaire dans Workspace ONE UEM en suivant l'une des
méthodes ci-dessous.
l Importez par lots les dossiers contenant tous les utilisateurs des services d'annuaire. L'importation par lots entraîne
la création automatique d'un compte utilisateur.
l Créez des comptes utilisateur en entrant le nom d'utilisateur d'annuaire et en cochant Rechercher l'utilisateur pour
remplir automatiquement les détails restants.
l Ne procédez pas à une importation par lots et ne créez pas de comptes utilisateur manuellement. À la place,
autorisez tous les utilisateurs d'annuaire à s'enrôler eux-mêmes.
Avantages
l Vous pouvez détecter automatiquement et synchroniser les modifications depuis le système d'annuaire dans Workspace ONE UEM.
l Méthode sécurisée d'intégration de votre service d'annuaire existant.
l Peut être utilisé pour l'enrôlement direct de Workspace ONE.
l Les déploiements SaaS utilisant VMware Enterprise Systems Connector ne nécessitent aucune modification de pare-feu et offrent une
configuration sécurisée pour les autres infrastructures telles que les serveurs Microsoft ADCS, SCEP et SMTP.
Inconvénients
l Une infrastructure de services d'annuaire existants est obligatoire.
l Les déploiements SaaS nécessitent une configuration supplémentaire en raison du connecteur VMware Enterprise
Systems Connector installé derrière le pare-feu ou dans une zone démilitarisée DMZ.
Créer un compte utilisateur basés sur l'annuaire

Vous devez créer un compte pour chaque utilisateur dans le système Workspace ONE™ UEM et les utilisateurs d'annuaire
s'authentifient à l'aide des identifiants professionnels existants. Cette section présente en détail la création d'un compte
utilisateur après l'autre.
1. Naviguez vers Comptes > Utilisateurs > Affichage en liste et sélectionnez Ajouter, puis Ajouter un utilisateur. La
page Ajouter/Modifier l'utilisateur s'affiche.
2. Dans l'onglet Général, complétez les paramètres suivants pour ajouter un utilisateur d'annuaire.
Type de sécurité Ajoutez un utilisateur Active Directory en choisissant Annuaire comme le type de sécurité.
52
Nom d'annuaire Ce paramètre complété automatiquement identifie le nom Active Directory.
Domaine Choisissez le nom de domaine dans le menu déroulant.
Nom d'utilisateur Saisissez le nom d'utilisateur de l'annuaire, puis cliquez sur Vérifier l'utilisateur. Si le système
trouve une correspondance, les informations de l'utilisateur seront remplies
automatiquement. Les paramètres restants, décrits ci-dessous, sont disponibles seulement
après avoir localisé un utilisateur d'Active Directory grâce au bouton Vérifier l'utilisateur.
Nom complet Utilisez Modifier les attributs pour permettre la modification de toute option qui synchronise
une valeur vide du répertoire. L'option Modifier les attributs vous permet également de
compléter automatiquement les informations utilisateur correspondantes.
Si un paramètre synchronise une valeur du répertoire, ce paramètre doit être modifié dans le
répertoire proprement dit. La modification prend effet lors de la synchronisation de répertoire
suivante. Complétez tous les champs vides renvoyés par l'annuaire dans la partie Nom
complet, puis cliquez sur le bouton Modifier les attributs pour enregistrer l'ajout.
Nom d'affichage Saisissez le nom qui s'affiche dans la console d'administration.
Adresse e-mail Saisissez ou modifiez l'adresse e-mail de l'utilisateur.
Nom d'utilisateur Saisissez ou modifiez le nom d'utilisateur de messagerie.
d'e-mail
Domaine (e-mail) Sélectionnez le domaine de messagerie dans le menu déroulant.
Numéro de Saisissez le numéro de téléphone de l'utilisateur, en incluant le signe plus, l'indicatif pays et
téléphone l'indicatif régional. Si vous prévoyez d'utiliser les SMS pour envoyer des notifications, le
numéro de téléphone est requis.
Enrôlement
Groupe Sélectionnez le groupe organisationnel dans lequel l'utilisateur s'enrôle.
organisationnel
d'enrôlement
Autoriser Indiquez si vous autorisez ou non l'utilisateur à s'enrôler dans plusieurs groupes
l'utilisateur à organisationnels. Si vous sélectionnez Activé, complétez les Groupes organisationnels
s'enrôler dans supplémentaires.
d'autres groupes
organisationnels
Rôle de Sélectionnez le rôle de l'utilisateur que vous ajoutez, dans le menu déroulant.
l'utilisateur
Notifications
Type de message Choisissez le type de message que vous enverrez à l'utilisateur : E-mail, , SMS, ou Aucun(e). Si
vous sélectionnez SMS, vous devez saisir un numéro de téléphone valide dans le champ
approprié.
53
Modèle de Choisissez le modèle pour les e-mails ou les SMS en le sélectionnant dans ce paramètre
message déroulant. Si vous le souhaitez, vous pouvez sélectionner Aperçu du message pour
prévisualiser le modèle et sélectionnez le lien Configurer les modèles de message pour en
créer un.
3. Si vous le souhaitez, vous pouvez sélectionner l'onglet Avancé et compléter les paramètres suivants.
Section d'informations avancées
Mot de passe de Saisissez le mot de passe de messagerie de l'utilisateur que vous ajoutez.
messagerie
Confirmer le mot Confirmez le mot de passe de messagerie de l'utilisateur que vous ajoutez.
de passe de
messagerie
Nom unique Pour les utilisateurs d'annuaire reconnus par Workspace ONE UEM, ce champ est
automatiquement complété avec le nom unique de l'utilisateur. Le nom unique est une
chaîne représentant le nom de l'utilisateur et tous les codes d'autorisation associés à
l'utilisateur Active Directory.
Nom unique du Saisissez le nom unique du responsable de l'utilisateur. La case est facultative.
responsable
Catégorie Choisissez la catégorie d'utilisateur pour l'utilisateur ajouté.
Service Saisissez le service de l'utilisateur pour les besoins administratifs de votre entreprise.
ID de l'employé Saisissez l'ID d'employé de l'utilisateur pour les besoins administratifs de votre entreprise.
Centre de coûts Saisissez le centre de coûts de l'utilisateur pour les besoins administratifs de votre entreprise.
Attribut Saisissez vos attributs personnalisés préalablement configurés, le cas échéant. Vous pouvez
personnalisé 1–5 définir ces attributs personnalisés en accédant à Groupes et paramètres > Tous les
(pour les paramètres > Terminaux et utilisateurs > Avancé > Attributs personnalisés.
utilisateurs
d'annuaire Remarque : les attributs personnalisés ne peuvent être configurés que dans les groupes organisationnels de
uniquement) type Client.
Section de certificats
Utiliser S/MIME Activez ou désactivez l'utilisation du protocole Secure/Multipurpose Internet Mail Extensions
(S/MIME). Si vous activez cette option, vous devez disposer d'un profil compatible avec
S/MIME et vous devez importer un certificat S/MIME en cliquant sur le bouton Importer.
Certificat de Activez ou désactivez l'utilisation d'un certificat de chiffrement indépendant. Si vous activez
chiffrement cette option, vous devez importer un certificat de chiffrement en cliquant sur le bouton
indépendant Importer. En général, le même certificat S/MIME est utilisé pour la signature et le chiffrement,
sauf si un certificat différent est expressément utilisé.
54
Ancien certificat Activez ou désactivez le certificat de chiffrement d'une version existante. Si vous activez cette
de chiffrement option, vous devez importer un certificat de chiffrement.
Section de préenrôlement
Activer le Activez ou désactivez le préenrôlement des terminaux.
préenrôlement des Si vous activez cette option, vous devez choisir Terminaux à utilisateur unique ou
terminaux Terminaux partagés.
Pour des terminaux à utilisateur unique, vous devez choisir Standard, afin que les
utilisateurs se connectent eux-mêmes après le préenrôlement, ou Avancé, afin qu'un
terminal soit enrôlé à la place d'un autre utilisateur.
4. Cliquez sur Enregistrer pour enregistrer uniquement le nouvel utilisateur ou sur Enregistrer et ajouter un terminal
pour enregistrer le nouvel utilisateur et passer à la page Ajouter un terminal.
Pour plus d'informations sur l'ajout d'utilisateurs d'annuaire à Workspace ONE UEM, consultez les sections Ajouter un
utilisateur d'annuaire individuel à la fois et Importer des utilisateurs d'annuaire par lots dans le Guide VMware AirWatch
des services d'annuaire sur docs.vmware.com.
Affichage en liste des comptes utilisateur

La page d'affichage en liste des utilisateurs, à laquelle vous pouvez accéder en naviguant vers Comptes > Utilisateurs >
Affichage en liste, fournit des outils utiles pour la maintenance et la gestion des comptes.
55
Personnaliser l'affichage en liste

Vous pouvez utiliser l'affichage en liste des comptes d'utilisateurs pour créer immédiatement des listes personnalisées
d'utilisateurs. Vous pouvez également personnaliser la présentation de l'écran selon les critères que vous jugez
importants. Vous pouvez exporter cette liste personnalisée pour l'analyser ultérieurement et ajouter de nouveaux
utilisateurs individuellement ou en masse.
Action Description
Filtres Affichez seulement les utilisateurs souhaités en utilisant les filtres suivants.
l Type de sécurité
l Groupe organisationnel d'enrôlement
l Statut de l'enrôlement
l Groupe d'utilisateurs
l Rôle de l'utilisateur
56
Action Description
Ajout l Ajouter un utilisateur – Ajoutez un seul compte utilisateur basique. Ajoutez un employé ou un employé
nouvellement promu ayant besoin d'accéder aux fonctionnalités MDM. Pour plus d'informations,
consultez la section Création de comptes utilisateur basiques à la page 49.
l Importer par lots – Ajoutez plusieurs utilisateurs dans Workspace ONE™ UEM en important un fichier
de valeurs séparées par des virgules (CSV, comma-separated values). Saisissez un nom et une
description uniques pour regrouper et organiser plusieurs utilisateurs à la fois. Pour plus d'informations,
consultez la section Importer par lots les utilisateurs ou les terminaux à la page 58.
Mise ne Elle permet de personnaliser la mise en page de la colonne.
page
l Résumé – Affichez les paramètres et les colonnes par défaut dans l'affichage en liste.
l Personnalisé – Sélectionnez uniquement les colonnes de l'affichage en liste que vous voulez voir. Vous
pouvez aussi appliquer les colonnes sélectionnées à tous les administrateurs au niveau du groupe
organisationnel actuel ou en dessous de celui-ci.
Tri La plupart des colonnes de l'affichage en liste (dans la mise en page Résumé ou Personnalisé) peuvent être
triées par Terminaux, Groupes d'utilisateurs et Groupe organisationnel.
Exporter Enregistrez un fichier .csv (valeurs séparées par des virgules) de l'intégralité de l'affichage en liste qui peut
ensuite être ouvert et analysé dans Excel.
Interagir avec les comptes utilisateur

L'affichage en liste propose une case à cocher à gauche de chaque compte utilisateur. Affichez les détails de l'utilisateur en
sélectionnant le nom d'utilisateur hypertexte dans la colonne Informations générales. Pour plus d'informations,
consultez la section Accès aux détails des utilisateurs à la page 98.
Cliquez sur l'icône Modifier pour modifier les paramètres basiques du compte utilisateur. Si vous cochez la case en
regard d'un compte, trois boutons de commande s'affichent : Envoyer un message, Ajouter un terminal et Plus
d'actions.
Vous pouvez sélectionner plusieurs comptes d'utilisateurs en cochant la case, ce qui modifie les actions disponibles.
Action Description
Envoyer un Fournissez une assistance immédiate à un utilisateur ou à un groupe d'utilisateurs. Envoyez un e-mail
message. d'activation utilisateur (modèle utilisateur) à un utilisateur pour lui indiquer ses identifiants
d'enrôlement.
Ajouter un Ajouter un terminal pour l'utilisateur sélectionné. Uniquement disponible si vous ne sélectionnez qu'un
terminal. seul utilisateur.
Plus Affichez les options suivantes.
d'actions
Ajouter au Ajoutez les utilisateurs sélectionnés à un groupe d'utilisateurs, nouveau ou existant, pour une gestion simplifiée des
groupe utilisateurs. Pour plus d'informations, consultez les sections Affichage en liste des groupes d'utilisateurs à la page 99 et
d'utilisateurs. Modifier les autorisations de groupes d'utilisateurs à la page 97.
Supprimer du Supprimez du groupe existant les utilisateurs sélectionnés.
groupe
d'utilisateurs.
57
Action Description
Modifier le Déplacez manuellement l'utilisateur vers un groupe organisationnel différent. Mettez à jour le contenu disponible, les
groupe autorisations et restrictions de l'utilisateur s'il change de poste, obtient une promotion ou change de lieu de travail.
organisationnel
Supprimer Si un membre de votre organisation démissionne ou est renvoyé, vous pouvez supprimer rapidement et complètement un
compte d'utilisateur.
Activation Activez un utilisateur, par exemple s'il revient au sein de l'organisation ou doit être réintégré à l'entreprise.
Désactiver Désactivez un utilisateur, par exemple s'il est régulièrement absent, ne respecte pas les règles de conformité ou si son
terminal a été volé ou perdu.
Fonctionnalité d'importation par lots

Si vous avez plusieurs dizaines d'utilisateurs à ajouter à Workspace ONE™ UEM, vous pouvez créer des utilisateurs et des
groupes d'utilisateurs en masse ou les importer depuis votre service d'annuaire.
Réaliser une importation par lots consiste à prendre un modèle fourni au format CSV (valeurs séparées par des virgules),
puis le remplir avec vos propres données et, une fois complété, l'importer.
Modifications dans les annuaires d'utilisateurs LDAP et AD externes
Une fois votre liste d'utilisateurs et de groupes d'utilisateurs importée, les modifications apportées à vos annuaires
d'utilisateurs LDAP/AD externes ne sont pas répercutées dans Workspace ONE UEM. Ces modifications doivent être
mises à jour manuellement ou importées dans un nouveau lot.
Importer par lots les utilisateurs ou les terminaux

Pour gagner du temps, vous pouvez importer en masse des utilisateurs et des terminaux Lightweight Directory Access
Protocol (LDAP)/Active Directory (AD) dans Workspace ONE™ UEM Console.
1. Accédez à Comptes > Utilisateurs > Statut des lots ou Terminaux > Cycle de vie > Statut d'enrôlement > Ajouter,
puis sélectionnez Importation par lots.
2. Saisissez les informations de base, notamment le nom et la description du lot pour référence dans
Workspace ONE UEM Console.
3. Sélectionnez le type de lot applicable dans le menu déroulant Type de lot.
4. Sélectionnez et téléchargez le modèle correspondant le mieux au type d'importation par lots que vous effectuez.
Terminaux sur liste noire – Importez une liste de terminaux connus et non conformes en fonction du numéro IMEI,
du numéro de série ou de l'UDID. Les terminaux sur liste noire ne sont pas autorisés à s'enrôler. Si un terminal sur
liste noire essaie de s'enrôler, il est bloqué automatiquement.
Terminaux sur liste blanche – Importez les terminaux préapprouvés par IMEI, numéro de série ou UDID. Utilisez ce
modèle pour importer la liste des terminaux connus et fiables. La propriété et l'ID de groupe associés à ce terminal
sont appliqués automatiquement pendant l'enrôlement.
Utilisateur et/ou terminal – Faites votre choix entre un modèle CSV Simple ou Avancé. Le modèle Simple ne
comporte que les options les plus utilisées, alors que le modèle Avancé présente le choix d'options d'importation
complet.
Modifier le groupe organisationnel – Déplacez manuellement des utilisateurs vers un autre groupe organisationnel.
58
5. Ouvrez le fichier CSV. Le fichier CSV comporte plusieurs colonnes correspondant aux options qui s'affichent sur la
page Ajouter/Modifier un utilisateur. Lorsque vous ouvrez le modèle CSV, notez que des exemples de données ont
été ajoutés pour chaque colonne du modèle. Les exemples de données sont présentés pour vous informer du type
de données et du format requis.
Remarque : un fichier de valeurs séparées par des virgules (CSV, comma-separated values) est simplement un
fichier texte dont l'extension a été modifiée de « TXT » en « CSV ». Il stocke les données tabulaires (chiffres et
texte) en texte brut. Chaque ligne du fichier est un enregistrement de données. Chaque enregistrement se
compose d'un ou de plusieurs champs séparés par des virgules. Il peut être ouvert avec un éditeur de texte
quelconque. Il peut également être ouvert avec Microsoft Excel.
Vous pouvez vérifier si les utilisateurs font ou non partie du groupe organisationnel pour l'enrôlement.
a. Accédez à Terminaux et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement
et sélectionnez l'onglet Regroupement.
b. Si le mode d'attribution de l'ID de groupe est défini sur Par défaut, vos utilisateurs font partie du groupe
organisationnel pour l'enrôlement.
c. Pour un enrôlement basé sur l'annuaire, le type de sécurité défini pour chaque utilisateur doit être Annuaire.
6. Entrez les données pour vos utilisateurs, notamment les informations sur le terminal et enregistrez le fichier.
7. Revenez à la page d'importation par lots et sélectionnez l'option de sélection de fichier pour localiser et importer le
fichier CSV que vous aviez téléchargé et complété.
Importer par lots les groupes d'utilisateurs

Pour gagner du temps, vous pouvez importer des groupes d'utilisateurs Lightweight Directory Access Protocol
(LDAP)/Active Directory (AD) dans Workspace ONE™ UEM Console.
1. Accédez à Comptes > Groupes d'utilisateurs > Affichage en liste et cliquez sur Ajouter.
2. Cliquez sur Importation par lot.
3. Saisissez les informations de base, notamment le nom et la description du lot dans Workspace ONE UEM Console.
4. Dans Fichier d'importation par lots (.csv), sélectionnez le bouton Choisir le fichier pour localiser et importer le
fichier CSV complété.
5. Vous pouvez également sélectionner le lien Télécharger le modèle pour ce type de lot, enregistrer le fichier CSV
(valeurs séparées par des virgules) et l'utiliser pour préparer un nouveau fichier d'importation.
l Ouvrez le fichier .csv qui comporte le même nombre de colonnes que de champs apparaissant sur la page
Ajouter un groupe d'utilisateurs. Les colonnes comportant un astérisque doivent être remplies. Enregistrez le
fichier.
l Le dernier en-tête de colonne dans le modèle de fichier CSV est intitulé « ID de groupe/Gestion (Modifier et
supprimer)/Gestion (Utilisateurs et enrôlement)/Attribution de groupe d'utilisateur/Héritage administrateur ».
Cet en-tête de colonne correspond aux paramètres et respecte la logique de l'onglet Autorisations de la page
59
Modifier le groupe Autorisations de la page Modifier le groupe d'utilisateurs. Pour plus d'informations,
consultez la section Modifier les autorisations de groupes d'utilisateurs à la page 97.
6. Sélectionnez Importer.
7. Si l'importation par lots échoue, affichez et résolvez les erreurs en cliquant sur Comptes > Statut des lots. Vous
pouvez afficher les erreurs propres à l'importation du lot en cliquant sur le lien hypertexte Erreurs.
Modification d'utilisateurs basiques avec l'importation en masse

La fonction d'importation par lots permet de modifier et de déplacer des utilisateurs et des détails d'utilisateurs en
groupe plutôt qu'individuellement. Les utilisateurs doivent exister dans Workspace ONE™ UEM pour que cette procédure
fonctionne. Modifiez les paramètres dans le fichier .csv et utilisez l'option Importation par lots pour importer ce fichier.
l Service.
l Mot de passe (authentification
basique uniquement). l Nom d'utilisateur d'e-mail.
l Prénom. l Mot de passe de messagerie.
l Autre(s) prénom(s). l Groupes organisationnels autorisés (en dessous et au niveau de l'ID de

groupe indiqué uniquement).
l Nom de famille.
l Catégorie utilisateur d'enrôlement (cette catégorie est accessible pour
l Adresse e-mail. l'utilisateur ; dans le cas contraire, elle prend la valeur 0 par défaut).
l Numéro de téléphone. l Rôle utilisateur d'enrôlement (ce rôle est accessible pour l'utilisateur ;
l Numéro de mobile. dans le cas contraire, il s'agit du rôle par défaut du groupe
organisationnel).
Une telle modification d'utilisateurs basiques s'applique aux Authentification utilisateur basique à la page 42 et aux Proxy
d'authentification à la page 45 uniquement.
Déplacer les utilisateurs avec l'importation par lots

Vous pouvez également utiliser la fonction d'importation par lot pour déplacer des ensembles d'utilisateurs vers un
groupe organisationnel différent.
1. Dans la fenêtre d'importation par lot, saisissez les informations de base, notamment le nom et la description du lot
dans Workspace ONE™ UEM Console.
2. Choisissez Modifier le groupe organisationnel dans la liste des modèles et enregistrez le fichier CSV dans un
emplacement accessible.
3. Saisissez l'ID de groupe applicable du groupe organisationnel existant de l'utilisateur, le nom d'utilisateur à déplacer
et l'ID du groupe cible du nouveau groupe organisationnel de l'utilisateur.
4. Revenez à l'écran d'importation par lots, cliquez sur Sélectionner un fichier pour localiser et importer le fichier .csv
enregistré, puis sur Ouvrir.
60
Comptes administrateur
Les comptes administrateur vous permettent de gérer les paramètres de gestion des terminaux mobiles (MDM), de
transférer ou de bloquer des fonctions et du contenu, et bien plus, depuis Unified Endpoint Management (UEM)
Console.
Un compte administrateur temporaire active également la fonctionnalité d'assistance à distance dans UEM Console. Ces
comptes administrateur provisoires, dont l'expiration peut être configurée, permettent l'accès à des zones normalement
réservées aux titulaires de comptes administrateur permanents.
Créer un compte administrateur

Vous pouvez ajouter des comptes administrateur depuis l'affichage en liste des administrateurs donnant ainsi accès
aux fonctionnalités avancées de Workspace ONE™ UEM Console. Chaque administrateur qui maintient et contrôle la
console doit disposer d'un compte individuel.
1. Accédez à Comptes > Administrateurs > Affichage en liste, sélectionnez Ajouter, puis Ajouter un administrateur.
La page Ajouter/Modifier un administrateur s'affiche.
2. Dans l'onglet Basique, pour le paramètre Type d'utilisateur, sélectionnez Basique ou Annuaire.
l Si vous sélectionnez Basique, renseignez tous les champs requis de l'onglet Basique, y compris le nom
d'utilisateur, le mot de passe, le prénom et le nom de famille.
l Vous pouvez activer l'authentification à deux facteurs, qui vous permet de choisir entre les e-mails et les SMS
comme méthode de distribution, ainsi que de sélectionner le délai d'expiration du jeton en minutes.
l Vous pouvez également sélectionner une option de Notification, entre Aucune, E-mail ou SMS. L'administrateur
reçoit une réponse générée automatiquement.
l Si vous sélectionnez Annuaire, saisissez le domaine et le nom d'utilisateur de l'administrateur.
3. Sélectionnez l'onglet Détails et saisissez des informations complémentaires si nécessaire.
4. Cliquez sur l'onglet Rôles, puis sélectionnez un groupe organisationnel suivi du rôle que vous voulez attribuer au
nouvel administrateur. Ajoutez de nouveaux rôles en cliquant sur Ajouter un rôle.
5. Sélectionnez l'onglet API pour choisir le type d'authentification.
6. Sélectionnez l'onglet Remarques pour saisir des remarques supplémentaires concernant l'administrateur.
7. Cliquez sur Enregistrer pour créer le compte administrateur avec le rôle attribué.
Création d'un compte administrateur temporaire

Vous pouvez accorder un accès administratif temporaire à votre environnement à des fins de support, de démonstration
et pour d'autres cas d'utilisation limités dans le temps.
1. Naviguez vers Comptes > Administrateurs > Affichage en liste et cliquez sur Ajouter. Cliquez sur l'option Ajouter un
compte administrateur temporaire.
OU
Sélectionnez le bouton Aide dans la barre d'en-tête qui apparaît dans le coin supérieur droit de la plupart des pages
de Workspace ONE™ UEM et choisissez Ajouter un compte administrateur temporaire.
61
2. Dans l'onglet Basique, choisissez d'ajouter un compte administrateur temporaire basé sur l'adresse email ou le nom
d'utilisateur et renseignez les paramètres suivants.
Adresse e-mail Saisissez l'adresse e-mail du compte administrateur temporaire. Disponible seulement
lorsque la case d'option E-Mail est sélectionnée.
Nom d'utilisateur Saisissez le nom d'utilisateur du compte administrateur temporaire. Disponible seulement
lorsque la case d'option Nom d'utilisateur est sélectionnée.
Mot de Saisissez et confirmez le mot de passe associé avec l'adresse e-mail et le nom d'utilisateur.
passe/Confirmer le
mot de passe
Date d'expiration Sélectionnez une période d'expiration, définie sur 6 heures par défaut. Vous pouvez
également définir ce menu déroulant sur Inactif pour créer un compte maintenant et
l'activer plus tard.
Numéro de ticket Par ailleurs, vous pouvez ajouter le numéro de ticket depuis ZenDesk comme référence.
3. Dans l'onglet Rôles, vous pouvez ajouter et supprimer les rôles applicables au compte administrateur temporaire.
a. Ajoutez un nouveau rôle en sélectionnant Ajouter un rôle, puis sélectionnez le groupe organisationnel et le rôle
pour lesquels le compte administrateur temporaire s'applique.
b. Modifiez un rôle existant en cliquant sur l'icône Modifier ( ) et sélectionnez un groupe organisationnel et un
rôle différents.
c. Supprimez un rôle en sélectionnant l'icône Supprimer ( ).
Gestion des comptes administrateur

Vous pouvez installer les principales fonctions de gestion permettant une maintenance en continu des comptes des
administrateurs en naviguant vers Comptes > Administrateurs > Vue de liste.
Affichez la page Ajouter/Modifier un administrateur en sélectionnant le lien hypertexte dans la colonne Nom
d'utilisateur. Ce lien vous permet de mettre à jour les rôles actuellement attribués ou de changer les rôles dans votre
organisation rapidement afin qu'ils gardent leurs privilèges à jour. Vous pouvez également modifier les informations
administratives générales et réinitialiser un mot de passe.
Vous pouvez filtrer la liste des administrateurs afin d'inclure tous les rôles ou limiter la liste à un seul rôle que vous
souhaitez afficher.
Affichez les boutons d'action applicables à cet administrateur en sélectionnant le bouton radio à côté du nom
d'utilisateur de l'administrateur.
l Afficher l'historique – Suivez les périodes durant lesquelles les administrateurs se connectent et se déconnectent de
Workspace ONE™ UEM Console.
l Désactiver – Modifiez le statut d'un compte administrateur d'actif à inactif. Cette fonctionnalité vous permet de
suspendre temporairement les fonctions de gestion et les privilèges. Dans le même temps, cette fonctionnalité vous
permet de garder les rôles définis du compte administrateur à des fins d'utilisation ultérieure.
62
l Activer – Modifiez le statut d'un compte administrateur d'inactif à actif.
l Supprimer – Supprimez le compte administrateur depuis UEM Console. Une telle action est utile lorsqu'un
administrateur cesse de travailler pour l'entreprise.
l Réinitialiser le mot de passe – Disponible uniquement pour les administrateurs de base. Envoie un e-mail à l'adresse
e-mail de l'administrateur de base enregistré. Cet e-mail contient un lien qui expire dans les 48 heures. Pour
réinitialiser le mot de passe, l'administrateur de base doit cliquer sur le lien, répondre à la question de récupération
du mot de passe, ce qui lui permet de modifier son propre mot de passe. Pour plus d'informations sur les questions
de récupération du mot de passe, les tentatives de connexion non valides et les verrouillages, consultez la section
Gérer les paramètres du compte à la page 10.
Les administrateurs basés sur l'annuaire doivent réinitialiser leur mot de passe à l'aide du système Active Directory.
Les administrateurs temporaires ne peuvent pas réinitialiser leur mot de passe. Un autre administrateur doit
supprimer le compte administrateur temporaire, puis le recréer.
63
Chapitre 5 :
Accès basé sur les rôles
Vous pouvez créer des rôles qui accordent des types spécifiques d'accès à Workspace ONE™ UEM Console. Vous
définissez les rôles des utilisateurs individuels et des groupes en fonction des niveaux d'accès à UEM Console qui vous
sont utiles.
Par exemple, les administrateurs du support technique au sein de votre entreprise pourraient avoir un accès limité dans
la console, tandis que les gestionnaires informatiques disposent de privilèges plus étendus.
Pour permettre un contrôle de l'accès basé sur les rôles, vous devez d'abord configurer des rôles utilisateur et
administrateur dans UEM Console. Les ressources spécifiques, également appelées permissions, définissent ces rôles qui
permettent ou non l'accès à diverses fonctions au sein d'UEM Console. Des rôles peuvent également être créés pour les
utilisateurs finaux qui ont besoin d'accéder au portail self-service.
Étant donné que les rôles (en particulier les ressources ou les autorisations) déterminent ce que les utilisateurs et les
administrateurs peuvent et ne peut pas faire dans UEM Console, il faut veiller à accorder les autorisations ou les
ressources appropriées. Par exemple, si vous avez besoin que les administrateurs saisissent un commentaire avant qu'un
effacement des données professionnelles ne soit effectué sur un terminal, le rôle doit non seulement avoir l'autorisation
de procéder à l'effacement des données professionnelles sur un terminal, mais aussi d'ajouter un commentaire.
Rôles par défaut et personnalisés

Vous pouvez sélectionner l'un des nombreux rôles par défaut déjà définis par Workspace ONE™ UEM. Ces rôles par
défaut sont disponibles avec chaque mise à niveau et vous aident à attribuer rapidement des rôles aux nouveaux
utilisateurs. Si vous avez besoin de personnaliser davantage, vous pouvez également créer des rôles personnalisés pour
ajuster les privilèges et autorisations des utilisateurs. Contrairement aux rôles par défaut, les rôles personnalisés doivent
être mis à jour manuellement avec chaque mise à niveau de Workspace ONE UEM.
Chaque type de rôle présente des avantages et des inconvénients. Les rôles par défaut représentent un gain de temps à
la création intégrale de rôles : ils correspondent à un certain nombre de droits administratifs et sont mis à jour
automatiquement en même temps que les nouveaux paramètres et fonctions. Cependant, les rôles par défaut
pourraient ne pas correspondre exactement à votre organisation ou à votre déploiement MDM. C'est pourquoi vous
pouvez créer des rôles personnalisés.
Rôles de l'utilisateur final par défaut

Les rôles sont disponibles par défaut pour les utilisateurs finaux dans UEM Console.
64
Chapitre 5 : Accès basé sur les rôles
l Rôle d'accès total – Autorise l'exécution de toutes les tâches sur le portail self-service.
l Rôle d'accès basique – Autorise l'exécution de toutes les tâches exceptées les commandes MDM sur le portail self-
service.
Les rôles personnalisés vous permettent de personnaliser autant de rôles que vous le souhaitez et d'apporter des
modifications plus ou moins importantes à différents utilisateurs et administrateurs. Cependant, les rôles personnalisés
doivent être maintenus manuellement dans le temps et mis à jour avec les nouvelles fonctions et mises à jour.
Modifier un rôle par défaut pour créer un rôle utilisateur personnalisé

Si aucun des rôles par défaut disponibles ne convient à votre entreprise, nous vous conseillons de modifier un rôle
existant et de créer un rôle utilisateur personnalisé.
1. Vérifiez que vous vous trouvez dans le groupe organisationnel auquel vous voulez associer le nouveau rôle.
2. Naviguez vers Comptes > Utilisateurs > Rôles.
3. Déterminez le rôle de la liste qui correspond le mieux au rôle que vous voulez créer. Modifiez ensuite ce rôle en
sélectionnant l'icône Modifier ( ) tout à droite. La page Ajouter/Modifier le rôle s'affiche.
4. Modifiez les cases Nom, Description et Page d'arrivée initiale si nécessaire. Vérifiez chacune des cases. Ces options
représentent les diverses autorisations, en les cochant/décochant selon le besoin.
5. Sélectionnez Enregistrer pour sauvegarder vos modifications et remplacer les paramètres précédents par les
nouveaux.
Rôles administrateur par défaut

Les rôles suivants sont disponibles par défaut pour les administrateurs dans Workspace ONE™ UEM Console. Utilisez
l'outil de comparaison des rôles admin pour comparer les autorisations spécifiques de deux rôles admin. Pour plus
d'informations, consultez la section Comparer les rôles d'administrateur à la page 75.
Rôles Description
Administrateur Le rôle Administrateur système permet un accès complet à un environnement Workspace ONE UEM.
système Ce rôle comprend l'accès aux paramètres de sécurité et de mot de passe, à la gestion de sessions et
aux informations d'audit d'UEM Console. Ces informations se trouvent dans l'onglet Administration,
sous Configuration du système.
Ce rôle est limité aux responsables de l'environnement, par exemple, les équipes opérationnelles SaaS
pour tous les environnements SaaS hébergés par VMware.
Administrateur Le rôle d'administrateur AirWatch offre un accès complet à l'environnement Workspace ONE UEM.
AirWatch Cependant, cet accès exclut l'onglet Administration de la page Configuration du système, car cet
onglet gère les paramètres d'UEM Console au plus haut niveau.
Ce rôle est limité aux employés de VMware ayant accès aux environnements à des fins de dépannage,
d'installation et de configuration.
Console Le rôle administrateur de la console est le rôle par défaut pour les environnements SaaS partagés. Ce
administrateur rôle comprend des fonctionnalités limitées pour les attributs de politique de conformité, la création
de rapports et la sélection de groupes organisationnels.
65
Rôles Description
Gestionnaire Le rôle de gestionnaire de terminaux offre un accès important à UEM Console. Toutefois, ce rôle n'est
de terminaux pas conçu pour configurer la plupart des configurations système. Ces configurations système
comprennent Active Directory (AD)/Lightweight Directory Access Protocol (LDAP), Simple Mail
Transfer Protocol (SMTP), Agents, etc. À la place, nous vous conseillons de recourir à un rôle de
niveau supérieur comme celui d'administrateur AirWatch ou d'administrateur système.
Affichage des Le rôle d'affichage des rapports permet d'afficher les données collectées via la gestion de terminaux
rapports mobiles (MDM). Ce rôle limite l'accès à la génération, à l'affichage, à l'exportation et au suivi des
rapports depuis UEM Console.
Gestion de Le rôle de gestion du contenu comprend uniquement l'accès à la gestion de VMware Content Locker.
contenu Utilisez ce rôle pour les administrateurs spécialisés en charge de l'importation et de la gestion du
contenu d'un terminal.
Gestion Le rôle de gestion d'applications offre un accès pour déployer et gérer les applications internes et
d'applications publiques de la flotte de terminaux. Utilisez ce rôle pour les administrateurs de gestion d'applications.
Support Le rôle de support technique fournit les outils nécessaires à la plupart des fonctions de support
technique technique informatique de Niveau 1. L'outil principal disponible dans ce rôle consiste à afficher les
informations du terminal et à résoudre les problèmes par des commandes à distance. Cependant, ce
rôle contient également des capacités de recherche de terminaux et de visualisation des rapports.
Administrateur Le rôle Administrateur App Catalog uniquement a globalement les mêmes autorisations que le rôle
App Catalog Gestion d'applications. À ces autorisations s'ajoute la possibilité d'ajouter et de gérer les comptes
uniquement administrateur et utilisateur, les groupes d'administrateurs et d'utilisateurs, les détails sur les
terminaux et les étiquettes.
Lecture seule Le rôle en lecture seule offre un accès à la plupart des éléments d'UEM Console, mais en lecture seule
uniquement. Utilisez ce rôle pour vérifier ou enregistrer les paramètres dans un environnement
Workspace ONE UEM. Ce rôle n'est pas utile pour les opérateurs ou administrateurs système.
Administrateur Le rôle Administrateur Horizon est un ensemble de permissions spécifiquement conçu pour
Horizon compléter une configuration Workspace ONE UEM intégrée à VMware Horizon View.
Administration Le rôle Administrateur NSX est un ensemble de permissions spécifiquement conçu pour compléter
de NSX VMware NSX intégré à Workspace ONE UEM. Ce rôle propose un ensemble complet d'autorisations
pour la gestion du système et des certificats, et permet aux administrateurs de relier la sécurité des
points de terminaison à celle des Data Centers.
Officier de Le rôle Responsable de la protection fournit un accès en lecture à l'aperçu du Monitor, à l'affichage en
confidentialité liste des terminaux, aux paramètres du système View et aux autorisations de modification complètes
des paramètres de confidentialité.
Modifier un rôle par défaut pour créer un rôle administrateur personnalisé

Si les rôles par défaut disponibles conviennent à votre entreprise, nous vous conseillons de modifier un rôle existant en
un rôle utilisateur personnalisé.
1. Vérifiez que vous vous trouvez dans le groupe organisationnel auquel vous voulez associer le nouveau rôle.
2. Naviguez vers Comptes > Administrateurs > Rôles.
66
3. Déterminez le rôle de la liste qui correspond le mieux au rôle que vous voulez créer. Cochez la case correspondant à
ce rôle.
4. Cliquez sur le bouton Copier dans le menu d'actions situé au-dessus de la liste. La page Copier le rôle s'affiche.
5. Modifiez les paramètres de la copie sur la page Copier le rôle. Créez un nom unique et faites une description du rôle
personnalisé.

Pour plus d'informations, consultez la section Créer un rôle administrateur à la page 70.
Rôles utilisateur
Les rôles utilisateur vous permettent d'activer ou de désactiver des actions spécifiques que peuvent effectuer les
utilisateurs connectés. Ces actions comprennent le contrôle de l'accès à la réinitialisation du terminal, à la demande
d'informations et à la gestion du contenu personnel. Vous pouvez aussi personnaliser les pages d'accueil et limiter l'accès
au SSP.
La création de plusieurs rôles utilisateur représente un gain de temps. Vous pouvez effectuer des configurations
complètes au sein de différents groupes organisationnels ou modifier le rôle utilisateur pour un utilisateur spécifique à
tout moment.
Création d'un rôle utilisateur

En plus des rôles d'accès total ou d'accès basique, vous pouvez aussi créer des rôles personnalisés. Avoir plusieurs rôles
utilisateur disponibles encourage la flexibilité et peut vous faire gagner du temps lors de l'attribution de rôles à de
nouveaux utilisateurs.
1. Accédez à Comptes > Utilisateurs > Rôles et cliquez sur Ajouter un rôle. La page Ajouter/Modifier le rôle s'affiche.
2. Saisissez un nom, une description et sélectionnez la page de lancement initiale du SSP pour les utilisateurs
disposant de ce nouveau rôle.
Pour les rôles d'utilisateur existants, la page de lancement initiale par défaut est Mes terminaux.
3. Sélectionnez à partir d'une liste d'options le niveau d'accès et de contrôle dans le SSP dont bénéficieront les
utilisateurs auxquels ce rôle sera attribué.
l Cliquez sur Tout désélectionner pour décocher toutes les cases de la page.
l Sélectionnez toutes les cases de la page en cliquant sur Tout sélectionner.
4. Enregistrez les modifications apportées au rôle. Le rôle utilisateur ajouté apparaît désormais dans la liste de la page
Rôles.
Depuis la page Rôles, vous pouvez afficher, modifier ou supprimer les rôles.
Configurer un rôle par défaut

Le rôle par défaut est le rôle basique sur lequel tous les utilisateurs sont basés. La configuration d'un rôle par défaut vous
permet de définir les permissions et les privilèges que reçoivent les utilisateurs après l'enrôlement.
67
1. Naviguez vers Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement et
sélectionnez l'onglet Regroupement.
2. Configurez un niveau d'accès par défaut dans le portail self-service (SSP) en cliquant sur Rôle par défaut. Ces
paramètres de rôle sont personnalisables en fonction du groupe organisationnel.
Attribution ou modification du rôle d'un utilisateur existant

Vous pouvez modifier le rôle d'un utilisateur spécifique, par exemple, pour accorder ou limiter un accès aux fonctions
Workspace ONE™ UEM.
1. Sélectionnez le groupe organisationnel approprié.
2. Naviguez vers Comptes > Utilisateurs > Affichage en liste.
3. Recherchez l'utilisateur spécifique que vous voulez modifier, dans la liste. Une fois que vous avez identifié
l'utilisateur, cliquez sur l'icône Modifier, sous la case à cocher. L'écran Ajouter/Modifier l'utilisateur s'affiche.
4. Dans l'onglet Général, rendez-vous dans la section Enrôlement et sélectionnez un Rôle utilisateur dans la liste
déroulante pour modifier le rôle de cet utilisateur.
Rôles administrateur
Ces rôles vous permettent d'activer ou non les permissions pour tous les paramètres et ressources disponibles dans
UEM Console. Ces paramètres accordent ou limitent les fonctionnalités de la console pour chaque membre de votre
équipe d'administrateurs, vous permettant ainsi d'établir une hiérarchie d'administrateurs adaptée à vos besoins.
La création de plusieurs rôles administrateurs représente un gain de temps. Effectuer des configurations complètes au
sein de différents groupes organisationnels signifie que vous pouvez modifier les autorisations d'un administrateur
spécifique à tout moment.
Affichage en liste des rôles d'administrateur

La vue de liste des rôles d'administrateur vous permet d'ajouter, de modifier, de comparer et de gérer votre bibliothèque
de rôles pour l'intégralité de la base admin. Vous trouverez l'affichage en liste des rôles d'administrateur en accédant à
Comptes > Administrateurs > Affichage en liste.
Ajouter un rôle
Créez un nouveau rôle admin de toutes pièces en sélectionnant le bouton Ajouter un rôle. Pour plus d'informations,
consultez la section Créer un rôle administrateur à la page 70.
Importer un rôle et Exporter un rôle
Vous pouvez importer un rôle exporté d'un autre environnement. Vous pouvez également exporter un rôle enregistré
dans un fichier XML et le placer sur votre terminal dans un endroit adapté à une future importation. Sélectionnez le rôle à
exporter, puis sélectionnez le bouton Exporter. Pour plus d'informations, voir les rubriques suivantes.
68
l Importer les rôles administrateur à la page 72
l Exporter les rôles des administrateurs à la page 73
l Problèmes de version lors de l'import et de l'export des rôles des administrateurs à la page 73
69
Copier le rôle
Vous pouvez gagner du temps en créant une copie d'un rôle existant. Vous pouvez également modifier les autorisations
de la copie et l'enregistrer sous un autre nom.
1. Cochez la case en regard du rôle à copier.
2. Sélectionnez le bouton Copier. La page Copier le rôle s'affiche.
3. Effectuez vos modifications dans Catégories, Nom et Description.
4. Une fois que vous avez terminé, cliquez sur Enregistrer.
Afficher les utilisateurs

Le bouton Afficher les utilisateurs vous permet d'afficher la vue de liste de tous les administrateurs. Activez la case à
cocher à gauche du nom du rôle, puis sélectionnez le bouton Afficher les utilisateurs.
Supprimer le rôle
Vous pouvez supprimer un rôle inutilisé de votre bibliothèque des rôles d'administrateur. Vous ne pouvez pas supprimer
un rôle attribué à un administrateur. Sélectionnez un rôle non attribué que vous souhaitez supprimer, puis sélectionnez
le bouton Supprimer.
Renommer un rôle
Si vous importez un rôle administrateur qui porte le même nom qu'un rôle d'administrateur existant, vous devez d'abord
renommer le rôle existant. Pour plus d'informations, consultez la section Renommer un rôle administrateur à la page 73.
Afficher les ressources d'un rôle d'administrateur

Vous pouvez afficher toutes les ressources, ou les autorisations, de n'importe quel rôle d'administrateur, y compris les
rôles Personnalisé et Par défaut. Cet affichage peut vous aider à déterminer ce qu'un administrateur est (ou non) en
mesure de faire dans UEM Console. Pour plus d'informations, consultez la section Afficher les ressources d'un rôle
d'administrateur à la page 74.
Modifier le rôle
Vous pouvez modifier le nom d'un rôle existant, une description et des autorisations spécifiques. Sélectionnez l'icône en
forme de crayon à gauche du nom du rôle dans la liste. L'écran Modifier le rôle s'affiche et vous permet d'apporter des
modifications.
Comparer deux rôles

Vous pouvez également comparer les différentes autorisations des deux rôles. Pour plus d'informations, consultez la
section Comparer les rôles d'administrateur à la page 75.
Créer un rôle administrateur

Vous pouvez créer des rôles d'administrateur définissant des tâches spécifiques réalisables dans Workspace ONE™ UEM.
Vous pouvez ensuite attribuer ces rôles à chaque administrateurs. Pour créer un nouveau rôle administrateur, suivez les
étapes ci-dessous :
70
1. Naviguez vers Comptes > Administrateurs > Rôles et cliquez sur Ajouter un rôle dans UEM Console.
2. Sur la page Créer un rôle, saisissez le nom et la description du rôle.
3. Faites une sélection dans la liste Catégories.

La section Catégories organise les catégories de niveau supérieur telles que la gestion des terminaux sous lesquels se
trouvent des sous-catégories, notamment Applications, Navigateur et Gestion en masse. Cette sous-division des
catégories facilite la procédure de création des rôles. Chaque paramètre de sous-catégorie situé à droite de l'écran
possède les cases Lire et Modifier.
Lorsque vous choisissez des éléments dans la section Catégories, ses contenus classés en sous catégories
(paramètres individuels) se remplissent automatiquement dans le panneau de droite. Chaque paramètre dispose de
ses propres cases Lire et Modifier en plus des cases Lire et Modifier situées dans l'en-tête et permettant de tout
sélectionner. Ce système permet un niveau de contrôle et de personnalisation très flexible lors de la création de
rôles.
Utilisez la zone de texte Rechercher des ressources pour limiter le nombre de ressources parmi lesquelles faire votre
choix. Les ressources sont généralement étiquetées de la même manière, car elles sont référencées dans
UEM Console lui-même. Par exemple, si vous souhaitez limiter un rôle d'administrateur à l'édition des journaux
d'applications, puis entrez « Journaux d'applications » dans la zone Rechercher des ressources. Une liste de toutes
les ressources qui contiennent la chaîne « Journaux d'applications » s'affiche.
4. Cochez les cases Lire et Modifier dans les champs correspondants Vous pouvez aussi choisir de désélectionner
toutes les ressources sélectionnées.
71
5. Pour une sélection globale des catégories, sélectionnez directement Aucun(e), Lire ou Modifier dans la section
Catégories sans jamais remplir le panneau de droite. Cliquez sur l'icône circulaire à droite de l'étiquette Catégorie, qui
est un menu déroulant. Optez pour cette méthode si vous êtes sûr de sélectionner les fonctionnalités Aucun(e),
Lecture seule ou Modifier pour l'ensemble des paramètres de la catégorie.
6. Cliquez sur Enregistrer pour terminer la création du rôle personnalisé. Vous pouvez maintenant voir que le rôle a été
ajouté dans la liste de la page Rôles. À partir de là, vous pouvez également modifier les détails du rôle ou le
supprimer.
Vous devez mettre à jour le rôle personnalisé à chaque mise à jour de la version de Workspace ONE UEM pour prendre
en compte les nouvelles permissions de la dernière version.
Importer les rôles administrateur

Vous pouvez importer comme fichier XML les rôles administrateurs d'un autre environnement, faisant de ces rôles une
ressource portable et vous faisant gagner du temps.
Pour importer un rôle dans un environnement Workspace ONE™ UEM séparé.
1. Naviguez vers Comptes ► Administrateurs ► Rôles et cliquez sur Importer un rôle.
2. Sur la page « Importer un rôle », cliquez sur le bouton Parcourir et localisez le dernier fichier XML enregistré. Cliquez
sur Importer pour importer le rôle administrateur vers la liste de catégories et le valider.
3. Workspace ONE UEM effectue une série de contrôles de validation, dont des vérifications du fichier .xml, de
l'autorisation d'importer le rôle, de la duplication du nom du rôle, du nom vide et de la description.
4. Vérifiez les paramètres de ressources et vérifiez leurs spécifications de rôle importées en sélectionnant des catégories
spécifiques dans le volet de gauche.
5. Vous pouvez également modifier les ressources, ainsi que le nom et la description du rôle importé selon vos besoins.
Si vous voulez conserver le rôle existant et le rôle importé, renommez le rôle administrateur existant avant
d'importer le nouveau rôle.
a. Si le rôle que vous importez porte le même nom qu'un rôle existant dans votre environnement, un message
s'affiche. Un rôle avec ce nom existe déjà dans cet environnement. Voulez-vous remplacer le rôle actuel ? »
b. Si vous sélectionnez Non, alors le rôle existant dans votre environnement reste inchangé et l'importation du rôle
est annulée.
c. Si vous sélectionnez Oui, il vous est demandé de saisir le code PIN de sécurité qui remplace le rôle existant avec
celui qui est importé.
6. Cliquez sur Enregistrer pour appliquer le rôle importé au nouvel environnement.
72
Exporter les rôles des administrateurs

Vous pouvez exporter comme fichier XML les rôles des administrateurs et importer ces fichiers dans un autre
environnement, faisant des rôles une ressource portable qui permet de gagner du temps.
Pour lancer ce processus, suivez les étapes suivantes.
2. Cochez la case en regard du rôle administrateur que vous voulez exporter. Cela affiche les boutons d'action au-
dessus de la liste de rôles.
3. Cliquez sur Exporter et enregistrez le fichier .xml dans un emplacement sur votre terminal.
Si vous sélectionnez plus d'un rôle administrateur, l'action Exporter n'est pas disponible.
Renommer un rôle administrateur

Si vous importez un rôle administrateur qui porte le même nom qu'un rôle administrateur existant, vous pourriez
trouver utile de renommer au préalable le rôle existant. Le fait de changer le nom d'un rôle vous permet de garder à la
fois le nouveau et l'ancien rôle dans le même environnement.
1. Naviguez vers Comptes > Administrateurs > Rôles, puis cliquez sur l'icône Modifier ( ) du rôle que vous souhaitez
renommer. La page Modifier le rôle s'affiche.
2. Modifiez le nom du rôle et, si vous le souhaitez, sa description.
Problèmes de version lors de l'import et de l'export des rôles des administrateurs

Il peut y avoir des cas où un rôle exporté est importé dans un environnement exécutant une version antérieure de
Workspace ONE™ UEM. Cette version antérieure pourrait ne pas avoir les mêmes ressources et autorisations que le rôle
importé.
Dans de tels cas, Workspace ONE UEM vous avise avec le message suivant.
Certaines autorisations de cet environnement sont introuvables dans votre fichier importé. Vérifiez et corrigez les autorisations
soulignées avant d'enregistrer.
Utilisez la page de la liste des catégories pour désélectionner les autorisations soulignées. Cette action vous permet
d'enregistrer le rôle dans le nouvel environnement.
73
Indicateur Lire/Modifier dans les catégories de rôles d'administrateur

Un indicateur visuel est situé dans la section Catégories et reflète la sélection actuelle des paramètres Lecture seule,
Modifier ou la combinaison des deux. Il vous permet de voir quel paramètre a été sélectionné sans ouvrir et examiner les
paramètres de sous-catégorie individuels.
L'indicateur est représenté par une icône circulaire située à droite de la liste de catégorie qui rend compte des éléments
suivants.
Toutes les options de cette catégories disposent de la fonction Modifier (qui, par définition implique
également la fonction Lecture seule)
La fonction Modifier est activée pour la plupart des paramètres de la catégorie mais les modifications sont
désactivées pour une sous-catégorie au moins.
Tous les paramètres de la catégorie disposent de la fonction Lecture seule (fonction Modifier désactivée).
La fonction Lecture seule est activée pour la plupart des paramètres de la catégorie mais les modifications
sont activées pour une sous-catégorie au moins.
Attribuer ou modifier le rôle d'un administrateur

Vous pouvez attribuer des rôles à un administrateur qui développe les fonctionnalités d'un administrateur dans
Workspace ONE™ UEM Console. Vous pouvez également modifier les rôles existants, en limitant et en étendant
potentiellement leurs fonctionnalités.
1. Naviguez vers Comptes > Administrateurs > Affichage en liste, localisez le compte administrateur et cliquez sur
l'icône Modifier. La page Ajouter/Modifier un administrateur s'affiche.
2. Sélectionnez l'onglet Rôles. Cliquez ensuite sur Ajouter un rôle.
3. Saisissez les détails du groupe organisationnel et du rôle pour chaque rôle ajouté.
Afficher les ressources d'un rôle d'administrateur

Les rôles sont constitués de plusieurs centaines de ressources, ou autorisations, qui permettent d'accéder (en lecture
seule ou en écriture) à une fonction spécifique au sein d'UEM Console. Vous pouvez utiliser l'affichage en liste des rôles
d'administrateur pour vérifier toutes les ressources de n'importe quel rôle d'administrateur, y compris les rôles
personnalisés et par défaut. Cet affichage peut vous aider à déterminer ce qu'un administrateur est (ou non) en mesure
de faire dans UEM Console.
Pour afficher les ressources d'un rôle d'administrateur, procédez comme suit.
2. Localisez le rôle d'administrateur dont vous voudriez voir les autorisations. Si vous disposez d'une grande
bibliothèque de rôles d'administrateur, utilisez la barre Liste de recherche dans le coin supérieur droit pour affiner la
liste.
3. Sélectionnez le nom du rôle, qui est un lien. L'écran Afficher le rôle qui s'ouvre contient toutes les autorisations
associées au rôle.
74
l Les catégories de rôle sont répertoriées dans le panneau de gauche. Il peut y avoir des sous-catégories de rôles à
développer.
l Pour plus d'informations sur les indicateurs visuels Lire/Modifier orange que vous pouvez observer sur cet
écran, consultez la section Indicateur Lire/Modifier dans les catégories de rôles d'administrateur à la page 74.
l Sélectionnez une catégorie spécifique dans le panneau de gauche. La catégorie, le nom et la description de
chaque ressource s'affichent dans le panneau de droite. Le lien Détails situé à l'extrême droite dévoile chaque
fonction en lecture seule et en écriture spécifique dans UEM Console.
l Vous pouvez utiliser la zone Rechercher des ressources pour rechercher une fonction spécifique par nom. Par
exemple, si vous souhaitez créer un rôle d'administrateur qui peut uniquement ajouter une balise à un terminal,
saisissez le mot « balise » dans la zone Rechercher des ressources et appuyez sur la touche Entrée. Toutes les
ressources qui contient la chaîne « balise » s'affichent dans le panneau de droite. Cela facilite la recherche de la
fonction spécifique associée à l'ajout de balises et son attribution à un rôle.
l Vous pouvez procéder ainsi pour créer vos propres rôles en consultant la section Créer un rôle administrateur à
la page 70.
4. Lorsque vous avez terminé l'audit des rôles d'administrateur, sélectionnez Fermer.
Outil de comparaison des rôles d'administrateur

Lorsque vous créez un rôle d'administrateur, il est souvent plus facile de modifier un rôle existant que de créer un rôle
d'administrateur de toutes pièces. En affichant uniquement les différences entre deux rôles d'administrateur, l'outil de
comparaison des rôles facilite ce processus.
Comparer les rôles d'administrateur

Vous pouvez comparer les paramètres d'autorisation de deux administrateurs par souci de précision ou pour confirmer
votre volonté de définir des différences. Apprenez comment comparer deux rôles d'administrateur avec l'outil Comparer
les rôles.
2. Choisissez deux des rôles répertoriés, même s'ils apparaissent sur différentes pages, et cochez les cases
correspondantes.
3. Cliquez sur Comparer. La page Comparer les rôles affiche une liste de catégories. Lorsque vous sélectionnez une
catégorie spécifique à gauche, tous les détails correspondants sont complétés à droite.
75
l Si vous avez moins ou plus de deux rôles sélectionnés, le bouton Comparer ne s'affiche pas.
l Les sous-catégories de rôles peuvent être affichées dans le panneau de droite en cliquant sur le lien Détails situé
à l'extrême droite. Réduisez la sous-catégorie de rôles en cliquant sur le lien Masquer.
l Une catégorie Tous/Toutes dans le panneau de gauche permet, lorsqu'elle est sélectionnée, d'afficher toutes les
catégories parentes sur l'écran Comparer les rôles. Lorsque vous saisissez un paramètre de recherche dans la
barre Rechercher des ressources, le panneau de droite n'affiche que la catégorie correspondante et la liste des
ressources (également appelées autorisations).
l La fonction de recherche est persistante. Cela signifie que si vous avez un paramètre saisi dans la barre
Rechercher les ressources, la catégorie Tous/Toutes affiche uniquement les catégories et les ressources qui
correspondent. La fonction de recherche est permanente, même après avoir sélectionné des ressources
spécifiques et les fonctions Lire et Modifier.
l Par défaut, seules les catégories et sous-catégories dont les paramètres diffèrent s'affichent. Vous pouvez
afficher toutes les permissions, y compris les paramètres identiques pour les deux rôles sélectionnés, en cochant
la case Afficher toutes les autorisations.
l Si vous sélectionnez deux rôles disposant d'autorisations totalement identiques, la console affiche un message
en haut de l'écran Comparer les rôles.
« Aucune différence d'autorisation entre les deux rôles. »
76
l Vous pouvez aussi cliquer sur le bouton Exporter pour créer un fichier .csv (valeurs séparées par des virgules)
pouvant être ouvert dans Excel. Ce fichier CSV contient l'ensemble des paramètres pour le rôle 1 et le rôle 2 afin
de vous permettre d'analyser au mieux les différences entre les deux rôles.
77
Chapitre 6 :
Groupes d'attribution
Groupes d'attribution est un terme générique utilisé pour classer certaines structures de gestion des groupes dans
Les groupes organisationnels, Smart Groups et groupes d'utilisateurs ont chacun des fonctionnalités et des propriétés
indépendantes qui les distinguent les uns des autres. Cependant, ils partagent tous la capacité d'attribuer facilement du
contenu aux terminaux des utilisateurs. Les groupes d'attribution permettent à l'administrateur de gérer ces trois
structures de groupe depuis un seul emplacement.
Vous pouvez utiliser l'affichage en liste pour attribuer plusieurs groupes organisationnels, Smart Groups et groupes
d'utilisateurs à un ou plusieurs profils, applications publiques ou politiques.
Accédez à Groupes et paramètres > Groupes > Groupes d'attribution.
78
Chapitre 6 : Groupes d'attribution
Création d'une liste de groupe d'attributions personnalisées

