VMware AirWatch 行動裝置管理指南...第9章：裝置指派 127 啟用裝置指派 127...

VMware AirWatch行動裝置管理指南管理您企業的行動裝置

對本文件有任何意見反應嗎？請使用 support.air-watch.com中的 Support Wizard，送出文件意見反應支援票

據。

Copyright©2018 VMware, Inc.版權所有。本產品係受美國和其他國家之版權及智慧財產權相關法律以及國際條約保護。VMware產品係受

http://www.vmware.com/go/patents上所列之一項或多項專利的保護。

VMware係 VMware, Inc. 在美國和其他管轄區域的註冊商標或商標。此處所提及的所有其他標誌和名稱，可能分別為其相關公司的商標。

VMware AirWatch行動裝置管理指南 | v.2018.10| October 2018

Copyright©2018 VMware, Inc.版權所有。

1

http://support.air-watch.com/

目錄

第 1章：行動裝置管理簡介 6

行動裝置管理的優點 6支援的瀏覽器 6支援的平台 7

第 2章：Workspace ONE UEM主控台 8

傳送意見反應 8使用入門精靈 8管理帳戶設定 10標題功能表 12主功能表 13摺疊與擴展子功能表 14全域搜尋 14UEM主控台通知 14UEM主控台 Monitor總覽 16

第 3章：環境設定 22

登入 UEM主控台 22APNs憑證 22隱私權和資料收集 23使用條款 28主控台品牌化 30受限制的 UEM主控台動作 31其他要整合的企業系統 34

第 4章：使用者和管理員帳戶 35

使用者驗證類型 35基本使用者帳戶 41目錄型使用者帳戶 44使用者帳戶清單檢視 47批次匯入功能 49管理員帳戶 52

2



第 5章：身份式存取 54

預設和自訂身份 54使用者身份 56管理員身份 57

第 6章：指派群組 66

建立自訂指派群組清單 66指派一或多個指派群組 67企業群組 68智慧群組 73使用者群組 78管理員群組 85檢視指派 87

第 7章：裝置註冊 88

透過 Workspace ONE Intelligent Hub註冊裝置 88其他的註冊工作流程 89Workspace ONE直接註冊 89基本註冊與目錄服務註冊 93自攜裝置 (BYOD)註冊 95自我註冊與裝置註冊預備 97裝置登記 102配置註冊選項 109使用黑名單和白名單來執行裝置登記 115其他的裝置限制 116自動探索註冊 121

第 8章：共用裝置 123

定義共享裝置的階層架構 124共用 Android裝置的登入與登出 124共用 macOS裝置的登入與登出 125從 UEM主控台簽入共用裝置 125啟用目錄服務型註冊 126

3



第 9章：裝置指派 127

啟用裝置指派 127定義裝置指派規則或網路範圍 129

第 10章：裝置設定檔 131

設定檔處理 131新增一般設定檔設定 131裝置設定檔清單檢視 133裝置設定檔編輯 136合規設定檔 137地理柵欄區域 138時間排程 140檢視裝置指派 141

第 11章：資源 142

資源清單檢視 142新增 Exchange資源 143新增 Wi-Fi資源 148新增 VPN資源 151

第 12章：合規原則 158

合規原則清單檢視 159依平台而定的合規原則規則 160新增合規原則 163

第 13章：裝置標記 168

按照標記來篩選裝置 168建立新標記 168新增標記 169管理標記 170

第 14章：管理裝置 171

裝置儀表板 171裝置清單檢視 173

4



裝置明細 179依平台而定的裝置動作 182註冊狀態 187抹除保護 188查閱值 190

第 15章：憑證管理 192

數位憑證清單檢視 192憑證整合資源 192

第 16章：自訂屬性 194

自訂屬性資料庫 194建立自訂屬性 194匯入自訂屬性 194特定平台自訂屬性佈建 194建立自訂屬性 195自訂屬性匯入 195使用自訂屬性來指派企業群組 196

第 17章：自助入口網站 198

從裝置上存取自助入口網站 198自助入口網站 (SSP)的自訂內容 198產品改進計劃設定 198Token型的安全措施 198配置 SSP的預設登入頁面 199SSP的「我的裝置」頁面 199SSP中的遠端動作 200自助入口網站動作表格 203VMware Content Locker選項 203

5



第 1章：行動裝置管理簡介行動裝置是寶貴的企業工具。這些裝置能夠讓員工立即存取內部的內容和資源。然而，行動平台、作業系

統和版本的多樣性，可能會使管理裝置集成為相當棘手的事。Workspace ONE ™Unified Endpoint ManagementMobile DeviceManagement (MDM)提供這些問題的解決之道，它讓您能夠輕易地設定、保護、監控和管理企

業中各種類型的行動裝置。

行動裝置管理的優點

行動裝置管理為安全性考量提供了優雅的解決方案，也提升了企業機動的存取性。

l 透過單一主控台來管理大規模的行動裝置部署。

l 在您的企業環境下輕鬆快速地註冊裝置。

l 隔空配置與更新裝置設定。

l 加強安全性和合規原則。

l 保護行動存取與企業資源的安全性。

l 遠端鎖定與抹除受管的裝置。

您可量身打造貴公司的 MDM環境，以便即時存取裝置的地理位置，以及有關目前的使用者和內容等資

訊。您還可以自動化 MDM的部署，依據每個使用者或企業群組獨特的規則和警告訊息，強制安全性與合

規性的設定。此外，還可按照裝置的地理位置來限制或啟用相關的內容和功能。

此指南概述如何建立、配置和維護您的 MDM部署。

支援的瀏覽器

Workspace ONE統一端點管理 (UEM)主控台支援下列網頁瀏覽器最新的穩定組建。

l Chrome

l Firefox

l Safari

6



l Internet Explorer 11

l Microsoft Edge

注意 :如果使用 IE來存取 UEM主控台，請導覽至控制面板 > 設定 > 網際網路選項 > 安全性，並確認您

的安全性層級或自訂的安全性層級包含設定為啟用的字型下載選項。

如果您使用比上述還舊的瀏覽器版本，請升級您的瀏覽器，以確保 UEM主控台的效能。系統已執行完整

的平台測試，以確定在使用這些 Web瀏覽器時，所有的功能都能正常運作。如果您選擇在未經認證的瀏

覽器中執行 UEM主控台，可能會有些許問題。

支援的平台

Workspace ONE UEM支援下列裝置和作業系統。

l Android 4.0+ l Tizen 2.3+

l Apple iOS 7.0+ l Windows桌面 (8/8.1/RT/10)

l Apple iOS 10.9以上版本 l Windows 7 (Windows 7或以上版本)

l ChromeOS (最新版本) l Windows Phone (Windows Phone 8/8.1、Windows 10Mobile)

l QNX 6.5+ l Windows堅固型 (Mobile 5/6和 Windows CE 4/5/6)

其他裝置或作業系統可能適用的有限支援。只有 iOS和 Android裝置可支援 Workspace ONE直接註冊。如需

詳細資訊，請參閱Workspace ONE直接註冊於第 89頁。

搜尋線上說明以參閱各個平台專用的指南、造訪 docs.vmware.com，或聯絡 VMware支援服務，以取得詳細

資訊。

第 1章：行動裝置管理簡介

7



第 2章：Workspace ONE UEM主控台Workspace ONE ™統一端點管理 (UEM)主控台可讓您檢視並管理行動裝置管理 (MDM)部署的每一層面。透

過此單獨 Web式的資源，您可輕鬆快速地將新的裝置和使用者加入您的團隊、管理設定檔，以及配置系

統設定。

瞭解安全設定和介面功能，例如使用入門精靈、功能表圖示、傳送意見反應和全域搜尋。

傳送意見反應

您可以選擇完成問卷調查，根據 Workspace ONE UEM console的使用體驗提供您的寶貴意見。您的意見反應

是我們改良軟體的助力。在右上角選擇您的使用者名稱，然後選擇傳送意見反應，即可開始自行填寫問

卷調查。若在 30天內登入超過 25次，則會出現快顯視窗，您也可以選擇加入。如果您選擇退出此快顯視

窗，以後將不會再看見此提示。

使用入門精靈

「使用入門精靈」具備檢查清單的功用，可逐步引導您完成 Workspace ONE ™統一端點管理 (UEM)主控台的

設定。它只會為您呈現特定部署中那些根據配置量身而訂製，能為入門者帶來良好體驗的模組。

瀏覽使用入門精靈

使用入門精靈主功能表，會以您最方便的方式執行。它不只會追蹤您在配置程序中目前的進度，還可以

啟動、暫停、稍後重新啟動，以及回顧以審查、甚至變更先前的回應。

l 選擇啟動精靈，以在子模組中開始第一個步驟。您需要在此處回答一些問題，並且進入 UEM主控台中

某特定的頁面，才能配置每項功能的設定。當您完成每個子模組後，右上角的百分比計數器會更新進

度，並顯示您還要多少才能完成子模組。

l 如果在還未完成子模組的設定之前暫停操作，只要選取繼續便可回到先前暫停之處。

l 您也可以選取跳過此區段來退出任何模組，此功能暫時停用「繼續」按鈕並且插入繼續此區段的連結。

選取此連結，即可再次啟用「繼續」按鈕。

「使用入門」的頁面會分為四個子模組：Workspace ONE、裝置、內容和應用程式。每個子模組都有其各自的

執行步驟。系統會自動追蹤這些子模組所共用的步驟，所以您無須重複執行相同的步驟。

8



l Workspace ONE –代表從任何員工或企業擁有的裝置都可直接存取。安全地連線至企業生產力 APP，例如 Email、行事曆、聯絡人、文件等。快速、單一登入 (SSO)存取行動裝置、雲端和 Windows應用程式。強

大的資料安全性，可保護企業和員工的裝置免遭破解。

如需深入瞭解 Workspace ONE，請前往 docs.vmware.com參閱 VMwareWorkspace ONE文件。

l 裝置 –在已註冊 MDM的裝置上執行鎖定、通知或企業抹除之類的動作。部署設定檔以便配置 Email、限制和設定等功能。配置合規原則以確保您的裝置團隊均符合安全性原則。從儀表板和 Monitor上查

看如何對裝置做最佳的管理。

l 內容 –部署內容，並可在 Content Locker應用程式中即時存取此內容。透過內容儀表板、報告和記錄來

檢視並管理內容。使用個人內容來與他人共享和協作。與現有的存放庫整合，並將您的內容部署到行

動裝置上。

l 應用程式 –部署內部開發的、免費公用的或購買的應用程式。部署自訂的 APP目錄，讓使用者能夠搜

尋並下載應用程式。建立應用程式的白名單和黑名單，與合規性或 APP控制設定檔整合。配置比如

APP掃描之類的進階應用程式管理選項。

瀏覽 Workspace ONE、裝置、內容和應用程式精靈

這四個子模組，每個都會根據您企業的需求，顯示代表您可以配置或忽略之功能的區段清單。沒有配置

的功能會顯示未完成勾選方格，而已配置的功能則會顯示綠色的完成勾號。

l 選取配置按鈕，即可開始定義您所要的功能設定。

l 若要檢閱或變更已完成功能的設定，請選取編輯按鈕。

l 完成進度長條圖的百分比會在您完成每個功能時顯示進度。

l 大部分功能在配置或編輯按鈕旁都會有影片按鈕。此影片可讓您查看使用中的功能，並協助您了解該

功能可如何幫助您的企業。

l 子模組中的部分功能可以略過，而且不會影響完成進度長條圖的百分比。如果適用，請選取略過此步

驟按鈕，以從清單移除功能。若要再次顯示功能，請選取重新啟動按鈕。

部分功能有先決條件。舉例來說，要使用行動單一登入，就必須要有已經配置的 Enterprise Connector、Active Directory和 VMware Identity Manager。可能的話，您可以選取按鈕以開始這些必要功能的配置。

