развертыванию Руководство по vmware workspace oneРуководство...

Руководство поразвертываниюVMware Workspace ONEДекабрь 2017 г.VMware Identity Manager 3.1VMware AirWatch 9.2

Руководство по развертыванию VMware Workspace ONE

VMware Inc. 2

Самая последняя техническая документация доступна на веб-сайте VMware:

https://docs.vmware.com/ru/

Все замечания по данной документации отправляйте по адресу:

[email protected]

(c) VMware Inc., 2017. Все права защищены. Информация об авторских правах и товарных знаках.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

https://docs.vmware.com/ru/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Содержание

О развертывании VMware Workspace ONE 6

1. Введение в Workspace ONE 7

Обзор архитектуры Workspace ONE 7

Требования 8

Сведения о компонентах Workspace ONE 9

Начало работы с мастером Workspace ONE 10

2. Интеграция AirWatch с VMware Identity Manager 12

Настройка интеграции в консоли администрирования AirWatch 12

Настройка экземпляра AirWatch в VMware Identity Manager 15

Включение каталога Workspace ONE для AirWatch 18

Включение проверки соответствия для управляемых устройств AirWatch 19

Включение проверки подлинности с помощью пароля пользователя на платформе AirWatch 19

Настройка правила политики доступа 20

Обновление VMware Identity Manager после обновления AirWatch 21

3. Проверка подлинности с помощью AirWatch Cloud Connector 22

Управление сопоставлением атрибутов пользователя 23

Синхронизация пользователей и групп каталога AirWatch с каталогом VMware Identity 23

Управление конфигурацией проверки подлинности с помощью пароля для AirWatch 25

Настройка встроенных поставщиков удостоверений 26

4. Внедрение проверки подлинности с помощью единого входа для

мобильных устройств с iOS под управлением AirWatch 27Обзор внедрения для настройки единого входа на мобильных устройствах с iOS 28

Настройка центра сертификации Active Directory в AirWatch 28

Использование центра сертификации AirWatch для проверки подлинности Kerberos 32

Использование центра распространения ключей для выполнения проверки подлинности на

устройствах с iOS 33

Настройка проверки подлинности с помощью единого входа для мобильных устройств с iOS 35

Настройка встроенного поставщика удостоверений для проверки подлинности на мобильных

устройствах с iOS с помощью единого входа 36

Настройка профиля Apple iOS в AirWatch с помощью центра сертификации Active Directory и

шаблона сертификата 38

Настройка профиля Apple iOS в AirWatch с помощью центра сертификации AirWatch 39

Назначение профиля устройства AirWatch 41

VMware Inc. 3

5. Внедрение проверки подлинности с помощью единого входа длямобильных устройств с Android под управлением AirWatch 43Настройка единого входа для устройств с Android из консоли администрирования AirWatch 45

Настройка параметров VPN-доступа в VMware Tunnel из консоли администрирования

AirWatch 46

Настройка профиля Per App Tunnel для Android 48

Включение отдельных сетей VPN для приложений Android 48

Настройка правил маршрутизации трафика в AirWatch 49

Настройка единого входа для проверки подлинности на мобильных устройствах с Android во

встроенном поставщике удостоверений 52

6. Прямая регистрация в AirWatch с помощью Workspace ONE 54

Включение Workspace ONE для прямой регистрации 54

Удобство работы при прямой регистрации в AirWatch с помощью Workspace ONE 57

7. Использование Workspace ONE для поддержки интеграции программы

регистрации устройств Apple 65

8. Enabling the Out of Box Experience for Workspace ONE on Dell Windows 10

Devices 67Enable External Access Token in AirWatch 67

Activate External Access Token as an Authentication Method 68

Associate External Access Token Authentication Method to the Built-in Identity Provider 69

Create Access Policy for Workspace ONE Out-of-Box Experience Process 70

Workspace ONE for Windows 10 Custom Out-of-Box Branding 71

9. Развертывание мобильного приложения VMware Workspace ONE 72

Параметры управления устройствами в AirWatch для общедоступных и внутренних

приложений для Workspace ONE 72

Управление доступом к приложениям 74

Обязательное принятие условий использования для доступа к каталогу Workspace ONE 75

Получение и распространение приложения Workspace ONE 77

Регистрация доменов электронной почты для автоматического обнаружения 81

Настройка проверки подлинности для сеанса 82

Стратегии развертывания для настройки нескольких организационных групп AirWatch 83

10. Работа на портале Workspace ONE 88

Настройка секретных кодов для приложения Workspace ONE 88

Работа с приложениями в Workspace ONE 89

Добавление встроенных приложений 93

Использование VMware Verify для проверки подлинности пользователей 93

Отправка оповещений пользователям Workspace ONE 94


VMware Inc. 4

Работа с Workspace ONE на устройствах с Android 94

11. Использование каталога Workspace ONE 97

Управление ресурсами в каталоге 97

12. Настройки корпоративного стиля для служб VMware Identity Manager 100

Настройка корпоративного стиля в службе VMware Identity Manager 100

Настройка корпоративного стиля для пользовательского портала 101

13. Доступ к другим документам 104


VMware Inc. 5

О развертывании VMware Workspace ONE

В руководстве по развертыванию VMware Workspace™ ONE™ содержатся сведения об интеграцииVMware Identity Manager™ с VMware AirWatch®, благодаря которой можно настроить единый вход вWorkspace ONE, управление устройствами в AirWatch и VMware Workspace ONE в качествекаталога приложений.

После интеграции AirWatch с VMware Identity Manager пользователи зарегистрированных устройствAirWatch могут безопасно входить во включенные приложения без необходимости вводитьнесколько паролей.

Целевая аудиторияЭти сведения предназначены для администраторов, которые уже работали со службами AirWatch иVMware Identity Manager.

VMware Inc. 6

Введение в Workspace ONE 1VMware Workspace® ONE® — это безопасная корпоративная платформа, предоставляющаявозможность работы с устройствами с iOS, Android и Windows 10, а также возможность управленияими. На платформе Workspace ONE предусмотрено управление удостоверениями, приложениямии корпоративной мобильной средой.

За счет интеграции VMware AirWatch® с VMware Identity Manager™ вы получаете каталогWorkspace ONE с приложениями и службами управления доступом к мобильным устройствам.

Службы VMware Identity Manager предоставляют компоненты, связанные с удостоверениями,включая методы проверки подлинности для пользователей, которые используют для входа наресурсы единый вход. Для управления доступом к этим устройствам создается набор политик,связанных с сетевыми подключениями и проверкой подлинности.

Службы AirWatch предоставляют средства регистрации устройств, распространения приложений ипроверки соответствия нормативным требованиям, чтобы обеспечить соответствие устройств судаленным доступом корпоративным стандартам безопасности. С зарегистрированных устройствAirWatch пользователи могут безопасно выполнять вход на активированных для них устройствах,не вводя несколько паролей.

В эту главу входят следующие темы:n Обзор архитектуры Workspace ONE

n Требования

n Сведения о компонентах Workspace ONE

n Начало работы с мастером Workspace ONE

Обзор архитектуры Workspace ONEWorkspace ONE обеспечивает безопасный доступ пользователей к облачным и мобильнымприложениям, а также к приложениям для Windows из единого каталога. К родному приложениюWorkspace ONE можно получить доступ с устройств с iOS, Android и Windows 10.

VMware Inc. 7

При развертывании Workspace ONE нужно внедрить следующие службы VMware Identity Manager иAirWatch.

n Настройте и установите службу VMware Enterprise Systems Connector. Можно либо настроитькомпонент соединителя VMware Identity Manager или компонент AirWatch Cloud Connector(ACC).

n Выполните интеграцию корпоративной версии Active Directory с VMware Identity Manager илиAirWatch Cloud Connector для синхронизации пользователей и групп Active Directory со службойWorkspace ONE.

n Настройте VMware Identity Manager с ключами API AirWatch и корневым сертификатомадминистратора, а также включите единый каталог, проверку соответствия нормативнымтребованиям и проверку подлинности пользователя с использованием пароля в AirWatch.

Рисунок 1‑1. Обзор архитектуры Workspace ONE

VMware Identity Manager

Портал конечных пользователей

Каталогпользователя

Политикидоступа

Основная инфраструктура

VMware IdentityManager Connectorили AirWatch Cloud

Connector

Horizon Apps

Виртуальные компьютеры Horizon

Active Directory

Каталог веб-приложений и виртуальных

приложений

Способы проверки подлинности

Интеграция Horizon

VMware AirWatch

Профилиустройства

Интеграция электронной почты

Интеграциясодержимого

Защита отпотери данных

Интеграция корпоративного каталога

Каталогмобильных приложений

Приложение Workspace ONE

Магазины общедоступных

приложений

Пользователи и устройства Приложения,

предоставляемые по модели

«ПО как услуга»

ТребованияНиже указаны системные требования для Workspace ONE.


VMware Inc. 8

Таблица 1‑1. Системные требования для Workspace ONE

Требования для Workspace ONE Сведения

Active Directory Windows Server 2008 и 2008 R2

Windows Server 2012 и 2012 R2

Веб-браузер для доступа к VMware Identity Manager иконсоли администрирования AirWatch

Internet Explorer 11 для Windows

Google Chrome 4.0 и более поздних версий

Mozilla Firefox 4.0 и более поздних версий

Safari 6.2.8 и более поздних версий

VMware Enterprise Connector с установленнымсоединителем VMware Identity Manager или AirWatch CloudConnector.

Windows Server 2008 R2

Windows Server 2012 или 2012 R2

.NET Framework 4.6.2

Сведения о развертывании соединителей см. в руководствепо установке и настройкеVMware Enterprise Systems Connector.

Сведения о компонентах Workspace ONEНиже описаны основные компоненты Workspace ONE

Собственные мобильные приложения Workspace ONEПользователи могут установить приложение Workspace ONE на мобильном устройстве ииспользовать корпоративные учетные данные для единого входа в корпоративные, облачные имобильные устройства.

Каталог приложений с возможностью самообслуживания для веб-ресурсов,а также ресурсов Horizon и CitrixWorkspace ONE обеспечивает доступ пользователей к облачным и мобильным приложениям, атакже к приложениям для Windows из единого каталога. Каталог содержит приложения,опубликованные в VMware Identity Manager и VMware AirWatch. Поддерживаются внутренние веб-приложения, приложения, предоставляемые по модели «ПО как услуга», собственные приложения,приложения, разработанные собственными силами, старые и новые версии приложений дляWindows, приложения Horizon 7, VMware Horizon Cloud Service™, опубликованные приложенияCitrix и пакеты ThinApp. В магазине приложений также есть виртуализированные настольныекомпьютеры.

Запуск веб-приложений и виртуальных приложений с использованиемединого входаWorkspace ONE предоставляет возможность мобильного единого входа — реализацию входа вмобильные приложения одним касанием. Возможность единого входа на мобильные устройствадоступна для устройств с Android, iOS и Windows 10.


VMware Inc. 9

Условный доступ и соответствие устройства политикамС помощью Workspace ONE можно применить условный доступ с учетом диапазона сети,платформы и критериев проверки подлинности для конкретного приложения. Прежде чемпредоставить право на использование приложения, нужно убедиться в соответствии устройстваправилам безопасности. В VMware Identity Manager предусмотрен параметр политики доступа, спомощью которого на сервере AirWatch можно инициировать проверку состояния соответствияустройства, когда пользователи входят в систему с такого устройства.

Многофакторная аутентификацияВ Workspace ONE предусмотрена возможность многофакторной проверки подлинности черезприложение VMware Verify. При попытке доступа к каталогу Workspace ONE или к любомуприложению, требующему строгой проверки подлинности, VMware Verify отправляет уведомлениена телефон пользователя. Чтобы подтвердить право на доступ к Workspace ONE при попытке егополучения, пользователю нужно провести пальцем по параметру «Принять» для открытияприложения.

Адаптивное управлениеДля приложений, требующих базового уровня защиты, пользователям не нужно регистрироватьустройства в AirWatch Mobile Device Management™. Пользователи могут загрузить мобильноеприложение Workspace ONE и выбрать приложения, которые следует установить. Для приложений,требующих более высокого уровня защиты, пользователи могут зарегистрировать свои устройствав AirWatch непосредственно из мобильного приложения Workspace ONE.

Начало работы с мастером Workspace ONEМастер начальной настройки Workspace ONE поможет настроить параметры для интеграции службAirWatch и VMware Identity Manager с целью создания среды Workspace ONE.

Мастер начальной настройки не заменяет возможности настройки и изменения отдельныхпараметров. Он лишь автоматизирует значительную часть процедур начальной настройки длябольшинства пользователей.

С помощью мастера начальной настройки Workspace ONE можно настроить следующиекомпоненты.

n Enterprise Connector и Directory. Мастер помогает настроитьVMware Enterprise System Connector и подключение Active Directory в AirWatch Cloud Connectorдля импорта пользователей и групп из каталога компании. Сведения о настройкеEnterprise Connector см. в руководстве по быстрой настройке VMware Workspace ONE.

n Автоматическое обнаружение. Чтобы пользователям было проще получить доступ к порталуприложений из приложения Workspace ONE, можно запустить мастер, чтобы зарегистрироватьдомен электронной почты в службе автоматического обнаружения. Затем вместо URL-адресаорганизации конечные пользователи могут вводить свой адрес электронной почты.


VMware Inc. 10

n Каталог Workspace ONE. Мастер настройки каталога Workspace ONE поможет настроитькаталог Workspace ONE. На этапе настройки фирменной символики в Workspace ONE можнодобавить сведения о фирменной символике компании в каталог и приложение Workspace ONE.Сведения о настройке каталога Workspace ONE см. в руководстве по быстрой настройкеVMware Workspace ONE.

n Адаптивное управление. Настройте адаптивное управление, чтобы ограничить доступ копределенным приложениям, которыми в этом случае можно будет воспользоваться, толькоесли на устройстве пользователя установлен соответствующий профиль. Профиль гарантируетвозможность удаления корпоративных приложений и данных по требованию. Кроме того,можно задать требование, в соответствии с которым управление общедоступнымиприложениями, а также их использование должны осуществляться отдельно. Для этого ихнужно вручную загрузить из магазина приложений.

Мастер начальной настройки может оповестить о том, что в службе AirWatch илиVMware Identity Manager имеются потенциально конфликтные конфигурации. В этом случае, атакже если в мастере начальной настройки выполнены не все действия, компоненты можнонастроить вручную. Это руководство поможет вам вручную настроить службы AirWatch иVMware Identity Manager для Workspace ONE.


VMware Inc. 11

Интеграция AirWatch сVMware Identity Manager 2Чтобы настроить службы AirWatch для управления мобильными устройствами со службамиVMware Identity Manager для управления единым входом и учетными записями пользователей,необходимо их интегрировать.

При интеграции AirWatch с VMware Identity Manager пользователи зарегистрированных устройствAirWatch могут входить в Workspace ONE и безопасно получать доступ к активированным для нихприложениям, не вводя несколько паролей.

Мастер начальной настройки Workspace ONE поможет вам настроить и интегрировать AirWatch сVMware Identity Manager. Сведения о работе с мастерами Workspace ONE см. в краткомруководстве по настройке VMware Workspace ONE.

В эту главу входят следующие темы:

n Настройка интеграции в консоли администрирования AirWatch

n Настройка экземпляра AirWatch в VMware Identity Manager

n Включение каталога Workspace ONE для AirWatch

n Включение проверки соответствия для управляемых устройств AirWatch

n Включение проверки подлинности с помощью пароля пользователя на платформе AirWatch

n Настройка правила политики доступа

n Обновление VMware Identity Manager после обновления AirWatch

Настройка интеграции в консоли администрирования AirWatchДля интеграции со службами VMware Identity Manager настройте следующие параметры в консолиадминистрирования AirWatch.

n Ключ администратора REST API для обмена данными со службой VMware Identity Manager.

n Ключ REST API зарегистрированного пользователя для проверки подлинности с помощьюпароля в AirWatch Cloud Connector, созданного в той же организационной группе, в которойнастроена служба VMware Identity Manager.

n Учетная запись администратора API для VMware Identity Manager и сертификатадминистратора для проверки подлинности, который экспортируется из AirWatch и добавляетсяк параметрам AirWatch в консоли администрирования VMware Identity Manager.

VMware Inc. 12

Создание ключей REST API в AirWatchДля интеграции VMware Identity Manager с AirWatch в консоли администрирования должен бытьвключен доступ через API-интерфейс для администратора REST и доступ для зарегистрированныхпользователей. При включении доступа API создается ключ API.

Процедура

1. В консоли администрирования AirWatch выберите Global (Глобальный), а затем щелкнитегруппу организации на уровне заказчика и выберите Группы и настройки > Все настройки >Система > Дополнительно > API > REST API.

2. На вкладке General (Общие) нажмите кнопку Добавить, чтобы создать ключ API, который будетиспользоваться в службе VMware Identity Manager. Учетная запись должна принадлежать к типу«Администратор».

Введите уникальное имя службы. Добавьте описание, например AirWatchAPI для IDM.

3. Чтобы создать ключ API для зарегистрированного пользователя, нажмите кнопку Добавить.

4. В раскрывающемся меню «Тип учетной записи» выберите Пользователь регистрации.

Введите уникальное имя службы. Добавьте описание, например UserAPI для IDM.

5. Скопируйте ключи API и сохраните их в файл.

Их нужно будет указать при настройке AirWatch в консоли администрированияVMware Identity Manager.

6. Нажмите кнопку Сохранить.

Экспорт корневого сертификата администратора VMware AirWatchПосле создания ключа API для администратора можно добавить учетную запись администратора инастроить проверку подлинности сертификата в консоли администрирования AirWatch.


VMware Inc. 13

Для проверки подлинности с помощью сертификатов REST API в консоли администрированияAirWatch создается сертификат уровня пользователя. При этом используется самозаверяющийсертификат AirWatch, созданный на основе корневого сертификата администратора AirWatch.

Необходимые условия

Создан ключ API администратора AirWatch REST.

Процедура

1. В консоли администрирования AirWatch выберите Global (Глобальный), а затем щелкнитегруппу организации на уровне заказчика и выберите Учетные записи > Администраторы >Список.

2. Щелкните Добавить > Добавить админа.

3. На вкладке «Базовый» введите в соответствующих текстовых полях имя пользователяадминистратора сертификата и его пароль.

4. Перейдите на вкладку «Роли», выберите текущую организационную группу, щелкните второетекстовое поле и выберите Администратор AirWatch.

5. Выберите вкладку API, а затем в текстовом поле «Аутентификация» выберите Сертификаты.

6. Введите пароль сертификата. Это тот же пароль, который введен для администратора навкладке «Базовый».


VMware Inc. 14


В результате будет создана новая учетная запись администратора и сертификат клиента.

8. На странице «Список» выберите созданного администратора и откройте вкладку «API» снова.

На странице сертификаты отображаются сведения о сертификате.

9. Введите пароль, заданный в текстовом поле «Пароль сертификата», щелкнитеЭкспортировать клиентские сертификаты и сохраните файл.

Сертификат клиента сохраняется в виде файла типа P12.

Следующие шаги

Настройте параметры URL-адреса AirWatch в консоли администрированияVMware Identity Manager.

Настройка экземпляра AirWatch в VMware Identity ManagerПосле настройки параметров в консоли администрирования AirWatch введите URL-адрес AirWatch,значения ключей API и сертификат на странице «Управление учетными данными и доступом» вконсоли администрирования VMware Identity Manager После настройки параметров AirWatch можновключить параметры, доступные для Workspace ONE.

Добавление параметров AirWatch в консоли администрированияVMware Identity ManagerНастройте параметры AirWatch в консоли администрирования VMware Identity Manager дляинтеграции AirWatch с VMware Identity Manager.

Чтобы упростить регистрацию устройства в AirWatch, можно связать домены, настроенные вVMware Identity Manager, с отдельными группами организации в AirWatch. См. сведения осопоставлении доменов VMware Identity Manager с несколькими организационными группами.


n URL-адрес сервера AirWatch, который использует администратор, чтобы войти в консольадминистрирования AirWatch.


VMware Inc. 15

n Ключ API-интерфейса администратора AirWatch, который используется для выполнениязапросов API от VMware Identity Manager к серверу AirWatch для настройки интеграции.

n Файл сертификата AirWatch, используемый для выполнения вызовов API-интерфейса, и парольсертификата. У файла сертификата должен быть формат P12.

n Ключ API-интерфейса зарегистрированного пользователя AirWatch.

n Идентификатор группы AirWatch для арендатора, который является идентификаторомарендатора в AirWatch.

Процедура

1. В консоли администрирования VMware Identity Manager на вкладке «Управление учетнымиданными и доступом» щелкните Настроить > AirWatch.

2. Введите параметры интеграции AirWatch в следующих полях.

Поле Описание

URL-адрес API-интерфейса AirWatch Введите URL-адрес AirWatch. Например, https://myco.airwatch.com.