L'affichage en liste des groupes d'attribution organise trois types de groupes qui ont comme fonction l'attribution du
contenu aux terminaux : groupes organisationnels, Smart Groups et groupes d'utilisateurs. Vous pouvez créer une liste
de groupes que vous voulez afficher.
Trier par colonne
Vous pouvez trier la liste de groupes par colonne en sélectionnant l'en-tête.
Filtrer les groupes
Vous pouvez filtrer des groupes par Type (Smart Groups, groupes organisationnels et groupes d'utilisateurs). Vous
pouvez également les filtrer selon leur attribution (Attributions, Exclusions, Tout et Aucun).
Sélectionnez les liens dans la liste des groupes d'attribution
Les quatre colonnes de la liste des groupes d'attribution on une fonction spécifique et nécessite une mention spéciale.
l La colonne Groupes dispose d'un lien pour chaque Smart Group. Vous pouvez sélectionner ce lien pour modifier le
Smart Group.
l Si vous sélectionnez des valeurs non nulles dans la colonne Attributions, la page Afficher les attributions s'affiche,
même pour les groupes organisationnels et les groupes d'utilisateurs attribués. Cette fonction vous permet d'afficher
et de confirmer les attributions aux profils, aux applications publiques et aux politiques de conformité.
l Si vous sélectionnez des valeurs non nulles dans la colonne Exclusions, la page Afficher les attributions s'affiche,
même pour les groupes organisationnels et les groupes d'utilisateurs exclus. La page Afficher les attributions vous
permet d'afficher et de confirmer les attributions des profils, applications publiques et politiques de conformité.
l Si vous sélectionnez le numéro de colonne Terminaux, la page Affichage en liste des terminaux s'affiche. La page
Affichage en liste des terminaux répertorie tous les terminaux dans le groupe organisationnel, Smart Group ou
groupe d'utilisateurs sélectionné.
Voir les attributions à la page 104
Affichage en liste des terminaux à la page 207
Attribuer un ou plusieurs groupes d'attribution

Vous pouvez attribuer des groupes aux politiques de conformité, aux applications publiques et aux profils de terminaux.
Vous pouvez également attribuer plusieurs groupes de chaque type (Smart Groups, groupes organisationnels et groupes
d'utilisateurs) à la fois.
Pour attribuer des applications publiques, vous pouvez configurer différentes politiques d'applications selon les groupes
d'utilisateurs. Pour plus d'informations, consultez la section Utiliser le déploiement flexible pour l'attribution
d'applications dans le Guide VMware AirWatch de gestion des applications mobiles, qui est disponible sur
docs.vmware.com.
1. Accédez à Groupes et paramètres > Groupes > Groupes d'attribution.
2. Sélectionnez un ou plusieurs groupes dans la liste et cliquez sur le bouton Attribuer au-dessus de l'entête de la
colonne.
79
3. La page Attribuer s'affiche avec les groupes organisationnels, les Smart Groups et les groupes d'utilisateurs que
vous avez sélectionnés.
4. Attribuez-les en lançant une recherche d'un profil, d'une application publique et d'une politique de conformité.
Vous pouvez choisir jusqu'à 10 profils, 10 applications publiques et une seule politique de conformité.
Vous ne pouvez choisir que plusieurs entités d'un seul type par session. Par exemple, vous pouvez attribuer
plusieurs groupes à 10 profils maximum dans une seule commande. Cependant, vous ne pouvez pas, dans une seule
commande, attribuer plusieurs groupes à 10 profils, 10 applications et une politique de conformité. Si vous avez
plusieurs entités de différents types, vous devez entreprendre des sessions d'attributions séparées pour chaque
type (profils, applications et politiques).
5. Cliquez sur Suivant pour afficher la page Afficher l'attribution des terminaux pour confirmer l'attribution des
groupes.
6. Cliquez sur Enregistrer et publier pour terminer l'attribution.
Groupes organisationnels
Workspace ONE™ UEM identifie les utilisateurs et établit des permissions à l'aide de groupes organisationnels. Tandis que
la méthode organisationnelle distribue du contenu aux terminaux, utilisez les groupes organisationnels pour établir une
hiérarchie MDM identique à celle de votre entreprise. Vous pouvez également établir des groupes organisationnels selon
les fonctionnalités et le contenu Workspace ONE UEM.
Vous pouvez accéder aux groupes organisationnels en naviguant vers Groupes et paramètres > Groupes > Groupes
organisationnels > Affichage en liste ou grâce au menu déroulant des groupes organisationnels.
l Créez des groupes pour les entités au sein de votre organisation (Direction, Salariés, Employés à l'heure, Ventes,
Vente au détail, RH, Cadres, etc.).
l Personnalisez les hiérarchies avec des niveaux parents et enfants (par exemple, « Salariés » et « Employés à l'heure »
en tant qu'enfants sous « Direction »).
l de vous intégrer à plusieurs infrastructures internes au niveau de la couche ;
l Déléguez un accès basé sur les rôles et une gestion basée sur une structure mutualisée.
80
Caractéristiques des groupes organisationnels

Les groupes organisationnels s'adaptent aux entités fonctionnelles, géographiques et organisationnelles et offrent une
solution mutualisée.
l Extensibilité – Assurez une prise en charge flexible pour une croissance exponentielle.
l Mutualisation – Créez des groupes se comportant comme des environnements indépendants.
l Héritage – Rationalisez le processus de configuration en paramétrant les sous-groupes pour qu'ils héritent des
configurations parentes.
Grâce au menu déroulant Groupe organisationnel, l'ensemble des profils, des fonctions, des applications et des autres
paramètres MDM peut être défini au niveau supérieur World-Wide Enterprises.
Les sous-groupes organisationnels, comme Asia/Pacific et EMEA, ou même Australia > Manufacturing Division et
Australia > Operations Division > Corporate peuvent ensuite hériter de ces paramètres.
Les paramètres entre les groupes organisationnels d'une même famille comme Asia/Pacific et EMEA profitent de la
nature mutualisée des groupes organisationnels, en gardant ces paramètres séparés les uns des autres. Cependant,
ces deux groupes organisationnels de même famille héritent des paramètres de leur groupe organisationnel parent,
World Wide Enterprises.
Vous pouvez aussi choisir de remplacer les paramètres à un niveau inférieur et de modifier uniquement les paramètres
que vous souhaitez. Ces paramètres peuvent être modifiés et/ou propagés à n'importe quel niveau.
Conditions de la configuration des groupes organisationnels

Avant de définir la hiérarchie de votre groupe organisationnel dans Workspace ONE™ UEM Console, décidez d'abord de
la structure du groupe. La structure de groupe vous permet de tirer le meilleur parti des paramètres, des applications et
des ressources.
l Administration déléguée – Vous pouvez déléguer l'administration des sous-groupes à des administrateurs de niveau
inférieur en limitant leur visibilité à un sous-groupe organisationnel.
81
l Les administrateurs d'entreprise peuvent accéder à ce niveau et voir

tous les éléments de l'environnement.
l Le responsable LA a accès au groupe organisationnel LA et ne peut gérer

que les terminaux qui s'y trouvent.
l Le responsable NY a accès au groupe NY et ne peut gérer que les

terminaux qui s'y trouvent.
l Paramètres système – Les paramètres peuvent être appliqués à différents niveaux dans l'arborescence de groupes
organisationnels et les sous-groupes peuvent en hériter. Ils peuvent aussi être remplacés à n'importe quel niveau.
Les paramètres comprennent les options d'enrôlement de terminaux, les méthodes d'authentification, les
paramètres de confidentialité et la personnalisation d'apparence.
l L'ensemble de l'entreprise établit l'enrôlement d'après le serveur
Active Directory de l'entreprise.
l Les terminaux des chauffeurs remplacent l'authentification du

groupe supérieur et autorisent l'enrôlement par jeton.
l Les terminaux de l'entrepôt héritent des paramètres AD du groupe

supérieur.
l Cas d'utilisation des terminaux – Un profil peut être attribué à un ou plusieurs groupes organisationnels. Les
terminaux membres de ces groupes peuvent alors recevoir le profil. Consultez la section Profils pour plus
d'informations. AirWatch recommande de configurer les terminaux à l'aide des paramètres de profil, d'application et
de contenu en fonction des attributs comme le fabricant et le modèle du terminal, le type de propriété ou les
groupes d'utilisateurs avant de créer les groupes organisationnels.
l Les terminaux des cadres ne peuvent pas installer d'applications ni avoir
accès au réseau Wi-Fi des commerciaux.
l Les terminaux des commerciaux sont autorisés à installer des applications

et ont un accès VPN.
Comparaison des paramètres Remplacer et Hériter pour les groupes organisationnels

La hiérarchie de votre structure détermine lesquels de vos groupes organisationnels sont de niveau inférieur ou
supérieur. Cependant, seul l'ajout de référentiels et d'applications vous autorise à remplacer cet héritage natif.
Vous pouvez ajouter des référentiels et des applications aux sous-groupes héritant des paramètres du groupe parent. Si
vous le souhaitez, vous pouvez également remplacer l'héritage au niveau de chaque groupe.
Pour plus d'informations, consultez la section Ajouter des applications publiques depuis une boutique d'applications
dans le Guide VMware AirWatch de gestion des applications mobiles. Consultez également la section Importer du
contenu vers le référentiel géré par Workspace ONE UEM dans le Guide VMware AirWatch de gestion du contenu
mobile. Les deux guides sont disponibles sur docs.vmware.com.
Héritage, mutualisation et authentification

Le concept de remplacement des paramètres en fonction du groupe organisationnel, lorsqu'il est combiné avec des
caractéristiques de groupe organisationnel telles que l'héritage et la mutualisation, peut également être combiné avec
82
l'authentification. Cette combinaison permet des configurations flexibles.

Le modèle de groupe organisationnel suivant illustre cette flexibilité.
Dans ce modèle, les administrateurs, qui disposent généralement d'autorisations et de fonctionnalités plus
importantes, sont positionnés au sommet de cette branche de groupe organisationnel. Ces administrateurs se
connectent à leur groupe organisationnel en utilisant l'authentification SAML qui est réservée aux administrateurs.
Les utilisateurs d'entreprise sont subordonnés aux administrateurs : leur groupe organisationnel est considéré
comme l'enfant de leur groupe. En qualité d'utilisateurs (et non d'administrateurs), leurs paramètres de connexion
SAML ne peuvent pas hériter des paramètres administrateur. Par conséquent, le paramètre SAML des utilisateurs
d'entreprise est remplacé.
Les utilisateurs BYOD diffèrent des utilisateurs d'entreprise. Les terminaux utilisés par les utilisateurs BYOD
appartiennent aux utilisateurs eux-mêmes et contiennent probablement davantage d'informations personnelles. Ces
profils de terminaux pourraient donc nécessiter des paramètres légèrement différents. Les utilisateurs BYOD
pourraient disposer de conditions d'utilisation différentes. Les terminaux BYOD pourraient avoir besoin de paramètres
d'effacement des données professionnelles différents. Pour toutes ces raisons et plus encore, il pourrait être utile pour
les utilisateurs BYOD de se connecter à un autre groupe organisationnel.
Et bien qu'ils ne soient pas subordonnés aux utilisateurs d'entreprise au sens de la hiérarchie de l'entreprise, le fait de
définir les utilisateurs BYOD comme des enfants d'utilisateurs d'entreprise présente des avantages. Cet arrangement
signifie que les utilisateurs BYOD héritent des paramètres applicables à TOUS les terminaux des utilisateurs d'entreprise
en les appliquant simplement au groupe organisationnel des utilisateurs d'entreprise.
L'héritage s'applique également aux paramètres d'authentification SAML. Puisque les utilisateurs BYOD sont des
enfants des utilisateurs d'entreprise, les utilisateurs BYOD héritent de leur SAML pour les paramètres
d'authentification utilisateur.
Un autre modèle consiste à définir les utilisateurs BYOD comme des frères des utilisateurs d'entreprise.
Dans le cadre de ce modèle alternatif, les remarques suivantes sont valables.

l Tous les profils de terminaux conçus pour s'appliquer globalement à TOUS les terminaux, y compris les politiques de
conformité, et les autres paramètres de terminaux applicables globalement sont appliqués à deux groupes
organisationnels au lieu d'un. Cette duplication s'explique par le fait que l'héritage des utilisateurs d'entreprise pour
les utilisateurs BYOD n'est plus un facteur dans ce modèle. Les utilisateurs d'entreprise et les utilisateurs BYOD sont
des pairs, et il n'y a donc pas d'héritage.
83
l Un autre remplacement SAML doit être appliqué aux utilisateurs BYOD. Ce remplacement est nécessaire, parce que le
système suppose qu'il hérite des paramètres SAML de son parent (administrateurs). Une telle hypothèse est
erronée, parce que les utilisateurs BYOD ne sont pas des administrateurs et ne disposent pas des mêmes accès et
permissions.
l Les utilisateurs BYOD continuent d'être traités séparément des utilisateurs d'entreprise. Ce modèle alternatif signifie
qu'ils continuent de profiter de leurs propres paramètres de profil de terminal.
Quel facteur permet de déterminer le meilleur modèle ? Comparez le nombre de paramètres de terminal applicables
globalement avec le nombre de paramètres de terminal spécifiques au groupe. Pour résumer, si vous voulez traiter
tous les terminaux de la même manière, définissez les utilisateurs BYOD en tant qu'enfants des utilisateurs
d'entreprise. S'il est plus important de conserver des paramètres séparés, définissez les utilisateurs BYOD en tant que
frères des utilisateurs d'entreprise.
Pour plus d'informations, consultez la section Effacement des données professionnelles pour les terminaux BYOD à la
page 116.
Pour obtenir un exemple détaillé d'héritage de groupe organisationnel impliquant l'enrôlement, consultez la section
Intégration des services d'annuaire et restrictions d'enrôlement à la page 112.
Créer des groupes organisationnels

Vous devez créer un groupe organisationnel pour chaque entité professionnelle dans laquelle des terminaux sont
déployés. N'oubliez pas que le groupe organisationnel dans lequel vous êtes actuellement est le groupe parent du sous-
groupe organisationnel que vous allez créer.
2. Sélectionnez l'onglet Ajouter un sous-groupe organisationnel et complétez les paramètres suivants.

Nom Saisissez un nom pour le sous-groupe organisationnel à afficher. Utilisez des caractères
alphanumériques uniquement. N'utilisez pas de caractères spéciaux.
ID de Saisissez un identifiant pour le groupe organisationnel que l'utilisateur final utilisera pour connecter
groupe son terminal. Les ID de groupe sont utilisés lors de l'enrôlement pour rassembler les terminaux dans
le bon groupe organisationnel.
Assurez-vous que les utilisateurs qui partagent des terminaux reçoivent l'ID de groupe, celui-ci
pouvant être exigé pour la connexion du terminal, en fonction des paramètres de terminal partagé.
Type Sélectionnez le type de groupe organisationnel préconfiguré qui reflète la catégorie du sous-groupe
organisationnel.
Pays Sélectionnez le pays où le groupe organisationnel est basé.
Paramètres Choisissez une langue pour le pays sélectionné.
régionaux
Secteur Ce paramètre est uniquement disponible lorsque le type est « Client ». Sélectionnez dans la liste de
d'activité secteurs d'activité des clients.
du client
84
Fonctions des types de groupe organisationnel

Les types de groupe organisationnel peuvent avoir un impact sur les paramètres qu'un administrateur peut configurer.
l Global – Le groupe organisationnel le plus élevé. Généralement, ce groupe est appelé Global et dispose du type
Global.
o Pour les environnements SaaS hébergés, vous ne pouvez pas accéder à ce groupe.
o Les clients sur site peuvent activer la journalisation détaillée à ce niveau.
l Partenaire – Groupe organisationnel de niveau supérieur pour les partenaires (revendeurs tiers de
Workspace ONE™ UEM).
l Client – Le groupe organisationnel de niveau supérieur pour chaque client.

o Un groupe organisationnel client ne peut pas avoir de groupes organisationnels parent/enfant de type client.
o Certains paramètres peuvent être configurés uniquement au niveau d'un groupe client. Ces paramètres se
répercutent jusqu'aux organisations de niveau inférieur. Parmi les exemples figurent les domaines de messagerie
à détection automatique, les paramètres du programme d'achats en grande quantité (VPP), les paramètres du
programme d'enrôlement des terminaux (avant AirWatch 8.0) et le contenu personnel.
l Conteneur – Le type de groupe organisationnel par défaut.

o Tous les groupes organisationnels en dessous d'un groupe organisationnel client doivent être de type
conteneur. Vous pouvez avoir des conteneurs entre les groupes partenaire et client.
l Prospect – Clients potentiels. Similaire à un groupe organisationnel client. Pourrait avoir moins de fonctionnalités
qu'un véritable groupe client.
Il existe d'autres types de groupes organisationnels comme Division, Région, et vous avez aussi la possibilité de définir
votre propre type de groupe organisationnel. Ces derniers n'ont pas de caractéristiques spécifiques et fonctionnent de la
même façon que le type de groupe organisationnel Conteneur.
Ajout de terminaux au niveau Global

Le groupe organisationnel Global est conçu pour héberger le groupe Client et d'autres types de groupes organisationnels.
Étant donné le fonctionnement de l'héritage, si vous ajoutez des terminaux au groupe Global et configurez ce groupe
avec des paramètres ayant une incidence sur ces terminaux, vous modifiez également tous les sous-groupes
organisationnels Client. Cela réduit les avantages de la mutualisation et de l'héritage.
Pour plus d'informations, consultez la section Raisons pour lesquelles vous ne devez pas enrôler de terminaux dans
Global à la page 145.
Restrictions de groupe organisationnel

Si vous tentez de configurer un paramètre limité au groupe organisationnel, les pages de paramètres dans Groupes et
paramètres > Tous les paramètres vous informent de la limite.
85
Les restrictions suivantes s'appliquent à la création de groupes organisationnels de niveau Client.

l Dans un environnement SaaS, vous ne pouvez pas créer de groupes organisationnels client imbriqués.
l Dans un environnement sur site, vous pouvez créer des groupes organisationnels client imbriqués seulement si
votre rôle administrateur est Administrateur système.
Comparaison des paramètres des groupes organisationnels

En tant qu'administrateur, vous pourriez trouver utile de comparer les paramètres d'un groupe organisationnel avec
ceux d'un autre. Les actions suivantes sont disponibles lorsque vous comparez les paramètres des groupes
organisationnels.
l Importez les fichiers XML contenant les paramètres des groupes organisationnels de différentes versions de logiciels
Workspace ONE UEM.
l Éliminez la possibilité d'une différence de configuration susceptible de poser des problèmes lors de la migration de
version.
l Filtrez les résultats de la comparaison, affichant les paramètres que vous souhaitez comparer uniquement.
l Recherchez un seul paramètre par nom grâce à la fonction de recherche.

Cette fonction de comparaison des groupes organisationnels n'est disponible que pour les clients sur site.
Comparer deux groupes organisationnels

Vous pouvez comparer les paramètres d'un groupe organisationnel à un autre pour réduire les problèmes de migration
des version.
Par exemple, une fois qu'un serveur de test d'acceptation des utilisateurs (UAT) est mis à niveau, configuré et testé, vous
pouvez comparer les paramètres UAT directement aux paramètres de production.
1. Naviguez vers Groupes et paramètres > Tous les paramètres > Administrateur > Gestion des paramètres >
Comparaison des paramètres.
2. Sélectionnez un groupe organisationnel dans votre environnement, depuis le menu déroulant de gauche (portant le
numéro 1). Sinon, vous pouvez importer le fichier de paramètres XML en cliquant sur le bouton Importer et en
sélectionnant un fichier XML exporté de paramètres de groupe organisationnel.
3. Sélectionnez le groupe organisationnel avec lequel vous voulez effectuer la comparaison dans le menu déroulant de
droite (portant le numéro 2).
4. Affichez une liste de tous les paramètres pour les deux groupes organisationnels choisis en sélectionnant le bouton
Mettre à jour.
l Les différences entre les paramètres des deux groupes organisationnels seront automatiquement surlignées.
l Vous pouvez aussi cocher la case Afficher les différences uniquement. Cette case affiche seulement les
paramètres qui s'appliquent à un groupe organisationnel mais pas un autre.
l Les paramètres individuels qui sont vides (ou non indiqués) s'affichent dans la liste de comparaison en tant que
« NULL ».
86
Smart Groups
Les Smart Groups sont des groupes personnalisables qui déterminent les plateformes, les terminaux et les utilisateurs
finaux qui recevront une application, un livre, une politique de conformité, un profil de terminal ou un provisionnement.
Lorsque vous créez des groupes organisationnels, vous prenez appui sur la structure interne de l'entreprise :
l'emplacement géographique, l'entité et le service. Par exemple, « Ventes au nord », « RH au sud ». Les Smart Groups, en
revanche, permettent d'envoyer des contenus et des paramètres par plateforme de terminal, modèle, système
d'exploitation, étiquette de terminal ou groupe d'utilisateurs. Vous pouvez même envoyer du contenu à des utilisateurs
appartenant à différents groupes organisationnels.
Vous pouvez créer des Smart Groups lorsque vous importez du contenu et définissez les paramètres. Cependant, leur
flexibilité vous permet également d'en créer à tout moment pour une attribution ultérieure.
L'avantage principal des Smart Groups réside dans leur caractère réutilisable. La création d'une nouvelle attribution à
chaque ajout de contenu ou définition de profil/politique pourrait être intuitive. En revanche, si vous attribuez des
personnes à des Smart Groups une seule fois, vous pouvez simplement inclure ces Smart Groups dans votre définition de
contenu.
Créer un Smart Group

Avant de pouvoir attribuer un Smart Group à une application, à un livre, à une politique de conformité, à un profil de
terminal, à une chaîne vidéo ou à un produit de configuration, vous devez d'abord le créer.
1. Sélectionnez le groupe organisationnel auquel votre nouveau Smart Group s'appliquera et à partir duquel il sera
géré.
2. Naviguez vers Groupes et paramètres > Groupes d'attribution, puis cliquez sur Ajouter un Smart Group.
3. Saisissez un nom pour le Smart Group.
4. Vous pouvez également activer l'Aperçu des terminaux pour afficher les terminaux qui sont inclus dans le Smart
Group que vous avez conçu. Cet aperçu des terminaux est désactivé par défaut pour optimiser les performances.
5. Configurez le type de Smart Group. Choisissez entre Sélectionner des critères et Sélectionner des terminaux et des
utilisateurs spécifiques. Le passage du type Sélectionner des critères au type Sélectionner des terminaux ou des
utilisateurs efface toutes les saisies et sélections effectuées.
L'option Sélectionner des critères fonctionne mieux pour les groupes comprenant un grand nombre de terminaux
(plus de 500) qui reçoivent des mises à jour générales. Cette méthode fonctionne mieux, car les détails propres à ces
groupes peuvent atteindre tous les points de terminaison de votre flotte mobile. Avec le type Sélectionner des
critères, choisissez des paramètres à ajouter au Smart Group. Si aucune sélection n'est effectuée dans un paramètre,
ce filtrage n'est pas appliqué dans les critères.
Groupe Ce critère filtre les terminaux par groupe organisationnel sélectionné. Vous pouvez sélectionner
organisationnel plusieurs groupes organisationnels.
Groupe Ce critère filtre les terminaux par groupes d'utilisateurs sélectionnés. Vous pouvez sélectionner
d'utilisateurs plusieurs groupes d'utilisateurs.
Propriété Ce critère filtre les terminaux par type de propriété sélectionné.
87
Étiquettes Ce critère filtre les terminaux en fonction de leur étiquetage. Il est possible d'en sélectionner
plusieurs.
Plateforme et Ce critère filtre les terminaux par plateforme et système d'exploitation sélectionné. Vous pouvez
système sélectionner plusieurs combinaisons de chaque.
d'exploitation Même s'il s'agit d'un critère au sein d'un Smart Group, la plateforme configurée dans le profil de terminal ou la
politique de conformité sera toujours prioritaire sur celle du Smart Group. Par exemple, si un profil de terminal est
créé pour la plateforme iOS, il sera seulement attribué aux terminaux iOS même si le Smart Group comporte des
terminaux Android.
Modèle Ce critère filtre les terminaux par modèle de terminal. Les modèles individuels affichés sont basés
sur les sélections effectuées dans Plateforme et système d'exploitation. Vous pouvez
sélectionner (ou exclure) des modèles à partir de cette liste.
Version OEM Ce critère filtre les terminaux par version OEM. Vous pouvez sélectionner plusieurs OEM.
d'entreprise
Ajouts Ce critère ajoute des terminaux et des utilisateurs individuels qui ne sont pas inclus dans les
critères de filtrage. Vous pouvez sélectionner plusieurs terminaux et utilisateurs.
Exclusions Ce critère exclut des terminaux individuels, des utilisateurs individuels et des groupes
d'utilisateurs qui sont inclus dans les critères de filtrage. Vous pouvez exclure plusieurs
terminaux, utilisateurs et groupes d'utilisateurs.
L'option Sélectionner des terminaux ou des utilisateurs fonctionne mieux pour les groupes comprenant un plus
petit nombre de terminaux (500 ou moins) qui reçoivent des mises à jour ponctuelles, mais néanmoins importantes.
Cette méthode fonctionne mieux, car vous pouvez sélectionner les membres du groupe à un niveau granulaire.
Utilisez le type Sélectionner des terminaux ou des utilisateurs pour attribuer du contenu et des paramètres à des
cas particuliers, en dehors des critères mobiles habituels de l'entreprise. Saisissez le nom convivial dans Terminaux et
le nom d'utilisateur (prénom ou nom) dans Utilisateurs. Vous devez ajouter au moins un terminal ou un utilisateur
pour pouvoir enregistrer le Smart Group.
Il y a une limite au nombre de règles (500) de programmation des Smart Groups. Cette limite de 500 règles n'est pas
liée au seuil de 500 terminaux déterminant si votre Smart Group est basé sur les options Sélectionner des critères ou
Sélectionner des terminaux ou des utilisateurs.
Terminaux Ajoutez un terminal à ce Smart Group en saisissant son nom convivial. Vous pouvez ajouter plusieurs
terminaux à l'aide de cette méthode.
Utilisateurs Ajoutez des utilisateurs à ce Smart Group en saisissant leur nom d'utilisateur, leur prénom ou leur
nom de famille. Vous pouvez ajouter plusieurs utilisateurs à l'aide de cette méthode.
6. Cliquez sur Enregistrer pour terminer.
Attribuer un Smart Group

Après avoir créé le Smart Group et avant qu'il prenne effet, vous devez l'attribuer. Vous pouvez l'attribuer à une
application, un livre, une politique de conformité, un profil de terminal, une chaîne vidéo ou un approvisionnement de
produit. Un Smart Group peut être attribué de deux manières.
88
Attribuer un Smart Group lors de la création d'un produit du terminal

Attribuez un Smart Group lors de l'ajout ou de la création d'une application, d'un livre, d'une politique de conformité,
d'un profil de terminal, d'une chaîne vidéo ou d'une configuration de produit.
1. Complétez le champ déroulant Groupes attribués.
2. Sélectionnez un Smart Group dans la liste déroulante. Les Smart Groups disponibles sont gérés uniquement au sein
du groupe organisationnel auquel les ressources sont ajoutées, ou d'un de ses sous-groupes organisationnels.
3. Si aucun Smart Group ne correspond aux critères d'attribution souhaités, sélectionnez Créer un Smart Group. Vous
pouvez attribuer plus d'un Smart Group par application, livre, politique de conformité, profil de terminal, chaîne
vidéo ou configuration de produit.
4. Cliquez sur Enregistrer pour inclure l'attribution.
Attribuer un Smart Group lors de la gestion du Smart Group

Vous pouvez attrinuer un Smart Group au cours du processus de gestion du Smart Group lui-même.
1. Affichez la liste complète des Smart Groups en naviguant vers Groupes et paramètres > Groupes > Groupes
d'attribution.
2. Sélectionnez le(s) Smart Group(s) que vous souhaitez attribuer et cliquez sur Attribuer. La page Attribuer s'affiche.
Sélectionnez le lien vers les groupes en haut de la page Attribuer pour afficher la page Groupes. Vous verrez sur cette
page les groupes organisationnels qui gèrent les Smart Groups. Revenez à la page d'attribution en sélectionnant le
bouton Fermer.
3. Depuis la page Attribuer, utilisez le champ de recherche pour afficher une liste de produits éligibles pour l'attribuer
aux Smart Group(s) sélectionné(s).
4. Cliquez sur Suivant pour afficher la page Afficher l'attribution des terminaux et confirmer le statut d'attribution.
5. Cliquez sur Enregistrer et publier.

Pour plus d'informations, consultez la section Afficher l'attribution des terminaux à la page 169.
Exclure des groupes dans les profils et politiques de conformité

En plus des applications, des livres, des chaînes et des produits, les Smart Groups s'appliquent aux profils de terminaux et
aux politiques de conformité. Cette flexibilité vous permet d'exclure les Smart Groups et les groupes d'utilisateurs
sélectionnés des profils et des politiques.
Par exemple, si vous souhaitez appliquer une stratégie de conformité à tous les utilisateurs de l'entreprise à l'exception
des cadres, vous disposez de deux options pour y parvenir.
Exclure un autre Smart Group

Créez deux Smart Groups, l'un composé de tous les utilisateurs et un autre regroupant les cadres. Créez la stratégie de
conformité et attribuez-la au Smart Group « Tous les utilisateurs », puis spécifiez le Smart Group « Cadres » dans l'option
Exclusions.
Exclure un groupe d'utilisateurs

Créez un Smart Group composé de tous les utilisateurs. Créez un groupe d'utilisateurs composé de tous les cadres. Créez
la stratégie de conformité et attribuez-la au Smart Group « Tous les utilisateurs », puis spécifiez le groupe d'utilisateurs
« Cadres » dans l'option Exclusions.
89
1. Lors de l'ajout d'un profil de terminal ou d'une stratégie de conformité, sélectionnez Oui en regard du paramètre
Exclusions pour afficher l'option Groupes exclus.
2. Dans les paramètres des groupes exclus, sélectionnez les groupes que vous souhaitez exclure de l'attribution de ce
profil ou de cette politique. Vous pouvez également créer un nouveau groupe en sélectionnant le bouton Créer un
groupe d'attribution.
Si vous sélectionnez le même groupe dans les paramètres des groupes attribués et des groupes exclus, vous ne
pouvez pas enregistrer le profil ou la politique.
3. Prévisualisez les terminaux concernés en sélectionnant Afficher l'attribution des terminaux.
Affichage en liste des Smart Groups

Gérez vos Smart Groups en les modifiant, en les attribuant, en supprimant leur attribution, en les excluant ou en les
supprimant depuis Workspace ONE™ UEM Console. Affichez la liste complète des Smart Groups en naviguant vers
Groupes et paramètres > Groupes > Groupes d'attribution. Les administrateurs ne voient que les groupes qu'ils
peuvent gérer selon leurs paramètres de permissions.
Les colonnes Groupes, Attributions, Exclusions et Terminaux contiennent toutes des liens cliquables donnant accès à
des informations détaillées.
l Lorsque vous cliquez sur les liens des colonnes Attributions ou Exclusions, l'écran Afficher les attributions du
Smart Group s'affiche.
l Lorsque vous cliquez sur un lien dans la colonne Terminaux, la page Terminaux > Affichage en liste s'affiche et
contient uniquement les terminaux du Smart Group.
l Vous pouvez filtrer votre collection de groupes par type de groupe (Smart Groups, groupes organisationnels,
groupes d'utilisateurs ou tous) ou par statut d'attribution. Le statut attribué indique si le groupe est attribué, exclus,
attribué et exclus, ou aucun des deux.
l Vous pouvez également attribuer un Smart Group directement depuis la liste.
90
Modifier, supprimer ou annuler l'attribution d'un Smart Group

Toutes les modifications que vous appliquez à un Smart Group ont des répercutions sur l'ensemble des profils et des
politiques auxquels ce Smart Group est attribué.
Par exemple, un Smart Group pour les cadres est attribué à une politique de conformité, à un profil de terminal et à deux
applications internes. Si vous souhaitez exclure certains cadres, modifiez le Smart Group en indiquant des exclusions.
Cette action entraîne non seulement la suppression des deux applications internes, mais également celle de la politique
de conformité et du profil de terminal pour les terminaux exclus.
1. Naviguez vers Groupes et paramètres > Groupes > Groupes d'attribution.
2. Cliquez sur l'icône Modifier ( ) située à gauche du Smart Group que vous souhaitez modifier. Vous pouvez aussi
sélectionner le nom du Smart Group dans la colonne Groupe. La page Modifier le Smart Group affichera les
paramètres actuels.
3. Sur la page Modifier le Smart Group, modifiez soit les critères soit les terminaux et utilisateurs (selon l'option
choisie lors de l'enregistrement du Smart Group), puis cliquez sur Suivant.
4. Sur la page Afficher les attributions du Smart Group vous pouvez vérifier les profils, applications, livres,
configurations et politiques qui peuvent être ajoutés aux terminaux ou supprimés de ceux-ci suite à vos
modifications.
5. Cliquez sur Publier pour enregistrer les modifications apportées aux Smart Groups. Les attributions de l'ensemble
des profils, des applications, des livres, des configurations et des politiques liés à ce Smart Group sont modifiées en
fonction des nouveaux critères.
L'enregistreur des événements de la console garde une trace des modifications apportées aux Smart Groups,
notamment de l'auteur de la modification, des terminaux ajoutés et des terminaux supprimés.
Supprimer un Smart Group
Lorsque vous n'avez plus besoin d'un Smart Group, vous pouvez le supprimer. Vous ne pouvez supprimer qu'un Smart
Group à la fois. La sélection de plus d'un Smart Group masque le bouton Supprimer. Si un Smart Group est attribué, vous
n'êtes pas autorisé à le supprimer.
1. Naviguez vers Groupes et paramètres > Groupes > Groupes d'attribution et trouvez le Smart Group que vous
souhaitez supprimer de la liste.
2. Sélectionnez la case à gauche du nom du Smart Group et cliquez sur Supprimer depuis le menu d'actions qui
s'affiche.
Supprimer l'attribution d'un Smart Group
Vous pouvez supprimer l'attribution d'un Smart Group à une application, à un livre, à une chaîne, à une politique, à un
profil ou à un produit. Cette action entraîne la suppression du contenu associé depuis tous les terminaux.
1. Supprimez l'attribution de Smart Groups des applications, livres, politiques de conformité, profils de terminaux ou
configurations de produits : Suivez les chemins de navigation indiqués.
l Applications – Naviguez vers Applications et livres > Applications > Affichage en liste et sélectionnez l'onglet
Publics/Publiques ou Internes.
91
l Livres – Naviguez vers Applications et livres > Applications > Affichage en liste et sélectionnez l'onglet
Publics/Publiques, Internes ou Web.
l Chaînes – Naviguez vers Contenu > Vidéo > Chaînes.
l Politiques de conformité – Naviguez vers Terminaux > Politiques de conformité > Affichage en liste.
l Profil de terminal – Naviguez vers Terminaux > Profils et ressources > Profils.
l Provisionnement de produit – Accédez à Terminaux > Préenrôlement et provisionnement > Produits >

Affichage en liste.
2. Localisez le contenu ou le paramètre dans la liste et cliquez sur l'icône Modifier depuis le menu d'actions.
3. Sélectionnez l'onglet Attribution ou localisez la zone de texte Smart Groups attribués.
4. Cliquez sur Supprimer (X) en regard du Smart Group dont vous souhaitez supprimer l'attribution. Cette action
n'entraîne pas la suppression du Smart Group. Elle supprime simplement l'attribution du Smart Group des
paramètres enregistrés.
5. Suivez les étapes habituelles pour enregistrer vos modifications.
Rechercher des événements liés aux Smart Groups à l'aide du journal des événements de la console
Vous pouvez suivre les modifications apportées aux Smart Groups (ainsi que l'auteur et la date de la modification) grâce
au journal des événements de la console. Ce suivi peut s'avérer utile en cas de résolution de problème sur les terminaux.
1. Accédez à Monitor > Rapports et analyses > Événements > Événements de la console.
2. Sélectionnez Smart Groups dans le filtre déroulant Module situé au-dessus de la liste des événements de la console.
3. Appliquez les filtres supplémentaires de votre choix, notamment la période, la sévérité et la catégorie.
4. Le cas échéant, cliquez sur le lien hypertexte de la colonne Données de l'événement qui contient des détails
supplémentaires pouvant vous aider dans votre recherche.
Groupes d'utilisateurs
Vous pouvez réunir des utilisateurs en groupes d'utilisateurs qui, comme les groupes organisationnels, permettent de
filtrer les applications et les profils lors de leur attribution. Lors de la configuration de votre environnement MDM, alignez
les groupes d'utilisateurs avec les rôles professionnels au sein de votre organisation.
Vous pouvez attribuer des profils, des politiques de conformité, du contenu et des applications aux utilisateurs et aux
terminaux avec des groupes d'utilisateurs. Vous pouvez ajouter vos groupes de services d'annuaire dans
Workspace ONE™ UEM ou créer entièrement des groupes d'utilisateurs.
En plus des groupes d'utilisateurs, vous pouvez également gérer le contenu en attribuant des terminaux selon des plages
d'adresses IP réseau préconfigurées ou des attributs personnalisés. Pour plus d'informations, consultez la rubrique
Attributions de terminaux à la page 153.
Groupes d'utilisateurs sans intégration d'annuaire, personnalisés

La création de groupes d'utilisateurs en dehors de la structure Active Directory existant au sein votre organisation vous
permet de créer des groupes d'utilisateurs spécialisés à tout moment. Personnalisez les groupes d'utilisateurs en
92
fonction de votre déploiement en configurant l'accès aux fonctionnalités et au contenu de façon spécifique. Vous pouvez
par exemple créer un groupe d'utilisateurs provisoire pour un projet spécifique nécessitant des politiques de conformité,
des profils de terminaux et des applications spécialisés.
Pour plus d'informations sur l'ajout de groupes d'utilisateurs en masse, consultez la section Importer par lots les groupes
d'utilisateurs à la page 59.
Ajouter des groupes d'utilisateurs sans intégration d'annuaire, personnalisé

Vous pouvez établir un groupe d'utilisateurs personnalisé en dehors de votre structure professionnelle, et ce, en fonction
du groupe d'utilisateurs nécessaires. Les groupes d'utilisateurs personnalisés ne peuvent être ajoutés qu'au niveau d'un
groupe organisationnel client.
1. Naviguez vers Comptes > Groupes d'utilisateurs > Affichage en liste, sélectionnez Ajouter, puis cliquez sur Ajouter
un groupe d'utilisateurs.
2. Choisissez Personnalisé pour le paramètre Type du groupe d'utilisateurs.
3. Saisissez le nom et la description du groupe pour identifier le groupe d'utilisateurs dans

Workspace ONE™ UEM Console.
4. Confirmez le groupe organisationnel qui gère le groupe d'utilisateurs et cliquez sur Enregistrer.
5. Vous pouvez ajouter des utilisateurs à ce nouveau groupe d'utilisateurs en naviguant vers Comptes > Utilisateurs >
Affichage en liste.
Ajoutez plusieurs utilisateurs en cochant les cases situées à gauche de chaque nom d'utilisateur répertorié.
Sélectionnez ensuite le bouton Gestion au-dessus de l'en-tête de colonne et choisissez Ajouter au groupe
d'utilisateurs.
Groupes d'utilisateurs avec intégration d'annuaire

Une alternative aux groupes d'utilisateurs personnalisés sans intégration avec Active Directory est offerte à travers
l'intégration des groupes d'utilisateurs qui applique votre structure Active Directory existante, vous offrant alors de
nombreux avantages.
Une fois vos groupes d'utilisateurs de services d'annuaire existants importés dans Workspace ONE™ UEM comme
groupes d'utilisateurs, vous pouvez exécuter les actions suivantes.
l Gestion des utilisateurs – Référencez vos groupes de services d'annuaire existants (tels que les groupes de sécurité
ou les listes de distribution) et alignez la gestion des utilisateurs dans Workspace ONE UEM avec les systèmes
organisationnels existants.
l Profils et politiques – Attribuez les profils, les applications et les politiques aux groupes d'utilisateurs d'un
déploiement Workspace ONE UEM.
l Mises à jour intégrées – Mettez automatiquement à jour les attributions des groupes d'utilisateurs en fonction des
modifications apportées à l'appartenance au groupe.
l Permissions de gestion – Définissez les permissions de gestion pour autoriser uniquement les administrateurs
approuvés à modifier les attributions de profils et de politiques pour certains groupes d'utilisateurs.
l Enrôlement – Autorisez les utilisateurs à s'enrôler avec les identifiants existants et à attribuer automatiquement un
93
L'administrateur doit désigner un groupe organisationnel existant comme groupe organisationnel racine principal à partir
duquel il gérera les terminaux et les utilisateurs. Les services d'annuaire doivent être activés au niveau de ce groupe
organisationnel racine.
Vous pouvez ajouter vos groupes de services d'annuaire existants à Workspace ONE UEM. Ceci n'entraîne pas la création
immédiate de comptes utilisateur pour chaque compte de service d'annuaire, mais permet de s'assurer que
Workspace ONE UEM les reconnaît comme des groupes d'utilisateurs. Vous pouvez utiliser ce groupe pour limiter qui est
autorisé à s'enrôler.
Pour plus d'informations sur l'ajout de groupes d'utilisateurs d'annuaires en masse, consultez la section Importer par
lots les groupes d'utilisateurs à la page 59.
Ajouter des groupes d'utilisateurs avec intégration d'annuaire

Définir des groupes d'utilisateurs avec intégration d'annuaire favorise une approche alignée de la gestion des terminaux :
l'enrôlement des terminaux et les mises à jour qui suivent, l'aperçu administratif et la gestion des utilisateurs sont
verrouillés avec votre structure de service d'annuaire existante.
Avant de poursuivre, assurez-vous que le type de groupe d'utilisateurs sélectionné est Annuaire.
1. Naviguez vers Comptes > Groupes d'utilisateurs > Affichage en liste, sélectionnez Ajouter, puis cliquez sur Ajouter
un groupe d'utilisateurs.
Type Sélectionnez le type de groupe d'utilisateurs.
l Annuaire – Créez un groupe d'utilisateurs aligné avec votre structure Active Directory
existante.
l Personnalisé – Créez un groupe d'utilisateurs à l'intérieur de la structure Active Directory

existante de votre organisation. Ce type de groupe d'utilisateurs accorde aux utilisateurs
d'annuaire et basiques l'accès aux fonctionnalités et au contenu pour qu'ils personnalisent
les groupes d'utilisateurs en fonction de votre déploiement. Les groupes d'utilisateurs
personnalisés ne peuvent être ajoutés qu'au niveau d'un groupe organisationnel client.
Type externe Sélectionnez le type externe de groupe que vous ajoutez.
l Groupe – Renvoie à la classe d'objets de l'unité organisationnelle sur laquelle votre groupe
d'utilisateurs sera basé. Personnalisez cette classe à accédant à Groupes et paramètres >
Tous les paramètres > Système > Intégration d'entreprise > Services d'annuaire > Groupe.
l Unité organisationnelle – Elle renvoie à la classe d'objets de l'unité organisationnelle sur

laquelle votre groupe d'utilisateurs sera basé. Personnalisez cette classe à accédant à
Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise >
Services d'annuaire > Groupe.
l Requête personnalisée – Vous pouvez également créer un groupe d'utilisateurs contenant

des utilisateurs que vous localisez en lançant une requête. En sélectionnant ce type externe,
vous remplacez la fonction Texte recherché mais vous affichez la section Requête
personnalisée.
94
Texte recherché Saisissez les critères de recherche pour identifier le nom d'un groupe d'utilisateurs dans votre
annuaire puis cliquez sur Rechercher pour le trouver. Si un groupe d'annuaire contient votre
texte de recherche, une liste de noms de groupe apparaît.
Cette option n'est pas disponible lorsque l'option Type externe est définie sur Requête
personnalisée.
Nom d'annuaire Le paramètre Lecture seule affiche l'adresse de votre serveur de services d'annuaire.
Domaine et Ces informations sont automatiquement complétées en fonction des informations relatives au
Nom de base serveur des services d'annuaire, saisies sur la page Services d'annuaire (Groupes et
unique du paramètres > Système > Intégration d'entreprise > Services d'annuaire).
groupe Sélectionnez le signe plus (+) Récupérer le nom unique de base à côté du paramètre Nom
unique de base du groupe qui affiche la liste des noms uniques que vous pouvez sélectionner.
Classe d'objets Ceci permet d'identifier la classe d'objets pour laquelle vous avez lancé votre requête. La classe
personnalisée d'objets par défaut est « Personne » mais vous pouvez fournir une classe d'objets personnalisée
pour mieux identifier vos utilisateurs.
Ce paramètre est disponible lorsque l'option Requête personnalisée est sélectionnée comme
Type externe.
Nom de groupe Choisissez un nom de groupe dans la liste de résultats de la fonction Rechercher le texte. La
sélection d'un nom de groupe altère automatiquement la valeur du paramètre Nom unique.
Cette option n'est disponible qu'une fois votre recherche réussie grâce au champ Texte
recherché.
Nom unique Ce paramètre en lecture seule affiche le nom unique du groupe que vous créez.
Cette option est disponible lorsque les options Groupe ou Unité organisationnelle sont
sélectionnées comme Type externe.
Nom unique de Il permet d'identifier le nom unique qui sert de point de départ à votre requête. Le nom unique
base de base par défaut est AirWatch et sso. Toutefois, si vous souhaitez effectuer la demande depuis
personnalisé un autre point de départ, vous pouvez fournir un nom unique de base personnalisé.
Type externe.
Attribution du Ce paramètre facultatif vous permet d'attribuer le groupe d'utilisateurs créé à un groupe
groupe organisationnel spécifique.
organisationnel Cette option est disponible lorsque les options Groupe ou Unité organisationnelle sont
Paramètres des Faites votre choix entre Appliquer les paramètres par défaut et Utiliser les paramètres
groupes personnalisés pour ce groupe d'utilisateurs. Consultez la section Paramètres personnalisés
d'utilisateurs pour des descriptions de champs supplémentaires. Vous pouvez configurer cette option depuis
les paramètres de permission une fois le groupe créé.
Cette option est disponible lorsque les options Groupe ou Unité organisationnelle sont
95
Requête personnalisée
Requête Ce paramètre affiche la requête actuellement chargée et utilisée lorsque vous sélectionnez le
bouton Requête de test, puis Continuer. Les modifications apportées au paramètre Logique
personnalisée ou Classe d'objets personnalisées s'afficheront ici.
Logique Ajoutez votre requête de logique personnalisée ici : nom d'utilisateur ou nom d'administrateur.
personnalisée Par exemple, "cn=jsmith". Vous pouvez autant de nom unique que vous le souhaitez. Le bouton
Requête de test vous permet de voir si la syntaxe de votre demande est correcte avant de
cliquer sur Continuer.
Paramètres personnalisés
Permissions de Vous pouvez autoriser ou non tous les administrateurs à gérer le groupe d'utilisateurs que vous
gestion créez.
Rôle par défaut Sélectionnez un rôle par défaut pour le groupe d'utilisateurs depuis le menu déroulant.
Politique Sélectionnez une politique d'enrôlement par défaut depuis le menu déroulant.
d'enrôlement
par défaut
Synchronisation Cette option active la synchronisation d'annuaire qui permet de détecter l'appartenance de
automatique l'utilisateur depuis le serveur d'annuaire et de la stocker dans un tableau provisoire. Les
avec l'annuaire administrateurs approuvent les modifications apportées à la console, sauf si l'option Fusion
automatique est sélectionnée.
Si vous souhaitez empêcher la synchronisation automatique des groupes d'utilisateurs pendant
une synchronisation planifiée, ce paramètre doit être désactivé.
Fusion Activez cette option pour appliquer automatiquement les modifications depuis la base de
automatique données sans approbation administrative.
des
modifications
Nombre Utilisez ce paramètre afin de définir un seuil pour le nombre de modifications de synchronisation
maximum de automatiques du groupe d'utilisateurs autorisées à se produire avant de donner l'approbation.
modifications Les modifications dépassant le seuil doivent être approuvées par l'administrateur et une
autorisées notification est envoyée à cet effet. Pour plus d'informations, consultez la section Notifications
de Workspace ONE UEM Console dans le Guide VMware AirWatch de gestion des terminaux
mobiles.
Cette option est disponible seulement lorsque l'option Fusion automatique des modifications
est activée.
Ajout Activez ce paramètre pour ajouter automatiquement des utilisateurs au groupe d'utilisateurs.
automatique Si vous souhaitez empêcher la synchronisation automatique des groupes d'utilisateurs pendant
des membres une synchronisation planifiée, ce paramètre doit être désactivé.
du groupe
96
Envoi d'e-mails Vous pouvez envoyer un e-mail aux utilisateurs lors de l'ajout d'utilisateurs manquants. L'ajout
à l'utilisateur d'utilisateurs manquants combine le tableau temporaire des groupes d'utilisateurs avec le
lors de l'ajout tableau Active Directory.
d'utilisateurs
manquants
Modèle de Sélectionnez un modèle de message pour la notification par e-mail lors de l'ajout d'utilisateurs
message manquants au groupe d'utilisateurs.
Cette option est disponible seulement lorsque l'option Envoi d'e-mails à l'utilisateur lors de
l'ajout d'utilisateurs manquants est activée.
Pour plus d'informations sur le nom unique, recherchez l'article TechNet de Microsoft intitulé « Object
Naming » sur https://technet.microsoft.com.
Modifier les autorisations de groupes d'utilisateurs

En déterminant les autorisations des groupes d'utilisateurs, vous pouvez reconsidérer qui, au sein de votre organisation,
peut modifier certains groupes. Par exemple, si votre entreprise dispose d'un groupe d'utilisateurs pour les cadres, vous
ne voudrez peut-être pas que les administrateurs d'un niveau inférieur gèrent les autorisations de ce groupe
d'utilisateurs.
Utilisez la page Permissions pour contrôler qui gère certains groupes d'utilisateurs et qui attribue les profils, les politiques
de conformité et les applications aux groupes d'utilisateurs. Les restrictions logiques importantes sont en rouge.
1. Naviguez vers Comptes > Groupes d'utilisateurs > Affichage en liste.
2. Cliquez sur Modifier en regard d'un groupe d'utilisateurs existant.
3. Sélectionnez l'onglet Permissions, puis cliquez sur Ajouter.
4. Sélectionnez le groupe organisationnel pour lequel vous souhaitez définir des permissions.
5. Sélectionnez les autorisations que vous souhaitez activer.

l Gérer ce groupe (Modifier/Supprimer) – Activez la possibilité de modifier et de supprimer les groupes
d'utilisateurs.
l Gérer les utilisateurs au sein du groupe et autoriser l'enrôlement – Gère les utilisateurs du groupe
d'utilisateurs et autorise l'enrôlement des terminaux dans le groupe organisationnel. Ce paramètre ne peut être
activé que lorsque l'option Gérer ce groupe (Modifier/Supprimer) est également activée. Si l'option Gérer ce
groupe (Modifier/Supprimer) est désactivée, ce paramètre est également désactivé.
l Utiliser ce groupe pour l'attribution – Utilise le groupe pour attribuer aux terminaux des politiques de sécurité
et des ressources d'entreprise. Ce paramètre ne peut être modifié que lorsque l'option Gérer ce groupe
(Modifier/Supprimer) est désactivée. Si l'option Gérer ce groupe (Modifier/Supprimer) est activée, ce paramètre
est verrouillé et non modifiable.
97
6. Choisissez la portée de ces permissions, c'est-à-dire quels groupes d'administrateurs sont autorisés à gérer ou à
utiliser ce groupe d'utilisateurs. Une seule des options suivantes peut être active.
l Administrateur uniquement – Les autorisations ne concernent que les administrateurs du groupe
organisationnel parent.
l Tous les administrateurs de ce groupe ou du groupe situé en-dessous – Les autorisations ont une incidence
sur les administrateurs du groupe organisationnel et sur tous les administrateurs de tous les sous-groupes
organisationnels.
Accès aux détails des utilisateurs

Une fois vos utilisateurs et groupes d'utilisateurs en place, vous pouvez afficher toutes les informations sur les
utilisateurs concernant leurs détails, les terminaux associés, les interactions.
Accédez aux informations utilisateur depuis n'importe quel emplacement de Workspace ONE™ UEM Console où apparaît
le nom de l'utilisateur, y compris dans les pages suivantes de la console.
l Membres d'un groupe d'utilisateurs (Comptes > Groupes d'utilisateurs > Affichage des détails > Plus > Afficher les
utilisateurs)
l Affichage de la liste des utilisateurs (Comptes > Utilisateurs > Affichage en liste)
l Affichage de la liste des administrateurs (Comptes > Administrateurs > Affichage en liste).