手動啟用使用入門精靈

如為初次操作 Workspace ONE UEM，請從左側面版 Monitor圖示上方的主功能表存取「使用入門」頁面。但

是，您也可以隨時手動啟用使用入門精靈。手動啟用入門精靈，就會重新開始逐步說明。

1. 選擇任何非最高層級的企業群組。

2. 瀏覽至群組 & 設定 > 群組 > 企業群組 > 企業群組明細。確認您目前所屬的是「客戶」層級的企業群組，

然後儲存您所做的變更。

3. 導覽至群組與設定 > 所有設定 > 系統 > 使用入門。

4. 為此頁面上的每個設定選取啟用：

a. Workspace ONE 開始使用狀態

b. 「使用入門」裝置狀態

第 2章：Workspace ONE UEM 主控台

9



c. 「使用入門」內容狀態

d. 「使用入門」應用程式狀態

5. 儲存對頁面所做的變更。

如需進一步資訊，請參閱企業群組於第 68頁。

管理帳戶設定

您可以管理自己的帳戶設定。可管理的設定包括個人使用者資訊、通知偏好設定、登入記錄和安全性配

置。

使用者

在使用者標籤內輸入 Email、最多四組不同電話號碼、時區與地區等個人資訊，確保他人能與您聯絡。

通知

使用帳戶設定頁面的「通知」設定，即可啟用或停用 APN到期警示、選取接收警示的方法，以及變更傳送警

示用的電子郵件。如需詳細資訊，請參閱配置通知設定於第 16頁。

登入

檢閱您的完整登入記錄，包括登入日期和時間、來源 IP位址、登入類型、來源應用程式、瀏覽器品牌與版

本、作業系統平台和登入狀態。

系統管理員和 AirWatch管理員可以設定在管理員遭主控台鎖定之前，無效登入嘗試次數的上限，請導覽

至群組與設定 > 所有設定 > 管理員 > 主控台安全性 > 密碼。

登入嘗試失敗次數超過上限時，您將遭到鎖定，無法再使用 UEM主控台。若發生此情況，您必須使用登入

頁面上的疑難排解連結來重設密碼。或者，您可以要求管理員使用管理員清單視圖為帳戶解鎖。帳戶遭到

鎖定或成功解鎖時，您都會收到電子郵件通知。

安全

您可以重設登入密碼、密碼復原問題和四位數安全 PIN碼。

密碼

登入 UEM主控台時，除帳戶使用者名稱外，還需要輸入的密碼。您可以隨時重設此密碼。

密碼復原問題

密碼復原問題是一種重設密碼時可使用的方式。您必須在首次登入 UEM主控台時定義這個問題與答案。

您可以選取重設按鈕以選取新的密碼復原問題。執行此動作後，系統會自動將使用者登出。再次登入時，

系統會在安全性設定畫面上顯示這些密碼復原問題，同時要求您從清單中選取問題並提供答案。

如果管理員從未選取密碼復原問題，也沒有這些問題的重設按鈕，就必須將帳戶刪除再重新建立。當他們

重新建立帳戶並首次登入時，系統會要求定義密碼復原問題和答案。

未能正確回答密碼復原問題超過三次，將遭到鎖定，無法再使用登入頁面。若發生此情況，您必須使用登

入頁面上的疑難排解連結，重設密碼。或者，您可以要求管理員使用管理員清單視圖為帳戶解鎖。帳戶遭

到鎖定或成功解鎖時，您都會收到電子郵件通知。


10



安全 PIN 碼

建立安全 PIN 碼可確保 UEM主控台的安全性。PIN碼可以保護裝置或環境中各種重要的資訊 (例如：使用

者和企業群組)不被意外地抹除或刪去。安全 PIN也可作為第二層的安全防護。這是一個額外的驗證點，

可以透過封鎖動作來封鎖未經核准的使用者所做的各種動作。

當您首次登入 UEM主控台時，系統會要求您建立安全 PIN碼。

每隔一段時間就重設一次安全 PIN碼，可將安全風險最小化。


11



標題功能表

幾乎每頁的 Workspace ONE ™統一端點管理 (UEM)主控台上方都會顯示標題功能表，方便存取以下功能。

l 企業群組 –選擇您要套用變更的企業群組 (標示為「全域」的標籤)。

l 新增 –快速建立管理員、裝置、使用者、原則、內容、設定檔、內部應用程式或公用應用程式。

l 全域搜尋 – ( )在 UEM主控台中搜尋各方面的部署，包括裝置、使用者、內容、應用程式、配置設定、

管理員、頁面等等。

l 通知 – ( )利用通知功能，隨時取得有關重要主控台事件的資訊。在通知的鈴鐺圖示上方有一數標，

能提醒您有幾個警示訊息需要注意。

l 已儲存 – ( )在 UEM主控台中存取您的最愛及最常用的頁面。

l 說明 – ( )瀏覽或搜尋可用指南及 UEM主控台文件。

l 帳戶 –檢視您的帳戶資訊。在目前環境中，變更已指派給您的帳戶身份。自訂聯絡人資訊、語言、通知

的設定，檢視登入以及安全性設定 (包括 PIN碼重設在內)的歷程記錄。您也可以登出 UEM主控台並返

回登入畫面。

l 重新整理 – ( )重新整理畫面以查看更新狀態和資訊而不離開目前檢視。

l 可用區段 – ( )只選取您想看到的區段，藉此自訂 Monitor總覽視圖。您僅可以從 Monitor畫面使用此

功能。

l 匯出– ( )產生完整或經過篩選 (如果使用篩選功能)的使用者、裝置、設定檔、APP、書籍或原則清單

後，以逗點分隔值 (CSV)的檔案格式列出，供您透過 Excel檢視與分析。

l 主畫面 – ( )使用此圖示來指派任何 UEM主控台中的頁面作為主畫面。下次開啟 UEM主控台時，您所

選擇的畫面就會顯示為主畫面。

l 儲存 – ( )將目前頁面新增至已儲存頁面清單，以便快速存取您最愛的 UEM主控台頁面。

更多相關資訊，請參閱以下主題。

企業群組於第 68頁。

管理帳戶設定於第 10頁。

身份式存取於第 54頁。

UEM主控台通知於第 14頁。

Workspace ONE UEM主控台於第 8頁。

UEM主控台 Monitor總覽於第 16頁。


12



主功能表

主功能表可讓您瀏覽至您的角色，以及行動裝置管理 (MDM)部署可以使用的功能。

使用入

門

確保您能夠成功建立各方面的基本部署。「使用入門」已經過妥善組織，可在 Workspace ONE ™統一端點

管理 (UEM)主控台部署中僅僅反映您所感興趣的那些模組，帶來良好的使用體驗，與您的實際配置更

加相符。

監視器可檢視並管理對您而言最富決定性的 MDM資訊，也能快速概覽您的裝置團隊。可檢視資訊，例如大部

分違反合規性而列入黑名單的 APP。可使用管理員面板儀表板來追蹤模組授權，並監控目前不合規定

的所有裝置。可選取並執行產業範本，從而為特定產業的 APP簡化入門程序，並簡化 iOS裝置的原則。

裝置存取團隊裝置的通用特性概述，其中包括合規狀態、擁有權類型細目、最後上線時間、平台類型以及註

冊類型等。依照您的喜好切換整個儀表板、清單檢視和明細檢視等視圖。您也可以存取其他的索引標

籤，包括目前所有的設定檔、註冊狀態、通知、抹除防護設定、合規原則、憑證、產品佈建和印表機管理

等。

帳戶審查並管理與您 MDM部署有關的使用者和管理員。存取並管理使用者群組、身份、批次狀態，以及與

使用者相關的設定。此外，您還可以存取並管理與管理員有關聯的管理員群組、身份、系統活動和設定

等。

APP &書籍

存取並管理 APP目錄、書籍目錄、以及大量採購方案 (VPP)的訂單。同時還可檢視應用程式的分析和記

錄，以及包括 APP類別、智慧群組、APP群組、精選 APP、地理柵欄和與 APP有關聯的設定檔等的各種設

定。

Content 存取內容使用狀況的詳細概覽，其中包括儲存空間的歷史趨向、使用者和內容狀態、參與情況以及使用

者明細等等。管理並上傳使用者和裝置可使用的內容。此外，您還可存取批次匯入的狀態、內容類別、內

容存放庫、使用者儲存空間、VMware Content Locker 主畫面配置，以及所有其他特定內容的設定。

Email 針對您的部署來存取有關 Email資訊的詳細概觀。這類資訊包括 Email管理狀態、受管裝置、Email原則

遭違反的情形、部署類型和最後上線時間。

電信針對已啟用電信功能的裝置存取其詳細概觀，包括使用記錄、方案的使用情形和漫遊資料。檢視並管

理電信使用情況並漫遊追蹤，包括通話、簡訊服務 (SMS)和內容設定等等。

群組 &設定

管理有關企業群組、智慧群組、APP群組、使用者群組和管理員群組的結構、類型和狀態。配置整個系

統的設定或存取與所有主功能表選項相關的設定。


13



摺疊與擴展子功能表

您可以選取 Workspace ONE ™統一端點管理 (UEM)主控台底部的箭頭來摺疊

子功能表。此動作可為畫面騰出更多空間來顯示資訊。

要展開或重新開啟子功能表，請選擇修改的箭頭。

全域搜尋

利用標籤介面使用模組設計時，全域搜尋會在您整個部署中執行搜尋。全域搜尋每次只會套用您的搜尋

字串至單一標籤，以更快的速度找到搜尋結果。若要套用相同的字串至 Workspace ONE™UEM主控台的其

他區域，請選取另一個標籤。

在執行全域搜尋之後，您可選取以下的標籤來檢視結果。

l 裝置 –傳回與裝置暱稱和裝置設定檔名稱相符的搜尋結果。

l 帳戶 –傳回與使用者名稱和管理員名稱相符的搜尋結果。

l 應用程式 –傳回與內部、公用、已購買和 Web應用程式相符的搜尋結果。

l 內容 –傳回任何與裝置上出現的內容相符的結果。

l 設定 –傳回與個別欄位層級的設定和主控台主頁相符的搜尋結果。

您也可透過企業群組的下拉式功能表，來執行企業群組的搜尋。搜尋列在清單上方。

UEM主控台通知

「通知」是一項通訊工具，可讓您隨時瞭解可能影響運作的 Workspace ONE ™統一端點管理 (UEM)主控台事

件。「通知」按鈕在全域搜尋按鈕的旁邊。

通知有各種類型。


14



l MDM APNs 到期 –系統能在 MDM的 APNs憑證到期前 30天，透過重大優先順序警示來通知您。APNs憑證到期後，重大優先順序警示便會降等為高優先順序警示。此通知可幫助您減少憑證過期的麻煩，並