Сертификат API-интерфейсаAirWatch

Передайте файл сертификата, используемый для выполнения вызовов API-интерфейса.

Пароль сертификата Введите пароль сертификата.

Ключ API-интерфейсаадминистратора AirWatch

Введите значение ключа API-интерфейса администратора. Пример значенияключа API-интерфейса: FPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc+jveeYs=

Ключ API-интерфейсазарегистрированного пользователяAirWatch

Введите значение ключа API-интерфейса зарегистрированногопользователя.

Идентификатор группы AirWatch. Введите идентификатор группы AirWatch для группы организации, в которойсозданы ключ API-интерфейса и учетная запись администратора.

3. Установите флажок Сопоставьте домен с несколькими организационными группами,

чтобы сопоставить домены с несколькими организационными группами.

а) В раскрывающемся меню выберите домен для сопоставления, а в текстовых полях введитеидентификатор организационной группы и ключ API администратора для этой группы.

б) Нажмите +, чтобы сопоставить с доменом дополнительные группы организации.

в) Чтобы сопоставить другой домен, щелкните + рядом с раскрывающимся меню.


VMware Inc. 16



n Включите параметр функции единого каталога, чтобы объединить приложения, установленныев каталоге AirWatch, с единым каталогом.

n Для проверки соответствия управляемых устройств политикам AirWatch включите проверкусоответствия.

Сопоставление доменов VMware Identity Manager с несколькимигруппами организации в AirWatchПри настройке пользователей и устройств в AirWatch для группировки пользователей и настройкиразрешений используются организационные группы. При интеграции AirWatch сVMware Identity Manager ключи REST API администратора и регистрирующегося пользователяможно настроить только в организационной группе AirWatch типа «Заказчик».

В средах AirWatch с настроенной поддержкой нескольких арендаторов для пользователей иустройств создается несколько организационных групп. Устройства регистрируются ворганизационных группах. В среде с поддержкой нескольких арендаторов организационные группыможно настроить в уникальных конфигурациях, например организационные группы по отдельнымгеографическим регионам, отделам или примерам использования.


VMware Inc. 17

Для управления регистрацией устройства в Workspace ONE можно связать домены, настроенные вVMware Identity Manager, с отдельными организационными группами в AirWatch. При входепользователя в Workspace ONE в VMware Identity Manager активируется событие регистрацииустройства. Во время регистрации устройства в AirWatch отправляется запрос на получение любыхприложений, которые может использовать определенный пользователь на конкретном устройстве.

При интеграции AirWatch с VMware Identity Manager следует идентифицировать организационныегруппы устройств, чтобы диспетчер удостоверений смог найти пользователя и успешнозарегистрировать устройство в соответствующей организационной группе.

Настраивая параметры AirWatch в службе VMware Identity Manager, можно ввести идентификаторыи ключи API организационной группы устройства для сопоставления нескольких организационныхгрупп с доменом. Когда пользователь входит в Workspace ONE со своего устройства, выполняетсяпроверка записи об этом пользователе и регистрация устройства в соответствующейорганизационной группе в AirWatch.

Дополнительные сведения о настройке нескольких организационных групп см. в разделе Стратегииразвертывания для настройки нескольких организационных групп AirWatch.

Примечание. При интеграции AirWatch с VMware Identity Manager и настройке несколькихорганизационных групп AirWatch невозможно настроить параметр глобального каталогаActive Directory для использования со службой VMware Identity Manager.

Включение каталога Workspace ONE для AirWatchПри настройке VMware Identity Manager с экземпляром AirWatch можно включить каталогWorkspace ONE. На портале Workspace ONE пользователи могут видеть все приложения, надоступ к которым у них есть права.

Процедура

1. В консоли администрирования на вкладке «Управление учетными данными и доступом»щелкните Настройка > Параметры.

2. В разделе «Единый каталог» на этой странице выберите Включить.



Пользователей AirWatch следует уведомить о том, как можно получить доступ к единому каталогу ипросматривать приложения на портале Workspace ONE.


VMware Inc. 18

Включение проверки соответствия для управляемых устройствAirWatchКогда пользователи регистрируют устройства, устанавливается расписание, по которомуотправляются образцы данных, используемые для оценки соответствия нормативнымтребованиям. Оценка этого образца данных гарантирует, что устройство соответствует правиламсоответствия, установленным администратором в консоли AirWatch. Если устройство несоответствует нормативным требованиям, будут предприниматься соответствующие действия,настроенные в консоли AirWatch.

В службе VMware Identity Manager предусмотрен параметр политики доступа, который можнонастроить для проверки на сервере AirWatch состояния соответствия устройства, когдапользователи входят в систему с такого устройства. Проверка соответствия гарантирует, чтопользователям, устройство которых не соответствует нормативным требованиям, запрещаетсявход в приложение или использование единого входа на портал Workspace ONE. Когда устройствоснова будет соответствовать нормативным требованиям, возможность войти будет восстановлена.

Если устройство скомпрометировано, приложение Workspace ONE автоматически выполняетвыход из системы и блокирует доступ к приложениям. Если устройство зарегистрировано спомощью адаптивного управления, через консоль AirWatch будет отправлена команда котключению устройства и удалению с устройства всех управляемых приложений. Неуправляемыеприложения не будут удалены.

Дополнительные сведения о политиках соответствия AirWatch см. в руководствеAirWatch Mobile Device Management на веб-сайте AirWatch Resources.

Включение проверки подлинности с помощью пароля пользователяна платформе AirWatchЧтобы внедрить проверку подлинности с помощью AirWatch Cloud Connector, необходимо включитьпроверку подлинности на основе пароля с использованием AirWatch.


n Настройка AirWatch в VMware Identity Manager.

n Установка и активация AirWatch Cloud Connector.

n Интеграция служб каталогов AirWatch с Active Directory.

Процедура

1. В консоли администрирования на вкладке «Управление учетными данными и доступом»щелкните Настройка > AirWatch.

2. В разделе «Проверка подлинности с помощью пароля пользователя на платформе AirWatch»щелкните Включить.



VMware Inc. 19


Для получения дополнительных сведений об использовании проверки подлинностиAirWatch Cloud Connector см. Глава 3 Проверка подлинности с помощью AirWatch Cloud Connector.

Настройка правила политики доступаЧтобы обеспечить безопасный доступ к порталу с пользовательскими приложениямиWorkspace ONE для запуска веб-приложений и настольных приложений, необходимо настроитьполитики доступа. Политики доступа включают правила, определяющие условия, которыепользователи должны выполнить для входа и получения доступа к ресурсам.

Чтобы выбрать настроенные методы проверки подлинности, необходимо изменить правилаполитики по умолчанию. Правила политики настраиваются для выполнения ряда действий, в томчисле блокирования пользователей, предоставления им разрешения или проверки подлинности, наоснове следующих условий: сеть, тип устройства, регистрация устройства в AirWatch исоответствие требованиям или приложение, к которому необходимо получить доступ. Чтобыуправлять проверкой подлинности в каждой группе, эти группы нужно добавить в политику.

Если проверка соответствия включена, создайте правило политики доступа, которое требуетпроверки подлинности и проверки соответствия для устройств, управляемых AirWatch.

Правило политики проверки соответствия работает вместе с системой единого входа длямобильных устройств с iOS, единого входа для мобильных устройствах с Android иразвертыванием сертификатов в облачной среде. В конфигурации правила политики используемыйметод проверки подлинности должен предшествовать параметру соответствия для устройства.


Методы проверки подлинности настроены и связаны со встроенным поставщиком данных.

Проверка соответствия включена на странице AirWatch в VMware Identity Manager.

Процедура

1. На вкладке «Управление учетными данными и доступом» выберите Управление > Политики.

2. Выберите политику доступа, которую необходимо изменить.

3. В разделе «Правила политики» выберите правило политики, которое нужно изменить.

4. В раскрывающемся меню в этом случае пользователю необходимо выполнить проверкуподлинности, используя следующий метод щелкните+ и выберите метод проверкиподлинности.

5. Во втором раскрывающемся меню в этом случае пользователю необходимо выполнитьпроверку подлинности, используя следующий метод выберите пункт Совместимостьустройств (с AirWatch).


VMware Inc. 20

6. (Необязательно.) В текстовом поле Текст сообщения в разделе «Настраиваемое сообщениеоб ошибке» создайте настраиваемое сообщение, которое отображается при сбое проверкиподлинности пользователя из-за несоответствия устройства. В текстовом поле Ссылка длянастраиваемого сообщения об ошибке можно добавить ссылку в сообщении.


Обновление VMware Identity Manager после обновленияAirWatchПри обновлении AirWatch до новой версии необходимо обновить параметры единого каталога ипроверки подлинности пользователя с помощью пароля, используя страницу конфигурацииAirWatch в консоли администрирования VMware Identity Manager.

При сохранении значений этих параметров после обновления AirWatch до новой версии параметрыAirWatch в службе VMware Identity Manager обновляются соответствующим образом.

Процедура

1. Обновив AirWatch, войдите в консоль администрирования VMware Identity Manager.

2. На вкладке «Управление учетными данными и доступом» щелкните Настройка > AirWatch.

3. Прокрутите страницу вниз до раздела Единый каталог и нажмите кнопку Сохранить

4. Прокрутите страницу вниз до раздела Проверка подлинности с помощью пароляпользователя на платформе AirWatch и нажмите кнопку Сохранить.

Конфигурация AirWatch обновляется до новой версии в службе VMware Identity Manager.


VMware Inc. 21

Проверка подлинности с помощьюAirWatch Cloud Connector 3Компонент AirWatch Cloud Connector (ACC) решения VMware Enterprise Systems Connectorинтегрирован с VMware Identity Manager для проверки подлинности пользователя с помощьюпароля в Workspace ONE.

Примечание. Компонент ACC устанавливается и настраивается в AirWatch. Сведения о том, какустановить и настроить AirWatch Cloud Connector, см. в руководстве по установке и настройкеVMware Enterprise Systems Connector. После установки настройки ACC необходимо интегрироватьслужбы каталогов AirWatch с Active Directory. Сведения о включении служб каталогов см. вруководстве по использованию служб каталогов VMware AirWatch.

Чтобы внедрить проверку подлинности с помощью AirWatch Cloud Connector для Workspace ONE,свяжите метод проверки подлинности с помощью пароля (AirWatch Connector) со встроеннымпоставщиком удостоверений в консоли администрирования VMware Identity Manager.

Вы можете включить поддержку моментальной регистрации в AirWatch, чтобы добавлять в каталогVMware Identity Manager новых пользователей при их первом входе в систему. При этомпользователю не приходится ждать следующей запланированной синхронизации данных с сервераAirWatch для доступа к Workspace ONE. Новые пользователи могут просто войти на порталWorkspace ONE с устройства iOS или Android либо настольного компьютера, используя имяпользователя и пароль Active Directory. Служба VMware Identity Manager проверяет подлинностьучетных данных Active Directory с помощью AirWatch Cloud Connector и добавляет профильпользователя в каталог.

Связав методы проверки подлинности во встроенном поставщике удостоверений, необходимосоздать политики доступа, которые будут применяться к методу проверки подлинности.

Примечание. Имя пользователя и проверка подлинности пароля интегрируются в средуAirWatch Cloud Connector. Для поверки подлинности пользователей другими методами, которыеподдерживает VMware Identity Manager, нужно настроить соединитель VMware Identity Manager.


n Управление сопоставлением атрибутов пользователя

n Синхронизация пользователей и групп каталога AirWatch с каталогом VMware Identity

n Управление конфигурацией проверки подлинности с помощью пароля для AirWatch

VMware Inc. 22

n Настройка встроенных поставщиков удостоверений

Управление сопоставлением атрибутов пользователяМежду каталогом AirWatch и каталогом VMware Identity Manager можно настроить сопоставлениеатрибутов пользователей.

На странице «Атрибуты пользователя» в VMware Identity Manager на вкладке «Управлениеучетными данными и доступом» будут перечислены атрибуты по умолчанию для каталога, которыйотмечен для атрибутов каталога AirWatch. Обязательные атрибуты отмечены звездочкой.Пользователи, у которых отсутствует какой-либо обязательный атрибут в профиле, несинхронизируются со службой VMware Identity Manager.

Таблица 3‑1. Сопоставление с атрибутами AirWatch по умолчанию

Имя атрибута пользователя VMware Identity ManagerСопоставление по умолчанию с атрибутом пользователяAirWatch

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeID employeeID

domain Домен

отключено (внешний пользователь отключен) отключен

phone telephoneNumber

lastName lastname*

firstName firstname*

email Эл. почта*

userName username*

Синхронизация пользователей и групп каталога AirWatch скаталогом VMware IdentityНастройте параметры VMware Identity Manager в консоли администрирования AirWatch, чтобыустановить связь между экземпляром организационной группы каталога AirWatch иVMware Identity Manager Это соединение используется для синхронизации пользователей и групп вкаталоге, созданном в службе VMware Identity Manager.

Данные пользователей и групп можно изначально синхронизировать с каталогомVMware Identity Manager вручную. Синхронизация пользователей и групп с каталогомVMware Identity Manager выполняется в соответствии с расписанием синхронизации AirWatch.

При добавлении или удалении пользователя или группы на сервере AirWatch соответствующиеизменения немедленно отражаются в службе VMware Identity Manager.


n Имя и пароль локального администратора VMware Identity Manager.


VMware Inc. 23

n Определите значения атрибутов для сопоставления из каталога AirWatch. См. раздел Управление сопоставлением атрибутов пользователя.

Процедура

1. В консоли администрирования AirWatch в разделе «Группы и параметры» на странице «Всепараметры» выберите «Глобальные», а затем укажите группу организации на уровне заказчикаи щелкните Система > Интеграция предприятия > VMware Identity Manager.

2. В разделе «Сервер» щелкните Настройка.

Примечание. Кнопка настройки доступна, только если служба каталога настроена для той жегруппы организации. Если кнопка «Настроить» не отображается, при входе была выбрананеправильная группа организации. Группу организации можно изменить в раскрывающемсяменю Global (Глобальные).

3. Введите параметры VMware Identity Manager.

Параметр Описание

URL-адрес Введите URL-адрес арендатора VMware. Например,https://myco.identitymanager.com.

Имя пользователя администратора Введите имя пользователя локального администратораVMware Identity Manager.

Пароль администратора Введите пароль локального администратора VMware Identity Manager.

4. Нажмите кнопку Далее.

5. Включите настраиваемое сопоставление, чтобы настроить сопоставление атрибутовпользователей AirWatch со службой VMware Identity Manager.

6. Чтобы проверить, правильно ли настроены параметры, щелкните Проверить подключение.

7. Чтобы вручную синхронизировать данные всех пользователей и групп со службойVMware Identity Manager, щелкните Синхр. сейчас.

Примечание. Синхронизацию вручную можно выполнить только через четыре часа послепредыдущей синхронизации. Это необходимо, чтобы контролировать системную нагрузку.

Каталог AirWatch создается в службе VMware Identity Manager, а пользователи и группысинхронизируются с каталогом в VMware Identity Manager.


Проверьте, синхронизированы ли имена пользователей и групп, на вкладке «Пользователи игруппы» в консоли администрирования VMware Identity Manager.


VMware Inc. 24

Управление конфигурацией проверки подлинности с помощьюпароля для AirWatchВы можете просматривать и управлять конфигурациями пароля (AirWatch Connector), которыебыли выполнены при установке AirWatch и добавлены к службе VMware Identity Manager.

Метод проверки подлинности с помощью пароля (AirWatch Connector) настраивается на странице«Управление учетными данными и доступом» > «Методы проверки подлинности». Он связан совстроенным поставщиком удостоверений на странице «Поставщики удостоверений».

Важно. Если программное обеспечение AirWatch Cloud Connector обновлено, также обновитеконфигурацию AirWatch на соответствующей странице в консоли администрированияVMware Identity Manager.

Процедура

1. Чтобы просматривать конфигурацию и управлять ею, в консоли администрирования на вкладке«Управление учетными данными и доступом» выберите Методы проверки подлинности.

2. В разделе Пароль (AirWatch Connector) в столбце «Настроить» щелкните значок карандаша.

3. Просмотрите конфигурацию.


Включить проверку подлинности спомощью пароля AirWatch

Этот флажок позволяет выполнять проверку подлинности AirWatch спомощью пароля.

URL-адрес консолиадминистрирования AirWatch

Заполняется автоматически URL-адресом AirWatch.

Ключ API-интерфейса AirWatch Заполняется автоматически значением ключ API-интерфейсаадминистратора AirWatch.

Сертификат, используемый дляпроверки подлинности

Заполняется автоматически сертификатом AirWatch Cloud Connector

Пароль для сертификата Заполняется автоматически паролем для сертификатаAirWatch Cloud Connector.

Идентификатор группы AirWatch Заполняется автоматически организацией группы ID.

Разрешенное количество попытокпроверки подлинности

Введите максимально допустимое число неудачных попыток входа всистему при использовании проверки подлинности с помощью пароля вAirWatch. После достижения этого числа вход с помощью этого методаблокируется. Служба VMware Identity Manager попытается использоватьрезервный метод проверки подлинности, если он настроен. По умолчаниюдается пять попыток.

JIT включена Если JIT не включено, установите этот флажок, чтобы динамическивключать моментальную регистрацию пользователей в службеVMware Identity Manager при первом входе.



VMware Inc. 25

Настройка встроенных поставщиков удостоверенийМожно настроить несколько встроенных поставщиков удостоверений и связать с ними методыпроверки подлинности, которые были настроены на странице «Управление учетными данными идоступом» > «Методы проверки подлинности».

Процедура

1. На вкладке «Управление учетными данными и доступом» выберите Управление >Поставщики удостоверений.

2. Щелкните Добавить поставщика удостоверений и выберите Создать встроенногопоставщика удостоверений.


Имя поставщика удостоверений Введите имя этого экземпляра встроенного поставщика удостоверений.

Пользователи Выберите пользователей, для которых необходимо выполнить проверкуподлинности. Отобразится список настроенных каталогов.

Сеть Перечисляются существующие сетевые диапазоны, настроенные в службе.Выберите диапазоны сетевых адресов для пользователей на основе IP-адресов, трафик с которых необходимо направлять в этот экземплярпоставщика удостоверений для проверки подлинности.

Способы проверки подлинности Отобразятся методы проверки подлинности, которые настроены в службе.Установите флажок для методов проверки подлинности, которыенеобходимо связать со встроенным поставщиком удостоверений.

Включите соответствующий параметр на странице конфигурации AirWatch,чтобы активировать параметры «Совместимость устройств (с AirWatch)» и«Пароль (AirWatch Connector)».

3. Нажмите кнопку Добавить.


Настройте правило политики доступа по умолчанию, чтобы добавить политику проверкиподлинности в правило. См. Настройка правила политики доступа.


VMware Inc. 26

Внедрение проверки подлинности спомощью единого входа длямобильных устройств с iOS подуправлением AirWatch 4Чтобы проверить подлинность на устройствах с iOS, в VMware Identity Manager используетсяпоставщик удостоверений, встроенный в службу VMware Identity Manager, который обеспечиваетдоступ к механизму проверки подлинности с помощью системы единого входа на мобильныхустройствах.

Для проверки подлинности на устройствах с iOS с помощью этого метода используется центрраспространения ключей (Key Distribution Center, KDC) без применения соединителя или системдругих производителей. Проверка подлинности с помощью Kerberos предоставляет пользователям,которые успешно вошли в свой домен, возможность получать доступ к порталу приложенийWorkspace ONE, не получая дополнительные запросы на ввод учетных данных.

В эту главу входят следующие темы:n Обзор внедрения для настройки единого входа на мобильных устройствах с iOS

n Настройка центра сертификации Active Directory в AirWatch

n Использование центра сертификации AirWatch для проверки подлинности Kerberos

n Использование центра распространения ключей для выполнения проверки подлинности наустройствах с iOS

n Настройка проверки подлинности с помощью единого входа для мобильных устройств с iOS

n Настройка встроенного поставщика удостоверений для проверки подлинности на мобильныхустройствах с iOS с помощью единого входа

n Настройка профиля Apple iOS в AirWatch с помощью центра сертификации Active Directory ишаблона сертификата

n Настройка профиля Apple iOS в AirWatch с помощью центра сертификации AirWatch

n Назначение профиля устройства AirWatch

VMware Inc. 27

Обзор внедрения для настройки единого входа на мобильныхустройствах с iOSЧтобы внедрить проверку подлинности с помощью единого входа на мобильных устройствах iOS 9или более поздних версий под управлением AirWatch, необходимо выполнить следующиедействия.

n Загрузите сертификат издателя, чтобы настроить систему единого входа для мобильныхустройств с iOS.

n Если используется служба сертификации Active Directory, настройте шаблон центрасертификации для распространения сертификатов Kerberos в службах сертификацииActive Directory. Затем настройте AirWatch, чтобы использовать центр сертификацииActive Directory. Добавьте шаблон сертификата в консоли администрирования AirWatch.Скачайте сертификат издателя, чтобы настроить систему единого входа для мобильныхустройств с iOS.

n Если вы используете центр сертификации AirWatch, включите сертификаты на странице«Интеграции» в VMware Identity Manager. Скачайте сертификат издателя, чтобы настроитьсистему единого входа для мобильных устройств с iOS.

n Подключитесь к необходимому центру распространения ключей (KDC).

n Настройте профиль устройства с iOS и включите единый вход в консоли администрированияAirWatch.

n Настройте метод проверки подлинности единого входа для мобильных устройств с iOS.

n Настройте встроенный поставщик удостоверений и выполните привязку системы единого входадля проверки подлинности на мобильных устройствах с iOS в консоли администрированияVMware Identity Manager.