Les détails de l'utilisateur s'affichent sur une seule page.
l tous les groupes d'utilisateurs associés
l tous les terminaux associés à l'utilisateur à un moment ou à un autre, ainsi qu'un lien vers l'ensemble des terminaux
enrôlés
l tous les terminaux auxquels l'utilisateur s'est connecté dans un environnement de terminaux partagés, ainsi qu'un
lien vers l'historique complet des connexions/déconnexions de terminaux
l tous les journaux d'événements concernant les terminaux et l'utilisateur
l Toutes les conditions d'utilisation attribuées, acceptées et refusées
Chiffrer les données personnelles

Vous pouvez chiffrer les informations d'identification personnelles, notamment le prénom, le nom de famille, l'adresse e-
mail et le numéro de téléphone.
Naviguez vers Groupes et paramètres > Tous les paramètres > Système > Sécurité > Sécurité des données depuis le
groupe organisationnel Global ou de niveau Client pour lequel vous voulez configurer le chiffrement.
1. Activez le paramètre Chiffrer les informations utilisateur, puis sélectionnez les paramètres de données de
l'utilisateur individuel pour activer le chiffrement. Cette action désactive les fonctions de recherche, de tri et de
filtrage.
2. Cliquez sur Enregistrer pour chiffrer les données utilisateur de manière à ce qu'elles ne soient pas accessibles dans la
base de données. En procédant ainsi, vous limiterez certaines fonctionnalités de Workspace ONE™ UEM Console,
comme la recherche, le tri et le filtrage.
98
Affichage en liste des groupes d'utilisateurs

La page d'affichage en liste des groupes d'utilisateurs fournit des outils utiles pour la maintenance et le maintien des
groupes d'utilisateurs communs, notamment l'affichage, la fusion, la suppression des groupes d'utilisateurs et l'ajout
d'utilisateurs manquants. Naviguez vers Comptes > Groupes d'utilisateurs > Affichage en liste.
Vous pouvez utiliser l'affichage en liste des comptes d'utilisateurs pour créer immédiatement des listes d'utilisateurs,
selon les critères que vous jugez importants. Vous pouvez aussi ajouter de nouveaux utilisateurs, individuellement ou en
masse.
Action Description
Filtres Affichez seulement les utilisateurs souhaités en utilisant les filtres suivants.
l Type de groupe d'utilisateurs.
l Statut de synchronisation.
l Statut de fusion.
Ajout
Ajouter un groupe Ajoutez un seul groupe d'utilisateurs, basé sur l'annuaire ou personnalisé.
d'utilisateurs.
Importation par Importez de nouveaux groupes d'utilisateurs par lot en utilisant un fichier de valeurs séparées
lots par des virgules (.csv). Vous pouvez organiser plusieurs groupes d'utilisateurs à la fois en entrant
un nom et une description uniques.
Tri et Les colonnes de l'affichage en liste peuvent être triées par nom de groupe, dernière
redimensionnement synchronisation, utilisateurs et statut de la fusion. Les colonnes qui peuvent être
des colonnes redimensionnées sont Nom du groupe et Dernière synchronisation.
Affichage des Affichez les informations sur les groupes d'utilisateurs basiques dans la vue Détails en
détails sélectionnant le lien dans la colonne Nom du groupe. Ces informations comprennent le nom du
groupe et son type, le type externe, le responsable et un certain nombre d'utilisateurs. La vue
Détails comprend également un lien vers les paramètres de mappage du groupe dans Tous les
paramètres > Terminaux et utilisateurs > Général > Enrôlement dans l'onglet Regroupement.
Exporter ( ) Enregistrez un fichier .csv (valeurs séparées par des virgules) de l'intégralité de l'affichage en liste
qui peut ensuite être ouvert et analysé dans Excel.
L'affichage en liste des groupes d'utilisateurs propose une case à cocher et une icône Modifier, à gauche de
l'utilisateur. L'icône Modifier ( ) vous permet de changer les paramètres basiques du groupe d'utilisateurs. Vous
pouvez effectuer des actions en masse sur des groupes d'utilisateurs en sélectionnant un ou plusieurs groupes afin
d'afficher les boutons d'action sur les listes.
Vous pouvez sélectionner plusieurs groupes d'utilisateurs en cochant autant de cases que vous le souhaitez. Les boutons
d'actions seront alors différents et ces actions s'appliqueront à plusieurs groupes ainsi qu'à leurs utilisateurs respectifs.
99
Action Description
Synchronisation Copiez les utilisateurs du groupe d'utilisateurs récemment ajoutés vers le tableau temporaire,
manuellement, avant la synchronisation d'Active Directory automatiquement programmée par
Afficher les Affiche l'écran Membres d'un groupe d'utilisateurs dans lequel vous pouvez passer en revue les
utilisateurs noms d'utilisateur de tous les membres du groupe d'utilisateurs sélectionné.
Plus d'actions
Afficher et Affichez, ajoutez et/ou supprimez des utilisateurs récemment ajoutés au tableau temporaire des groupes d'utilisateurs.
fusionner Les utilisateurs du groupe d'utilisateurs qui apparaissent dans ce tableau attendent la synchronisation de groupes
d'utilisateurs automatisée de Workspace ONE UEM.
Ajouter les Combinez le tableau temporaire des groupes d'utilisateurs avec le tableau Active Directory, rendant l'ajout de ces
utilisateurs nouveaux utilisateurs au groupe d'utilisateurs officiel.
manquants
Supprimer Supprimez un groupe d'utilisateurs.
Ajouter des utilisateurs aux groupes d'utilisateurs

Lors de l'ajout d'un nouvel utilisateur à un ou plusieurs groupes d'utilisateurs, suivez ces étapes :
1. Naviguez vers Comptes > Utilisateurs > Affichage en liste.
2. Sélectionnez un ou plusieurs utilisateurs dans la liste en cochant la case située à gauche de chaque entrée.
3. Cliquez sur Plus d'actions, puis sur Ajouter un groupe d'utilisateurs. La page Ajouter les utilisateurs sélectionnés à
un groupe d'utilisateurs personnalisé s'affiche.
4. Vous pouvez ajouter des utilisateurs à un groupe d'utilisateurs existant ou créer un nouveau groupe d'utilisateurs.
5. Choisissez le nom du groupe.
7. Naviguez vers Comptes > Groupes d'utilisateurs > Affichage en liste.

a. La synchronisation Active Directory (AD) (processus planifié et automatisé) copie ces utilisateurs du groupe
d'utilisateurs en attente dans un tableau temporaire. Ensuite, ces utilisateurs du groupe d'utilisateurs sont
examinés, ajoutés ou supprimés.
b. Si vous ne souhaitez pas attendre la synchronisation AD automatisée, vous pouvez effectuer la synchronisation
manuellement. Démarrez une synchronisation manuelle en sélectionnant le groupe d'utilisateurs auquel vous
avez ajouté les utilisateurs, puis sélectionnez le bouton Synchroniser.
8. Vous pouvez aussi cliquer sur Plus > Afficher et fusionner pour procéder aux tâches de maintenance comme la
vérification, l'ajout et/ou la suppression des utilisateurs des groupes d'utilisateurs en attente.
9. Combinez le tableau temporaire des utilisateurs du groupe d'utilisateurs en attente avec les utilisateurs du groupe
d'utilisateurs Active Directory en cliquant sur Plus > Ajouter les utilisateurs manquants.
100
Groupes d'administrateurs
Les groupes d'administrateurs vous permettent de regrouper les sous-ensembles de comptes administrateurs pour
l'attribution de rôles et de permissions, au-delà des permissions inhérentes au compte administrateur.
Les groupes d'administrateurs peuvent être utilisés pour attribuer des rôles et des permissions donnant accès à la
console pour un projet spécifique.
Vous pouvez ajouter vos groupes de services d'annuaire existants dans les groupes d'administrateurs ou créer
entièrement des groupes d'utilisateurs.
Par exemple, si vous avez une nouvelle directive d'entreprise, vous pourriez avoir besoin d'attribuer un accès
administrateur spécial à un groupe de formateurs. Vous pouvez créer un groupe d'administrateurs, effectuer une
requête personnalisée pour les formateurs et attribuer un rôle propre à cette nouvelle initiative d'entreprise. Pour plus
d'informations, reportez-vous à la section Comptes administrateur à la page 61.
Affichage en liste des groupes d'administrateurs

La page Affichage en liste des groupes admin propose des outils utiles pour la maintenance et l'entretien des groupes
utilisateur courants. Ce type de maintenance comprend l'ajout, l'affichage, la fusion et la suppression des groupes
d'utilisateurs et des utilisateurs manquants.
Consultez cette page en naviguant vers Comptes > Administrateurs > Groupes d'administrateurs.
Affichez la page Modifier le groupe d'administrateurs en sélectionnant le nom hypertexte dans la colonne Nom de
groupe de la vue de liste. Utilisez cette page pour changer le nom du groupe d'administrateurs. Vous pouvez également
ajouter et supprimer des rôles applicables aux membres du groupe. Pour plus d'informations, reportez-vous à la section
« Rôles administrateur » dans le Guide VMware Workspace ONE™ UEM Console.
Affichez la liste Membres du groupe administrateur en sélectionnant le numéro de lien hypertexte dans la colonne
Admin. Cette liste répertorie les noms de tous les administrateurs du groupe d'administrateurs.
Accédez aux actions et aux fonctions de maintenance suivantes en sélectionnant le bouton radio situé à côté du nom du
groupe.
Action Description
Synchronisation Copiez les utilisateurs du groupe d'administrateurs récemment ajoutés vers le tableau
temporaire, manuellement, avant la synchronisation d'Active Directory automatiquement
programmée par Workspace ONE UEM.
Plus d'actions
Afficher et fusionner Affichez, ajoutez et/ou supprimez des utilisateurs récemment ajoutés au tableau
temporaire des groupes d'administrateurs. Les utilisateurs du groupe d'administrateurs qui
apparaissent dans ce tableau attendent la synchronisation du groupe d'administrateurs
automatisée de Workspace ONE UEM.
Supprimer Supprimer un groupe d'administrateurs
Mettre en premier, Vous pouvez modifier le rang de chaque groupe d'administrateurs comme il apparaît dans la
Déplacer vers le haut, liste. Ceci s'avère utile lorsque les groupes d'administrateurs ne tiennent pas sur une seule
Déplacer vers le bas, page.
Mettre en dernier
Ajoutez les utilisateurs Combinez le tableau temporaire des groupes d'administrateurs avec le tableau Active
manquants. Directory, officialisant ainsi l'ajout de ces nouveaux administrateurs au groupe.
101
Ajouter des groupes d'administrateurs

Vous pouvez ajouter des groupes d'administrateurs pour attribuer des permissions et des rôles supplémentaires à vos
administrateurs pour des projets particuliers.
1. Naviguez vers Comptes > Administrateurs > Groupes d'administrateurs et cliquez sur Ajouter. Configurez les
paramètres appropriés.
Type externe Sélectionnez le type externe de groupe administrateur que vous ajoutez.
l Groupe – Renvoie à la classe d'objets du groupe sur laquelle votre groupe d'administrateurs
est basé. Personnalisez cette classe en accédant à Groupes et paramètres > Tous les
paramètres > Système > Intégration d'entreprise > Services d'annuaire > Groupe.
l Unité organisationnelle – Renvoie à la classe d'objets de l'unité organisationnelle sur

laquelle votre groupe d'administrateurs est basé. Personnalisez cette classe d'objet à
accédant à Groupes et paramètres > Tous les paramètres > Système > Intégration
d'entreprise > Services d'annuaire > Groupe.
l Requête personnalisée – Vous pouvez également créer un groupe d'administrateurs avec

des administrateurs que vous localisez en lançant une requête. En sélectionnant ce type
externe, vous remplacez la fonction Texte recherché mais vous affichez la section Requête
personnalisée.
Nom d'annuaire Le paramètre Lecture seule affiche l'adresse de votre serveur de services d'annuaire.
Domaine et Ces informations sont automatiquement complétées en fonction des informations relatives au
Nom de base serveur des services d'annuaire, saisies sur la page Services d'annuaire (Comptes > Paramètres
unique du > Services d'annuaire).
groupe Sélectionnez le signe plus (+) Récupérer le nom unique de base à côté du paramètre Nom
unique de base du groupe qui affiche la liste des noms de domaine de base que vous pouvez
sélectionner.
Texte recherché Saisissez les critères de recherche pour identifier le nom d'un groupe d'administrateurs dans
votre annuaire puis cliquez sur Rechercher pour le trouver. Si un groupe d'annuaire contient
votre texte de recherche, une liste de noms de groupe apparaît.
En outre, vous pouvez appliquer les rôles par défaut au groupe d'administrateurs que vous
créez. Après une recherche réussie, sélectionnez l'onglet Rôles, puis cliquez sur Ajouter pour
ajouter un nouveau rôle. Vous pouvez également modifier un rôle existant en changeant la
sélection Groupe organisationnel et Rôle.
Ce paramètre est disponible lorsque les options Groupe ou Unité organisationnelle sont
Classe d'objets Ceci permet d'identifier la classe d'objets pour laquelle vous avez lancé votre requête. La classe
personnalisée d'objets par défaut est « Personne », mais vous pouvez fournir une classe d'objets
personnalisée pour mieux identifier vos utilisateurs.
Type externe.
102
Nom unique de Il permet d'identifier le nom unique qui sert de point de départ à votre requête. Par défaut, il
base s'agit de « airwatch » ou de « sso », mais vous pouvez fournir un nom unique de base
personnalisé personnalisé si vous souhaitez effectuer la demande depuis un autre point de départ.
Type externe.
Nom de groupe Choisissez un nom de groupe dans la liste de résultats de la fonction Rechercher le texte. La
sélection d'un nom de groupe altère automatiquement la valeur du paramètre Nom unique.
Ce paramètre n'est disponible qu'une fois votre recherche réussie grâce au champ Texte
recherché.
Nom unique Un paramètre Lecture seule affiche le nom unique du groupe d'administrateurs que vous créez.
Ce paramètre n'est disponible qu'une fois votre recherche réussie grâce au champ Texte
recherché.
Rang Un paramètre Lecture seule affiche le rang du groupe d'administrateurs une fois créé. Vous
pouvez modifier ce rang en accédant à Groupes et paramètres > Groupes > Groupes
d'administrateurs et en déplaçant sa position à l'aide du bouton Plus à droite de la liste de
groupes d'administrateurs.
Synchronisation Cette option active la synchronisation d'annuaire qui permet de détecter l'appartenance de
automatique l'utilisateur depuis le serveur d'annuaire et de la stocker dans un tableau provisoire. Un
administrateur approuve toutes les modifications apportées à la console, sauf si l'option Fusion
automatique est activée.
Fusion Activez cette option pour appliquer automatiquement les modifications depuis la base de
automatique données sans approbation administrative.
Nombre Utilisez ce paramètre afin de définir un seuil pour le nombre de modifications de synchronisation
maximum de automatiques du groupe d'utilisateurs autorisées à se produire avant de donner l'approbation.
modifications Ce paramètre est disponible seulement lorsque l'option Fusion automatique est activée.
autorisées
Ajout Activez cette option pour ajouter automatiquement des administrateurs au groupe
automatique d'administrateurs.
des membres
du groupe
Fuseau horaire Renseignez le fuseau horaire associé au groupe d'administrateurs. Ce paramètre obligatoire
impacte la synchronisation programmée et automatisée d'Active Directory.
Paramètres Sélectionnez la langue associée au groupe d'administrateurs. Ce paramètre est obligatoire.
régionaux
Page d'arrivée Renseignez les éléments de la page d'arrivée initiale pour les administrateurs dans le groupe
initiale d'administrateurs. Le paramètre par défaut pour ce paramètre obligatoire est le tableau de bord
des terminaux, mais vous pouvez choisir la page que vous souhaitez.
103
Requête personnalisée
Requête Ce paramètre affiche la requête actuellement chargée et utilisée lorsque vous sélectionnez le
bouton Requête de test, puis Continuer. Les modifications apportées au champ Logique
personnalisée ou Classe d'objets personnalisées s'afficheront ici.
Logique Ajoutez votre requête de logique personnalisée ici, par exemple, nom d'administrateur. Par
personnalisée exemple, "cn=jsmith". Vous pouvez autant de nom unique que vous le souhaitez. Le bouton
Requête de test vous permet de voir si la syntaxe des résultats de votre demande est correcte
avant de cliquer sur Continuer.
Pour plus d'informations sur le nom unique, recherchez l'article TechNet de Microsoft intitulé « Object
Naming » sur https://technet.microsoft.com.
Voir les attributions

Vous avez la possibilité de confirmer les profils, applications, livres, chaînes et politiques de conformité inclus dans le
groupe attribué ou exclus de celui-ci.
1. Naviguez vers la liste des groupes dans Groupes et paramètres > Groupes > Groupes d'attribution et repérez un
groupe attribué à au moins une entité.
2. Dans la colonne Attributions, sélectionnez le chiffre hypertexte pour ouvrir la page Afficher les attributions. Cette
page affiche uniquement les catégories contenant des attributions ou des exclusions dans le groupe.
Au-dessus de la barre d'en-tête de l'écran Afficher les attributions, trois nouvelles fonctionnalités ont été ajoutées pour
vous aider à confirmer le profil, l'application, le livre, la chaîne ou la politique de conformité de votre choix.
104
Chapitre 7 :
Enrôlement du terminal
L'enrôlement d'un terminal est obligatoire avant de pouvoir gérer celui-ci à l'aide de Workspace ONE™ UEM Console. Il
existe plusieurs chemins d'accès à l'enrôlement, chacun incluant des options.
Enrôlement de terminaux au niveau Global

Pour plus d'informations, consultez la section Raisons pour lesquelles vous ne devez pas enrôler de terminaux dans
Global à la page 145.
Enrôler un terminal auprès de VMware Workspace ONE Intelligent Hub

L'enrôlement d'un terminal auprès de VMware Workspace ONE Intelligent Hub est la principale option pour les terminaux
Windows et iOS.
1. Naviguez vers AWAgent.com depuis le navigateur natif du terminal que vous souhaitez enrôler.
Workspace ONE™ UEM détecte automatiquement si VMware Workspace ONE Intelligent Hub est déjà installé et
vous redirige vers la boutique d'applications mobiles appropriée pour télécharger
VMware Workspace ONE Intelligent Hub, si nécessaire.
Le téléchargement de VMware Workspace ONE Intelligent Hub depuis une boutique d'applications publiques
nécessite un ID Apple ou un compte Google.
2. Exécutez VMware Workspace ONE Intelligent Hub à l'issue du téléchargement ou revenez à votre session de

navigateur.
Important : pour une installation et un fonctionnement sans problèmes de

VMware Workspace ONE Intelligent Hub sur un terminal Android, le terminal doit disposer de 60 Mo d'espace
libre minimum. Sur la plateforme Android, le processeur et la mémoire d'exécution sont alloués par application.
105
Chapitre 7 : Enrôlement du terminal
Si une application utilise plus de ressources que celles qui lui sont allouées, les terminaux Android l'arrête afin
d'optimiser leurs performances.
3. Saisissez votre adresse e-mail. Workspace ONE UEM vérifie si votre adresse a déjà été ajoutée à l'environnement. Si
c'est le cas, vous êtes déjà configuré en tant qu'utilisateur final et votre groupe organisationnel vous a déjà été
attribué.
Si Workspace ONE UEM ne peut pas vous identifier en tant qu'utilisateur final préalablement configuré d'après votre
adresse e-mail, vous serez invité à saisir votre URL d'environnement, votre ID de groupe et vos identifiants. Si votre
URL d'environnement et l'ID de groupe sont nécessaires, votre administrateur Workspace ONE UEM peut les fournir.
4. Finalisez l'enrôlement en suivant tous les autres messages qui s'affichent.
Flux de travail d'enrôlement supplémentaires

Dans certains cas, le processus d'enrôlement doit être adapté à des entreprises ou des déploiements spécifiques. Pour
chacune des options d'enrôlement supplémentaires, les utilisateurs finaux doivent utiliser les identifiants fournis dans la
section Informations requises de ce guide.
l Mode Kiosque et concepteur de kiosques – Les utilisateurs finaux de postes de travail Windows peuvent configurer
leurs terminaux en mode Kiosque. Les utilisateurs peuvent également utiliser le concepteur de kiosques dans
Workspace ONE UEM Console pour créer un kiosque multi-applications.
l Enrôlement par invitation – L'utilisateur final reçoit une notification (par e-mail ou SMS) contenant l'URL
d'enrôlement et saisit son ID de groupe ainsi que ses identifiants de connexion. Lorsque l'utilisateur final accepte les
conditions d'utilisation, le terminal est automatiquement enrôlé et équipé de toutes les fonctionnalités et de
l'ensemble du contenu MDM. Cette acceptation comprend des applications et fonctionnalités sélectionnées depuis
le serveur Workspace ONE™ UEM.
l Enrôlement en un clic – Dans ce processus qui s'applique aux enrôlements basés sur le Web, l'administrateur envoie
à l'utilisateur un jeton généré par Workspace ONE UEM ainsi qu'une URL d'enrôlement. L'utilisateur n'a qu'à
sélectionner le lien fourni pour s'authentifier et enrôler le terminal, ce qui facilite et accélère grandement le processus
d'enrôlement pour l'utilisateur. Cette méthode peut également être sécurisée par un paramètre d'expiration dans le
temps.
o Enrôlement par le Web – L'administrateur peut faire appel à un écran d'accueil facultatif pour les enrôlements
Web en ajoutant « /enroll/welcome » à l'environnement actif. Par exemple, si vous fournissez l'URL
https://<environnementperso>/enroll/welcome aux utilisateurs participant à l'enrôlement par le Web, ils
verront apparaître un écran Bienvenue dans Workspace ONE UEM. Cet écran comprend des options pour
s'enrôler avec une adresse e-mail ou un ID de groupe. L'option d'enrôlement par le Web s'applique à
Workspace ONE UEM versions 8.0 et supérieures.
l Double authentification – Dans ce processus, l'administrateur envoie le même jeton d'enrôlement généré par
Workspace ONE UEM, mais l'utilisateur doit également saisir ses identifiants de connexion. Cette méthode est tout
aussi facile à exécuter que l'enrôlement en un clic, mais fournit un niveau de sécurité supplémentaire. La mesure de
sécurité supplémentaire consiste à demander à l'utilisateur de saisir ses identifiants personnels.
l Inscription par l'utilisateur final – L'utilisateur se connecte au portail self-service (SSP) et inscrit son propre terminal.
Une fois l'inscription terminée, le système envoie à l'utilisateur final un e-mail contenant l'URL d'enrôlement et les
106
identifiants de connexion. Ce processus présuppose que les administrateurs n'ont pas encore effectué d'inscription
de terminaux pour la flotte de terminaux professionnels. Il suppose également que vous requérez que les terminaux
professionnels soient inscrits pour que les administrateurs puissent consulter le statut d'enrôlement. En outre,
l'enregistrement de l'utilisateur final signifie que les terminaux professionnels peuvent être utilisés avec des
terminaux achetés par l'utilisateur.
l Préenrôlement de terminaux à utilisateur unique – L'administrateur enrôle les terminaux pour un utilisateur. Cette
méthode est utile pour les administrateurs qui doivent configurer plusieurs terminaux pour une équipe ou pour des
membres d'une équipe. Une telle méthode permet d'économiser temps et efforts lors de l'enrôlement des
terminaux. L'administrateur peut aussi configurer et enrôler un terminal et l'envoyer directement à un utilisateur qui
n'est pas sur place.
l Préenrôlement de terminaux partagés – L'administrateur enrôle des terminaux qui seront utilisés par plusieurs
personnes. Chaque terminal est enrôlé et équipé d'un ensemble de fonctionnalités spécifiques auxquelles les
utilisateurs ont accès uniquement après s'être connectés avec leurs identifiants personnels.
Activer les jetons d'enregistrement et créer un message par défaut à la page 129.
Inscription du terminal par l'utilisateur final à la page 128.
Inscription du terminal à la page 123.
Préenrôler des terminaux à utilisateur unique à la page 121.
Préenrôler des terminaux partagés à la page 122.
Enrôlement direct de Workspace ONE

L'enrôlement direct à l'aide de VMware Workspace ONE™ constitue le moyen le plus simple de démarrer avec des
terminaux professionnels et personnels (COPE).
Le modèle COPE permet aux entreprises de trouver un équilibre entre la consumérisation des terminaux et la sécurité et
le contrôle requis. En tant qu'administrateur, vous pouvez configurer une invite facultative, appliquer des restrictions par
type de terminal ou des limites par groupe d'utilisateurs, et permettre à l'utilisateur d'installer les applications.
Options prises en charge par l'enrôlement direct de Workspace ONE

L'enrôlement direct avec Workspace ONE™ prend en charge les plateformes et les options d'enrôlement suivantes.
Plateformes prises en charge

l iOS.
l Android hérité.
l Android Enterprise.
Naviguez vers Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement,
sélectionnez chaque onglet applicable et effectuez vos sélections en fonction de la compatibilité avec l'enrôlement direct
de Workspace ONE.
Authentification
Les options d'authentification suivantes sont compatibles avec l'enrôlement direct de Workspace ONE.
107
l Utilisateurs des services d'annuaire.
l Les utilisateurs SAML plus Active Directory sont pris en charge « à la volée ». Les utilisateurs SAML sans LDAP sont
pris en charge tant que l'enregistrement de l'utilisateur préexiste dans Workspace ONE UEM au moment de la
connexion initiale.
Les utilisateurs basiques, préenrôlés, SAML sans annuaire et Proxy d'authentification ne sont pas pris en charge
actuellement.
l Enrôlement ouvert.
l Workspace ONE n'audite pas les paramètres Exiger l'enrôlement par VMware Workspace ONE Intelligent Hub pour
les terminaux iOS ou macOS qui sont utilisés pour bloquer l'enrôlement Web sur leurs plateformes respectives.
Conditions d'utilisation
Toutes les options des conditions d'utilisation sont compatibles avec l'enrôlement direct de Workspace ONE.
Regroupement
Toutes les options de regroupement sont compatibles avec l'enrôlement direct de Workspace ONE.
Restrictions
Les options des restrictions suivantes sont compatibles avec l'enrôlement direct de Workspace ONE.
l Utilisateurs connus et groupes configurés.
l Limite du nombre maximal de terminaux enrôlés.
l Les paramètres de la politique sont partiellement pris en charge.

o Types de propriété autorisés – Workspace ONE affiche une invite uniquement pour les terminaux personnels et
professionnels. Pour éviter cela, désactivez l'invite facultative et utilisez le type de propriété par défaut.
o Les types d'enrôlement autorisés ne sont pas pris en charge.
l Les restrictions relatives au système d'exploitation, au modèle et à la plateforme du terminal sont prises en charge.
l Restrictions de groupe d'utilisateurs.
Invites facultatives
Les invites facultatives suivantes sont compatibles avec l'enrôlement direct de Workspace ONE.
l Demander la propriété du terminal.
l Demander le numéro d'actif (uniquement prise en charge lorsque l'option Demander la propriété du terminal est
activée.).
l Toutes les autres invites facultatives ne sont pas prises en charge.
Personnalisation
Les options de personnalisation suivantes sont compatibles avec l'enrôlement direct de Workspace ONE.
l Utiliser un modèle de message spécifique pour chaque plateforme.
l URL de redirection après l'enrôlement (iOS uniquement).
108
l Message de profil MDM (iOS uniquement).
l Utiliser les applications MDM personnalisées.
l Les options E-mail de support pour l'enrôlement et Numéro de téléphone de support pour l'enrôlement ne sont pas
prises en charge.
Préenrôlement
Le préenrôlement de terminal via l'enrôlement direct de Workspace ONE n'est pas pris en charge. Si vous devez
préenrôler un terminal pour un ou plusieurs utilisateurs, vous devez enrôler le terminal à l'aide de
VMware Workspace ONE Intelligent Hub au lieu d'utiliser l'enrôlement direct de Workspace ONE.
Activation de l'enrôlement direct pour Workspace ONE

Vous devez activer l'enrôlement direct de Workspace ONE™ dans le groupe organisationnel de votre préférence. Une fois
activé, tous les terminaux qualifiés qui se connectent pour la première fois à Workspace ONE UEM sont directement
enrôlés. Les terminaux non qualifiés qui ne répondent pas aux critères que vous définissez sont enrôlés à un état
conteneur ou non géré.
L'enrôlement direct est désactivé par défaut.
Pour activer l'enrôlement direct de Workspace ONE, procédez comme suit.
1. Basculez vers le groupe organisationnel pour lequel vous souhaitez activer l'enrôlement direct de Workspace ONE.
2. Naviguez vers Terminaux et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement
et sélectionnez l'onglet Restrictions.
3. Si nécessaire, sélectionnez Remplacer pour remplacer les paramètres du groupe organisationnel parent.
4. Faites défiler vers le bas jusqu'à la section Conditions de gestion pour Workspace ONE et sélectionnez vos options
de configuration.
MDM requis Invitez les terminaux et les utilisateurs qualifiés à s'enrôler immédiatement après s'être connectés à
pour Workspace ONE.
Workspace Les terminaux en dehors des critères définis sont autorisés à s'enrôler à un état non géré et peuvent
ONE être gérés ultérieurement (gestion adaptative).
Groupe Ce paramètre spécifie le groupe d'utilisateurs que vous souhaitez inclure dans le processus
d'utilisateurs d'enrôlement direct. Vous pouvez également choisir l'option Tous les utilisateurs qui correspond à
affecté la sélection par défaut lorsque vous activez MDM requis pour Workspace ONE.
iOS Activez ce paramètre pour inclure les terminaux iOS. Si cette option est désactivée, les terminaux
iOS ne sont pas éligibles à l'enrôlement direct, mais ils peuvent toujours s'enrôler dans Workspace
ONE UEM à un état non géré.
Android Activez cette option pour inclure les terminaux Android hérités. Si cette option est désactivée, les
hérité terminaux Android hérités ne sont pas éligibles à l'enrôlement direct, mais ils peuvent toujours
s'enrôler dans Workspace ONE UEM à un état non géré.
109
Android Activez ce paramètre pour inclure les terminaux Android Enterprise. Si cette option est désactivée,
Enterprise les terminaux Android Enterprise ne sont pas éligibles à l'enrôlement direct, mais ils peuvent
toujours s'enrôler dans Workspace ONE UEM à un état non géré.

Seules les options prises en charge configurées dans les autres onglets d'enrôlement s'appliquent à votre configuration
d'enrôlement direct enregistrée.
Après avoir activé l'enrôlement direct de Workspace ONE, vous pouvez ensuite Enrôler votre terminal avec l'enrôlement
direct de Workspace ONE à la page 110.
Pour plus d'informations sur les options d'enrôlement direct pour Workspace ONE et les options d'enrôlement en
général, consultez les sections Options prises en charge par l'enrôlement direct de Workspace ONE à la page 107 et
Configurer les options d'enrôlement à la page 131.
Enrôler votre terminal avec l'enrôlement direct de Workspace ONE

Si l'enrôlement direct de Workspace ONE™ est activé, lorsque vous vous connectez au groupe organisationnel
d'enrôlement à l'aide d'un terminal et d'un utilisateur qualifiés avec l'application Workspace ONE, cela signifie que vous
êtes immédiatement enrôlé.
Vos utilisateurs ont également la possibilité d'installer immédiatement les applications que votre entreprise trouve utiles.
Vous pouvez également ignorer cette étape et installer les applications ultérieurement.
Pour enrôler un terminal avec l'enrôlement direct de Workspace ONE, l'utilisateur doit procéder comme suit.
1. Télécharger, installer et exécuter l'application Workspace ONE depuis le référentiel ou le magasin d'applications de la
plateforme.
2. Entrer l'adresse e-mail ou l'URL du serveur.
3. Entrer son nom d'utilisateur et son mot de passe pour les services d'annuaire.
4. Sélectionner les étapes affirmatives spécifiques de sa plateforme pour installer ou activer les services d'espace de
travail.
a. iOS – Autoriser le serveur à ouvrir les paramètres, entrer le code d'accès du terminal, installer un profil de
terminal non signé et ouvrir un écran dans Workspace.
b. Android hérité – Installer VMware Workspace ONE Intelligent Hub, lui permettre de passer et de gérer les appels
téléphoniques, sélectionner le propriétaire de son terminal avec une option pour entrer le numéro d'actif du
terminal, activer l'application d'administration du terminal, puis se connecter à Workspace ONE.
c. Android Enterprise – Accepter (ou refuser) les conditions d'utilisation, établir le profil de travail et créer le code
d'accès Workspace ONE.
5. Lorsque Workspace ONE termine la routine d'installation, vous pouvez continuer à installer des applications.
6. Vous pouvez installer les applications une par une en les sélectionnant dans une liste, toutes les installer ou ignorer
complètement cette étape.
110
Enrôlement basique vs. enrôlement par services d'annuaire

Si vous disposez d'une infrastructure de services d'annuaire comme Active Directory (AD), Lotus Domino et Novell e-
Directory, vous pouvez appliquer des utilisateurs et des groupes existants dans Workspace ONE™ UEM.
Si vous ne possédez pas d'infrastructure de services d'annuaire ou avez choisi de ne pas l'intégrer, vous devez procéder à
un enrôlement basique. L'enrôlement basique correspond à la création manuelle de comptes utilisateur dans
UEM Console.
Remarque : Workspace ONE UEM prend en charge un mélange d'utilisateurs avec enrôlement basique et par services
d'annuaire. Vous pouvez utiliser l'une des deux méthodes pour l'enrôlement initial des utilisateurs et des terminaux.
Avantages et inconvénients
Avantages Inconvénients
Enrôlement l Peut être utilisé pour n'importe quelle l Les identifiants existent uniquement dans
basique méthode de déploiement. Workspace ONE UEM et ne correspondent pas
nécessairement aux identifiants professionnels existants.
l Ne nécessite aucune intégration
l Ne propose pas de sécurité fédérée.
technique.
l L'authentification unique n'est pas prise en charge.
l Ne nécessite aucune infrastructure
l Workspace ONE UEM stocke tous les noms d'utilisateur et
d'entreprise.
mots de passe.
l Peuvent être enrôlés dans l Ne peut pas être utilisé pour l'enrôlement direct de
potentiellement plusieurs groupes Workspace ONE.
d'organisation.
Enrôlement du l Les utilisateurs finaux s'authentifient grâce à l Une infrastructure de services d'annuaire
service leurs identifiants professionnels existants. existants est obligatoire.
d'annuaire l Vous pouvez détecter automatiquement et
l Les déploiements SaaS nécessitent une
synchroniser les modifications depuis le système
d'annuaire dans Workspace ONE UEM. configuration supplémentaire en raison du
connecteur VMware Enterprise Systems
l Méthode sécurisée d'intégration de votre service
Connector installé derrière le pare-feu ou dans
d'annuaire existant.
une zone démilitarisée DMZ.
l Peut être utilisé pour l'enrôlement direct de

Workspace ONE.
l Les déploiements SaaS utilisant

VMware Enterprise Systems Connector ne
nécessitent aucune modification de pare-feu et
offrent une configuration sécurisée pour les
autres infrastructures telles que les serveurs
Microsoft ADCS, SCEP et SMTP.
111
Intégration des services d'annuaire et restrictions d'enrôlement

Lorsque l'intégration des services d'annuaire est configurée sur Workspace ONE™ UEM, les comptes de services
d'annuaire héritent des paramètres d'enrôlement du groupe organisationnel à partir duquel le service d'annuaire est
configuré. Les comptes basiques respectent néanmoins les paramètres locaux, y compris les remplacements.
Par exemple, supposons que l'option Effacer les données professionnelles sur les terminaux des utilisateurs qui sont
supprimés des groupes configurés est activée dans le groupe organisationnel client. Dans ce scénario, les utilisateurs de
l'enrôlement annuaire dans Sales01 qui quittent un groupe configuré voient leurs terminaux effacés malgré la valeur de
remplacement configurée dans ce même groupe. Ce principe s'applique même si ces comptes comportent des terminaux
enrôlés sur un autre groupe organisationnel, parce que les paramètres d'enrôlement sont propres à l'utilisateur et non
au terminal.
Toutefois, dans ce même scénario, les terminaux appartenant à des utilisateurs de l'enrôlement basique du groupe
organisationnel Sales01 qui quittent un groupe configuré ne sont pas effacés. En effet, les utilisateurs de l'enrôlement
basique dans Sales01 ne font pas partie du groupe organisationnel intégré au service d'annuaire. Par conséquent, ils
reconnaissent et respectent la restriction d'enrôlement remplacée.
Critères à prendre en compte pour l'enrôlement basique ou d'annuaire

Lorsque vous prévoyez un enrôlement d'utilisateurs, outre la comparaison des avantages et inconvénients des
utilisateurs basiques et d'annuaire, posez-vous également les questions suivantes.
Pour connaître les avantages et les inconvénients des utilisateurs à enrôlement basique et par services d'annuaire,
consultez la section Enrôlement basique vs. enrôlement par services d'annuaire à la page 111.
Considération n° 1 : Qui peut s'enrôler ?

Pour répondre à cette question, prenez en compte les éléments suivants.
l Votre déploiement MDM a-t-il pour but de gérer les terminaux pour tous les utilisateurs de votre organisation au
niveau du nom unique de base configuré ou au niveau inférieur ? Si c'est le cas, la meilleure façon de procéder est
d'autoriser tous vos utilisateurs à s'enrôler en vous assurant que les cases Limiter l'enrôlement sont désélectionnées.
Vous pouvez autoriser tous les utilisateurs à s'enrôler pendant le déploiement initial et limiter ensuite l'enrôlement
afin d'empêcher les utilisateurs inconnus de s'enrôler. Au fur et à mesure que votre organisation ajoute de nouveaux
employés ou membres aux groupes d'utilisateurs existants, ces modifications seront synchronisées et fusionnées.
l Y a-t-il des utilisateurs ou des groupes qui ne doivent pas être inclus dans MDM ? Si oui, vous devez ajouter les
utilisateurs un par un ou importer par lot un fichier CSV (valeurs séparées par des virgules) d'utilisateurs autorisés
uniquement.
Si vous voulez limiter l'accès à certains utilisateurs ou groupes d'utilisateurs, consultez la section Configurer les
paramètres de restriction d'enrôlement à la page 141.
Considération #2 : Où les utilisateurs seront-ils attribués ?

La méthode d'attribution des utilisateurs d'annuaire aux groupes organisationnels pendant l'enrôlement est un autre
élément à prendre en compte lors de l'intégration de votre environnement Workspace ONE™ UEM aux services
112
d'annuaire. Pour répondre à cette question, prenez en compte les éléments suivants.
l Avez-vous créé une structure de groupes organisationnels correspondant aux groupes de vos services d'annuaire ?
Vous devez effectuer cette tâche avant de pouvoir modifier l'attribution des utilisateurs.
l Si vos utilisateurs enrôlent leurs propres terminaux, il est facile de sélectionner un ID de groupe dans une liste. Cette
simplicité est cependant compensée par la possibilité d'une erreur humaine, qui peut conduire à des attributions de
groupe incorrectes.
Vous pouvez sélectionner automatiquement un ID de groupe en fonction d'un groupe d'utilisateurs ou autoriser les
utilisateurs à choisir un ID de groupe dans une liste. Ces options de mode d'attribution de l'ID de groupe sont
disponibles en naviguant vers Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général >
Enrôlement et en sélectionnant l'onglet Regroupement.
Si vous voulez configurer les options d'ID de groupe, consultez la section Configurer les options d'enrôlement dans
l'onglet Regroupement à la page 133.
* Le nom unique de base, ou le nom unique, est le point à partir duquel un serveur recherche des utilisateurs. Un nom unique identifie de façon
unique une entrée dans le répertoire. Chaque entrée dans le répertoire dispose d'un nom unique.
Activer l'enrôlement basique

L'enrôlement basique renvoie au processus de création manuelle des comptes utilisateur et des groupes d'utilisateurs
pour chacun des utilisateurs de votre organisation. Si votre organisation n'intègre pas Workspace ONE™ UEM avec un
service d'annuaire, l'enrôlement basique correspond à la façon dont vous créez les comptes utilisateur.
Si vous devez créer un petit nombre de comptes basiques, créez-les un par un tel que décrit dans la section Création de
comptes utilisateur basiques à la page 49.
Pour les enrôlements basiques impliquant un plus grand nombre d'utilisateurs finaux, vous pouvez gagner du temps en
remplissant et en important des modèles CSV (valeurs séparées par des virgules). Ces fichiers contiennent toutes les
informations utilisateur via la fonction d'importation par lot. Pour plus d'informations, reportez-vous à la section
Importer par lots les utilisateurs ou les terminaux à la page 58.
Enrôlement BYOD (Bring Your Own Device - Utilisation de terminaux

personnels)
L'un des principaux défis de la gestion des terminaux personnels est d'identifier et de distinguer les appareils
professionnels des appareils personnels, puis de limiter l'enrôlement aux terminaux approuvés uniquement.
Workspace ONE™ UEM vous permet de configurer de nombreuses options pour personnaliser l'expérience utilisateur
d'enrôlement d'un terminal personnel. Avant de commencer, vous devez déterminer comment planifier l'identification
des terminaux personnels dans votre déploiement et si vous souhaitez leur appliquer des restrictions d'enrôlement.
Critères à prendre en compte pour l'enrôlement, Utilisation de terminaux personnels

Si vous autorisez les employés à enrôler leurs terminaux personnels dans votre environnement Workspace ONE™ UEM,
vous devez prendre en compte de nombreux critères au préalable.
Considération n° 1 : les utilisateurs BYOD s'enrôleront-ils auprès de VMware Workspace One ou de

VMware Workspace ONE Intelligent Hub ?
VMware Workspace ONE est une plateforme d'entreprise simple et sécurisée qui distribue et gère n'importe quelle
application sur n'importe quel terminal. Pour commencer, elle comprend une authentification unique en self-service
113
pour accéder aux applications Cloud, mobiles et Windows ainsi que des outils de collaboration, de fichier, de calendrier et
de messagerie solidement intégrés.
Grâce à Workspace ONE, les utilisateurs n'ont plus besoin d'enrôler leurs terminaux personnels pour accéder aux
services. L'application Workspace ONE peut être téléchargée depuis l'Apple App Store, Google Play ou le Microsoft Store,
avant d'être installée. Un utilisateur se connecte alors et accède aux applications en fonction des politiques établies.
Workspace ONE configure un profil de gestion MDM lors de son installation ce qui permet d'enrôler automatiquement le
terminal.
VMware Workspace ONE Intelligent Hub représente l'option d'enrôlement héritée pour les terminaux mobiles. Pour plus
d'informations, consultez la section Enrôler un terminal auprès de VMware Workspace ONE Intelligent Hub à la page 105.
Considération #2 : Comment pourrez-vous préciser le type de propriété ?

Chaque terminal enrôlé dans Workspace ONE UEM se voit assigner un type de propriété : professionnel, partagé ou
personnel. Les terminaux personnels des employés sont catégorisés comme étant de type Personnel et sont soumis aux
restrictions et aux paramètres de confidentialité que vous avez configurés pour ce type.
Lorsque vous précisez un type de propriété, prenez en considération les éléments suivants.
l Avez-vous accès à une liste maîtresse de terminaux professionnels que vos pouvez importer en masse dans
UEM Console ? Si c'est le cas, vous pourriez envisager d'importer cette liste et de définir le type de propriété par
défaut sur Personnel.
l Avez-vous considéré les implications légales qu'entraine l'autorisation donnée aux utilisateurs de sélectionner un
type de propriété dans une liste ? Imaginons par exemple qu'un utilisateur enrôle un terminal personnel, mais
sélectionne par erreur le type de propriété professionnel. Quelles sont les conséquences si un utilisateur enfreint une
politique et vide entièrement son terminal personnel ?
Pour votre programme BYOD, vous pouvez configurer Workspace ONE UEM et ainsi appliquer un type de propriété par
défaut lors de l'enrôlement ou autoriser les utilisateurs à sélectionner eux-mêmes le type de propriété approprié.
Considération n° 3 : Appliquerez-vous des restrictions d'enrôlement supplémentaires pour les terminaux personnels
?
Pour répondre à cette question, prenez en compte les éléments suivants.
l Votre déploiement MDM ne prend-t-il en charge que certaines plateformes ? Si c'est le cas, vous pouvez préciser
lesquelles et n'autoriser que l'enrôlement des terminaux fonctionnant sur ces plateformes.
l Limitez-vous le nombre de terminaux personnels qu'un employé peut enrôler ? Si c'est le cas, vous pouvez préciser le
nombre maximum de terminaux qu'un utilisateur est autorisé à enrôler.
Vous pouvez définir des restrictions d'enrôlement supplémentaires afin de contrôler qui procède à l'enrôlement et quels
types de terminaux sont autorisés. Vous pouvez par exemple choisir de prendre en charge uniquement les terminaux
Android disposant de la fonctionnalité intégrée de gestion d'entreprise. Une fois que votre entreprise a évalué le type de
terminaux que les employés possèdent et décidé lesquels d'entre eux ils souhaitent utiliser dans votre environnement
professionnel, vous pouvez configurer ces paramètres.
Pour plus d'informations, consultez la section Restrictions d'enrôlement supplémentaires à la page 140.
Identifier les terminaux professionnels et préciser le type de propriété par défaut

Il est utile de préparer une liste de terminaux si vous avez un mélange de terminaux professionnels et de terminaux
personnels que les employés enrôlent eux-mêmes.
114
Lorsque l'enrôlement commence, les terminaux que vous avez identifiés comme appartenant à l'entreprise ont leur type
de propriété configuré automatiquement en fonction de votre sélection. Vous pouvez ensuite configurer tous les
terminaux personnels qui ne sont pas sur la liste afin de les enrôler avec un type de propriété personnel.
La procédure suivante explique comment importer la liste des terminaux professionnels préapprouvés. Vous pouvez
appliquer automatiquement le type de propriété professionnel après l'enrôlement, même si une restriction applique
automatiquement le type de propriété personnel.
Les restrictions pour un enrôlement ouvert, en revanche, autorisent ou bloquent explicitement l'enrôlement des
terminaux dont les paramètres correspondent à ceux que vous indiquez, par exemple la plateforme, le modèle et le
système d'exploitation.
1. Accédez à Terminaux > Cycle de vie > Statut d'enrôlement et sélectionnez Ajouter, puis Importation par lot pour
afficher l'écran Importation par lot.
Vous pouvez également sélectionner Ajouter, puis Terminaux sur liste blanche pour saisir jusqu'à 30 terminaux sur
liste blanche à la fois par IMEI, UDID ou numéro de série. Vous pouvez également indiquer Professionnel ou Partagé
comme type de propriété.
2. Saisissez un nom de lot et une description de lot, puis sélectionnez Ajouter un terminal mis sur liste blanche
comme Type de lot.
3. Sélectionnez le lien « Télécharger le modèle avec un exemple pour les terminaux mis sur liste blanche » et enregistrez
ce modèle de valeurs séparées par des virgules (CSV, comma-separated values) dans un endroit auquel vous avez
accès. Modifiez ce fichier CSV avec Excel pour ajouter tous les terminaux que vous souhaitez ajouter à la liste
blanche, puis enregistrez le fichier.
4. Sélectionnez Choisir un fichier et sélectionnez votre fichier CSV enregistré.
5. Sélectionnez Importer pour importer les informations sur le terminal dans votre liste blanche.
Définissez maintenant le type de propriété de terminal par défaut sur Personnel pour l'enrôlement libre.
1. Accédez à Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement et
2. Sélectionnez Personnel comme type de propriété de terminal par défaut.
3. Sélectionnez le rôle par défaut attribué à l'utilisateur qui détermine son niveau d'accès au portail self-service (SSP).
4. Sélectionnez l'action par défaut pour les utilisateurs inactifs, ce qui détermine comment agir si l'utilisateur est
marqué comme inactif.
Demander aux utilisateurs d'identifier le type de propriété

Si votre déploiement dispose de plusieurs groupes organisationnels avec plusieurs types de propriété, vous pouvez
demander aux utilisateurs d'identifier le type de propriété pendant l'enrôlement.
1. Accédez à Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement et
sélectionnez l'onglet Invite facultative.
2. Cliquez sur Demander le type de propriété du terminal. Pendant l'enrôlement, il est demandé aux utilisateurs de
115
sélectionner le type de propriété.

Risques
Cette approche est simple et suppose que chaque utilisateur sélectionne correctement le type de propriété qui
s'applique à son terminal.
Si un utilisateur de terminal personnel sélectionne le type professionnel, son terminal est désormais assujetti à des
politiques et à des profils qui ne s'appliquent pas normalement. Cette sélection erronée peut avoir des répercutions
légales sérieuses concernant la confidentialité de l'utilisateur.
Vous pouvez toujours mettre à jour le type de propriété ultérieurement, mais il est plus sûr d'établir la liste des
terminaux professionnels. Enrôlez ensuite les terminaux professionnels séparément, puis définissez le type de propriété
par défaut sur Personnel.
Effacement des données professionnelles pour les terminaux BYOD

Un aspect essentiel de votre déploiement BYOD consiste à supprimer le contenu d'entreprise lorsqu'un employé quitte
celle-ci ou lorsqu'un terminal est perdu ou volé. Workspace ONE UEM vous permet d'effectuer un effacement des
données professionnelles sur les terminaux pour supprimer tout le contenu d'entreprise et l'accès, tout en conservant les
paramètres et les fichiers personnels.
Workspace ONE UEM vous permet de choisir la façon dont un effacement des données professionnelles s'applique à des
applications VPP publiques et achetées qui se trouvent dans une zone grise entre les terminaux professionnels et
personnels. L'effacement des données professionnelles désenrôle également le terminal de Workspace ONE UEM et
supprime tout le contenu activé via MDM qui se trouve sur celui-ci. Cela inclut les comptes de messagerie, les paramètres
VPN, les profils Wi-Fi, le contenu sécurisé et les applications d'entreprise.
Si vous avez utilisé des codes d'échange dans le cadre du programme d'achats en grande quantité (VPP) d'Apple pour les
terminaux sous iOS 6 et versions antérieures, vous ne pouvez pas récupérer les licences rachetées pour cette application.
Une fois installée, l'application est associée au compte App Store de l'utilisateur. Cette association est irréversible.
Cependant, vous pouvez échanger des codes de licences utilisés pour iOS 7 et versions ultérieures.
Auto-enrôlement ou préenrôlement
Workspace ONE™ UEM prend en charge deux méthodes d'enrôlement des terminaux professionnels. Vous pouvez laisser
vos utilisateurs enrôler leurs propres terminaux ou les administrateurs peuvent le faire à leur place dans le cadre d'un
processus appelé pré-enrôlement du terminal.
Lors du préenrôlement des terminaux, l'administrateur enrôle les terminaux avant de les attribuer et de les distribuer aux
utilisateurs. Cette méthode est utile pour les administrateurs qui doivent configurer des terminaux partagés par plusieurs
utilisateurs dans l'organisation.
Le préenrôlement des terminaux fonctionne également parfaitement pour les terminaux provisionnés puisqu'il est
effectué avant que l'employé ne reçoive le terminal. Si vos utilisateurs ont déjà des terminaux d'entreprise, il est conseillé
de les autoriser à s'auto-enrôler. Le fait de laisser les utilisateurs enrôler leurs propres terminaux est également
intéressant lorsque le nombre total de terminaux ne permet pas aux administrateurs d'effectuer leur préenrôlement.
Le préenrôlement peut être réalisé sur les terminaux Android, Windows Phone, iOS et macOS.
116
Remarque : Windows Phone ne prend actuellement en charge que le préenrôlement des terminaux à utilisateur
unique.
Pour plus d'informations, consultez la section Enrôlement direct de Workspace ONE à la page 107.
Critères à prendre en compte pour l'enrôlement, enrôlement automatique

Si vous souhaitez gagner du temps en autorisant les utilisateurs à s'auto-enrôler, prenez en compte les éléments
suivants.
Considération n° 1 : Propriété du terminal

l Vos utilisateurs ont-il déjà des terminaux professionnels attribués ? Si c'est le cas, il est plus pratique d'autoriser les
utilisateurs à procéder eux-mêmes à l'enrôlement plutôt que de collecter chaque terminal pour le préenrôler.
l Vos utilisateurs partagent-ils les terminaux ou utilisent-ils leurs propres appareils ? S'ils ne partagent pas les
terminaux, vous pouvez alors confier la responsabilité de l'enrôlement à chaque utilisateur.
Considération #2 : Détection automatique

Associez-vous votre domaine de messagerie d'entreprise à l'environnement Workspace ONE™ UEM ? Ce processus,
connu sous le nom de détection automatique, signifie que les utilisateurs n'ont besoin que de leur adresse e-mail et de
leurs identifiants. L'URL d'enrôlement et l'ID de groupe sont entrés automatiquement.
Consultez également Configuration de l'enrôlement par détection automatique à partir d'un sous-groupe
organisationnel à la page 147 et Configuration de l'enrôlement par détection automatique à partir d'un groupe
organisationnel parent à la page 146.
Considération n° 3 : Enrôlement direct de Workspace ONE

L'enrôlement direct de Workspace ONE est une fonction qui convient parfaitement à l'auto-enrôlement. Une fois activés,
tous les terminaux qualifiés qui se connectent au groupe organisationnel d'enrôlement sont immédiatement enrôlés.
Une fois l'installation terminée, l'utilisateur final peut accepter d'installer les applications sélectionnées par l'entreprise ou
refuser leur installation.
Processus d'auto-enrôlement
L'auto-enrôlement peut nécessiter que les utilisateurs connaissent leur ID de groupe et leurs identifiants de connexion. Si
vous avez intégré les services d'annuaire, ces identifiants sont les mêmes que ceux des services d'annuaire.
Vous pouvez également associer votre domaine de messagerie d'entreprise avec l'environnement
Workspace ONE™ UEM dans le cadre d'un processus appelé détection automatique. Lorsque l'option de détection
automatique est activée, les terminaux des plateformes prises en charge invitent les utilisateurs à saisir leur adresse e-
mail. Ces terminaux effectuent l'enrôlement automatiquement si leur domaine de messagerie (la partie à droite du
caractère @) correspond, sans qu'ils aient besoin d'entrer un ID de groupe ou une URL d'enrôlement. Pour plus
d'informations, consultez la section Enrôlement par détection automatique à la page 146.
117
1. Les utilisateurs accèdent à AWAgent.com qui détecte automatiquement si VMware Workspace ONE Intelligent Hub

est installé. S'il n'est pas installé, le site Web les redirige vers l'app store mobile approprié.
2. Les utilisateurs d'AirWatch Container téléchargent l'application AirWatch Container depuis le magasin d'applications.
3. Après avoir lancé VMware Workspace ONE Intelligent Hub ou l'application Container, les utilisateurs saisissent leurs
identifiants, en plus de leur adresse e-mail ou de l'URL/ID de groupe, et poursuivent l'enrôlement.
Critères à prendre en compte pour l'enrôlement, préenrôlement des terminaux

Les administrateurs peuvent enrôler des terminaux au nom des utilisateurs lors d'un processus appelé Préenrôlement
des terminaux. Le préenrôlement des terminaux sert à simplifier le processus d'enregistrement et à enrôler les terminaux
iOS partagés par plusieurs utilisateurs. Vous pouvez également préenrôler les terminaux afin de provisionner rapidement
une flotte complète de terminaux avec Apple Configurator.
Considération n° 1 : Utilisation du préenrôlement des terminaux

Sauf si vous utilisez Apple Configurator, les administrateurs doivent préenrôler les terminaux les uns après les autres.
Pour les déploiements de grande taille, prenez en compte le temps et le personnel nécessaires.
Si les administrateurs peuvent préenrôler facilement les nouveaux terminaux, les employés qui utilisent déjà des
terminaux appartenant à l'entreprise doivent envoyer et récupérer leurs terminaux pour qu'ils soient préenrôlés.
Si vous avez des milliers de terminaux à préenrôler, le préenrôlement peut prendre du temps. Ainsi, cette méthode
fonctionne mieux si vous avez un nouveau lot de terminaux en arrivage, puisque vous avez accès aux terminaux avant
que les employés ne les reçoivent.
Le préenrôlement peut être réalisé sur les terminaux Android, Windows Phone, iOS de plusieurs façons :
l Utilisateur unique (standard) – S'utilise lorsque vous préenrôlez un terminal que n'importe quel utilisateur peut
enrôler.
l Utilisateur unique (avancé) – Permet le préenrôlement et l'enrôlement d'un terminal pour un utilisateur spécifique.
l Utilisateurs multiples – Permet le préenrôlement d'un terminal qui sera partagé par plusieurs utilisateurs.
Remarque : Windows Phone ne prend actuellement en charge que le préenrôlement des terminaux à utilisateur
unique.
Considération #2 : Participez-vous au programme d'enrôlement des terminaux Apple ?

Pour tirer le meilleur parti des terminaux Apple enrôlés dans le MDM, Apple a mis en place le programme d'inscription
des appareils Apple (Device Enrollment Program, aussi appelé DEP). Grâce à DEP, vous pouvez réaliser les actions
suivantes.
l Installer un profil MDM non supprimable afin d'empêcher les utilisateurs finaux de l'effacer.
l Déployer des terminaux en mode Supervisé (iOS uniquement). Les terminaux en mode supervisé peuvent accéder à
des paramètres de configuration et de sécurité supplémentaires.
l Appliquer un enrôlement pour tous utilisateurs finaux.
l Répondre aux besoins de votre entreprise en personnalisant et en simplifiant le processus d'enrôlement.
118
l Empêcher la sauvegarde dans iCloud en désactivant l'option autorisant les utilisateurs à se connecter avec un
identifiant Apple lors de la génération d'un profil DEP.
l Forcer les mises à jour d'OS pour tous les utilisateurs.
Considération n° 3 : Utilisation d'Apple Configurator

Apple Configurator permet aux administrateurs de déployer et gérer efficacement les terminaux iOS. Les organisations
telles que les magasins, les écoles ou les hôpitaux trouveront cette fonctionnalité particulièrement utile pour préenrôler
des terminaux afin qu'ils soient partagés par plusieurs utilisateurs.
L'utilisation d'Apple Configurator pour enrôler des terminaux pré-inscrits et destinés à un seul utilisateur est prise en
charge en ajoutant le numéro de série/l'IMEI à un terminal inscrit dans la console AirWatch. L'un des principaux
avantages d'Apple Configurator est l'utilisation d'un hub USB ou d'un chariot de terminal pour provisionner plusieurs
terminaux en quelques minutes.
Considération n° 4 : utilisation de l'enrôlement direct de Workspace ONE

Considération n° 5 : préenrôlement d'un utilisateur unique ou inscription ?