使您的裝置與 Workspace ONE UEM保持連線。

l 應用程式的 APNs 憑證到期 –系統能在應用程式的 APNs到期前 30天，透過重大優先順序警示來通知

您。此通知可幫助您減少憑證過期的麻煩，並使您裝置上的 APP可持續運作。

l APP 移除防護 –超過應用程式移除閾值時，會顯示這個最高優先的警示。若要採取行動，可選擇通知

快顯視窗上的檢閱 APP移除連結。

l 裝置 APP 記錄儲存警示 –這項通知是儲存記錄超過其容量的 75%時顯示的高優先級警示。請聯絡支援

代表以協助清除記錄或提高上限。可解除此警示。

l 清單檢視匯出 -請求的裝置或使用者清單檢視已匯出完成，且已準備好接受檢視時，會顯示此通知。

此通知是資訊優先層級，可予以解除。

l 點對點伺服器更新 –如果有新的點對點用戶端版本可用、且您可升級伺服器以避免服務中斷，您就會

收到通知。

l 佈建設定檔到期 –如果有包含應用程式的佈建設定檔到期，需要您重新產生並更新佈建設定檔，您就

會收到通知。此通知是重大優先層級，不可予以解除。

l 使用者群組合併擱置 –此通知讓您了解使用者群組合併程序處於擱置狀態，需要管理員核准。這類通

知發生在兩種情況：

o 目錄型使用者群組停用了自動合併變更設定，也就是說所有變更都需要經過核准。

o 啟用自動合併變更，變更次數超過可允許變更閾值上限。超過閾值的部分變更需要管理員的核

准。

l VPP 應用程式自動更新 -高優先順序警示，通知您安裝 Apple大量採購方案的應用程式已有可安裝的

更新版本。

有關「裝置生命週期通知」的資訊，請參閱配置生命週期通知於第 114頁。

管理 UEM主控台通知

當有作用中的通知需要您注意時，該警告圖示便會出現一個數字標記，來提示您尚有幾個作用中的警示

訊息。若要顯示通知快顯，請選擇鐘形通知圖示。

您可管理收到的通知。此管理包括檢視使用的警示清單、更新 APNs、關閉過期的警示、檢視已解除警示的

清單以及配置通知設定。

每個警示都會顯示 MDM憑證的 APNs所在的企業群組。警示也會顯示憑證的到期日期，以及更新 APNs的連結。

l 檢視作用中的警示 –預設的檢視，會顯示作用中警示的清單。

l 更新 APNs –顯示變更企業群組 (OG)畫面。若管理裝置 (授權即將到期)的 OG與目前所處的 OG不同，

將出現此畫面。若要更新此 APNs授權，請選擇是，以自動變更 OG。

請遵循 MDM APNs設定頁面上的指示來更新授權，並讓裝置與 Workspace ONE ™UEM保持連線。

l 關閉警示 –選取 X按鈕即可關閉過期的警示，並將其傳送至已關閉的警示清單。您無法關閉重大優先


15



順序的通知。

l 檢視已關閉的警示 –選取位於通知快顯視窗頂端的已關閉標籤，即可檢視已關閉警示的清單。

配置通知設定

使用帳戶設定頁面的「通知」設定，即可啟用或停用 APN到期警示、選取接收警示的方法，以及變更傳送警

示用的 Email。

若要配置通知設定，請遵循下列步驟。

1. 請選取幾乎在每個 Workspace ONE ™統一端點管理 (UEM)主控台頁面都能找到的帳戶按鈕，接著選取

管理帳戶設定並選取通知標籤。

選取通知快顯畫面右下角的齒輪圖示，也可以存取通知設定頁面。

2. 選取每次發生下列事件時希望獲得通知的方式。

設定描述

APNs 到期時間此通知可幫助您減少憑證過期的麻煩，並使您的裝置與 Workspace ONE UEM保

持連線。

清單檢視匯出完成使用者清單檢視或裝置清單檢視的匯出時，您可觸發警示。

使用者群組合併 Active Directory資料庫變更與 Workspace ONE UEM同步，且自動合併變改已停用

時，您可觸發警示。

VPP APP 自動更新若安裝 Apple大量採購方案的 APP具有可安裝的更新版本時，您可觸發警示。

應用程式 APN 憑證

過期

此通知可幫助您減少憑證過期的麻煩，並使您裝置上的 APP可持續運作。

佈建設定檔過期如果有包含應用程式的佈建設定檔到期、需要您重新產生並更新佈建設定檔，

您就會收到通知。

3. 依需求選擇無、主控台、Email和主控台和 Email，以便查看個別事件。

選取 Email 和主控台和 Email，您必須在「傳送電子郵件到：」欄位輸入至少一個電子郵件地址。您可以

輸入多個電子郵件地址，並以逗號分隔。

4. 儲存或取消您的變更。

UEM主控台 Monitor總覽

Workspace ONE ™統一端點管理的 Monitor總覽是您快速存取重要資訊的中央入口網站。您可以在 UEM主

控台的單一位置上，快速辨識重要問題並且採取行動。


16



在頁面上選擇任意欄或圓環圖，可顯示裝置清單檢視。此清單檢視包含與所選衡量標準相關的所有裝

置。然後，您可以執行動作，例如向那些裝置傳送訊息。

例如，選擇防毒狀態圓環圖。幾秒鐘內，裝置清單檢視會顯示一張清單，列出因缺少防毒軟體而觸發違規

原則的裝置。若要選擇此清單中的所有裝置，請按一下每個裝置最左側的勾選方格。您也可以選擇新增

裝置按鈕下方的「全選」勾選方格。動作按鈕叢集顯示在清單上方。選擇傳送按鈕，向所選裝置的使用者

傳送訊息。您可選取傳送電子郵件、推播通知或 SMS簡訊。

Monitor > 總覽頁面會提供摘要圖表和詳細的視圖。

l 裝置 –檢視各種裝置的實際數目。

o 所有裝置的狀態細目，包括：已登記、已註冊、企業抹除擱置中、裝置抹除擱置中，以及取消註冊

的裝置。

o 在 Workspace ONE UEM中註冊的裝置平台明細。

o 在過去一天、一週和一個月內註冊的記錄。

l 合規性 –檢視違反合規原則的裝置。

o 目前正遭到裝置 (包括 APP、安全性設定、地理位置等等)違反的所有合規原則。

o 最常違規原則，涵蓋了所有已建立的合規原則類型。

o 列入黑名單的 APP，其中包含所有已安裝在裝置上的黑名單 APP，並且依照其違規的先後順序來排

列。

o 裝置缺少您要安裝且可供使用者安裝的應用程式。


17



l 設定檔 –檢視已過時的設定檔。

o 最新版本的設定檔，也包括使用各舊版設定檔的裝置。

l APP –檢視與此裝置有所關聯的應用程式。

o 最新版本的應用程式，也包括使用各舊版應用程式的裝置。

o 安裝次數最多的 APP，以目前各應用程式被安裝的裝置排序。

l 內容 –檢視含有過時內容的裝置。

o 最新版本的內容，包括過時的各個檔案，依照其實體的先後順序來排列。

l Email –檢視目前無法接收 Email的裝置。

o 自 Email封鎖的裝置，可包括預設封鎖，以及因黑名單或解除註冊而遭到封鎖。

l 憑證 –檢視因設定而即將到期憑證。

o 包括即將在一個月、一到三個月內、三到六個月內、六到十二個月或十二個月以後到期的憑證。此

外，您也可以檢視已過期的憑證。

系統會依照您目前的企業群組來決定所顯示的裝置組，其中也包括所有在子企業群組中的裝置。您可使

用企業群組的下拉式功能表，來切換到較低層的企業群組，並自動更新裝置結果。

藉由選擇清單檢視圖示 ( )和圖表檢視圖示 ( )來切換視圖。選擇任何衡量標準，開啟特定一組裝置的

裝置清單檢視。然後，您可以執行動作，例如向那些裝置傳送訊息。

選取可用區段圖示 ( )可自訂 Monitor。勾選或取消勾選代表可用區段的勾選方格 (裝置、合規性、設定檔

等等)，然後選取儲存來建立 Monitor總覽。

您可點選匯出圖示 ( )，將 Monitor的資料以 PDF格式匯出。匯出 PDF，有助於提供您每日、每週或每月最

新行動裝置部署狀態的報告。

Intelligence

智慧情報自訂報告和分析可提供您有關裝置團隊的深入分析。這些深入分析可讓您更清楚檢視效能問

題、提供高效率的規劃工具，並可加快部署時間。

確認您位於客戶類型的企業群組，然後導覽至 Monitor > Intelligence，選取下一步按鈕查看 Intelligence的運

作方式，並選擇採用該服務。

您可隨時選擇退出 Intelligence自訂報告。

如需詳細資訊，請前往 docs.vmware.com參閱《Workspace ONE Intelligence使用者指南》中的 Workspace ONEIntelligence。

管理員面板儀表板

管理員面板能讓您輕鬆快速地總覽模組授權資訊和已部署的 Workspace ONE ™UEM元件。管理面板將授權

摘要濃縮為兩的個別的區塊：使用中的產品和已部署的元件。

您可導覽至 Monitor > 管理面板來存取管理面板。您僅能從客戶企業群組來存取「管理員面板」。如需進一

步資訊，請參閱企業群組類型功能於第 71頁。


18



管理員面板中的使用中產品

使用中產品區段確認部署內含的功能授權有效性，例如瀏覽器、容器、行動裝置管理、APP目錄等。每個功

能都會顯示授權總數、授權模型和授權類型。

管理面板中的已部署元件

部署元件的區塊，具有客戶企業群組中每個已啟用之元件的面板，每個面板會各自呈報連線狀態。

l VMware Enterprise Systems Connector

l Secure Email Gateway

l VMware Tunnel

您可以選擇重新整理按鈕 ( )，以重新整理單獨啟用元件的連接狀態。

您也可以選擇設定按鈕 ( )，以顯示與啟用元件對應的系統設定頁面。

iOS產業範本

產業範本是行動應用程式與裝置設定檔的集合，只要推送到您的裝置，就能大幅加快部署的程序。您可選

取支援特定產業 (例如醫療保健或零售業)的範本，並根據自己的需求編輯這些範本。如需詳細資訊，請參

閱 docs.vmware.com上的《VMware AirWatch iOS 平台指南》。

App和設定檔監視

APP和設定檔監視功能可快速追蹤 APP和設定檔在裝置的近期部署情形。監視功能會顯示部署程序歷來

資料和裝置上的 APP或設定檔的安裝狀態。

APP和設定檔監視功能可追蹤終端使用者裝置的 APP和設定檔部署狀態。此監視功能只會追蹤過去 15天部署的 APP和設定檔。透過此資料，您可以查看部署狀態並診斷任何問題。

搜尋 APP或設定檔時，系統會在 APP和設定檔監視檢視新增一張包含部署資料的資訊卡。一次只能顯示

五張資訊卡。在您登出以前，這些資訊卡會持續新增。當您再次登入時，系統必定會再新增資訊卡。

「歷來資料」區塊僅會顯示過去 7天的資料。它會顯示部署狀態回報為「完成」的裝置數量。「目前部署狀

態」區塊會顯示裝置部署狀態。若要詳細瞭解部署狀態，請參閱 APP和設定檔監視狀態於第 20頁。如果您

看到「未完成」狀態，選取狀態旁的數字即可查看裝置清單檢視，其中含有所有回報此狀態的裝置。此功

能可讓您檢驗有問題的裝置，以便排除部署問題。

APP和設定檔監視功能僅會追蹤升級至 Workspace ONE ™UEM v9.2.1+後才開始的部署。如果您再升級之前

即 APP程式或設定檔，監視功能就不會追蹤任何部署相關資料。


19



APP 和設定檔監視狀態

APP和設定檔監視功能會在部署期間顯示目前裝置的部署狀態。該狀態會結合不同 APP和設定檔的安裝

狀態，顯示為完成、擱置中或未完成。

狀態描述

完成當 APP或設定檔安裝成功時，裝置會回報「完成」狀態。

擱置

中

APP或設定檔回報下列狀態時，裝置會回報「擱置中」狀態。

設定檔

o 安裝擱置中。

o 移除擱置中。

o 未經確認的移除。

o 已確認移除。

APP

o 需要兌換。

o 兌換中。

o 正在提示。

o 正在安裝。

o 移除 MDM。

o MDM已移除。

o 未知。

o 已爲裝置備妥安裝指令。

o 等待在裝置上進行安裝。

o 正在提示登入。

o 正在更新。

o 釋出擱置中。

o 提示以進行管理。

o 已發送安裝指令。

o 下載進行中。

o 已認可指令。


20



狀態描述

未完

成

APP或設定檔回報下列狀態時，裝置會回報「未完成」狀態。

設定檔

o 資訊擱置中。

APP

o 已移除使用者。

o 安裝遭拒。

o 安裝失敗。

o 授權不適用。

o 已拒絕。

o 管理遭拒。

o 下載失敗。

o 缺少準則。

o 指令失敗。

如果您看到「未完成」狀態，選取狀態旁的數字即可查看裝置清單檢視，其中含有所有回報此狀態

的裝置。此功能可讓您檢驗有問題的裝置，以便排除部署問題。

使用 APP 和設定檔監視器追蹤部署

使用 APP和設定檔監視器追蹤對使用者裝置的應用程式或設定檔部署。此監視器可讓您快速檢視與您的

部署狀態有關的資訊。

若要追蹤部署：

1. 導覽至 Monitor > App 和設定檔監視。

2. 在 [搜尋]欄位中，輸入應用程式或設定檔的名稱。您必須選取鍵盤上的 Enter鍵，才會開始搜尋。

3. 從下拉式功能表中選取應用程式或設定檔，然後選取新增。

應用程式或設定檔資料會顯示在卡片上。您一次只能新增五張卡片。

報告及分析

Workspace ONE ™UEM具有廣大的報告和事件記錄能力，可為管理員提供關於裝置機群的可執行、以結果

為導向的統計資料。

您可以利用這些預先定義的報告，或是根據特定裝置、使用者群組、時間範圍或檔案偏好來建立自訂報

告。可經由 Monitor > 報告與分析 > 報告 > 清單檢視來瀏覽至報告頁面並檢視報告。您可從報告頁面上方

的我的報告標籤中，快速地存取新增的報告。

如需詳細資訊，請上網 docs.vmware.com並參閱《VMware AirWatch Reports and Analytics Guide》中的「Reportsand Analytics」。