Настройка центра сертификации Active Directory в AirWatchЧтобы настроить проверку подлинности при входе на мобильные устройства iOS 9 подуправлением AirWatch, можно установить доверительные отношения между Active Directory иAirWatch и включить систему единого входа на мобильных устройствах для проверки подлинностив iOS в VMware Identity Manager.

Настроив центр сертификации и шаблон сертификата для распространения сертификатовKerberos в службах сертификации Active Directory, нужно разрешить AirWatch запрашиватьсертификат, использованный для проверки подлинности, и добавить центр сертификации вконсоль администрирования AirWatch.

Процедура

1. В главном меню консоли администрирования AirWatch выберите Устройства > Сертификаты> Центры сертификации.



VMware Inc. 28

3. На странице центра сертификации настройте следующее.

Примечание. Прежде чем начать заполнять эту форму, убедитесь, что в качестве типа центрасертификации выбран Microsoft AD CS.


Имя Введите имя нового центра сертификации.

Тип центра сертификации Убедись, что выбран тип Microsoft AD CS.

Протокол В качестве протокола выберите ADCS.

Имя узла сервера Введите URL-адрес этого сервера. Введите имя узла в форматеhttps://{servername.com}/certsrv.adcs/. Тип транспорта сайта взависимости от настроек: http или https. URL-адрес должен заканчиваться /.

Примечание. Если при тестировании URL-адреса подключиться неудается, удалите http:// или https:// из строки адреса и проверьтеподключение еще раз.

Имя центра сертификации Введите имя центра сертификации, к которому подключено конечноеустройство AD CS. Это имя можно найти, запустив приложение центрасертификации на сервере центра сертификации.

Проверка подлинности Убедись, что выбран тип Служебный аккаунт.

Имя пользователя и пароль Введите имя пользователя и пароль учетной записи администратора AD CSс соответствующими правами доступа, чтобы разрешить AirWatchзапрашивать и выдавать сертификаты.



Настройте шаблон сертификата в AirWatch.

Настройка AirWatch для использования центра сертификацииActive DirectoryШаблон центра сертификации для распространения сертификатов Kerberos должен быть настроеннадлежащим образом. В службах сертификации Active Directory (AD CS) можно дублироватьсуществующий шаблон проверки подлинности Kerberos для настройки нового шаблона центрасертификации для проверки подлинности iOS с использованием Kerberos.

При копировании шаблона проверки подлинности Kerberos из AD CS в диалоговом окне «Свойстванового шаблона» необходимо настроить следующие сведения.


VMware Inc. 29

Рисунок 4‑1. Диалоговое окно «Свойства нового шаблона» служб сертификации Active Directory

n Вкладка Общие. Введите отображаемое имя и имя шаблона. Например, iOSKerberos. Это имя,которое отображается в оснастке шаблонов сертификатов и центра сертификации.

n Вкладка Обработка запроса. Включите параметр Разрешить экспортировать закрытыйключ.

n Вкладка Имя субъекта. Установите переключатель Предоставляется в запросе. Имясубъекта предоставляет AirWatch при запросе сертификата.

n Вкладка Расширения. Определите политики приложений.

n Выберите политики приложений и нажмите кнопку «Изменить», чтобы добавить новуюполитику приложений. Присвойте этой политике имя «Клиентская проверка подлинностиKerberos».

n Добавьте такой идентификатор объекта (OID): 1.3.6.1.5.2.3.4. Не изменяйте его.

n В списке «Описание политик приложений» удалите все политики, кроме политики«Клиентская проверка подлинности Kerberos» и «Проверка подлинности с помощью смарт-карты».

n Вкладка Безопасность. Добавьте учетную запись AirWatch в список пользователей, которыемогут использовать сертификат. Установите разрешения для учетной записи. Установитепараметр «Полное управление», чтобы позволить субъекту безопасности изменять всеатрибуты шаблона сертификата, в том числе разрешения для шаблона сертификата. Впротивном случае установите разрешения в соответствии с требованиями организации.

Сохраните изменения. Добавьте шаблон в список шаблонов, используемых центром сертификацииActive Directory.

В AirWatch настройте центр сертификации и добавьте шаблон сертификата.

Добавление шаблона сертификата в AirWatchПри добавлении шаблона сертификата выполняется привязка к центру сертификации,используемому для создания сертификатов пользователей.


Настройте центр сертификации в AirWatch.


VMware Inc. 30

Процедура

1. В консоли администрирования AirWatch последовательно выберите элементы System(Система) > Enterprise Integration (Интеграция предприятия) > Certificate Authorities(Центры сертификации).

2. Перейдите на вкладку Шаблон запроса и щелкните Добавить.

3. На странице шаблона сертификата настройте следующие параметры.


Имя Введите имя нового шаблона запроса в AirWatch.

Центр сертификации В раскрывающемся меню выберите созданный центр сертификации.

Шаблон издателя Введите точное имя шаблона ЦС Microsoft, созданного в службесертификатов Active Directory. Например, iOSKerberos.

Имя субъекта После CN= введите {EnrollmentUser}, где текстовое поле {} — этозначение подстановки AirWatch. В это поле вводится имя субъекта —получателя сертификата.

Длина закрытого ключа Длина закрытого ключа соответствует параметру шаблона сертификата,используемого службой сертификатов Active Directory. Как правило, онаравняется 2048 символам.

Тип закрытого ключа Установите флажок Signing and Encryption (Подписывание ишифрование).

Тип сети SAN В качестве альтернативного имени субъекта выберите Имя участника-пользователя. Оно должно иметь значение {EnrollmentUser}. Еслипроверка соответствия устройства выполняется с помощью проверкиподлинности Kerberos, необходимо установить второй тип сети SAN длявключения параметра UDID. Выберите DNS в качестве типа сети SAN. Ондолжен иметь значение UDID={DeviceUid}.

Автоматическое обновлениесертификата

Установите этот флажок, чтобы включить автоматическое продлениесертификатов, использующих этот шаблон, перед окончанием срока ихдействия.

Период автоматического обновления(в днях)

Укажите период автоматического продления в днях.

Разрешить отзыв сертификатов Установите этот флажок, чтобы включить автоматический отзывсертификатов в случае отмены регистрации или удаления соответствующихустройств или удаления соответствующего профиля.

Публиковать закрытый ключ Установите этот флажок, чтобы опубликовать закрытый ключ.

Назначение закрытого ключа Служба каталога или настраиваемая веб-служба


VMware Inc. 31



В консоли администрирования поставщика удостоверений настройте для встроенного поставщикаудостоверений единый вход в качестве метода проверки подлинности на мобильных устройствахiOS.

Использование центра сертификации AirWatch для проверкиподлинности KerberosЦентр сертификации AirWatch можно использовать вместо центра сертификации Active Directoryдля единого входа с использованием встроенного механизма проверки подлинности Kerberos намобильных устройствах с iOS 9 под управлением AirWatch. Центр сертификации AirWatch можновключить в консоли администрирования AirWatch. При этом необходимо экспортироватьсертификат издателя ЦС, чтобы использовать их в службе VMware Identity Manager.

Центр сертификации AirWatch рассчитан на использование простого протокола регистрациисертификата (Simple Certificate Enrollment Protocol, SCEP). Он используется для управляемыхустройств AirWatch, которые поддерживают SCEP. При интеграции VMware Identity Manager сAirWatch центр сертификации AirWatch используется для выдачи сертификатов для мобильныхустройств с iOS 9 в составе профиля.

Корневой сертификат издателя, выдаваемый центром сертификации AirWatch, также представляетсобой сертификат подписи OCSP.


VMware Inc. 32

Включение и экспортирование центра сертификации AirWatchКогда VMware Identity Manager включен в AirWatch, можно создать корневой сертификат издателяAirWatch и экспортировать этот сертификат для проверки подлинности на управляемых мобильныхустройствах iOS 9 при использовании единого входа для мобильных устройств (iOS).

Процедура

1. В консоли администрирования AirWatch последовательно щелкните Система > Интеграцияпредприятия > VMware Identity Manager.

2. Чтобы включить центр сертификации AirWatch, у группы организации должен быть типCustomer.

Подсказка. Чтобы просмотреть или изменить тип группы, перейдите к группам и параметрам,а затем щелкните Группы > Организационные группы > Подробности организационныхгрупп.

3. В разделе «СЕРТИФИКАТ» щелкните Включить.

На странице отобразятся сведения о корневом сертификате издателя.

4. Щелкните Экспорт и сохраните файл.


В консоли администрирования VMware Identity Manager во встроенном поставщике удостоверенийнастройте проверку подлинности Kerberos и добавьте сертификат издателя центра сертификации.

Использование центра распространения ключей для выполненияпроверки подлинности на устройствах с iOSНа устройствах iOS необходимо интегрировать службу с Kerberos. Проверка подлинности спомощью Kerberos позволяет пользователям, которые успешно вошли в свой домен, получатьдоступ к порталу приложений без дополнительных запросов учетных данных. Для проверкиподлинности на устройствах с iOS с помощью этого метода используется центр распространенияключей (Key Distribution Center, KDC) без применения соединителя или систем другихпроизводителей.

Для арендаторов облачной версии VMware Identity Manager не требуется управлять центром KDCили настраивать его.

Для локальных развертываний предусмотрены два варианта службы KDC.

n Встроенный центр KDC. Для встроенного центра KDC необходимо инициализировать KDC наустройстве и создать общедоступные записи DNS, чтобы разрешить клиентам Kerberosвыполнять поиск центра KDC. Дополнительные сведения о включении встроенного центра KDCсм. в руководстве по администрированию VMware Identity Manager.


VMware Inc. 33

n Центр KDC как размещенная в облаке служба VMware Identity Manager. При использованииKDC в облаке необходимо выбрать соответствующее имя области на странице адаптерапроверки подлинности iOS.

Примечание. При установке и настройке VMware Identity Manager с помощью AirWatch в средеWindows для использования облачной службы KDC VMware Identity Manager необходимо настроитьметод проверки подлинности с использованием единого входа для мобильных устройств с iOS.

Использование облачной службы KDCРешение VMware Identity Manager предоставляет облачную службу KDC для проверки подлинностиKerberos при выполнении единого входа с мобильных устройств iOS.

Службу KDC, размещенную в облаке, необходимо использовать при развертывании службыVMware Identity Manager в среде Windows с помощью AirWatch.

Сведения о работе со службой KDC, управляемой на устройстве VMware Identity Manager, см. вразделе «Подготовка к использованию проверки подлинности Kerberos на устройствах с ОС iOS» вруководстве по установке и настройке VMware Identity Manager.

В процессе настройки единого входа с мобильных устройств iOS выполняется настройка имениобласти для облачной службы KDC. Область — это имя административной единицы, в которойхранятся данные проверки подлинности. При выборе команды «Сохранить» служба VMwareIdentity Manager будет зарегистрирована в облачной службе KDC. Данные, хранимые в службеKDC, зависят от конфигурации способа проверки подлинности при выполнении единого входа смобильных устройств iOS, включая сертификат ЦС, сертификат подписи OCSP и данныеконфигурации запроса OCSP. В облачной службе не хранятся никакие другие данные опользователе.

Записи журнала хранятся в облачной службе. Персональные данные в записях журнала включаютимя участника Kerberos, указанное в профиле пользователя, значения различающегося имени,основного имени пользователя и альтернативного имени для адреса электронной почты субъекта,идентификатор устройства, указанный в пользовательском сертификате, а также полное доменноеимя службы IDM, к которой пользователь осуществляет доступ.

Для работы со службой KDC, размещенной в облаке, необходимо настроить VMware IdentityManager следующим образом.

n Полное доменное имя службы VMware Identity Manager должно быть доступно по сетиИнтернет. Сертификат SSL/TLS, который используется VMware Identity Manager, должен иметьпубличную подпись.

n Служба VMware Identity Manager должна иметь доступ к порту 88 исходящего запроса/отклика ипорту 443 (HTTPS/TCP).

n Если включен OCSP, то ответчик OCSP должен быть доступен по сети Интернет.


VMware Inc. 34

Настройка проверки подлинности с помощью единого входа длямобильных устройств с iOSНа странице «Методы проверки подлинности» в консоли администрирования настройте методпроверки подлинности для единого входа для мобильных устройств (iOS). Выберите методпроверки подлинности «Единый вход для мобильных устройств (iOS)» для использования вовстроенном поставщике удостоверений.


n Для выдачи сертификатов пользователям в арендаторе AirWatch используется файл PEM илиDER центра сертификации.

n Есть сертификат подписи ответчика OCSP для проверки отзыва.

n Для службы KDC выберите соответствующее имя области службы. Если используетсявстроенная служба KDC, центр нужно инициализировать. Дополнительные сведения овстроенной службе KDC см. в разделе «Установка и настройка VMware Identity Manager».

Процедура

1. На вкладке «Управление учетными данными и доступом» выберите Управление > Методыпроверки подлинности.

2. В методе Единый вход для мобильных устройств (iOS) в столбце «Настроить» щелкнитезначок.

3. Настройте метод проверки подлинности Kerberos.


Включить проверку подлинностицентра распространения ключей

Установите этот флажок, чтобы разрешить пользователям входить в системус помощью устройств с iOS, поддерживающих проверку подлинностиKerberos.

Область Если используется облачная служба KDC, введите поддерживаемое имяобласти, предварительно назначенное для вас. Это имя вводится полностьюзаглавными буквами, например OP.VMWAREIDENTITY.COM.

Если используется встроенная служба KDC, отображается имя области,настроенное вами при запуске KDC.

Значение имени области доступно только для чтения. Вводимое значение —это имя области Identity Manager для вашего арендатора.

Сертификат корневого ипромежуточного центровсертификации

Передайте файл сертификата для эмитента центра сертификации. Форматфайла может быть PEM или DER.

Загруженные различающиеся именасубъектов сертификата ЦС

Содержимое переданного файла сертификата отображается здесь.Передать можно несколько файлов сертификатов, каждый из которых будетдобавлен в список.

Включить OCSP Установите флажок, чтобы использовать протокол проверки состояниясертификатов (OCSP) и получить статус отзыва сертификата.

Отправить специальный параметрOCSP

Установите флажок, чтобы отправлять в ответе уникальный идентификаторзапроса OCSP.


VMware Inc. 35


Сертификат подписи ответчикаOCSP

Передайте сертификат OCSP для ответчика.

При использовании центра сертификации AirWatch в качестве сертификатаOCSP используется сертификат эмитента. На этом этапе также следуетпередать сертификат AirWatch.

Различаемое имя субъектасертификата подписи ответчикаOCSP

Здесь указывается переданный файл сертификата OCSP.

Отменить сообщение Дает возможность создать настраиваемое сообщение, котороеотображается, если проверка подлинности при входе занимает слишкоммного времени. Если настраиваемое сообщение не создано, используетсясообщение по умолчанию: Attempting to authenticate yourcredentials.

Активировать ссылку отмены Дает пользователям возможность щелкнуть ссылку «Отмена», чтобыпрекратить попытку проверки подлинности и отменить вход, если проверкаподлинности занимает слишком много времени.

Если ссылка отмены включена, в конце сообщения об ошибке проверкиподлинности отображается ссылка «Отменить».

URL-адрес сервера управленияустройствами предприятия

Введите URL-адрес сервера Mobile Device Management (MDM) дляперенаправления пользователей, если доступ запрещен из-за того, чтоустройство не зарегистрировано в AirWatch для управления MDM. Этот URL-адрес отображается в сообщении об ошибке проверки подлинности. Если неввести URL-адрес здесь, отобразится универсальное сообщение об отказе вдоступе.



n Свяжите метод проверки подлинности «Единый вход для мобильных устройств (iOS)» вовстроенном поставщике удостоверений.

n Настройте правило политики доступа по умолчанию для проверки подлинности Kerberos наустройствах с iOS. Убедитесь, что этот метод проверки подлинности указан в правиле первым.

n Перейдите в консоль администрирования AirWatch, настройте профиль устройства с iOS вAirWatch и добавьте сертификат эмитента для сертификата сервера KDC изVMware Identity Manager.

Настройка встроенного поставщика удостоверений для проверкиподлинности на мобильных устройствах с iOS с помощью единоговходаПри необходимости можно настроить встроенный поставщик удостоверений и связать с ним методпроверки подлинности «Единый вход для мобильных устройств (iOS)», параметры которого былизаданы на странице «Управление учетными данными и доступом > Методы проверкиподлинности».


VMware Inc. 36


Проверка подлинности с помощью единого входа для мобильных устройств с iOS настраивается настранице «Методы проверки подлинности».

Процедура

1. На вкладке «Управление учетными данными и доступом» выберите Управление >Поставщики удостоверений.

2. Щелкните Добавить поставщика удостоверений и выберите Создать встроенногопоставщика удостоверений.


Имя поставщика удостоверений Введите имя этого экземпляра встроенного поставщика удостоверений.

Пользователи Выберите пользователей, для которых необходимо выполнить проверкуподлинности. Отобразится список настроенных каталогов.

Сеть Перечисляются существующие сетевые диапазоны, настроенные в службе.Выберите диапазоны сетевых адресов для пользователей на основе IP-адресов, трафик с которых необходимо направлять в этот экземплярпоставщика удостоверений для проверки подлинности.

Способы проверки подлинности Отобразятся методы проверки подлинности, которые настроены в службе.Установите флажок для метода проверки подлинности iOS, которыйнеобходимо связать со встроенным поставщиком удостоверений. Добавьтедругие методы проверки подлинности.

Если используются параметры «Совместимость устройств (с AirWatch)» и«Пароль (AirWatch Connector)», включите соответствующий параметр настранице конфигурации AirWatch.

3. В разделе «Экспортировать сертификат KDC» щелкните Загрузить сертификат. Сохраните

этот сертификат в файле, доступном из консоли администрирования AirWatch.

Этот сертификат передается при настройке профиля устройства iOS в AirWatch.



n Настройте правило политики доступа по умолчанию для проверки подлинности Kerberos наустройствах с iOS. Убедитесь, что этот метод проверки подлинности указан в правиле первым.

n Перейдите в консоль администрирования AirWatch, настройте профиль устройства с iOS вAirWatch и добавьте сертификат эмитента для сертификата сервера KDC изVMware Identity Manager.


VMware Inc. 37

Настройка профиля Apple iOS в AirWatch с помощью центрасертификации Active Directory и шаблона сертификатаЧтобы применить параметры поставщика удостоверений к устройству, создайте и развернитепрофиль устройства Apple iOS в AirWatch. Этот профиль содержит информацию, необходимую дляподключения устройства к поставщику удостоверений VMware и сертификат, который устройствоиспользовало для проверки подлинности. Включите единый вход в систему, чтобы обеспечитьбеспрепятственный доступ без необходимости проверки подлинности в каждом приложении.


n Единый вход для мобильных устройств с iOS настраивается в VMware Identity Manager.

n Файл центра сертификации Kerberos для iOS хранится на компьютере, доступ к которомуможно получить из консоли администрирования AirWatch.

n В AirWatch правильно настроен центр сертификации и шаблон сертификата.

n Список URL-адресов и идентификаторов пакетов приложений, которые используют единыйвход для проверки подлинности на мобильных устройствах с iOS.

Процедура

1. В консоли администрирования AirWatch выберите Устройства > Профили и ресурсы >Профили.

2. Выберите Добавить > Добавить профиль, а затем выберите Apple iOS.

3. Введите имя iOSKerberos и настройте параметры в разделе Общие.

4. В области переходов слева выберите Учетные данные > Настроить, чтобы настроитьучетные данные.


Источник учетных данных Выберите в раскрывающемся меню Определенный центр сертификации.

Центр сертификации Выберите в раскрывающемся меню центр сертификации.

Шаблон сертификата Выберите в раскрывающемся меню шаблон запроса, который ссылается нацентр сертификации. Этот шаблон сертификата создается в дополнение кшаблону сертификата в AirWatch.

5. Щелкните + в правом нижнем углу страницы снова и создайте второй набор учетных данных.

6. В раскрывающемся меню Источник учетных данных выберите Загрузить на сервер.