Si vous envisagez de préenrôler des terminaux pour un utilisateur unique, il serait préférable de procéder à une
inscription. La différence entre le préenrôlement pour un utilisateur unique et l'inscription d'un terminal est subtile, mais
importante.
Inscription – Lorsque vous inscrivez un terminal, vous le faites pour un utilisateur identifié unique. Cette procédure
signifie que le terminal s'attend à ce que le premier utilisateur à se connecter soit l'utilisateur pour lequel il a été
enregistré. Si un autre utilisateur tente de se connecter à un terminal inscrit, le terminal est verrouillé pour des raisons de
sécurité et il ne peut pas être enrôlé.
Préenrôlement d'un utilisateur unique – Lorsque vous préenrôlez un terminal, vous le faites pour tous les utilisateurs
qualifiés pour s'enrôler dans Workspace ONE™ UEM. En théorie, vous pourriez remettre un terminal préenrôlé à
n'importe quel utilisateur qualifié, qui pourrait alors se connecter au terminal et s'enrôler dans Workspace ONE UEM.
Le processus de préenrôlement vous permet de préparer le terminal et de démarrer
VMware Workspace ONE Intelligent Hub, auquel n'importe quel utilisateur qualifié peut se connecter.
Workspace ONE UEM effectue ensuite une réattribution ponctuelle pour associer le terminal à cet utilisateur.
Mode supervisé
Les administrateurs ont la possibilité d'activer le mode supervisé pour les terminaux enrôlés via Apple Configurator,
permettant ainsi d'utiliser davantage de fonctionnalités de sécurité avancées. Cependant, ce mode entraîne certaines
limites sur le terminal.
Avantages
Une fois le terminal supervisé et enrôlé dans Workspace ONE UEM, l'administrateur dispose des fonctionnalités avancées
de configuration suivantes par rapport aux terminaux classiques.
119
l Restrictions élevées sur le MDM

o Empêchez les utilisateurs de supprimer les applications. La suppression d'applications peut aussi être limitée
localement sur le terminal à l'aide des restrictions dans la section Configuration du système.
o Interdisez AirDrop.
o Empêchez les utilisateurs de modifier les paramètres du compte de messagerie et d'iCloud afin d'éviter toute
modification du compte.
o Désactivez iMessage.
o Définissez les restrictions de notations du contenu dans l'iBookstore.
o Désactivez Game Center et iBookstore.
l Sécurité avancée
o Empêchez les utilisateurs de consulter des sites pour adultes dans Safari.
o Déterminez quels terminaux peuvent se connecter aux destinations spécifiées d'AirPlay, telles qu'Apple TVs.
o Empêchez l'installation de profils de configuration non gérés ou de certificats.
o Forcez tout le trafic réseau à travers un proxy HTTP global.
l Mode Kiosque
o Verrouillez les terminaux sur une application grâce au mode Application unique et désactivez le bouton d'accueil.
l Personnaliser le papier peint et le texte sur le terminal
l Activer ou effacer le verrou d'activation
Limites
l L'accès USB aux terminaux supervisés est limité au Mac de surveillance.
l Impossible de copier des données vers et depuis le terminal à l'aide d'iTunes, à moins que le certificat d'identité Apple
Configurator ne soit installé sur le terminal.
o Les médias tels que les photos et les vidéos ne peuvent pas être copiés depuis le terminal sur un PC ou un Mac.
Pour transférer ce type de données, utilisez VMware Content Locker pour synchroniser le contenu avec la
section Documents personnels de l'utilisateur. Vous pouvez sinon utiliser une application de partage de fichiers
pour transférer les données par WLAN/WWAN sur un serveur.
l Le mode supervisé empêche l'accès aux journaux depuis les terminaux avec iPhone Configuration Utility (IPCU).
o Ce mode complique la résolution des problèmes d'applications ou de terminaux. Les journaux des terminaux ne
peuvent en effet s'obtenir que si le terminal est connecté au Mac qui le supervise. Pour relever certains défis,
utilisez le SDK Workspace ONE™ UEM afin d'envoyer les journaux, des applications à UEM Console.
l Les terminaux ne peuvent pas être réinitialisés avec les paramètres d'usine facilement.
o Une fois le terminal réinitialisé aux paramètres d'usine, il doit être rapporté au Mac de surveillance pour rétablir
le mode supervisé. Cette procédure peut être problématique si le Mac ne se trouve pas près du terminal.
120
Pour décider si oui ou non vous devez activer le mode supervisé, prenez en compte les éléments suivants. Malgré
l'activation de fonctions de sécurité supplémentaires sur le terminal, vous devez considérer les limites USB.
La proximité entre le terminal et le Mac de surveillance est déterminante dans la prise de décision. Étant donné que les
limites de l'USB empêchent l'accès aux journaux du côté du terminal, si un appareil rencontre des problèmes, il doit être
renvoyé dans un dépôt et à nouveau préenrôlé pour restaurer les fonctionnalités.
Le choix de superviser ou de ne pas superviser à l'avance les terminaux est important, car ce processus obligera l'envoi
des appareils vers un dépôt ou des bureaux informatiques.
Préenrôler des terminaux à utilisateur unique

Utile pour les administrateurs informatiques déployant une flotte de terminaux, le préenrôlement de terminaux à
utilisateur unique de Workspace ONE UEM Console permet à un seul administrateur de provisionner les terminaux à la
place des utilisateurs.
1. Naviguez vers Comptes > Utilisateurs > Affichage en liste et cliquez sur Modifier pour le compte utilisateur pour
lequel vous souhaitez activer le préenrôlement.
2. Sur la page Ajouter/Modifier un utilisateur, cliquez sur l'onglet Avancé.

a. Faites défiler vers le bas jusqu'à la section Préenrôlement.
b. Cliquez sur Activer le préenrôlement de terminaux.
c. Sélectionnez les paramètres de préenrôlement qui s'appliquent à cet utilisateur de préenrôlement.
3. L'option Terminaux à utilisateur unique préenrôle les terminaux pour un utilisateur unique. Sélectionnez le type de
mode de préenrôlement de terminal à utilisateur unique en choisissant Standard ou Avancé. Avec le préenrôlement
standard, un utilisateur final devra entrer ses informations de connexion après le préenrôlement, tandis qu'en mode
Avancé, l'utilisateur du préenrôlement enrôle le terminal pour un autre utilisateur.
4. Assurez-vous que l'option Terminaux partagés est désactivée.
5. Enrôlez le terminal en suivant l'une des deux méthodes suivantes.

l Enrôlez le terminal à l'aide de VMware Workspace ONE Intelligent Hub en saisissant une URL de serveur et un ID
de groupe.
l Ouvrez le navigateur Internet du terminal, naviguez vers l'URL d'enrôlement et saisissez l'ID de groupe.
6. Saisissez vos identifiants d'utilisateur de préenrôlement lors de l'enrôlement. Le cas échéant, indiquez que le
préenrôlement concerne un terminal à utilisateur unique. Vous n'aurez à indiquer cela que si le préenrôlement de
terminaux partagés est également activé.
7. Terminez le préenrôlement avancé ou standard.

l En cas de préenrôlement avancé, vous devez saisir le nom d'utilisateur de la personne qui utilisera le terminal.
Poursuivez l'enrôlement en installant le profil MDM et en acceptant l'ensemble des invites et des messages.
121
l Dans le cas d'un préenrôlement standard, à la fin de celui-ci il est demandé à l'utilisateur final de saisir ses
identifiants dans la fenêtre de connexion.
L'inscription intermédiaire du terminal est maintenant terminée ; il est prêt à être utilisé par le nouvel utilisateur.
Préenrôler des terminaux partagés

Le préenrôlement de terminaux partagés permet à un administrateur informatique de configurer des terminaux qui
seront ensuite utilisés par plusieurs utilisateurs. Le préenrôlement de plusieurs utilisateurs permet au terminal de
modifier dynamiquement son utilisateur attribué selon que différents utilisateurs du réseau se connectent à ce terminal.
1. Naviguez vers Comptes > Utilisateurs > Affichage en liste et cliquez sur Modifier pour le compte utilisateur pour
lequel vous souhaitez activer le préenrôlement.
2. Sur la page Ajouter/Modifier un utilisateur, cliquez sur l'onglet Avancé.

a. Faites défiler vers le bas jusqu'à la section Préenrôlement.
b. Cliquez sur Activer le préenrôlement de terminaux.
c. Sélectionnez les paramètres de préenrôlement qui s'appliquent à cet utilisateur de préenrôlement.
3. L'option Terminaux à utilisateur unique préenrôle les terminaux pour un utilisateur unique. Sélectionnez le type de
mode de préenrôlement de terminal à utilisateur unique en choisissant Standard ou Avancé. Avec le préenrôlement
standard, un utilisateur final devra entrer ses informations de connexion après le préenrôlement, tandis qu'en mode
Avancé, l'utilisateur du préenrôlement enrôle le terminal pour un autre utilisateur.
4. Assurez-vous que l'option Terminaux partagés est activée.
5. Enrôlez le terminal en suivant l'une des deux méthodes suivantes.

l Enrôlez le terminal à l'aide de VMware Workspace ONE Intelligent Hub en saisissant une URL de serveur et un ID
de groupe.
l Ouvrez le navigateur Internet du terminal, naviguez vers l'URL d'enrôlement et saisissez l'ID de groupe.
6. Saisissez vos identifiants d'utilisateur de préenrôlement lors de l'enrôlement. Le cas échéant, indiquez que le
préenrôlement concerne un terminal à utilisateur unique. Vous n'avez à indiquer cela que si le préenrôlement de
terminaux partagés est également activé.
7. Terminez le préenrôlement avancé ou standard.

l En cas de préenrôlement avancé, vous devez saisir le nom d'utilisateur de la personne qui utilisera le terminal.
Poursuivez l'enrôlement en installant le profil MDM et en acceptant l'ensemble des invites et des messages.
l Dans le cas d'un préenrôlement standard, à la fin de celui-ci il est demandé à l'utilisateur final de saisir ses
identifiants dans la fenêtre de connexion.
Le préenrôlement du terminal est maintenant terminé ; il est prêt à être utilisé par les nouveaux utilisateurs.
122
Inscription du terminal
L'inscription des terminaux avant leur enrôlement est facultative, et son principal avantage est de limiter l'enrôlement
aux terminaux inscrits uniquement.
Un autre avantage est le suivi des statuts d'enrôlement, ce qui vous permet de savoir lesquels de vos utilisateurs sont
enrôlés, et lesquels ne le sont pas. Vous pouvez alors informer les utilisateurs qui ne sont pas encore enrôlés.
Workspace ONE™ UEM peut inscrire les terminaux même lorsqu'il manque les identificateurs de terminaux lors de la
phase de saisie des données, par les utilisateurs ou les administrateurs.
La sécurité constitue un troisième avantage de l'inscription des terminaux avant l'enrôlement. Un terminal inscrit s'attend
à ce que l'utilisateur qui se connecte pour la première fois soit la personne pour laquelle il a été inscrit. Si un autre
utilisateur tente de se connecter à un terminal inscrit, ce dernier est verrouillé et ne peut pas s'enrôler.
Critères à prendre en compte pour l'enrôlement, inscription

Si vous souhaitez enregistrer les terminaux avant de les enrôler, prenez en compte les éléments suivants.
Qui inscrira les terminaux ?

Ceci est important à prendre en compte lorsque l'inscription des terminaux décide qui l'effectue.
l Quel est le nombre total de terminaux pour votre déploiement ? Dans les déploiements de plusieurs milliers de
terminaux, vous pouvez ajouter ces informations dans un fichier de valeurs séparées par des virgules (CSV, comma-
separated values). Vous téléchargez ensuite ce fichier avant que les terminaux soient provisionnés. Vous pouvez
également transmettre l'acte d'inscription du terminal à l'utilisateur final.
l Prenez-vous en charge un programme BYOD permettant aux employés d'utiliser leurs terminaux personnels. Si vous
choisissez de limiter l'enrôlement aux terminaux inscrits uniquement, vous devrez donner des consignes aux
employés pour qu'ils inscrivent leurs terminaux.
Inscription des terminaux par l'utilisateur via le SSP

Vous pouvez diriger les utilisateurs vers l'inscription de leurs propres terminaux avant leur enrôlement dans
Workspace ONE™ UEM si vous prenez en charge les terminaux BYOD. Vous pouvez également demander aux utilisateurs
de terminaux professionnels de les inscrire si vous voulez suivre leur enrôlement ou bien d'utiliser des jetons
d'enregistrement. Dans les deux cas, vous devez notifier vos utilisateurs du processus à suivre.
Les consignes suivantes impliquent que l'utilisateur dispose d'identifiants Workspace ONE UEM issus de son service
d'annuaire actuel ou d'un compte utilisateur précédemment activé. Si vous avez opté pour un enrôlement avec les
services d'annuaire sans ajouter manuellement les utilisateurs, vous n'aurez pas de compte utilisateur créé.
Dans ce cas, si vous voulez que les utilisateurs inscrivent leurs terminaux, vous devez envoyer un e-mail ou une
notification intranet à chaque groupe d'utilisateurs extérieur à Workspace ONE UEM pour leur donner les consignes
d'inscription.
Si vous activez les jetons d'enregistrement pour l'authentification lors de l'enrôlement, ces derniers sont envoyés à
l'utilisateur utilisant le type de message sélectionné.
Limite de l'enrôlement aux terminaux inscrits uniquement

A ce stade, vous pouvez limiter l'enrôlement aux terminaux inscrits uniquement, que les administrateurs ou les
utilisateurs aient enregistré leurs terminaux ou non. Pour ce faire, naviguez vers Terminaux > Paramètres des terminaux
> Terminaux et utilisateurs > Général > Enrôlement et sélectionnez l'onglet Terminaux enregistrés uniquement.
123
Suivi du statut d'enrôlement

Une fois les terminaux inscrits, vos pouvez suivre les statuts d'enrôlement en naviguant vers la page Tableau de bord des
terminaux et en sélectionnant le tableau Enrôlement qui vous permet de filtrer en fonction du statut. Vous pouvez
également accéder au Monitor qui liste les terminaux récemment enrôlés.
l Inscription de terminaux individuels – Entrez les informations principales concernant le terminal et l'actif, comme
un nom convivial, pour assurer une reconnaissance facile dans UEM Console, le modèle, le système d'exploitation, le
numéro de série, l'identificateur unique du terminal (UDID, Unique Device Identifier) et le numéro d'actif. Ce
processus peut également constituer l'étape finale de l'ajout d'un utilisateur unique, si vous sélectionnez Enregistrer
et ajouter un terminal plutôt que Enregistrer.
l Inscription de plusieurs terminaux – Semblable à l'ajout d'utilisateurs en masse, ce processus facilite l'inscription
des terminaux lors de l'ajout de plusieurs terminaux en même temps. Il peut être compris dans le processus de
création de comptes utilisateur en masse.
l Inscription du terminal par l'utilisateur final – Vous pouvez diriger les utilisateurs vers l'inscription de leurs propres
terminaux avant leur enrôlement dans Workspace ONE UEM si vous prenez en charge les terminaux BYOD dans
votre déploiement. Cet arrangement est compatible avec l'inscription obligatoire des terminaux avant que les
utilisateurs ne puissent s'enrôler.
Pour plus d'informations, consultez la section Activer les jetons d'enregistrement et créer un message par défaut à la
page 129.
Synchronisation d'un groupe d'utilisateurs lors de l'enrôlement

Si vous avez l'intention d'organiser les attributions d'applications, les attributions de profils de terminaux, les attributions
de politiques de conformité ou les mappages des utilisateurs autour de groupes d'utilisateurs, vous pouvez maintenir
activé le paramètre Synchroniser le groupe d'utilisateurs, ce qui est son état par défaut. Ce paramètre permet à
Workspace ONE de passer un appel en temps réel au serveur d'authentification à chaque fois qu'un enregistrement de
terminal est créé.
Pour plus d'informations, consultez la section Synchroniser le groupe d'utilisateurs dans Configurer les options
d'enrôlement dans l'onglet Regroupement à la page 133.
Inscrire un terminal individuel

Pour inscrire un terminal unique, procédez comme suit.
1. Cliquez sur le bouton Ajouter, qui se trouve dans le quadrant supérieur droit de la plupart des écrans de
Workspace ONE™ UEM Console. Lorsque ce bouton est sélectionné, il affiche un menu déroulant avec plusieurs
options.
124
2. Sélectionnez Terminal. La page Ajouter un terminal s'affiche.
3. Définissez les options en fonction de vos besoins, en commençant par l'onglet Utilisateur.
Section Utilisateur
Texte recherché Recherchez l'utilisateur en saisissant un paramètre de recherche et cliquez sur Rechercher un
utilisateur.
Lors d'une recherche réussie, sélectionnez le compte utilisateur pour lequel vous enregistrez le
terminal. Plusieurs zones de texte pré-remplies s'affichent, notamment Type de sécurité, Nom
d'utilisateur, Mot de passe et Adresse e-mail. Vous pouvez les modifier en affichant les détails
avancés.
Section Terminal
Nom convivial Saisissez le nom convivial du terminal. Cette zone de texte accepte les valeurs de recherche
attendu que vous pouvez insérer en cliquant sur le signe Plus. Pour plus d'informations, reportez-vous
à la section Valeurs de recherche à la page 228.
Groupe Sélectionnez le groupe organisationnel auquel le terminal appartient.
organisationnel
Propriété Sélectionnez le type de propriété du terminal.
Plateforme du Sélectionnez la plateforme du terminal.
Afficher les Affichez les paramètres avancés d'informations du terminal.
options avancées
d'informations du
terminal
Modèle Sélectionnez le modèle du terminal. Les options du menu déroulant dépendent de la
plateforme sélectionnée.
OS Sélectionnez le système d'exploitation du terminal. Les options du menu déroulant
dépendent de la plateforme sélectionnée.
UDID* Saisissez l'UDID du terminal.
125
Numéro de série* Saisissez le numéro de série du terminal.
§‡
IMEI* § Saisissez le numéro IMEI du terminal.
SIM* Saisissez le numéro de SIM du terminal.
Numéro d'actif* Saisissez le numéro d'actif du terminal.
Section Messagerie
Type de message Type de notification envoyée à l'utilisateur une fois le terminal ajouté. Faites votre choix entre
Aucun(e), E-mail ou SMS.
L'option E-mail nécessite une adresse e-mail valide. Vous devez également sélectionner un
modèle de message e-mail.
L'option SMS nécessite un numéro de téléphone comprenant l'indicatif pays et l'indicatif
régional. Des frais peuvent s'appliquer. Vous devez également sélectionner un modèle de
message SMS.
Adresse e-mail Requise pour le type de message de l'e-mail.
Modèle de Requise pour le type de message de l'e-mail. Sélectionnez un modèle dans le menu déroulant.
message de l'e- Affichez le message de l'e-mail en cliquant sur le bouton Aperçu du message.
mail
Numéro de Requis pour le type de message du SMS.
téléphone
Modèle de Requis pour le type de message du SMS. Sélectionnez un modèle dans la liste déroulante.
message SMS Affichez le message du SMS en cliquant sur Aperçu du message.
* Vous devez en remplir au moins un des paramètres signalés pour inscrire votre terminal.
§ Pour inscrire un terminal Windows Phone, vous devez saisir son IMEI ou son numéro de série.
‡ Pour inscrire un terminal Windows Desktop, vous devez saisir son numéro de série.
4. Complétez l'onglet Attributs personnalisés (facultatif).

Ajout Ajoutez un attribut personnalisé et sa valeur correspondante en sélectionnant ce
bouton.
Pour plus d'informations,
Attributs Sélectionnez l'attribut personnalisé dans le menu déroulant.
Valeur Sélectionnez l'attribut personnalisé dans le menu déroulant.
5. Complétez l'onglet Étiquettes (facultatif).

Ajout Ajouter une étiquette au terminal
Étiquette Sélectionnez l'étiquette dans le menu déroulant d'étiquettes existantes.
126
6. Cliquez sur Enregistrer pour terminer le processus d'inscription du terminal.

Le terminal est maintenant enregistré pour le compte utilisateur Workspace ONE UEM sélectionné défini à l'étape 3.
Remettez ce terminal à cet utilisateur afin qu'il puisse se connecter et terminer le processus d'enrôlement. Si un autre
utilisateur tente de se connecter à ce terminal avant l'utilisateur enregistré, le terminal est verrouillé et ne peut pas
s'enrôler.
Identificateur de terminal manquant lors de l'inscription

Si aucun identificateur de terminal n'est indiqué lors de l'inscription (UDID, IMEI et Numéro de série),
Workspace ONE UEM utilise ces attributs pour faire correspondre automatiquement un terminal enrôlé avec son
enregistrement dans le classement suivant. Cela permet à Workspace ONE UEM de réussir l'enregistrement de terminaux
pour lesquels des informations inappropriées ont été fournies.
1. Utilisateur pour lequel le terminal est enregistré.
2. Plateforme (si elle est indiquée).
3. Modèle (s'il est indiqué).
4. Type de propriété (s'il est indiqué).
5. Date de la plus ancienne inscription correspondante.
Inscription de plusieurs terminaux

L'inscription des terminaux avant leur enrôlement est facultative et vous permet de limiter l'enrôlement aux terminaux
inscrits uniquement. Un autre avantage est le suivi des statuts d'enrôlement.
Vous pouvez inscrire plusieurs terminaux grâce à la fonction d'importation par lots qui permet de gagner du temps.
Pour inscrire plusieurs terminaux :
1. Naviguez vers Comptes > Utilisateurs > Affichage en liste ou Terminaux > Cycle de vie > Statut d'enrôlement.
a. Sélectionnez Ajouter, puis Importation par lots pour afficher l'écran Importation par lots.
2. Renseignez chacune des options obligatoires. Nom du lot, Description du lot et Type de lot.
3. Dans l'option Fichier d'importation par lots (.csv) se trouve une liste de modèles de tâches que vous pouvez utiliser
pour charger en masse les utilisateurs et leurs terminaux.
4. Sélectionnez le modèle de téléchargement approprié et enregistrez le fichier de valeurs séparées par des virgules
(CSV, comma-separated values) dans un emplacement accessible.
5. Localisez le fichier CSV enregistré, ouvrez-le avec Excel et saisissez les informations pertinentes pour chacun des
terminaux à importer.
Chaque modèle comporte des textes par défaut illustrant le type d'informations (et leur format) destinées à être
saisies dans chaque colonne.
Les champs du fichier CSV marqués d'un astérisque (*) sont obligatoires.
6. Enregistrez le modèle complété en tant que fichier CSV. Dans UEM Console, sélectionnez le bouton Choisir un fichier
dans l'écran Importation par lots, naviguez jusqu'à l'emplacement où vous avez enregistré le fichier CSV complété et
127
sélectionnez-le.
7. Cliquez sur Enregistrer pour terminer l'inscription pour tous les utilisateurs listés et les terminaux correspondants.
Inscription du terminal par l'utilisateur final

Il serait préférable de donner aux utilisateurs l'instruction d'inscrire leurs propres terminaux si vous ne connaissez pas les
détails des terminaux au moment de la configuration. De la même manière, si vous avez un déploiement BYOD
(utilisation par les employés de leur propre terminal), il pourrait être prudent de choisir une telle directive.
Si vous prenez en charge les terminaux BYOD dans votre déploiement, dirigez les utilisateurs vers l'inscription de leurs
propres terminaux avant leur enrôlement dans Workspace ONE™ UEM. Vous pouvez suivre cette étape et exiger
néanmoins que les terminaux soient enregistrés avant l'enrôlement des utilisateurs. Si vous souhaitez suivre leur
enrôlement ou utiliser les jetons d'enregistrement, demandez aux utilisateurs de terminaux professionnels de les inscrire.
Dans les deux cas, vous devez informer les utilisateurs de ce processus.
Les consignes suivantes impliquent que l'utilisateur dispose d'identifiants Workspace ONE UEM issus de son service
d'annuaire actuel ou d'un compte utilisateur précédemment activé. Si vous avez choisi un enrôlement avec les services
d'annuaire sans ajouter manuellement les utilisateurs, vous ne devez avoir aucun compte utilisateur créé.
Si vous voulez que les utilisateurs enregistrent leurs terminaux, vous devez envoyer un e-mail ou une notification à
chaque groupe d'utilisateurs extérieur à Workspace ONE UEM pour leur donner les consignes d'inscription.
Si vous avez activé les jetons d'enregistrement pour l'authentification lors de l'enrôlement, ces derniers sont envoyés à
l'utilisateur dans le message sélectionné.
l Envoyez un e-mail ou une notification intranet aux utilisateurs en dehors de Workspace ONE UEM avec les consignes
d'inscription. Assurez-vous que l'authentification d'enrôlement est activée pour Active Directory ou pour le serveur
proxy d'authentification, en naviguant vers Terminaux > Paramètres des terminaux > Terminaux et utilisateurs >
Général > Enrôlement > Authentification.
Vérifiez également que la case Bloquer les utilisateurs inconnus est décochée en accédant à Terminaux >
Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement > Restrictions.
l Vous pouvez créer des comptes utilisateur pour que tous les utilisateurs finaux inscrivent leurs terminaux, puis
envoyer des messages d'activation de compte utilisateur à chacun, avec les instructions d'inscription.
Ces deux options impliquent que vous fournissiez des informations de base aux utilisateurs finaux.
l Où s'inscrire – Les utilisateurs finaux peuvent s'inscrire en naviguant vers l'URL du portail self-service. Cette URL suit
la structure suivante : https://<AirWatchEnvironment>/MyDevice où <AirWatchEnvironment> est l'URL
d'enrôlement. Pour plus d'informations, consultez la section Diriger les utilisateurs pour qu'ils s'enregistrent eux-
mêmes à la page 128.
l Comment s'authentifier sur le portail self-service – Les utilisateurs finaux ont besoin de l'ID de groupe, du nom
d'utilisateur et du mot de passe pour se connecter au portail self-service (SSP).
Diriger les utilisateurs pour qu'ils s'enregistrent eux-mêmes

Une fois que l'utilisateur final a reçu le message d'inscription, il doit suivre les étapes suivantes pour inscrire ses propres
terminaux, ce qui lui fait gagner du temps.
1. Naviguez vers l'URL du portail self-service (SSP) : https://<Environnement_AirWatch>/MyDevice, où
<Environnement_AirWatch> correspond à l'URL d'enrôlement de votre environnement.
128
2. Saisissez l'ID de groupe et les identifiants – une adresse e-mail ou un nom d'utilisateur et mot de passe. Ces
identifiants peuvent correspondre aux identifiants du service d'annuaire pour les utilisateurs d'annuaire.
3. Cliquez sur Ajouter des horaires pour ouvrir le formulaire Inscrire un terminal.
4. Saisissez les informations du terminal en complétant les zones de texte du formulaire Inscrire un terminal.
5. Cliquez sur Enregistrer pour soumettre et inscrire le terminal.
Suivi du statut d'enrôlement du terminal

Vous devrez peut-être occasionnellement résoudre des problèmes liés à l'inscription d'un terminal ou suivre l'avancée du
processus d'enrôlement global. Les utilisateurs finaux pourraient accidentellement supprimer le message contenant les
instructions d'inscription ou ne pas s'authentifier avant l'expiration de la période allouée.
Gérez le statut d'enrôlement en accédant, à la page Statut d'enrôlement en naviguant vers Terminaux > Cycle de vie >
Statut d'enrôlement. Suivez le statut d'enrôlement des terminaux en triant la colonne Statut d'enrôlement ou bien en
filtrant l'affichage en liste par Statut d'enrôlement.
En utilisant la page Statut d'enrôlement, vous pouvez produire une liste personnalisée des terminaux inscrits (mais non
enrôlés), sélectionnez tous les terminaux dans cette liste personnalisée et renvoyez les instructions d'enrôlement. Si le
temps écoulé est suffisant et qu'un appareil ne parvient pas à s'enrôler, vous pouvez choisir de réinitialiser (ou même de
révoquer) son jeton d'enregistrement.
Pour plus d'informations, consultez la section Statut d'enrôlement à la page 224.
Activer les jetons d'enregistrement et créer un message par défaut

Si vous limitez l'enrôlement aux terminaux enregistrés, vous pouvez aussi demander un jeton d'enregistrement. Cette
option offre davantage de sécurité car elle vous assure qu'un utilisateur en particulier est autoriser à s'enrôler. Vous
pouvez envoyer un e-mail ou un SMS et joindre le jeton d'enrôlement pour les utilisateurs disposant d'un compte
1. Activez un enrôlement basé sur les jetons en sélectionnant le groupe organisationnel approprié. Naviguez vers
Terminaux > Paramètres du terminal > Terminaux et utilisateurs > Général > Enrôlement et vérifiez que l'option
Authentification est sélectionnée.
Faites défiler l'affichage jusqu'à la fin de la section Assistant de démarrage et sélectionnez Terminaux enregistrés
uniquement comme Mode d'enrôlement des terminaux. Un curseur intitulé Exiger un jeton d'enregistrement
apparaît. L'activation de cette option limite l'enrôlement aux terminaux enregistrés par jeton.
129
2. Sélectionnez un type de jeton d'enregistrement.

l Facteur unique – Le jeton suffit à l'enrôlement.
l Deux facteurs – Un jeton et une connexion avec les identifiants de l'utilisateur sont nécessaires à l'enrôlement.
3. Définissez la longueur du jeton d'enregistrement. Ce paramètre obligatoire indique la complexité du jeton

d'enregistrement ainsi que sa longueur comprise entre 6 et 20 caractères alphanumériques.
4. Définissez le délai d'expiration du jeton (en heures). Ce paramètre obligatoire indique la durée dont dispose
l'utilisateur pour sélectionner le lien et s'enrôler. Une fois expiré, un autre lien doit être envoyé.
Générer un jeton avec UEM Console

1. Naviguez vers Comptes > Utilisateurs > Affichage en liste et sélectionnez Modifier l'utilisateur. (Ce processus est
également valable lors de la création d'utilisateurs.) La page Ajouter/Modifier l'utilisateur s'affiche.
2. Naviguez vers le bas de la page et cliquez sur Type de message : E-mail pour les utilisateurs d'annuaire et SMS pour
les comptes d'utilisateurs basiques.
3. Sélectionnez le modèle de message. Vous pouvez utiliser le modèle par défaut ou en créer un en cliquant sur le lien
ci-dessous qui ouvre la page de modèle de message dans un nouvel onglet. Cliquez ensuite sur Enregistrer et
ajouter un terminal. L'écran Ajouter un terminal s'affiche.
4. Vérifiez les informations générales relatives au terminal ainsi que celles du message lui-même. Une fois que vous avez
terminé, cliquez sur Enregistrer pour envoyer le jeton à l'utilisateur utilisant le type de message sélectionné.
Remarque : Pour des raisons de sécurité, le jeton n'est pas accessible dans UEM Console.
Générer un jeton avec le portail self-service (SSP)

1. Connectez-vous au portail self-service. Si vous utilisez l'accès SSO ou les cartes à puce pour l'authentification, vous
pouvez vous connecter depuis un terminal ou un ordinateur. Les utilisateurs d'annuaire peuvent se connecter avec
leurs identifiants de service d'annuaire.
2. Cliquez sur Ajouter un terminal.
130
3. Saisissez les informations du terminal (nom convivial et plateforme) et tout autre détail en renseignant les
paramètres du formulaire Inscrire un terminal. Assurez-vous que le numéro de téléphone et l'adresse e-mail sont
correctement renseignés, car ils pourraient ne pas être remplis automatiquement.
4. Cliquez sur Enregistrer pour envoyer le jeton à l'utilisateur utilisant le type de message sélectionné.
Remarque : le jeton ne s'affiche pas sur cette page, mais seulement dans le message envoyé.
Comme fonctionnalité de sécurité, les modifications suivantes ont été apportées aux comptes enrôlés avec un jeton.
l L'adresse e-mail et le numéro de téléphone sur les écrans Ajouter un terminal et Compte sont en lecture seule.
l L'action Afficher le message d'enrôlement a été supprimée.
Effectuer un enrôlement avec un jeton d'enregistrement

1. Ouvrez l'e-mail ou le SMS sur le terminal et cliquez sur le lien qui contenant le jeton d'enrôlement.
Si une page d'enrôlement vous demande de saisir une ID de groupe ou un jeton, saisissez directement le jeton.
2. Dans le cas d'une authentification à deux facteurs, saisissez un nom d'utilisateur et un mot de passe.
3. Poursuivez votre enrôlement comme d'habitude. Une fois que vous avez terminé, le terminal est associé à
l'utilisateur pour lequel le jeton a été créé.
Une fois le profil MDM installé sur le terminal, le jeton est considéré comme étant « utilisé » et ne peut pas l'être pour
enrôler d'autres terminaux. Si l'enrôlement n'est pas terminé, le jeton peut encore être utilisé sur un autre terminal. Si le
jeton expire après la durée que vous avez indiquée, vous devez générer un autre jeton d'enrôlement.
Configurer les options d'enrôlement

Personnalisez votre processus d'enrôlement en intégrant les options avancées disponibles dans
Workspace ONE™ UEM Console. Accédez aux autres options d'enrôlement en naviguant vers Terminaux > Paramètres
des terminaux > Terminaux et utilisateurs > Général > Enrôlement.
Démarrage
Ajouter un domaine de Ce bouton est utilisé pour configurer le service de détection automatique afin d'inscrire
messagerie. des domaines de messagerie à votre environnement.
Pour plus d'informations sur le service de détection automatique, reportez-vous à la
section Enrôlement par détection automatique à la page 146.
131
Mode(s) d'authentification Sélectionnez les types d'authentification autorisés, parmi lesquels :
l Basique – Les comptes utilisateur basiques (ceux que vous créez manuellement
dans UEM Console) peuvent s'enrôler.
l Annuaire – Les comptes utilisateur d'annuaire (ceux que vous avez importés ou
autorisés à l'aide de l'intégration des services d'annuaire) peuvent s'enrôler.
L'enrôlement direct de Workspace ONE prend en charge les utilisateurs d'annuaire
avec ou sans SAML.
l Proxy d'authentification – Permet aux utilisateurs de s'enrôler à l'aide de comptes

utilisateur Proxy d'authentification. Les utilisateurs s'authentifient auprès d'un
point d'accès web.
Source d'authentification Sélectionnez le système que les services du Hub utilisent comme source pour les
pour le Hub utilisateurs et les stratégies d'authentification.
l Workspace ONE UEM – Sélectionnez ce paramètre si vous voulez que les services
du Hub utilisent Workspace ONE UEM en tant que source.
Lorsque vous avez configuré la page Configuration du Hub pour les services du
Hub, vous avez entré l'URL du locataire des services du Hub.
l Identity Manager – Sélectionnez ce paramètre si vous voulez que les services du

Hub utilisent VMware Identity Manager en tant que source.
Lorsque vous avez configuré la page Configuration du Hub pour les services du
Hub, vous avez entré l'URL du locataire de VMware Identity Manager.
Mode d'enrôlement des Sélectionnez le mode d'enrôlement des terminaux de votre préférence, notamment les
terminaux options suivantes :
l Enrôlement ouvert – Permet essentiellement à toute personne répondant aux
autres critères d'enrôlement (mode d'authentification, restrictions, etc.) de
s'enrôler. L'enrôlement direct de Workspace ONE prend en charge l'enrôlement
ouvert.
l Terminaux enregistrés uniquement – Autorise uniquement les utilisateurs à

s'enrôler à l'aide de terminaux que vous ou eux avez inscrits. L'inscription des
terminaux correspond au processus d'ajout de terminaux professionnels dans
UEM Console avant leur enrôlement. Pour plus d'informations sur l'inscription des
terminaux, reportez-vous à la section Enrôlement du Guide
VMware Workspace ONE UEM de gestion des terminaux mobiles. L'enrôlement
direct de Workspace ONE prend en charge l'autorisation d'enrôlement de
terminaux enregistrés seulement, mais uniquement si les jetons d'enregistrement
ne sont pas requis.
132
Exiger un jeton Visible uniquement lorsque l'option Terminaux enregistrés uniquement est
d'enregistrement sélectionnée.
Si vous limitez l'enrôlement aux terminaux enregistrés, vous pouvez aussi demander
qu'un jeton d'enregistrement soit utilisé pour l'enrôlement. Cette option offre
davantage de sécurité car elle vous assure qu'un utilisateur en particulier est autorisé à
s'enrôler. Vous pouvez envoyer un e-mail ou un SMS et joindre le jeton d'enrôlement
pour les utilisateurs disposant d'un compte Workspace ONE UEM.
Exiger l'enrôlement par le Cochez cette case pour exiger que les utilisateurs des terminaux iOS téléchargent et
Hub pour les terminaux iOS installent VMware Workspace ONE Intelligent Hub avant de pouvoir s'enrôler.
Exiger l'enrôlement par le Cochez cette case pour exiger que les utilisateurs des terminaux macOS téléchargent et
Hub pour les terminaux installent VMware Workspace ONE Intelligent Hub avant de pouvoir s'enrôler.
macOS
En plus des onglets Authentification et Conditions d'utilisation, vous pouvez compléter les onglets d'enrôlement
suivants, si vous le souhaitez.
1. Configurer les options d'enrôlement dans l'onglet Regroupement à la page 133.
2. Configurer les paramètres de restriction d'enrôlement à la page 141.
3. Configurer les options d'enrôlement dans l'onglet Invite facultative à la page 135.
4. Configurer les options d'enrôlement dans l'onglet Personnalisation à la page 138.
Configurer les options d'enrôlement dans Conditions d'utilisation

L'onglet Conditions d'utilisation vous permet d'ajouter et d'examiner des conditions d'utilisation en ce qui concerne
l'enrôlement. Vous trouverez l'onglet Conditions d'utilisation en accédant à Terminaux > Paramètres des terminaux >
Terminaux et utilisateurs > Général > Enrôlement.
Exiger l'acceptation des Activez ce paramètre pour exiger l'acceptation des conditions d'utilisation au moment de
conditions d'utilisation l'enrôlement.
pour l'enrôlement
Ajouter de nouvelles Sélectionnez cette option pour lancer l'ajout de conditions d'utilisation aux fins de
conditions d'utilisation l'enrôlement. Pour plus d'informations, reportez-vous à la section Créer les conditions
d'enrôlement d'utilisation pour l'enrôlement à la page 33.
Important : si vous activez Exiger l'acceptation des conditions d'utilisation pour l'enrôlement, vous devez créer des
conditions d'utilisation. Sinon, les terminaux Windows Desktop peuvent ne pas parvenir à s'enrôler.
Configurer les options d'enrôlement dans l'onglet Regroupement

L'onglet Regroupement vous permet de visualiser et d'indiquer les informations de base relatives aux groupes
organisationnels et aux ID de groupe pour les utilisateurs finaux. Activez le mode d'attribution de l'ID de groupe pour
choisir comment l'environnement Workspace ONE™ UEM attribue des ID de groupe aux utilisateurs.
133
Naviguez vers Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement et
Mode L'enrôlement direct de Workspace ONE prend en charge tous les modes d'attribution.
d'attribution
l Par défaut – Sélectionnez cette option si des ID de groupes à utiliser pour l'enrôlement sont fournis
de l'ID de
aux utilisateurs. L'ID de groupe utilisé détermine le groupe organisationnel attribué aux utilisateurs.
groupe
l Sélection manuelle de l'ID de groupe par l'utilisateur – Activez cette option pour permettre aux
utilisateurs des services d'annuaire de sélectionner un ID de groupe à partir d'une liste pendant
l'enrôlement. La section Attribution d'ID de groupe répertorie tous les groupes organisationnels et
les ID de groupe correspondants. Cette liste ne vous oblige pas à effectuer un mappage de
l'attribution de groupes, mais l'utilisateur pourrait sélectionner un ID de groupe incorrect.
l Sélection automatique selon le groupe d'utilisateurs – Cette option s'applique seulement lorsque
vous intégrez les groupes d'utilisateurs. Activez cette option pour vous assurer que les utilisateurs
sont automatiquement attribués aux groupes organisationnels en fonction de leurs attributions de
groupe du service d'annuaire.
La section Paramètres d'attribution de groupe répertorie tous les groupes organisationnels de
l'environnement et les groupes d'utilisateurs du service d'annuaire correspondants.
Cliquez sur le bouton Modifier l'attribution du groupe pour modifier les associations groupe
organisationnel/groupe d'utilisateurs et définissez le rang de précédence pour chaque groupe.
Par exemple, vous pourrez avoir trois groupes : Direction, Vente et Global qui sont classés par ordre
de rôle de travail. Tout le monde est membre du groupe Global, donc si vous deviez mettre ce
groupe d'utilisateurs au niveau supérieur, tous vos utilisateurs appartiennent à un seul groupe
organisationnel.
En revanche, si vous positionnez le groupe Direction en premier, vous vous assurez que les
quelques employés qui lui appartiennent sont placés dans leur propre groupe organisationnel. En
mettant le groupe Vente en seconde position, vous vous assurez que tous les employés
appartenant à ce service sont regroupés dans un groupe organisationnel qui leur est dédié. Si vous
mettez le groupe Global en troisième position, tout employé n'ayant pas été attribué à un groupe
est placé dans un groupe organisationnel séparé.
Par défaut
Propriété par défaut du Sélectionnez la propriété du terminal par défaut pour l'enrôlement des terminaux dans
terminal le groupe organisationnel actuel.
L'enrôlement direct de Workspace ONE prend en charge la définition d'une propriété de
terminal par défaut.
Rôle par défaut Sélectionnez les rôles par défaut attribués aux utilisateurs du groupe organisationnel
actuel. Cela peut affecter l'accès au portail self-service.
L'enrôlement direct de Workspace ONE prend en charge la définition d'un rôle par
défaut.
134
Action par défaut pour les Sélectionnez l'action par défaut qui aura un impact sur les utilisateurs Active Directory si
utilisateurs inactifs leurs terminaux deviennent inactifs.
L'enrôlement direct de Workspace ONE prend en charge la définition d'une action par
défaut pour les utilisateurs inactifs.
Synchroniser le groupe d'utilisateurs
Synchroniser les Workspace ONE permet de synchroniser les groupes d'utilisateurs pour un utilisateur donné
groupes d'utilisateurs lorsqu'il s'enregistre auprès d'UEM Console.
en temps réel pour Cette fonction est activée par défaut. Elle est particulièrement efficace lorsque les groupes
Workspace ONE d'utilisateurs sont souvent utilisés pour les attributions d'applications, les attributions de
profils, les attributions de politiques ou les mappages d'utilisateurs.
Cette fonctionnalité est gourmande en ressources processeur. Par conséquent, vous devez
désactiver ce paramètre, sauf si votre cas d'utilisation est similaire à la situation décrite, pour
améliorer les performances et éviter les problèmes de latence lors du lancement de
l'application Workspace ONE.
Mappage du rôle utilisateur
Activer le Cochez cette case pour activer les attributions par classement qui relient un groupe d'utilisateurs du
mappage du répertoire à un rôle Workspace ONE UEM spécifique. Les utilisateurs appartenant à un groupe
répertoire basé particulier se voient attribuer les rôles associés. S'ils appartiennent à plusieurs groupes, ils reçoivent
sur les groupes le couplage le mieux classé.
Vous pouvez modifier l'ordre de classement des groupes d'utilisateurs auxquels correspond un rôle
en cliquant sur le bouton Modifier l'attribution.
L'enrôlement direct de Workspace ONE prend en charge le mappage basé sur des groupes
d'annuaire.
Configurer les options d'enrôlement dans l'onglet Invite facultative

Dans l'onglet Invite facultative, vous pouvez décider de demander des informations supplémentaires sur le terminal ou
d'afficher des messages facultatifs contenant des informations de MDM et d'enrôlement.
Accédez à l'onglet Invite facultative en naviguant vers Terminaux > Paramètres des terminaux > Terminaux et
utilisateurs > Général > Enrôlement.
Demander le Vous pouvez inviter l'utilisateur à sélectionner le type de propriété de son terminal. Sinon,
type de configurez un type de propriété par défaut pour le groupe organisationnel actuel.
propriété du L'enrôlement direct de Workspace ONE prend en charge la demande de type de propriété de
terminal terminal.
135
Afficher le Vous pouvez afficher un message de bienvenue pour vos utilisateurs au début du processus
message d'enrôlement du terminal. Vous pouvez configurer l'en-tête et le corps de ce message d'accueil en
d'accueil accédant à Système > Localisation > Gestionnaire de localisation. Ensuite, sélectionnez les libellés
EnrollmentWelcomeMessageHeader et EnrollmentWelcomeMessageBody respectivement.
Afficher un Vous pouvez afficher un message pour vos utilisateurs au début du processus d'enrôlement du
message terminal. Vous pouvez configurer l'en-tête et le corps de ce message d'installation MDM en
d'installation naviguant vers Système > Localisation > Gestionnaire de localisation. Sélectionnez ensuite les
MDM libellés EnrollmentMdmInstallationMessageHeader et EnrollmentMdmInstallationMessageBody
respectivement.
Si vous choisissez de rédiger vos propres en-têtes et corps du message à l'aide du gestionnaire de
localisation, vous devez sélectionner Remplacer dans l'option Paramètre actuel. Cela permet
l'utilisation de vos textes personnalisés à la place des messages par défaut.
En plus d'apporter des modifications ponctuelles à la localisation, vous pouvez également apporter
des modifications de localisation en masse en téléchargeant un fichier de valeurs séparées par des
virgules (CSV, comma-separated values) modifié. Téléchargez ce fichier CSV de modèles de
localisation en naviguant vers Système > Localisation > Gestionnaire de localisation et
sélectionnez le bouton Modifier. Modifiez le fichier selon vos préférences pour affecter des
modifications de localisation en masse et importez-le à partir du même écran.
Activer la Vous pouvez inviter l'utilisateur à saisir ses identifiants pendant l'enrôlement.
demande de l'e- la demande d'e-mail d'enrôlement exige l'adresse e-mail de l'utilisateur final afin de remplir
mail automatiquement cette option dans le profil de l'utilisateur. Ces données sont particulièrement
d'enrôlement intéressantes pour les organisations déployant les e-mails vers les terminaux en utilisant la valeur
de recherche {EmailAddress}. Pour plus d'informations, reportez-vous à la section Valeurs de
recherche à la page 228.
Activer la Vous pouvez inviter l'utilisateur à saisir le numéro d'actif du terminal pendant l'enrôlement.
demande du L'enrôlement direct de Workspace ONE prend en charge les invites d'enrôlement par e-mail, mais
numéro d'actif seulement lorsque l'option Demander le type de propriété du terminal est activée et uniquement
pour les terminaux professionnels.
Afficher les Vous pouvez afficher ou masquer les messages d'enrôlement sur les terminaux Android.
messages de
transition
d'enrôlement
(sur Android
seulement)
Autoriser Vous pouvez oblige les terminaux Windows Phone et Windows à utiliser des points de terminaison
l'authentification protégés par l'authentification mutuelle TLS qui nécessite une configuration supplémentaire.
manuelle TLS Contactez le support technique pour obtenir de l'aide.
pour Windows
Créer un message d'enrôlement personnalisé

Vous pouvez personnaliser les messages liés à l'enrôlement d'un terminal et toutes les autres invites liées au MDM
envoyées vers un terminal.
136
Bien que strictement facultatifs, les messages personnalisés sont souvent préférés aux messages par défaut. Cela réduit
la confusion chez les utilisateurs en indiquant un nom d'organisation spécifique dans les notifications plutôt qu'une URL
d'environnement ou simplement « Workspace ONE™ UEM ».
1. Naviguez vers Terminaux > Paramètres des terminaux > Général > Enrôlement et sélectionnez l'onglet
Personnalisation.
2. Sélectionnez Utiliser un modèle de message spécifique pour chaque plateforme et choisissez un modèle de
message d'activation du terminal à partir du menu déroulant correspondant à chaque plateforme. Consulter la
section Création de modèles de message d'enrôlement à la page 137.
3. Pour les terminaux iOS, vous pouvez configurer l'élément suivant si vous le souhaiter :
l Saisissez une URL de redirection après l'enrôlement (pour les terminaux iOS).
l Saisissez un message de profil MDM qui apparaîtra dans l'invite d'installation du profil MDM lors de
l'enrôlement (pour les terminaux iOS).
Création de modèles de message d'enrôlement

Vous pouvez créer votre propre bibliothèque de modèles de message personnalisés selon la plateforme pour couvrir la
variété de scénarios d'enrôlement que vous pourriez rencontrer.
1. Naviguez vers Terminaux > Paramètres des terminaux > Général > Modèles de message, puis cliquez sur Ajouter.
2. Définissez la catégorie de sorte qu'elle corresponde à votre modèle. Les options comprennent : Administrateur,
Application, Conformité, Contenu, Cycle de vie du terminal, Enrôlement et Conditions d'utilisation.
3. Définissez le type qui correspond le mieux à la sous-catégorie. Les options du menu Type dépendront des
paramètres du champ Catégorie.
4. Cliquez sur le menu Sélectionner la langue. Vous pouvez ajouter d'autres langues en cliquant sur le bouton Ajouter.
5. Vous pouvez cocher la case Par défaut si vous voulez que ce modèle soit l'option par défaut pour la catégorie
sélectionnée.
6. Sélectionnez le type de message pour le modèle. Vos options sont les suivantes : E-mail, SMS et Notification Push.
7. Rédigez votre message en saisissant le texte dans le champ Corps du message.

Vous avez le choix entre deux méthodes pour rédiger votre modèle de message de l'e-mail : Texte brut et HTML.
L'option de texte brut présente simplement une police sérif à espacement (Courier) sans option de mise en forme.
L'option HTML active un format RTF qui permet de modifier notamment la police, la mise en forme, les titres, les
puces, le retrait, la justification des paragraphes, les indices, les exposants, les images et les liens hypertextes.
L'environnement HTML prend en charge le codage HTML basique à l'aide du bouton Afficher la source qui vous
permet de basculer entre le format RTF et l'affichage source.
8. Sauvegardez votre modèle en cliquant sur Enregistrer.
Configurer les notifications du cycle de vie

Les notifications relatives au cycle de vie vous permettent de distribuer des messages personnalisés après certains
événements se produisant au cours du cycle de vie d'un terminal, y compris l'enrôlement et le désenrôlement.
137
Vous pouvez configurer ce paramètre facultatif en accédant à Terminaux > Cycle de vie > Paramètres > Notifications et
en complétant les options des sections suivantes.
l Terminal désenrôlé – Envoyez une notification par e-mail lorsqu'un terminal a été désenrôlé.
l Terminal enrôlé – Envoyez une notification par e-mail lorsque l'enrôlement d'un terminal a réussi.
l Terminal bloqué en raison d'une restriction d'enrôlement – Envoyez une notification par e-mail si une restriction
d'enrôlement bloque un terminal. Vous pouvez configurer ce comportement en accédant à Groupes et paramètres >
Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement et en cliquant sur l'onglet Restrictions.
Envoyer l Aucun(e) – Choisissez cette option pour ne pas envoyer d'e-mails de confirmation lors de la réussite
un e-mail de l'enrôlement, du désenrôlement ou du blocage du terminal.
à.
l Utilisateur – Envoyez un e-mail de confirmation à l'utilisateur du terminal pour l'informer de la réussite
de l'enrôlement, du désenrôlement ou du blocage du terminal.
o Cc – Envoyez le même e-mail de confirmation à une seule ou à plusieurs adresses e-mail, séparées
par des virgules.
o Modèle de message – Sélectionnez le modèle de message de votre choix dans la liste déroulante.
Vous pouvez ajouter un nouveau modèle de message ou en modifier un existant en sélectionnant
le lien hypertexte « Cliquer ici... » qui vous dirige vers la page de paramètres Terminaux et
utilisateurs > Général > Modèles de message.
l Administrateur – Envoyez un e-mail de confirmation à l'administrateur Workspace ONE UEM pour

l'informer de la réussite de l'enrôlement, du désenrôlement ou du blocage du terminal.
o À – Envoyez le même e-mail de confirmation à une seule ou à plusieurs adresses e-mail, séparées
par des virgules.
Configurer les options d'enrôlement dans l'onglet Personnalisation

Vous pouvez offrir à l'utilisateur un niveau supplémentaire de support, comprenant l'adresse e-mail et le numéro de
téléphone, en configurant l'onglet Personnalisation. Un tel niveau de support est intéressant si les utilisateurs ne
peuvent pas enrôler leurs terminaux, pour quelque raison que ce soit.
Vous accédez à l'onglet Personnalisation en naviguant vers Terminaux > Paramètres des terminaux > Terminaux et
utilisateurs > Général > Enrôlement et sélectionnez l'onglet Regroupement.
Utiliser un modèle de Si cette option est activée, vous pouvez sélectionner un modèle de message unique pour
message spécifique chaque plateforme.
pour chaque plateforme Le lien fourni affiche la page Modèle de message, vous permettant de créer immédiatement
des modèles.
L'enrôlement direct de Workspace ONE™ prend en charge les modèles de message propres
à la plateforme.
138
E-mail de support pour Saisissez l'adresse e-mail.
l'enrôlement
E-mail de support pour Saisissez le numéro de téléphone.
le téléphone
URL de redirection après Vous pouvez fournir une URL de redirection vers la page d'accueil une fois l'enrôlement
l'enrôlement (iOS réussi. Cette URL peut être une ressource d'entreprise, comme le site Internet de
uniquement) l'entreprise ou l'écran de connexion pour les ressources supplémentaires.
L'enrôlement direct de Workspace ONE prend en charge les URL de redirection après
l'enrôlement.
Message de profil MDM Cette zone de texte est destinée au message qui s'affiche pendant l'enrôlement, pour les
(iOS uniquement) terminaux iOS uniquement. Vous pouvez saisir un message de 255 caractères maximum.
L'enrôlement direct de Workspace ONE prend en charge les messages de profil MDM pour
iOS uniquement.
Utiliser les applications Affiche un lien qui ouvre la page Liste de groupes d'applications. Ce lien est intitulé Groupes
MDM personnalisées d'applications.
L'enrôlement direct de Workspace ONE prend en charge les applications MDM
personnalisées.
Inscription de terminaux sur liste noire et blanche

Une liste noire établit explicitement les terminaux ou les applications non autorisés. Une liste blanche établit
explicitement les terminaux ou les applications autorisés uniquement. Ce concept peut être appliqué à l'inscription pour
vous permettre de contrôler les terminaux autorisés ou non à s'enrôler.
Par exemple, lors d'un déploiement de terminaux professionnels uniquement, vous pouvez créer une liste blanche pour
les terminaux iOS approuvés. Vous pouvez baser cette liste de terminaux sur leur IMEI, leur numéro de série ou leur
identificateur unique (UDID). Ainsi, l'enrôlement est limité aux terminaux que vous avez identifiés et l'enrôlement des
terminaux personnels des employés ne sera pas possible.
En outre, si un terminal est perdu ou volé, vous pouvez ajouter son IMEI, son numéro de série ou ses informations UDID
à la liste noire des terminaux. En mettant un terminal sur liste noire, vous désenrôlez le terminal et supprimez tous les
profils MDM jusqu'à ce qu'il soit retiré de la liste noire.
Remarque : la fonction actuelle de Microsoft vous interdit de placer sur liste noire les terminaux Windows Phone par
IMEI ou UDID.
Ajouter un terminal mis sur liste noire ou blanche

Vous pouvez ajouter un terminal mis sur liste noire (interdit d'enrôlement) ou sur liste blanche (autorisé à s'enrôler) en
fonction des différents attributs de terminaux.
1. Naviguez vers Terminaux > Cycle de vie > Statut de l'enrôlement et cliquez sur Ajouter.
2. Sélectionnez Terminaux sur liste noire ou Terminaux sur liste blanche dans la liste déroulante Ajouter et définissez
139
les paramètres.
Terminaux sur liste Saisissez les terminaux mis sur liste noire ou sur liste blanche (grâce à la sélection
noire/sur liste blanche Attribut du terminal), jusqu'à 30 à la fois.
Attribut du terminal Sélectionnez le type d'attribut du terminal correspondant. Sélectionnez IMEI,
Numéro de série ou UDID.
Groupe organisationnel Confirmez le groupe organisationnel concerné par la liste noire ou blanche de
terminaux.
Propriété Vous pouvez autoriser uniquement les terminaux correspondant au type de
propriété sélectionné.
Cette option est uniquement disponible pour les terminaux mis sur liste blanche.
Informations Elles vous permettent de sélectionner une plateforme pour appliquer votre liste
supplémentaires noire ou liste blanche.
Plateforme du Vous pouvez mettre sur liste noire ou sur liste blanche tous les terminaux
appartenant à la plateforme.
Cette option n'est disponible que lorsque la case Informations supplémentaires
est cochée.
3. Cliquez sur Enregistrer pour confirmer les paramètres.
Restrictions d'enrôlement supplémentaires

La mise en place de restrictions d'enrôlement supplémentaires s'applique à tous les types de déploiement, quels que
soient l'intégration des services d'annuaire, la prise en charge du BYOD, l'inscription des terminaux, ou d'autres
configurations. Vous pouvez définir des restrictions d'enrôlement supplémentaires afin de contrôler qui procède à
l'enrôlement et quels types de terminaux sont autorisés.
Vous pouvez également déterminer le nombre maximum de terminaux enrôlés par groupe organisationnel. Après avoir
configuré les restrictions d'enrôlement, vous pouvez même les enregistrer en tant que politique.
Critères à prendre en compte pour l'enrôlement et autres restrictions

Ces restrictions d'enrôlement vous permettent de préciser les paramètres que vous souhaitez appliquer lors de votre
déploiement. Lorsque vous décidez des restrictions d'enrôlement que vous pourriez utiliser, prenez en compte les
éléments suivants.
Considération 1 : pensez-vous définir des limites relatives à des plateformes spécifiques, aux versions d'OS ou au
nombre maximum de terminaux autorisés ?
l Voulez-vous uniquement prendre en charge les terminaux disposant de la fonction intégrée de gestion d'entreprise,
tels que les appareils Samsung SAFE/Knox, HTC Sense, LG Enterprise et Motorola ? Si oui, vous pouvez demander à
ce que les terminaux Android possèdent une version entreprise supportée en guise de restriction d'enrôlement.
l Voulez-vous limiter le nombre de terminaux qu'un utilisateur est autorisé à enrôler ? Si oui, vous pouvez définir ce
nombre, en précisant la quantité de terminaux professionnels et de terminaux personnels.
140
l Certaines plateformes ne sont-elles pas prises en charge par votre déploiement ? Si oui, vous pouvez créer une liste
de plateformes bloquées.
Votre organisation doit évaluer le nombre et les types de terminaux appartenant à vos employés. Elle doit également
déterminer ceux qu'elle souhaite utiliser dans votre environnement de travail. Une fois que ce travail est terminé, vous
pouvez enregistrer ces restrictions d'enrôlement en tant que politique.
Considération #2 : Pensez-vous limiter l'enrôlement à une liste définie de terminaux professionnels ?