21



第 3章：環境設定您可以決定環境 URL和登入認證、產生憑證以管理平台、配置電信、隱私設定、自訂 Workspace ONE ™統一

端點管理 (UEM)主控台等等。

登入 UEM主控台

您必須具有環境 URL和登入認證，才能登入 Workspace ONE ™統一端點管理 (UEM)主控台。取得這些資訊

的方式將由您的部署類型來決定。

l SaaS 部署 –您的客戶經理會提供給您「環境 URL」和使用者名稱/密碼。此 URL無法自訂，而且通常都必

須遵照 awmdm.com的格式。

l 內部部署 –內部部署 URL是可自訂的，而且必須遵照 awmdm.<MyCompany>.com的格式。

您的客戶經理會提供您環境初始設定的憑證。管理員在建立其他的帳戶來委派管理權責時，也可建立和

分配其環境的認證。詳情請參閱建立管理員帳戶。

當您的瀏覽器成功載入 UEM主控台的環境 URL後，您便可使用 Workspace ONE UEM管理員所提供的使用

者名稱和密碼來登入。

如需登入程序本身的相關資訊，包括無效登入嘗試次數和鎖定)，請參閱管理帳戶設定於第 10頁。

APNs憑證

若要管理 iOS裝置，您必須先取得一個 Apple推播通知服務 (APNs)憑證。APNs憑證讓 Workspace ONE UEM得

以安全地與 Apple裝置進行通訊，並將資訊回報給 UEM主控台。

根據 Apple的 Enterprise Developer Program，APNs的有效期限為一年，屆滿後必須更新。到期日接近時，UEM主控台就會透過通知來傳送提醒。從 Apple Development Portal更新憑證時，您目前的憑證就會撤銷。在您

上傳新的憑證前，都無法管理裝置。憑證更新後，請立即計劃上傳。若您使用的是獨立的產品與測試環

境，請考慮為各個環境使用不同的憑證。

22



如需詳細資訊，請參閱產生和更新 Workspace ONE UEM 的 APNs 憑證知識庫文章：https://support.air-watch.com/articles/115001662728。

APNs憑證到期

在主控台標題列的「通知」按鍵，可以在您 MDM的 APNs憑證快要到期時給您警示。此通知能讓您採取行

動。

如需進一步資訊，請參閱UEM主控台通知於第 14頁。

產生 APN憑證

您必須產生並偶爾更新 APN憑證，才能確保 iOS裝置與 Workspace ONE ™UEM之間的通訊安全。若要產生

APN憑證，您有兩種方法可選。

1. 請遵循使用入門精靈於第 8頁中所描述的步驟。

或者

2. 若要手動產生 APN憑證，請執行以下步驟。

a. 瀏覽至群組 & 設定 > 所有設定 > 裝置 & 使用者 > Apple > MDM APN。

b. 如果已經過了有效期限，請選取更新按鈕並遵循螢幕上的指示。有個指示連結會向您顯示如何使

用 Apple推播憑證入口網站來上傳憑證要求。此頁面提供了一個便於前往 Apple的按鈕，會直接在

瀏覽器的新頁籤中開啟 Apple推播入口網站。您需要兩個項目才能繼續。

i. Workspace ONE UEM憑證要求，這是一種您可以使用 PLIST格式來儲存在裝置上的檔案。

ii. 您原先用來建立憑證的 Apple ID。

c. 按下一步前往下一頁，接著您必須輸入您的 Apple ID，並上傳 Apple簽發的 Workspace ONE UEMMDM 憑證 (PEM檔)。

d. 選取儲存。

隱私權和資料收集

請務必通知使用者，並說明當他們向 Workspace ONE ™UEM註冊時，您將如何收集與儲存他們的資料。UEM主控台可讓您建立自訂的隱私權聲明，以告知使用者您的公司將會從註冊的裝置中收集何種資料。

請與您的法律部門合作，決定應使用何種訊息來與終端使用者溝通資料的收集事宜。

第 3章：環境設定

23



https://support.air-watch.com/articles/115001662728


BYOD使用者的隱私權通知

隱私權聲明能告知終端使用者，說明您將會根據他們的裝置類型、部署類型和擁有權類型而從他們的裝

置中收集何種資料。

隱私權聲明配置

隱私權聲明會依照裝置所連接之企業群組和裝置擁有權而自動傳送。您可以針對每個擁有權類型選擇顯

示隱私權通知：員工自用、公司專用、公司共用和未知。

隱私權聲明部署

當您指派某個將要接收隱私權聲明的擁有權類型時，所有符合所選之擁有權類型的使用者，都會立即收

到具有 Web Clip形式的隱私權聲明。如果您在訊息範本中插入隱私權聲明的查閱值

PrivacyNotificationUrl，那麼該訊息便會包含一個 URL，可供使用者閱讀隱私權聲明之用。

每當下列情形發生時，使用者便會自動收到隱私權聲明：

l 當使用者註冊新裝置，而您已為其擁有權類型啟用了隱私權通知。

l 使用者目前正在使用已註冊的裝置；而在註冊後，其擁有權已變成要指派 Web Clip的類型。

若要瞭解如何將隱私權聲明部署為裝置啟用程序的一部分，請參閱登錄個別裝置。

為 BYOD 使用者建立隱私權通知

自訂隱私權聲明來告知使用者，說明您的公司將會從他們所註冊的裝置中收集何種資料。請與您的法律

部門合作，決定應使用何種訊息來與終端使用者溝通資料的收集事宜。

1. 瀏覽至群組與設定 > 所有設定 > 裝置與使用者 > 一般 > 訊息範本。

2. 選取新增即可建立範本。如果您已建立隱私權通知範本，請從可用的範本清單中選擇此範本加以使用

或編輯。

3. 完成新增/編輯訊息範本的設定。

設定描述

名稱輸入通知範本的名稱。

描述輸入您所建立的範本描述。

類別選取註冊。

類型選取 MDM 裝置啟動。

選擇語

言

選取您範本的預設語言。在需要多語言表達的情況下，選擇新增按鍵來新增其他的預設

語言。

預設值將此範本指派為預設訊息範本。

訊息類

型

選取一或多個訊息類型：Email、SMS或推播訊息。

4. 建立通知內容。您在上方的訊息類型選取項目中所選的訊息類型，將會決定即將顯示哪種範本供您配


24



置。

元素描述

Email

Email 內容

格式化

選擇您的 Email通知是要以純文字或 HTML格式傳送。

主題輸入您 Email通知中的主旨列。

訊息內文撰寫 Email訊息以傳送給您的使用者。出現在此文字方塊的編輯和格式化工具取決於您

在 Email 內容格式選取項目中所選的格式。

如果您已啟用視覺隱私權聲明，請在訊息內文中附上查閱值

PrivacyNotificationUrl。

SMS 簡訊

訊息內文撰寫 SMS訊息以傳送給您的使用者。



推播

訊息內文撰寫推播通知以傳送給您的使用者。



5. 選取儲存。

隱私權設定

隱私權設定可讓您定義在 Workspace ONE ™UEM主控台中處理裝置和使用者資訊的方式。此資訊對於自攜

裝置 (BYOD)的部署特別有用。

l 根據裝置擁有權來檢視並調整隱私權原則，讓您可以遵守其他國家的資料隱私權法規或法律所定義

的各種限制。

l 確保某 IT的檢查與平衡性都已到位，以避免伺服器與系統超載。

重要提示：每個管轄權皆有其本身的規則，可管理能向終端使用者收集的資料。必須通盤研究這些資

訊，才能開始配置隱私權設定於第 25頁。

配置隱私權設定

終端使用者的隱私權您與您的使用者需關注的重要事項。Workspace ONE ™UEM可提供最細微的控制方

案，決定要從使用者收集何種資訊，而管理員又能查閱哪些收集而來的資訊。

配置隱私權設定，同時滿足使用者的需求和您的和商務需求。

1. 瀏覽至裝置 > 設定 > 裝置 & 使用者 > 一般 > 隱私權。

2. 為 GPS 資料、電信資料、應用程式資料、設定檔和網路資料的收集選取合適的設定。


25



收集並顯示 –使用者資料會收集至 Workspace ONE UEM主控台並從中顯示。

收集但不顯示 –收集使用者資料並用於報告中，但不在 Workspace ONE UEM主控台中顯示。

不收集 -不收集使用者資料，因此無法顯示。

3. 為可在裝置上執行的指令選取合適的設定。

允許 –指令在沒有使用者同意下在裝置上執行。

經使用者同意允許 –只有在使用者同意下，才能在裝置上執行該指令。

禁止 -不在裝置上執行指令。

請考慮在所有的員工自攜裝置上停用遠端指令，特別是完全抹除指令。停用後可以防止不小心刪除或

抹除終端使用者的個人內容。

注意 :如果您停用特定 iOS所有權類型的抹除功能，使用者不會在註冊期間看到「清除所有內容和

設定」權限。

如果您允許 Android/Windows和堅固型裝置使用遠端控制或登錄管理員的存取權限，請考慮使用經使

用者同意允許的選項。在執行此選項前，管理員必須透過訊息提示來取得終端使用者同意才能存取其

裝置。如果您要允許使用任何指令，請在使用條款協議中明確地指出這些指令。

4. 對於使用者資訊，請選擇是否要在主控台的資訊中顯示或不顯示姓氏名字、電話號碼、Email 帳戶和使

用者名稱等資料。

如果使用者名稱以外的任一選項設為不顯示，那麼無論該資料出現在 UEM主控台的任何地方，都會

顯示為「私人」。主控台無法搜尋設為不顯示的選項。設為不顯示的使用者名稱，在裝置清單檢視與裝

置明細頁面中都只會顯示為「私人」而已。UEM主控台中的其他頁面都會顯示已註冊使用者的使用者

名稱。

您可以將名字、姓氏、Email地址和電話號碼等個人識別資訊予以加密。在您要設定加密的全域或客戶

層級企業群組內，導覽至群組與設定 > 所有設定 > 系統 > 安全性 > 資料安全。若要啟用加密功能，請

選擇您要加密的使用者資料，然後選取儲存來加密使用者的資料。此動作會限制 UEM主控台上的某

些功能，譬如搜尋、排序和篩選等。

5. 選擇是否要在裝置上啟用或停用勿擾模式。此設定允許使用者裝置在特定時間內略過 MDM指令。啟

用後，您可選擇勿擾模式到期前的寬限期或啟動時間 (以分鐘、小時或天為單位)。

如需關於使用「勿擾模式」的詳細資訊，請參閱下列 VMware知識庫文章：https://support.air-watch.com/articles/115001662448。