7. Введите имя учетных данных.

8. Щелкните Загрузить на сервер, чтобы передать корневой сертификат сервера KDC,загруженный на странице «Управление учетными данными и доступом > Управление >Поставщики удостоверений > Встроенный поставщик удостоверений».

9. В области переходов слева выберите Единый вход и нажмите кнопку Настроить.


VMware Inc. 38

10. Введите сведения о подключении.


Имя учетной записи Введите учетные данные Kerberos.

Имя участника Kerberos Щелкните + и выберите{EnrollmentUser}.

Область Введите имя области Identity Manager для своего арендатора. Текст в этомпараметре должен быть написан с заглавной буквы. Для области можновыбрать одно из следующих имен:VMWAREIDENTITY.COM, VMWAREIDENTITY.EUили VMWAREIDENTITY.ASIA.

Введите имя области, которое использовалось при инициализации KDC вустройстве VMware Identity Manager. Например, EXAMPLE.COM.

Сертификат продления В раскрывающемся меню выберите пункт Сертификат № 1. Это сертификатЦС Active Directory, который был настроен первым согласно учетнымданным.

Префиксы URL-адресов Введите соответствующие префиксы URL-адресов, чтобы использовать этуучетную запись для проверки подлинности Kerberos через HTTP.

Введите URL-адрес сервера VMware Identity Manager в следующемформате: https://myco.example.com.

Введите URL-адрес сервера VMware Identity Manager в следующемформате: https://<tenant>.vmwareidentity.<region>.

Приложения Введите список удостоверений приложений, которые разрешеноиспользовать для такого входа. Для выполнения единого входа в систему спомощью Safari (встроенного браузера iOS) введите первый идентификаторпакета приложения в следующем формате: com.apple.mobilesafari. Затемвведите идентификаторы пакетов приложений. Перечисленные приложениядолжны поддерживать проверку подлинности SAML.

11. Щелкните Сохранить и опубликовать.


Назначьте профиль устройства смарт-группе. Смарт-группы — это настраиваемые группы,определяющие устройства, платформы и пользователей, которые могут получить назначенноеприложение, книгу, политику соответствия, профиль устройства или подготовку.

Настройка профиля Apple iOS в AirWatch с помощью центрасертификации AirWatchЧтобы применить параметры поставщика удостоверений к устройству, создайте и развернитепрофиль устройства Apple iOS в AirWatch. Этот профиль содержит информацию, необходимую дляподключения устройства к поставщику удостоверений VMware и сертификат, который устройствоиспользует для проверки подлинности.


n Встроенная система Kerberos, настроенная в VMware Identity Manager.

n Файл корневого сертификата сервера KDC для VMware Identity Manager, хранящийся накомпьютере, который доступен из консоли администрирования AirWatch.


VMware Inc. 39

n Сертификат, включенный и загруженный со страницы «Система > Интеграция предприятий >VMware Identity Manager» в консоли администрирования AirWatch.

n Список URL-адресов и идентификаторов пакетов приложений, которые используют встроенныймодуль проверки подлинности Kerberos на устройствах iOS.

Процедура

1. В консоли администрирования AirWatch выберите Устройства > Профили и ресурсы >Профиль > Добавить профиль Apple iOS.

2. Настройте параметры профиля в разделе Общие и введите имя устройства iOSKerberos.

3. В области переходов слева выберите SCEP > Настроить, чтобы настроить учетные данные.


Источник учетных данных Выберите в раскрывающемся меню Центр сертификации AirWatch.

Центр сертификации Выберите в раскрывающемся меню Центр сертификации AirWatch.

Шаблон сертификата Выберите Единый вход, чтобы задать тип сертификата, выданного центромсертификации AirWatch.

4. Щелкните Учетные данные > Настроить и создайте второй набор учетных данных.

5. В раскрывающемся меню Источник учетных данных выберите Загрузить на сервер.

6. Введите имя учетных данных Kerberos для iOS.

7. Щелкните Загрузить на сервер, чтобы передать корневой сертификат сервера KDC дляVMware Identity Manager, загруженный на странице «Управление учетными данными идоступом > Управление > Поставщики удостоверений > Встроенный поставщикудостоверений».

8. В области переходов слева выберите Единый вход.

9. Введите сведения о подключении.


Имя учетной записи Введите учетные данные Kerberos.

Имя участника Kerberos Щелкните + и выберите{EnrollmentUser}.

Область Введите имя области Identity Manager для своего арендатора. Текст в этомпараметре должен быть написан с заглавной буквы. Для области можновыбрать одно из следующих имен:VMWAREIDENTITY.COM, VMWAREIDENTITY.EUили VMWAREIDENTITY.ASIA.

Введите имя области, которое использовалось при инициализации KDC вустройстве VMware Identity Manager. Например, EXAMPLE.COM.

Сертификат продления На устройствах с iOS 8+ выберите сертификат, используемый дляавтоматической повторной проверки подлинности пользователя без егоучастия по истечении срока действия сеанса единого входа.


VMware Inc. 40


Префиксы URL-адресов Введите соответствующие префиксы URL-адресов, чтобы использовать этуучетную запись для проверки подлинности Kerberos через HTTP.

Введите URL-адрес сервера VMware Identity Manager в форматеhttps://myco.example.com.

Введите URL-адрес сервера VMware Identity Manager в форматеhttps://<арендатор>.vmwareidentity.<область>.

Приложения Введите список удостоверений приложений, которые разрешеноиспользовать для такого входа. Для выполнения единого входа в систему спомощью Safari (встроенного браузера iOS) введите первый идентификаторпакета приложения com.apple.mobilesafari. Затем введитеидентификаторы пакетов приложений. Перечисленные приложения должныподдерживать проверку подлинности SAML.


Когда профиль iOS будет передан на устройства пользователей, они смогут входить вVMware Identity Manager с помощью встроенного механизма проверки подлинности Kerberos безввода учетных данных.


Назначьте профиль устройства смарт-группе. Смарт-группы — это настраиваемые группы,определяющие устройства, платформы и пользователей, которые могут получить назначенноеприложение, книгу, политику соответствия, профиль устройства или подготовку.

Назначение профиля устройства AirWatchСоздав профиль устройства, следует назначить этот профиль смарт-группе.

Смарт-группы — это настраиваемые группы, определяющие устройства, платформы ипользователей, которые могут получить назначенное приложение, политику соответствия, профильустройства или подготовленное решение. Дополнительные сведения см. в руководстве поAirWatch Mobile Device Management.

Процедура

1. В консоли администрирования AirWatch выберите Устройства > Профили иустройстваПрофили.

2. Выберите профиль устройства, который следует назначить смарт-группе.

3. На вкладке «Общие» выберите текстовое поле Назначенные группы и Создать группуназначения.

4. На странице «Создание смарт-группы» введите имя смарт-группы.

5. Щелкните Платформа и операционная система и в раскрывающихся меню выберитесоответствующую операционную систему и версию.



VMware Inc. 41

После назначения смарт-группы устройству пользователи смогут входить в Workspace ONE ииспользовать приложения из каталога.


VMware Inc. 42

Внедрение проверки подлинности спомощью единого входа длямобильных устройств с Android подуправлением AirWatch 5Единый вход для мобильных устройств с Android — это реализация метода проверки подлинностис использованием сертификата для устройств с Android под управлением AirWatch.

Мобильное приложение VMware Tunnel устанавливается на устройстве с Android. В клиентеVMware Tunnel настроен доступ к службе VMware Identity Manager для проверки подлинности.Клиент Tunnel использует сертификат клиента, чтобы установить SSL-сеанс с взаимной проверкойподлинности, а служба VMware Identity Manager запрашивает сертификат клиента для выполненияпроверки подлинности.

Примечание. Проверка подлинности единого входа для мобильных устройств с Androidподдерживается для устройств версии 4.4 и более поздних.

Единый вход для мобильных устройств без VPN-доступаЕсли VPN-доступ необязателен, для мобильных устройств с Android можно настроить проверкуподлинности с помощью единого входа. Это позволит обойти сервер Tunnel. При внедренииединого входа для проверки подлинности на мобильных устройствах с Android без VPN-доступаиспользуются те же страницы настройки, что и при настройке VMware Tunnel. Имя узла сервераVMware Tunnel и порт вводить не нужно, так как сервер Tunnel не устанавливается. Профиль всеравно настраивается с помощью формы профиля VMware Tunnel лишь с тем отличием, что трафикна сервер Tunnel не направляется. Клиент Tunnel используется только для единого входа.

В консоли администрирования AirWatch можно настроить следующие параметры.

n Компонент «Туннелирование на каждое приложение» в VMware Tunnel. В этой конфигурацииустройства с Android могут получать доступ к внутренним и управляемым общедоступнымприложениям с помощью клиента мобильного приложения VMware Tunnel.

n Профиль компонента «Туннелирование на каждое приложение». Этот профиль используетсядля включения возможностей туннелирования отдельно для каждого приложения Android.

n На странице Network Traffic Rules («Правила сетевого трафика»), поскольку сервер Tunnel ненастроен, выберите параметр Bypass («Обход»), потому что трафик к серверу Tunnel ненаправляется.

VMware Inc. 43

Единый вход для мобильных устройств с VPN-доступомЕсли приложение, которое настроено для единого входа, используется для доступа к ресурсаминтрасети, расположенными за брандмауэром, настройте VPN-доступ и настройте сервер Tunnel.Если единый вход настроен с использованием VPN, клиент Tunnel может при необходимостинаправить трафик приложения и запросы на вход через сервер Tunnel. Вместо конфигурации поумолчанию, используемой для клиента Tunnel в консоли в режиме единого входа, этаконфигурация должна направлять на сервер Tunnel.

Чтобы внедрить проверку подлинности с помощью службы единого входа для мобильныхустройств с Android под управлением AirWatch, необходимо настроить VMware Tunnel в консолиадминистрирования AirWatch, а также установить сервер VMware Tunnel перед настройкой единоговхода для мобильных устройств с Android в консоли администрирования VMware Identity Manager.Служба VMware Tunnel обеспечивает доступ посредством отдельной сети VPN для каждогоуправляемого приложения AirWatch. VMware Tunnel также обеспечивает возможностьперенаправлять трафик из мобильных приложений в VMware Identity Manager для единого входа.

В консоли администрирования AirWatch можно настроить следующие параметры.

n Компонент «Туннелирование на каждое приложение» в VMware Tunnel. В этой конфигурацииустройства с Android могут получать доступ к внутренним и управляемым общедоступнымприложениям с помощью клиента мобильного приложения VMware Tunnel.

После настройки параметров Tunnel в консоли администрирования необходимо загрузитьустановщик VMware Tunnel и приступить к установке сервера VMware Tunnel.

n Профиль VPN для Android. Этот профиль используется для включения возможностейтуннелирования отдельно для каждого приложения Android.

n Включение отдельной сети VPN для каждого приложения, когда для приложения в консолиадминистрирования используются возможности туннелирования.

n Создайте правила трафика устройства со списком всех приложений, настроенных дляиспользования отдельной сети VPN для каждого приложения, параметров прокси-сервера иURL-адреса VMware Identity Manager.

Подробные сведения об установке и настройке VMware Tunnel см. в руководстве по VMware Tunnelна веб-сайте AirWatch Resources.


n Настройка единого входа для устройств с Android из консоли администрирования AirWatch

n Настройка параметров VPN-доступа в VMware Tunnel из консоли администрирования AirWatch

n Настройка профиля Per App Tunnel для Android

n Включение отдельных сетей VPN для приложений Android

n Настройка правил маршрутизации трафика в AirWatch


VMware Inc. 44

n Настройка единого входа для проверки подлинности на мобильных устройствах с Android вовстроенном поставщике удостоверений

Настройка единого входа для устройств с Android из консолиадминистрирования AirWatchНастройте единый вход для устройств с Android, чтобы разрешить пользователям безопасновходить в корпоративные приложения без ввода своего пароля.

Для настройки единого входа для устройств с Android не нужно настраивать VMware Tunnel, номожно настроить единый вход с помощью множества тех же полей


n Android 4.4 или более поздние версии

n Приложения должны поддерживать SAML или другой поддерживаемый стандарт федерации

Процедура

1. В консоли администрирования AirWatch последовательно щелкните Система > Интеграцияпредприятий > VMware Tunnel.

2. При первой настройке VMware Tunnel выберите Настроить и следуйте указаниям мастераконфигурации. В противном случае выберите Переопределить и установите флажокВключить VMware Tunnel. Затем щелкните Настроить.

3. На странице «Тип конфигурации» включите Туннель для каждого приложения (только дляLinux). Нажмите кнопку Далее.

Оставьте значение Базовая для типа модели развертывания.

4. На странице Details (Подробности) в текстовом поле введите фиктивное значение, посколькуэто поле не требуется для настройки единого входа. Нажмите кнопку Далее.

5. На странице SSL настройте сертификат SSL для туннелирования для каждого приложения.Чтобы использовать общедоступный сертификат SSL, установите флажок Использоватьобщедоступный сертификат SSL. Нажмите кнопку Далее.

Корневой сертификат туннельного устройства генерируется автоматически.

Примечание. Сертификаты SAN не поддерживаются. Убедитесь, что сертификат выдаетсядля узла сервера с соответствующим именем или что это действительный групповойсертификат для соответствующего домена.


VMware Inc. 45

6. На странице «Проверка подлинности» выберите необходимый тип проверки подлинности наоснове сертификата. Нажмите кнопку Далее.


По умолчанию Выберите значение «По умолчанию», чтобы использовать сертификаты,выданные AirWatch.

Центр сертификации организации Отобразится раскрывающееся меню, содержащее центр сертификации ишаблон сертификата, настроенные в AirWatch. Можно также передатькорневой сертификат своего ЦС.

Если выбран центр сертификации организации, убедитесь, что шаблон ЦС содержит имясубъекта CN=UDID. Сертификаты ЦС можно скачать на странице конфигурацииVMware Tunnel.


8. На странице «Связь профиля» свяжите имеющийся профиль или создайте профиль VPNVMware Tunnel для Android.

Если создать профиль на этом этапе, все равно нужно будет опубликовать профиль. См.раздел «Настройка профиля Android в AirWatch».

9. Просмотрите сводку конфигурации и нажмите кнопку Сохранить.

Откроется страница конфигурации системных параметров.

Настройка параметров VPN-доступа в VMware Tunnel изконсоли администрирования AirWatchЧтобы настроить возможность туннелирования для каждого приложения на устройствах с Android,необходимо включить компонент «Туннелирование на каждое приложение» в параметрахVMware Tunnel. Благодаря туннелированию для каждого приложения внутренние и управляемыеобщедоступные приложения могут получать доступ к корпоративным ресурсам по схеме«приложение за приложением».

VPN-подключение позволяет автоматически устанавливать подключение после запуска указанногоприложения.

Процедура

1. В консоли администрирования AirWatch последовательно щелкните Система > Интеграцияпредприятий > VMware Tunnel.

2. При первой настройке VMware Tunnel выберите Настройка и следуйте указаниям мастеранастройки. В противном случае выберите Переопределить и Включить. Затем щелкнитеНастроить.

3. На странице «Тип конфигурации» включите Туннель для каждого приложения (только дляLinux). Нажмите кнопку Далее.

Оставьте значение Базовая для типа модели развертывания.


VMware Inc. 46

4. На странице «Сведения» введите имя узла и порт сервера VMware Tunnel для конфигурациитуннелирования каждого приложения. Например, tunnel.example.com. Нажмите кнопку Далее.

5. На странице SSL настройте сертификат SSL для туннелирования для каждого приложения.Чтобы использовать общедоступный сертификат SSL, установите флажок Использоватьобщедоступный сертификат SSL. Нажмите кнопку Далее.

Корневой сертификат туннельного устройства генерируется автоматически.

Примечание. Сертификаты SAN не поддерживаются. Убедитесь, что сертификат выдаетсядля узла сервера с соответствующим именем или что это действительный групповойсертификат для соответствующего домена.

6. На странице «Проверка подлинности» выберите необходимый тип проверки подлинности наоснове сертификата. Нажмите кнопку Далее.


По умолчанию Выберите значение «По умолчанию», чтобы использовать сертификаты,выданные AirWatch.

Центр сертификации организации Отобразится раскрывающееся меню, содержащее центр сертификации ишаблон сертификата, настроенные в AirWatch. Можно также передатькорневой сертификат своего ЦС.

Если выбран центр сертификации организации, убедитесь, что шаблон ЦС содержит имясубъекта CN=UDID. Сертификаты ЦС можно скачать на странице конфигурацииVMware Tunnel.

Если проверка соответствия устройства настроена для Android, убедитесь, что шаблон ЦСсодержит имя субъекта CN=UDID или установлен тип альтернативного имени, для которогодолжен быть задан идентификатор UDID. Выберите DNS в качестве типа альтернативногоимени. Он должен иметь значение UDID={DeviceUid}.


8. На странице «Связь профиля» свяжите имеющийся профиль или создайте профиль VPNVMware Tunnel для Android.

Если создать профиль на этом этапе, все равно нужно будет опубликовать профиль. См.раздел «Настройка профиля Android в AirWatch».

9. (Необязательно.) На странице «Разное» включите журналы доступа для компонентов «Туннельдля каждого приложения». Нажмите кнопку Далее.

Эти журналы необходимо включить до установки сервера VMware Tunnel.

10. Просмотрите сводку конфигурации и нажмите кнопку Сохранить.

Откроется страница конфигурации системных параметров.

11. Выберите вкладку General (Общие) и загрузите виртуальное устройство Tunnel.

Для развертывания сервера Tunnel можно использовать VMware Unified Access Gateway.


VMware Inc. 47


Установите сервер VMware Tunnel. Инструкции см. в руководстве по VMware Tunnel на веб-сайтеAirWatch Resources.

Настройка профиля Per App Tunnel для AndroidПосле установки и настройки компонента «Туннелирование на каждое приложение» вVMware Tunnel можно настроить профиль VPN для Android и добавить в него данные о версии.

Процедура

1. В консоли администрирования AirWatch щелкните Устройства > Профили > Добавитьпрофиль и выберите Android или Android for Work.

2. Настройте общие параметры для Android, если они еще не заданы.

3. В левом столбце выберите VPN и нажмите Настроить

4. Заполните сведения о подключении к VPN.


Тип подключения Выберите VMware Tunnel.

Имя подключения Введите имя этого подключения. Например, Конфигурация AndroidSSO.

Сервер URL-адрес сервера VMware Tunnel вводится автоматически.

Правила для отдельных сетей VPNдля приложений

Установите флажок Правила VPN на каждое прилож..

5. Щелкните Добавить версию.



Включите отдельные сети VPN для приложений Android, доступ к которым можно получить спомощью функции единого входа для мобильных устройств Android. См. раздел Включениеотдельных сетей VPN для приложений Android.

Назначьте профиль устройства смарт-группе. Смарт-группы — это настраиваемые группы,определяющие устройства, платформы и пользователей, которые могут получить назначенноеприложение, книгу, политику соответствия, профиль устройства или подготовку. См. раздел Назначение профиля устройства AirWatch.

Включение отдельных сетей VPN для приложений AndroidПараметр профиля отдельной сети VPN для приложений включен для приложений Android, доступк которым осуществляется с помощью единого входа на мобильных устройствах вVMware Identity Manager для Android.


VMware Inc. 48


n Настроен VMware Tunnel и установлен компонент «Туннелирование на каждое приложение».

n Создан профиль VPN для Android.

Процедура

1. В консоли администрирования AirWatch выберите Книги и приложения > Приложения >Список.

2. Перейдите на вкладку «Внутренние».

3. Чтобы добавить приложение, выберите Добавить приложение.

4. Щелкните Сохранить и назначить.

5. На странице «Назначение» выберите Добавить назначение и в разделе «Дополнительно» враскрывающемся меню Профиль VPN на приложение выберите созданный профиль VPN дляAndroid.


Включите отдельные сети VPN для приложений Android, доступ к которым можно получить спомощью функции единого входа для мобильных устройств Android. Дополнительные сведенияо добавлении или изменении приложений см. в руководстве поVMware AirWatch Mobile Application Management на веб-сайте AirWatch Resources.


Создайте правила сетевого трафика. См. раздел Настройка правил маршрутизации трафика вAirWatch.

Настройка правил маршрутизации трафика в AirWatchЧтобы клиент VMware Tunnel направлял трафик на прокси-сервер HTTPS для устройств с Android,необходимо настроить правила маршрутизации сетевого трафика. Для этого в них следует указатьсписок приложений Android, которые настроены с использованием параметра «Отдельные сетиVPN для приложений», а также настроить адрес прокси-сервера и имя узла назначения.

Настройте правила маршрутизации трафика устройства, чтобы управлять на устройствахспособом обработки трафика от указанных приложений. В соответствии с правиламимаршрутизации трафика устройства приложение VMware Tunnel обеспечивает отправку трафикачерез туннель, блокировку всего трафика на указанные домены, обход внутренней сети иподключение к Интернету напрямую или отправку трафика на прокси-сайт по протоколу HTTPS.