Les options supplémentaires d'inscription permettent de contrôler les terminaux autorisés à être enrôlés. Pour les
déploiements BYOD, vous pouvez empêcher l'enrôlement des terminaux sur liste noire ou le limiter aux terminaux sur
liste blanche. Vous pouvez afficher les terminaux sur liste blanche par type, plateforme, ID de terminal et numéro de
série. Pour plus d'informations, consultez la section Ajouter un terminal mis sur liste noire ou blanche à la page 139.
Considération n° 3 : Pensez-vous limiter le nombre de terminaux enrôlés par groupe organisationnel ?
Vous pouvez appliquer une limite de terminaux enrôlés pour un groupe organisationnel. Cela vous permet de gérer votre
déploiement en vous empêchant de dépasser le nombre d'enrôlements valides. Pour plus d'informations, consultez la
section Nombre maximal de terminaux enrôlés par groupe organisationnel à la page 143.
Configurer les paramètres de restriction d'enrôlement

Lors de l'intégration de Workspace ONE UEM aux services d'annuaire, vous pouvez déterminer quels utilisateurs peuvent
enrôler des terminaux dans votre déploiement professionnel.
Vous pouvez limiter l'enrôlement aux groupes configurés ou aux utilisateurs connus. Les utilisateurs connus sont ceux
qui existent dans UEM Console. Les groupes configurés renvoient aux utilisateurs associés aux groupes du service
d'annuaire si vous souhaitez une intégration aux groupes d'utilisateurs. Vous pouvez aussi limiter le nombre de
terminaux enrôlés par groupe organisationnel et enregistrer les restrictions comme politique réutilisable.
Ces options sont disponibles en accédant à Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs >
Général > Enrôlement et en cliquant sur l'onglet Restrictions. L'onglet Restrictions vous permet de personnaliser les
politiques de restriction de l'enrôlement selon les rôles du groupe organisationnel ou du groupe d'utilisateurs.
l Créez et attribuez les politiques de restriction de l'enrôlement existantes à l'aide des paramètres de politique.
l Attribuez la politique à un groupe d'utilisateurs dans la section Paramètres d'attribution de groupe.
l Créez des listes noires ou blanches de terminaux selon la plateforme, le système d'exploitation, l'UDID, le numéro
IMEI, etc.
141
Gestion de l'accès L'enrôlement direct de Workspace ONE prend en charge toutes les options de contrôle de l'accès
utilisateur utilisateur.
Restreindre l'enrôlement aux utilisateurs connus – Permet de restreindre l'enrôlement aux seuls
utilisateurs qui existent dans UEM Console. Cette restriction s'applique aux utilisateurs de
l'annuaire que vous avez ajoutés un par un à UEM Console, manuellement ou par lot. Elle peut
également être utilisée pour verrouiller un enrôlement suite à un déploiement initial autorisant
tout le monde à s'enrôler. Cette option vous permet de sélectionner les utilisateurs capables de
s'enrôler.
Vous pouvez autoriser tous les utilisateurs de l'annuaire qui ne possèdent pas de compte dans
UEM Console à s'enrôler dans Workspace ONE UEM en désactivant cette option. Les comptes
utilisateur sont automatiquement créés au cours de l'enrôlement.
Restreindre l'enrôlement aux groupes configurés –Activez cette option pour limiter l'enrôlement
aux utilisateurs appartenant à tous les groupes ou aux groupes sélectionnés (en cas d'intégration
aux groupes d'utilisateurs). Ne sélectionnez pas cette option si vous n'avez pas procédé à
l'intégration aux groupes d'utilisateurs du service d'annuaire.
Vous pouvez créer des comptes utilisateur Workspace ONE UEM lors de l'enrôlement en
désactivant l'option pour autoriser tous les utilisateurs de l'annuaire à s'enrôler. Sélectionnez
Effacer les données professionnelles sur les terminaux des utilisateurs qui sont supprimés des
groupes configurés pour effacer automatiquement les données professionnelles des terminaux. Si
l'option Tous les groupes est sélectionnée, les terminaux n'appartenant à aucun groupe
d'utilisateurs sont supprimés. Si l'option Groupes sélectionnés est définie, les terminaux
n'appartenant à un groupe d'utilisateurs spécifique sont supprimés.
Une possibilité d'intégration aux groupes d'utilisateurs consiste à créer un groupe de service
d'annuaire « Approuvé par le MDM », à l'importer vers Workspace ONE UEM, puis à ajouter les
groupes d'utilisateurs du service d'annuaire existants au groupe « Approuvé par le MDM »
lorsqu'ils sont éligibles pour Workspace ONE UEM.
Définir la limite Activez ce paramètre et saisissez le nombre limite de terminaux pour restreindre le nombre de
du nombre terminaux autorisés à s'enrôler dans le groupe organisationnel actuel.
maximum de L'enrôlement direct de Workspace ONE prend en charge cette option.
terminaux enrôlés
au niveau de ce
groupe
organisationnel et
au niveau
inférieur
Remarque : les restrictions d'enrôlement ne s'appliquent pas aux terminaux iOS enrôlés via le programme
d'inscription de terminaux d'Apple (DEP), les informations requises du terminal étant seulement reçues après
l'enrôlement.
142
Nombre maximal de terminaux enrôlés par groupe organisationnel

Vous pouvez appliquer une limite de terminaux enrôlés pour un groupe organisationnel. Cela vous permet de gérer votre
déploiement en vous empêchant de dépasser le nombre d'enrôlements valides.
Cette limite peut s'appliquer à tous les types de groupe organisationnel (global, client, partenaire). Lorsqu'une limite est
définie sur un groupe organisationnel, vous ne pouvez pas définir d'autre limite dans la même branche de groupe
organisationnel. Vous pouvez définir une limite de terminal enrôlé si vous la configurez dans une autre branche de
Limiter le nombre de terminaux enrôlés par groupe organisationnel

Pour définir un nombre maximum de terminaux enrôlés dans le groupe organisationnel actuel, suivez les étapes
suivantes.
1. Naviguez vers Terminaux et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement
et sélectionnez l'onglet Restrictions.
2. Activez la limite dans Définir la limite du nombre maximum de terminaux enrôlés au niveau de ce groupe
organisationnel et au niveau inférieur.
Si cette option n'est pas disponible, vérifiez le groupe organisationnel parent (supérieur au groupe actuel) ou un sous-
groupe (inférieur au groupe actuel). Une limite a probablement déjà été définie au-dessus ou en dessous du groupe
organisationnel actuel.
Créer une politique de restriction d'enrôlement

Votre organisation doit évaluer le nombre et les types de terminaux appartenant à vos employés. Elle doit également
déterminer les terminaux à utiliser dans votre environnement de travail. Une fois que ce travail est terminé, vous pouvez
enregistrer ces restrictions d'enrôlement en tant que politique.
1. Accédez à Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Enrôlement.
2. Sélectionnez l'onglet Restrictions, puis cliquez sur Ajouter une politique, dans la section Paramètres de la
politique.
143
3. Sur la page Ajouter/Modifier la politique de restriction d'enrôlement, ajoutez une politique de restriction
d'enrôlement.
Nom de la Saisissez un nom pour votre politique de restriction d'enrôlement.
politique de
restriction
d'enrôlement
Groupe Sélectionnez un groupe organisationnel dans la liste déroulante. Il s'agit du groupe organisationnel
Groupe auquel votre nouvelle politique de restriction d'enrôlement s'appliquera.
Type de Sélectionnez le type de politique, qui peut être Par défaut pour le groupe organisationnel pour
politique l'appliquer au groupe organisationnel choisi, ou Politique des groupes d'utilisateurs pour
l'appliquer à des groupes d'utilisateurs spécifiques grâce aux paramètres d'attribution du groupe
dans l'onglet Restrictions.
Autorisé(s) Sélectionnez si vous autorisez ou non les terminaux professionnels, partagés et/ou personnels.
Types de L'enrôlement direct de Workspace ONE prend uniquement en charge les types de propriété
propriété professionnel et personnel.
Autorisé(s) Sélectionnez si vous autorisez ou non l'enrôlement des terminaux utilisant les applications MDM
Types (VMware Workspace ONE Intelligent Hub) et/ou AirWatch Container (pour iOS/Android).
d'enrôlement
Nombre Choisissez Illimité pour permettre aux utilisateurs d'enrôler autant de terminaux qu'ils le
maximal de souhaitent. L'enrôlement direct de Workspace ONE prend en charge la définition d'une limite de
terminaux terminaux par utilisateur.
par Décochez cette case pour saisir des valeurs dans la section Nombre maximal de terminaux par
utilisateur utilisateur afin de définir le nombre maximal de terminaux par type de propriété.
l Nombre maximum de terminaux par utilisateur
l Nombre maximum de terminaux professionnels
l Nombre maximum de terminaux partagés
l Nombre maximum de terminaux personnels

Terminaux Cochez la case Limiter l'enrôlement à des plateformes, modèles ou systèmes d'exploitation
autorisés spécifiques pour ajouter des restrictions supplémentaires, propres au terminal.
Types Cette option est prise en charge par l'enrôlement direct de Workspace ONE.
Remarque : la fonction actuelle de Microsoft vous interdit de placer sur liste noire les terminaux
Windows Phone par IMEI ou UDID.
144
Mode de Cette option est disponible seulement si Limiter l'enrôlement à des plateformes, modèles ou
restrictions systèmes d'exploitation spécifiques est sélectionné dans Types de terminaux autorisés.
au niveau du Déterminez le type de limitations de terminal que vous souhaitez.
terminal
l Autoriser uniquement les types de terminaux répertoriés (liste blanche) – Sélectionnez cette
option pour autoriser explicitement les terminaux correspondant aux paramètres saisis et
bloquer tous les autres.
l Bloquer les types de terminaux répertoriés (liste noire) – Sélectionnez cette option pour
bloquer les terminaux correspondant aux paramètres saisis et autoriser tous les autres.
Pour l'un ou l'autre des modes de restrictions au niveau du terminal, cliquez sur Ajouter une
restriction de terminal afin de sélectionner une plateforme, un modèle, un fabricant (terminaux
Android uniquement), un système d'exploitation. Vous pouvez aussi ajouter une limite de
terminaux par restriction de terminal définie. Vous pouvez ajouter plusieurs restrictions de
terminaux.
Vous pouvez également bloquer des terminaux spécifiques en fonction de leur IMEI, numéro de
série ou UDID en naviguant vers Terminaux > Cycle de vie > Statut de l'enrôlement et en cliquant
sur Ajouter. Ceci est une manière efficace de bloquer un seul et unique terminal et de l'empêcher
de se réenrôler sans affecter d'autres terminaux d'utilisateurs. Vous pouvez aussi empêcher le
réenrôlement lors d'un effacement des données professionnelles.
Cette option est prise en charge par l'enrôlement direct de Workspace ONE.
4. Cliquez sur Enregistrer pour sauvegarder vos modifications et revenez à l'écran Terminaux et utilisateurs /
Général / Enrôlement.
Raisons pour lesquelles vous ne devez pas enrôler de terminaux dans Global
Il est déconseiller d'enrôler les terminaux directement au niveau supérieur du groupe organisationnel (appelé
communément Global pour plusieurs raisons. Il s'agit de la mutualisation, de l'héritage et de la fonctionnalité.
Mutualisation
Vous pouvez créer autant de groupes organisationnels enfants que nécessaire et configurer chacun d'entre eux
indépendamment. Les paramètres que vous appliquez à un groupe organisationnel enfant n'ont aucun impact sur les
autres groupes enfants.
Héritage
Les modifications apportées au niveau d'un groupe organisationnel parent s'appliquent aux enfants. De la même
manière, les modifications apportées à un groupe organisationnel enfant ne s'appliquent pas au parent ou aux autres
enfants.
Fonctionnalité
Certains paramètres et fonctionnalités ne peuvent être configurés que pour les groupes organisationnels de type Client.
Cela inclut la protection contre la réinitialisation, les télécommunications et le contenu personnel. Les terminaux ajoutés
directement au groupe organisationnel de niveau supérieur Global sont exclus de ces paramètres et fonctionnalités.
145
Enrôlement par détection automatique

Workspace ONE™ UEM simplifie le processus d'enrôlement grâce à un système de détection automatique pour enrôler
les terminaux dans des environnements et des groupes organisationnels à l'aide des adresses e-mail des utilisateurs. La
détection automatique permet également aux utilisateurs de s'authentifier sur le portail self-service (SSP) à l'aide de leur
adresse e-mail.
Remarque : afin d'activer une détection automatique pour les environnements sur site, assurez-vous que votre
environnement peut communiquer avec les serveurs de détection automatique de Workspace ONE UEM.
Inscription pour l'enrôlement par détection automatique

Le serveur vérifie que le domaine d'e-mail a un nom unique et qu'il n'est pas déjà inscrit dans un autre groupe
organisationnel de l'environnement. À cause de cette vérification du serveur, enregistrez votre domaine au niveau de
votre plus haut groupe organisationnel.
La détection automatique est configurée automatiquement pour les nouveaux clients SaaS.
Configuration de l'enrôlement par détection automatique à partir d'un groupe organisationnel

parent
L'enrôlement par détection automatique simplifie le processus d'enrôlement des terminaux dans les environnements et
groupes organisationnels auxquels ils sont destinés à l'aide des adresses e-mail des utilisateurs finaux.
Configurez un enrôlement de détection automatique depuis un groupe organisationnel parent en effectuant les
opérations suivantes.
1. Accédez à Groupes et paramètres > Tous les paramètres > Administrateur > Services Cloud et activez le paramètre
Détection automatique. Saisissez l'adresse e-mail de connexion dans ID AirWatch de détection automatique et
sélectionnez Définir une identité.
a. Si nécessaire, accédez à https://my.workspaceone.com/set-discovery-password afin de définir votre mot de
passe pour le service de détection automatique. Une fois vous avez enregistré et sélectionné cliqué sur Définir
une identité, le jeton HMAC s'affiche automatiquement.. Cliquez sur Tester la connexion pour vous assurer que
la connexion fonctionne.
2. Activez l'option Épinglage de certificat de détection automatique pour importer votre propre certificat et l'épingler
à la fonction de détection automatique.
Vous pouvez passer en revue les dates de validité et d'autres informations concernant les certificats existants, et
utiliser les options Remplacer et Supprimer pour ces certificats.
Sélectionnez Ajouter un certificat ; les paramètres Nom et Certificat s'affichent. Saisissez le nom du certificat à
importer, sélectionnez le bouton Importer et choisissez le certificat sur votre terminal.
3. Cliquez sur Enregistrer pour terminer la configuration de la détection automatique.

Demandez aux utilisateurs finaux qui se sont enrôlés de sélectionner l'option d'adresse e-mail pour l'authentification au
lieu de l'URL d'environnement et de l'ID de groupe. Lorsque les utilisateurs enrôlent des terminaux à l'aide de leur adresse
146
e-mail, ils s'enrôlent dans le groupe indiqué dans le champ Groupe organisationnel d'enrôlement du compte utilisateur
associé.
Configuration de l'enrôlement par détection automatique à partir d'un sous-groupe organisationnel

Vous pouvez configurer l'enrôlement à détection automatique depuis un sous-groupe organisationnel du groupe
organisationnel d'enrôlement. Pour activer l'enrôlement de détection automatique de cette manière, vous devez
demander aux utilisateurs de sélectionner un ID de groupe pendant l'enrôlement.
1. Naviguez vers Terminaux > Paramètres des terminaux > Général > Enrôlement et sélectionnez l'onglet
Regroupement.
2. Sélectionnez Sélection manuelle de l'ID de groupe par l'utilisateur.
147
Chapitre 8 :
Terminaux partagés
L'attribution d'un terminal à chaque employé peut être coûteux pour certaines organisations. Workspace ONE™ UEM
permet aux utilisateurs finaux de partager des terminaux mobiles de deux manières : via une configuration fixe commune
à tous les utilisateurs ou une configuration propre à chaque utilisateur.
La fonctionnalité de terminaux partagés/multi-utilisateurs garantit la sécurité et l'authentification pour chaque utilisateur
final. De plus, le cas échéant, les terminaux partagés permettent uniquement à certains utilisateurs finaux d'accéder à des
informations sensibles.
Lorsque vous gérez des terminaux partagés, vous devez d'abord les provisionner avec les paramètres et restrictions
applicables avant le déploiement aux utilisateurs finaux. Une fois les terminaux déployés, Workspace ONE UEM utilise un
processus de connexion ou de déconnexion propre aux terminaux partagés, qui permet aux utilisateurs finaux de se
connecter en saisissant simplement leurs identifiants dédiés ou de services d'annuaire. Le rôle de l'utilisateur final
détermine son niveau d'accès aux ressources de l'entreprise, notamment au contenu, aux fonctions et aux applications.
Ce rôle garantit la configuration automatique des fonctions et des ressources disponibles après la connexion de
l'utilisateur.
Les fonctions de connexion ou de déconnexion sont contenues dans VMware Workspace ONE Intelligent Hub. L'auto-
confinement garantit que le statut d'enrôlement n'est jamais affecté et que le terminal est géré (qu'il soit en cours
d'utilisation ou non).
Fonctionnalités de terminaux partagés
Il existe des fonctionnalités de base quant à la sécurité des terminaux partagés entre plusieurs utilisateurs. Ces
fonctionnalités offrent de bonnes raisons pour considérer les terminaux partagés comme solution rentable afin de tirer le
meilleur parti de la mobilité d'entreprise.
l Fonctionnalité
o Personnalisez l'expérience de chaque utilisateur final sans perdre les paramètres de l'entreprise.
o La connexion à un terminal entraîne sa configuration avec l'accès d'entreprise et des paramètres, des
applications et du contenu spécifiques en fonction du rôle et du groupe organisationnel de l'utilisateur.
o Autorisez un processus de connexion/déconnexion qui est contenu dans
VMware Workspace ONE Intelligent Hub.
o Une fois l'utilisateur final déconnecté du terminal, les paramètres de configuration de cette session sont effacés.
Un autre utilisateur final peut alors se connecter au terminal.
148
Chapitre 8 : Terminaux partagés
l Sécurité
o Configurez les terminaux avec les paramètres du terminal partagé avant de fournir les terminaux aux utilisateurs.
o Connectez et déconnectez les terminaux sans affecter l'enrôlement dans Workspace ONE UEM.
o Authentifiez les utilisateurs lors d'une connexion avec les identifiants Workspace ONE UEM dédiés ou les
identifiants des services d'annuaire.
o Gérez les terminaux même si un terminal n'est pas connecté.
Plateformes qui prennent en charge les terminaux partagés
Les terminaux suivants prennent en charge la fonctionnalité de terminaux partagés/multi-utilisateurs.
l Android 4.3 et versions ultérieures
l Terminaux iOS avec VMware Workspace ONE Intelligent Hub 4.2 et versions ultérieures
l Terminaux macOS avec VMware Workspace ONE Intelligent Hub 2.1 et versions ultérieures
Définir la hiérarchie des terminaux partagés

Lorsque vous vous connectez pour la première fois à Workspace ONE™ UEM, vous ne voyez qu'un seul groupe
organisationnel, créé pour vous avec le nom de votre entreprise. Ce groupe sert de groupe organisationnel racine. Sous
ce groupe racine, vous pouvez créer des sous-groupes afin d'établir la structure hiérarchique de votre entreprise.
Vous verrez alors un groupe organisationnel représentant votre entreprise.
2. Vérifiez que les détails du groupe organisationnel affichés sont corrects, puis utilisez les paramètres disponibles
pour apporter des modifications, si nécessaire. Si vous effectuez des modifications, cliquez sur Enregistrer.
3. Cliquez sur Ajouter un sous-groupe organisationnel.
149
4. Saisissez les informations suivantes pour le premier groupe organisationnel créé sous le groupe racine :
Nom Saisissez un nom pour le sous-groupe organisationnel à afficher. Utilisez des caractères
alphanumériques uniquement. N'utilisez pas de caractères spéciaux.
ID de Saisissez un identifiant pour le groupe organisationnel que l'utilisateur final utilisera pour connecter
groupe son terminal. Les ID de groupe sont utilisés lors de l'enrôlement pour rassembler les terminaux dans
le bon groupe organisationnel.
Assurez-vous que les utilisateurs qui partagent des terminaux reçoivent l'ID de groupe, celui-ci
pouvant être exigé pour la connexion du terminal, en fonction des paramètres de terminal partagé.
Type Sélectionnez le type de groupe organisationnel préconfiguré qui reflète la catégorie du sous-groupe
organisationnel.
Pays Sélectionnez le pays où le groupe organisationnel est basé.
Paramètres Choisissez une langue pour le pays sélectionné.
régionaux
Secteur Ce paramètre est uniquement disponible lorsque le type est « Client ». Sélectionnez dans la liste de
d'activité secteurs d'activité des clients.
du client
Se connecter et se déconnecter des terminaux Android partagés

Pour utiliser la fonction Terminaux partagés sur un terminal Android, enrôlez ce dernier à l'aide de
VMware Workspace ONE Intelligent Hub et définissez l'application Android Launcher comme écran d'accueil par défaut.
L'application Launcher est téléchargée automatiquement au cours de l'enrôlement.
Une fois l'application installée et définie comme écran d'accueil par défaut, le terminal est en état de check-in. Lorsqu'il est
dans cet état, l'utilisateur ne peut pas quitter cette page et le terminal demande à l'utilisateur de procéder à la fermeture
de session (check-out). Pour supprimer le profil et permettre à l'utilisateur d'accéder de nouveau à la totalité du terminal,
effectuez un effacement des données professionnelles sur le terminal préenrôlé depuis Workspace ONE™ UEM Console.
Se connecter à un terminal Android

1. Sur la page de connexion du Launcher, l'utilisateur doit saisir son ID de groupe, son nom d'utilisateur et son mot de
passe. Si l'option Demander à l'utilisateur de saisir le groupe organisationnel est activée dans la console,
l'utilisateur doit saisir un ID de groupe pour ouvrir une session.
2. Appuyez sur Connexion et acceptez les Conditions d'utilisation, le cas échéant. Le terminal est alors configuré.
Une fois l'utilisateur connecté, les profils utilisateur sont déployés en fonction du Smart Group et des associations de
groupes d'utilisateurs.
Se déconnecter d'un terminal Android

1. Appuyez sur le bouton Paramètres du terminal.
2. Cliquez sur Déconnexion.
150
Se connecter et se déconnecter des terminaux macOS partagés

Plusieurs utilisateurs peuvent se connecter à un terminal macOS partagé et s'en déconnecter en activant le transfert
automatique des profils de terminaux.
Se connecter à un terminal macOS

À l'aide des informations d'identification Réseau attribuées, connectez-vous à un terminal macOS qui a été préenrôlé.
Vous recevrez les profils attribués à votre compte dans Workspace ONE UEM™.
Se déconnecter d'un terminal macOS

La procédure de déconnexion standard d'un terminal macOS déconnecte également le terminal du profil utilisateur qui
vous a été attribué dans Workspace ONE UEM.
Faire le check-in d'un terminal partagé à partir d'UEM Console

Vous pouvez faire le check-in d'un terminal directement depuis Workspace ONE UEM Console, évitant ainsi à l'utilisateur
final de le faire à l'aide de l'instance de VMware Workspace ONE Intelligent Hub installée.
Lorsque vous faites le check-in d'un terminal à l'aide d'UEM Console, vous réinitialisez efficacement l'enrôlement sur le
préenrôlement de plusieurs utilisateurs avec le groupe organisationnel, les profils, les applications, etc. prescrits. Côté
terminal, VMware Workspace ONE Intelligent Hub est redémarré, et l'écran de check-out s'affiche.
Restrictions
Cette fonction ne s'applique actuellement qu'aux terminaux iOS. Les terminaux enrôlés à l'aide d'une autre méthode que
VMware Workspace ONE Intelligent Hub (par exemple, l'enrôlement direct, Workspace ONE ou AirWatch Container) ne
sont pas pris en charge. Le check-in de terminaux en masse depuis la console n'est pas pris en charge.
Tâche
Pour faire le check-in d'un terminal iOS depuis la console, procédez comme suit :
1. Accédez à Terminaux > Affichage en liste et localisez le terminal iOS partagé dont vous voulez faire le check-in.
2. Sélectionnez le nom convivial du terminal pour afficher ses détails.
3. Cliquez sur le bouton Plus d'actions dans le coin supérieur droit de l'écran.
4. Dans la section Gestion, sélectionnez Faire le check-in du terminal.
Activation de l'enrôlement basé sur les services d'annuaire

L'enrôlement des services d'annuaire fait référence au processus d'intégration de Workspace ONE™ UEM dans
l'infrastructure des services d'annuaire de votre organisation. Une telle intégration de votre service d'annuaire signifie
que vous pouvez importer des utilisateurs automatiquement et, éventuellement, des groupes d'utilisateurs tels que des
groupes de sécurité et des listes de distribution.
Lors de l'intégration à un service d'annuaire comme Active Directory (AD), vous avez le choix dans la manière d'importer
les utilisateurs.
151
l Autoriser tous les utilisateurs d'annuaire à s'enrôler – Vous pouvez autoriser tous vos utilisateurs de service
d'annuaire à s'enrôler. Vous pouvez également configurer votre environnement pour qu'il détecte automatiquement
les utilisateurs en fonction de leur adresse e-mail. Créez-leur ensuite un compte utilisateur Workspace ONE UEM
lorsqu'ils effectuent l'enrôlement.
l Ajouter les utilisateurs un par un – Après l'intégration d'un service d'annuaire, vous pouvez ajouter des utilisateurs
un par un, comme vous le feriez pour créer des comptes utilisateur Workspace ONE UEM basiques. La seule
différence est que vous devez saisir leur nom d'utilisateur et cliquer sur Vérifier l'utilisateur pour emplir
automatiquement les informations restantes.
l Importer par lots un fichier CSV – Grâce à cette option, vous pouvez importer une liste de comptes de service
d'annuaire dans un fichier de modèle CSV (valeurs séparées par des virgules). Ce fichier dispose de colonnes très
spécifiques, certaines d'entre elles ne pouvant pas être vides.
l Intégrer des groupes d'utilisateurs (facultatif) – Cette méthode vous permet d'utiliser les appartenances de vos
groupes d'utilisateurs existants pour attribuer des profils, des applications, des politiques de conformité, etc.
Remarque : pour plus d'informations sur l'intégration de votre environnement Workspace ONE UEM à votre service
d'annuaire, reportez-vous au Guide VMware AirWatch sur les services d'annuaire. Pour plus d'informations sur
l'intégration de Workspace ONE UEM à un fournisseur SAML, consultez le Guide VMware AirWatch sur l'intégration
SAML, les deux étant disponibles sur docs.vmware.com.
152
Chapitre 9 :
Attributions de terminaux
Les attributions de terminaux vous permettent de déplacer des terminaux au sein des groupes organisationnels et des
noms d'utilisateurs selon la plage d'adresses IP ou l'attribut personnalisé. Il s'agit d'une alternative à l'organisation du
contenu (par exemple, les profils, les applications, les politiques et les produits) par groupe d'utilisateurs.
Au lieu que les administrateurs déplacent automatiquement les terminaux d'un groupe organisationnel à l'autre, vous
pouvez donner à la console l'ordre de déplacer les terminaux automatiquement lorsqu'ils se connectent au réseau Wi-Fi
que vous définissez. Vous pouvez également déplacer des terminaux en fonction des règles d'attribut personnalisés que
vous définissez.
Les attributions de terminaux sont utiles dans les situations où l'utilisateur change régulièrement de rôle et requiert des
profils et des applications spécialisés.
Vous devez choisir entre l'installation de groupes d'utilisateurs et d'attributions de terminaux pour déplacer les
terminaux, car Workspace ONE™ UEM ne prend pas en charge les deux fonctions dans un même terminal.
Activer l'attribution de terminaux

Avant de déplacer des terminaux au sein des groupes organisationnels et des noms d'utilisateurs selon l'adresse IP ou
l'attribut personnalisé, vous devez activer les attributions du terminal. Les attributions de terminaux ne peuvent être
configurées qu'au niveau d'un sous-groupe organisationnel.
1. Accédez à Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Avancé, puis
cliquez sur Remplacer ou sur Hériter le paramètre actuel selon vos besoins.
153
Chapitre 9 : Attributions de terminaux
2. Cliquez sur Activé dans le paramètre des règles d'attributions de terminaux.
3. Choisissez le type de gestion.

l Groupe organisationnel par plage d'adresses IP – Déplace le terminal vers un groupe organisationnel spécifié
lorsqu'il quitte une plage réseau Wi-Fi et entre dans une autre. Ce déplacement déclenche l'envoi automatique
push des profils, applications, politiques et produits.
l Groupes organisationnels par attribut personnalisé – Déplace le terminal vers un groupe organisationnel selon
les attributs personnalisés. Les attributs personnalisés permettent aux administrateurs d'extraire des valeurs
particulières de terminaux gérés et de les renvoyer à Workspace ONE UEM Console. Vous pouvez aussi attribuer
la valeur de l'attribut aux terminaux pour le provisionnement de produit ou les valeurs de recherche.
o Lorsque l'option Groupe organisationnel par attribut personnalisé est activée, un lien intitulé Cliquer ici pour créer un attribut
personnalisé en fonction de la règle d'attribution apparaît. Lorsque ce lien est sélectionné, il ouvre un autre onglet dans votre
navigateur. Cet onglet affiche la page Règles d'attribution des attributs personnalisés dans laquelle vous pouvez créer vos propres
règles d'attribution d'attributs. Pour plus d'informations, consultez la section Attribuer des groupes organisationnels avec les
attributs personnalisés à la page 235.
l Nom d'utilisateur par adresse IP – Lorsqu'un terminal quitte un réseau pour entrer dans un autre, le terminal
change les noms d'utilisateur au lieu de passer à un autre groupe organisationnel. Ce changement de nom
d'utilisateur entraîne le même envoi de profils, d'applications, de politiques et de produits. Cette option est utile
pour les clients ayant une capacité limitée de créer des groupes organisationnels puisqu'elle leur permet de tirer
parti de la fonction d'attribution de plages réseau.
Important : si vous souhaitez modifier l'attribution Type dans une configuration d'attribution existante, vous
devez supprimer toutes les plages définies existantes. Supprimez les attributions de plage d'adresses IP en
accédant à Groupes et paramètres > Groupes > Groupes organisationnels > Plages réseau. Supprimez les
attributions d'attributs personnalisés en naviguant sur Terminaux > Préenrôlement et provisionnement >
Attributs personnalisés > Règles d'attribution d'attributs personnalisés.
154
4. Sélectionnez les options de type de propriété. Seuls les terminaux du type de propriété sélectionné sont attribués.
l Professionnel
l Professionnel, partagé
l Personnel
l Non défini
5. Vous pouvez ajouter une plage réseau en sélectionnant le lien Cliquez ici pour créer une plage réseau. Lorsque vous
cliquez sur ce lien, la page Plages réseau s'affiche. Vous pouvez également visiter cette page en naviguant vers
Groupes et paramètres > Groupes > Groupes organisationnels > Plages réseau. La sélection des paramètres des
plages réseau ne s'affiche que si les attributions de terminaux ont été activées pour le groupe organisationnel dans
lequel vous vous trouvez lorsque vous visitez cet emplacement. Pour plus d'informations, consultez la section Définir
la règle d'attribution ou la plage réseau à la page 155.
6. Cliquez sur Enregistrer une fois toutes les options définies.
Définir la règle d'attribution ou la plage réseau

Lorsque votre terminal est connecté par Wi-Fi, il sera authentifié et installera automatiquement les profils, les
applications, les politiques et les provisionnements de produits spécifiques du groupe organisationnel choisi.
Vous pouvez définir des règles selon les attributs personnalisés. Lorsqu'un terminal avec un attribut personnalisé est
enrôlé, la règle attribue le terminal au groupe organisationnel configuré. Le terminal peut également être attribué au cas
où il reçoit une provision de produit contenant un attribut personnalisé qualifiant.
Les attributions de terminaux ne peuvent être configurées qu'au niveau d'un sous-groupe organisationnel.
1. Accédez à Groupes et paramètres > Groupes > Groupes organisationnels > Plages réseau.
L'option Plages réseau ne s'affiche pas tant que vous n'avez pas activé les attributions de terminaux. Ainsi, si vous ne
trouvez pas « Plages réseau » dans le chemin de navigation Groupes organisationnels, consultez la section Activer
l'attribution de terminaux à la page 153.
2. Pour ajouter une seule plage d'adresse IP, cliquez sur Ajouter une plage réseau. Sur la page Ajouter ou modifier la
plage réseau, remplissez les champs suivants puis cliquez sur Enregistrer.
l Début d'adresse IP – Saisissez la partie supérieure de la plage réseau.
l Fin d'adresse IP – Saisissez la partie inférieure de la plage réseau.
l Nom de groupe organisationnel – Saisissez le nom du groupe organisationnel vers lequel les terminaux seront
déplacés lorsque la plage réseau est saisie. Ce paramètre est uniquement visible si le type d'attribution réseau
est défini sur « Groupe organisationnel par adresse IP ».
l Nom d'utilisateur – Saisissez le nom d'utilisateur auquel les terminaux seront attribués lorsque la plage réseau
est saisie. Ce paramètre est uniquement visible si le type d'attribution réseau est défini sur « Nom d'utilisateur
par adresse IP ».
l Description – Éventuellement, ajoutez une description utile de la plage réseau.
155
l La superposition de plages réseau génère le message suivant : « Échec de l'enregistrement. La plage réseau
existe. »
3. Si vous avez plusieurs plages réseau à ajouter, vous pouvez cliquer sur Importation par lots pour gagner du temps.
Sur la page d'importation par lots, sélectionnez le lien Télécharger le modèle pour ce type de lot pour télécharger le
modèle d'importation par lots.
Renseignez ce modèle, importez-le via la page Importation par lot, puis cliquez sur Enregistrer.
156
Chapitre 10 : Profils des terminaux
Chapitre 10 :
Profils des terminaux
Les profils sont votre principal moyen de gestion des terminaux. Ils représentent des paramètres facilitant l'application
des procédures de l'entreprise, lorsqu'ils sont combinés à des politiques de conformité.
Créez des profils pour tous les types de plateforme et configurez une section de configuration qui correspond aux
paramètres individuels que vous configurez pour chacun d'entre eux.
Le processus de création d'un profil consiste à d'abord définir les paramètres généraux, puis ceux de la section de
configuration.
l Ces paramètres généraux déterminent la façon dont le profil est déployé et les utilisateurs qui le reçoivent.
l La section de configuration du profil correspond à la restriction elle-même et aux autres paramètres comme ils
s'appliquent au terminal lorsque le profil est installé.
Traitement du profil
Les profils de terminaux fournissent une base normalisée pour la gestion des terminaux. Combinés aux stratégies de
conformité, les profils de terminaux constituent le mécanisme par le moyen duquel la gestion des terminaux devient un
outil particulièrement utile.
Le traitement et la publication de profils de terminaux représentent une contrainte importante pour le serveur et doivent
être régis pour alléger cette contrainte. Workspace ONE UEM Console utilise une logique de traitement par lots pour les
types de profils de terminaux qui consomment le plus de ressources processeur. Cette logique de traitement par lots
peut être ajustée en accédant à Groupes et paramètres > Tous les paramètres > Installation > Réglage des
performances.
Ajouter des paramètres généraux de profil

Les paramètres et options de profil suivants s'appliquent à la plupart des plateformes et peuvent être utilisés comme
référence générale. Cependant, certaines plateformes peuvent proposer des sélections différentes. Les étapes et
paramètres s'appliquent à tous les profils.
1. Naviguez vers Terminaux > Profils et ressources > Profils > AJOUTER. Vous pouvez choisir parmi les options
suivantes pour ajouter un profil.
l Ajouter un profil – Ajoutez un nouveau profil de terminal.
l Importer un profil – Importez un profil signé sur votre terminal.
l Importation par lot – Importez de nouveaux profils de terminaux par lot en utilisant un fichier de valeurs
séparées par des virgules (CSV). Saisissez un nom et une description uniques pour regrouper et organiser
plusieurs profils à la fois.
2. Cliquez sur Ajouter un profil.
157
3. Sélectionnez la plateforme appropriée pour le profil que vous voulez déployer En fonction de la plateforme, les
paramètres de la section de configuration peuvent varier.
4. Sélectionnez l'onglet Général et complétez les paramètres suivants :

Nom Nom du profil qui s'affichera dans Workspace ONE™ UEM Console.
Version Champ en lecture seule qui indique la version actuelle du profil, déterminée par l'option Ajouter
une version.
Description Brève description du profil qui en indique l'objectif.
Déploiement Détermine si le profil est automatiquement supprimé après désenrôlement (ne s'applique pas
aux profils Android).
l Géré – Le profil est supprimé.
l Manuel – Le profil reste installé jusqu'à ce qu'il soit supprimé par l'utilisateur.
Type Détermine la façon dont le profil est déployé sur les terminaux.
d'attribution
l Automatique – Le profil est déployé sur tous les terminaux.
l Facultatif – Le profil peut être installé de manière optionnelle par l'utilisateur depuis le
portail self-service (SSP) ou déployé vers des terminaux individuels à la discrétion de
l'administrateur.
Les utilisateurs finaux peuvent également installer des profils représentant des applications
Web, à l'aide d'un raccourci Web ou d'une section de configuration de signets. Et si vous
configurez la section de configuration à afficher dans le catalogue d'applications, vous
pouvez l'installer à partir du catalogue d'applications.
l Interactif – (Ne s'applique pas à iOS ou Android). Ce profil est d'un type unique que les
utilisateurs finaux installent à l'aide du portail self-service. Lorsqu'ils sont installés, ces types
de profils spéciaux interagissent avec les systèmes externes pour générer des données à
envoyer vers le terminal. Cette option n'est disponible que si vous l'activez dans Groupes et
paramètres > Tous les paramètres > Terminaux et utilisateurs > Avancé > Options de
profil.
l Conformité – Le profil est appliqué au terminal par le moteur de conformité lorsque

l'utilisateur ne parvient pas à entreprendre les actions correctives permettant de rendre le
terminal conforme. Pour plus d'informations, consultez la section Profils de conformité à la
page 164.
Autoriser la l Toujours – L'utilisateur peut supprimer manuellement le profil à tout moment.
suppression
l Avec autorisation – L'utilisateur peut supprimer le profil avec l'autorisation de
l'administrateur. Si vous sélectionnez cette option, une zone de texte Mot de passe est
ajoutée.
l Jamais – L'utilisateur ne peut pas supprimer le profil du terminal.
158
Géré par Groupe organisationnel disposant des droits d'administration pour le profil.
Groupes Groupes auxquels vous souhaitez ajouter le profil de terminal. Vous pouvez également créer un
attribués Smart Group et le configurer selon le système d'exploitation minimum, les modèles de
terminaux, les catégories de propriété, les groupes organisationnels, etc. Pour plus
d'informations, consultez la section Groupes d'attribution à la page 78.
Même s'il s'agit d'un critère au sein d'un Smart Group, la plateforme configurée dans le profil de
terminal ou la politique de conformité sera toujours prioritaire sur celle du Smart Group. Par
exemple, si un profil de terminal est créé pour la plateforme iOS, il sera seulement attribué aux
terminaux iOS même si le Smart Group comporte des terminaux Android.
Exclusions Si Oui est sélectionné, un nouveau champ Groupes exclus s'affiche. Ce champ vous permet de
sélectionner les groupes que vous souhaitez exclure de l'attribution du profil du terminal. Pour
plus de détails, consultez la section Exclure des groupes dans les profils et politiques de
conformité à la page 89.
Afficher Après avoir sélectionné le groupe attribué, vous pouvez prévisualiser une liste de tous les
l'attribution des terminaux attribués, en tenant compte des attributions et exclusions de Smart Group.
terminaux
Critères Ces cases proposent des restrictions supplémentaires pour le profil.
d'attribution
l Installer uniquement sur les terminaux à l'intérieur des zones sélectionnées. – Entrez
supplémentaires
une adresse n'importe où dans le monde et un rayon en kilomètres ou en miles pour créer
un « périmètre d'installation de profil ». Pour plus d'informations, consultez la section
Zones de géo-barrière à la page 165.
l Activer les horaires et installer le contenu uniquement pendant les périodes définies –
Définissez une période précise pendant laquelle les terminaux reçoivent le profil. En
sélectionnant cette option, vous ajoutez un champ obligatoire Horaires attribués. Pour
plus d'informations, consultez la section Horaires à la page 168.
Date de Date à laquelle le profil est supprimé du terminal. La date doit être ultérieure et au format
suppression mm/jj/aaaa.
5. Définissez une section de configuration pour la plateforme de terminal.

Pour des instructions détaillées sur la configuration d'une section de configuration spécifique pour une plateforme
donnée, consultez le guide de la plateforme concernée, disponible sur docs.vmware.com.
Affichage en liste des profils

Maintenant que vos profils ont été créés et attribués aux terminaux, vous devez pouvoir gérer ces paramètres un par un
et à distance depuis une source unique. La page Terminaux > Profils et Ressources > Profils propose un emplacement
centralisé permettant d'organiser et de cibler les profils.
159
Vous pouvez créer des listes sur mesure de profils de terminaux selon les critères spécifiés en utilisant les filtres, la mise
en page et le tri de la colonne. Vous pouvez aussi exporter ces listes sous un fichier CSV pour les afficher avec Excel, et
voir le statut du profil du terminal.
Filtres Affichez seulement les profils souhaités en utilisant les filtres suivants.
l Statut – Filtrez les terminaux pour afficher les appareils actifs, inactifs et tous les terminaux.
l Plateforme – Filtrez les terminaux selon les 13 types de plateformes ou toutes les plateformes.
l Smart Group – Filtrez les terminaux en sélectionnant un Smart Group depuis le menu déroulant.
Mise ne Elle vous permet de personnaliser l'agencement des colonnes.
page
l Résumé – Affichez les paramètres et les colonnes par défaut dans l'affichage en liste.
l Personnalisé – Sélectionnez uniquement les colonnes de l'affichage en liste que vous voulez voir.
Vous pouvez aussi appliquer les colonnes sélectionnées à tous les administrateurs au niveau du
groupe organisationnel actuel ou en dessous de celui-ci.
Exporter Enregistrez un fichier .csv (valeurs séparées par des virgules) de l'intégralité de l'affichage en liste qui
peut ensuite être ouvert et analysé dans Excel. Si un filtre est appliqué à l'affichage en liste, la liste
exportée sera également filtrée.
Tri de la Sélectionnez l'en-tête de colonne pour changer le tri de la liste.
colonne
Détails du Dans les affichages Résumé et Personnalisé, la colonne Détails du profil, chaque profil présente une
profil icône représentant le type de section de configuration.
– Les types de sections de configuration uniques présentent une icône unique pour ledit type de
section de configuration.
– Les profils comportant plusieurs sections de configuration du même type présentent un

badge numérique dans le coin supérieur droit de l'icône.
– Les profils comportant plusieurs sections de configuration de types différents présentent une
icône générique dotée d'un badge numérique.
160
Statut Cette colonne affiche le statut de l'installation d'un profil grâce à trois indicateurs comportant chacun
d'installation un lien hypertexte numérique. En cliquant sur ce lien, la page Afficher les terminaux s'affiche ; il s'agit
d'une liste des terminaux concernés dans la catégorie sélectionnée.
l Installé(e)s ( ) – Cet indicateur affiche le nombre de terminaux auxquels le profil a été attribué et
sur lesquels il a été installé.
l Non installé(e)s ( ) – Cet indicateur affiche le nombre de terminaux auxquels le profil a été
attribué mais sur lesquels il n'a pas été installé.
l Attribué(e)s ( ) – Cet indicateur affiche le nombre total de profils attribués, qu'ils soient installés
ou non.
Case L'affichage en liste comprend un bouton radio de sélection et une icône Modifier à gauche de chaque
d'option et profil. Cliquez sur l'icône Modifier ( ) pour modifier la configuration basique du profil. Si vous
icône sélectionnez la case d'option, les boutons Terminaux, XML et Plus d'actions apparaissent au-dessus de
Modifier la liste.
l Terminaux – Affichez les terminaux disponibles pour ce profil et si le profil est installé sur ceux-ci ; s'il
ne l'est pas, vous pouvez également en afficher la raison. Surveillez les terminaux qui sont dans
votre flotte et envoyez-leur manuellement des profils, si nécessaire.
l </> XML – Affichez le code XML que Workspace ONE™ UEM génère après la création du profil.
Affichez et enregistrez le code XML pour le réutiliser ou le modifier en dehors de la console.
l Plus d'actions
o Copier – Copiez un profil existant et modifiez la configuration de la copie pour démarrer
rapidement avec les profils de terminaux.
o Activer/Désactiver – Rendez le profil de terminaux actif ou inactif.
o Supprimer – Maintenez votre tableau de profils en supprimant les profils inutiles.
Pop-up de pointage des profils de terminaux

Chaque profil de terminal de la colonne Détails du profil présente une icône d'info-bulle en haut à droite. Lorsque vous
appuyez sur cette icône (terminal mobile tactile) ou passez le curseur de la souris dessus (PC ou Mac), un pop-up de
pointage s'affiche. Ce pop-up contient des informations de profil : Nom de profil, Plateforme et Type de la section de
configuration incluse.
161
Une icône d'info-bulle semblable est également présente dans la colonne Groupes attribués de l'affichage en liste des
profils, avec des pop-ups de pointage affichant les Smart Groups attribués et le type de déploiement.
Confirmer l'installation du profil du terminal

Dans les situations peu fréquentes où les profils ne s'installent pas sur les terminaux ciblés, l'écran Afficher les terminaux
vous permet d'en afficher les raisons.
Naviguez vers Terminaux > Profils et ressources > Profils et cliquez sur le lien numérique situé à droite de la colonne
Statut d'installation pour ouvrir l'écran Afficher les terminaux.
Vous pouvez également générer un fichier de valeurs séparées par des virgules (CSV, comma-separated value) de la page
Afficher les terminaux complète, en cliquant sur l'icône Exporter ( ( ). Excel peut être utilisé pour lire et analyser le
fichier CSV.
Vous pouvez également personnaliser les colonnes de la page Afficher les terminaux que vous voulez voir, en cliquant
sur l'icône Colonnes disponibles ( ).
Afficher la colonne Statut de la commande

Les terminaux iOS disposent d'une colonne Statut de la commande sur l'écran Afficher les terminaux. Elle inclut les
statuts d'installation suivants pour le terminal iOS sélectionné.
l Erreur – S'affiche en tant que lien qui affiche le code d'erreur applicable au terminal.
l En attente – S'affiche lorsque le terminal est inclus dans un processus global de certificat en cours.
l Non applicable – S'affiche lorsque l'attribution du profil n'a pas d'impact sur le terminal, mais qui fait néanmoins
partie du Smart Group ou du déploiement. Par exemple, lorsque le type de profil n'est pas géré.
l Plus tard – S'affiche lorsque le terminal est verrouillé ou qu'il est occupé d'une autre manière.
162
l En file d'attente – S'affiche lorsque l'installation est en file d'attente et qu'elle est programmée.
l Réussite – S'affiche lorsque le profil a été installé avec succès.
Affichage en lecture seule des profils de terminaux

Les profils des terminaux créés dans et gérés par un groupe organisationnel sont en lecture seule lorsqu'un
administrateur connecté avec un niveau de privilèges inférieur y accède. La fenêtre du profil indique cet état de lecture
seule en ajoutant un commentaire spécial : « Ce profil est géré par un groupe organisationnel d'un niveau supérieur et ne
peut pas être modifié. »
Cette limite de lecture seule s'applique également aux attributions de Smart Groups. Lorsqu'un profil est créé au niveau
d'un groupe organisationnel parent et attribué à un Smart Group, un administrateur d'un sous-groupe organisationnel
peut le consulter, mais ne peut pas le modifier.
Ce comportement assure le maintien d'une sécurité basée sur la hiérarchie et facilite la communication entre
administrateurs.
Modification du profil du terminal

Grâce à Workspace ONE™ UEM Console, vous pouvez modifier un profil de terminal déjà installé sur les terminaux de
votre flotte. Il existe deux types de modification que vous pouvez apporter au profil d'un terminal :
l Général – Les paramètres du profil permettent de gérer la distribution du profil : la manière dont il est attribué, le
groupe organisationnel qui le gère, les Smart Groups auxquels il est attribué ou dont il est exclu.
l Section de configuration – Les paramètres de profil de la section de configuration affectent le terminal lui-même : la
demande de code d'accès, les restrictions du terminal telles que l'utilisation de l'appareil photo ou la capture d'écran,
les configurations Wi-Fi, le VPN, etc.
Le fonctionnement du terminal n'étant pas affecté, les changements apportés dans la section Général peuvent
normalement être effectués sans republier le profil. La sauvegarde des changements entraînerait l'envoi du profil
uniquement vers des terminaux qui n'ont pas encore été attribués au profil.
En revanche, les changements de la section de configuration doivent systématiquement être republiés vers tous les
terminaux, les nouveaux comme ceux déjà existants, dans la mesure où le fonctionnement du terminal lui-même est
affecté.
Modifier les paramètres des profils de terminaux

Les paramètres généraux de profil comprennent les modifications qui gèrent sa distribution uniquement. Cette
distribution comprend la manière dont le profil est attribué, le groupe organisationnel qui le gère, le groupe d'attribution
auquel il est attribué ou dont il est exclu.
1. Naviguez vers Terminaux > Profils et ressources > Profils et cliquez sur l'icône Modifier ( ) dans le menu
d'actions en regard du profil que vous souhaitez modifier.
Les seuls profils modifiables sont ceux gérés par un groupe organisationnel (ou un sous-groupe organisationnel).
2. Procédez à tous les changements souhaités dans la catégorie Général.
163
3. Une fois les changements apportés à la catégorie Général, cliquez sur Enregistrer et publier afin d'appliquer le profil à
tous les nouveaux terminaux que vous avez ajoutés ou supprimés. Les terminaux auxquels le profil a déjà été
attribué reçoivent le profil republié. L'écran Afficher l'attribution des terminaux s'affiche, vous confirmant la liste
des terminaux actuellement attribués.
Ajouter des paramètres généraux de profil à la page 157
Afficher l'attribution des terminaux à la page 169
Modifier les paramètres de profils de terminaux de la section de configuration

Les paramètres de profil de la section de configurations comportent des changements qui affectent le terminal lui-même :
la demande de code d'accès, les restrictions du terminal telles que l'utilisation de l'appareil photo ou la capture d'écran,
les configurations Wi-Fi, le VPN, etc.
Le bouton Ajouter une version vous permet de créer une nouvelle version du profil dont les paramètres de la section de
configuration peuvent être modifiés.
1. Activez les modifications de la section de configuration qui affecte le fonctionnement du terminal en sélectionnant le
bouton Ajouter une version.
Lorsque vous sélectionnez le bouton Ajouter une version et que vous enregistrez vos modifications, le profil est re-
publié sur tous les terminaux auxquels il est attribué. Cette publication inclut les terminaux qui ont déjà le profil. Pour
des instructions détaillées sur la configuration d'une section de configuration spécifique, consultez le guide de la
plateforme concernée disponible sur docs.vmware.com.
2. Une fois les modifications apportées à la section de configuration, cliquez sur Enregistrer et publier afin d'appliquer
le profil à tous les terminaux attribués. L'écran Afficher l'attribution des terminaux s'affiche, vous confirmant la liste
des terminaux actuellement attribués.
Profils de conformité
Pour comprendre les profils de conformité, vous devez comprendre les profils de terminaux et les politiques de
conformité. Les profils de terminaux servent de base pour la gestion et la sécurité des terminaux, alors que les politiques
de conformité agissent comme une barrière de sécurité qui protège le contenu d'entreprise.
Les profils de terminaux vous permettent de contrôler de nombreux paramètres de terminaux. Ces paramètres sont les
suivants : complexité du code d'accès, géo-barrière, horaires, fonctionnalité du matériel du terminal, Wi-Fi, VPN, e-mail,
certificats, etc.
Le moteur de conformité surveille les règles, effectue des opérations et applique des escalades (tous les éléments que
vous définissez). Les profils de conformité cherchent toutefois à fournir au moteur de conformité toutes les options et
paramètres habituellement disponibles uniquement pour les profils de terminaux. Pour plus d'informations, reportez-
vous à la section Politiques de conformité à la page 188.
Par exemple, vous pouvez créer un profil de terminal spécial, identique à votre profil de terminal normal, mais avec des
paramètres plus restrictifs. Vous pouvez alors appliquer ce profil de terminal spécial dans l'onglet Actions lorsque vous
définissez votre politique de conformité. Dans cette situation, si l'utilisateur ne parvient pas à rendre son terminal
conforme, vous pouvez appliquer le profil de conformité le plus restrictif.
164
Ajouter un profil de conformité

Les profils de conformité sont créés et enregistrés comme les profils de terminaux Auto et Facultatif.
1. Naviguez vers Terminaux > Profils et ressources > Profils, sélectionnez Ajouter, Ajouter un profil, puis sélectionnez
une plateforme.
2. Sélectionnez un nom pour le profil de conformité que vous pouvez reconnaître ultérieurement.
3. Dans l'onglet de profil Général, sélectionnez Conformité dans le paramètre déroulant Type d'attribution.
4. Complétez les autres paramètres Général et Section de configuration.
5. Une fois que vous avez terminé, cliquez sur Enregistrer et publier.
Pour obtenir des instructions détaillées afin de compléter un profil de terminal, consultez la section Ajouter des
paramètres généraux de profil à la page 157.
Vous devez ensuite sélectionner ce profil dans la politique de conformité.

6. Naviguez vers Terminaux > Politiques de conformité > Affichage en liste et sélectionnez Ajouter, puis sélectionnez
une plateforme.
7. Définissez les règles et sélectionnez Suivant.
8. Dans l'onglet Actions, sélectionnez les options suivantes.

l Définissez le menu déroulant sur Profil.
l Définissez le deuxième menu déroulant sur Installer le profil de conformité.
l Définissez le troisième menu déroulant sur le profil de terminal que vous avez nommé à l'étape 2.
9. Sélectionnez Suivant et configurez les autres paramètres des onglets Attribution et Résumé.
10. Enregistrez la politique de conformité en sélectionnant Terminer ou Terminer et activer.

Pour obtenir des instructions détaillées afin de compléter une stratégie de conformité, consultez la section Ajouter une
politique de conformité à la page 196.
Zones de géo-barrière
Workspace ONE UEM vous permet de définir votre profil avec une zone de géo-barrières. Une zone de géo-barrières
limite l'utilisation du terminal à des zones spécifiques, notamment les lieux de travail, les bâtiments scolaires et les
magasins. Vous pouvez vous représenter les zones de géo-barrières comme un périmètre virtuel pour une zone
géographique réelle.
Par exemple, une zone de géo-barrières d'un rayon de 1 km peut s'appliquer à vos bureaux, tandis qu'une autre zone de
géo-barrières beaucoup plus étendue peut s'appliquer à un pays tout entier. Une fois la zone de géo-barrières définie,
vous pouvez l'appliquer aux profils, aux applications SDK, aux applications Workspace ONE UEM telles que
VMware Content Locker, etc.
165
l L'activation d'une zone de géo-barrière est une procédure en deux étapes.

1. Ajouter une zone de géo-barrière à la page 167.
2. Application d'une géo-barrière à un profil à la page 167.
l Les géo-barrières sont disponibles pour les terminaux iOS et Android.
l Rappelez-vous que si les géo-barrières sont associées à une autre section de configuration activant les profils de
sécurité en fonction de l'emplacement, nous vous conseillons tout de même de n'avoir qu'une section de
configuration par profil.
Pour plus d'informations sur la manière dont Workspace ONE UEM suit les positions GPS, consultez l'article
suivant, disponible dans la base de connaissances VMware :
https://support.workspaceone.com/articles/115001663108.
Prise en charge des géo-barrières sur les terminaux iOS

Les géo-barrières pour les applications ne fonctionnent que sur les terminaux iOS ayant activé les services de
localisation. Pour que les services de localisation fonctionnent, le terminal doit être connecté à un réseau cellulaire ou à
un point d'accès Wi-Fi. Dans le cas contraire, le terminal doit disposer de fonctions GPS intégrées.
Pour les terminaux connectés au Wi-Fi uniquement, la position GPS est signalée lorsque le terminal est allumé,
déverrouillée, et VMware Workspace ONE Intelligent Hub est ouvert et en cours d'utilisation. Les données GPS des
téléphones mobiles sont envoyées lorsque le terminal change de tours de téléphonie mobile. VMware Browser et
Content Locker envoient leurs données GPS (à l'aide de VMware Workspace ONE Intelligent Hub) lorsque l'utilisateur final
les ouvre et les utilise.
Le « mode avion » désactive les services de localisation (et par conséquent, des géo-barrières) sur le terminal.
Terminal Wi-Fi Réseau cellulaire GPS intégré
iPhone ✓ ✓ ✓
iPad avec Wi-Fi et 3G/4G ✓ ✓ ✓
iPad avec Wi-Fi ✓
iPod Touch ✓
Toutes les conditions suivantes doivent être respectées pour que la position GPS se mette jour.
l VMware Workspace ONE Intelligent Hub doit être en cours d'exécution sur le terminal.
l Les paramètres de confidentialité doivent permettre la collecte des données de localisation GPS (Groupes et
paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Confidentialité).
l Les paramètres de VMware Workspace ONE Intelligent Hub pour Apple iOS doivent permettre la collecte des

données de localisation (Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Apple >
Apple iOS > Paramètres du Hub).
Définissez les paramètres SDK de VMware Workspace ONE Intelligent Hub sur les paramètres SDK par défaut au lieu
de « Aucun ».
166
Ajouter une zone de géo-barrière

Vous devez définir une zone de géo-barrière avant de pouvoir l'appliquer à un terminal.
1. Accédez, à la page des paramètres Zone en naviguant vers Terminaux > Profils et ressources > Paramètres du profil
> Zones. Cliquez sur Ajouter, puis sur Zone de géo-barrière.
2. Saisissez une adresse, ainsi que le rayon de la géo-barrière (en kilomètres ou en miles). Vous pouvez aussi double-
cliquer sur un emplacement de la carte pour définir le centre de la zone.
3. Sélectionnez Cliquer sur Rechercher pour voir sur la carte l'emplacement approximatif auquel la géo-barrière sera
appliquée.
Remarque : L'intégration à Bing maps implique que du « contenu non sécurisé » est chargé sur cette page. Si la
recherche d'emplacement ne s'effectue pas comme prévu, vous devrez peut-être activer l'option « Afficher tout
le contenu » dans votre navigateur.
4. Saisissez le nom de la zone (la manière dont elle s'affichera dans Workspace ONE™ UEM Console) et cliquez sur
Enregistrer.
Ensuite, vous devez Application d'une géo-barrière à un profil à la page 167.
Application d'une géo-barrière à un profil

Une fois que vous avez ajouté une zone de géo-barrière, vous pouvez l'appliquer à un profil de sécurité et l'associer à
d'autres sections de configuration pour créer des profils plus robustes.
Par exemple, vous pouvez définir des zones de géo-barrières autour de chacun de vos bureaux. Ajoutez ensuite une
section de configuration de restrictions pour désactiver l'accès au Game Center, aux jeux multi-joueurs ou au contenu
YouTube, ainsi que d'autres paramètres. Une fois le profil activé, les employés du groupe organisationnel auxquels il est
appliqué n'auront plus accès à ces fonctions tant qu'ils seront au bureau.
1. Naviguez vers Terminaux > Profils et ressources > Profils > Ajouter et sélectionnez une plateforme.
2. Sélectionnez Installer uniquement sur les terminaux à l'intérieur des zones sélectionnées dans l'onglet Général.
Un champ Zones de géo-barrières attribuées s'affiche. Si aucune zone de géo-barrières n'a été définie, la console
vous redirigera vers le menu de création de zones de géo-barrières.
3. Saisissez une ou plusieurs zones de géo-barrières dans ce profil.
4. Configurez une section de configuration, comme un code d'accès, des restrictions ou un réseau Wi-Fi, que vous
souhaitez appliquer uniquement lorsque les terminaux se trouvent dans les zones de géo-barrières sélectionnées.