6. 選取在裝置上啟用或停用方便使用的隱私權通知。

l 啟用時，您可以針對每個擁有權層級選擇是 (顯示隱私權通知)或否 (不顯示隱私權通知)：員工自

用、公司專用、公司共用和未知。

7. 按一下儲存。您必須輸入 PIN碼才能儲存變更。按一下儲存。


26





隱私權最佳作法

要在商務需求與員工的隱私考量之間取得平衡可說是個挑戰。有幾個簡單的做法可讓隱私設定管理達到

最佳平衡。

重要提示：每個部署都不盡相同。請洽詢您的法律、人力資源和管理團隊，以最適合您企業的方式量身

制訂這些設定和原則。

使用者資訊的隱私權最佳作法

一般而言，您會在員工自有和公司擁有的裝置上，顯示使用者資訊，例如姓氏、名字、電話號碼與 Email地址。

應用程式資訊的隱私權最佳作法

一般而言，您應該將員工自有裝置中應用程式資訊的收集設為不收集或是收集但不顯示。此設定至關重

要，因為公用 APP已安裝在裝置上，若經檢視則會被視為可辨識個人身份的資訊。對於公司擁有的裝置，

Workspace ONE ™UEM會記錄所有已安裝在裝置上的應用程式。

選擇「不收集」時，只有個人應用程式的資訊不會被收集。Workspace ONE UEM會收集所有受管理應用程式

的資訊，無論是公用、內部還是購買的。

遠端指令的隱私權最佳作法

請考慮停用所有員工自有裝置上的遠端指令。然而，如果允許使用遠端的動作和指令，請在使用條款協

議中明確指出所用的遠端動作和指令。

GPS 座標的隱私權最佳作法

收集 GPS座標基本上存有侵犯隱私權的疑慮。收集員工自有裝置的 GPS資料雖然不適當，但下列附註可

適用於所有在 Workspace ONE ™UEM中註冊的裝置。

l 只有 Workspace ONE Intelligent Hub會將裝置 GPS位置資料轉送到 UEM主控台。

o VMware Browser、Content Locker、Boxer等其他使用 Workspace ONE UEM SDK的 APP並不會將 GPS資料

傳回 UEM主控台。

o GPS通常用於尋找遺失或遭竊的裝置。此外，如果 Workspace ONE UEM console原本就有 (例如地理

柵欄)得知裝置位置的功能，也會使用 GPS。

o 回報 GPS資料時，Workspace ONE UEM會針對目前位置定義出一個 1公里的範圍。接著每當裝置離

開該範圍，或者使用者開啟 Workspace ONE UEM或內部應用程式時，系統都會回報位置資訊。除非

有前述的其中一種情況發生，否則系統不會提報新的 GPS資料。

私人電信資料的最佳作法

只有手機費用獲得津貼補助時，才可收集員工自用裝置的電信數據。針對上述情況或公司專用的裝置，

請考慮使用以下方式來處理您所收集的資料。

l 電信業者/國家代碼 –電信業者和國家代碼都會被記錄下來，並且可以用在電信追蹤上。您可以依據

所使用的電信業者和國家位置來設定電信計劃，並將裝置指派到適當的計劃中。您可利用這些資訊，

並依電信業者和居住國家，或是目前所處國家和目前所用的電信業者追蹤裝置。

l 漫遊狀態 –此狀態可用來追蹤哪些裝置處於「漫遊」或「非漫遊」狀態。當裝置處於漫遊狀態時，您可以

設置合規原則來停用語音和數據的使用，或套用其他的合規原則。此外，如果裝置指派給某個電信方


27



案，Workspace ONE ™UEM便可追蹤漫遊時的數據使用量。收集和監控漫遊狀態，有效地避免因過度使

用而導致電信業者收取龐大超額費用的情況。

l 行動電話數據使用量 –數據使用量指的就是傳送和接收數據的總位元組。您可收集每台行動裝置的

該項資料。如果已將該裝置指派給某項電信方案，您便可依據計費週期內總數據的百分比來監控數據

的使用量。此功能讓您能夠依據數據的使用比率來建立合規原則，有助於防止電信業者收取龐大的超

額費用。

l 行動裝置使用量 –指的是可從每台行動裝置上收集的通話時間 (分鐘)。正如數據使用量，如果該裝置

已指派給某電信方案，您就可以根據計費週期的分鐘百分比來監控使用量。此方式可讓您能依據分鐘

的使用百分比來建立合規原則，有助於避免支付龐大的超額電信費用。

l SMS 使用量 –每台行動裝置可被收集的短訊服務 (SMS)數據。正如數據使用量，如果該裝置已指派給

某電信方案，您就可以根據計費週期的訊息百分比來監控 SMS使用量。此方法可讓您藉由已使用訊息

的百分比來建立合規性原則。監控 SMS的使用量，有助於防止電信業者收取龐大超額費用。

使用條款

請定義並強制使用條款 (TOU)，以確認全部有受管裝置的使用者都同意政策。如有必要，使用者必須接受

TOU才能進行註冊、安裝 APP或者存取 UEM主控台。UEM主控台可讓您完全自訂使用條款，並指派每個企

業群組和子群組所專屬的 TOU。

TOU會在每個裝置註冊時顯示。取得下列功能的存取權：

l 設立版本編號。

l 設定平台以接收 TOU。

l 透過電子郵件通知使用者 TOU更新資訊。

l 建立特定語言的 TOU複本。

l 建立多種 TOU合約，然後根據擁有權的平台或類型，將這些合約指派給企業群組。

l 自訂 TOU以符合特定群組的責任需求。

建立註冊使用條款

您可以專為註冊目的建立使用條款 (TOU)相關協定。您還可依裝置平台、所有權類型和註冊類型，限制註

冊的裝置。

1. 請確認 TOU是針對您目前正在使用的企業群組所建立的。

2. 瀏覽至裝置 > 裝置設定 > 裝置 & 使用者 > 一般 > 註冊，然後選取使用條款標籤。

3. 選取新增註冊使用條款按鈕，然後完成下列選項。

設定描述

名稱輸入新 TOU的唯一名稱。

類型系統會預先將此選項填入註冊。

版本系統會自動追蹤此選項並根據情況填入內容。


28



設定描述

平台、

裝置擁有權和

註冊類型

如果您不想針對任何特定裝置輸入 TOU，請不要更改這些項目的任何預設

選項。

如果希望指定平台、擁有權和註冊，您可選擇一或多個類別，並定義 TOU專用限制。

l 如果選擇所選平台選項，請在出現的清單中勾選您要的平台。您的 TOU適用於您選擇的裝置平台，不包括所有其他平台。

l 如果選擇所選的擁有權類型選項，則您必須在出現的清單中勾選您要

的擁有權。您的 TOU適用於您選擇的擁有權類型，不包括所有其他擁

有權類型。

l 如果選擇所選的註冊類型選項，則請在出現的清單中勾選您所要的註

冊類型。您的 TOU適用於您選擇的註冊類型，不包括所有其他註冊類

型。

通知若要在 TOU有更新時傳送 Email給使用者，請選擇這個勾選方格。在步驟 5中選取儲存時，便會寄送通知 Email。

選擇語言為了達到本地化，您可以針對需要的語言，在選擇語言下拉式選單中輸入

每種語言的使用 TOU協議。

4. 在出現的文字方塊中輸入您自訂的 TOU。

該編輯器提供基本的文字輸入工具，以利建立 TOU，或者貼入現有的 TOU。若要從將外部來源將文字

內容貼入，請在文字框中按右鍵，並點選貼成純文字，以避免任何 HTML或格式化錯誤。

5. 選取儲存。

您可建立接受 MDM 使用條款合規原則，來強制使用者接受 MDM使用條款。

建立應用程式或主控台的使用條款

您也可以建立以應用程式為主的使用條款 (TOU)，在特定的應用程式收集資料或強加限制時通知終端使用

者。

當使用者從您企業的 APP目錄執行這些應用程式時，他們必須接受協議才可以存取應用程式。您可設定

APP版本的 TOU、製作不同語言的 TOU，如果不同意 TOU，請移除應用程式。

在管理員首次登入 Workspace ONE ™UEM主控台時，主控台會顯示 TOU。對於 UEM主控台，您可以設定

TOU的版本編號，並且依不同語言建立 TOU的複本。

對於應用程式，當您新增或編輯應用程式時，請使用使用條款標籤來指派 TOU。

1. 瀏覽至群組 & 設定 > 所有設定 > 系統 > 使用條款。

2. 選取新增使用條款。

3. 輸入使用條款的名稱並點選類型，可以是主控台或應用程式。

4. 根據選擇的類型配置設定，例如版本編號和寬限期。


29



5. 在出現的文字框中輸入 TOU。該編輯器提供基本的文字輸入工具，以利建立 TOU，或者貼入現有的

TOU。若要從將外部來源將文字內容貼入，請在文字框中按右鍵，並選擇貼成純文字，以避免任何

HTML或格式化錯誤。

6. 選取儲存。

檢視使用條款接受狀況

可配置合規原則以協助強制接受使用條款的同時，您也可以檢視哪些人已接受或尚未接受該協議。如果

有需要，您也可以直接與那些人聯繫。

1. 瀏覽至群組 & 設定 > 所有設定 > 系統 > 使用條款。

2. 使用類型下拉式功能表，根據協議類型 (例如：註冊)來篩選。使用者/裝置欄所顯示的是「已接受/未接

受/已指派」使用條款的裝置。

3. 在該使用條款列的裝置欄中選取適當的編號，以檢視有關該協議的裝置資訊。您也可以選擇從下拉式

功能表中存取某列，並點選下列其中一項。

l 檢視裝置或使用者–顯示所有裝置及其接受度。您可以依照企業群組來進行篩選。

l 檢視先前版本 –檢視先前的協議複本。

l 檢視使用條款 –檢視使用條款協議。

使用報告來追蹤使用條款的接受情況

您可以追蹤使用條款的接受情況，從而找到可以採取的動作。

檢視特定企業群組、主控台接受情況與裝置註冊接受情況的細節的明細。直接在 Workspace ONE ™UEM主

控台中檢視接受情況，或以 CSV格式匯出可在 Excel中檢視的報告。

1. 瀏覽至 Monitor > 報告與分析 > 報告 > 清單檢視。

2. 若要搜尋並產生使用條款接受情況明細報告，請選取報告標題。

3. 選取企業群組。

4. 選取使用條款類型。

5. 選取報告格式。

6. 選取下載以儲存報告。

重要提示：VMwareWorkspace ONE UEM不提供具有法律約束力的範例文字。任何提供的文字範本都必

須經過您公司法律團隊的審核。

主控台品牌化

Workspace ONE ™統一端點管理 (UEM)主控台擁有廣泛的自訂選項。這些選項讓您能夠依照企業的色彩配

置、標誌與整體美感來品牌化 Workspace ONE UEM各方面的工具和資源。


30



此外，您可以配置品牌化來支援多重租用，所以您企業底下，每個不同的部門都能擁有企業群組層級專

有的外觀和視覺感受。

如需進一步資訊，請參閱企業群組於第 68頁。

配置主控台品牌化

您可以自訂主控台以配合企業的色彩配置、標誌與整體美感。

1. 選擇您要進行品牌化的企業群組，然後瀏覽至群組 & 設定 > 所有設定 > 系統 > 品牌化。

2. 在品牌化標籤上配置設定：

l 上傳儲存在電腦的公司標誌檔案。上傳圖像的建議解析度為 800x300。

l 上傳儲存在電腦的登入頁面背景檔案。上傳圖像的建議解析度為 1024x768。

l 上傳儲存在電腦的自助入口網站登入頁面背景檔案。上傳圖像的建議解析度為 1024x768。

3. 在品牌化標籤的顏色區段，配置自訂項目。

4. 在自訂 CSS標籤中配置設定。

l 輸入自訂 CSS代碼以進行進階品牌化。

5. 選取儲存。

受限制的 UEM主控台動作

在 Workspace ONE ™統一端點管理 (UEM)主控台自動運作的情況下，系統會提供額外的保護功能，抵禦可

能造成破壞的惡意動作。您可以讓這些未經授權的使用者無法執行這些動作。導覽至群組 & 設定 > 所有

設定 > 系統 > 安全性 > 受限制的動作。

啟用「傳送訊息給所有裝置」

啟用此設定，讓系統管理員可以從「裝置清單檢視」將訊息傳送到所有部署的裝置上。它也可用來將訊息

傳送至特定群組。

如需進一步資訊，請參閱裝置清單檢視於第 173頁。

選擇密碼防護動作

限制的主控台動作能針對可能有害的惡意動作提供一層額外的保護。請遵循以下的途徑來配置受限的動

作之定：群組 & 設定 > 所有設定 > 系統 > 安全性 > 受限動作。

您可以要求管理員必須輸入 PIN碼才可執行某項動作。為每個您選擇要保護的動作，適當地將其密碼保

護動作按鍵選取為啟用或停用。這個要求可讓您精確地控制更需要保護的動作。

注意 :部分動作一律要求輸入 PIN碼，因此您無法停用這些動作。這類動作將在下方以 *代表。

您可以設定在系統自動登出該工作階段之前，系統容許登入失敗次數的上限。如果已達設定的嘗試次數

上限，您就必須重新登入 Workspace ONE UEM主控台，並設定新的安全 PIN碼。


31



設定描述

刪除管理員

帳戶

透過以下途徑來禁止刪除管理員使用者的帳戶：帳戶 > 管理員 > 清單檢視。

*重新產生

VMwareEnterpriseSystemsConnector憑證

若要防止 VMware Enterprise Systems Connector憑證重新產生：群組 & 設定 > 所有設定 > 系統

> 企業整合 > VMware Enterprise Systems Connector。

*變更 APNs憑證

透過下列途徑來禁止停用 MDM的 APNs：群組 & 設定 > 所有設定 > 裝置 & 使用者 > Apple >MDM 的 APNs。

刪除/停用/淘汰應用程

式

透過以下途徑來禁止刪除、停用或淘汰應用程式：APP & 書籍 > 應用程式 > 清單檢視。

刪除/停用

內容

透過以下途徑來禁止刪除或停用內容檔案：內容 > 清單檢視。

*資料加密

切換

透過以下途徑來禁止加密使用者資訊的設定：群組 & 設定 > 所有設定 > 系統 > 安全性 > 資

料安全性。

刪除裝置透過以下途徑來禁止刪除裝置：裝置 > 清單檢視。管理員的仍需輸入安全 PIN碼才能執行

大量動作，即便此設定已設為停用亦然。

*裝置抹除防止任何人嘗試從裝置清單檢視或裝置明細畫面執行裝置抹除功能。

企業重設禁止任何人嘗試從 Windows堅固型、堅固型 Android裝置或者 QNX裝置的裝置明細頁面，

針對某裝置執行企業重設。

企業抹除禁止任何人嘗試從裝置的裝置明細頁面，執行裝置的企業抹除。

企業抹除

(根據使用

者群組會員

切換)