Дополнительные сведения о создании правил сетевого трафика см. в руководстве поVMware Tunnel на веб-сайте AirWatch Resources.


n Настроен параметр VMware Tunnel и установлен компонент туннелирования для каждогоприложения.


VMware Inc. 49

n Создан профиль VPN для Android.

n Для каждого приложения Android, добавленного к правилам сетевого трафика, включенпараметр «Отдельные сети VPN для приложений».

Процедура

1. В консоли администрирования AirWatch выберите Система > Интеграция предприятий >VMware Tunnel > Правила сетевого трафика.

2. На вкладке Правила маршрутизации трафика устройства настройте параметры правилмаршрутизации трафика устройства, как описано в руководстве по VMware Tunnel. Дляконфигурации единого входа для мобильных устройств с Android настройте следующиепараметры.

а) Выберите действие по умолчанию.


Tunnel Для конфигурации VPN с единым входом для мобильных устройств с Android выберите параметрTunnel в качестве действия по умолчанию. Все приложения на устройстве, настроенные сиспользованием отдельного профиля VPN для каждого приложения, отправляют сетевой трафикчерез туннель.

Bypass Для единого входа на устройствах с Android выберите параметр Bypass в качестве действия поумолчанию.

Важно. Если в качестве действия по умолчанию используется параметр Bypass, все приложения сиспользованием отдельного профиля VPN для каждого приложения обходят туннель и подключаютсянапрямую к Интернету. При этом трафик не отправляется на сервер Tunnel, если клиент Tunnelиспользуется только для единого входа.

Для единого входа на устройствах Android с помощью VPN выберите параметр Bypass вкачестве действия по умолчанию.

Важно. Если в качестве действия по умолчанию используется параметр Bypass, всеприложения с использованием отдельного профиля VPN для каждого приложения обходяттуннель и подключаются напрямую к Интернету. При этом трафик не отправляется насервер Tunnel, если клиент Tunnel используется только для единого входа.

б) В столбце «Приложение» добавьте приложения Android, которые настроены сиспользованием профиля VPN для каждого отдельного приложения.


VMware Inc. 50

в) Для клиентов, размещенных в облаке, в столбце «Действие» выберите прокси-сервер иукажите сведения о прокси-сервере HTTPS. Введите адресcertproxy.vmwareidentity.com:5262.

В столбце «Имя узла назначения» введите имя узла назначения VMware Identity Manager.Укажите его в следующем формате <арендатор>.vmwareidentitymanager.<область>.Можно выбрать один из этих адресов: vmwareidentity.com, vmwareidentity.eu илиvmwareidentity.asia. Клиент VMware Tunnel направляет трафик на прокси-сервер HTTPS сузла VMware Identity Manager с соответствующим именем.

г) Для локальной среды в столбце «Действие» выберите прокси-сервер и укажите сведения опрокси-сервере HTTPS. Введите имя и порт узла VMware Identity Manager. Например,страница_входа.example.com:5262.

Примечание. Для локальной среды в случае предоставления внешнего доступа к узлуVMware Identity Manager необходимо открыть порт брандмауэра 5262 или направлятьтрафик, поступающий на порт 5262, через обратный прокси-сервер в ДМЗ.

В столбце «Имя узла назначения» введите имя узла назначения VMware Identity Manager.Например, моя_компания.example.com. Клиент VMware Tunnel направляет трафик напрокси-сервер HTTPS с узла VMware Identity Manager.



Опубликуйте эти правила. После публикации правил устройство получает обновленный профильVPN, а в приложении VMware Tunnel включается единый вход.

Перейдите в консоль администрирования VMware Identity Manager и настройте единый вход длямобильных устройств с Android на странице встроенного поставщика удостоверений.


VMware Inc. 51

Настройка единого входа для проверки подлинности на мобильныхустройствах с Android во встроенном поставщике удостоверенийЧтобы обеспечить единый вход с устройств Android под управлением AirWatch, настройте системуединого входа на мобильных устройствах для проверки подлинности Android во встроенномпоставщике удостоверений VMware Identity Manager.


n Получение корневого сертификата и промежуточных сертификатов от центра сертификации(ЦС), который подписал сертификаты, предъявленные пользователями.

n (Необязательно.) Список идентификаторов объекта (OID) с действительными политикамисертификатов для проверки подлинности с помощью сертификата.

n Расположение файла CRL и URL-адрес сервера OCSP для проверки отзыва.

n (Необязательно) Расположение файла ответа OCSP на подписание сертификата.

Процедура

1. В консоли администрирования на вкладке «Управление учетными данными и доступом»выберите Управление > Поставщики удостоверений.

2. Щелкните поставщик удостоверений с пометкой Встроенный.

3. Убедитесь, что конфигурация разделов «Пользователи» и «Сеть» во встроенном поставщикеудостоверений правильная.

Если это не так, измените разделы «Пользователи» и «Сеть» соответствующим образом.

Примечание. Сетевой диапазон, который используется в правиле политики для единого входана мобильных устройствах с Android, должен состоять только из IP-адресов, используемых дляполучения запросов, поступающих с прокси-сервера VMware Tunnel.

4. В разделе «Методы проверки подлинности» щелкните значок в виде шестеренки Единый входдля мобильных устройств (Android).

5. На странице CertProxyAuthAdapter настройте метод проверки подлинности.


Включить адаптер сертификатов Установите этот флажок, чтобы включить единый вход для мобильныхустройств Android.

Сертификат корневого ипромежуточного центровсертификации

Выберите файлы сертификатов для загрузки. При необходимости можновыбрать несколько корневых и промежуточных зашифрованныхсертификатов центра сертификации. Формат файла может быть PEM илиDER.

Загруженные различающиеся именасубъектов сертификата ЦС

Содержимое переданного файла сертификата отображается здесь.


VMware Inc. 52


Использовать электронную почтупри отсутствии UPN в сертификате

Если в сертификате отсутствует основное имя пользователя (UPN),установите этот флажок, чтобы использовать атрибут emailAddress вкачестве расширения альтернативного имени субъекта для проверкиучетных записей пользователей.

Принимаемые политикисертификатов

Создайте список идентификаторов объектов, которые принимаются врасширениях политик сертификата. Введите число идентификатора объекта(OID) для политики выпуска сертификата. Нажмите Добавить еще однозначение, чтобы добавить дополнительные идентификаторы.

Включить отзыв сертификатов Установите флажок, чтобы включить проверку отзыва сертификата. В этомслучае пользователи, у которых отозваны сертификаты, не смогут пройтипроверку подлинности.

Использовать CRL из сертификатов Установите флажок, чтобы использовать список отзыва сертификатов (CRL),опубликованный центром сертификации, выдавшим сертификаты, дляподтверждения состояния сертификата (отозван или нет).

Расположение CRL Введите путь к файловому серверу или локальный путь к файлу, из которогонужно извлечь CRL.

Включить отзыв OCSP Установите этот флажок, чтобы использовать протокол проверки состояниясертификатов (OCSP) и получить состояние отзыва сертификата.

Использовать CRL в случае отказаOCSP

Если настроить и CRL, и OCSP, то при установке этого флажка будетосуществлен возврат к использованию CRL, если проверка по OCSPнедоступна.

Отправить специальный параметрOCSP

Установите флажок, чтобы отправлять в ответе уникальный идентификаторзапроса OCSP.

URL-адрес OCSP Если включен отзыв по OCSP, введите адрес сервера OCSP для проверкиотзыва.

Сертификат подписи ответчикаOCSP

Введите путь к сертификату OCSP для ответчика. Введите путь вформате /path/to/file.cer

Активировать ссылку отмены Дает пользователю возможность щелкнуть ссылку «Отмена», чтобыпрекратить попытку проверки подлинности и отменить вход, если проверкаподлинности занимает слишком много времени.

Отменить сообщение Дает возможность создать настраиваемое сообщение, котороеотображается, если проверка подлинности занимает слишком многовремени. Если настраиваемое сообщение не создано, используетсясообщение по умолчанию: Attempting to authenticate yourcredentials.


7. Щелкните Сохранить на странице встроенного поставщика удостоверений.


Настройте правило политики доступа по умолчанию для единого входа на мобильных устройствахAndroid.


VMware Inc. 53

Прямая регистрация в AirWatch спомощью Workspace ONE 6Для прямой регистрации с помощью Workspace ONE требуется, чтобы пользователизарегистрировали устройства, прежде чем смогут получить доступ к ресурсам в приложенииWorkspace ONE.

При прямой регистрации через приложение Workspace ONE можно сообщить всем пользователям,что им необходимо перейти в соответствующий магазин приложений, загрузить Workspace ONE,ввести адрес эл. почты и следовать инструкциям, чтобы начать работу на устройствах с помощьюWorkspace ONE.

Поддерживаемые устройстваn Apple iOS версии 9.0 и более новых версий

n Android Enterprise (прежнее название Android for Work) версии 4.1 и более новых версий

n Android Legacy версии 4.1 и более новых версий

Устройство Android Legacy — это любое устройство Android, которое не поддерживает AndroidEnterprise, или устройство с поддержкой Android Enterprise, подключенное к экземпляруAirWatch, на котором не включен Android Enterprise.


n Включение Workspace ONE для прямой регистрации

n Удобство работы при прямой регистрации в AirWatch с помощью Workspace ONE

Включение Workspace ONE для прямой регистрацииВключите прямую регистрацию устройства с помощью Workspace ONE для своей организационнойгруппы в админ консоли AirWatch на странице «Регистрация» > «Ограничение».

Если Workspace ONE включается для прямой регистрации, то при первом входе соответствующиеустройства регистрируются напрямую. После регистрации в Workspace ONE устройствам, которыене подходят для прямой регистрации, предоставляется доступ только к управлению мобильнымиприложениями.

VMware Inc. 54

Процедура

1. В админ консоли AirWatch выберите организационную группу, чтобы включить прямуюрегистрацию для Workspace ONE.

2. Перейдите в раздел Группы и настройки > Все настройки > Устройства и пользователи >Общее > Регистрация и выберите вкладку Ограничения.

3. При необходимости для параметра «Текущая настройка» установите Переопределить.

4. Прокрутите вниз до требований к управлению для Workspace ONE и задайте параметрыконфигурации.


Требовать MDM дляWorkspace ONE

При включении этого параметра соответствующим устройствам и пользователямпредлагается пройти регистрацию сразу после входа в Workspace ONE.

Назначенная группапользователей

По умолчанию установлена группа «Все пользователи». Можно выбрать конкретнуюгруппу пользователей для включения в процесс прямой регистрации.

iOS Этот параметр предназначен для включения устройств iOS. Если этот параметротключен, устройства iOS не смогут проходить прямую регистрацию. С отключеннымпараметром устройства по-прежнему можно зарегистрировать в AirWatch внеуправляемом состоянии.

Android Legacy Этот параметр предназначен для включения устройств Android Legacy. Если этотпараметр отключен, прямая регистрация устройств Android Legacy недоступна. Сотключенным параметром устройства по-прежнему можно зарегистрировать в AirWatch внеуправляемом состоянии.

Android Enterprise Функция предназначена для включения устройств Android Enterprise. Если этот параметротключен, прямая регистрация устройств Android Enterprise недоступна. С отключеннымпараметром устройства по-прежнему можно зарегистрировать в AirWatch внеуправляемом состоянии.


6. На вкладках регистрации настройте параметры регистрации для поддержки Workspace ONE.См. раздел Параметры конфигурации прямой регистрации с помощью Workspace ONE.

Дополнительные сведения о настройке прямой регистрации для Workspace ONE см. в Руководстве по VMware AirWatch Mobile Device Management, глава о регистрации устройств.

Параметры конфигурации прямой регистрации с помощьюWorkspace ONEНастройте прямую регистрацию в Workspace ONE в консоли администрирования AirWatch.Перейдите в раздел Группы и настройки > Все настройки > Устройства и пользователи >Общее > Регистрация. В таблице параметров регистрации устройств в Workspace ONEперечислены настраиваемые элементы меню.

Подробные сведения о настройке регистрации устройств см. в руководстве по VMware AirWatchMobile Device Management.


VMware Inc. 55

https://resources.air-watch.com/view/chy4qmz7s82wp39823wb

Рисунок 6‑1. Страница регистрации в консоли AirWatch

Таблица 6‑1. Настраиваемые элементы меню для прямой регистрации с помощью Workspace ONE

Вкладка «Регистрация»Настраиваемые элементы меню для прямой регистрации вWorkspace ONE

Проверка подлинности Поддерживаются пользователи каталогов.

Кроме того, предоставляется быстрая поддержка пользователей,для которых выполняется проверка подлинности с использованиемSAML и Active Directory. Пользователи, для которых выполняетсяпроверка подлинности с использованием SAML без LDAP,поддерживаются, если запись пользователя существует в AirWatchпри первом входе в систему.

Поддерживается открытая регистрация.

Условия использования Можно создать условия использования, чтобы обязатьпользователей принимать их до продолжения процесса прямойрегистрации.

Группирование Все параметры меню группирования совместимы с прямойрегистрацией с помощью Workspace ONE. См. раздел,посвященный размещению устройств в правильнойорганизационной группе, в Стратегии развертывания для настройкинескольких организационных групп AirWatch.

Ограничения n В разделе Управление доступом пользователей можновыбрать оба параметра «Ограничить регистрацию толькоизвестным пользователям» и «Ограничить регистрацию тольконастроенным группам».

n Поддерживается ограничение максимального количестваустройств.

n Настройка политики поддерживается частично.n Разрешенные типы собственности. В Workspace ONE

отправляется запрос только для личных и корпоративно-личных устройств.

Примечание. Тип регистрации Container Allow (сразрешения контейнера) не поддерживается.


VMware Inc. 56

Таблица 6‑1. Настраиваемые элементы меню для прямой регистрации с помощью Workspace ONE(продолжение)

Вкладка «Регистрация»Настраиваемые элементы меню для прямой регистрации вWorkspace ONE

Дополнительный запрос Можно включить два дополнительных запроса: Запросить типсобственности и Включить запрос инвентарного номераустройства. Запрос на введение инвентарного номера появляетсятолько для устройств с типом принадлежности «Корпоративное».

Настройка Поддерживаются параметры меню настройки.n Целевой URL-адрес страницы после регистрации (только для

iOS)n Сообщение MDM-профиля (только для iOS)n Использовать настраиваемые приложения MDM

Можно включить параметр «Для каждой платформы использоватьособый шаблон сообщения», но эти особые шаблоны сообщенийWorkspace ONE недоступны для Workspace ONE 3.2.

Удобство работы при прямой регистрации в AirWatch с помощьюWorkspace ONEПри реализации управления мобильными устройствами через Workspace ONE пользователямнеобходимо загрузить приложение Workspace ONE, пройти проверку подлинности с помощьюAirWatch и зарегистрировать устройство. После регистрации устройства пользователи смогутиспользовать Workspace ONE для добавления и использования предоставленных ресурсов.

При использовании Workspace ONE процесс регистрации устройств iOS и Android Enterpriseпроисходит одинаково. А устройства Android Legacy перенаправляются для регистрации в AirWatchAgent. AirWatch Agent автоматически передает управление обратно Workspace ONE послезавершения регистрации. Пользователи могут получить доступ к Workspace ONE,воспользовавшись любым из этих способов.

Прямая регистрация с помощью Workspace ONE на устройствах iOSСообщите пользователям, что им необходимо загрузить, установить и запустить приложениеWorkspace ONE из Apple App Store.

Процедура

1. Пользователям необходимо открыть приложение, ввести адрес эл. почты и URL-адрес сервера,а затем пройти проверку подлинности в соответствии с конфигурацией своей среды.


VMware Inc. 57

2. Отобразится окно Требуется дополнительная настройка в компании.

Рисунок 6‑2. Уведомление о настройке регистрации устройства

3. Если настроены условия использования, пользователям будет предложено принять их, преждечем продолжить.

4. Если настроены дополнительный запрос на отображение типа собственности устройства изапрос на инвентарный номер устройства, отобразится соответствующая информация.

Рисунок 6‑3. Выбор собственности устройства


VMware Inc. 58

5. Пользователям необходимо открыть Safari и нажать кнопку Разрешить, чтобы открытьстраницу настроек.

Рисунок 6‑4. Разрешить настройки профиля конфигурации

Теперь Workspace Services и профиль конфигурации настроены на устройстве.

Теперь устройство зарегистрировано в AirWatch, и приложение Workspace ONE будетзапущено. Появится окно «Рекомендованные для вас приложения».

Рисунок 6‑5. Окно «Рекомендуемые приложения»

6. Пользователи могут выбрать приложения для установки или пропустить этот шаг.


VMware Inc. 59

Теперь устройство находится под управлением AirWatch MDM. Если рекомендованные приложениявыбраны для установки, пользователи начнут получать push-уведомления для этих приложений.

Прямая регистрация с помощью Workspace ONE на устройствахAndroid EnterpriseСообщите пользователям, что им необходимо загрузить, установить и запустить приложениеWorkspace ONE из магазина приложений Google или репозитория.

Процедура

1. Пользователям необходимо ввести адрес эл. почты и URL-адрес сервера, а затем пройтипроверку подлинности в соответствии с конфигурацией своей среды.

2. Отобразится окно Требуется дополнительная настройка в компании. Необходимо нажатькнопку Продолжить.

Рисунок 6‑6. Уведомление о настройке регистрации устройства

3. Если настроены условия использования, пользователям будет предложено принять их, преждечем продолжить.

4. Если настроены дополнительный запрос на отображение типа собственности устройства изапрос на инвентарный номер устройства, отобразится соответствующая информация.


VMware Inc. 60

5. Теперь Workspace Services и рабочий профиль настроены на устройстве.

Рисунок 6‑7. Настройка уведомлений рабочего профиля

Появится сообщение, описывающее управление устройством с помощью этого рабочегопрофиля. Следует нажать кнопку ОК.

Теперь приложение Workspace ONE установлено и учетная запись Android for Workзарегистрирована.

6. Теперь устройство зарегистрировано в AirWatch, и приложение Workspace ONE будетзапущено. Появится окно «Рекомендованные для вас приложения».



Теперь устройство находится под управлением AirWatch MDM. Если рекомендованные приложениявыбраны для установки, они будут установлены со значком портфеля Android Enterprise.


VMware Inc. 61

Регистрация устройств Android LegacyПри регистрации устройств Android Legacy выполняется перенаправление к AirWatch Agent длярегистрации. AirWatch Agent автоматически передает управление обратно в Workspace ONE послезавершения регистрации.

Предложите пользователям перейти в магазин приложений для загрузки Workspace ONE.

Процедура

1. Пользователям необходимо открыть приложение, указать URL-адрес сервера или адрес эл.почты, а затем ввести имя пользователя и пароль для входа систему.

В этот момент приложение Workspace ONE может обнаружить, что устройство неподдерживается в Android Enterprise, а также определить, требуется ли прямая регистрацияустройства перед получением доступа к ресурсам в Workspace ONE.

2. Отобразится окно Требуется дополнительная настройка в компании. ЩелкнувПродолжить, пользователи будут перенаправлены к приложению AirWatch Agent в Google PlayStore.

Рисунок 6‑9. Запрос загрузки приложения AirWatch Agent


VMware Inc. 62

3. Пользователям необходимо загрузить приложение AirWatch Agent.

Примечание. Если приложение AirWatch Agent уже установлено на устройстве,Workspace ONE автоматически запустит его. Перенаправление в магазин приложений непроизводится.

Подробности проверки подлинности, указанные для Workspace ONE, передаются в приложениеAirWatch Agent, чтобы не вводить эту информацию повторно.

Запускается приложение AirWatch Agent. Во время регистрации устройства с помощьюAirWatch Agent пользователям следует выбрать тип владельца и ввести инвентарный номерустройства, если это необходимо.

4. При отображении окна Разрешить Agent совершать телефонные звонки и управлять ими?пользователи должны нажать кнопку Разрешить.

AirWatch Agent проверяет регистрацию, выполняет проверку подлинности пользователей ипредоставляет AirWatch разрешения на этом устройстве.

5. При отображении окна Активировать приложение для администратора устройства?пользователям необходимо щелкнуть Активировать это приложение для администратораустройства.

Рисунок 6‑10. Активировать приложение для администратора устройства

6. У пользователей появится запрос на предоставление разрешения для доступа к различнымвозможностям устройства.

Теперь устройство зарегистрировано в AirWatch, и приложение Workspace ONE будетзапущено. Появится окно «Рекомендуемые приложения».


VMware Inc. 63



Теперь устройство находится под управлением AirWatch MDM. Если рекомендованные приложениявыбраны для установки, пользователи начнут получать уведомления для этих приложений.