Si un utilisateur désactive manuellement les services de localisation sur son terminal iOS, Workspace ONE™ UEM ne peut
plus collecter les mises à jour de localisation. Workspace ONE UEM considère que le terminal se trouve à l'endroit où les
services ont été désactivés.
iBeacons
iBeacon est propre à iOS et permet de gérer la connaissance des emplacements. Pour plus d'informations, consultez le
Guide VMware AirWatch pour la plateforme iOS, disponible sur docs.vmware.com.
167
Horaires
Les horaires vous permettent de contrôler quand chaque profil du terminal est actif. Le profil indique les restrictions et les
autorisations relatives à l'usage du terminal. Les horaires permettent de planifier l'installation du profil.
L'activation d'horaires est une procédure en deux étapes.
1. Définir des horaires
2. Appliquer des horaires à un profil
Définir des horaires

Vous devez définir un horaire avant de l'appliquer à un profil de terminal.
1. Naviguez vers Terminaux > Profils et ressources > Paramètres de profil > Horaires.
2. Sélectionnez Ajouter un horaire au-dessus de la colonne Nom de la planification.
3. Sélectionnez Ajouter un horaire situé sous la colonne Jour de la semaine, puis complétez les paramètres suivants.
Nom de la Saisissez le nom de la planification qui apparaît dans l'affichage en liste des terminaux.
planification
Fuseau horaire Sélectionnez le fuseau horaire du groupe organisationnel sous lequel le terminal est géré.
Jour de la Appliquer une installation de profil planifié en choisissant un jour de la semaine.
semaine
Toute la Installez le profil à minuit le jour de la semaine sélectionné. En cochant cette case, vous
journée supprimez les colonnes Heure de début et Heure de fin.
Heure de début Sélectionnez l'heure souhaitée d'installation du profil.
Heure de fin Sélectionnez l'heure souhaitée de désinstallation du profil.
Actions Supprimez l'horaire du jour en cliquant sur X.
Appliquer des horaires à un nouveau profil

Une fois que vous avez défini des horaires, vous pouvez les appliquer à un nouveau profil et les associer à d'autres
sections de configuration pour créer des profils plus robustes. Par exemple, vous pouvez définir des horaires particuliers
pour les heures habituelles de travail et ajouter une section de configuration de restrictions afin de désactiver l'accès aux
jeux multi-joueurs, au contenu YouTube et autres applications.
Une fois le profil activé, les employés du groupe organisationnel auxquels il est appliqué n'auront plus accès à ces
fonctions pendant les périodes indiquées.
1. Naviguez vers Terminaux > Profils et ressources > Profils > Ajouter et sélectionnez votre plateforme.
2. Cochez Activer les horaires et installer le contenu uniquement pendant les périodes définies dans l'onglet
Général.
168
3. Dans le champ Horaires attribués, saisissez un ou plusieurs horaires pour ce profil.
4. Configurez une section de configuration, comme un code d'accès, des restrictions ou un réseau Wi-Fi, que vous
souhaitez appliquer aux terminaux uniquement pendant les périodes indiquées.
Appliquer des horaires à un profil existant

Vous pouvez appliquer un planning prédéfini à un profil existant.
1. Naviguez vers Terminaux > Profils et ressources > Profils, puis sélectionnez dans la liste le profil à modifier.
Sélectionnez l'icône du crayon ( ) ou cliquez sur le nom du profil.
2. Dans l'onglet Général de la page des profils, activez le paramètre Activer les horaires et installer le contenu
uniquement pendant les périodes définies.
3. Dans le paramètre Horaire attribué qui s'affiche, sélectionnez dans le menu déroulant celui précédemment
enregistré.
Supprimer des horaires

Évitez d'encombrer votre collection avec des horaires inutilisés en les supprimant. Vous ne pouvez pas supprimer un
horaire attribué à un profil. Annulez l'attribution de l'horaire du profil avant d'effectuer la suppression.
1. Sélectionnez le bouton radio situé à côté de l'horaire à supprimer.
2. Sélectionnez le bouton Supprimer.
Afficher l'attribution des terminaux

En cliquant sur Enregistrer et publier après la configuration d'un profil, l'écran Afficher l'attribution des terminaux
s'affiche et donne un aperçu des terminaux attribués (et non attribués).
Selon le type de changements apportés au profil du terminal, la colonne Statut de l'attribution affiche différents
éléments.
l Ajouté – Le profil est ajouté et publié sur le terminal.
l Supprimé – Le profil est supprimé du terminal.
l Inchangé – Le profil n'est pas republié sur le terminal.
l Mis à jour – Le profil est republié sur un terminal auquel il est déjà attribué.
Cliquez sur Publier pour finaliser les modifications et, le cas échéant, republier tous les profils nécessaires.
169
Chapitre 11 :
Ressources
Les ressources facilitent le provisionnement des sections de configuration du Wi-Fi, du VPN et d'Exchange pour les
déploiements Workspace ONE UEM qui prennent en charge plusieurs plateformes de terminaux, comme iOS, Android et
Windows.
Créez une ressource pour l'une de ces sections de configuration et définissez les paramètres généraux reçus par chaque
plateforme. Vous pouvez, si vous le voulez, configurer des paramètres propres à une plateforme en particulier afin qu'ils
s'appliquent seulement à ces terminaux.
Les ressources sont définies, gérées et déployées séparément des profils de terminaux. Déployez les ressources avec les
profils de terminaux pour offrir une gestion des terminaux à la fois large et détaillée pour toutes les plateformes
supportées par votre déploiement.
Vous n'avez pas à utiliser de ressources pour déployer les paramètres du Wi-Fi, du VPN, ou d'Exchange. Si vous le
souhaitez, vous pouvez toujours créer des profils de terminaux à part pour les sections de configuration de chaque
plateforme. Envisagez le déploiement des ressources lorsque vous pensez que les paramètres du Wi-Fi, du VPN, ou
d'Exchange sont identiques ou similaires à travers les plateformes. Puis, créez des profils de terminaux supplémentaires
pour gérer plus de fonctionnalités pour chaque plateforme.
Affichage en liste des ressources

Utilisez l'affichage en liste des ressources pour ajouter et gérer votre ensemble de ressources comprenant l'affichage, la
suppression et la modification des configurations pour les ressources individuelles.
Ajouter une ressource

Vous pouvez ajouter une ressource pour provisionner votre flotte de terminaux multi-plateforme avec les mêmes
paramètres Exchange, Wi-Fi, et VPN.
Naviguez vers Terminaux > Profils et ressources > Ressources et sélectionnez Ajouter une ressource. Vous pouvez
choisir parmi les options suivantes pour ajouter une ressource.
l Exchange – Configurez les paramètres des e-mails pour garder la connexion avec votre serveur de messagerie
Exchange.
170
Chapitre 11 : Ressources
l WiFi – Configurez les paramètres de connectivité Wi-Fi afin de maintenir une connectivité réseau.
l VPN – Configurez les paramètres de réseau privé virtuel afin de maintenir une connexion sécurisée.
Chaque ressource nécessite trois étapes de configuration distinctes. Créez une ressource de terminal en précisant les
détails de la ressource, les plateformes applicables et l'attribution de la ressource aux terminaux.
l Les détails de la ressource contiennent le nom de la ressource, sa description, les dépendances au serveur et
d'autres paramètres essentiels qui déterminent le fonctionnement de la ressource.
l Les plateformes définissent sur quels terminaux la ressource fonctionne.
l L'attribution détermine la manière dont la ressource est déployée, notamment les groupes organisationnels, les
groupes d'utilisateurs et les Smart Groups.
Gérer les ressources

Une fois que vous avez accumulé un ensemble de ressources, vous pouvez les gérer en accédant à Terminaux > Profils
et ressources > Ressources, puis filtrer, afficher modifier et supprimer les ressources.
l Filtrez l'affichage en liste des ressources pour voir celles qui sont actives, inactives ou les voir toutes.
l Affichez les différentes plateformes que votre ressource comprend en sélectionnant le numéro d'hyperlien dans la
colonne Plateformes.
o Ouvrez la section Paramètres avancés pour la ressource en sélectionnant le nom de la plateforme d'hyperlien.
o Ouvrez la page Afficher les terminaux en sélectionnant les numéros d'hyperlien dans la colonne
Installés/attribués de la page Plateformes. Cette page affiche la liste des terminaux attribués à la ressource.
o Affichez et exportez le code XML, et importez un certificat en cliquant sur l'hyperlien Afficher dans la colonne
XML de la page des plateformes.
l Modifiez une ressource en sélectionnant le lien de la ressource qui s'affiche dans la section Détails de la ressource de
la page Modifier la ressource.
o Modifiez les détails de la ressource en cliquant sur l'icône du crayon ( ) à gauche de la liste des ressources. Vous
pouvez continuer à effectuer des modifications aux autres sections de la page Modifier la ressource en
sélectionnant le bouton Suivant.
l Modifiez l'attribution de la ressource en cliquant sur la case d'option à gauche de la liste de ressources puis en
sélectionnant Modifier l'attribution.
l Supprimez une ressource en cliquant sur la case d'option à gauche de la liste de ressources puis en sélectionnant
Supprimer. La suppression d'une ressource la désactive jusqu'à ce qu'elle soit supprimée de tous les terminaux.
Ajouter une ressource Exchange

Vous pouvez ajouter une ressource destinée à assurer l'envoi et la réception de communications par e-mail sécurisées.
Pour un aperçu, reportez-vous à la section Ressources à la page 170.
1. Accédez à Terminaux > Profils et ressources > Ressources et sélectionnez Ajouter une ressource, puis Exchange et
renseignez les paramètres suivants.
171
Détails de la ressource
Nom de la ressource Nom du profil qui s'affichera dans Workspace ONE™ UEM Console.
Informations de connexion
Client de messagerie Sélectionnez le client de messagerie que vous souhaitez utiliser avec la ressource.
Hôte Exchange Saisissez l'hôte Exchange pour le compte de messagerie à inclure à la ressource.
Utiliser le SSL Activez le protocole SSL (Secure Socket Layer) pour ce client de messagerie.
Avancé
Domaine* Saisissez une valeur de recherche pour le domaine de messagerie.
Nom d'utilisateur* Saisissez une valeur de recherche pour l'utilisateur de la messagerie.
Adresse e-mail* Saisissez une valeur de recherche pour l'adresse e-mail.
Mot de passe Saisissez un nom mot de passe pour le compte de messagerie. Cochez la case Afficher
les caractères pour afficher le mot de passe.
Certificat d'identité Importez et joignez une autorité de certification au compte de messagerie en
sélectionnant le bouton Ajouter un certificat.
Synchronisation des e- Sélectionnez la longueur de la liste de l'historique de messagerie que vous voulez
mails depuis synchroniser. Choisissez entre 3 jours, 1 semaine, 2 semaines, 1 mois et Illimité.
Synchroniser le Choisissez de synchroniser le calendrier du terminal avec le calendrier Exchange. Ce
calendrier paramètre est activé par défaut sur les terminaux iOS et macOS.
Synchroniser les contacts Choisissez de synchroniser les contacts du terminal avec les contacts Exchange. Ce
paramètre est activé par défaut sur les terminaux iOS et macOS.
* Pour plus d'informations, reportez-vous à la section Valeurs de recherche à la page 228.
2. Cliquez sur Suivant pour passer à la sélection des plateformes. Choisissez parmi les plateformes prises en charge, en
optant pour les paramètres par défaut ou pour les paramètres avancés.
l Configurer les paramètres avancés d'Exchange pour iOS à la page 173.
l Configurer les paramètres avancés d'Exchange pour macOS à la page 174.
l Configurer les paramètres avancés pour Exchange sur Android à la page 174.
l Configurer les paramètres avancés pour Exchange sur Windows Phone à la page 176.
l Configurer les paramètres avancés pour Exchange sur Windows Desktop à la page 176.
3. Cliquez sur Suivant pour passer à la section Attribution.
4. Attribuez la ressource aux terminaux en complétant les paramètres suivants.
172
Type Détermine la façon dont la ressource est déployée sur les terminaux.
d'attribution
l Automatique – La ressource est déployée sur tous les terminaux automatiquement.
l Facultatif – La ressource peut être installée de manière optionnelle par l'utilisateur depuis
le portail self-service (SSP) ou déployé vers des terminaux individuels à la discrétion de
l'administrateur.
Géré par Groupe organisationnel disposant des droits d'administration pour la ressource.
Groupes Groupes auxquels vous souhaitez ajouter la ressource de terminal. Vous pouvez également
attribués créer un Smart Group et le configurer selon le système d'exploitation minimum, les modèles de
Exclusions Si vous sélectionnez Oui, la nouvelle zone de texte Groupes exclus s'affiche pour vous
permettre de sélectionner les groupes que vous souhaitez exclure de l'attribution de la
ressource du terminal. Pour plus de détails, consultez la section Exclure des groupes dans les
profils et politiques de conformité à la page 89.
Afficher Après avoir effectué une sélection dans la zone de texte Groupes attribués, vous pouvez
l'attribution des cliquer sur ce bouton pour prévisualiser la liste de tous les terminaux auxquels cette ressource
terminaux est attribuée, en tenant compte des attributions et des exclusions de Smart Groups.
Configurer les paramètres avancés d'Exchange pour iOS

Les paramètres avancés d'Exchange pour iOS consiste en un ensemble d'options de configuration de la sécurité et de
S/MIME, offrant un chiffrement basé sur les certificats et propre à l'utilisateur de la messagerie.
Utiliser S/MIME. Utilisez le protocole S/MIME, une clé publique de chiffrement et une norme de
signature.
Certificat S/MIME Cette option est disponible uniquement lorsque la fonction Utiliser S/MIME est
activée. Ajoutez un certificat de signature aux e-mails en sélectionnant Ajouter un
certificat.
Certificat S/MIME de Cette option est disponible uniquement lorsque la fonction Utiliser S/MIME est
chiffrement activée. Ajoutez un certificat pour le chiffrement et la signature numérique des e-
mails en sélectionnant Ajouter un certificat.
Activer l'option « Par Cette option est disponible uniquement lorsque la fonction Utiliser S/MIME est
message ». activée. Donnez aux utilisateurs la possibilité de choisir les messages qu'ils
souhaitent signer et chiffrer en utilisant le client de messagerie natif iOS (iOS 8 et
versions ultérieures supervisées uniquement).
Paramètres et sécurité
Empêcher le déplacement des Interdit le déplacement des e-mails depuis une boîte e-mail Exchange vers une autre
messages. boîte e-mail du terminal.
173
Empêcher l'utilisation dans des Empêche les autres applications d'utiliser la boîte e-mail Exchange pour envoyer des
applications tierces. messages.
Empêcher la synchronisation Interdit les suggestions de contacts lors de l'envoi d'e-mails dans Exchange.
des adresses récentes.
Empêcher le dépôt d'e-mails. Interdit l'utilisation de la fonction Apple de dépôt de messages.
Configurer les paramètres avancés d'Exchange pour macOS

Permet à vos terminaux macOS de récupérer les e-mails Exchange en configurant les paramètres avancés.
Serveur Exchange interne Nom du serveur sécurisé pour utiliser l'EAS Cette option et celle qui suivent s'affichent
lorsque le client de messagerie natif est sélectionné.
Port Saisissez le numéro de port attribué pour communiquer avec l'hôte Exchange externe.
Chemin d'accès interne au Emplacement du serveur sécurisé pour l'utilisation d'EAS
serveur
Utiliser SSL pour l'hôte Communiquez avec l'hôte Exchange interne en activant le protocole SSL (Secure Socket
Exchange interne. Layer).
Hôte Exchange externe. Nom du serveur externe pour l'utilisation d'EAS
Port Saisissez le numéro de port attribué pour communiquer avec l'hôte Exchange externe.
Chemin d'accès externe au Emplacement du serveur externe pour l'utilisation d'EAS
serveur
Utiliser SSL pour l'hôte Communiquez avec l'hôte Exchange externe en activant le protocole SSL (Secure Socket
Exchange externe. Layer).
Configurer les paramètres avancés pour Exchange sur Android

Les paramètres avancés pour Exchange sur Android consiste en plusieurs éléments : synchronisation historique,
restrictions, planification de la synchronisation et protocole S/MIME. Configurez ces options pour assurer la distribution
de la messagerie sur vos terminaux Android.
Paramètres
Synchronisation du Sélectionnez un nombre de jours échus dans le calendrier sur le terminal.
calendrier depuis
Autoriser la Autorisez les tâches à se synchroniser avec le terminal.
synchronisation des tâches
Taille maximum de Précisez la taille (en kilo-octets) au-delà de laquelle les e-mails sont tronqués lorsqu'ils se
troncature d'e-mail (Ko) synchronisent avec le terminal.
174
Signature d'e-mail Saisissez la signature d'e-mail à afficher dans le courrier sortant.
Ignorer les erreurs SSL Autorisez les terminaux à ignorer les erreurs SSL pour les processus de l'Agent.
Restrictions
Autoriser les pièces jointes Autorisez les pièces jointes aux e-mails.
Taille maximale des pièces Définissez la taille maximum des pièces jointes en Mo.
jointes
Autoriser le transfert d'e- Autorisez le transfert des e-mails.
mails
Autoriser le format HTML Précisez si l'e-mail synchronisé avec le terminal peut être au format HTML.
Si ce paramètre est désactivé, tous les e-mails sont convertis en texte.
Désactiver les captures Désactivez les captures d'écran sur le terminal.
d'écran
Intervalle de Saisissez le nombre de minutes entre chaque synchronisation.
synchronisation
Jours de pointe pour la synchronisation du calendrier
l Planifiez les jours de pointe pour la synchronisation, ainsi que l'heure de début et
l'heure de fin de la synchronisation les jours sélectionnés.
l Définissez la fréquence pour Synchroniser le calendrier en heures de pointe

etSynchroniser le calendrier en heures creuses.
o Le mode Automatique synchronise la messagerie à chaque mise à jour.
o Le mode Manuel synchronise la messagerie uniquement à la demande.
o L'indication d'une valeur de temps permet de synchroniser la messagerie selon
une planification définie.
l Activez les fonctions Utiliser le SSL, Utiliser TLS et Compte par défaut.
Paramètres S/MIME
Cliquez sur Utiliser S/MIME, puis sélectionnez un certificat S/MIME comme Certificat
utilisateur dans la section de configuration Identifiants.
l Certificat S/MIME – Sélectionnez le certificat à utiliser.
l Exiger le chiffrement des messages S/MIME – Exige le chiffrement des messages

S/MIME.
l Exiger la signature des messages S/MIME – Exige la signature numérique de tous les
messages S/MIME.
Indiquez un hôte de migration si vous utilisez des certificats S/MIME pour le chiffrement.
175
Configurer les paramètres avancés pour Exchange sur Windows Phone

Les paramètres avancés pour Exchange sur Windows Phone consistent en un ensemble de paramètres de planification
de la synchronisation et de protection des données. Configurez ces paramètres pour assurer la distribution de la
messagerie Exchange sur vos terminaux en toute sécurité.
Paramètres Descriptions
Paramètres
Prochain intervalle Saisissez le nombre de minutes entre chaque synchronisation.
de synchronisation
(min)
Journalisation du Sélectionnez le type de journalisation du diagnostic que vous souhaiter collecter.
diagnostic
Type de contenu
Exiger la protection Protège les données lorsque le terminal est verrouillé par un code PIN.
des données lorsque Lorsque le terminal est configuré pour utiliser un verrouillage par code PIN, les données
le terminal est protégées sont chiffrées à l'aide d'une clé entreprise différente. Si quelqu'un accède au terminal
verrouillé verrouillé par code PIN, vos données et e-mails professionnels sont protégés par une clé à part.
Domaines protégés Disponible uniquement lorsque le paramètre Exiger la protection des données lorsque le
terminal est verrouillé est activé. Saisissez les valeurs de recherche des domaines Exchange que
vous voulez protéger. Pour plus d'informations, reportez-vous à la section Valeurs de recherche
à la page 228.
Autoriser la Autorisez la synchronisation des e-mails. En désactivant ce paramètre, vous supprimez l'accès à
synchronisation des la messagerie via Exchange Active Sync.
e-mails
Configurer les paramètres avancés pour Exchange sur Windows Desktop

Les paramètres avancés pour Exchange sur Windows Desktop consiste en un ensemble de paramètres de planification de
la synchronisation et de protection des données. Configurez ces paramètres pour assurer la distribution de la messagerie
Exchange sur vos terminaux en toute sécurité.
Paramètres
Prochain intervalle de Sélectionnez la fréquence, en minutes, à laquelle le terminal se synchronise avec le
synchronisation (min) serveur EAS.
Journalisation du diagnostic Journalise les informations pour des raisons de dépannage.
Type de contenu
Autoriser la synchronisation Autorise la synchronisation des e-mails.
des e-mails
176
Ajouter une ressource Wi-Fi

Vous avez la possibilité d'ajouter une ressource dédiée aux terminaux dans le but de les connecter à un réseau sans fil,
leur permettant ainsi d'envoyer et de recevoir des données en toute sécurité.
1. Accédez à Terminaux > Profils et ressources > Ressources et sélectionnez Ajouter une ressource, puis Wi-Fi et
Identifiant SSID Saisissez un identificateur associé au nom (SSID) du réseau Wi-Fi sécurisé.
Réseau masqué Activez ce paramètre si le réseau n'est pas ouvert à la diffusion.
Rejoindre Paramètre indiquant au terminal de rejoindre le réseau automatiquement.
automatiquement
Chiffrement Utilisez le menu déroulant pour indiquer si les données transmises utilisant la
connexion Wi-Fi sont chiffrées.
Apparaît en fonction du Type de sécurité.
Mot de passe Saisissez un nom mot de passe pour le compte de messagerie. Cochez la case Afficher
les caractères pour afficher le mot de passe.
l Configurer les paramètres avancés du proxy Wi-Fi à la page 178.
l Configurer les paramètres avancés du Wi-Fi pour macOS à la page 178.
l Configurer les paramètres avancés du Wi-Fi pour Android à la page 179.
l Configurer les paramètres avancés pour le Wi-Fi sur Windows à la page 180.

d'attribution
l'administrateur.
177
Configurer les paramètres avancés du proxy Wi-Fi

Configurez les paramètres Wi-Fi avancés pour connecter des terminaux à Workspace ONE™ UEM à l'aide d'un proxy.
Type de proxy Choisissez entre Aucun, Manuel et Automatique.
URL du proxy Disponible uniquement lorsque le type de proxy est automatique. Saisissez l'URL du
proxy Wi-Fi utilisé par le terminal pour se connecter.
Autoriser une connexion Disponible uniquement lorsque le type de proxy est automatique. Activez ce paramètre
directe si le PAC est si vous voulez autoriser votre terminal à se connecter en dehors des heures
inaccessible d'accessibilité du fichier de configuration automatique du proxy.
Serveur proxy Disponible uniquement lorsque le type de proxy est manuel. Saisissez le nom du
serveur proxy auquel vos terminaux se connectent.
Port du serveur proxy Disponible uniquement lorsque le type de proxy est manuel. Indiquez le numéro de
port du serveur proxy par lequel le terminal se connecte au serveur proxy.
Nom d'utilisateur proxy Disponible uniquement lorsque le type de proxy est manuel. Saisissez un nom
d'utilisateur reconnu par le serveur proxy.
Mot de passe proxy Disponible uniquement lorsque le type de proxy est manuel. Saisissez le mot de passe
correspondant au nom d'utilisateur saisi.
Configurer les paramètres avancés du Wi-Fi pour macOS

Configurez les paramètres Wi-Fi avancés pour connecter vos terminaux à Workspace ONE™ UEM à l'aide d'un proxy.
178
Profil Choisissez la cible de la configuration des paramètres proxy.
Terminal – Limitez les paramètres proxy aux terminaux macOS spécifiques.
Utilisateur – Appliquez les paramètres proxy à l'utilisateur du terminal macOS.
Applique les paramètres aux deux cibles en cochant les deux cases.
Proxy
Type de proxy Choisissez entre Aucun, Manuel et Automatique.
URL du proxy Disponible uniquement lorsque le type de proxy est automatique. Saisissez l'URL du
proxy Wi-Fi utilisé par le terminal pour se connecter.
Autoriser une connexion Disponible uniquement lorsque le type de proxy est automatique. Activez ce paramètre
directe si le PAC est si vous voulez autoriser votre terminal à se connecter en dehors des heures
inaccessible d'accessibilité du fichier de configuration automatique du proxy.
Serveur proxy Disponible uniquement lorsque le type de proxy est manuel. Saisissez le nom du
serveur proxy auquel vos terminaux se connectent.
Port du serveur proxy Disponible uniquement lorsque le type de proxy est manuel. Indiquez le numéro de
port du serveur proxy par lequel le terminal se connecte au serveur proxy.
Nom d'utilisateur proxy Disponible uniquement lorsque le type de proxy est manuel. Saisissez un nom
d'utilisateur reconnu par le serveur proxy.
Mot de passe proxy Disponible uniquement lorsque le type de proxy est manuel. Saisissez le mot de passe
correspondant au nom d'utilisateur saisi.
Configurer les paramètres avancés du Wi-Fi pour Android

Les paramètres Wi-Fi avancés pour Android sont les paramètres Fusion et Proxy. Ces paramètres vous permettent de
spécifier des configurations sans fil pour les fréquences radio, les gabarits spectraux et les paramètres du serveur proxy.
Fusion
Inclure les paramètres de Afficher les paramètres principaux pour la fonctionnalité Fusion.
Fusion
Définir Fusion 802.11d / Utilisez la norme de réseau sans fil 802.11d dans des domaines réglementaires
Activer 802.11d supplémentaires.
Définir le code du pays / Définit le code du pays à utiliser dans les spécifications 802.11d.
Code du pays
Configurer la bande RF Affiche toutes les options de spécification des fréquences radio, notamment le filtrage de
fréquences 2,4 GHz et 5 GHz.
Définir 2,4 GHz / Activer Utilise la fréquence sans fil 2,4 GHz.
2,4 GHz
179
Filtre de fréquence 2.4 Ghz Réduit les interférences des canaux adjacents en appliquant le gabarit spectral ou le
canal autour de la fréquence 2,4 GHz.
Définir 5 GHz / Activer Utilise la fréquence sans fil 5 GHz.
5 GHz
Filtre de fréquence 5 Ghz Réduisez les interférences des canaux adjacents en appliquant le gabarit spectral ou le
canal autour de la fréquence 5 GHz.
Proxy
Activez un proxy manuel Affiche les paramètres du serveur proxy.
Serveur proxy Saisissez le nom du domaine proxy.
Port du serveur proxy Saisissez le numéro de port à utiliser par le serveur proxy.
Liste d'exclusions Saisissez les nom d'hôte qui ne sont pas dirigés à travers le proxy. Utilisez un astérisque
comme caractère générique pour le domaine. Par exemple, *.air-watch.com.
Configurer les paramètres avancés pour le Wi-Fi sur Windows

Configurez les paramètres Wi-Fi avancés pour connecter vos terminaux Windows (ordinateur et téléphone) à
Workspace ONE™ UEM à l'aide d'un proxy.
Proxy Activez ce paramètre pour utiliser un proxy et connecter vos terminaux Windows à Workspace ONE UEM.
URL Disponible uniquement lorsque le proxy est activé. Saisissez l'URL du proxy Wi-Fi utilisé par le terminal
pour se connecter.
Port Disponible uniquement lorsque le proxy est activé. Indiquez le numéro de port du serveur proxy par lequel
le terminal se connecte au serveur proxy.
Ajouter une ressource VPN

Vous pouvez ajouter une ressource dédiée pour fournir un réseau VPN. Un VPN permet aux utilisateurs d'envoyer et de
recevoir des données sur les réseaux publics comme s'ils étaient connectés directement à un réseau privé.
1. Accédez à Terminaux > Profils et ressources > Ressources et sélectionnez Ajouter une ressource, puis VPN et
180
Type de connexion Sélectionnez le type de connexion sécurisée dans la liste déroulante.
Serveur Saisissez l'URL du serveur.
l Configurer les paramètres avancés du VPN pour iOS à la page 181
l Configurer les paramètres avancés du VPN pour Android à la page 183
l Configurer les paramètres avancés pour le VPN sur Windows Phone à la page 184

d'attribution
l'administrateur.
Configurer les paramètres avancés du VPN pour iOS

Les paramètres avancés du VPN pour iOS consiste en un ensemble de paramètres d'authentification et de connexion,
ainsi qu'à des configurations de fournisseur et de proxy. Activez ces paramètres selon vos besoins pour configurer le VPN
pour iOS.
181
Paramètres Description
Compte Saisissez le nom du compte VPN.
Déconnexion en Autorisez le VPN à se déconnecter automatiquement après une certaine durée. La prise en charge
cas d'inactivité de cette valeur dépend du fournisseur VPN.
(en minutes).
Envoyer tout le Sélectionnez ce paramètre pour forcer le trafic à travers un réseau spécifié.
trafic.
Règles du VPN Sélectionnez ce paramètre pour activer et configurer les règles du VPN par application.
par application
Se connecter Sélectionnez ce paramètre pour autoriser le VPN à se connecter automatiquement aux domaines
automatiquement Safari. Cette option s'affiche lorsque la case Règles du VPN par application est cochée.
.
Type de Sélectionnez le type de fournisseur VPN par application. Déterminez comment diriger le trafic, à
fournisseur travers une couche Application ou une couche IP, en sélectionnant AppProxy et PacketTunnel.
Cette option s'affiche lorsque la case Règles du VPN par application est cochée.
Domaines pour Saisissez chaque domaine auquel vous voulez connecter automatiquement le VPN par application.
Safari Ces domaines sont des sites internes qui déclenche une connexion VPN automatique. Cette option
s'affiche lorsque la case Règles du VPN par application est cochée.
Authentification
Authentification Authentifiez les utilisateurs en important un certificat ou en exigeant un mot de passe pour l'accès
utilisateur VPN.
Nom de groupe Entrez le nom du groupe Workspace ONE™ UEM.
Mot de passe Disponible uniquement lorsque le paramètre Authentification utilisateur est défini sur Mot de
passe. Entrez le mot de passe pour le nom du groupe Workspace ONE UEM.
Certificat Ce paramètre est disponible uniquement lorsque l'authentification utilisateur est définie sur
d'identité Certificat. Sélectionnez Ajouter un certificat pour nommer ou importer un fichier de certificat ou
choisir une autorité de certification existante à l'aide d'un modèle de certificat.
Activez le VPN à Ce paramètre est disponible uniquement lorsque l'authentification utilisateur est définie sur
la demande. Certificat. Activez le VPN à la demande afin d'utiliser des certificats pour établir automatiquement
des connexions VPN.
Utiliser de Ce paramètre est disponible uniquement lorsque l'authentification utilisateur est définie sur
nouvelles clés à Certificat. Activez cette option pour lancer la connexion VPN lorsque les utilisateurs accèdent à l'un
la demande. des domaines spécifiés.
Faire Ce paramètre est disponible uniquement lorsque l'authentification utilisateur est définie sur
correspondre le Certificat. Saisissez un domaine ou un nom d'hôte, auquel un utilisateur accède, qui déclenche
domaine ou l'activation de la connexion VPN.
l'hôte.
182
Paramètres Description
Action à la Ce paramètre est disponible uniquement lorsque l'authentification utilisateur est définie sur
demande Certificat. Sélectionnez l'action à la demande propre au domaine ayant lieu lorsque les utilisateurs
activent une connexion VPN. Faites votre choix entre Toujours établir, Ne jamais établir et Établir si
nécessaire.
Proxy
Proxy Faites votre choix entre Aucun, Manuel et Automatique.
URL de Disponible uniquement lorsque le proxy est automatique. Saisissez l'URL du proxy Wi-Fi utilisé par
configuration le terminal pour se connecter.
automatique du
serveur proxy
Serveur Disponible uniquement lorsque le proxy est manuel. Saisissez le nom du serveur proxy auquel vos
terminaux se connectent.
Port Disponible uniquement lorsque le proxy est manuel. Indiquez le numéro de port du serveur proxy
par lequel le terminal se connecte au serveur proxy.
Nom d'utilisateur Disponible uniquement lorsque le proxy est manuel. Saisissez un nom d'utilisateur reconnu par le
serveur proxy.
Mot de passe Disponible uniquement lorsque le proxy est manuel. Saisissez le mot de passe correspondant au
nom d'utilisateur saisi.
Configurations du fournisseur
Clés du Créez des clés personnalisées à l'aide du dictionnaire de configuration du fournisseur.
fournisseur
Clé Saisissez la clé spécifique fournie par le fournisseur.
Valeur Saisissez la valeur VPN pour chaque clé.
Configurer les paramètres avancés du VPN pour Android

Les paramètres avancés du VPN pour Android consistent à la mise en place de l'authentification et du VPN à la demande
que vous devez configurer pour monter un VPN sur vos terminaux Android.
Authentification
Certificat d'identité. Cliquez sur Ajouter un certificat afin de saisir les identifiants de certificat utilisés pour
authentifier la connexion.
Source des Sélectionnez la source des identifiants. Faites votre choix entre Importer, Autorité de
identifiants certification définie et Certificat utilisateur.
Nom des Disponible lorsque la source des identifiants est définie sur Importer. Saisissez le nom des
identifiants identifiants importés.
183
Certificat Disponible lorsque la source des identifiants est définie sur Importer. Cliquez sur Importer pour
sélectionner un fichier de certificat depuis votre terminal.
Autorité de Disponible lorsque la source des identifiants est définie sur Autorité de certification définie.
certification Sélectionnez l'autorité de certification dans le menu déroulant.
Modèle de certificat Disponible lorsque la source des identifiants est définie sur Autorité de certification définie. Ce
paramètre se remplit automatiquement en fonction de l'élément sélectionné dans Autorité de
certification.
S/MIME Disponible lorsque la source des identifiants est définie sur Certificat utilisateur. Choisissez
entre le certificat de signature S/MIME propre à l'utilisateur ou le certificat de chiffrement
S/MIME.
Activation du VPN à la demande
Activez le VPN à la Activez le VPN à la demande afin d'utiliser des certificats pour établir automatiquement des
demande. connexions VPN.
Activez le VPN à la demande en saisissant le nom de l'application et cliquant sur le signe Plus à
gauche de la loupe. Vous pouvez ajouter plusieurs applications.
Configurer les paramètres avancés pour le VPN sur Windows Phone

Configurez les paramètres VPN de terminal pour accéder à l'infrastructure d'entreprise à distance et en toute sécurité.
Vous pouvez également limiter le trafic sur le VPN en configurant les connexions VPN par application. Définissez ensuite le
VPN pour qu'il se connecte automatiquement chaque fois que l'application spécifiée est lancée.
Paramètres de Configurez les règles avancées de routage pour les connexions VPN du terminal.
connexion
avancés
Adresses de Cliquez sur Ajouter pour saisir l'adresse IP et la taille de préfixe du sous-réseau pour la connexion
routage VPN. Vous pouvez ajouter des adresses de routage supplémentaires, en fonction de vos besoins.
Cette option est disponible lorsque les paramètres avancés de connexion sont activés.
Règles de routage Cliquez sur Ajouter pour saisir le nom de domaine sur lequel le serveur VPN est hébergé. Saisissez
DNS le nom de domaine, les serveurs DNS, et les serveurs proxy Web pour chaque domaine
spécifique.
Cette option est disponible lorsque les paramètres avancés de connexion sont activés.
Politique de Autorisez le trafic à utiliser la connexion au réseau local en sélectionnant Autoriser l'accès direct
routage aux ressources externes. À l'inverse, cliquez sur Forcer tout le trafic via le VPN pour l'envoyer via
le VPN. Cette option est disponible lorsque les paramètres avancés de connexion sont activés.
Proxy Sélectionnez Détection automatique pour détecter automatiquement tous les serveurs proxy
utilisés par le VPN. Sélectionnez Manuel pour configurer le serveur de proxy. Cette option est
disponible lorsque les paramètres avancés de connexion sont activés.
184
URL de Saisissez l'URL de configuration automatique du serveur proxy. Cette option est disponible lorsque
configuration le proxy est défini sur Détection automatique.
automatique du
proxy
Serveur Saisissez l'URL pour les paramètres de configuration du serveur proxy.
Apparaît lorsque Proxy est défini sur Manuel.
Port Indiquez le numéro de port utilisé pour accéder au serveur proxy.
Apparaît lorsque Proxy est défini sur Manuel.
Contournement Contourne le serveur proxy lorsque le terminal détecte qu'il est sur le réseau local.
local du proxy
Authentification
Type Sélectionnez le protocole d'authentification à utiliser avec le VPN.
d'authentification
l EAP – Autorise plusieurs méthodes d'authentification.
l Certificat de la machine – Détecte le certificat client dans le magasin de certificats du terminal à

utiliser lors de l'authentification.
Protocoles Sélectionnez le type d'authentification EAP.
l EAP-TLS – Authentification par carte à puce ou certificat client.
l EAP-MSCHAPv2 – Nom d'utilisateur et mot de passe.

Type Cliquez sur Utiliser le certificat pour utiliser un certificat client. Sélectionnez Utiliser une carte à
d'identifiants puce afin d'utiliser une carte à puce pour l'authentification.
Apparaît lorsque l'option Protocoles est définie sur EAP-TLS.
Sélection de Simplifie la liste de certificats dans laquelle l'utilisateur choisit. Le certificat émis le plus récemment
certificat simple est présenté et l'entité pour laquelle le certificat a été émis regroupe les certificats.
Apparaît lorsque l'option Protocoles est définie sur EAP-TLS.
Utiliser les Utilise les mêmes identifiants que ce du terminal Windows.
identifiants de Apparaît lorsque l'option Protocoles est définie sur EAP-MSCHAPv2.
connexion
Windows
Règles du trafic VPN
Identificateur Indiquez l'application à laquelle s'appliquent les règles de trafic en saisissant le nom de famille du
d'application pack d'applications.
l Nom de famille du pack, par exemple : WorkspaceONE.MDMAgent_htcwkw4rx2gx4
VPN à la Connectez-vous automatiquement à l'aide d'un VPN au lancement de l'application.
demande
185
Politique de Sélectionnez la politique de routage pour l'application.
routage
l Autoriser l'accès direct aux ressources externes autorise le trafic VPN et le trafic via la
connexion au réseau local.
l Forcer tout le trafic via le VPN force tout le trafic via le VPN.
Filtres de trafic Ajoute des filtres de trafic pour des applications traditionnelles et modernes.
VPN Sélectionnez Ajouter un nouveau filtre pour ajouter des types de filtre et des valeurs de filtre
pour les règles de routage. Seul le trafic de l'application spécifiée correspondant à ces règles peut
être envoyé par VPN.
l Protocole IP – Valeur numérique de 0-255 indiquant le protocole IP à autoriser. Par exemple,
TCP = 6 et UDP = 17.
l Adresse IP – Une liste de valeurs séparées par des virgules spécifiant la plage d'adresses IP
distantes à autoriser.
l Ports – Une liste de valeurs séparées par des virgules spécifiant les étendues de port distantes
à autoriser. Par exemple : 100–120, 200, 300–320. Les ports ne sont pas valides lorsque le
protocole est défini sur TCP ou UDP.
l Ports locaux – Une liste de valeurs séparées par des virgules spécifiant les étendues de ports
locaux distantes à autoriser.
l Adresses locales – Une liste de valeurs séparées par des virgules spécifiant les étendues
d'adresses locales distantes à autoriser.
Règles du VPN au Cliquez sur Ajouter pour ajouter des règles de trafic à tout le terminal.
niveau des Sélectionnez Ajouter pour ajouter des Types de filtre et des Valeurs de filtre pour les règles de
terminaux routage. Seul le trafic correspondant à ces règles peut être envoyé par VPN.
Politiques
Mémoriser mes Mémorise les identifiants de connexion.
identifiants
Toujours actif Force l'activation de la connexion VPN pour activer la connexion VPN en cas d'interruption de la
connexion réseau.
Verrouillage du Forcez l'activation de la connexion VPN, désactivez tout accès au réseau si le VPN n'est pas
VPN connecté et empêchez la connexion ou la modification d'autres profils VPN.
Réseau approuvé Entrez les adresses de réseaux approuvés séparées par des virgules. Il n'y a pas de connexion au
VPN lorsqu'une connexion réseau approuvée est détectée.
Split Tunnel Autorisez les utilisateurs à utiliser le VPN d'un split tunnel.
Cette zone de texte s'applique aux terminaux Windows Phone 8.1 uniquement.
186
Contournement Contourne la connexion VPN pour le trafic intranet local. Par exemple, vous n'utilisez pas la
local connexion VPN si vous êtes déjà sur votre connexion réseau au bureau.
Détection de Utilisez la détection aux réseaux approuvés lorsque vous vous connectez au VPN.
réseaux Cette zone de texte s'applique aux terminaux Windows Phone 8.1 uniquement.
approuvés
Type de Sélectionnez le type de connexion autorisée.
connexion La fonction Toujours actif laisse la connexion VPN active en permanence.
Durée d'inactivité Définissez la durée maximum pouvant s'écouler sans demande de connectivité avant la
entrainant la déconnexion automatique du VPN.
déconnexion Cette zone de texte s'applique aux terminaux Windows Phone 8.1 uniquement.
VPN à la demande
Autorise les Cliquez sur Ajouter pour définir les applications dont le trafic est sécurisé sur le VPN.
applications Vous pouvez ajouter autant d'applications que vous le voulez.
Réseaux autorisés Cliquez sur Ajouter pour définir les réseaux.
Tout le trafic effectué sur les réseaux configurés est sécurisé sur le VPN.
Vous pouvez ajouter autant de réseaux que vous le voulez.
Applications Cliquez sur Ajouter pour définir les applications exclues.
exclues Tout le trafic vers ces applications N'est PAS sécurisé sur le VPN.
Vous pouvez ajouter autant d'applications exclues que vous le voulez.
Réseaux exclus Cliquez sur Ajouter pour définir les réseaux exclus.
Tout le trafic effectué sur les réseaux exclus N'est PAS sécurisé sur le VPN.
Vous pouvez ajouter autant de réseaux exclus que vous le voulez.
Liste de recherche Cliquez sur Ajouter pour définir la liste de recherche de suffixes DNS.
de suffixes DNS Les suffixes DNS sont ajoutés aux URL raccourcies pour la connectivité et la résolution DNS.
Vous pouvez ajouter autant de suffixes DNS que vous le voulez.
187
Chapitre 12 :
Politiques de conformité
Le moteur de conformité est un outil automatisé par Workspace ONE™ UEM qui garantit que tous les terminaux
respectent vos politiques. Ces politiques peuvent inclure des paramètres de sécurité basiques comme un code d'accès et
une période minimale de verrouillage du terminal. Pour certaines plateformes, vous pouvez également décider de définir
et de mettre en œuvre certaines précautions. Ces précautions incluent le respect des exigences de complexité du mot de
passe, la mise en liste noire de certaines applications et l'exigence d'un intervalle d'enregistrement pour s'assurer que les
terminaux sont sécurisés et en contact avec Workspace ONE UEM.
Après avoir déterminé que les terminaux ne sont pas conformes, le moteur de conformité avertit l'utilisateur pour qu'il
résolve les erreurs de conformité et évite une action disciplinaire sur le terminal. Par exemple, le moteur de conformité
peut envoyer un message à l'utilisateur pour l'informer que son terminal n'est pas conforme.
En outre, les terminaux qui ne sont pas conformes ne peuvent pas recevoir de profils de terminal ni posséder
d'applications installées. Si les corrections ne sont pas apportées dans l'intervalle de temps spécifié, le terminal perd
accès à certains contenus et fonctionnalités que vous avez définis. Les politiques de conformité et actions disponibles
varient selon la plateforme.
Vous pouvez automatiser les escalades, en l'absence de correction : verrouillage du terminal et notification envoyée à
l'utilisateur pour lui demander de vous contacter pour le déverrouiller. Ces étapes d'escalade, ces actions disciplinaires,
ces périodes de grâce et ces messages sont entièrement personnalisables dans UEM Console.
Il existe deux méthodes pour tester la conformité.
l Conformité en temps réel (RTC) – Des échantillons non programmés envoyés par le terminal sont utilisés pour
déterminer si celui-ci est conforme. Les échantillons sont envoyés à la demande de l'administrateur.
l Conformité moteur : le moteur de conformité, un algorithme logiciel qui reçoit et mesure des échantillons planifiés,
détermine principalement la conformité d'un terminal. Les intervalles de temps pour l'exécution du planificateur sont
définis dans la console par l'administrateur.
L'application des politiques de sécurité mobile est une procédure en cinq étapes.
l Choix de la plateforme – Indiquez sur quelle plateforme vous voulez appliquer la conformité. Une fois qu'une
plateforme est sélectionnée, les options qui s'affichent ne correspondent qu'à cette plateforme.
l Établissez vos politiques – Personnalisez votre politique : liste d'applications, statut de compromission, chiffrement,
fabricant, modèle, version du système d'exploitation, code d'accès et itinérance.
188
Chapitre 12 : Politiques de conformité
l Définition des escalades – Configurez des actions selon un intervalle de temps en minutes, en heures ou en jours, et
adoptez une approche à plusieurs niveaux pour ces actions.
l Indication des actions – Envoyez des notifications Push, par SMS ou par e-mail au terminal de l'utilisateur ou
envoyez un e-mail à un administrateur. Demandez une vérification du terminal, supprimez ou bloquez certains
profils, installez des profils de conformité, supprimez ou bloquez des applications et effacez les données
professionnelles.
l Configuration des attributions – Attribuez votre politique de conformité par groupe organisationnel et Smart Group
puis confirmez l'attribution par terminal.
Affichage en liste des stratégies de conformité

L'affichage en liste des politiques de conformité vous permet de voir toutes les politiques de conformité actives et
inactives, ainsi que leurs configurations. Les terminaux sont mis en attente de la conformité après leur premier
enrôlement. La création, l'enregistrement et l'attribution d'une politique à un terminal enrôlé définiront le statut de
conformité de celui-ci comme étant conforme ou non conforme.
De même, les modifications apportées aux attributions de Smart Group entraînent la mise en attente de la stratégie de
conformité d'un nouveau terminal dans le Smart Group. Le statut de conformité des terminaux déjà attribués au Smart
Group reste inchangé malgré l'ajout ou la suppression des attributions au Smart Group.
Visualisez l'affichage en liste des politiques de conformité en naviguant vers Terminaux > Politiques de conformité >
Affichage en liste.
Statut Filtrez la liste entre les statuts Tous/Toutes, Actif et Inactif.
Menu d'actions Affichez et modifiez les politiques individuelles, affichez les terminaux auxquels la politique a été
attribuée et supprimez les politiques que vous ne voulez plus conserver.
Conforme/Non Les nombres de cette colonne sont des liens hypertextes qui, lorsque vous cliquez dessus,
conforme/En affichent la page Afficher les terminaux pour le statut concerné de la politique de conformité
attente/Attribué sélectionnée.
Le statut Attribué représente le nombre de terminaux conformes, non conformes et en
attente de vérification de la conformité.
Pour plus d'informations, consultez la section Afficher la page Mes terminaux à la page 189.
Afficher la page Mes terminaux

La page d'affichage des terminaux est utilisée pour visualiser les informations de conformité de chaque terminal attribué
à la politique sélectionnée. Il s'affiche lorsque vous sélectionnez l'un des chiffres du lien hypertexte dans la colonne
d'affichage de la liste de politiques de conformité Conforme/Non conforme/En attente/Attribué.
Filtrer la liste parmi ces quatre statuts en sélectionnant dans le menu déroulant Statut. Le statut attribué est la somme
des statuts conforme, non conforme et en attente.
189
Trois statuts de conformité sont inclus dans la colonne Statut.

l Conforme – La politique de conformité attribuée a déterminé que le terminal est conforme.
l Non conforme – La politique de conformité attribuée a déterminé que le terminal est non conforme.
l En attente – La politique de conformité est en attente d'attribution au terminal nouvellement enrôlé.

Vous pouvez également vérifier la valeur C/E/S (propriété) du terminal, la plateforme, le système d'exploitation ou le
modèle, le groupe organisationnel, la dernière vérification de conformité, la prochaine vérification de conformité et
les actions entreprises. La colonne Actions entreprises répertorie les actions qui ont été prises pour traiter des terminaux
non conformes.
Vous pouvez également choisir de réévaluer la conformité d'un terminal spécifique. Déployez le moteur de conformité et
reportez le statut de conformité du terminal en sélectionnant Réévaluer la conformité ( ).
190
Règles de stratégies de conformité par plateforme

Les règles de politique de conformité ne s'appliquent pas à toutes les plateformes. La page Ajouter une politique de
conformité est différente selon les plateformes, si bien que vous ne pouvez voir que les règles de conformité et les
actions qui s'appliquent à votre terminal.
Utilisez le tableau ci-dessous pour déterminer les règles pouvant être déployées sur vos terminaux.
Apple Chrome Windows Windows Windows Windows
Politique de conformité Android Apple QNX
macOS OS durcis 7 Phone Desktop
Liste d'applications ✓ ✓ ✓
État de l'antivirus ✓
Utilisation des données ✓ ✓
cellulaires
Utilisation des SMS ✓

Utilisation des appels ✓
Attribut conformité ✓
Statut compromis ✓ ✓ ✓
Dernière connexion du ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
terminal
Fabricant du terminal ✓
Chiffrement ✓ ✓ ✓ ✓ ✓ ✓
Statut du pare-feu ✓ ✓
Espace disponible sur le disque ✓
Zone iBeacon ✓
Expiration du profil de ✓ ✓
certificat interactif
Dernière analyse de statut de ✓ ✓

compromission
Acceptation des conditions ✓ ✓ ✓ ✓ ✓ ✓ ✓

d'utilisation MDM
Modèle ✓ ✓ ✓ ✓
Version du système ✓ ✓ ✓ ✓ ✓ ✓ ✓
d'exploitation
Code d'accès ✓ ✓ ✓ ✓ ✓
Itinérance * ✓ ✓ ✓
Utilisation des données ✓ ✓
mobiles en itinérance *
Version du correctif de ✓
sécurité
Changement de carte SIM * ✓ ✓ ✓

Statut de mise à jour ✓
automatique sous Windows
191
Apple Chrome Windows Windows Windows Windows

Politique de conformité Android Apple QNX
macOS OS durcis 7 Phone Desktop
Validation d'authenticité des ✓

copies sous Windows
* Remarque disponible seulement pour les utilisateurs avancés de télécommunications.
Descriptions des règles des politiques de conformité

Les règles de conformité vous permettent de définir une base solide pour votre politique. Les actions, escalades et
attributions suivantes sont établies selon ces règles.
Liste Repérez les applications sur liste noire installées sur un terminal ou celles qui ne sont pas sur liste
d'applications blanche. Vous pouvez choisir d'interdire certaines applications (telles que les applications de médias
sociaux) et celles ayant été mises sur liste noire par le fournisseur ou d'autoriser seulement les
applications souhaitées. Vous pouvez aussi indiquer un numéro de version minimum pour une
application.
État de Détectez si une application antivirus est en cours d'exécution ou non. Le moteur de politiques de
l'antivirus conformité vérifie le centre de maintenance sur le terminal pour définir une solution antivirus. Si
votre solution tierce ne s'affiche pas dans le centre de maintenance, elle est signalée comme non
surveillée.
Utilisation des Détectez les utilisateurs qui dépassent le seuil du forfait de télécommunications qui leur a été
données attribué. Pour que cette politique prenne effet, les télécommunications doivent être configurées.
mobiles/des
SMS/des
appels
Attribut Comparez les clés d'attribut du terminal à la sécurité des points de terminaux tiers. La valeur
conformité*** booléenne renvoyée représente la conformité du terminal.
Statut Détectez si le terminal est compromis. Vous pouvez interdire l'utilisation des terminaux craqués
compromis enrôlés dans Workspace ONE™ UEM.
Les paramètres de sécurité sont supprimés des terminaux craqués, et des programmes malveillants
peuvent être introduits dans votre réseau et permettre l'accès à vos ressources d'entreprise. La
surveillance du statut des terminaux compromis est particulièrement importante dans les
environnements BYOD où les employés disposent de différentes versions des terminaux et différents
systèmes d'exploitation.
Pour plus d'informations sur la détection de terminaux compromis à l'aide de VMware,

consultez les articles suivants, disponibles dans la base de connaissance : https://support.air-
watch.com/articles/115001662748 et https://support.air-watch.com/articles/115001662508.
Dernière Détectez si le terminal ne parvient pas à s'enregistrer dans le temps imparti.

connexion du
terminal
192
Fabricant du Détectez si le fabricant du terminal vous permet d'identifier certains terminaux Android. Vous pouvez
terminal interdire ou autoriser uniquement les fabricants de votre choix.
Chiffrement Détectez si le chiffrement est activé sur le terminal.
Statut du pare- Détectez si une application pare-feu est en cours d'exécution ou non. Le moteur de politiques de
feu conformité vérifie le centre de maintenance sur le terminal pour définir une solution pare-feu. Si votre
solution tierce ne s'affiche pas dans le centre de maintenance, elle est signalée comme non surveillée.
Espace Détectez l'espace de stockage disponible sur le terminal.
disponible sur
le disque
Zone iBeacon Détectez si votre terminal iOS est dans la zone d'un groupe iBeacon.
Expiration du Détectez si un profil installé sur le terminal expire dans la période définie.
profil de
certificat
interactif
Dernière Détectez si le terminal n'a pas indiqué son statut de compromission selon le planning défini.
analyse de
statut de
compromission
Acceptation Détectez si un utilisateur n'a pas accepté les conditions d'utilisation MDM dans un certain laps de
des conditions temps.
d'utilisation
MDM
Modèle Détectez le modèle du terminal. Vous pouvez interdire ou autoriser uniquement les fabricants de
votre choix.
Version du Détectez la version du système d'exploitation. Vous pouvez interdire ou autoriser uniquement les
système systèmes d'exploitation et les versions de votre choix.
d'exploitation
Code d'accès Détectez si le terminal est protégé par un code d'accès.
Itinérance* Détectez si le terminal est en itinérance.
Utilisation des Détecter l'utilisation des données cellulaires en itinérance contre une quantité statique de données
données mesurées en Mo ou en Go.
mobiles en
itinérance*
Version du Détectez la date du dernier correctif de Google pour les terminaux Android.
correctif de
sécurité**
Changement Détectez si la carte SIM a été remplacée.
de carte SIM*
193
Statut de mise Détectez si la mise à jour automatique sous Windows est activée. Le moteur de politiques de
à jour conformité vérifie le centre de maintenance sur le terminal pour définir une solution de mise à jour. Si
automatique votre solution tierce ne s'affiche pas dans le centre de maintenance, elle est signalée comme non
sous Windows surveillée.
Validation Détectez si la version Windows utilisée actuellement est authentique.
d'authenticité
des copies
sous Windows
* Disponible seulement pour les utilisateurs avancés de télécommunications.
** Disponible uniquement pour les terminaux Android 6.0 et les versions ultérieures.
*** Disponible uniquement pour les terminaux Windows Desktop.
194
Actions de stratégies de conformité par plateforme

Les actions prises en charge par plateforme, exécutées par les politiques de conformité, se présentent comme suit :
Apple Apple Chrome Windows Windows Windows Windows
Action des politiques de conformité Android QNX
iOS macOS OS durcis 7 Phone Desktop
Win32
Bloquer/supprimer toutes les ✓ ✓ ✓

applications gérées
Bloquer/supprimer toutes les ✓ ✓ ✓

applications
Commande
Modifier les paramètres d'itinérance. ✓

(iOS 5 et
versions
ultérieures)
Effacement des données ✓ ✓ ✓ ✓ ✓ ✓ ✓

professionnelles
Réinitialisation des données ✓ ✓

d'entreprise
Mises à jour de l'OS ✓

(DEP
uniquement)
Exiger le check-in du terminal ✓ ✓ ✓

Révoquer les jetons Azure*. ✓ ✓
E-mails
Bloquer la messagerie ✓ ✓
Notification
Envoyer un e-mail à l'utilisateur**. ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Envoyer un SMS au terminal. ✓ ✓ ✓ ✓
Envoyer une notification Push au ✓ ✓ ✓ ✓ ✓ ✓ ✓
terminal.
Envoyer un e-mail à l'administrateur. ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Profil
Installer le profil de conformité. ✓ ✓ ✓ ✓

Bloquer/supprimer le profil ✓ ✓ ✓ ✓ ✓
Bloquer/supprimer le type de profil ✓ ✓ ✓
Bloquer/supprimer tous les profils ✓ ✓ ✓ ✓ ✓
* Nécessite d'activer l'option Utiliser Azure AD pour les services d'identité dans Paramètres > Système > Intégration d'entreprise > Services d'annuaire > Paramètres
avancés. Affecte tous les terminaux pour un utilisateur donné, désactivant ainsi toute application qui repose sur le jeton Azure.
** Inclut la possibilité d'ajouter en Cc le responsable de l'utilisateur.
195
Ajouter une politique de conformité

L'ajout d'une stratégie de conformité est un processus qui comprend quatre segments : Règles, actions, attributions et
résumé. Les fonctions et options présentées dans ce guide ne sont pas disponibles pour toutes les plateformes.
Workspace ONE™ UEM Console se base sur le choix initial de la plateforme pour déterminer les options disponibles, ainsi
la console ne proposera jamais une option que votre terminal ne pourra pas utiliser.
Remarque : la conformité des terminaux durcis Windows est seulement prise en charge pour les terminaux Motorola
(l'action Réinitialisation entreprise applique cette conformité).
Configurez le moteur de conformité avec des profils et des escalades automatisées en suivant les onglets de politique de
conformité.
1. Naviguez vers Terminaux > Politiques de conformité > Affichage en liste et cliquez sur Ajouter.
2. Sélectionnez une plateforme depuis la page Ajouter une politique de conformité sur laquelle vous souhaitez baser
votre politique de conformité.
3. Détectez les conditions en configurant l'onglet Règles en appliquant Une règle ou Toutes les règles.
l Ajouter une règle – À sélectionner pour ajouter des règles et des paramètres supplémentaires. Pour plus
d'informations, consultez les sections Règles de stratégies de conformité par plateforme et Descriptions des
règles des politiques de conformité à la page 192.
l Précédent et Suivant – À sélectionner pour revenir à l'étape précédente ou avancer vers la suivante,
respectivement.
4. Définissez les conséquences en cas de non-conformité avec votre politique en complétant l'onglet Actions. Les
actions disponibles dépendent des plateformes. Pour plus d'informations, consultez la section Actions de stratégies
de conformité par plateforme à la page 195.
5. Indiquez les actions et les intensifications à entreprendre. Une escalade est une action automatique effectuée
lorsque l'utilisateur du terminal ne prend aucune mesure pour rendre son terminal conforme suite à l'action
précédente.
Sélectionnez les options et les types d'action à effectuer.
196
Actions et escalades
Case La case Marquer comme non conforme permet d'effectuer des actions sur un terminal sans le
Marquer marquer comme non conforme. Le moteur de conformité effectue cette tâche en respectant les
comme non règles suivantes.
conforme l L'option Marquer comme non conforme est activée (case cochée) par défaut pour toute action
nouvellement ajoutée.
l Si une seule case Marquer comme non conforme est activée (cochée), toutes les cases des actions et
intensifications suivantes seront également marquées comme non conforme (cochées). Les cases à
cocher suivantes ne peuvent pas être modifiées.
l Si la case Marquer comme non conforme d'une action est décochée, la case de l'action/intensification
suivante est alors activée (cochée) par défaut. Cette case à cocher peut être modifiée.
l Si l'option Marquer comme non conforme d'une action/escalade est désactivée et que l'appareil respecte
la règle de conformité, l'appareil est officiellement « conforme ». L'action prescrite est alors exécutée.
l Le statut d'un terminal reste « conforme » à moins qu'il ne rencontre une action/escalade dont la case
Marquer comme non conforme est activée. Le terminal est considéré à ce moment-là comme non
conforme.
Win32 Bloquez ou supprimez une application gérée.