禁止任何人在裝置從使用者群組中移除時，嘗試執行裝置的企業抹除。此設定為選擇性設

定，您可以在群組與設定 > 所有設定 > 裝置與使用者 > 一般 > 註冊的限制索引標籤中進行

設定。如果您在此標籤限制讓已配置的群組註冊，那麼您便已新增當裝置被某群組移除

時，也一併執行企業抹除的選項。如需進一步資訊，請參閱配置註冊限制設定於第 117頁。

*刪除企業

群組

透過以下途徑來禁止任何人嘗試刪除目前的企業群組：群組 & 設定 > 群組 > 企業群組 > 企

業群組明細。

刪除/停用

設定檔

透過以下途徑來禁止任何人嘗試刪除或停用某設定檔：裝置 > 設定檔 & 資源 > 設定檔。

刪除佈建產

品

透過以下途徑來禁止任何人嘗試刪除佈建產品：裝置 > 註冊預備 & 佈建 > 產品清單檢視。

撤銷憑證透過以下途徑來禁止任何人嘗試撤銷憑證：裝置 > 憑證 > 清單檢視。

*清除安全

通道憑證

透過下列途徑來防止任何人嘗試清除現有的安全通道憑證：群組 & 設定 > 所有設定 > 系統

> 進階 > 安全通道憑證。


32



設定描述

刪除使用者

帳戶

透過以下途徑來禁止任何人嘗試刪除使用者帳戶：帳戶 > 使用者 > 清單檢視。

隱私權設定

中的變更

防止任何人嘗試在群組和設定 > 所有設定 > 裝置和使用者 > 一般 > 隱私權中變更隱私權

設定。

刪除電信方

案

透過以下途徑來禁止刪除電信計劃：電信 > 計劃清單。

覆寫工作記

錄層級

透過以下途徑來禁止任何人嘗試覆寫目前所選的工作記錄層級：群組與設定 > 管理員 > 診

斷 > 記錄。當一台裝置或一群裝置發生問題時，覆寫工作記錄是十分有用的。在此情況

下，透過強制將記錄級別提高到詳細資訊，管理員可以覆寫這些裝置的設定。詳細資訊可

以記錄最高級別的主控台活動，使之成為理想的疑難排解工具。

*APP 掃描

廠商重設/切換

禁止重設 (和後續的抹除)您 APP掃描的整合設定。您可以透過下列途徑來執行此動作：群

組 & 設定 > 所有設定 > APP > APP 掃描。

關機防止任何人嘗試在裝置 > 清單檢視 > 裝置明細中關閉裝置。

嘗試 PIN 碼

無效次數上

限

定義系統在鎖定主控台之前，容許嘗試輸入 PIN碼無效次數的上限。設定值必須介於 1與 5之間。

為動作配置所需的備註

您也可以過勾選需要備註來要求管理員在執行這些動作時，輸入備註並說明原因。導覽至群組 & 設定 >所有設定 > 系統 > 安全性 > 受限制的動作。

如果您要求管理員在採取這些動作前先輸入備註，請務必修改身分，使身分擁有新增備註資源 (權限)。如需更多資訊，請參閱建立管理員身份於第 59頁。

設定描述

鎖定裝置嘗試從裝置清單檢視或裝置明細鎖定裝置時，必須加上備註。

鎖定 SSO 嘗試從裝置清單檢視或裝置明細鎖定 SSO工作階段時，必須加上備註。

裝置抹除嘗試從裝置清單檢視或裝置明細執行裝置抹除時，必須加上備註。

企業重設嘗試從 Windows堅固型或堅固型 Android裝置的裝置明細頁面對裝置進行企業重設時，

必須加上備註。

企業抹除嘗試從裝置明細執行企業抹除時，必須加上備註。

覆寫工作記錄

層級

嘗試從群組 & 設定 > 管理員 > 診斷 > 記錄這個途徑覆寫預設的工作紀錄層級時，必須

加上備註。

重新啟動裝置嘗試從裝置 > 清單檢視 > 裝置明細這個途徑重新開機之前，必須加上備註。

關機嘗試從裝置 > 清單檢視 > 裝置明細這個途徑關機之前，必須加上備註。


33



其他要整合的企業系統

整合您的 Workspace ONE ™UEM環境與現有的企業基礎結構，包括使用 SMTP的 Email管理、目錄服務，以

及內容管理存放庫，以充分利用進階 MDM功能。

l Email 轉送 (SMTP) – 為行動 Email 提供安全性、可見度和控管能力。

l 目錄服務 (LDAP/AD) – 善用現有的企業群組來管理使用者和裝置。

l Microsoft憑證服務 – 使用現有的 Microsoft 憑證基礎結構進行 Workspace ONE UEM部署。

l 簡單憑證註冊通訊協定 (SCEP PKI) – 為 Wi-Fi、VPN、Microsoft EAS 等配置憑證。

l 電子郵件管理 Exchange 2010 (PowerShell) – 安全地連接 Workspace ONE UEM，以對公司電子郵件伺服器強制執行原則。

l BlackBerry 企業伺服器 (BES) – 與 BES 作整合，以簡化 BlackBerry的管理。

l 第三方憑證服務 – 匯入憑證管理系統，以便在主控台內加以管理。

l Lotus DominoWeb服務 (HTTPS) – 透過您的 AW 部署，存取已建立的 Lotus Domino內容與功能。

l 內容存放庫 – 與 SharePoint、Google Drive、SkyDrive、檔案伺服器和網路共享等作整合。

l Syslog (事件記錄資料) – 將事件記錄資料匯出，以在所有已整合的伺服器和系統中進行檢視。

l 企業網路 – 配置 Wi-Fi 和 VPN 設定，部署具有使用者認證的裝置設定檔，以便進行存取。

l 系統資訊與事件管理 (SIEM) – 記錄並匯集裝置與主控台資料，以確保其安全性與合規性符合法規與企業原則。

如需關於如何整合 Workspace ONE UEM與這些基礎結構的詳細資訊，請參閱VMware Enterprise SystemsConnector 指南可於下列網址取得：https://docs.vmware.com/en/VMware-Identity-Manager/index.html。另請參

閱 VMware Tunnel 管理指南、AirWatch 記錄指南和 AirWatch 安裝指南 (皆可從 docs.vmware.com取得)。您也

可以在 docs.vmware.com上搜尋這些主題。


34



第 4章：使用者和管理員帳戶您必須建立並整合使用者帳戶，讓裝置能夠向 Workspace ONE ™UEM註冊。相同地，您也必須建立並指派

管理員帳戶，管理員才能夠輕鬆地管理使用者和裝置。

UEM主控台可讓您建立完整的使用者和管理員基礎結構。它為驗證、企業整合和日常維護提供了配置選

項。

使用者驗證類型

每個裝置使用者都必須擁有 Workspace ONE ™UEM認可的真實使用者帳戶，才能註冊裝置。選擇的使用者

驗證類型視企業需求而定。

基本使用者驗證

您可以使用基本驗證來識別 Workspace ONE ™UEM結構中的使用者，但這個方法並不會整合現有的公司使

用者帳戶。

優點

l 可用於任何的部署方式。

l 不需任何技術整合。

l 不需任何企業基礎結構。

缺點

l 無法與自動探索搭配使用。

l 認證僅存在於 Workspace ONE UEM，而且未必符合現有的企業認證。

l 不提供聯合安全性或單一登入功能。

l Workspace ONE UEM會儲存所有使用者名稱和密碼。

l 無法用於 Workspace ONE直接註冊。

35



1. 主控台使用者會透過驗證 (基本驗證)用的本機帳戶登入 Workspace ONE UEM SaaS。

l 認證會在傳輸過程中加密。

l (例如：使用者名稱：[email protected]，密碼：abcd)。

2. 裝置使用者使用本機 Workspace ONE UEM帳戶 (基本驗證)認證來註冊裝置。

l 認證會在傳輸過程中加密。

l (例如：使用者名稱：jdoe2，密碼 2557)。

如需詳細資訊，請參閱Workspace ONE直接註冊。

具有 LDAP驗證的 Active Directory

透過具有輕量型目錄存取通訊協定 (LDAP)驗證的 Active Directory (AD)，可用來整合現有的企業帳戶及

Workspace ONE ™UEM使用者和管理員帳戶。

優點

l 終端使用者如今可以使用現有的企業憑證進行驗證。

l 具有 LDAP/AD的安全整合方式。

l 標準的整合作法。

l 可用於 Workspace ONE直接註冊。

缺點

l 需要 AD或是其他的 LDAP伺服器。

第 4章：使用者和管理員帳戶

36



1. 裝置會連線至 Workspace ONE UEM以註冊裝置。使用者輸入其目錄服務使用者名稱與密碼。

l 使用者名稱與密碼會在傳輸過程中加密。

l Workspace ONE UEM不會儲存使用者的目錄服務密碼。

2. Workspace ONE UEM會使用服務帳戶進行驗證，以在網際網路上透過安全的 LDAP通訊協定來查詢用戶

端的目錄服務。

3. 針對企業的目錄服務來驗證使用者憑證。

4. 如果使用者認證有效，Workspace ONE UEM伺服器就會允許裝置完成裝置註冊。


具有 LDAP驗證及 VMware Enterprise Systems Connector的 Active Directory

具有 LDAP驗證和 VMware Enterprise Systems Connector的 Active Directory能提供與傳統 AD及 LDAP驗證相同

的功能。此模式可在軟體即服務 (SaaS)部署的雲端上運作。

優點

l 終端使用者可以利用現有的企業憑證來進行驗證。

l 因為通訊是經由您網路中的 VMware Enterprise Systems Connector所啟動的，所以不需再變更任何防火

牆設定。

l 憑證的傳輸已進行加密且十分安全。

l 為其他的基礎結構 (比如 BES、Microsoft ADCS、SCEP和 SMTP伺服器)提供安全的配置。

l 可用於 Workspace ONE ™直接註冊。

缺點

l VMware Enterprise Systems Connector必須安裝在防火牆後方或 DMZ之中。

l 並且需要進行額外配置。


37



SaaS 部署模式

內部部署模式

如需瞭解如何整合 Workspace ONE UEM環境和相關基礎結構，請參閱VMware Enterprise Systems Connector指南可於下列網址取得：https://docs.vmware.com/en/VMware-Identity-Manager/index.html。


驗證代理伺服器

驗證代理伺服器可跨雲端或固化的內部網路來提供目錄服務整合的功能。在此模型中，Workspace ONE ™UEM伺服器會與公用端的 Web伺服器或 Exchange ActiveSync伺服器進行通訊。這種安排可針對網域控制站

驗證使用者。

優點

l 提供一種安全的方法在整個雲端代理與 AD/LDAP的整合。

l 終端使用者可以使用現有的企業憑證進行驗證。

l 只需極少配置的輕型模組。

缺點

l 需要一個連到 AD/LDAP伺服器的公開 Web伺服器或 Exchange ActiveSync伺服器。

l 僅可用於特定架構的配置。

l 與 VMware Enterprise Systems Connector相比，此解決方案的功能少得多。

l 無法用於 Workspace ONE直接註冊。


38



1. 裝置會連線至 Workspace ONE UEM以註冊裝置。使用者輸入其目錄服務使用者名稱與密碼。

l 使用者名稱與密碼會在傳輸過程中加密。

l Workspace ONE UEM不會儲存使用者的目錄服務密碼。

2. Workspace ONE UEM會將使用者名稱與密碼轉送至已配置且需要驗證 (例如基本驗證)的 AuthenticationProxy端點。

3. 針對企業的目錄服務來驗證使用者憑證。

4. 如果使用者認證有效，Workspace ONE UEM伺服器就會允許裝置完成裝置註冊。


SAML 2.0驗證

安全性聲明標記語言 (SAML) 2.0驗證，支持單一登入與聯合驗證。Workspace ONE ™UEM絕不會接收任何公

司認證。如果企業擁有 SAML身份識別提供者伺服器，請採用 SAML 2.0整合。

優點

l 提供單一登入功能。

l 使用現有的企業認證來驗證。

l Workspace ONE UEM絕不會接收純文字格式的公司認證。

l 與 SAML目錄使用者配對時可用於 Workspace ONE直接註冊。

缺點

l 需要有企業 SAML身份識別提供者的基礎結構。

l 與 SAML基本使用者配對時無法用於 Workspace ONE直接註冊。


39



1. 裝置會連線至 Workspace ONE UEM進行註冊。接著，UEM伺服器會將裝置重新導向至用戶端指定的身

份識別提供者。

2. 裝置可透過 HTTPS與客戶端所提供的身份識別提供者安全連線，接著使用者則可輸入憑證。

l 系統會在裝置與 SAML端點間直接傳送憑證的過程中將其加密。

3. 系統會向目錄服務驗證憑證。

4. 身份識別提供者傳回已簽署的 SAML回應以及已驗證的使用者名稱。

5. 裝置會回應 Workspace ONE UEM伺服器，並顯示已簽署的 SAML訊息。使用者獲得驗證。

.