VMware Inc. 64

Использование Workspace ONEдля поддержки интеграциипрограммы регистрации устройствApple 7Сценарии, в которых клиент использует SAML для проверки подлинности пользователя, неподдерживаются в программе регистрации устройств Apple (DEP). Тем не менее в Workspace ONEреализован уникальный способ поддержки для такого случая.

За счет промежуточной настройки устройства AirWatch администраторы могут назначитьустройство пользователю, обладающему правами на промежуточную настройкумногопользовательских устройств, и разрешить Workspace ONE повторно назначать устройствосоответствующему пользователю при входе в приложение Workspace ONE.

Приложение Workspace ONE должно быть установлено на устройстве в рамках регистрациипользователя для промежуточной настройки. При первом входе пользователя в Workspace ONEвыполняется проверка подлинности с помощью настроенного поставщика SAML. После проверкиподлинности пользователя тип собственности устройства переключается с пользователя,обладающего правами на промежуточную настройку многопользовательских устройств, напользователя, прошедшего проверку подлинности в каталоге.

Необходимое условиеПри входе в приложение Workspace ONE пользователь каталога должен существовать в AirWatch.Можно предварительно добавить пользователей в массовую загрузку в CSV-файл или применитьследующий API-интерфейс для создания пользователей по мере необходимости.

Примечание. Значение типа безопасности должно быть как у каталога.

https://<API_SERVER_ADDRESS>/api/help/#!/apis/10006?!/User/User_AddUser

Процесс поддержки Workspace ONE для интеграции спрограммой DEPЧтобы реализовать поддержку программы регистрации устройств Apple с помощьюWorkspace ONE, необходимо выполнить следующие задачи.

n Установите приложение Workspace ONE на устройствах iOS.

VMware Inc. 65

n Проверьте, что существует пользователь для промежуточной настройки со следующейпромежуточной конфигурацией.

а) Перейдите в раздел Аккаунты > Пользователи > Список и выберите для измененияучетную запись пользователя, для которого требуется включить промежуточную настройкуустройства.

б) На странице Добавить или изменить пользователя выберите вкладку Дополнительно .Прокрутите вниз до раздела Промежуточная настройка и включите параметрыПромежуточная настройка устройства и Многопользовательские устройства.

Рисунок 7‑1. Параметр «Многопользовательские устройства» в AirWatch

n Назначьте устройство пользователю для промежуточной настройки на портале Apple DEP ипредоставьте устройство конечному пользователю.

Дополнительные сведения о программе регистрации устройств Apple см. в РуководствеVMware AirWatch по программе регистрации устройств Apple.

Реализация интеграцииПри первом включении устройства оно регистрируется и назначается пользователю, обладающемуправами на промежуточную настройку многопользовательских устройств. Пользователь запускаетприложение Workspace ONE, доступное на домашнем экране, и входит в систему. Workspace ONEвыполняет проверку подлинности пользователя с помощью настроенного поставщика SAML.

После проверки подлинности пользователя тип собственности устройства переключается спользователя, обладающего правами на промежуточную настройку многопользовательскихустройств, на пользователя, прошедшего проверку подлинности в каталоге. Приложения, профилии ресурсы, назначенные пользователю, прошедшему проверку подлинности, передаются наустройство.


VMware Inc. 66

https://resources.air-watch.com/view/xtg6zrvtz687jczhv2js/en

https://resources.air-watch.com/view/xtg6zrvtz687jczhv2js/en

Enabling the Out of BoxExperience for Workspace ONEon Dell Windows 10 Devices 8When users receive a new Dell® Windows 10 device with out-of-box (OOBE) provisioning enabled in theAirWatch Windows 10 Provisioning Service, the Workspace ONE application can be configured to openautomatically and deliver applications to the device.

To deliver this OOBE with the Workspace ONE application, you must enable the External Access Tokenauthentication method as part of the AirWatch integration. Then the authentication method is enabled inthe built-in provider and you create an access policy rule to use the External Access Token authenticationmethod.

The Workspace ONE OOBE runs the Workspace ONE application without requiring users to enter theirsign-in credentials a second time. If this authentication method is not enabled, users must sign in toWorkspace ONE in addition to signing in to the device during the Windows registration process.

Note Other services that must be set up for the OOBE in Dell Windows 10 devices include the AirWatchProvisioning Service for Windows 10 and federation to Microsoft Azure Active Directory. See Windows 10Provisioning Service and Windows Desktop Enrollment Overview and Windows in the AirWatch WindowsDesktop Platform Guide for provisioning service configuration details.

This chapter includes the following topics:

n Enable External Access Token in AirWatch

n Activate External Access Token as an Authentication Method

n Associate External Access Token Authentication Method to the Built-in Identity Provider

n Create Access Policy for Workspace ONE Out-of-Box Experience Process

n Workspace ONE for Windows 10 Custom Out-of-Box Branding

Enable External Access Token in AirWatchTo enable the out of box experience for Workspace ONE on Dell Windows 10 devices, you must firstenable the External Access Token authentication method on the AirWatch configuration page.

Procedure

1. In the administration console, Identity & Access Management tab, click Setup > AirWatch.

VMware, Inc. 67

2. In the User External Access Token Authentication through AirWatch section, select Enable.

3. Click Save.

What to do next

Activate the external access token as an authentication method.

Activate External Access Token as an AuthenticationMethodIn VMware Identity Manager, the External Access Token authentication method is unique to the AirWatchintegration and is required for both single sign-on (SSO) and triggering the out-of-box experience (OOBE)in Workspace ONE on Windows 10 devices.

Prerequisites

When using AirWatch External Access Token authentication, the AirWatch Cloud Connector componentof VMware Enterprise Systems Connector must be deployed and configured.

n External Access Token Authentication enabled on the AirWatch page in the Identity & AccessManagement tab.

n Microsoft Azure Active Directory service configured.

n AirWatch Provisioning Service for Windows 10 devices configured.

The configuration of External Access Token is read-only and is based off the AirWatch configuration inVMware Identity Manager. The exception is the token lifetime field.

Procedure

1. To review and manage the configuration, in the Identity & Access Management tab, selectAuthentication Methods.

2. In the Airwatch External Access Token Configure column, click the pencil icon.

3. Review the configuration.

Option Description

Enable AirWatch External AccessToken

This check box is enabled on the AirWatch page.

AirWatch Admin Console URL Pre-populated with the AirWatch URL.

AirWatch API Key Pre-populated with the AirWatch Admin API key.

Certificate Used for Authentication Pre-populated with the AirWatch Cloud Connector certificate.


VMware, Inc. 68

Option Description

Password for Certificate Pre-populated with the password for the AirWatch Cloud Connector certificate.

AirWatch External Access TokenLifetime in Seconds

The access token is used to validate the authentication with VMware IdentityManager. Access tokens have a limited lifetime. The time configured is themaximum time that the access token is valid. The token life is editable anddefaulted to 600 seconds, which is 10 minutes.

If the access token expires, users are prompted to authenticate again in theWorkspace ONE application.

4. Click Save.

What to do next

Associate the AirWatch External Access Token authentication method in the built-in identity provider. See Настройка встроенных поставщиков удостоверений

After the AirWatch External Access Token is associated to the built-in identity provider, create an accesspolicy rule to use this auth method. See Create Access Policy for Workspace ONE Out-of-Box ExperienceProcess.

Associate External Access Token Authentication Methodto the Built-in Identity ProviderWhen External Access Token is configured as an authentication method, the authentication method isavailable in the built-in identity provider. You must associate this authentication method with a userdirectory in the built-in identity provider.

Prerequisites

External Access Token enabled in the AirWatch configuration page.

External Access Token activated as an authentication method.

Procedure

1. In the Identity & Access Management tab, go to Manage > Identity Providers.

2. Click the Built-in from the list view.

Option Description

Users The configured directories are listed. Select the users directories to use theexternal access token authentication method.

Network The existing network ranges configured in the service are listed. Select thenetwork ranges for the users based on the IP addresses that you want to direct tothis identity provider instance for authentication.

Authentication Methods The authentication methods that are configured on the service are displayed.Select the AirWatch External Access Token check box.

3. Click Save.


VMware, Inc. 69

What to do next

Configure the default access policy rule to list the External Access Token authentication method as thelast fallback method in the rule. See Create Access Policy for Workspace ONE Out-of-Box ExperienceProcess.

Go to the Catalog Settings page to create a custom branded welcome page and message for users whosign in to Workspace ONE as part of the Windows 10 out-of-box experience. See Workspace ONE forWindows 10 Custom Out-of-Box Branding.

Create Access Policy for Workspace ONE Out-of-BoxExperience ProcessTo establish the Workspace ONE out-of-box experience (OOBE) after the External Access Token isenabled and added to the built-in identity provider, you must add the External Access Tokenauthentication method to the default access policy set.

Procedure

1. In the administration console Identity & Access Management > Manage page, select Policies.

2. Select default_access_policy_set, click Edit, and then click Configuration.

3. Select the row that lists the Workspace ONE App in the Device Type column.

If the Workspace ONE App rule is not listed, click Add Policy Rule.

4. Select the authentication methods to use to access content from the Workspace ONE application.

List the External Access Token authentication method as the last fallback method in the rule. Whenthe External Access Token is detected in the authentication request, the authentication method ishonored. Any other authentication methods listed after the External Access Token are not detected.

5. Click Next to review the configuration.

6. Click Save.

Figure 8‑1. Access Policy Rule with External Access Token Authentication


VMware, Inc. 70

7. On the Configuration page, review the order of the rules in the rules list. If the Workspace ONE apprule is not the first rule in the default access policy list, drag the rule to be the first row in the list.

Workspace ONE App must be the first rule in the default access policy rules list.

8. Click Next.

9. Review the Summary page and click Save.

Workspace ONE for Windows 10 Custom Out-of-BoxBrandingWhen the Windows 10 Provisioning Service by VMware AirWatch is used for new Windows 10 deviceprovisioning, custom branding and a welcome message can be set up in the Workspace ONE application.

As users power on their new computers and sign in with their credentials for the first time, the AirWatchprovisioning agent ensures that the Workspace ONE application is available. Workspace ONE islaunched after Windows is fully prepared. Users see a custom welcome message with the company'sbranding before the Workspace ONE application catalog opens. During this time, if Show recommendedapps in Bookmarks tab is enabled in the Catalog > Settings >User Portal Configuration page,recommended applications are downloaded by Workspace ONE.

Note See the Windows Desktop Platform Guide for information about the Windows 10 provisioningservice by AirWatch.

Procedure

1. In the administration console Catalogs tab, select Settings > User Portal Branding.

2. In the Desktop Out-of-Box-Experience section, edit the settings to customize the Workspace ONEregistration pages.

Form Item Description

Welcome Screen Logo Add a logo to be centered at the top of the Welcome screen.

The maximum size of the image is 250 x 250 px. The format is PNG.

Welcome ScreenBackground Color

The color that displays for the background of the Start and Welcome screens.

Enter a six-digit hexadecimal color code over the existing one to change the background color.The preview screen is updated with the new color.

Welcome Screen NextButton Color

Enter a six-digit hexadecimal color code to change the background color for the Next button thatdisplays on the Welcome screen.

Welcome Screen FontColor

Enter a six-digit hexadecimal color code to change the font color for the Next button.

Welcome Message Create a welcome message about using Workspace ONE that displays on the Welcome page.

3. Click Save.


VMware, Inc. 71

Развертывание мобильногоприложения VMware Workspace ONE 9При установке приложения VMware Workspace ONE на мобильных устройствах пользователи могутполучить доступ к ресурсам, которые они уполномочены использовать.

Если удостоверениями управляет VMware Identity Manager, а пользователям предоставленысоответствующие права, они могут получить доступ к приложениям с помощью единого входа.Кроме того, они могут получить доступ к каталогу имеющихся приложений и добавить в негоновые.

Интерфейс приложения Workspace ONE и его возможности выглядят одинаково на любомсмартфоне, планшете и настольном компьютере.

Если устройство зарегистрировано в подсистеме Mobile Device Management (MDM), приложениеWorkspace ONE можно отправлять в качестве управляемого.


n Параметры управления устройствами в AirWatch для общедоступных и внутреннихприложений для Workspace ONE

n Управление доступом к приложениям

n Обязательное принятие условий использования для доступа к каталогу Workspace ONE

n Получение и распространение приложения Workspace ONE

n Регистрация доменов электронной почты для автоматического обнаружения

n Настройка проверки подлинности для сеанса

n Стратегии развертывания для настройки нескольких организационных групп AirWatch

Параметры управления устройствами в AirWatch дляобщедоступных и внутренних приложений для Workspace ONEРазвертывание общедоступных и внутренних приложений можно настроить таким образом, чтобыоно выполнялось в зависимости от состояния управления устройством. Любое устройство можетполучить доступ к приложениям с открытым доступом. Доступ к приложениям с управляемымдоступом могут получить только устройства, которым предоставлены разрешения (при включениив Workspace Services или регистрации с помощью агента).

В таблице представлены сведения для управляемых и неуправляемых устройств.

VMware Inc. 72

Тип доступа Возможности ОписаниеРекомендуемые сценариииспользования

Открытыйдоступ(неуправляемый)

n Каталог приложений свозможностьюсамообслуживания длявеб-ресурсов, а такжересурсов Horizon и Citrix

n Запуск веб-приложений ивиртуальных приложенийпутем единого входа

n Защита приложений спомощью Touch ID и ПИН-кода

n Обнаружение взлома наустройстве

n Поддержка условногодоступаVMware Identity Manager,включая политикипроверки подлинности иблокировку устройств.

n Доступ к роднымприложениям.

n Распределениевнутренних приложений иприложений SDK.

Пользователям не приходитсяпредоставлять администраторамразрешение на доступ кустройствам, чтобы получитьдоступ к ресурсам такихустройств.

Доступ к приложениям соткрытым доступом можнополучить как на управляемых,так и на неуправляемыхустройствах. Администраторы немогут систематически удалятьродные приложения с открытымдоступом.

n Предоставление пользователямдоступа к приложениям сразу жепосле входа без расширенныхразрешений безопасности.

n Рекомендуется использованиеприложения без его установки.Пользователи могут установитьприложение на устройстве влюбой удобный момент.

n В приложениях нетконфиденциальныхкорпоративных данных иотсутствует доступ к защищеннымкорпоративным ресурсам.

n Распространение приложенийсреди вспомогательногоперсонала без профиля MDMAirWatch.

Управляемыйдоступ

n Каталог приложений свозможностьюсамообслуживания длявеб-ресурсов, а такжересурсов Horizon и Citrix

n Запуск веб-приложений ивиртуальных приложенийпутем единого входа

n Защита приложений спомощью Touch ID и ПИН-кода

n Обнаружение взлома наустройстве

n Поддержка условногодоступаVMware Identity Manager,включая политикипроверки подлинности иблокировку устройств.

n Управляемая и прямаяустановка родныхприложений

n Управление внутреннимиприложениями иприложениями SDK.

Пользователи устанавливают насвоих устройствах профильуправления, чтобы предоставитьадминистраторам разрешениена доступ к таким устройствам.

Приложения с управляемымдоступом можно использовать наустройствах, которымиуправляет AirWatch.

Если AirWatch не управляетустройством, Workspace ONEпредлагает пользователюзарегистрировать AirWatch наустройстве. Пользователь можетиспользоватьзарегистрированное устройстводля доступа к приложениям спомощью Workspace ONE.

n Удаление конфиденциальныхкорпоративных данных сустройств после увольненияпользователя из организации илипотери устройства.

n Туннелирование приложений длявыполнения проверкиподлинности и безопасноговзаимодействия с внутреннимиконечными ресурсами при доступеприложений к интрасети.

n Включение единого входа дляприложений.

n Отслеживание того, какпользователи внедряют иустанавливают приложения.

n Автоматическое развертываниеприложения после регистрации.


VMware Inc. 73

Тип доступа Возможности ОписаниеРекомендуемые сценариииспользования

n Поддержка настройкиприложений

n Отдельные сети VPN дляприложений

n Единый вход однимкасанием для родныхприложений с поддержкойSAML

n Профили устройстваn Модуль соответствия

AirWatch

Дополнительные сведения о настройке параметров управляемого доступа для внутреннихприложений и добавлении общедоступных приложений для развертывания с помощьюWorkspace ONE см. в руководстве по AirWatch Mobile Application Management.

Поддерживаемые платформы для открытого и управляемого доступаНастройте тип доступа для внутренних и общедоступных приложений с учетом платформы.

Управляемый доступ Открытый доступ

ВНУТРЕННИЕ ПРИЛОЖЕНИЯ

Android X X

iOS X X

Windows 10 Desktop X -

Windows 10 Phone X -

ОБЩЕДОСТУПНЫЕ ПРИЛОЖЕНИЯ

Android X X

iOS X X

Windows 10 Desktop - X

Windows 10 Phone - X

Управление доступом к приложениямПользователю может предоставляться право на открытый и управляемый доступ к роднымприложениям. Благодаря адаптивному управлению пользователи могут использовать приложенияс открытым доступом на неуправляемых устройствах. При запросе родного приложения,требующего управления, адаптивное управление обеспечивает дополнительную безопасность иконтроль, необходимые для управления родным приложением.


VMware Inc. 74

Для установки и использования управляемых приложений пользователи должны включить службыWorkspace. При отправке приложения в консоли администрирования AirWatch в зависимости отконфигурации приложения для него отображается состояние доступа «Открыто» или «Подуправлением». Например, если задан параметр Отправить конфигурацию приложения, дляприложения задается состояние, требующее управления.

Приложения, требующие управления и находящиеся в неуправляемом состоянии, в каталогеобозначаются значком звездочки. Чтобы использовать приложения, пользователи должнывключить службы Workspace в процессе адаптивного управления. При попытке загрузитьприложения со звездочкой появится сообщение о том, что нужно включить службы Workspace.Если нужно прибегнуть к процессу адаптивного управления, можно просмотреть влияние наконфиденциальность личных сведений, выбрав ссылку на уведомление о конфиденциальности.При появлении уведомления о конфиденциальности автоматически отображаются параметрысреды AirWatch, в которой будет выполнена регистрация. Просмотрев сведения о параметрахконфиденциальности, можно перейти к включению служб Workspace или вернуться и продолжатьиспользовать неуправляемое приложение Workspace ONE на своем устройстве. После включенияслужб Workspace значок звездочки удаляется со всех управляемых приложений.

Отключение доступа на управляемых устройствахПользователи могут отключить приложение Workspace ONE на управляемом устройстве спомощью параметра удаления учетной записи. При этом на устройстве выполняется очисткакорпоративных данных, корпоративный доступ отключается и пользователь возвращается к экранувхода. Чтобы отключить службы Workspace ONE, администраторы могут очистить корпоративныеданные в консоли администрирования AirWatch.

При выполнении действия «Удалить учетную запись» на управляемом устройстве отзываетсяправо доступа, предоставленное с помощью приложения Workspace ONE, а регистрацияустройства в AirWatch отменяется. Приложения, требующие управления, удаляются с устройства, адоступ к приложениям AirWatch для повышения эффективности работы, например Boxer, Browser иContent Locker, аннулируется.

Обязательное принятие условий использования для доступа ккаталогу Workspace ONEВы можете разработать собственные условия использования Workspace ONE для своейорганизации и настроить обязательное принятие этих условий пользователями для доступа кWorkspace ONE.

Условия использования отображаются после того, как пользователь выполнит вход в WorkspaceONE. Пользователи должны принять условия использования, прежде чем перейти к работе скаталогом Workspace ONE.

Для функции «Условия использования» предусмотрены следующие возможности конфигурации.

n Создание версий существующих условий использования.

n Изменение условий использования.


VMware Inc. 75

n Создание нескольких вариантов условий использования, которые будут отображаться взависимости от типа устройства.

n Создание копий условий использования на различных языках.

Настроенные политики условий использования указаны на вкладке «Управление учетнымиданными и доступом». Можно внести изменения в существующую политику или создать новуюверсию политики. Новая версия условий использования заменяет существующие условияиспользования. При внесении изменений в политику новая версия условий использования несоздается.

На странице «Условия использования» можно просмотреть количество пользователей, принявшихили не принявших условия. Щелкните число, указывающее количество пользователей, которыеприняли или не приняли условия использования, чтобы просмотреть список пользователей и ихстатус.

Настройка и активация условий использованияНа странице «Условия использования» можно добавить политику условий использования, а такженастроить параметры использования. После добавления условий использования необходимоактивировать параметр «Условия использования». При входе в Workspace ONE пользователидолжны принять условия использования, чтобы получить доступ к своим каталогам.


Текст политики условий использования в формате HTML для копирования и вставки в текстовоеполе «Условия использования». Можно добавить условия использования на английском, немецком,испанском, французском, итальянском и голландском языках.

Процедура

1. В консоли администрирования на вкладке «Управление учетными данными и доступом»выберите Настройка > Условия использования.

2. Нажмите Добавить условия использования.