Vous pouvez exécuter la conformité d'applications en établissant des listes blanche, noire, ou une
liste d'applications requises.
Commande Effectuez un check-in du terminal ou un effacement des données professionnelles.
E-mails Empêchez l'utilisateur d'utiliser les e-mails.
Si vous utilisez la gestion d'e-mails avec le moteur de conformité d'e-mails, l'action « Bloquer les e-
mails » s'applique. Accédez à cette option en naviguant vers E-mail > Politiques de conformité >
Politiques d'e-mails. Cette action vous permet d'utiliser les politiques de conformité des terminaux,
comme les listes noires d'applications, en plus des politiques du moteur de conformité des e-mails
que vous configurez. En sélectionnant cette action, la conformité des e-mails est déclenchée grâce à
une seule mise à jour de la politique du terminal, si le terminal devient non conforme.
197
Notification Permet d'informer quelqu'un sur la violation de la conformité.
Vous avez les options suivantes pour envoyer une notification.
l Envoyer un e-mail à l'utilisateur.
l Envoyer un SMS au terminal.
l Envoyer une notification Push au terminal.
l Envoyer un e-mail à l'administrateur.
Plusieurs adresses e-mail peuvent être insérées dans le champ Cc à condition qu'elles soient
séparées par des virgules. Vous pouvez également mettre le responsable de l'utilisateur en copie en
insérant une valeur de recherche ; cliquez sur le signe plus en regard du champ Cc et sélectionnez
{UsersManager} dans le menu déroulant. Pour plus d'informations, reportez-vous à la section
Valeurs de recherche à la page 228.
Pour toutes les actions Notifier, vous avez la possibilité d'utiliser un modèle de message. Utilisez
cette option en décochant la case Modèle par défaut ; cette dernière affiche un menu déroulant
vous permettant de sélectionner un modèle de message.
Il existe également un lien qui, une fois sélectionné, affiche la page Modèle de message dans une
nouvelle fenêtre. Cette page vous permet de créer votre propre modèle de message.
Profil Installez, supprimez ou bloquez un profil de terminal, un type de profil de terminal ou un profil de
conformité spécifique.
Les profils de conformité sont créés et enregistrés comme les profils de terminaux Auto et Facultatif.
Naviguez vers Terminaux > Profils et ressources > Profils, puis sélectionnez Ajouter et Ajouter un
profil. Sélectionnez une plateforme et, dans l'onglet de profil Général, sélectionnez Conformité dans
le paramètre déroulant Type d'attribution. Les profils de conformité ne sont appliqués que dans
l'onglet Actions sur la page Ajouter une politique de conformité et sont utilisés lorsqu'un utilisateur
enfreint une politique de conformité. Sélectionnez Installer le profil de conformité depuis le menu
déroulant, puis sélectionnez le profil de la conformité enregistré précédemment.
Escalades uniquement
Bouton Crée une escalade. Lorsque vous ajoutez des intensifications, il est préférable d'augmenter la
Ajouter une sécurité des actions.
escalade
Après un Vous pouvez retarder l'escalade de quelques minutes, heures ou jours.
intervalle de
temps...
...procéder Répéter – Cochez cette case pour répéter l'escalade un certain nombre de fois avant l'exécution
aux actions programmée de la prochaine action.
suivantes
Pour macOS, vous pouvez seulement effectuer les actions suivantes :
198
l Réinitialiser le terminal. l Envoyer un e-mail à l'administrateur.

l Réaliser un effacement des
l Bloquer/Supprimer le profil.
données professionnelles.
l Envoyer un e-mail à l'utilisateur. l Bloquer/Supprimer le type de profil.
l Envoyer une notification Push au
l Bloquer/Supprimer tous les profils.
terminal.
Conseil : envoyez une requête aux terminaux iOS 7 et versions ultérieures non conformes pour réduire le délai
entre le moment où un utilisateur rend son terminal conforme et le moment où Workspace ONE UEM détecte
cette modification. Définissez cet échantillon en naviguant vers Groupes et paramètres > Paramètres >
Terminaux et utilisateurs > Apple > Planification des échantillons MDM et en définissant l'Échantillon de
terminal non conforme.
6. Déterminez les terminaux qui doivent être soumis à (et exclus de) la politique de conformité en complétant les
onglets Attribution et Résumé de la page Ajouter une politique de conformité.
Vous pouvez ensuite nommer, finaliser, et activer la politique à partir de l'onglet Résumé.
Géré par Sélectionnez le groupe organisationnel qui est géré par cette politique de conformité.
Groupes Attribuez un ou plusieurs groupes à cette politique. Pour plus d'informations, consultez la section
attribués Groupes d'attribution à la page 78.
Exclusions Si vous souhaitez exclure des groupes, sélectionnez Oui. Sélectionnez ensuite l'un des groupes
disponibles répertoriés dans la zone de texte Groupes exclus. Pour plus de détails, consultez la
section Exclure des groupes dans les profils et politiques de conformité à la page 89.
Bouton Visualisez la liste des terminaux concernés par l'attribution de cette politique de conformité.
Afficher
l'attribution
des terminaux
Même s'il s'agit d'un critère au sein d'un Smart Group, la plateforme configurée dans le profil de terminal ou la
politique de conformité sera toujours prioritaire sur celle du Smart Group. Par exemple, si un profil de terminal est
créé pour la plateforme iOS, il sera seulement attribué aux terminaux iOS même si le Smart Group comporte des
terminaux Android.
199
7. Une fois que l'attribution de cette politique est terminée, cliquez sur Suivant. L'onglet Résumé apparaît.
l Fournissez un nom et une description pertinente de la politique de conformité.
l Sélectionnez l'une des options suivantes :

o Terminer – Enregistrez votre politique de conformité pour les terminaux attribués sans l'activer.
o Terminer et activer – Enregistrez et appliquez la politique à tous les terminaux concernés.
Afficher l'attribution des terminaux

Sélectionnez l'option Afficher l'attribution des terminaux dans l'onglet Attribution tout en configurant une politique de
conformité pour afficher la page Afficher l'attribution des terminaux. Cette page confirme les terminaux affectés (ou
non affectés).
La colonne Statut de l'attribution affiche les entrées suivantes pour les terminaux figurant dans la liste :
l Ajouté – La politique de conformité a été ajoutée au terminal listé.
l Supprimé – La politique de conformité a été supprimé du terminal.
l Inchangé – Le terminal n'est pas affecté par les modifications apportées à la politique de conformité.
Cliquez sur Publier pour finaliser les modifications et, si nécessaire, republiez toutes les politiques de conformité.
200
Chapitre 13 :
Étiquettes de terminaux
Les étiquettes de terminal vous permettent d'identifier un terminal sans profil, Smart Group ou politique de conformité
et sans devoir créer une note.
Par exemple, si des terminaux présentent une batterie défectueuse ou un écran cassé, les étiquettes permettent de le
voir dans Workspace ONE™ UEM Console. Une autre fonction consiste à identifier les variantes de matériel d'une manière
plus visible plutôt que de se baser sur le numéro de modèle ou la description pour distinguer les terminaux.
Par exemple, deux PC peuvent avoir le même numéro de modèle, mais un processeur légèrement différent ou une
mémoire personnalisée pour l'un des deux appareils. L'étiquetage du matériel permet une identification facile de ces
terminaux.
Étiquettes et Smart Groups
La fonction Étiquette est intégrée aux Smart Groups, ce qui signifie qu'elle peut être utilisée pour définir un Smart Group.
Par exemple, si vous avez étiqueté tous les terminaux de votre flotte qui présentent des dégâts visibles, vous pouvez les
regrouper en Smart Group et les exclure de l'ensemble de terminaux. Vous pouvez alors exclure ce Smart Group du
groupe des terminaux que vous attribuez temporairement aux visiteurs du site.
Une autre possibilité consiste à étiqueter les terminaux moins performants. Créez un Smart Group de ces terminaux
étiquetés et excluez-les des attributions pour les missions importantes.
Filtrer les terminaux par étiquette

Vous pouvez utiliser la fonction de filtre dans Affichage en liste des terminaux pour afficher les terminaux avec des
étiquettes spécifiques.
1. Naviguez vers Terminaux > Affichage en liste, cliquez sur Filtres et la colonne Filtres s'affiche à gauche de la liste de
terminaux.
2. Sélectionnez Avancé dans la liste des catégories de filtre et choisissez Étiquettes.
3. Cliquez n'importe où dans la zone de texte de recherche et sélectionnez un terminal dans la liste qui s'affiche. Les
terminaux dont les étiquettes ne sont pas sélectionnées sont exclus de la liste de résultats. L'affichage en liste des
terminaux se met à jour automatiquement dès que la première étiquette est sélectionnée.
201
Chapitre 13 : Étiquettes de terminaux
Création d'une étiquette

Vous pouvez créer des étiquettes pour aider à identifier un terminal de manière plus visible qu'avec le nom convivial, le
profil, les Smart Groups ou les politiques de conformité. Créez une étiquette dans l'affichage en liste des terminaux.
1. Naviguez vers Terminaux > Affichage en liste.
2. Sélectionnez un terminal en cochant la case à gauche de la liste.
3. Cliquez sur le bouton Plus et sélectionnez Ajouter une étiquette depuis le menu déroulant. La page Attribution
d'étiquettes s'affiche.
4. Cliquez sur NOUVELLE ÉTIQUETTE.
5. Saisissez le nom de la nouvelle étiquette et choisissez une couleur.
6. Cliquez sur Ajouter pour enregistrer l'étiquette.

Sinon, vous pouvez créer une étiquette en accédant à Groupes et paramètres.
1. Naviguez vers Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Avancé > Étiquettes.
2. Choisissez le groupe organisationnel auquel vous voulez que l'étiquette appartienne puis cliquez sur Ajouter.
3. Sur la page Ajouter une étiquette, saisissez le nom de l'étiquette.
4. Choisissez le type d'étiquette que vous souhaitez ajouter, Général ou Terminal.
Ajouter des étiquettes

Vous pouvez ajouter des étiquettes à un terminal pour l'identifier sans utiliser de notes, de profils, de politiques, ni lui
donner de nom convivial.
Ajouter des étiquettes à un seul terminal

Lorsque vous devez faire un ajustement ponctuel pour des étiquettes de terminal, vous pouvez facilement ajouter une
ou plusieurs étiquettes.
1. Naviguez vers Terminaux > Affichage en liste et choisissez le terminal que vous souhaitez étiqueter. Vous pouvez
sélectionner un terminal de l'une ou l'autre des façons pour afficher les boutons Envoyer et Plus.
l Choisissez le terminal dans la liste pour visualiser l'affichage des détails.
l Cochez la case en regard du terminal.
2. Cliquez sur Plus, puis sur Ajouter une étiquette. L'écran Attribution des étiquettes apparaît avec une liste
d'étiquettes pouvant être appliquées au terminal choisi.
202
3. Choisissez chacune des étiquettes que vous souhaitez attribuer au terminal. Il est possible d'en sélectionner
plusieurs.
4. Sélectionnez Enregistrer pour appliquer une ou plusieurs étiquettes au terminal.
Ajouter des étiquettes à un plusieurs terminaux.

Vous pouvez ajouter une étiquette (ou plusieurs) à un ou plusieurs terminaux. L'ajout de plusieurs étiquettes à plusieurs
terminaux permet d'économiser du temps.
2. Cochez la case en regard de chaque terminal que vous souhaitez étiqueter.
3. Cliquez sur Plus d'actions, puis sur Ajouter une étiquette. L'écran Attribution des étiquettes apparaît avec une liste
d'étiquettes pouvant être appliquées au terminal choisi.
4. Sélectionnez les étiquettes que vous souhaitez attribuer à tous les terminaux choisis. Il est possible d'en sélectionner
plusieurs.
5. Sélectionnez Enregistrer pour appliquer une ou plusieurs étiquettes aux terminaux.

Vous cherchez à octroyer des autorisations dans le cadre d'un rôle d'administrateur qui inclut (ou exclut) la possibilité
d'ajouter une balise à un terminal ? Consultez la section Afficher les ressources d'un rôle d'administrateur à la page 74.
Gérer les étiquettes

Une fois que vous avez provisionné plusieurs étiquettes de terminaux, vous pouvez modifier une étiquette existante, la
supprimer d'un terminal et effacer une étiquette inutilisée.
Modifier une étiquette

Vous pouvez modifier une étiquette existante lorsque vous souhaitez la renommer ou en changer le type et la couleur.
1. Naviguez vers Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Avancé > Étiquettes et
cliquez sur Modifier ou sur le nom de l'étiquette que vous souhaitez modifier. Seules les étiquettes appartenant à
un sous-groupe organisationnel et au groupe organisationnel sélectionnés sont modifiables.
2. Modifiez les champs Nom et Type selon vos préférences.
Supprimer une étiquette

Si une étiquette attribuée ne s'applique plus au terminal, vous pouvez la supprimer (ou la désattribuer).
1. Naviguez vers l'affichage des détails de ce terminal.
2. Cliquez sur l'onglet Résumé et descendez en bas de l'écran Informations sur le terminal où vous trouverez toutes
les étiquettes actuellement attribuées au terminal.
3. Cliquez sur X en regard de chaque étiquette que vous souhaitez supprimer.
203
Important : effacer une étiquette d'un terminal n'est pas la même chose que supprimer une étiquette.
Supprimer une étiquette

Si une étiquette n'est attribuée à aucun terminal et n'a plus d'utilité, vous pouvez l'effacer.
1. Naviguez vers Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Avancé > Étiquettes.
2. Cliquez sur X en regard de chaque étiquette que vous souhaitez supprimer.
204
Chapitre 14 :
Gestion de terminaux
Gérez les terminaux de votre flotte et effectuez des opérations sur un ensemble spécifique de terminaux à l'aide des
nombreux écrans de Workspace ONE™ UEM Console.
Vous pouvez examiner le flux de données avec le Monitor et étudier de plus près votre flotte avec le Tableau de bord des
terminaux. Vous pouvez regrouper des terminaux et créer des listes personnalisées avec l'affichage en liste des
terminaux.
Vous pouvez également générer des rapports et utiliser des étiquettes pour identifier facilement les terminaux. Vous
pouvez même configurer le portail self-service (SSP) pour permettre aux utilisateurs finaux de gérer eux-mêmes leurs
terminaux et réduire ainsi la charge de travail du support technique.
Tableau de bord des terminaux

Durant le processus d'enrôlement, vous pouvez gérer les terminaux depuis le tableau de bord des terminaux
Workspace ONE™ UEM. Le tableau de bord des terminaux fournit une vue détaillée de votre flotte complète de
terminaux mobiles et vous permet d'agir rapidement sur chaque terminal.
205
Chapitre 14 : Gestion de terminaux
Affichez des représentations graphiques d'informations pertinentes sur les terminaux de votre flotte, telles que le type de
propriété, les statistiques de conformité et la répartition par plateforme et OS. Vous pouvez accéder rapidement à
chaque ensemble de terminaux dans les catégories présentées en cliquant sur l'une des vues de données disponibles
dans le tableau de bord des terminaux.
À partir de cet affichage en liste, vous pouvez effectuer des actions administratives : envoyer un message, verrouiller ou
supprimer des terminaux et modifier les groupes associés à un terminal.
l Sécurité – Affichez les causes principales de problèmes de sécurité dans votre flotte de terminaux. La sélection de l'un
des graphiques en anneau affiche une liste de terminaux filtrés qui sont concernés par le problème de sécurité
sélectionné. Si elle est prise en charge par la plateforme, vous pouvez configurer une stratégie de conformité pour
entreprendre des actions sur ces terminaux.
o Compromis –Nombre et pourcentage de terminaux compromis (craqués) dans votre déploiement.
o Sans code d'accès – Nombre et pourcentage de terminaux sans code d'accès configuré pour la sécurité.
o Sans chiffrement – Nombre et pourcentage de terminaux non chiffrés. Ce chiffre exclut le chiffrement de la carte
SD Android. Seuls les terminaux Android sans chiffrement de disque figurent dans le graphique.
l Type de propriété – Affichez le nombre total de terminaux pour chaque catégorie de propriété. La sélection de l'un
des histogrammes affiche une liste de terminaux filtrés par le type de propriété sélectionné.
l Aperçu/Répartition des derniers terminaux – Affichez le nombre et le pourcentage de terminaux qui ont récemment
communiqué avec le serveur MDM Workspace ONE UEM. Par exemple, si plusieurs terminaux n'ont pas été vus
pendant plus de 30 jours, sélectionnez le graphique à barres correspondant pour n'afficher que ces terminaux. Vous
pouvez alors sélectionner tous ces terminaux filtrés et leur envoyer un message demandant leur check-in.
206
l Plateformes – Affichez le nombre total de terminaux pour chaque catégorie de plateforme. La sélection de l'un des
graphiques affiche une liste de terminaux filtrés par la plateforme sélectionnée.
l Enrôlement – Affichez le nombre total de terminaux pour chaque catégorie d'enrôlement. La sélection de l'un des
graphiques affiche une liste de terminaux filtrés par le statut d'enrôlement sélectionné.
l Répartition des systèmes d'exploitation – Affichez les terminaux de votre flotte par système d'exploitation. Il existe
des tableaux séparés pour Apple iOS, Android, Windows Phone et les terminaux durcis Windows. La sélection de l'un
des graphiques affiche une liste de terminaux filtrés par version d'OS sélectionnée.
Affichage en liste des terminaux

Cliquez sur Terminaux > Affichage en liste pour afficher la liste complète de tous les terminaux du groupe
organisationnel sélectionné.
La colonne Dernière connexion affiche un indicateur du nombre de minutes écoulées depuis le check-in du terminal.
L'indicateur est rouge ou vert, selon le nombre de minutes définies dans Délai d'expiration d'inactivité du terminal (en
min). Cet indicateur peut être défini en accédant à Groupes et paramètres > Tous les paramètres > Terminaux et
utilisateurs > Général > Avancé.
Choisissez un terminal dans la colonne Informations générales pour ouvrir la page de détails du terminal concerné.
Triez par colonne et configurez les filtres d'informations pour vérifier les activités du terminal selon des informations
précises. Par exemple, triez la colonne Statut de conformité pour n'afficher que les terminaux actuellement non
conformes et cibler uniquement ces terminaux. Effectuez une recherche parmi les terminaux par nom convivial ou nom
d'utilisateur pour isoler un terminal ou un utilisateur.
Personnalisez l'aperçu de l'affichage en liste des terminaux

Affichez la liste complète des colonnes visibles dans l'affichage Liste des terminaux en sélectionnant le bouton Mise en
page et en choisissant Personnalisé. Cet affichage vous permet d'afficher ou de masquer les colonnes Liste des terminaux
à votre convenance.
Vous pouvez aussi appliquer vos colonnes personnalisées à tous les administrateurs au niveau du groupe
organisationnel actuel ou en dessous de celui-ci. Par exemple, vous pouvez masquer le « Numéro d'actif » depuis les
affichages en Liste des terminaux du groupe organisationnel actuel et de tous les sous-groupes organisationnels.
Une fois vos personnalisations terminées, cliquez sur le bouton Accepter pour enregistrer vos préférences et appliquer ce
nouvel affichage de la colonne. Vous pouvez revenir aux paramètres du bouton Mise en page à tout moment pour
modifier vos préférences d'affichage de la colonne.
Recherche dans l'affichage en liste des terminaux

Vous pouvez rechercher un terminal pour accéder rapidement à ses informations et entreprendre une action à distance
sur celui-ci.
Pour effectuer une recherche, naviguez vers Terminaux > Affichage en liste, cliquez sur la barre Rechercher dans la liste
et saisissez le nom d'utilisateur, le nom convivial ou un autre élément d'identification du terminal. Cette action est alors
lancée sur la totalité des terminaux selon vos paramètres, au niveau du groupe organisationnel actuel et de tous les sous-
groupes.
207
Pop-ups de pointage dans l'affichage en liste des terminaux

Chaque terminal figurant dans la colonne Informations générales comporte une icône d'infobulle ayant la forme d'un
dossier en haut à droite, à côté du nom convivial du terminal. Lorsque vous appuyez sur cette icône (terminal mobile
tactile) ou passez le curseur de la souris dessus (PC ou Mac), un pop-up de pointage s'affiche. Cet écran pop-up contient
les informations suivantes : Nom convivial, Groupe organisationnel, ID de groupe, Gestion et Propriété.
Les colonnes Enrôlement et Statut de conformité de la vue liste des terminaux comportent des icônes avec infobulles
semblables. Ces icônes avec infobulles affichent un pop-up de pointage lorsque vous passez le pointeur de la souris sur
Date d'enrôlement et Violation de la conformité.
Filtrage des terminaux dans l'affichage en liste

Vous pouvez appliquer des filtres pour afficher uniquement les terminaux qui vous intéressent. Cliquez sur le bouton
Filtrer pour activer un ou plusieurs des filtres suivants afin d'afficher uniquement les terminaux qui satisfont aux
catégories que vous sélectionnez.
menaces Affichez les terminaux gérés au niveau de l'application ou par Catalog, Container ou MDM. Affichez les
terminaux gérés par une méthode inconnue, hors ligne ou toutes les méthodes de gestion.
Propriété Affichez les terminaux possédant les niveaux de propriété Professionnel, Partagé, Personnel ou Non
attribué. Vous pouvez filtrer plusieurs niveaux de propriété à la fois.
Smart Affichez les terminaux faisant partie du Smart Group de votre choix. Cliquez sur la zone de texte de
Groups recherche et faites votre choix dans la liste de Smart Groups qui s'affiche. Faites défiler vers le bas pour
afficher la liste des Smart Groups par ordre alphabétique.
Groupes Affichez les terminaux faisant partie des groupes d'utilisateurs de votre choix. Cliquez sur la zone de
d'utilisateurs texte de recherche et faites votre choix dans la liste de groupes d'utilisateurs qui s'affiche. Faites défiler
vers le bas pour afficher la liste des groupes d'utilisateurs par ordre alphabétique.
Type de
terminal
Plateforme Faites votre choix dans la liste complète de plateformes de terminal. Vous pouvez filtrer plusieurs plateformes à
la fois.
Version du Vous devez sélectionner au moins une plateforme pour pouvoir choisir une version de système d'exploitation.
système Lorsque vous sélectionnez plusieurs plateformes, une liste s'affiche et présente les versions de système
d'exploitation d'exploitation regroupées par plateforme sélectionnée.
Sécurité
Compromis Faites votre choix entre Compromis, Non compromis, Inconnu ou Toutes les propositions ci-dessus.
Un terminal compromis a été « craqué » (pour les terminaux iOS) ou rooté (pour les terminaux Android).
Chiffrement Faites votre choix entre Chiffré, Non chiffré, Inconnu ou Toutes les propositions ci-dessus.
Code d'accès Faites votre choix entre Code d'accès, Aucun code d'accès, Inconnu ou Toutes les options de code d'accès.
Statut
Statut de Faites votre choix entre Enrôlé, En attente d'effacement des données professionnelles, En attente de la
l'enrôlement réinitialisation du terminal, Non enrôlé ou Toutes les propositions ci-dessus.
208
Dernière Affichez les terminaux par date de check-in. Utilisez les zones de texte Minimum et Maximum dans l'option
connexion Dernière connexion (en jours) pour afficher les derniers terminaux actifs au sein d'une plage de jours. Les
numéros saisis sont inclus : une entrée de 1 affiche tous les terminaux dont la dernière connexion remonte à plus
de 1 jour, mais à moins de 2 jours. Une entrée de 2 affiche tous les terminaux dont la dernière connexion
remonte à plus de 2 jours, mais à moins de 3 jours, etc. Une entrée de 0 affiche les terminaux dont la dernière
connexion remonte à plus de 0 jour, mais à moins de 1 jour (24 heures).
Pour afficher les terminaux dont la dernière connexion est supérieure (ou égale) au nombre maximum de jours
saisi, laissez la zone de texte Minimum vide.
Pour afficher les terminaux dont la dernière connexion est inférieure (ou égale) au nombre minimum de jours
saisi, laissez la zone de texte Maximum vide.
Politique Faites votre choix entre Conforme, Non conforme, En attente de vérification de conformité, Non disponible,
Inconnu ou Toutes les propositions ci-dessus.
Historique des Sélectionnez les dates d'enrôlement entre Veille, Semaine précédente, Mois précédent ou Tous les dates
enrôlements d'enrôlement.
Avancé
Adresse Mac Filtrez par adresse de contrôle d'accès média du terminal.
Plage Filtrez les terminaux selon l'adresse IP qui leur est actuellement attribuée. Entrez les adresses IP dans les zones de
d'adresses IP texte Début et Fin de la plage IP pour afficher les terminaux qui se situent dans cette plage.
L'adresse IP actuelle peut être l'une des nombreuses adresses IP associées d'un terminal, la plupart
d'entre elles étant disponibles dans l'onglet Réseau de Détails du terminal. Étant donné qu'un terminal
peut signaler des adresses IP multiples et différentes, l'adresse IP utilisée dans le filtre peut ne pas
toujours correspondre à celle figurant dans la grille Affichage en liste des terminaux.
Étiquettes Affichez les terminaux en fonction de leurs étiquettes que vous pouvez rechercher et sélectionner depuis un
menu déroulant.
Tunnel Choisissez d'afficher tous les terminaux, uniquement ceux connectés au tunnel ou ceux qui n'y sont pas.
Conformité du Choisissez d'afficher tous les terminaux, seulement ceux pour lesquels il manque des documents requis ou
contenu seulement ceux dont le contenu obligatoire ne dispose pas de la dernière version.
Lost Mode Affichez tous les terminaux ou seulement ceux sur lesquels le mode Perdu est activé. Applicable uniquement aux
terminaux iOS.
Après avoir sélectionné plusieurs filtres, vous pouvez observer le badge numérique encerclé à droite du bouton Filtres
pour voir le nombre exact de filtres appliqués afin de générer la liste.
Vous pouvez effacer tous les filtres sélectionnés et revenir à la liste complète des terminaux en cliquant sur le X en regard
du bouton Filtrer.
Ajouter un terminal depuis l'affichage en liste

Vous pouvez ajouter ou enregistrer un terminal incluant l'attribution utilisateur, les attributs personnalisés et
l'étiquetage. Pour ajouter un terminal depuis Terminaux > Affichage en liste ou Terminaux > Cycle de vie > Statut
d'enrôlement, procédez comme suit.
209
1. Cliquez sur le bouton Ajouter un terminal. La page Ajouter un terminal s'affiche. Complétez les informations
suivantes dans l'onglet Utilisateur.
Utilisateur
Texte recherché Chaque terminal doit être attribué à un utilisateur. Recherchez un utilisateur dans la zone de
texte en saisissant les paramètres de recherche et cliquez sur Rechercher un utilisateur. Vous
pouvez sélectionner un utilisateur parmi les résultats de la recherche ou cliquez sur Créer un
utilisateur.
Créer un utilisateur
Type de Choisissez entre utilisateurs basiques et d'annuaire. Pour plus d'informations, consultez la
sécurité section Authentification utilisateur basique à la page 42 et Authentification Active Directory avec
LDAP à la page 43.
Nom Saisissez le nom d'utilisateur par lequel votre utilisateur est identifié dans votre environnement
d'utilisateur Workspace ONE™ UEM.
Mot de passe, Saisissez et confirmez le mot de passe correspondant au nom d'utilisateur.
Confirmer le
mot de passe
Adresse e-mail Saisissez l'adresse e-mail du compte utilisateur.
Groupe Le groupe organisationnel qui sert de groupe organisationnel pour l'enrôlement du terminal.
organisationnel
d'enrôlement
Afficher les Affichez tous les détails avancés de l'utilisateur, y compris des informations détaillées concernant
détails avancés le nom de l'utilisateur, le numéro de téléphone de l'utilisateur et le nom du responsable. Vous
de l'utilisateur trouverez également des paramètres d'identification facultatifs tels que le service, l'identifiant de
l'employé et le centre de coûts.
Sélectionnez le rôle utilisateur par défaut pour l'utilisateur que vous ajoutez, ce qui détermine
les permissions dont il bénéficie lorsqu'il utilise un terminal connecté. Pour plus d'informations,
consultez la section Rôles utilisateur à la page 67.
Terminal
Nom convivial Saisissez le nom du terminal qui apparaît dans l'affichage en liste des terminaux. Vous pouvez
attendu également intégrer des valeurs de recherche. Pour plus d'informations, reportez-vous à la
section Valeurs de recherche à la page 228.
Groupe Sélectionnez dans le menu déroulant le groupe organisationnel auquel le terminal est associé.
organisationnel
Propriété Sélectionnez le type de propriété dans le menu déroulant. Choisissez entre Aucun,
Professionnel, Partagé et Personnel.
Plateforme du Sélectionnez la plateforme du terminal dans le menu déroulant.
210
Afficher le Affichez tous les paramètres avancés d'informations du terminal.
terminal
avancé
Options
d'informations
Paramètres avancés d'informations du terminal
Modèle Sélectionnez le modèle du terminal dans le menu déroulant. Les contenus de ce menu
dépendent de la sélection faite dans la liste déroulante Plateforme.
OS Sélectionnez le système d'exploitation du terminal dans le menu déroulant. Les contenus de ce
menu dépendent de la sélection faite dans la liste déroulante Plateforme.
UDID Saisissez l'UDID du terminal
Numéro de Saisissez le numéro de série du terminal.
série
IMEI Saisissez le numéro IMEI à 15 chiffres du terminal.
SIM Saisissez les spécifications de la carte SIM du terminal.
Numéro d'actif Saisissez le numéro d'actif du terminal. Ce numéro est créé en interne par votre entreprise et ce
paramètre est prévu pour tenir ce point de données.
Messagerie
Type de Sélectionnez le type de message que vous souhaitez envoyer (Aucun, SMS ou E-mail) au
message terminal lors de son enrôlement réussi à l'environnement Workspace ONE UEM.
Adresse e-mail Saisissez l'adresse e-mail à laquelle vous voulez envoyer le message d'enrôlement.
Cette zone de texte est disponible seulement lorsque E-Mail est sélectionné comme type de
message.
Modèle de Sélectionnez le modèle d'e-mail dans le menu déroulant. Vous pouvez utiliser un lien pour ouvrir
message de l'e- la page Modèle de message et créer un modèle de message de l'e-mail.
mail
Numéro de Saisissez le numéro de téléphone auquel vous voulez envoyer le SMS.
téléphone Cette zone de texte est disponible seulement lorsque SMS est sélectionné comme type de
message.
Modèle de Sélectionnez le modèle de SMS dans le menu déroulant. Vous pouvez utiliser un lien pour ouvrir
message SMS la page Modèle de message et créer un modèle de message du SMS.
2. Si vous le souhaitez, assignez des attributs personnalisés au terminal. Cliquez sur Ajouter et indiquez un attribut et
sa valeur.
3. Si vous le souhaitez, assignez des étiquettes au terminal. Cliquez sur Ajouter et sélectionnez une étiquette dans le
menu déroulant pour chacune des étiquettes que vous souhaitez attribuer.
211
Terminaux désenrôlés
Les terminaux désenrôlés peuvent être affichés dans Workspace ONE™ UEM Console à condition qu'ils aient été
enregistrés ou qu'ils aient eu un état enrôlé par le passé. Vous pouvez également accéder aux journaux de dépannage
créés avant le désenrôlement d'un terminal depuis UEM Console.
État désenrôlé
Un terminal désenrôlé est à l'un des trois états suivants.
1. Le terminal débute sur Workspace ONE UEM et n'est ni enrôlé, ni enregistré. Il n'est par conséquent pas géré. Un
terminal à cet état est invisible dans UEM Console.
2. Le nouveau terminal a commencé le processus d'enrôlement à Workspace ONE et est enregistré auprès

d'UEM Console, mais n'est pas encore tout à fait enrôlé. Normalement, ce scénario se produit durant une vague de
nouveaux enrôlements au cours de laquelle les terminaux sont enregistrés pour restreindre l'enrôlement. La liste
blanche de terminaux constitue le mécanisme grâce auquel les terminaux inscrits peuvent s'enrôler. Un terminal à cet
état est visible d'UEM Console, à l'état « Désenrôlé ». Étant donné qu'un terminal enregistré fait traditionnellement
partie du processus d'enrôlement, il ne reste pas à cet état très longtemps.
3. Le terminal a été entièrement enrôlé dans Workspace ONE UEM Console en une seule fois, mais il a été supprimé
d'UEM Console. Cette action le supprime de toutes les fonctionnalités et fonctions de gestion de terminaux. Dans ce
scénario, le terminal est toujours enregistré auprès d'UEM Console et reste sur la liste blanche. Il est également
visible d'UEM Console à l'état « Désenrôlé » et peut donc être ré-enrôlé facilement. Un terminal peut rester à cet état
indéfiniment.
Vous pouvez conserver jusqu'à environ 150 000 terminaux sur cette liste blanche. Contactez le support si vos besoins
dépassent ce chiffre.
Vous pouvez supprimer l'enregistrement de n'importe quel terminal sur liste blanche à tout moment, ce qui rend ce
dernier invisible et inconnu d'UEM Console (scénario 1 ci-dessus). Un terminal dans ce scénario peut être enrôlé à
une date ultérieure.
Sinon, vous pouvez supprimer le terminal de la liste blanche et l'ajouter à une liste noire, ce qui empêche
l'enrôlement futur et bannit efficacement le terminal de votre flotte.
Journaux de dépannage créés avant le désenrôlement

Vous pouvez accéder à des journaux de dépannage/commandes créés avant le désenrôlement du terminal. Ces journaux
peuvent être utiles pour obtenir une image complète de l'historique du terminal. Procédez comme suit pour afficher les
journaux de dépannage/commandes.
2. Sélectionnez un terminal désenrôlé par le passé. Vous pouvez éventuellement filtrer l'affichage en liste pour afficher
uniquement les terminaux à l'état Désenrolé. Lorsque vous sélectionnez un terminal, la vue Affichage détaillé
s'affiche.
3. Sélectionnez le menu déroulant Plus, puis Dépannage, suivi de l'onglet Commandes.

Si vous ne prévoyez pas de ré-enrôler au même groupe organisationnel client un terminal précédemment désenrôlé,
envisagez de supprimer définitivement l'enregistrement du terminal afin que l'historique de ce dernier soit vierge lors du
ré-enrôlement. Contactez le support Workspace ONE réaliser cette opération.
212
Actions en masse dans l'affichage en liste des terminaux

Après avoir filtré un sous-ensemble de terminaux, vous pouvez effectuer des actions en masse en sélectionnant les
terminaux et en sélectionnant l'un des boutons d'option.
Pour plus d'informations, reportez-vous à la section Sélection des terminaux dans l'affichage en liste des terminaux à la
page 213.
Les actions en masse sont uniquement disponibles dans l'affichage en liste des terminaux si elles sont activées dans les
paramètres système (Groupes et paramètres > Tous les paramètres > Système > Sécurité > Actions restreintes). La
protection par mot de passe nécessite un code PIN.
Avec les terminaux sélectionnées dans l'affichage en liste, le nombre de terminaux sélectionnés s'affiche en regard des
boutons d'actions. Ce nombre comprend des terminaux triés qui sont également sélectionnés.
Limite de la gestion en masse dans l'affichage en liste des terminaux

Vous pouvez définir un nombre maximum de terminaux pouvant recevoir une commande d'action en masse afin
d'assurer la facilité des opérations dans le cadre d'une gestion de flotte importante.
Vous pouvez modifier ces limites en accédant à Groupes et paramètres > Tous les paramètres > Terminaux
utilisateurs > Avancé > Gestion en masse.
Lorsque plusieurs terminaux sont sélectionnés et qu'une limite de gestion en masse existe, un lien apparaît en regard du
message relatif au nombre d'éléments sélectionnés : Certaines actions sont désactivées en raison d'une limite de
gestion en masse.
Avertissement d'actions en masse en attente dans l'affichage en liste des terminaux

L'exécution des actions en masse est longue. Lors de l'exécution d'une nouvelle action en masse (alors que l'action
précédente est toujours en cours de traitement par Workspace ONE™ UEM Console), un message d'avertissement est
généré.
Vos actions en masse précédentes sont toujours en cours de traitement. Cette

demande est exécutée une fois que les actions précédentes sont terminées.
Voulez-vous continuer avec la demande actuelle ?
Cliquez sur Oui pour ajouter la nouvelle action en masse à la file d'attente. Cliquez sur Non pour annuler la nouvelle
action en masse.
Sélection des terminaux dans l'affichage en liste des terminaux

Vous pouvez sélectionner des terminaux individuels en cochant individuellement les cases à gauche de chaque terminal.
Vous pouvez aussi sélectionner un bloc de terminaux sur plusieurs pages. Vous pouvez même sélectionner tous les
terminaux de votre flotte, ce qui pourrait déclencher un avertissement sur les actions restreintes.
Sélection d'un bloc de terminaux

Vous pouvez sélectionner un bloc continu de terminaux, et ce, sur plusieurs pages si vous le souhaitez en cochant la case
du terminal au début du bloc. Ensuite, maintenez la touche Maj enfoncée, puis sélectionnez la case du terminal à la fin du
213
bloc. Cette sélection de bloc est semblable à celle des environnements Windows et Mac et vous permet d'effectuer des
actions en masse sur les terminaux sélectionnés.
Sélection de tous les terminaux

La case principale située à gauche de l'en-tête de la colonne Dernière connexion peut être utilisée pour sélectionner ou
désélectionner tous les terminaux de la liste. Si votre affichage en liste contient une liste filtrée de terminaux, la case
principale peut être utilisée pour sélectionner ou désélectionner tous les terminaux filtrés.
Lorsque la case principale affiche un signe moins vert ( ), cela signifie qu'au moins un terminal est sélectionné.
Sélectionnez à nouveau cette icône et elle se transformera en un signe de coche ( ), indiquant que tous les terminaux de
la liste (qu'ils soient filtrés ou non) sont sélectionnés. Sélectionnez-la une troisième fois et elle redeviendra vide ( ),
indiquant qu'aucun terminal de la liste n'est sélectionné.
Pour regarder la vidéo sur la sélection des terminaux et les actions en masse, naviguez vers https://support.air-
watch.com/articles/115001664748.
Avertissement sur les restrictions d'une action appliquée à tous les terminaux sélectionnés
Lorsque vous lancez une action en sélectionnant tous les terminaux de votre flotte, un message d'avertissement
s'affiche.
Vous essayez d'appliquer cette action à [nombre d'éléments sélectionnés] terminaux. Cette action peut ne
pas s'appliquer à tous les terminaux. Certaines limites de cette action pourraient inclure le statut
d'enrôlement, le type de gestion, la plateforme du terminal, le modèle ou l'OS.
Cet avertissement est lié à la diversité d'une flotte importante de terminaux représentant une multitude de fabricants, de
systèmes d'exploitation et de fonctionnalités. Il est indépendant et non lié à la limite de gestion en masse et aux
avertissements qu'elle pourrait générer. Si vous avez défini une limite de gestion en masse, ce message d'avertissement
sur les actions restreintes ne s'affiche pas.
Détails du terminal
Utilisez la page Détails du terminal pour suivre les informations détaillées du terminal et accéder rapidement aux actions
de gestion des utilisateurs et des terminaux.
Vous pouvez accéder aux détails du terminal en cliquant sur le nom convivial d'un terminal depuis l'un des tableaux de
bord disponibles ou en utilisant n'importe quel outil de recherche proposé dans Workspace ONE™ UEM Console.
La page principale présente plusieurs sections importantes.
l Badges de notification – Affiche le statut de compromission, les violations de la conformité, la date d'enrôlement,
l'heure de la dernière connexion pour le terminal sélectionné et la disponibilité du service GPS/Localisation (pour les
terminaux Android uniquement).
l Sécurité – Affiche des paramètres de sécurité comme le logiciel de gestion utilisé, le statut du code d'accès et les
protections des données.
l Informations sur l'utilisateur – Affiche des informations basiques sur l'utilisateur, dont le nom complet et l'e-mail.
l Informations sur le terminal – Affiche des détails sur les terminaux tels que le groupe organisationnel, la
géolocalisation, les Smart Groups, le numéro de série, l'UDID, le numéro d'actif, le statut de l'alimentation (y compris
214
l'état de la batterie, pour les terminaux Zebra Android uniquement), la capacité de stockage, la mémoire physique et
les détails de la garantie.
l Profils – Affiche tous les profils, qu'ils soient installés (actifs), attribués (inactifs) ou non gérés (chargé latéralement).
l Applications - Affiche toutes les applications installées, qu'elles soient automatiques ou à la demande.
l Contenu – Affiche le contenu marqué comme « Requis » par l'administrateur dans le référentiel géré par
Workspace ONE UEM, ainsi que dans le référentiel administrateur.
l Certifications – Affiche tous les certificats installés, y compris ceux qui s'apprêtent à expirer.
l Applications administrateur – Affiche les informations sur l'instance de VMware Workspace ONE Intelligent Hub

installée, y compris le numéro de version.
l Informations sur la batterie Zebra (pour les terminaux Zebra Android uniquement) – Affiche des informations
détaillées sur la batterie, y compris son état, sa date de fabrication, son numéro de série et sa référence.
Tableau de bord Détails du terminal

Le tableau de bord affiche des informations basiques sur le terminal : le type, le modèle, le numéro de version du
système d'exploitation, le type de propriété, le cluster de boutons d'actions, et l'indicateur d'éléments récents.
La sélection des flèches dans l'indicateur d'éléments récents change le terminal sélectionné selon sa position dans
l'affichage en liste filtré.
Cluster de boutons d'actions du terminal
Effectuez sur les terminaux des actions courantes telles que Requête, Envoyer [un message], Verrouiller entre autres
actions accessibles via le bouton Plus d'actions.
La disponibilité des actions sur les terminaux varie selon la plateforme, le fabricant et le modèle du terminal, le statut
d'enrôlement ainsi que de la configuration spécifique de votre Workspace ONE UEM Console. Consultez la section
Actions sur les terminaux selon la plateforme, à la page 1 pour obtenir la liste complète des actions à distance qu'un
administrateur peut effectuer depuis la console.
Onglets du menu Détails des terminaux

Vous pouvez utiliser les onglets du menu pour accéder aux informations spécifiques sur les terminaux qui varient en
fonction de la plateforme du terminal sélectionné.
215
Onglet du menu Description

Résumé Affichez les statistiques générales comme le statut de l'enrôlement, la conformité, la dernière
connexion, la disponibilité du GPS, la plateforme, le système d'exploitation et le modèle, le groupe
organisationnel, le numéro de série, le statut de l'alimentation, la capacité de stockage, la mémoire
physique et la mémoire virtuelle.
Politique Affichez le statut, le nom de la politique, les dates de la dernière et de la prochaine vérification de
conformité et les actions déjà entreprises sur le terminal. L'onglet Conformité comprend les
fonctionnalités de résolution des problèmes :
l Les terminaux non conformes ainsi que ceux dont le statut de conformité est en attente
disposent de fonctions de résolution des problèmes. Vous pouvez réévaluer la conformité de
chaque terminal ( ) ou obtenir des informations détaillées sur le statut de conformité du

terminal ( ).
l Les utilisateurs avec privilèges de lecture seule peuvent voir la politique de conformité
spécifique directement depuis l'onglet Conformité tandis que les administrateurs sont en
mesure de la modifier.
Profils Affichez tous les profils actuellement attribués, installés et non gérés sur un terminal.
Applications Affichez toutes les applications actuellement attribuées et installées sur le terminal.
La colonne Conformité des applications identifie les applications intégrées au SDK non conformes
avec les paramètres Conformité de l'application SDK. Vous trouverez ces paramètres dans Groupes
et paramètres > Tous les paramètres > Paramètres et politiques > Conformité de l'application
SDK.
Contenu Affichez le statut, le type, le nom, la version, la priorité, le déploiement, la dernière mise à jour, la
date, l'heure de consultation et le contenu du terminal marqué comme « Requis » par
l'administrateur dans le référentiel géré par Workspace ONE UEM. Cet onglet fournit également une
barre d'outils pour les actions administratives (installer ou supprimer).
Emplacement Affichez la localisation actuelle d'un terminal ou son historique de localisation. Sélectionnez la
période ou la durée pendant laquelle vous recherchez les points de données d'emplacement. Le
paramètre Période personnalisée vous permet de sélectionner une plage de dates et d'horaires par
paliers de 5 minutes. Vous pouvez également consulter les coordonnées de latitude et de longitude
de ces points de données en déplaçant le pointeur au-dessus de marqueurs d'emplacement sur la
carte.
Activez la collecte des données d'emplacement en accédant à Groupes et paramètres > Tous les
paramètres > Terminaux et utilisateurs, puis en sélectionnant la page Paramètres du Hub propre à
la plateforme. Pour plus d'informations sur les données de localisation en lien avec la
confidentialité, consultez la section Coordonnées GPS pour les meilleures pratiques sur la
confidentialité à la page 32.
Modifiez le nombre de points de données d'emplacement collectés et la distance minimum entre
ces lieux en naviguant vers Groupes et paramètres > Tous les paramètres > Installation > Cartes.
216

Utilisateur Accédez aux détails concernant l'utilisateur d'un terminal et le statut des autres terminaux enrôlés
pour cet utilisateur.
Plus Ces onglets supplémentaires dépendent de la plateforme.
l Réseau – Affichez le statut actuel du réseau (cellulaire, Wi-Fi, Bluetooth, IMEI) d'un terminal.
l Sécurité – Affichez le statut de sécurité actuel d'un terminal, en fonction des paramètres de
sécurité.
l Télécoms – Affichez le nombre d'appels, de messages, et la quantité de données envoyés et

reçus pour ce terminal.
l Remarques – Visualisez et ajoutez des remarques concernant le terminal. Par exemple, indiquez
son statut d'expédition ou si le terminal est en réparation ou hors service.
l Certificats – Identifiez les certificats des terminaux par nom et émetteur. Cet onglet fournit
aussi les dates d'expiration des certificats.
l Produits – Affichez l'historique complet et le statut de tous les modules de produits

provisionnés sur le terminal, ainsi que les éventuelles erreurs de déploiement. Vous pouvez
également forcer le retraitement (redéploiement) d'un produit.
l Conditions d'utilisation – Affichez la liste des contrats de licence utilisateur final (EULA) qui ont
été acceptés lors de l'enrôlement.
217

Plus, l Alertes – Affichez toutes les alertes associées au terminal.
cont.
l Journal du terminal partagé – Affichez l'historique du terminal partagé, notamment les
dernières connexions et déconnexions et le statut.
l Historique du statut – Affichez l'historique du statut d'enrôlement du terminal.
l Journalisation ciblée – Affichez les journaux de la console, du catalogue, des services de

terminaux, de la gestion des terminaux et du portail en libre-service. Vous devez activer la
journalisation ciblée dans les paramètres. Un lien est prévu à cet effet. Vous devez ensuite
sélectionner le bouton Créer un nouveau journal et choisir la durée de la collecte du journal.
l Dépannage – Affichez les données de consignation Journal des événements et Commandes.