Token型的驗證

Token型的驗證提供使用者最簡易的裝置註冊方式。透過此註冊設定，Workspace ONE ™UEM會產生一個

Token，並將其置於註冊 URL中。

在使用單一 Token 驗證時，使用者會從裝置存取連結以完成註冊，且 Workspace ONE UEM伺服器會參照提

供給使用者的 Token。

為了提高安全性，請為每個 Token設定到期時間 (以小時為單位)。設定有效期限可減低其他使用者因獲得

裝置存取權而存取資訊和功能的可能性。

您也可酌情實行雙重要素驗證，更進一步地驗證終端使用者的身分。使用此驗證設定時，使用者必須利

用所提供的 Token來存取註冊的連結，並且輸入使用者名稱和密碼。

優點

l 裝置的註冊和驗證程序對終端使用者十分簡便。

l 設定有效期限來確保安全使用 Token。

l 使用者不需憑證就可使用單一 Token驗證。

缺點

l 需要整合「簡易郵件傳輸通訊協定」(SMTP)或是簡訊服務 (SMS)才能將 Token傳送到裝置上。


40



1. 系統管理員授權使用者登記裝置。

2. Workspace ONE UEM會產生單次使用的 Token，並傳送給使用者。

3. 使用者接收 Token並瀏覽至註冊 URL。提示使用者提供 Token以及選用的雙因素驗證。

4. 裝置註冊程序。

5. Workspace ONE UEM會將 Token標記為已過期。

注意 : SaaS部署中含有 SMTP。

啟用註冊的安全性類型

Workspace ONE ™UEM與所選的使用者安全性類型整合完成後，就會啟用您打算在註冊前允許使用的驗證

模式。

瀏覽至位於驗證標籤中的裝置 > 裝置設定 > 裝置 & 使用者 > 一般 > 註冊並為驗證模式設定勾選合適的方

格。

如需詳細資訊，請參見 [系統設定]中的 [裝置與使用者]/[一般]/[註冊]。

基本使用者帳戶

如果沒有與目錄服務整合，請在 Workspace ONE ™UEM為終端使用者建立基本使用者帳戶。基本使用者帳

戶也可用於測試目的：可快速建立並事後處理。如需進一步資訊，請參閱基本註冊與目錄服務註冊於第 93頁。

優點




41




l 可以向潛在多個企業群組註冊。

缺點

l 認證僅存在於 Workspace ONE UEM，而且未必符合現有的企業認證。

l 不提供聯合安全性。

l 不支援單一登入。


l 無法用於 Workspace ONE 直接註冊。

建立基本使用者帳戶

您可為每個使用者建立基本使用者帳戶，以驗證並登入 Workspace ONE ™UEM系統。然後您可以傳送有帳

戶啟用說明的通知給基本使用者，其中包含會在 24小時內過期的密碼重設連結。

此專題詳述如何逐一建立使用者帳戶。

1. 瀏覽至帳戶 > 使用者 > 清單檢視，選取新增，然後再新增使用者。新增/編輯使用者的畫面便會顯示。

2. 在一般標籤中，完成以下設定來新增基本使用者。

設定描述

安全性類型選取基本來新增基本使用者。

使用者名稱輸入將用來辨識新使用者的使用者名稱。

密碼輸入使用者用來登入的密碼。

確認密碼確認密碼。

全名填妥使用者的名字、中間名和姓氏。

顯示名稱輸入一個名稱，代表 UEM主控台中的使用者。

Email 地址輸入或編輯使用者的 Email地址。

Email 使用者

名稱

輸入或編輯使用者的 Email使用者名稱。

網域從下拉式設定中選擇 Email網域。

電話號碼輸入使用者的電話號碼，其中包括「+」號、國碼和區域碼。如果您打算要使用 SMS來傳送通知，此為必要選項。

註冊

註冊企業群

組

選擇使用者要註冊的企業群組。

允許使用者

向其他的企

業群組註冊

您可以允許使用者向數個企業群組註冊。

如果您啟用此選項但將其他的企業群組留白，，在註冊企業群組下方建立的任何子

OG都可以當做註冊點。


42



設定描述

其他的企業

群組

唯有允許使用者向其他 OG註冊的選項為啟用時，該設定才會顯示。

此設定可讓您新增供基本使用者註冊的其他企業群組。

使用者身份從此下拉式設定選擇您要為使用者新增的身分。

通知

訊息類型選取您要傳送給使用者的訊息類型：電子郵件、SMS或無。選取 SMS必須在電話號碼

選項中輸入一個有效項目。

訊息範本基本使用者會使用此通知啟用其帳戶。基於安全性因素，此通知不包含使用者的密

碼，而是會在通知中附上一個密碼重設連結。基本使用者會選擇此連結來定義其他密

碼。此密碼重設連結會自動在 24小時後過期。

透過此下拉式設定，選取電子郵件或 SMS訊息的範本。另外，您也可選擇訊息預覽來

預覽範本，以及選擇配置訊息範本來建立新範本。


43



3. 您可以選取進階索引標籤，並完成下列設定。

設定描述

進階資訊區段

Email 密碼為您新增的使用者輸入 Email的密碼。

確認 Email 密碼為您新增的使用者確認 Email的密碼。

使用者主體名稱輸入基本使用者的主體名稱。此設定為選擇性。

類別為新增的使用者選取一個使用者類別。

部門輸入使用者的部門以便於管理。

員工 ID 輸入使用者的員工 ID以便於管理。

成本中心輸入使用者成本中心以便於管理。

憑證區段

使用 S/MIME 啟用或停用安全多用途網際網路郵件延伸 (S/MIME)。

如果啟用，您必須擁有已啟用 S/MIME的設定檔，而且必須選取上傳來上傳

一份 S/MIME憑證。

單獨的加密憑證啟用或停用加密憑證

若已啟用，您必須使用上傳來上傳加密憑證。通常您只要使用相同的

S/MIME憑證來簽署和加密即可，除非明確地指明您必須使用不同的憑證。

舊的加密憑證啟用或停用舊版的加密憑證。

若已啟用，您必須上傳加密憑證。

註冊預備區段

啟用裝置註冊預備啟用或停用裝置的預備註冊

若已啟用，您必須選取單一使用者裝置或多使用者裝置。若為單一使用者裝

置，您必須選擇標準 (使用者自行登入)，或選擇進階 (代表其他使用者來註

冊裝置)。如需進一步資訊，請參閱自我註冊與裝置註冊預備於第 97頁。

4. 選擇儲存只儲存新使用者；或選擇儲存並新增裝置來儲存新使用者並繼續前往新增裝置頁面。

目錄型使用者帳戶

與現有目錄服務整合，可自動拉入使用者。不需手動將使用者新增到 Workspace ONE ™UEM主控台。如需

進一步資訊，請參閱基本註冊與目錄服務註冊於第 93頁。

您想要透過 Workspace ONE UEM管理的每個目錄使用者，都必須在 UEM主控台擁有相應的使用者帳戶。

您可使用以下任何一種方法，將現有的目錄服務使用者直接加入 Workspace ONE UEM。

l 批次上傳一份含有您所有目錄服務使用者的檔案。批次匯入的動作會自動建立使用者帳戶。

l 輸入目錄使用者的使用者名稱並選取檢查使用者，以便自動填入其他的詳細資料來逐一建立使用者

帳戶。

l 請勿批次匯入或手動建立使用者帳戶，而是要允許所有目錄使用者在註冊時自行註冊。


44



優點

l 終端使用者可以利用現有的企業憑證來進行驗證。

l 可自動偵測變更並從目錄系統將變更同步至 Workspace ONE UEM。

l 能提供安全的方法來與現有的目錄服務整合。


l 可用於 Workspace ONE 直接註冊。

l 在使用 VMware Enterprise Systems Connector的 SaaS 部署中，無需變更防火牆即可為其他的基礎結構提供安全的配置，如

Microsoft ADCS、SCEP和 SMTP伺服器。

缺點

l 需要現有的目錄服務基礎結構。

l 由於 VMware Enterprise Systems Connector安裝在防火牆後方或 DMZ之中，因此 SaaS部署需要額外的配

置。

建立目錄型使用者帳戶

您必須為 Workspace ONE ™UEM系統中的各個使用者，以及使用您現有公司憑證來進行驗證的使用者建立

帳戶。此專題詳述如何逐一建立使用者帳戶。

1. 瀏覽至帳戶 > 使用者 > 清單檢視，選擇新增，然後再新增使用者。新增/編輯使用者的畫面便會顯示。

2. 在一般標籤中，完成以下設定來新增目錄使用者。

設定描述

安全性類型若要新增 Active Directory使用者，請選擇目錄為「安全性類型」。

目錄名稱此預先填入的設定可以辨別 Active Directory的名稱。

網域從下拉式功能表中選擇網域名稱。

使用者名稱輸入使用者的目錄使用者名稱，然後點選檢查使用者。如果系統找到相符的資料，就

會自動填入該使用者資料。僅當您使用過檢查使用者按鈕並成功定位出某位 ActiveDirectory使用者後，才能使用此區段中的其他設定。

全名使用編輯屬性，即可編輯從目錄同步空白值的任何選項。編輯屬性還會自動填入相符

的使用者資訊。

如果設定是從目錄同步實際值，則該設定必須在目錄中編輯。變更將在下一次目錄同

步時生效。在全名中完成任何從目錄傳回的空白選項，然後點選編輯屬性來儲存新增

內容。

顯示名稱輸入顯示在管理主控台的名稱。

Email 地址輸入或編輯使用者的 Email地址。

Email 使用者

名稱

輸入或編輯使用者的 Email使用者名稱。

網域 (Email) 從下拉式功能表中選擇 Email網域。


45



設定描述

電話號碼輸入使用者的電話號碼，其中包括「+」號、國碼和區域碼。如果您打算要使用 SMS傳送通知，則需要輸入電話號碼。

註冊

註冊企業群

組

選擇使用者要註冊的企業群組。

允許使用者

向其他的企

業群組註冊

選擇是否允許使用者向數個企業群組註冊。如果您選擇啟用，請同時填寫其他的企業

群組。

使用者身份從此下拉式功能表選擇您要新增使用者身分。

通知

訊息類型選擇您要傳送給使用者的訊息類型：Email、SMS或無。選取 SMS將須在電話號碼文字

方塊中輸入一個有效項目。

訊息範本從下拉式設定中選擇 Email或 SMS訊息的範本。另外，您也可選擇訊息預覽來預覽範

本，以及選擇配置訊息範本的連結來建立範本。

3. 您可以選擇進階標籤，並完成下列設定。

設定描述

進階資訊區段

Email 密碼為您新增的使用者輸入 Email的密碼。

確認 Email 密碼為您新增的使用者確認 Email的密碼。

辨別名稱對於 Workspace ONE UEM認可的目錄使用者，此文字方塊會預先填入使用者的辨別

名稱。辨別名稱字串代表使用者名稱和所有與 Active Directory使用者有關的授權

碼。

管理員辨別名

稱

輸入使用者管理員的辨別名稱。此為選擇性的文字方塊。

類別為新增的使用者選擇一個使用者類別。

部門輸入使用者的部門，以便於公司管理。

員工 ID 輸入使用者的員工 ID，以便於公司管理。

成本中心輸入使用者成本中心，以便於公司管理。

自訂屬性 1-5 (僅適用於目錄使

用者)