3. Укажите описательное имя условий использования.

4. Выберите значение Все, если политика условий использования предназначена для всехпользователей. Чтобы отображать политику условий использования на отдельных типахустройств, выберите Выбранные платформы устройств, а затем выберите типы устройств,на которых будет отображаться эта политика условий использования.

5. По умолчанию условия использования отображаются на том языке, который настроен для веб-браузера. В текстовом поле введите содержимое условий использования на том языке,который используется по умолчанию.


VMware Inc. 76


Чтобы добавить политику условий использования на другом языке, нажмите Добавить язык ивыберите нужный язык. Текстовое поле содержимого условий использования будет обновлено,после чего можно будет добавить текст.

Можно перетащить названия языков, чтобы задать порядок отображения для условийиспользования на различных языках.

7. Чтобы начать применять условия использования, нажмите Включить условияиспользования на отобразившейся странице.


Если для отображения условий использования выбран конкретный тип устройства, можно создатьдополнительные условия использования для других типов устройств.

Просмотр статуса принятия условий использованияДля политики условий использования, приведенной на странице «Удостоверения и управление» >«Условия использования», отображается количество пользователей, которые подтвердили или неподтвердили свое согласие с этой политикой.

Процедура

1. В консоли администрирования на вкладке «Управление учетными данными и доступом»выберите Настройка > Условия использования.

2. Щелкните число, указывающее количество принявших условия пользователей (слева в столбце«Принявшие/не принявшие»), или число, указывающее количество пользователей, которые неприняли условия (справа в этом столбце).

На странице статуса отобразится выполненное действие (принятие или отклонение), имяпользователя, идентификатор устройства, версия просмотренной политики, используемаяплатформа, а также дата.

3. Нажмите Отмена, чтобы закрыть вид.

Получение и распространение приложения Workspace ONEПользователи могут загрузить приложение VMware Workspace ONE из магазина приложений насвое устройство сами, или администратор может настроить AirWatch для отправки Workspace ONEна устройства в качестве управляемого приложения.

Приложение Workspace ONE развертывается из консоли администрирования AirWatch дляконкретных групп и пользователей в организации. После входа в приложение Workspace ONE наустройствах пользователи могут получить доступ к веб-приложениям и приложениям SaaS, длякоторых у них есть право доступа.


VMware Inc. 77

Далее представлена процедура отправки мобильного приложения Workspace ONE в качествеуправляемого приложения из консоли администрирования AirWatch. Кроме того, для отправкиприложения можно воспользоваться мастером начальной настройки Workspace ONE.

Примечание. Дополнительные сведения о настройке управляемых приложений в AirWatch см. вруководстве по VMware AirWatch Mobile Application Management (МАМ), которое доступно напортале ресурсов по адресу https://resources.air-watch.com.


Если планируется передать мобильное приложение Workspace ONE из консолиадминистрирования AirWatch, подготовьте смарт-группы конечных пользователей, у которых естьправа на доступ к приложению.

Процедура

1. В консоли администрирования AirWatch последовательно выберите Книги и приложения >Приложения > Список > Общедоступные, а затем выберите Добавить приложение.

2. Выберите платформу (iOS, Android или Windows).

3. Выберите элемент Поиск в магазине приложений и в текстовом поле Имя введитеWorkspace ONE в качестве ключевого слова для поиска VMware Workspace ONE в магазинеприложений.

4. Нажмите кнопку Далее и щелкните Выбрать, чтобы передать приложение Workspace ONE состраницы результатов магазина приложений.

5. Настройте следующие параметры назначения и развертывания для пользователейWorkspace ONE на следующих вкладках:

Вкладка Описание

Информация Введите и просмотрите сведения о поддерживаемых моделях устройств,оценках и категориях.

Назначение Назначьте мобильное приложение Workspace ONE смарт-группам конечныхпользователей, которые могут использовать приложение на своемустройстве.

Развертывание При необходимости настройте компоненты, отвечающие за доступность, ирасширенные возможности управления корпоративной мобильной средой(Enterprise Mobility Management, EMM).

Для автоматической настройки управляемых приложений включитеотправку конфигурации приложения и задайте конфигурацию приложенийв корпоративной среде для пар «ключ–значение». См. раздел Настройкаприложения AirWatch в корпоративной среде для использования пар «ключ–значение».

Условия использования (Необязательно.) Включите параметр Условия использования дляиспользования приложения Workspace ONE.


VMware Inc. 78

6. Выберите Сохранить и опубликовать, чтобы сделать приложение доступным дляпользователей.

Выполните эти действия для каждой поддерживаемой платформы.

Настройка приложения AirWatch в корпоративной среде дляиспользования пар «ключ–значение»При развертывании приложения Workspace ONE в качестве управляемого приложения в AirWatch ивключении параметра отправки конфигураций приложения во время отправки приложенияWorkspace ONE из консоли AirWatch можно предварительно задать параметры Workspace ONE,которые применяются, когда пользователи устанавливают и запускают приложениеWorkspace ONE.

Если приложение Workspace ONE отправляется в консоль администрирования AirWatch в качествеуправляемого мобильного приложения, можно автоматически настроить URL-адрес сервераVMware Workspace ONE, значение идентификатора UID устройства, а также обязательнуюпроверку подлинности с помощью сертификата на устройствах Android.


VMware Inc. 79

Таблица 9‑1. Параметры конфигурации управляемого устройства Workspace ONE в консолиадминистрирования AirWatch

ПлатформаКонфигурационный ключ Тип значения

Конфигурационноезначение Объяснение

Все AppServiceHost String <URL-адрес сервераVMware Workspace

ONE>

Определяет URL-адрессервера для VMwareWorkspace ONE наустройствах.

iOS deviceUDID String {DeviceUid} Введитезначение UIDустройства.

Не используйтефункциюInsert Lookup Value.

Отслеживаетустройства,используемые дляпроверки подлинностив средеVMware Identity Manager.

iOS SkipDiscoveryScre

en

Логическое True Начиная с версииприложенияWorkspace ONE 3.1,можно настроить ключконфигурацииSkipDiscoveryScreen.

При установкезначения TrueWorkspace ONEпытается пропуститьэкран с адресомэлектронной почты илиURL-адресом сервера.При использовании сключом конфигурацииAppServiceHost

пользователиавтоматическипереходят на экранпроверки подлинности.Если такжеиспользуется единыйвход для мобильныхустройств,администраторы могутсоздать для конечныхпользователей болееудобные условияработы, настроивзагрузку приложенияWorkspace ONE призапускеWorkspace ONE.


VMware Inc. 80

Регистрация доменов электронной почты для автоматическогообнаруженияЧтобы конечным пользователям было проще получить доступ к порталу приложений изприложения Workspace ONE, можно зарегистрировать домен электронной почты в службеавтоматического обнаружения. Вместо URL-адреса организации конечные пользователи вводятсвой адрес электронной почты.

Когда домен электронной почты организации регистрируется для автоматического обнаружения,чтобы получить доступ к порталу приложений, конечные пользователи вводят только адресэлектронной почты на странице входа. Например, они должны ввести [email protected].

Если автоматическое обнаружение не используется, конечные пользователи должны указатьполный URL-адрес организации при первом открытии приложения Workspace ONE. Например, онидолжны ввести myco.vmwareidentity.com.

Настройка автоматического обнаружения в VMware Identity ManagerДля регистрации домена необходимо ввести адрес домена электронной почты и адресэлектронной почты на странице «Автоматическое обнаружение» в консоли администрированияуправления учетными данными.

На адрес электронной почты в домене отправляется электронное сообщение с маркеромактивации. Для активации регистрации домена необходимо ввести маркер на странице«Автоматическое обнаружение» и убедиться в правильности зарегистрированного домена.

Примечание. Чтобы настроить автоматическое обнаружение для локальных средVMware Identity Manager, необходимо войти в консоль администратора от имени локальногоадминистратора. Введите идентификатор и пароль AirWatch, созданный на веб-сайте AirWatch,https://secure.air-watch.com/register.

Процедура

1. В консоли администрирования на вкладке «Управление учетными данными и доступом»выберите Настройка > Автоматическое обнаружение.

2. (Только для локальных сред). Настройте URL-адрес автоматического обнаружения AirWatch.


URL-адрес автообнаружения Введите URL-адрес, например https://discovery.awmdm.com.

Идентификатор AirWatch Введите адрес электронной почты, зарегистрированный в AirWatch, чтобы войти насоответствующий веб-сайт.

Пароль Введите пароль, связанный с учетной записью AirWatch.

3. В текстовом поле Домен электронной почты введите домен электронной почты организации,который нужно зарегистрировать.


VMware Inc. 81

4. В текстовом поле Адрес эл. почты для подтверждения введите адрес электронной почты вуказанном домене электронной почты, чтобы получить маркер проверки.

5. Нажмите кнопку ОК.

Для регистрации этого домена электронной почты будет задано состояние «Ожидание». Толькоодин домен электронной почты может находиться в состоянии «Ожидание».

6. Откройте электронное сообщение и скопируйте маркер активации.

7. Вернитесь на страницу Управление учетными данными и доступом > Автоматическоеобнаружение и вставьте маркер в текстовое поле «Код активации».

8. Щелкните Проверить, чтобы зарегистрировать домен.

Домен электронной почты зарегистрирован и добавлен в список зарегистрированных доменовэлектронной почты на странице «Автоматическое обнаружение».

Теперь конечные пользователи могут использовать для доступа к порталу приложений вприложении Workspace ONE свой адрес электронной почты.


При наличии нескольких доменов электронной почты добавьте другой домен электронной почтыдля регистрации.

Настройка проверки подлинности для сеансаСлужба VMware Identity Manager включает в себя политику доступа по умолчанию, управляющуюдоступом пользователей к ресурсам VMware Identity Manager.

Продолжительность сеанса проверки подлинности настраивается в правилах политик, которыеопределяют максимальное количество времени, которое есть у пользователей с моментапоследнего события проверки подлинности для доступа на страницу запуска приложений или длязапуска определенного веб-приложения. По умолчанию — 8 часов. После проверки подлинности упользователей есть восемь часов для запуска веб-приложения, если они не инициируют еще однособытие проверки подлинности, которое продлит срок.

Политику по умолчанию можно изменить для изменения продолжительности сеанса. Это можносделать в консоли администрирования VMware Identity Manager на вкладке «Управление учетнымиданными и доступом» («Управление > Политики»). См. раздел «Управление политиками доступа» вруководстве по администрированию VMware Identity Manager.

Включение проверки соответствия для управляемых устройств AirWatchКогда пользователи регистрируют устройства, устанавливается расписание, по которомуотправляются образцы данных, используемые для оценки соответствия нормативнымтребованиям. Оценка этого образца данных гарантирует, что устройство соответствует правиламсоответствия, установленным администратором в консоли AirWatch. Если устройство несоответствует нормативным требованиям, будут предприниматься соответствующие действия,настроенные в консоли AirWatch.


VMware Inc. 82

В службе VMware Identity Manager предусмотрен параметр политики доступа, который можнонастроить для проверки на сервере AirWatch состояния соответствия устройства, когдапользователи входят в систему с такого устройства. Проверка соответствия гарантирует, чтопользователям, устройство которых не соответствует нормативным требованиям, запрещаетсявход в приложение или использование единого входа на портал Workspace ONE. Когда устройствоснова будет соответствовать нормативным требованиям, возможность войти будет восстановлена.

Если устройство скомпрометировано, приложение Workspace ONE автоматически выполняетвыход из системы и блокирует доступ к приложениям. Если устройство зарегистрировано спомощью адаптивного управления, через консоль AirWatch будет отправлена команда котключению устройства и удалению с устройства всех управляемых приложений. Неуправляемыеприложения не будут удалены.

Дополнительные сведения о политиках соответствия AirWatch см. в руководствеAirWatch Mobile Device Management на веб-сайте AirWatch Resources.

Стратегии развертывания для настройки несколькихорганизационных групп AirWatchAirWatch использует организационные группы для идентификации пользователей и настройкиразрешений. При интеграции AirWatch с VMware Identity Manager ключи REST API администратораи регистрирующегося пользователя настраиваются в организационной группе AirWatch типа«Заказчик».

При входе пользователя в Workspace ONE с устройства в VMware Identity Manager инициируетсясобытие регистрации устройства. В AirWatch отправляется запрос на получение любыхприложений, право на использование которых есть как у пользователя, так и у устройства. Чтобынайти пользователя в AirWatch и поместить устройство в подходящую организационную группу,запрос отправляется через REST API.

В VMware Identity Manager можно настроить два варианта управления организационнымигруппами:

n включение автоматического обнаружения AirWatch;

n сопоставление организационных групп AirWatch с доменами в службе VMware Identity Manager.

Если не настроить ни один из них, Workspace ONE попытается найти пользователя ворганизационной группе, где создан ключ REST API. Это группа «Заказчик».

Использование автоматического обнаружения AirWatchНастройте автоматическое обнаружение, если для одного каталога в дочерней группе настроенаорганизационная группа «Заказчик» или если в одной группе «Заказчик» настроено несколькокаталогов с уникальными доменами электронной почты.


VMware Inc. 83

Рисунок 9‑1. Пример 1

В примере 1 домен электронной почты организации зарегистрирован для автоматическогообнаружения. На странице входа Workspace ONE пользователи вводят только адрес электроннойпочты.

В данном примере, если пользователи в домене NorthAmerica входят в Workspace ONE, им нужноввести полный адрес электронной почты в формате «пользователь1@домен1.com». Приложениеищет домен и проверяет, существует ли пользователь или можно ли его создать при вызовекаталога в организационной группе NorthAmerica. После этого устройство можно зарегистрировать.

Использование сопоставления организационной группы AirWatch сдоменами VMware Identity ManagerСопоставление VMware Identity Manager с организационной группой AirWatch следует настроить,если в одном домене электронной почты настраивается несколько каталогов. Сопоставлениедомена с несколькими организационными группами можно включить на страницеконфигурации AirWatch в консоли администрирования VMware Identity Manager.

Если оно включено, домены, настроенные в VMware Identity Manager, можно сопоставить сидентификаторами организационных групп AirWatch. Кроме того, вам потребуется ключ REST APIадминистратора.

В примере 2 два домена сопоставляются с разными организационными группами. Вам потребуетсяключ REST API администратора. Один ключ REST API администратора используется для обоихидентификаторов организационной группы.


На странице конфигурации AirWatch в консоли администрирования VMware Identity Managerнастройте определенный идентификатор организационной группы AirWatch для каждого домена.


VMware Inc. 84

Рисунок 9‑3. Пример 2. Настройка организационной группы

С этой конфигурацией при входе пользователей в Workspace ONE с устройства в ходе запроса нарегистрацию устройства осуществляется попытка найти пользователей из домена Domain3 ворганизационной группе «Europe» и домена Domain4 в организационной группе «AsiaPacific».

В примере 3 один домен сопоставляется с несколькими организационными группами AirWatch. Обакаталога используют один и тот же домен электронной почты. Домен указывает на одну и ту жеорганизационную группу AirWatch.


В этой конфигурации при входе в Workspace ONE приложение предлагает пользователю выбратьгруппу, в которой он желает зарегистрироваться. В этом примере пользователи могут выбратьтолько группу «Проектирование» или «Учет».

Рисунок 9‑5. Организационные группы, в которых каталоги используют один и тот же домен


VMware Inc. 85

Помещение устройств в соответствующую организационную группуПри обнаружении записи пользователя устройство добавляется в соответствующуюорганизационную группу. Параметр регистрации в AirWatch Режим назначения ID группыопределяет организационную группу, в которую будет помещено. Этот параметр находится настранице «Настройки системы > Устройства и пользователи > Общие > Регистрация >Группирование».

Рисунок 9‑6. Регистрация устройств в группах AirWatch

В примере 4 все пользователи находятся на уровне организационной группы «Корпоративная».


Размещение устройства зависит от конфигурации, выбранной для режима назначенияидентификатора группы в организационной группе «Корпоративная».

n Если выбрано значение «По умолчанию», устройство помещается в группу, в которойнаходится пользователь. В примере 4 устройство помещается в группу «Корпоративная».

n Если выбрано значение «Запросить у пользователя выбор ID группы», пользователямпредлагается выбрать группу для регистрации устройства. В примере 4 в приложенииWorkspace ONE отображается раскрывающееся меню с вариантами «Проектирование» или«Учет».

n Если выбрано значение «Автовыбор на основе группы пользователей», устройствапомещаются в группу «Проектирование» или «Учет» в соответствии с назначенной группойпользователя и сопоставлением в консоли администрирования AirWatch.

Общие сведения о понятии «Скрытая группа»В примере 4 пользователям предлагается выбрать организационную группу для регистрации. Приэтом они также могут ввести значение идентификатора группы, не указанной в приложенииWorkspace ONE. Именно такая группа и называется скрытой.


VMware Inc. 86

В примере 5 в структуру организационной группы «Корпоративная» входят группы North America иBeta.


В примере 5 пользователи вводят адреса электронной почты в Workspace ONE. После проверкиподлинности отображается список с группами «Проектирование» и «Учет» на выбор. Группа«Бета» не отображается. Если идентификатор организационной группы известен, можно вручнуюввести группу «Бета» в текстовом поле выбора группы и зарегистрировать в ней устройство.


VMware Inc. 87

Работа на портале Workspace ONE 10Если приложение Workspace ONE установлено на устройствах, пользователи могут войти вWorkspace ONE, чтобы получить безопасный доступ к каталогу приложений, которые включила дляних организация. Если в приложении настроен единый вход, пользователям не придется повторновводить учетные данные для входа при запуске приложения.

Пользовательский интерфейс Workspace ONE на телефонах, планшетах и настольныхкомпьютерах работает по схожему принципу. На странице «Каталог» в Workspace ONEотображаются ресурсы, опубликованные в Workspace ONE. Чтобы выполнить поиск приложения,добавить или обновить его, а также сделать для него закладку, можно коснуться или щелкнуть его.Чтобы удалить приложение со страницы закладок, можно щелкнуть его правой кнопкой мыши.Добавить ресурсы, к которым предоставлен доступ, можно на странице «Каталог».

В эту главу входят следующие темы:n Настройка секретных кодов для приложения Workspace ONE

n Работа с приложениями в Workspace ONE

n Добавление встроенных приложений

n Использование VMware Verify для проверки подлинности пользователей

n Отправка оповещений пользователям Workspace ONE

n Работа с Workspace ONE на устройствах с Android

Настройка секретных кодов для приложения Workspace ONEНа устройствах пользователей должен быть включен компонент блокировки с помощью секретногокода. Если он не включен, при первом запуске приложения Workspace ONE для пользователейотображается запрос на создание секретного кода. Этот код необходимо вводить каждый раз, когдапользователи хотят получить доступ к Workspace ONE на устройстве.

VMware Inc. 88

Если компонент блокировки с помощью секретного кода не используется, при попытке получитьдоступ к приложению Workspace ONE для пользователей отображается запрос на созданиесекретного кода. Уровень, на котором устанавливается секретный код, зависит от платформы. Дляустройств Android секретный код устанавливается на уровне приложений. Для устройств с ОС iOSи устройств с виртуальными компьютерами Windows секретный код устанавливается на уровнеустройства.

Примечание. Устройства с iOS и Android также поддерживают компонент сканера отпечатковпальцев Touch ID.

С помощью Workspace ONE можно обнаружить возможные проблемы безопасности наустройствах. Если пользователи отключили секретный код на устройстве, в следующий раз припопытке получить доступ к приложению Workspace ONE они получат запрос на созданиесекретного кода для Workspace ONE.

Работа с приложениями в Workspace ONEПользовательский портал Workspace ONE состоит из вкладок «Каталог» и «Закладки». При первомвходе на портал Workspace ONE отображается пустая страница «Закладки».

После первого запуска открывается последняя использованная вкладка. Если нужно, чтобы призапуске всегда отображалась вкладка «Каталог», можно воспользоваться представлением«Каталог».

Рисунок 10‑1. Исходное представление страницы «Закладки»

В каталоге можно открыть или установить веб-приложения, а также мобильные и виртуальныеприложения, к которым пользователям предоставлен доступ. Чтобы добавить приложение взакладки, нужно выбрать значок ленты. Ресурсы можно сгруппировать в логические категории,чтобы пользователям было удобнее искать их на портале Workspace ONE.

Примечание. Мобильные приложения недоступны в браузерах для настольных компьютеров.


VMware Inc. 89

Рисунок 10‑2. Страница «Каталог» приложения Workspace ONE

Для запуска веб-приложений можно воспользоваться следующими компонентами.

n Вкладка «Закладки». Чтобы запустить приложение, нужно щелкнуть его значок.

n Вкладка «Каталог». Чтобы открыть приложение, нужно щелкнуть поле со стрелкой.

n «Поиск в Spotlight» или «Поиск в Workspace ONE». В «Поиск в Spotlight» на устройстве с iOSнужно выбрать значок приложения в списке, а в области поиска в Workspace ONE — щелкнутьполе со значком стрелки, чтобы открыть приложение.