Cette page propose des fonctions d'exportation et de recherche, vous permettant d'effectuer
des recherches et des analyses ciblées.
o Journal des événements – Affichez les informations détaillées de débogage et les check-ins
sur le serveur, en les filtrant notamment par type de groupe d'événements, période,
gravité, module et catégorie.
Dans la liste Journal des événements, la colonne Données de l'événement pourrait afficher
des liens hypertextes pointant vers une page contenant encore plus d'informations
relatives à l'événement. Cette information vous permet d'effectuer un dépannage avancé
pour, par exemple, déterminer pourquoi un profil ne peut pas être installé.
o Commandes – Affichez une liste détaillées des commandes terminées et en attente,
envoyées au terminal. Contient un filtre qui vous permet de trier les commandes par
catégorie, statut et commande spécifique.
l Pièces jointes – Utilisez cet espace de stockage sur le serveur pour les captures d'écran, les
documents et les liens destinés au dépannage et à d'autres fins sans occuper de l'espace sur le
terminal.
Actions sur les terminaux par plateforme

En tant qu'administrateur Workspace ONE™ UEM, vous pouvez exécuter des commandes à distance sur un seul terminal
ou en masse. Différentes plateformes offrent différentes actions. Chacune de ces actions spécifiques à une plateforme
ainsi que les définitions constituent des commandes à distance à disposition de l'administrateur dans UEM Console.
Pour plus d'informations, consultez la section Descriptions des actions possibles sur les terminaux à la page 220.
Apple Apple Chrome Windows Windows Windows
Action Android macOS QNX Win 7
iOS TV OS durcis Phone Desktop
Ajout d'étiquettes ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
VMware Workspace ONE Intelligent Hub (Requête) ✓ ✓ ✓ (*)
Affichage à distance d'applications ✓ ✓ ✓
Applications (Requête) ✓ ✓ ✓ ✓ (*) ✓ ✓
Livres (Requête) ✓
218

Annuler la demande de journal ✓
Certificats (Requête) ✓ ✓ ✓ ✓ ✓ (*) ✓ ✓
Changement du code d'accès du terminal ✓ ✓
Modifier le groupe organisationnel ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Modifier le type de propriété ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Supprimer le verrouillage d'activation ✓
Supprimer le code d'accès (Terminal) ✓ ✓ ✓ ✓
Supprimer le code d'accès (Conteneur) ✓
Supprimer le code d'accès (Paramètres de restriction) ✓
Suppression du terminal ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Informations sur le terminal (Demande) ✓ ✓ ✓ ✓ ✓ ✓ ✓ (*) ✓ ✓
Réinitialisation du terminal ✓ ✓ ✓ ✓ ✓ ✓ ✓
Modifier le terminal ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Activer/désactiver le mode Perdu ✓
S'enrôler ✓ ✓ ✓ ✓ ✓ ✓
Réinitialisation des données d'entreprise ✓ ✓
Effacement des données professionnelles ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Gestionnaire de fichiers ✓ ✓
Localisation du terminal ✓ ✓ ✓
Mise à jour iOS ✓
Emplacement ✓ ✓ ✓ ✓ ✓ ✓
Verrouillage du terminal ✓ ✓ ✓ ✓ ✓ ✓
Verrouillage de la SSO ✓ ✓
Paramètres gérés ✓ ✓
Marquage Ne pas déranger ✓ ✓
Remplacer le niveau de journalisation ✓
Profils (Requête) ✓ ✓ ✓ ✓ ✓ (*)
Configuration immédiate ✓ ✓
Envoyez une requête à tous les terminaux ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Redémarrer le terminal ✓
Gestionnaire de registre ✓
Contrôle à distance ✓ ✓ ✓
Gestion à distance ✓ ✓ ✓ ✓ ✓ ✓
Affichage à distance ✓
Renommer le terminal ✓
Demander le journal de débogage ✓
Exiger le check-in du terminal ✓ ✓ ✓ ✓
219

Demande de localisation du terminal ✓
Redémarrer VMware Workspace ONE Intelligent Hub ✓
Sécurité (Requête) ✓ ✓ ✓ ✓ (*) ✓ ✓
Envoi d'un message ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Démarrer AWCM ✓ ✓
Démarrer AWCM ✓ ✓
Arrêter AWCM ✓ ✓
Synchroniser le terminal ✓ ✓ ✓
Gestionnaire de tâches ✓
Afficher le manifeste ✓
Démarrage à chaud ✓ ✓
(*) Cette action Windows 7 est satisfaite par l'exécution de la commande « Envoyez une requête à tous les terminaux », ce qui renvoie les mêmes informations que si
chaque requête avait été exécutée séparément.
Descriptions des actions possibles sur les terminaux

Affichez une description détaillée de chaque action qui peut être exécutée sur un terminal, à distance, depuis la console.
l Ajouter une étiquette – Attribuez une étiquette personnalisable à un terminal, pour pouvoir l'identifier au sein de la
flotte.
l VMware Workspace ONE Intelligent Hub (Requête) – Envoyez une requête à

VMware Workspace ONE Intelligent Hub du terminal pour vérifier qu'il est installé et fonctionne normalement.
l Affichage à distance d'applications – Prenez une série de captures d'écran d'une application installée et envoyez-les
à l'écran d'affichage à distance dans UEM Console. Vous pouvez choisir le nombre de captures d'écran et l'intervalle
en secondes entre chacune d'elles.
l Applications (Requête) – Envoyez une requête MDM au terminal pour recevoir la liste des applications installées.
l Livres (Requête) – Envoyez une requête au terminal pour qu'il envoie une liste des livres installés.
l Certificats (Requête) – Envoyez une requête MDM au terminal pour recevoir une liste des certificats installés.
l Modifier le code d'accès du terminal – Remplacez n'importe quel code d'accès utilisé pour accéder au terminal
sélectionné par un nouveau code d'accès.
l Modifier le groupe organisationnel – Remplacez le groupe organisationnel d'origine du terminal par un autre
groupe déjà existant. Comprend une option pour sélectionner un groupe organisationnel statique ou dynamique.
l Modifier le type de propriété – Modifiez les paramètres de propriété d'un terminal le cas échéant. Les différents
types sont : professionnel, partagé, personnel et non défini.
l Désactiver le verrou d'activation – Désactivez le verrou d'activation sur un terminal iOS. Si le verrou d'activation est
activé, l'utilisateur nécessite un identifiant Apple ID et un mot de passe avant de pouvoir utiliser les fonctions
suivantes : Localiser mon iPhone, Réinitialiser le terminal, et réactiver pour utiliser le terminal.
220
l Supprimer le code d'accès (Conteneur) – Supprimez le code d'accès spécifique du conteneur. À utiliser si l'utilisateur
oublie le code d'accès au conteneur de son terminal.
l Supprimer le code d'accès (Terminal) – Supprimez le code d'accès du terminal. À utiliser si l'utilisateur oublie le code
d'accès au conteneur de son terminal.
l Supprimer le code d'accès (Paramètres de restriction) – Supprimez le code d'accès qui limite les fonctions du
terminal telles que l'installation de l'application, l'utilisation de Safari, de l'appareil photo et plus encore.
l Supprimer le terminal – Supprimez et désenrôlez un terminal depuis UEM Console. Cette action effectue un
effacement des données professionnelles et supprime sa représentation dans UEM Console.
l Informations sur le terminal (Requête) – Envoyez une requête MDM au terminal pour recevoir ses informations de
base, telles que le nom convivial, la plateforme, le modèle, le groupe organisationnel, la version du système
d'exploitation et le statut de propriété.
l Réinitialisation du terminal – Envoyez une commande MDM pour effacer toutes les données et le système
d'exploitation d'un terminal. Le terminal est placé dans un état où une partition de récupération sera nécessaire pour
réinstaller le système d'exploitation. Cette action est irréversible.
o Pour les terminaux iOS 11 et versions antérieures, la commande de réinitialisation du terminal effacerait
également les données de la carte SIM Apple associée.
o Pour les terminaux iOS 11 et versions ultérieures, vous pouvez conserver le forfait de données de la carte SIM
Apple (si disponible sur le terminal). Pour ce faire, cochez la case Conserver le plan de données sur la page
Effacement du contenu du terminal avant d'exécuter la commande d'effacement du contenu du terminal.
o Pour les terminaux iOS 11.3 et versions ultérieures, vous disposez d'une option à activer ou désactiver pour
ignorer l'écran Configuration de la proximité lors de l'exécution de la commande d'effacement du contenu du
terminal. Lorsque l'option est activée, l'écran Configuration de la proximité est ignoré dans l'Assistant de
configuration, empêchant ainsi l'utilisateur du terminal de voir l'option Configuration de la proximité.
l Modifier le terminal – Modifiez les informations du terminal, telles que le nom convivial, le numéro d'actif, le type
de propriété, le groupe et la catégorie du terminal.
l Activer/Désactiver le mode « Perdu » – Utilisez cette option pour verrouiller un terminal, et envoyer un message,
un numéro de téléphone ou un SMS à l'écran verrouillé. Le mode Perdu ne peut pas être désactivé par l'utilisateur.
Lorsque le mode Perdu est désactivé par un administrateur, le terminal récupère sa fonctionnalité normale. Les
utilisateurs reçoivent un message qui leur indique que l'emplacement du terminal a été partagé. (iOS 9.3 + mode
Supervisé)
o Demander la localisation du terminal – Envoyez une requête au terminal lorsqu'il est en mode Perdu et utilisez
l'onglet Localisation pour le trouver. (iOS 9.3 + mode Supervisé)
l Enrôler – Envoyez un message à l'utilisateur pour enrôler son terminal. Vous pouvez éventuellement utiliser un
modèle de message incluant des informations d'enrôlement, telles que des instructions détaillées et des liens utiles.
Cette option est uniquement disponible sur les terminaux désenrolés.
l Réinitialisation entreprise – Rétablissez les paramètres d'usine du terminal en conservant uniquement l'enrôlement
Workspace ONE UEM.
l Effacement des données professionnelles – Effacez les données professionnelles du terminal pour le désenrôler et
supprimer toutes ses ressources professionnelles gérées, y compris les applications et les profils. Cette action ne
221
peut être annulée et un réenrôlement sera nécessaire afin que Workspace ONE UEM puisse gérer le terminal à
nouveau. Ce paramètre inclut des options pour empêcher le réenrôlement et un champ Commentaires permettant
d'ajouter des remarques sur l'action.
o L'effacement des données professionnelles n'est pas pris en charge sur les terminaux joints au domaine Cloud.
l Gestionnaire de fichiers – Lancez un gestionnaire de fichiers dans UEM Console qui vous permet d'afficher à distance
le contenu d'un terminal, d'ajouter des dossiers, d'effectuer des recherches et d'importer des fichiers.
l Localiser le terminal – Envoyez un message texte à l'application Workspace ONE UEM, accompagné d'un bip (avec
possibilité de configurer le nombre de répétitions du bip et l'intervalle entre chaque répétition, en secondes). Ce bip
sonore permet à l'utilisateur de localiser son terminal.
l Mise à jour iOS – Transférez une mise à jour du système d'exploitation vers un ou plusieurs terminaux iOS. Ceci
s'applique seulement aux terminaux supervisés, enrôlés dans le DEP et fonctionnant avec iOS 9 ou versions
ultérieures.
l Emplacement – Obtenez la position d'un terminal en l'affichant sur une carte, grâce à la fonctionnalité GPS de
VMware Workspace ONE Intelligent Hub pour macOS. Nécessite également l'approbation de l'utilisateur pour activer
la fonctionnalité dans les préférences système de macOS.
l Verrouiller le terminal – Envoyez une commande MDM pour verrouiller un terminal sélectionné, le rendant
inutilisable jusqu'à ce qu'il soit déverrouillé.
l Verrouiller la SSO – Empêchez l'utilisateur du terminal d'utiliser Workspace ONE UEM Container et toutes les
applications correspondantes.
l Paramètres gérés – Activez ou désactivez l'itinérance des appels et des données, ainsi que les points d'accès
personnels.
l Marquer comme ne pas déranger – Sélectionnez un terminal à ne pas déranger pour l'empêcher de recevoir des
messages, des e-mails, des profils et tout autre type d'interaction entrante. Seuls les terminaux marqués comme ne
pas déranger disposent de l'option Effacer le marquage Ne pas déranger, qui supprime les restrictions.
l Remplacer le niveau de journalisation des tâches – Remplacez le niveau spécifié de journalisation des tâches sur le
terminal sélectionné. Cette action définit les commentaires de journalisation des tâches envoyées lors de la
configuration de produits et remplace le niveau de journalisation actuel configuré dans les paramètres du Hub
Android. La fonction Remplacer le niveau de journalisation des tâches peut être supprimée en sélectionnant l'option
de menu déroulant Rétablir les paramètres par défaut sur l'écran d'actions ou en modifiant le niveau de
journalisation des tâches sous la catégorie Configuration de produits dans les paramètres du Hub Android.
l Profils (Requête) – Envoyez une requête MDM au terminal pour recevoir une liste des profils de terminaux installés.
l Approvisionner maintenant – Configurez un produit pour un terminal. l'approvisionnement est la possibilité de

créer un des fichiers, des actions, des profils et des applications et les regrouper dans un seul produit qui peut être
déployé vers les terminaux.
l Tout interroger – Envoyez une requête au terminal pour recevoir une liste du contenu installé : applications (dont
VMware Workspace ONE Intelligent Hub, le cas échéant), livres, certificats, informations sur le terminal, profils et
mesures de sécurité.
l Redémarrer le terminal – Redémarrez un terminal à distance.
222
l Gestionnaire de registre – Lancez un gestionnaire de registre dans UEM Console qui vous permet d'afficher à
distance le registre OS d'un terminal, d'ajouter des clés, d'effectuer des recherches et d'ajouter des propriétés.
l Contrôle à distance – Prenez le contrôle à distance d'un terminal pris en charge à l'aide de cette fonction qui lance
une application dans la console vous permettant de fournir un support et un dépannage pour le terminal.
l Gestion à distance – Prenez le contrôle à distance d'un terminal pris en charge via une application exécutée dans la
console et permettant d'effectuer des opérations d'assistance et de dépannage sur le terminal.
l Affichage à distance – Activez un flux actif des données sortantes du terminal vers une destination de votre choix (y
compris l'adresse IP, le port, le port audio, le mot de passe et l'heure de l'analyse), vous permettant d'afficher ce que
l'utilisateur voit lorsqu'il utilise son terminal.
l Renommer le terminal – Modifiez le nom convivial du terminal au sein d'UEM Console.
l Demande du journal du terminal – Demandez le journal de débogage pour le terminal sélectionné. Vous pouvez
ensuite afficher le journal en sélectionnant l'onglet Plus et en cliquant sur Pièces jointes > Documents. Le journal est
livré sous forme de fichier texte qui peut être utilisé pour dépanner et fournir un support.
l Demander le check-in du terminal – Demandez au terminal sélectionné d'effectuer son check-in dans UEM Console.
Cette action met à jour le statut de la colonne Dernière connexion.
l Redémarrer VMware Workspace ONE Intelligent Hub – Redémarrez VMware Workspace ONE Intelligent Hub. À

utiliser pendant le dépannage lorsque le processus d'enrôlement ou d'installation du sous-module est interrompu.
l Sécurité (Requête) – Envoyez une requête MDM au terminal pour recevoir la liste des mesures actives de sécurité
(gestionnaire de terminal, chiffrement, mot de passe, certificats, etc.).
l Envoyer un message – Envoyez un message à l'utilisateur du terminal sélectionné. Faites votre choix entre E-mail,
Notification Push (par le biais de la messagerie Cloud d'AirWatch) et SMS.
l Démarrer AirPlay – Diffusez du contenu audiovisuel du terminal sur une destination AirPlay en miroir. L'adresse MAC
(format « xx:xx:xx:xx:xx:xx » non sensible à la casse) de la destination est requise. Un code d'accès peut également
être spécifié si nécessaire. Le paramètre Heure de l'analyse définit le nombre de secondes (10-300) nécessaires pour
rechercher la destination. Requiert macOS 10.10 ou versions ultérieures.
l Démarrer/Arrêter AWCM – Démarrez/Arrêtez le service de messagerie Cloud pour le terminal sélectionné. La

messagerie Cloud de VMware AirWatch (AWCM) simplifie l'envoi de messages et de commandes de la console
d'administration, en évitant aux utilisateurs finaux d'avoir à se connecter à Internet ou à utiliser des comptes grand
public tels que les identifiants Google.
l Synchroniser le terminal – Synchronisez le terminal sélectionné avec UEM Console, en actualisant son statut de
Dernière connexion.
l Gestionnaire de tâches – Lancez le gestionnaire de tâches dans UEM Console qui vous permet d'afficher à distance
les tâches actives du terminal, dont le nom de la tâche, l'ID du processus et les actions que vous pourrez
entreprendre.
l Consulter le manifeste – Affichez le manifeste du package du terminal au format XML depuis UEM Console. Le
manifeste sur les terminaux Windows durcis répertorie les métadonnées pour les widgets et les applications.
l Démarrage à chaud – Effectuez un redémarrage du système d'exploitation sans auto-test de mise sous tension
(POST).
223
Statut d'enrôlement
Utilisez la page Statut d'enrôlement pour évaluer le statut d'enrôlement par terminal, importer et inscrire en masse des
terminaux, mettre des terminaux sur liste blanche/noire et révoquer/réinitialiser les jetons des terminaux.
Cliquez sur Terminaux > Cycle de vie > Statut d'enrôlement pour afficher une liste complète de tous les terminaux par
statut d'enrôlement au niveau du groupe organisationnel sélectionné.
Triez par colonne et configurez les filtres d'informations pour vérifier les activités du terminal selon des informations
précises. Par exemple, triez la colonne Statut du jeton pour n'afficher que les terminaux dont l'inscription n'est pas
applicable et agir uniquement sur ces terminaux spécifiques. Effectuez une recherche parmi les terminaux par nom
convivial ou nom d'utilisateur pour isoler un terminal ou un utilisateur.
Filtres Vous pouvez exclure des catégories de terminaux complètes à l'aide de filtres afin de ne voir que les
terminaux qui vous intéressent.
l Statut de l'enrôlement
l Plateforme du
l Propriété
l Statut du jeton
l Type de jeton
l Source
l Première connexion
Ajout l Inscrire un terminal – Vous pouvez inscrire ou ajouter un seul terminal à enrôler.
l Mettre les terminaux sur liste noire ou blanche – Vous pouvez autoriser l'enrôlement de
terminaux identifiés ou mis sur liste blanche seulement. Sinon, vous pouvez empêcher
l'enrôlement de terminaux en les mettant sur liste noire.
l Importation par lot – Importez plusieurs terminaux ou plusieurs utilisateurs avec l'écran
Importation par lots.
Pour plus d'informations, consultez les sections Ajouter un terminal depuis l'affichage en liste à la
page 209, Ajouter un terminal mis sur liste noire ou blanche à la page 139, et Importer par lots les
utilisateurs ou les terminaux à la page 58.
Renvoyer le Renvoyez simplement le message original à l'utilisateur, avec l'URL du portail self-service, l'ID de
message groupe et les identifiants de connexion.
Plus d'actions
Modifier le Déplacez le terminal sélectionné vers le groupe organisationnel de votre choix.
groupe
organisationnel
224
Modifier le Modifiez le type de propriété du terminal sélectionné.
type de
propriété
Supprimer Supprimez définitivement les informations des terminaux sélectionnés. Cette action oblige
l'utilisateur à se réinscrire pour s'enrôler. Le cas échéant, vous devez d'abord annuler le jeton avant la
suppression de l'inscription d'un terminal.
Réinitialiser le Réinitialisez le statut du jeton s'il a été annulé ou s'il a expiré.
jeton
Annuler le Forcez l'expiration du statut du jeton d'inscription des terminaux sélectionnés, en bloquant l'accès
jeton pour les utilisateurs ou terminaux non désirés.
Pour les actions Réinitialiser le jeton et Révoquer le jeton, vous pouvez choisir de désactiver le
paramètre Notifier les utilisateurs qui empêche l'envoi de la notification par e-mail par défaut.
Sélection de Effectuez des actions sur un ou plusieurs terminaux en le/les cochant et en utilisant les boutons
plusieurs d'action.
terminaux Après avoir appliqué un filtre pour afficher un ensemble spécifique de terminaux, vous pouvez
effectuer des actions en masse sur de nombreux terminaux sélectionnés. Effectuez cette opération
en sélectionnant les terminaux, puis en choisissant une action des boutons Renvoyer le message et
Plus d'actions.
Vous pouvez cocher les différentes cases. Vous pouvez également sélectionner l'ensemble des
terminaux filtrés en cochant la case principale située au-dessus de la colonne.
Lorsque vous sélectionnez une action pour un ou plusieurs terminaux, un écran de confirmation
apparaît vous permettant d'enregistrer ou d'annuler l'action.
Mise ne page Affichez la liste complète des colonnes visibles ou choisissez d'afficher ou de masquer les colonnes
selon vos préférences en sélectionnant l'option Personnalisée.
Vous pouvez aussi appliquer vos colonnes personnalisées à tous les administrateurs au niveau du
groupe organisationnel actuel ou en dessous de celui-ci.
Vous pouvez revenir aux paramètres du bouton Mise en page à tout moment pour modifier vos
préférences d'affichage de la colonne.
Affichage des détails du statut d'enrôlement

Choisissez un nom convivial de terminal dans la colonne Informations générales pour ouvrir l'affichage des détails du
terminal concerné.
Depuis l'affichage des détails, vous pouvez renvoyer le message d'enrôlement en cliquant sur bouton Renvoyer le
message. Vous pouvez également modifier les informations d'inscription d'un terminal en cliquant sur le bouton
Modifier l'inscription et en remplissant la section Informations avancées sur le terminal.
L'affichage des détails présente une série d'onglets, chacun contenant des informations d'enrôlement relatives aux
terminal.
l Résumé – Affichez la date d'inscription, le temps écoulé depuis la dernière connexion du terminal et des informations
basiques sur le terminal et l'utilisateur.
225
l Utilisateur – Affichez des informations détaillées sur l'utilisateur.
l Message – Affichez l'e-mail d'envoi relatif à l'activation du terminal, dont les identifiants et le code QR. Il existe une
option « Message d'inscription de l'utilisateur » qui permet à l'administrateur Workspace ONE™ UEM de masquer
l'onglet Message après un enrôlement réussi du terminal.
l Attributs personnalisés – Affichez les attributs personnalisés associés au terminal.
l Étiquettes – Affichez les étiquettes associées au terminal.
l Enrôlement hors ligne – Si cette option est disponible, elle vous permet d'enrôler votre terminal hors ligne. Cette
fonctionnalité s'avère utile lorsque vous voulez tirer le meilleur parti du temps d'indisponibilité d'un terminal, lors
d'un voyage par exemple.
Protection contre la réinitialisation

L'effacement distant d'un contenu professionnel d'un terminal, appelé Effacement des données professionnelles, est une
mesure prise en cas de perte ou de vol d'un appareil. Cette fonction fait office de protection contre la menace de voir le
contenu d'entreprise exposé à la concurrence.
Cependant, il existe des circonstances dans lesquelles des processus planifiés tels que le moteur de conformité et
d'autres directives automatisées réinitialisent plusieurs terminaux. En tant qu'administrateur, vous devez savoir
lorsqu'une telle directive est planifiée et pouvoir intervenir.
Configurez les paramètres de protection contre la réinitialisation en définissant un seuil d'effacement, c'est-à-dire le
nombre minimum de terminaux réinitialisés en un certain lapse de temps. Par exemple, si plus de 10 terminaux sont
réinitialisés en 20 minutes, vous pouvez placer les effacements à venir en attente jusqu'à ce que vous ayez validé les
commandes d'effacement.
Vous pouvez vérifier les journaux des réinitialisations pour savoir quand et pour quelle raison les terminaux ont été
réinitialisés. Une fois la vérification des informations effectuée, vous pouvez accepter ou refuser les commandes de
réinitialisation mises en attente et déverrouiller le système afin de remettre le seuil à zéro.
Configurer les paramètres de protection contre la réinitialisation sur les terminaux gérés
Définissez un seuil de réinitialisation pour les terminaux gérés et informez les administrateurs par e-mail lorsque ce seuil
est atteint. Vous pouvez configurer ces paramètres pour les groupes organisationnels de type « global » ou « client »
seulement.
1. Naviguez vers Terminaux > Cycle de vie > Paramètres > Protection contre la réinitialisation.
2. Configurez les paramètres suivants.

Terminaux Saisissez le nombre de terminaux réinitialisés qui servent de seuil pour déclencher la protection
réinitialisés contre l'effacement.
En Saisissez une valeur dans le champ En (minutes) définissant le laps de temps au cours duquel les
(minutes) réinitialisations doivent avoir lieu pour déclencher la protection contre la réinitialisation.
226
E-mails Sélectionnez un modèle de message à envoyer aux administrateurs.
Créez un modèle de message pour la protection contre l'effacement en accédant à Groupes et
paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Modèles de message et
sélectionnez Ajouter. Ensuite, cliquez sur Suivant, sélectionnez Cycle de vie du terminal comme
Catégorie et Notification de protection contre l'effacement comme Type. Vous pouvez utiliser les
valeurs de recherche suivantes dans votre modèle de message.
l {EnterpriseWipeInterval} – Valeur apparaissant dans le champ En (minutes) sur la page des
paramètres.
l {WipeLogConsolePage} – Lien vers la page de journaux des réinitialisations.

Pour plus d'informations, reportez-vous à la section Valeurs de recherche à la page 228.
à Entrez les adresses e-mail des administrateurs qui doivent être notifiés. Ces derniers doivent avoir
accès à la page Journaux d'effacement.
Pour plus d'informations, reportez-vous à la section Valeurs de recherche à la page 228.
Afficher les journaux des effacements

Vous pouvez vérifier la page des journaux des effacements pour savoir quand et pour quelle raison les terminaux ont été
effacés. Une fois la vérification des informations effectuée, vous pouvez accepter ou refuser les commandes d'effacement
mises en attente et déverrouiller le système afin de réinitialiser le décompte du seuil des terminaux.
Si le système est verrouillé, un bandeau apparaîtra en haut de la page pour l'indiquer.
1. Naviguez vers Terminaux > Cycle de vie > Journal des effacements. L'accès à cette page est géré par la ressource
Rapporter les journaux d'effacement du terminal et est disponible par défaut pour les administrateurs système, les
administrateurs SaaS et les administrateurs Workspace ONE™ UEM. Vous pouvez l'ajouter à n'importe quel rôle
administrateur personnalisé depuis la page Créer un rôle admin.
Pour plus d'informations, consultez la section Créer un rôle administrateur à la page 70.
2. Vous pouvez éventuellement filtrer le journal des effacements en suivant ces paramètres.
l Plage de dates.
l Type d'effacement.
l Statut.
l Source.
l Propriété.
3. Affichez la liste des terminaux et déterminez s'il s'agit d'effacements valides ou non. Les actions en attente sur les
terminaux afficheront le statut « En attente ». Les terminaux réinitialisés avant que la limite ne soit atteinte
apparaîtront comme « traités ».
227
a. Dans le cas de réinitialisations valides, sélectionnez chaque terminal, puis cliquez sur Approuver le(s)
effacement(s) dans la liste de commandes. Le statut apparaîtra alors comme Approuvé.
b. Dans le cas de réinitialisations non valides, sélectionnez chaque terminal puis cliquez sur Rejeter le(s)
effacement(s) dans la liste de commandes. Le statut apparaîtra alors comme Rejeté.
4. Réinitialisez le compteur du seuil de terminaux et autorisez l'exécution des commandes d'effacement en

sélectionnant Déverrouiller le système. À ce stade, le système permet des commandes d'effacement automatisées
futures jusqu'à ce que la limite du seuil soit à nouveau dépassée.
Cette action est possible pour les groupes organisationnels de type « global » ou « client » seulement.
Valeurs de recherche
Une valeur de recherche est une variable qui représente un élément de données particulier d'un compte de terminal,
d'utilisateur ou d'administrateur. Les valeurs de recherche peuvent être précieuses pour compléter un processus ou un
formulaire.
Dans plusieurs zones de texte différentes de Workspace ONE UEM™ Console, vous pouvez ajouter des valeurs de
recherche à la place de valeurs statiques ou saisies manuellement. Dans la plupart des cas, les valeurs de recherche
remplacent une information que vous ne connaissez pas ou à laquelle vous n'avez pas accès.
Par exemple, l'écran Ajouter un terminal est utilisé pour ajouter un terminal à votre flotte. Nom convivial attendu est
l'une des zones de texte de cet écran qui peuvent être renseignées avec des valeurs de recherche.
Le nom convivial désigne le terminal sur de nombreux écrans différents d'UEM Console, y compris Affichage en liste des
terminaux et Affichage détaillé. Vous pouvez entrer un nom convivial statique manuellement, mais vous pouvez aussi
utiliser des valeurs de recherche pour standardiser le nom convivial et en faire un identificateur précieux.
Un format de nom convivial courant peut être construit avec les valeurs de recherche suivantes.
{EnrollmentUser} {Devicemodel} {DeviceOperatingSystem} {DeviceSerialNumberLastFour}
Si vous entrez ce qui précède dans la zone de texte Nom convivial attendu, un nom convivial ressemblant à celui de la
fenêtre Affichage en liste des terminaux apparaît.
jsmith iPad iOS GHKD
Ce nom convivial vous fournit instantanément au moins trois informations utiles. Avec les quatre derniers chiffres du
numéro de série de terminal à la fin, celui-ci est quasiment unique.
Capacité supplémentaire de données

Lorsqu'elles sont utilisées, les valeurs de recherche n'ajoutent pas une charge supplémentaire à la mémoire du terminal.
Les valeurs de recherche sont une construction d'UEM Console lui-même, et non des données transférées vers le
terminal.
Chaînes statiques et valeurs de recherche

Les valeurs de recherche ne peuvent pas être appliquées une fois qu'une chaîne statique a été entrée dans une zone de
texte.
228
Par exemple, supposons que vous avez 100 terminaux à enrôler. Vous ajoutez les 50 premiers à l'aide d'une chaîne
statique entrée manuellement dans Nom convivial attendu. Pour les 50 suivants, vous choisissez d'utiliser une valeur de
recherche pour le nom convivial attendu. Ces 100 terminaux, parmi lesquels une moitié dispose de noms conviviaux
statiques et l'autre de valeurs de recherche, peuvent tout à fait coexister. Cela ne pose aucun problème d'associer des
chaînes statiques avec des valeurs de recherche.
Cependant, vous ne pouvez pas revenir aux 50 premiers terminaux et remplacer le nom convivial de la chaîne statique
par une valeur de recherche.
Valeurs de recherche personnalisées

Vous pouvez utiliser la fonctionnalité Attributs personnalisés pour créer vos propres valeurs de recherche. Vous pouvez
ensuite utiliser ces valeurs de recherche personnalisées de la même manière que les valeurs de recherche ordinaires.
Pour plus d'informations, reportez-vous à la section Créer des attributs personnalisés à la page 234.
Affichage de la liste des valeurs de recherche

Pour faire référence à une liste complète des valeurs de recherche, notamment les emplacements dans
Workspace ONE UEM à partir desquels celles-ci sont accessibles, reportez-vous à la section
https://support.workspaceone.com/articles/115001663908.
229
Chapitre 15 :
Gestion des certificats
Avec la normalisation de la mobilité de contenus professionnels sensibles, les risques d'accès non autorisés et de
menaces malveillantes augmentent. Même si vous protégez votre messagerie d'entreprise, Wi-Fi et réseau privé virtuel
(VPN) à l'aide de mots de passe sûrs, votre infrastructure reste vulnérable. Votre infrastructure est vulnérable aux
attaques par force brute, aux attaques par dictionnaire et aux erreurs commise par vos employés.
Pour une meilleure sécurité, vous pouvez mettre en place des certificats numériques qui protégeront vos actifs
professionnels. En effet, les certificats offrent un niveau de stabilité, de sécurité et d'authentification que les mots de
passe ne peuvent assurer. La gestion des certificats mobiles par Workspace ONE™ UEM résout ce problème en assurant
la sécurité du terminal tout au long de son cycle de vie.
Affichage en liste des certificats numériques

Une fois que les certificats numériques déployés sont émis, Workspace ONE UEM vous permet de les gérer dans
l'affichage en liste des certificats de Workspace ONE UEM Console. Les administrateurs peuvent afficher et trier les
certificats par terminal, autorité, utilisateur, profil et date d'émission, etc. Naviguez vers Terminaux > Certificats
> Affichage en liste.
Révoquer et renouveler un certificat numérique

L'affichage en liste des certificats résume les certificats déployés et vous permet de renouveler ou de révoquer les
certificats individuellement ou en masse. Localisez et révoquez tous les certificats numériques depuis un
terminal/utilisateur activé ou renouvelez/faites tourner tous les certificats d'authentification avant l'expiration de la
conformité.
Lancez la procédure en accédant à Terminaux > Certificats > Affichage en liste.
1. Identifiez et sélectionnez les certificats numériques que vous voulez renouveler ou révoquer en cochant les cases
vides.
2. Sélectionnez le bouton d'action que vous voulez invoquer : Renouveler ou Révoquer pour appliquer l'action aux
certificats sélectionnés.
230
Chapitre 15 : Gestion des certificats
Ressources d'intégration des certificats

Vous pouvez rechercher chacun des documents de certificat par nom sur docs.vmware.com.
l Certificat VMware AirWatch EOBO avec ADCS via DCOM – Configurez le certificat de signature de l'agent d'enrôlement à l'aide
d'ADCS via le protocole DCOM et bénéficiez de la fonction Microsoft d'enrôlement de certificat pour le compte d'une autre
personne.
l Authentification par certificat VMware AirWatch pour Cisco AnyConnect – Configurez votre pare-feu Cisco ASA avec
Workspace ONE UEM pour déployer et configurer automatiquement le VPN AnyConnect avec une authentification de l'autorité
de certification externe.
l Authentification par certificat VMware AirWatch pour Cisco AnyConnect – Configurez votre pare-feu Cisco ASA et
Workspace ONE UEM pour déployer et configurer automatiquement le VPN IPSec avec une authentification de l'autorité de
certification externe.
l Certificat d'authentification VMware AirWatch pour EAS avec ADCS – Établissez l'approbation entre les services d'annuaire,
l'autorité de certification et un serveur de messagerie autre que CAS.
l Authentification par certificat VMware AirWatch pour EAS avec NDES-MSCEP – Configurez le serveur d'accès au client Microsoft
Exchange (CAS) et Workspace ONE UEM pour permettre la connexion d'un terminal à Microsoft Exchange ActiveSync (EAS)
avec un certificat pour l'authentification.
l Authentification par certificat VMware AirWatch pour EAS avec la SEG – Configurez la délégation Kerberos pour activer
l'authentification par certificat EAS avec la SEG.
l Intégration VMware Workspace ONE UEM avec Entrust IdentityGuard – Procédez à l'intégration du service

Entrust IdentityGuard.
l VMware Workspace ONE UEM Integration with Global Sign Guide – Procédez à l'intégration des services GlobalSign pour
émettre des certificats.
l VMware Workspace ONE UEM Integration with JCCH Guide – Procédez à l'intégration des services JCCH pour émettre des
certificats.
l Intégration de VMware Workspace ONE UEM avec Microsoft ADCS via DCOM – Configurez l'autorité de certification MS pour
disposer d'une autorité de certification directe sur le protocole DCOM. Tirez profit des certificats numériques en automatisant
l'émission, le renouvellement et la révocation de terminaux mobiles.
l Intégration de VMware Workspace ONE UEM avec Microsoft NDES via SCEP – Définissez l'autorité de certification Microsoft
pour une intégration directe de l'autorité de certification avec Workspace ONE UEM via le protocole DCOM NDES/SCEP/MSECP.
l Intégration de VMware Workspace ONE UEM avec OpenTrust CMS Mobile 2 – Procédez à l'intégration des services

OpenTrust CMS Mobile.
l VMware Workspace ONE UEM Integration with RSA PKI Guide – Procédez à l'intégration des services RSA PKI pour émettre des
certificats.
l Intégration de VMware Workspace ONE UEM avec SCEP – Utilisez SCEP pour mettre à profit les certificats dans le cadre de
votre déploiement Workspace ONE UEM.
l VMware Workspace ONE UEM Integration with SecureAuth PKI Guide – Procédez à l'intégration des services SecureAuth PKI
pour émettre des certificats.
l VMware Workspace ONE UEM Integration with Symantec MPKI Guide – Procédez à l'intégration des services Symantec MPKI.
231
Chapitre 15 : Gestion des certificats
l Authentification de certificat VMware AirWatch pour EAS avec SEG et TMG – Traite de deux configurations (TMG au serveur EAS
et TMG à SEG au serveur EAS) et définit les configurations nécessaires à la configuration d'une authentification de certificat.
o Sécurisation des terminaux mobiles VMware Workspace ONE UEM avec des certificats – Découvrez pourquoi, dans
l'environnement mobile, les certificats numériques sont bien plus que de simples garants de la sécurité du contenu interne.
o Aperçu des modèles de déploiement des autorités de certification Microsoft pour VMware Workspace ONE UEM – Offre un
aperçu des différents modèles de déploiement des autorités de certification Microsoft et vous aide à choisir celui qui convient
le mieux à votre entreprise.
232
Chapitre 16 :
Attributs personnalisés
Les attributs personnalisés permettent aux administrateurs d'extraire des valeurs particulières de terminaux gérés et de
les renvoyer à Workspace ONE UEM Console. Vous pouvez aussi attribuer la valeur de l'attribut aux terminaux pour le
provisionnement de produit ou les valeurs de recherche.
Ces attributs vous permettent de tirer parti du générateur de règles lors de la création de produits à l'aide de la
configuration de produits.
Remarque : les attributs personnalisés (et le générateur de règles) peuvent être configurés et utilisés au niveau des
groupes organisationnels clients uniquement.
Base de données des attributs personnalisés

Les attributs personnalisés sont stockés comme fichiers XML sur le terminal ou dans la base de données des attributs
personnalisés sur le serveur Workspace ONE™ UEM Console. Avec la base de données, les attributs personnalisés sont
régulièrement envoyés comme échantillons à Workspace ONE UEM pour le suivi d'actifs des paires clé/valeur. Si un
enregistrement de la base de données du terminal est configuré avec la condition « Create Attribute » = TRUE,
VMware Workspace ONE Intelligent Hub récupère automatiquement le nom et la valeur envoyés avec les échantillons
d'attributs personnalisés. La paire clé/valeur s'affiche sur la page Détails du terminal dans l'onglet Attributs personnalisés.
Créer des attributs personnalisés

Créez des valeurs et des attributs personnalisés à envoyer aux terminaux. Vous créez les valeurs et les attributs associés.
Pour plus d'informations, consultez la section Créer des attributs personnalisés à la page 234.
Importation d'attributs personnalisés

La fonctionnalité d'importation en masse des attributs personnalisés vous permet d'importer en masse dans le système
des attributs personnalisés et les valeurs correspondantes. Dans les modèles fournis, chaque colonne correspond à un
attribut personnalisé et chaque ligne, à ses différents paramètres. Pour plus d'informations, consultez la section
Importation d'attributs personnalisés à la page 234.
233
Chapitre 16 : Attributs personnalisés
Provisionnement d'attributs personnalisés propres à la plateforme

Vous pouvez envoyer des attributs personnalisés à un terminal à l'aide du provisionnement XML afin qu'ils puissent être
utilisés avec la fonctionnalité de provisionnement avancée des produits. La méthode d'envoi XML varie en fonction de la
plateforme du terminal.
Créer des attributs personnalisés

Créez des valeurs et des attributs personnalisés à envoyer aux terminaux. Ces attributs et valeurs contrôlent le
fonctionnement des règles de produit comme valeurs de recherche pour certains terminaux.
1. Naviguez vers Terminaux > Préenrôlement et provisionnement > Attributs personnalisés > Affichage en liste.
2. Cliquez sur Ajouter, puis Ajouter un attribut.
3. Dans l'onglet Paramètres, saisissez un nom d'atttribut.
4. Faites une description de l'attribut (facultatif).
5. Indiquez le nom de l'application qui regroupe l'attribut.
6. Cliquez sur Collecter les valeurs pour le générateur de règles pour rendre les valeurs de l'attribut disponibles dans
le menu déroulant du générateur de règles.
7. Sélectionnez Utiliser dans le générateur de règles si vous souhaitez utiliser l'attribut dans le générateur de règles.
8. Sélectionnez Conserver pour empêcher la suppression de l'attribut personnalisé de Workspace ONE™ UEM Console,

à moins qu'un administrateur ou un appel d'API le supprime explicitement. Sinon, l'attribut est supprimé
normalement.
Si vous supprimez un attribut personnalisé signalé depuis un terminal vers UEM Console, un attribut personnalisé
persistant reste dans la console.
La persistance des attributs personnalisés n'est disponible que pour les terminaux durcis Windows et Android.
9. Sélectionnez l'option Utiliser comme valeur de recherche pour utiliser l'attribut personnalisé comme valeur de
recherche où que vous vouliez dans UEM Console.
Vous pouvez par exemple utiliser les attributs personnalisés comme faisant partie du nom convivial du terminal afin
d'en simplifier la dénomination.
10. Sélectionnez l'onglet Valeurs.
11. Sélectionnez Ajouter une valeur pour ajouter une valeur à l'attribut personnalisé, puis cliquez sur Enregistrer.
Importation d'attributs personnalisés

La fonctionnalité d'importation en masse des attributs personnalisés vous permet d'importer en masse dans le système
des attributs personnalisés et les valeurs correspondantes. Dans les modèles fournis, chaque colonne correspond à un
attribut personnalisé et chaque ligne, à ses différents paramètres.
Avec les modèles, vous pouvez importer des attributs personnalisés de différentes manières et avec des informations
différentes.
234
Attention : la syntaxe de la première colonne de chaque modèle doit être répliquée exactement. L'utilisation de la
syntaxe incorrecte peut créer des problèmes de base de données et des pertes de données.
Types de modèle
l Modèle d'attributs personnalisés – Vous permet de définir un attribut personnalisé et ses paramètres.
l Modèle de valeurs d'attribut personnalisées – Vous permet de définir les valeurs des attributs personnalisés
prédéfinis.
l Valeurs des attributs personnalisés du terminal – Vous permet de définir les valeurs des attributs personnalisés
prédéfinis pour les différents terminaux basés sur la valeur de référence croisée (Xref). Les valeurs Xref déterminent
les différents terminaux qui reçoivent la valeur de chaque attribut personnalisé.
1. ID du terminal (ID attribué par Workspace ONE™ UEM lors de l'enrôlement du terminal)
2. Numéro de série
3. UDID
4. Adresse Mac
5. Numéro IMEI
Enregistrez le fichier au format .csv avant de l'importer.
Attribuer des groupes organisationnels avec les attributs personnalisés

Configurez des règles contrôlant l'attribution de terminaux aux groupes organisationnels après l'enrôlement. Vous ne
pouvez créer qu'une seule règle d'attributs personnalisés pour chaque groupe organisationnel.
1. Vérifiez que vous vous trouvez actuellement dans un groupe organisationnel de type Client.
2. Naviguez vers Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Avancé.
235
3. Définissez l'option Règles d'attribution des terminaux sur Activé.
4. Définissez le type sur Groupe organisationnel par attribut personnalisé.
6. Naviguez vers Terminaux > Préenrôlement et provisionnement > Attributs personnalisés > Affichage en liste >
Ajouter > Ajouter un attribut et créez un attribut personnalisé si vous ne l'avez pas déjà fait. Pour plus
d'informations, consultez la section Créer des attributs personnalisés à la page 234.
7. Naviguez vers Terminaux > Préenrôlement et provisionnement > Attributs personnalisés > Règles d'attribution >
Ajouter une règle.
8. Sélectionnez le groupe organisationnel auquel la règle attribue les terminaux.
9. Cliquez sur Ajouter une règle pour en configurer la logique.

Attribut/Application Cet attribut personnalisé détermine l'attribution des terminaux.
Opérateur Cet opérateur compare l'attribut à la valeur pour savoir si le terminal remplit les conditions
requises du produit.
Lorsque vous utilisez plus d'un opérateur, vous devez inclure un opérateur logique entre
chaque opérateur.
Remarque : une limitation existe pour les opérateurs « inférieur à » (<) et « supérieur
à ». Cela concerne également les variantes « inférieur ou égal à » et « supérieur ou égal
à ». Ces opérateurs sont de nature mathématique. Cela signifie qu'ils sont efficaces
pour comparer des nombres, y compris les nombres entiers, mais qu'ils ne peuvent
pas être utilisés pour comparer des chaînes de texte non numériques. Les versions
logicielles correspondent souvent à des nombres censés représenter un système de
versions graduées (par exemple, 6.14.2). Ces représentations ne sont toutefois pas des
nombres, parce qu'elles comportent plusieurs décimales. Ces représentations sont en
réalité des chaînes de texte. Par conséquent, toute règle d'attribution qui compare les
numéros de version logicielle comportant plusieurs points décimaux à l'aide des
opérateurs « supérieur à » ou « inférieur à » (ainsi que leurs variantes) peut entraîner
un message d'erreur.
Valeur Toutes les valeurs des terminaux applicables sont listées ici pour l'attribut sélectionné.
Ajouter un opérateur Affichez un menu déroulant d'opérateurs logiques comprenant ET, OU, AUCUN, ainsi que
logique des parenthèses. Autorisez des règles complexes.
10. Cliquez sur Enregistrer après avoir configuré la logique de la règle.

Lorsqu'un terminal avec un attribut personnalisé est enrôlé, la règle attribue le terminal au groupe organisationnel
configuré.
236
Chapitre 17 :
Portail en libre-service
Le portail en libre service Workspace ONE UEM est un outil en ligne utile pour surveiller et gérer les terminaux à distance.
Il permet de réduire les coûts liés à la gestion d'une flotte de terminaux. En responsabilisant l'utilisateur et en l'éduquant
sur la manière d'effectuer des tâches basiques de gestion, de diagnostic et de résolution de problèmes sur son terminal,
votre organisation sera en mesure de minimiser les sollicitations du service de support et de dépannage.
Accéder au portail self-service depuis les terminaux

Vous pouvez accéder au portail self-service depuis un poste de travail ou un terminal en naviguant vers
https://<AirWatchEnvironment>/MyDevice. Si vous utilisez un terminal prenant en charge les raccourcis et les signets,
votre administrateur peut mettre à votre disposition des raccourcis vers le SSP directement.
Personnalisations du portail self-service SSP

Vous pouvez modifier l'arrière-plan de la page de connexion par défaut en configurant les paramètres de
personnalisation d'apparence.
Accédez à Groupes et paramètres > Tous les paramètres > Système > Personnalisation d'apparence et sélectionnez le
bouton Importer dans le paramètre Arrière-plan de la page de connexion du portail self-service. Sélectionnez une
image d'arrière-plan personnalisée avec une taille suggérée de 1 024x768 pixels.
Configuration du programme d'amélioration produit

Le portail self-service est inclus dans le programme d'amélioration produit de VMware qui vous permet d'influencer la
qualité et l'efficacité de nos produits. Lorsqu'il est activé, ce programme teste uniquement les données d'utilisation, qui
sont essentielles pour garantir que nous répondons aux besoins réels de nos clients.
Vous pouvez choisir d'activer ou de désactiver le programme d'amélioration produit à tout moment accédant à Groupes
et paramètres > Tous les paramètres > Admin > Programmes d'amélioration produit.
Pour en savoir plus sur ce programme, reportez-vous à la page
https://resources.workspaceone.com/view/9yfkbk6r2pzldhjlhrz9.
237
Chapitre 17 : Portail en libre-service
Mesures de sécurité basées sur des jetons

Configuration de la page de connexion par défaut pour le SSP

Vous pouvez définir la méthode d'authentification par défaut affichée sur le portail self-service, en fonction des besoins
de votre organisation et de vos utilisateurs.
Remarque : ce paramètre n'est disponible qu'au niveau global pour les clients sur site.
Configurez ce paramètre accédant à Groupes et paramètres > Tous les paramètres > Installation > Avancé > Autre et en
définissant Type d'authentification SSP sur :
l E-mail – Les utilisateurs seront invités à saisir uniquement leur adresse e-mail, si vous avez activé la détection
automatique.
l Détaillé – Les utilisateurs seront invités à saisir leur ID de groupe et leurs identifiants (nom d'utilisateur/mot de
passe).
l Dédié – Les utilisateurs seront invités à saisir uniquement leurs identifiants (nom d'utilisateur/mot de passe). Cette
option définit par défaut un seul ID de groupe pour les environnements à client unique.
Page Mes terminaux du SSP

La page Mes terminaux du portail self-service donne accès aux informations détaillées des terminaux et permet aux
utilisateurs d'effectuer de nombreuses actions.
Les onglets visibles et les actions disponibles dépendent de la plateforme de votre terminal. Consultez le guide de la
plateforme concernée, disponible sur docs.vmware.com.
Sélectionner une langue pour le SSP

Le portail self-service s'adapte automatiquement à la langue par défaut du navigateur. Vous pouvez cependant
remplacer ce paramètre par défaut en choisissant dans le menu déroulant Sélectionner la langue sur l'écran de
connexion.
Se connecter au SSP
Connectez-vous à l'aide des mêmes identifiants (ID de groupe, nom d'utilisateur et mot de passe) utilisés lors de
l'enrôlement dans Workspace ONE UEM.
238
Modifier le mot de passe du SSP

Vous pouvez utiliser la page Compte pour modifier le mot de passe associé à votre compte Workspace ONE UEM. Ce mot
de passe sera utilisé pour l'enrôlement du terminal et la connexion au SSP.
Modifiez votre mot de passe en cliquant sur le bouton Compte situé en haut à droite de l'écran du portail self-service. La
page Compte utilisateur s'affiche vous permettant de cliquer sur le bouton Modifier à côté du champ Mot de passe
actuel.
Sélection d'un terminal dans le SSP

Lorsque vous êtes connecté au SSP, la page Mes terminaux affiche tous les terminaux associés au compte. Chaque
terminal enrôlé apparaît dans son propre onglet en haut de l'écran du portail self-service. Cliquez sur l'onglet
correspondant au terminal que vous souhaitez afficher et gérer.
Le statut du terminal figure sous le nom du terminal dans l'onglet. Ces statuts sont : Découvert, Enrôlé, Enrôlement en
attente, Désenrolé et En attente d'effacement des données professionnelles.
Ajouter un terminal dans le SSP

Vous pouvez ajouter un terminal directement depuis le SSP.
1. Cliquez sur Ajouter un terminal sur la page Mes terminaux.
2. Renseignez les zones de texte requises : Nom convivial, Plateforme, Propriété du terminal, Type de message et
Adresse e-mail le cas échéant.
3. Cliquez sur Enregistrer pour ajouter les nouveaux terminaux au compte SSP.
Remarque : un terminal nouvellement ajouté aura comme statut « Enrôlement en attente » jusqu'à ce qu'il soit
pleinement enrôlé.
Informations sur le terminal dans le SSP

Lorsqu'un utilisateur se connecte au SSP, son terminal principal s'affiche dans la visionneuse. La page d'affichage principal
présente les informations basiques telles que la date d'enrôlement, la dernière connexion et le statut du terminal.
Lorsque vous cliquez sur le bouton Voir les détails, les onglets suivants contenant des informations sur le terminal
sélectionné s'affichent.
l Résumé – Affiche un résumé des informations sur la conformité, les profils, les applications, le contenu, le nom
convivial, le numéro d'actif, le numéro UDID et l'adresse MAC Wi-Fi.
o Le nom convivial d'un terminal peut être modifié directement depuis l'affichage de l'onglet Résumé en
sélectionnant l'icône Modifier à droite de la zone de texte Nom convivial.
239
Remarque : la fonction du rôle utilisateur Résumé des terminaux contrôle la visibilité de l'onglet Résumé sur le
portail self-service. Si des informations spécifiques ne sont pas disponibles dans l'affichage du rôle de l'utilisateur
suite à la désactivation d'une fonction comme Applications du terminal, Conformité du terminal ou Profils des
terminaux, les informations correspondantes figurant dans l'onglet Résumé seront également masquées.
Consultez les sections Rôles utilisateur et Rôles administrateur pour des instructions détaillées sur la limitation
des fonctions pour les rôles utilisateur et administrateur.
l Conformité – Cet onglet affiche le statut de conformité du terminal, notamment le nom et le niveau de toutes les
politiques de conformité appliquées à ce terminal.
l Profils – Cet onglet affiche tous les profils MDM (y compris les profils automatiques) qui ont été envoyés sur les
terminaux enrôlés sous votre compte utilisateur. Cet affiche également le statut de chaque profil.
l Applications – Cet onglet affiche toutes les applications installées sur le terminal sélectionné et fournit des
informations de base sur les applications.
l Sécurité – Affiche les informations de sécurité générales d'un terminal particulier enrôlé sous le compte utilisateur.
Actions à distance dans le SSP

Workspace ONE UEM met à la disposition des administrateurs plusieurs options et actions à distance pour les terminaux
gérés. Cependant, lorsque les terminaux appartiennent aux employés, ces derniers pourraient avoir besoin d'accéder à
des outils de gestion similaires pour leur propre usage. Le portail self-service de Workspace ONE UEM (SSP) permet aux
employés d'utiliser certains des principaux outils MDM sans aucune intervention du service informatique. Si vous
l'activez, les utilisateurs finaux peuvent exécuter le portail self-service dans un navigateur Web et accéder à ces outils
d'assistance MDM. Vous pouvez également activer ou désactiver l'affichage des informations et la capacité d'effectuer
des actions à distance depuis le portail self-service.
Votre administrateur détermine les autorisations d'action du terminal sélectionné et les actions disponibles dans le
portail self-service, lesquelles varient selon la plateforme. Les actions autorisées sont réparties en Actions simples et en
Actions avancées sur la page d'accès principale.
L'administrateur détermine les autorisations. Les actions des utilisateurs de terminaux pourraient donc être limitées.
Consultez le guide de la plateforme concernée, disponible sur docs.vmware.com. Vous pouvez également rechercher les
options propres à une plateforme dans l'aide en ligne.
Actions basiques à distance dans le SSP

Les actions basiques à distance s'affichent dans le sous-onglet Actions basiques du terminal sélectionné dans le portail
self-service. Les actions disponibles dépendent du statut d'enrôlement, de la plateforme du terminal et des permissions.
Action Description
Modifier le Spécifiez un nouveau code d'accès pour le terminal sélectionné.
code d'accès
Effacement du Effacez le code d'accès du terminal sélectionné et invitez à définir un nouveau code d'accès. Cette
code d'accès action s'avère utile si les utilisateurs oublient leur code d'accès et ne peuvent plus accéder à leur
terminal.
240
Action Description
Suppression du Supprimez le terminal du portail self-service.
terminal
Suppression de Supprimez du portail self-service tout enregistrement d'enrôlement en cours.
l'inscription
Requête de Demandez au terminal d'envoyer un ensemble complet d'informations MDM au serveur
terminal Workspace ONE UEM.
Réinitialisation Effacez toutes les données du terminal sélectionné, notamment l'ensemble des données, e-mails,
du terminal profils et capacités MDM et réinitialisez le terminal.
Télécharger le Téléchargez et installez VMware Workspace ONE Intelligent Hub sur le terminal sur lequel vous
Hub affichez le SSP.
Effacement des Efface toutes les données d'entreprise du terminal sélectionné et supprime le terminal de
données Workspace ONE UEM. Toutes les données d'entreprise contenues sur un terminal sont supprimées,
professionnelles y compris les profils MDM, politiques et applications internes. Le terminal revient à son état avant
l'installation de Workspace ONE UEM.
Localisation du Activez la fonctionnalité GPS pour localiser un terminal perdu ou volé. Cette action est masquée
terminal lorsque les paramètres de confidentialité sont restrictifs
Verrouillage du Verrouille le terminal sélectionné de sorte qu'un utilisateur non autorisé ne puisse y accéder, ce qui
terminal/de est utile en cas de perte ou de vol du terminal. Les utilisateurs finaux peuvent également utiliser la
l'écran fonction GPS pour localiser le terminal.
Verrouillage de Verrouillez le code d'accès SSO pour les applications sur ce terminal. L'ouverture de la prochaine
la SSO application SSO exigera la saisie du code d'accès.
Faire sonner Localisez un terminal en le faisant sonner à distance.
Renvoi du Envoyez une autre copie de l'e-mail, du SMS ou du code QR d'enrôlement initial vers le terminal qui
message souhaite s'enregistrer.
d'enrôlement En tant que fonctionnalité de sécurité, l'adresse e-mail qui apparaît dans le formulaire Renvoyer le
message d'enrôlement est en lecture seule pour les comptes qui s'enrôlent avec un jeton.
Envoi d'un Envoyez une notification par e-mail, téléphone, ou SMS au terminal.
message
Configurer Active ou désactivez l'itinérance sur ce terminal.
l'itinérance
Synchroniser le Équipe les terminaux des politiques d'entreprise, des applications et du contenu les plus récents.
terminal
Affichage du Affichez l'e-mail, le SMS ou le code QR compris dans le message d'enrôlement initial.
message En tant que fonctionnalité de sécurité, cette action n'est pas disponible pour les comptes qui
d'enrôlement s'enrôlent avec un jeton.
241
Remarque : les actions d'enregistrement et d'enrôlement apparaissent dans le SSP seulement lorsque le terminal est
encore en cours d'enrôlement.
Actions avancées à distance dans le SSP

Les actions avancées à distance s'affichent dans le sous-onglet Actions avancées du terminal sélectionné dans le portail
self-service. Les actions disponibles dépendent du statut d'enrôlement, de la plateforme du terminal et des permissions.
Action Description
Génération du jeton d'application Générez un jeton que le terminal peut utiliser pour accéder aux applications protégées.
Gestion des e-mails Gérez les terminaux connectés à un compte de messagerie.
Vérification des conditions d'utilisation Révisez les anciennes conditions d'utilisation de ce compte.
Annuler le jeton Révoquez le jeton pour une application sélectionnée.
Importation d'un certificat S/MIME Importez un certificat S/Mime pour un compte de messagerie professionnelle.
242
Matrice des commandes du portail self-service

Chacune des plateformes de terminal majeures prend en charge diverses actions simples et avancées sur le portail self-
service.
Win Win Win
Action Android iOS macOS Win 7
Phone Mobile Desktop
Actions simples
Modifier le code d'accès. ✓
Supprimer le code d'accès (SSO). ✓ ✓ ✓ ✓
Supprimer le terminal. ✓ ✓ ✓ ✓ ✓ ✓ ✓
Supprimer l'inscription. ✓ ✓ ✓ ✓ ✓
Requête de terminal ✓ ✓ ✓ ✓ ✓
Réinitialisation du terminal ✓ ✓ ✓ ✓ ✓
Télécharger le Hub. ✓ ✓
Effacement des données professionnelles ✓ ✓ ✓ ✓ ✓ ✓ ✓
Localiser le terminal. ✓ ✓ ✓ ✓ ✓
Verrouiller le terminal/l'écran. ✓ ✓ ✓ ✓ ✓
Verrouiller la SSO. ✓ ✓
Faire sonner. ✓
Renvoyer le message d'enrôlement. ✓ ✓ ✓ ✓ ✓
Envoyer un message. ✓ ✓ ✓ ✓ ✓ ✓ ✓
Configurer l'itinérance. ✓
Synchroniser le terminal. ✓ ✓
Afficher le message d'enrôlement.* ✓ ✓ ✓ ✓ ✓
Actions avancées
Générer le jeton d'application. ✓ ✓ ✓ ✓ ✓ ✓ ✓
Gérer les e-mails. ✓ ✓ ✓
Consulter les conditions d'utilisation. ✓ ✓ ✓ ✓ ✓ ✓ ✓
Annuler le jeton. ✓ ✓ ✓ ✓ ✓ ✓ ✓
Importer un certificat S/MIME. ✓ ✓ ✓ ✓ ✓ ✓ ✓
* En tant que fonctionnalité de sécurité, cette action n'est pas disponible pour les comptes qui s'enrôlent avec un jeton.
Options VMware Content Locker

Workspace ONE UEM propose trois fonctionnalités utilisateur qui facilitent la gestion du contenu de votre organisation.
En plus des configurations robustes et des options de gestion du contenu disponibles au sein de
243
Workspace ONE UEM Console, vous pouvez également configurer le comportement de ces fonctionnalités utilisateur.

l VMware Content Locker – Permet à l'utilisateur final d'accéder depuis son terminal à du contenu important en toute
sécurité. Tout contenu accessible via VMware Content Locker s'ouvre uniquement dans l'application, garantissant
qu'il ne peut pas être copié, enregistré ou partagé sans autorisation.
l Content Locker Sync – Permet à l'utilisateur final d'ajouter des fichiers à un dossier partagé sur son ordinateur qui se
synchronise avec son référentiel de contenu personnel. Ce dossier lui permet d'accéder aux fichiers de l'application
VMware Content Locker installée sur son terminal mobile qui sont également accessibles depuis le portail self-
service.
Remarque : le téléchargement, l'installation et l'utilisation de ces fonctions dépendent de l'utilisateur final. Consultez
le Guide de l'utilisateur final de VMware Content Locker de la plateforme concernée pour obtenir des instructions
détaillées. Consultez également le Guide sur les applications de contenu pour les utilisateurs de postes de travail
disponible à l'adresse https://resources.air-watch.com/view/jshgwzqd2fdcby73ryhf/en.
Ces guides sont disponibles sur docs.vmware.com ou dans le référentiel de documentation myAirWatch.
Pour plus d'informations, contactez votre administrateur Workspace ONE UEM.
244

Vmware Airwatch Mobile Device Management Guide

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Vmware Airwatch Mobile Device Management Guide

Загружено:

Авторское право:

Доступные форматы

Guide VMware AirWatch de gestion des

Chapitre 3 : Installation de l'environnement 26

Chapitre 4 : Comptes utilisateur et administrateur 42

Chapitre 6 : Groupes d'attribution 78

Chapitre 7 : Enrôlement du terminal 105

Chapitre 8 : Terminaux partagés 148

Chapitre 10 : Profils des terminaux 157

Chapitre 11 : Ressources 170

Chapitre 12 : Politiques de conformité 188

Chapitre 13 : Étiquettes de terminaux 201

Chapitre 14 : Gestion de terminaux 205

Chapitre 15 : Gestion des certificats 230

Chapitre 16 : Attributs personnalisés 233

Chapitre 17 : Portail en libre-service 237

Avantages de la gestion des terminaux mobiles

l Configurez et mettez à jour à distance les paramètres des terminaux.

l Appliquez des politiques de sécurité et de conformité.

l Sécurisez l'accès mobile aux ressources professionnelles.

l Verrouillez et effacez à distance les terminaux gérés.

Navigateurs pris en charge

Plateformes prises en charge

l Android 4.0 et versions supérieures l Tizen 2.3 et versions ultérieures

Envoyer des commentaires

Naviguer dans l'assistant de démarrage

Naviguez dans Workspace ONE, le terminal, le contenu et l'assistant de l'application

Activer l'assistant de démarrage manuellement

3. Accédez à Groupes et paramètres > Tous les paramètres > Système > Démarrage.

4. Sélectionnez Activer pour chacun des champs de cette page :

b. Démarrage - Statut des terminaux

c. Démarrage - Statut du contenu

d. Démarrage - Statut des applications

5. Enregistrez les modifications sur la page.

Gérer les paramètres du compte

Questions de récupération de mot de passe

Code PIN de sécurité

Groupes organisationnels à la page 80.

Réduire et développer le sous-menu

Il existe de nombreux types de notifications.

Gérer les notifications d'UEM Console

Configurer les paramètres de notification

Pour configurer les paramètres de notification, suivez les étapes suivantes.

3. Pour chaque événement, sélectionnez Aucune, Console, E-mail ou Console et e-mail.

4. Enregistrez ou annulez vos modifications.

Aperçu d'UEM Console MonitorGestion des terminaux

l Conformité – Affichez les terminaux en violation de politiques.

l Profils – Affichez les profils non mis à jour.

l Applications – Affichez les applications associées aux terminaux.

l Contenu – Affichez les terminaux disposant de contenu non mis à jour.

l E-mail – Affichez les terminaux actuellement incapables de recevoir des e-mails.

l Certificats – Affichez les certificats arrivant à expiration.

Produits actifs dans le panneau d'administration

Composants déployés dans le panneau d'administration

l Secure Email Gateway

Modèles du secteur pour iOS

Surveillance des applications et des profils

Statuts de surveillance des applications et des profils

3. Sélectionnez le profil ou l'application dans le menu déroulant et cliquez sur Ajouter.

Expiration des certificats APNs

Générer un certificat APNs

ii. L'identifiant Apple initialement utilisé pour créer le certificat.

d. Cliquez sur Enregistrer.

Confidentialité et collecte des données

Déclarations de confidentialité pour les utilisateurs BYOD