Чтобы запустить установленное родное приложение, нужно щелкнуть значок приложения вSpringBoard в iOS.

Для получения доступа к параметрам Workspace ONE пользователям нужно щелкнуть стрелкураскрывающегося меню рядом с названием приложения.

n Учетная запись. Сведения о профиле пользователя, включая имя, имя пользователя и адресэлектронной почты.

n Устройства. Список устройств, с которых выполнен вход в приложение Workspace ONE, а такжесведения о дате и времени последнего входа.

n Советы по работе с приложением. Советы по работе с Workspace ONE на устройствепользователя.

n Описание. Сведения об авторском праве, патенте и лицензии Workspace ONE.

n Параметры. Параметры запуска по умолчанию при доступе к удаленным приложениям Horizonво время их просмотра из Horizon Client или браузера.

Чтобы войти на портал приложений, пользователям нужно коснуться значка приложенияWorkspace ONE. Если имеются приложения, добавленные в закладки, отобразится страница«Закладки». В приложении Workspace ONE на устройствах есть ссылки «Поддержка» и«Настройки».


VMware Inc. 90

Рисунок 10‑3. Представление портала Workspace ONE на устройстве

n На странице «Поддержка» отображаются ссылки «Устройства» и «Отправить отчет». Настранице «Устройства» содержатся сведения о последнем входе. На странице отправки отчетапользователи могут отправить вам диагностические сведения или комментарии. Пользователимогут включить или отключить эту возможность в параметрах устройства.

n На странице «Настройки» представлена версия приложения Workspace ONE и политикаконфиденциальности VMware Workspace. Пользователи могут удалить учетную запись настранице «Настройки», чтобы выйти из приложения Workspace ONE.

Использование поиска в Workspace ONEС помощью функции писка пользователи могут искать в Workspace ONE приложения по имени иликатегории.

По мере ввода текста в поле поиска на экране появляются приложения, соответствующиевведенному тексту.


VMware Inc. 91

Рисунок 10‑4. Поиск с результатами

Пользователи могут запускать веб-приложения или загружать родные приложениянепосредственно из окна результатов поиска.

На устройствах с iOS для поиска приложений на портале Workspace ONE можно воспользоватьсякомпонентом «Полезные сведения». Нужно коснуться главного экрана на устройстве с iOS ипровести вниз, чтобы появилось поле поиска компонента «Полезные сведения». При вводе имениприложения на портале Workspace ONE открывается Workspace ONE и запускается приложение.

Помощь пользователям c отправкой отчетов о проблемах, возникающих наустройствах iOSНа устройствах с iOS компонент Rage Shake можно использовать для отправки журналовразработчикам приложений iOS.

Пользователь встряхивает устройство, которое, в свою очередь, записывает сведения о текущемсостоянии и по умолчанию отправляет их в электронном сообщении разработчикам приложенияWorkspace ONE. Пользователи могут вручную ввести другой адрес электронной почты дляотправки сведений.

Параметр «Включить отзыв» или компонент Shake можно включить на устройстве на странице«Настройки > Рабочая область». Компонент Rage Shake можно использовать для отправки отчетас любого экрана на портале Workspace ONE.


VMware Inc. 92

Рисунок 10‑5. Включение отзывов в компоненте Shake

Когда в устройстве с iOS появляется сообщение об ошибке примерно такого содержания: Этоустройство зарегистрировано другим пользователем или в другой среде, можно использоватьпараметр «Сброс параметров приложения вручную» для полной очистки данных приложения,хранящихся на устройстве локально.

Добавление встроенных приложенийВстроенные приложения — это программы, которые разработаны для конкретного типа мобильныхустройств. Пользователи могут просмотреть встроенные приложения для AirWatch на странице«Каталог Workspace ONE». Например, если пользователь просматривает каталог с устройства iOS,отображаются только приложения iOS, на которые у него есть права.

Чтобы установить приложение на устройстве, на странице «Каталог» нажмите кнопку«Установить». После нажатия кнопки «Установить» отображается всплывающее окно, содержащееинформацию о дальнейших действиях. Отображаемая информация зависит от типа приложения иплатформы. Для приложений, на которых отображается значок блокировки, необходимоиспользовать устройство под управлением AirWatch. Когда конечный пользователь пытаетсяскачать приложение со значком блокировки, появляется следующее сообщение: Installation ofthis app requires enablement of Workspace Services.

Использование VMware Verify для проверки подлинностипользователейЕсли служба VMware Verify включена в качестве второго способа двухфакторной проверкиподлинности, пользователям, чтобы входить с устройства в Workspace ONE, нужно загрузитьприложение VMware Verify из магазина приложений устройства.


VMware Inc. 93

При первом входе в приложение Workspace ONE появляется запрос на ввод имени пользователя ипароля. После проверки этих сведений пользователям будет предложено ввести номер телефонаустройства для регистрации в службе VMware Verify.

Если щелкнуть Регистрация, номер телефона устройства регистрируется в службе VMware Verify.Если приложение VMware Verify не загружено, появляется запрос на его загрузку.

При установке приложения пользователю понадобится ввести номер телефона, введенный ранее,и выбрать способ уведомления для получения одноразового регистрационного кода.Регистрационный код вводится на странице закрепления регистрации.

После регистрации номера телефона устройства пользователи могут использовать одноразовыйсекретный код с ограниченным временем действия, отображаемый в приложении VMware Verify,для входа в Workspace ONE. Секретный код — это уникальный номер, который создается наустройстве и постоянно меняется.

Пользователи могут зарегистрировать несколько устройств. Секретный код VMware Verifyавтоматически синхронизируется со всеми зарегистрированными устройствами.

Отправка оповещений пользователям Workspace ONEАдминистраторы могут уведомлять пользователей Workspace ONE о предстоящем простоесистемы, состоянии соответствия, а также требовать от них какие-либо действия или отправлятьим оповещения. Уведомления можно отправлять с помощью консоли администрирования AirWatch.Такие уведомления можно просматривать в виде уведомлений устройства или уведомлений вприложении.

Работа с Workspace ONE на устройствах с AndroidС помощью приложения Workspace ONE для Android можно активировать приложенияперечисленных ниже типов.

n Веб-приложения

n Удаленные приложения, которые можно активировать в службе VMware Identity Manager.Например, виртуальные приложения Horizon, Citrix XenApp и ThinApp.

n Родные управляемые и неуправляемые приложения. Родные приложения — это приложения,разработанные для платформы Android. Бывают двух типов:

n общедоступные (распространяются через магазин Google Play);

n внутренние (распространяются в частном порядке через AirWatch и недоступны в магазинеGoogle Play).

Веб-приложения открываются в браузере. Пользователи могут получить доступ к виртуальнымприложениям с помощью VMware Horizon Client или Citrix Receiver.


VMware Inc. 94

Регистрация Workspace ONEВыполнив вход в Workspace ONE с использованием действительного URL-адреса сервера иучетных данных, пользователи смогут получить доступ к единому каталогу Workspace ONE. В немотображаются все назначенные им приложения.

Для доступа к приложениям пользователи должны зарегистрировать Workspace ONE. Послерегистрации Workspace ONE пользователи могут использовать виртуальные и веб-приложения,активированные с помощью VMware Identity Manager, приложения AirWatch для повышенияэффективности работы и неуправляемые приложения SDK.

Примечание. Приложения SDK находятся в контейнерах. Ими можно управлять с помощью SDKдля AirWatch даже на неуправляемых устройствах.

Пользователи могут включить адаптивное управление, благодаря которому на устройствеактивируется Android for Work и обеспечивается улучшенное распространение приложений, а такжеподдержка профилей и политик.

Управление Android for Work с помощью Workspace ONEПри включении Android for Work на устройствах личные и рабочие данные разделяются на уровнеоперационной системы. Android for Work, в свою очередь, четко разграничивает рабочие и личныеприложения. Android for Work создает приложения для работы, отмеченные соответствующимзначком Android.

Рисунок 10‑6. Содержимое Android for Work

Прежде чем предоставлять доступ к приложению, администраторы определяют, какие изприложений в каталоге можно использовать только на управляемых устройствах. Если приложениев каталоге требует управления, рядом с кнопкой его загрузки отображается звездочка.

Если пользователь попытается загрузить такое приложение, отобразится сообщение о том, чтоприложение можно использовать только на управляемом устройстве. Появится экран с описаниемвозможностей и преимуществ управления устройством.


VMware Inc. 95

Рисунок 10‑7. Вводная страница Workspace Services

Когда пользователь согласится включить управление Android for Work, появятся пошаговыеинструкции по его настройке. После настройки управления на устройстве создается контейнерAndroid for Work.


VMware Inc. 96

Использование каталогаWorkspace ONE 11При интеграции AirWatch с VMware Identity Manager каталог приложений Workspace ONEпредставляет собой репозиторий всех ресурсов, к которым можно предоставить доступпользователям. Пользователи могут получить доступ к управляемым корпоративным приложениямв каталоге Workspace ONE в зависимости от настроенных параметров приложения.

Доступ к облачным и мобильным приложениям, а также к приложениям для Windows можнополучить в каталоге. Пользователям портала Workspace ONE можно предоставить доступ кразработанным своими силами родным приложениям или общедоступным приложениям измагазинов приложений.

На страницах каталога в Workspace ONE можно сделать следующее:

n Добавить новые ресурсы в свой каталог.

n Просмотреть ресурсы, к которым в данный момент можно предоставить право доступапользователям.

n Получить доступ к сведениям о каждом ресурсе в каталоге.

Некоторые веб-приложения можно добавить в каталог напрямую на страницах каталога. Другиетипы ресурсов требуют выполнения действий за пределами консоли администрирования.Сведения о настройке ресурсов см. в руководстве по настройке ресурсов VMware Identity Manager.

Управление ресурсами в каталогеЧтобы предоставить пользователям право на конкретный ресурс, этот ресурс необходимо добавитьв каталог. Используемый для этого метод зависит от типа ресурса.

Чтобы распространять ресурсы среди пользователей, предоставляя им соответствующие права,необходимо определить такие ресурсы в каталоге. Это могут быть веб-приложения, приложениядля Windows, сохраненные в качестве пакетов VMware ThinApp, пулы виртуальных компьютеровHorizon Client, виртуальные приложения Horizon и приложения Citrix.

Чтобы интегрировать и активировать пулы виртуальных компьютеров и приложений Horizon Client,опубликованные ресурсы Citrix или пакетные приложения ThinApp, воспользуйтесь функциейколлекции виртуальных приложений в раскрывающемся меню на вкладке «Каталог».

Дополнительные сведения, требования, инструкции по установке и настройке этих ресурсов см. вдокументе Настройка ресурсов в VMware Identity Manager.

VMware Inc. 97

Добавление веб-приложения в каталог организацииВеб-приложения организации можно добавить в ее каталог и сделать доступными для еепользователей и групп.

Добавить веб-приложения в каталог можно непосредственно на странице «Каталог» в консолиадминистрирования. Если щелкнуть веб-приложение на странице «Каталог», отобразятсякасающиеся его сведения. На открывшейся странице можно настроить веб-приложение, напримеруказать соответствующие атрибуты SAML для настройки единого входа междуVMware Identity Manager и целевым веб-приложением. Когда веб-приложение будет настроено,пользователям и группам можно предоставить право на его использование.

При добавлении записи для веб-приложения в каталог создается запись приложения инастраивается адрес веб-приложения. В службе VMware Identity Manager запись приложенияиспользуется в качестве шаблона для установки безопасного подключения к веб-приложению.

Чтобы добавить записи веб-приложений в каталог на вкладке «Каталог», можно воспользоватьсяследующими методами.

Метод Описание

Выбор из каталогаоблачных приложений

В каталоге облачных приложений представлены популярные виды веб-приложений для бизнеса.Эти федеративные приложения настроены частично. Необходимо заполнить остальную частьформы записи приложения.

Создание новойзаписи

В каталог можно добавить веб-приложения, которые не внесены в каталог облачных приложений.Приложения, не являющиеся федеративными, создаются как новые. Записи для таких веб-приложений являются более общими, чем записи облачных приложений в каталоге. Чтобы создатьзапись приложения, необходимо ввести описание приложения и сведения о его конфигурации.

Импорт файла ZIPили JAR

Приложение, настроенное ранее в службе, можно импортировать. С помощью этого метода можнопревратить развернутую промежуточную среду в рабочую. В этом случае веб-приложениеэкспортируется из промежуточного развертывания как ZIP-файл. Затем ZIP-файл можноимпортировать в развернутую рабочую среду.

После добавления веб-приложений в каталог можно настроить сведения о правах, политикахдоступа, лицензировании и инициализации.

Группировка ресурсов в категорииРесурсы можно сгруппировать в логические категории, чтобы пользователям было удобнее искатьнеобходимые ресурсы на портале Workspace ONE.

При создании категорий учитывайте структуру организации, функциональные обязанностиресурсов и тип последних. Ресурсу можно назначить несколько категорий. Например, можносоздать категорию под названием «Продавец-консультант» и другую категорию под названием«Торговые ресурсы для персонала». Назначьте категорию «Продавец-консультант» всем ресурсам,связанным с продажами, в каталоге. Кроме того, назначьте категорию «Торговые ресурсы дляперсонала» определенным ресурсам, связанным с продажами, к которым предоставляется доступтолько продавцам-консультантам.


VMware Inc. 98

После создания категории можно применить ее к любому из ресурсов в каталоге. Можно такжеприменить несколько категорий к этому ресурсу.

При входе на портал Workspace ONE пользователи видят разрешенные для просмотра категории.

См. раздел «Управление каталогом» в руководстве по администрированиюVMware Identity Manager.


VMware Inc. 99

Настройки корпоративного стиля дляслужб VMware Identity Manager 12При необходимости можно настроить логотипы, шрифты и фон, которые отображаются в консолиадминистрирования, на экранах входа в систему для пользователей и администратора, а также ввеб-интерфейсе портала приложений Workspace ONE и самого приложения Workspace ONE намобильных устройствах.

Чтобы в оформлении использовалась цветовая грамма, логотипы и корпоративный стилькомпании, можно воспользоваться средством настройки.


n Настройка корпоративного стиля в службе VMware Identity Manager

n Настройка корпоративного стиля для пользовательского портала

Настройка корпоративного стиля в службеVMware Identity ManagerДля консоли администрирования и пользовательского портала можно добавить в адресную строкуназвание компании, название продукта и значок веб-сайта. Кроме того, можно настроить страницувхода таким образом, чтобы цвет фона соответствовал цветам и дизайну эмблемы вашейкомпании.

Процедура

1. В консоли администрирования на вкладке «Управление учетными данными и доступом»выберите Настройка > Фирменная настройка.

2. Измените следующие параметры в форме так, как это необходимо.

Поле формы Описание

Вкладка «Названия и логотипы»

Название компании Название компании применяется как для настольных компьютеров, так и для мобильныхустройств. Название компании можно добавить в качестве заголовка, который будетотображаться на вкладке браузера.

Чтобы изменить название, введите название компании вместо текущего.

Название продукта Название продукта применяется как для настольных компьютеров, так и для мобильныхустройств. Название продукта отображается на вкладке браузера после названия компании.

VMware Inc. 100

Поле формы Описание

Значок веб-сайта Значок веб-сайта — это связанный с URL-адресом значок, который отображается вадресной строке браузера.

Максимальный размер значка веб-сайта — 16 х 16 пикселей. Поддерживаются форматыJPEG, PNG и GIF и ICO.

Щелкните Загрузить на сервер, чтобы загрузить новое изображение вместо текущегозначка веб-сайта. Отобразится запрос на подтверждение изменения. Изменение произойдетнемедленно.

Вкладка «Экран входа»

Логотип Щелкните Загрузить на сервер, чтобы загрузить новый логотип и заменить текущий наэкранах входа. При нажатии кнопки Подтвердить изменения применяютсянезамедлительно.

Минимальный рекомендуемый размер передаваемого изображения — 350 х 100 пикселей.Если передать изображения, размер которых превышает 350 х 100 пикселей, онимасштабируются до этого размера. Поддерживаются форматы JPEG, PNG и GIF.

Фоновый цвет Это цвет фона экрана входа.

Чтобы его изменить, перезапишите шестизначный шестнадцатеричный код цвета новымзначением.

Цвет фона поля Цвет рамки экрана входа можно настроить.

Перезапишите шестизначный шестнадцатеричный код цвета новым.

Цвет фона кнопки входа Цвет кнопки входа в систему можно настроить.


Цвет шрифта кнопкивхода

Цвет текста, который отображается на кнопке входа в систему, можно настроить.


При настройке экрана входа в систему перед сохранением изменений можно просмотреть их вобласти предварительного просмотра.


Обновления пользовательского корпоративного стиля в консоли администрирования и настраницах входа применяются в течение пяти минут после нажатия кнопки «Сохранить».


Проверьте изменения корпоративного стиля в различных интерфейсах.

Обновите внешний вид портала Workspace ONE и интерфейса для мобильных устройств ипланшетов. См. Настройка корпоративного стиля для пользовательского портала.

Настройка корпоративного стиля для пользовательского порталаВы можете добавить эмблему, изменить цвет фона, а также добавить изображения для настройкипортала Workspace ONE.


VMware Inc. 101

Процедура

1. На вкладке «Каталоги» в консоли администрирования выберите Параметры > Фирменнаясимволика пользовательского портала.

2. Измените параметры в форме так, как это необходимо.

Элемент формы Описание

Логотип Добавьте основной логотип, который будет использоваться в качестве баннера в верхнейчасти консоли администрирования и на веб-страницах портала Workspace ONE.

Максимальный размер изображения — 220 х 40 пикселей. Поддерживаются форматы JPEG,PNG и GIF.

Портал

Основной цвет фона Чтобы его изменить, перезапишите шестизначный шестнадцатеричный код основного цветафона новым значением. При вводе нового кода цвет фона будет автоматически меняться наэкране предварительного просмотра портала приложений.

Основной цвет текста Чтобы его изменить, перезапишите шестизначный шестнадцатеричный код цвета текста,который отображается в основной области, новым значением.

Фоновый цвет Это цвет фона экрана веб-портала.

Чтобы его изменить, перезапишите шестизначный шестнадцатеричный код цвета новымзначением. При вводе нового кода цвет фона будет автоматически меняться на экранепредварительного просмотра портала приложений.

Выберите Выделение фона цветом, чтобы подчеркнуть цвет фона. Если параметр«Световой эффект фона» включен, а браузер поддерживает несколько фоновыхизображений, в средстве запуска и на страницах каталога фоновые изображениянакладываются друг на друга.

Выберите Фоновый рисунок, чтобы использовать в качестве фона стандартный узор ввиде треугольников соответствующего цвета.

Цвет фона значка Введите шестизначный шестнадцатеричный цветовой код для изменения цвета фона,окружающего значки приложений.

Прозрачность фоназначка

Для того чтобы настроить прозрачность, переместите ползунок.

Имя и цвет значка При необходимости можно выбрать цвет текста для имен, которые отображаются подзначками на страницах портала приложений.

Чтобы изменить цвет шрифта, перезапишите шестнадцатеричный код цвета новымзначением.

Эффект надписи Выберите тип эффекта, который будет использоваться для текста на экранах порталаWorkspace ONE.

Выделение фонацветом

Если функция включена, в браузерах с поддержкой нескольких фоновых изображенийналожение фона отображается на страницах закладок и каталога.

Фоновый рисунок Если функция включена, в браузерах с поддержкой нескольких фоновых изображенийналожения фона отображаются на страницах закладок и каталога.

Изображение(необязательно)

Чтобы вместо цветной заливки использовать на экране портала приложений фоновоеизображение, загрузите это изображение.



VMware Inc. 102

Обновление пользовательского корпоративного стиля на пользовательском портале выполняетсякаждые 24 часа. Чтобы изменения отобразились раньше, администратор может открыть новуювкладку и ввести этот URL-адрес, подставив свое доменное имя вместо myco.example.com:https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true.


Просмотрите изменения корпоративного стиля в различных интерфейсах.


VMware Inc. 103

Доступ к другим документам 13При настройке Workspace ONE может потребоваться справочная документация по VMware IdentityManager и VMware Airwatch.

Для получения полного списка документации по AirWatch 9.2 перейдите на страницу https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm.

Для получения общей документации по AirWatch можно перейти в раздел AirWatch Resources напортале myAirWatch и выполнить поиск других версий документации.

Для получения общей документации по VMware Identity Manager можно перейти на страницу https://docs.vmware.com/ru/VMware-AirWatch/index.html.

VMware Inc. 104

https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm

https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm

https://resources.air-watch.com

https://resources.air-watch.com

https://docs.vmware.com/ru/VMware-AirWatch/index.html

развертыванию Руководство по vmware workspace oneРуководство...

Documents