輸入先前配置的自訂屬性 (如果有的話)。您可以透過以下導覽途徑來自訂屬性：群

組與設定 > 所有設定 > 裝置與使用者 > 進階 > 自訂屬性。

注意 :僅可在客戶企業群組配置自訂屬性。


46



設定描述

憑證區段

使用 S/MIME 啟用或停用安全/多用途網際網路郵件延伸 (S/MIME)。如果啟用，您必須擁有已啟

用 S/MIME的設定檔，而且必須選取上傳來上傳一份 S/MIME憑證。

單獨的加密憑

證

啟用或停用獨立的加密憑證。若已啟用，您必須使用上傳來上傳加密憑證。通常您

只要使用相同的 S/MIME憑證來簽署和加密即可，除非明確地指明您必須使用不同

的憑證。

舊的加密憑證啟用或停用舊版的加密憑證。若已啟用，您必須上傳加密憑證。

註冊預備區段

啟用裝置註冊

預備

啟用或停用裝置的預備註冊

若已啟用，您必須選擇單一使用者裝置或多使用者裝置。

若為單一使用者裝置，您必須選擇標準 (使用者自行登入)，或選擇進階 (代表其他

使用者來註冊裝置)。

4. 選擇儲存只儲存新使用者；或選擇儲存並新增裝置來儲存新使用者並繼續前往新增裝置頁面。

如需深入瞭解如何將目錄使用者新增至 Workspace ONE UEM，請前往 docs.vmware.com參閱《VMwareAirWatch 目錄服務指南》中的「一次新增一個目錄使用者和批次匯入目錄使用者」。

使用者帳戶清單檢視

清單檢視頁面 (瀏覽至帳戶 > 使用者 > 清單檢視)，提供您一些有用的工具來維護和維持一般帳戶。


47



自訂清單檢視

您可以使用使用者帳戶清單檢視，立即建立自訂的使用者清單。您還可以根據對您最重要的條件自訂畫

面配置。您可匯出此自訂清單供日後分析，並個別或大量新增新使用者。

動作描述

篩選

條件

使用下列篩選條件即可僅檢視您想要的使用者。

l 安全性類型

l 註冊企業群組

l 註冊狀態

l 使用者群組

l 使用者身份

新增 l 新增使用者 –執行單次新增基本使用者帳戶的工作。加入需要存取 MDM功能的僱員或新升

職員工。如需詳細資訊，請參閱建立基本使用者帳戶於第 42頁。

l 批次匯入 –藉由匯入逗點分隔值 (CSV)檔案將多個使用者新增至 Workspace ONE ™UEM。輸入一

個特殊名稱和描述，以便同時分組和統整多位使用者。如需進一步資訊，請參閱批次匯入使

用者或裝置於第 50頁。


48



動作描述

版面

配置

讓您能夠全面地自訂欄位的配置。

l 摘要 –利用預設欄位和檢視設定來查看清單檢視。

l 自訂 –在清單檢視中僅選擇您要的資訊。您也可以將所選欄位套用至目前所有的企業群組及

其下層的所有管理員。

排序在清單檢視中，多數欄位 (摘要和自訂配置)都可以進行排序，其中包括裝置、使用者群組和註冊

企業群組。

匯出將整個清單檢視儲存為逗點分隔值 (CSV)檔，以便在 Excel中檢視與分析。

與使用者帳戶互動

清單檢視中每個使用者帳戶左側，也都有勾選方格。若要檢視使用者詳細資料，請在「一般資訊」欄位中選

取超連結使用者名稱。如需進一步資訊，請參閱存取使用者詳細資料於第 82頁。

編輯圖示 ( )讓您能夠針對使用者帳戶來做基本的變更。選擇單一勾選方格會出現三個動作按鈕：傳送

訊息、新增裝置和更多動作。

您可以勾選多個使用者帳戶的方格，就能反過來修改其可用的動作。

動作描述

傳送訊息。提供單一或群組使用者立即的支援。傳送一封「使用者啟動」(使用者範本) Email給使用者，

通知他們有關其註冊認證的資訊。

新增裝置。新增特定使用者的裝置。僅適用於單一使用者選項。

更多動作顯示以下選項。

新增至使用者

群組。

為了簡化使用者的管理，您可將所選的使用者加入新的或現有的使用者群組。如需進一步資訊，請參閱使用者

群組清單檢視於第 83頁和編輯使用者群組權限於第 82頁。

從使用者群組

中移除。

將所選的使用者從現有的使用者群組中移除。

變更企業群組以手動方式將使用者移至其他企業群組。如果使用者變更職位、升職，或者辦公室地點有所變動時，您可以更

新能使用的內容、權限和限制等。

刪除如果企業中有成員請辭或遭解雇，您可以快速完整地刪除使用者帳戶。

啟動當使用者重返公司或是必須在公司內復職時，便可啟動該帳戶。

停用當某位使用者行蹤不明、違規，或者其裝置遺失或遭竊時，您可使用此功能來停用該使用者。

批次匯入功能

如果將幾十個或更多使用者新增到 Workspace ONE ™UEM，可批次建立使用者和使用者群組，或從目錄服

務批次匯入。

執行批次匯入，代表以逗點分隔值格式使用範本。然後以您自己的資料填寫範本，並上傳填寫完成的範

本。

在外部 LDAP 及 AD 使用者目錄中所做的變更


49



使用者和使用者群組批次清單上傳完畢後，您在外部 LDAP/AD使用者目錄所做的任何變更，都不會在

Workspace ONE UEM中更新。這些與使用者和使用者群組相關的變更，都必須手動更新，或者以新批次的

形式上傳。

批次匯入使用者或裝置

為了節省時間，可將多個輕量型目錄存取通訊協定 (LDAP)/Active Directory (AD)使用者和裝置匯入 WorkspaceONE ™UEM主控台。

1. 瀏覽至帳戶 > 使用者 > 批次狀態或裝置 > 生命週期 > 註冊狀態 > 新增，然後選擇批次匯入。

2. 在 Workspace ONE UEM主控台中輸入基本資訊，包括批次名稱和批次描述。

3. 在批次類型的下拉式功能表中選擇適當的批次類型。

4. 選取並下載與您正在進行的批次匯入類型最相符的範本。

列入黑名單的裝置 -依 IMEI、序號或 UDID匯入已知的不合規裝置。不得註冊列入黑名單的裝置。若嘗

試註冊列入黑名單的裝置，將自動予以封鎖。

列入白名單的裝置 –依 IMEI、序號或 UDID匯入預先核准的裝置。使用此範本匯入已知且受信任的裝置

清單。與此裝置相關聯的擁有權和群組 ID會在註冊期間自動套用。

使用者和/或裝置 –選取簡易或進階 CSV範本。簡易範本功能只有最常用的選項，而進階範本則有完

整、未經刪節的匯入選項。

變更企業群組 –將使用者移到不同的企業群組。

5. 開啟 CSV檔案。CSV檔案有數個欄位，與新增/編輯使用者頁面上的選項相對應。開啟 CSV範本時，請

特別注意是否已將樣本資料新增到範本中的每一欄。顯示的樣本資料旨在說明必須提供哪種資料，

以及資料採用的格式。

注意 : CSV檔案 (逗點分隔值)只是一份副檔名從「TXT」變更為「CSV」的文字檔。此檔案會以純文字格

式儲存表格式資料 (文字和數字)。檔案的每一行都是一筆資料記錄。每筆記錄都含有一或多個以逗

號分隔的欄位。您可以使用任何文字編輯器開啟，也可以使用 Microsoft Excel開啟。

您可以確認使用者是否隸屬註冊企業群組 (OG)。

a. 導覽至群組 & 設定 > 所有設定 > 裝置 & 使用者 > 一般 > 註冊，然後選取分組索引標籤。

b. 如果群組 ID 指派模式設為預設，那麼您的使用者就隸屬註冊 OG。

c. 如為目錄式註冊，每位使用者的安全性類型必須為目錄。

6. 輸入您企業的使用者之相關資料，包括裝置資訊 (如果適用)，然後儲存此檔案。

7. 返回「批次匯入」頁面，然後選取選擇檔案以尋找並上傳先前下載且填寫的 CSV檔案。

8. 選取儲存。

批次匯入使用者群組

為了節省時間，可將多個輕量型目錄存取通訊協定 (LDAP)/Active Directory (AD)使用者群組匯入 WorkspaceONE ™UEM主控台。


50



1. 導覽至帳戶 > 使用者群組 > 清單檢視，然後選取新增。

2. 選取批次匯入。

3. 在 Workspace ONE UEM console中輸入包括批次名稱和批次描述等基本資訊。

4. 在批次檔 (.csv)下選取選擇檔案按鈕，以找出已完成的 CSV檔案，並加以上傳。

5. 或者，選取為此批次類型下載範本連結並儲存逗號分隔值 (CSV)範本檔案，接著便能用它來準備新檔

案的匯入作業。

l 開啟 CSV檔案，此檔案中的數個欄位與顯示在新增使用者群組頁面上的欄位相對應。您必須在有

星號的欄位中輸入資料。儲存檔案。

l 在 CSV檔案範本的最後欄位標題標籤為「群組 ID/管理 (編輯和刪除)/管理 (使用者和註冊)/UG指派/管理員繼承」(GroupID/Manage(Edit and Delete)/Manage(Users and Enrollment)/UG assignment/AdminInheritance)。此欄位標題對應設定，並遵守編輯使用者群組頁面的權限標籤邏輯。如需詳細資訊，

請參閱編輯使用者群組權限於第 82頁。

6. 選取匯入。

7. 如果無法成功完成「批次匯入」，請選擇帳戶 > 批次狀態來檢視並解決問題。若要檢視特定的批次匯入

錯誤，可按一下錯誤超連結。

使用批次匯入功能來編輯基本使用者

批次匯入功能讓您依群組編輯和移動使用者。使用者必須存在於 Workspace ONE ™UEM，這類程序才能運

作。請在 CSV檔案中編輯下列設定，並使用批次匯入上傳此檔案。

l 密碼 (限基本型)。

l 名字。

l 中間名。

l 姓氏。

l Email地址。

l 電話號碼。

l 行動電話號碼。

l 部門。

l Email使用者名稱。

l Email密碼。

l 授權的企業群組 (僅限指定的群組 ID或其下層的群組 ID)。

l 註冊使用者類別 (使用者可存取此類別，否則預設為 0)。

l 註冊使用者身份 (使用者可存取此身份，否則以企業群組的預

設身份為主)。

此類基本使用者編輯僅適用於基本使用者驗證於第 35頁和驗證代理伺服器於第 38頁。

使用批次匯入功能移動使用者

您也可利用「批次匯入」功能，將各組的使用者移到不同的企業群組中。

1. 透過 [批次匯入]畫面，在 Workspace ONE ™UEM主控台中輸入基本資訊，包括「批次名稱」和「批次描

述」。

2. 從範本清單中選擇變更企業群組，並將 CSV檔案儲存在可存取的位置。

3. 輸入使用者現有企業群組適用的群組 ID、要移動的使用者名稱，以及使用者新企業群組的目標群組

ID。


51



4. 返回 [批次匯入]畫面，選取選擇檔案以尋找並上傳已儲存的 CSV檔，然後選取開啟。

5. 選取儲存。

管理員帳戶

管理員帳戶允許您從統一端點管理主控台上，維護行動裝置管理 (MDM)的設定、推播或撤銷各種功能和

內容等等。

同時，暫時管理員帳戶可以在統一端點管理主控台中啟用遠端協助功能。這些「暫時管理員帳戶」具有可

配置有效期限，可以用來存取平常保留給永久管理員帳戶區域。

建立管理員帳戶

管理員清單檢視頁面可讓您存取 Workspace ONE ™UEM主控台的進階功能，您可以在此新增管理員帳戶。

將管理和監控主控台的每位管理員，都必須有個別的帳戶。

1. 導覽至帳戶 > 管理員 > 清單檢視，選取新增，然後再選取新增管理員。新增/編輯管理員頁面即會顯

示。

2. 在基本標籤下的使用者類型設定中，選擇基本或目錄。

l 如果您選取基本，請填寫基本索引標籤中所有必填的設定，包括使用者名稱、密碼、名字和姓氏

等。

l 您可以在選擇 Email或 SMS為傳送方式，且以分鐘計算 Token到期時間時啟用雙因素驗證。

l 您也可以選取一個通知選項，在無、Email和 SMS間選擇。管理員會收到自動產生的回應。

l 如果您選擇目錄，則請輸入管理員使用者的網域和使用者名稱。

3. 如有需要，您還可選取詳細資料標籤，然後輸入其他資訊。

4. 點選身份標籤，再選擇企業群組，然後選擇要指派給新管理員的身份。使用新增身份來加入新的身

份。

5. 選取 API標籤並選擇驗證類型。

6. 點選備註標籤以輸入其他管理員使用者的備註訊息。

7. 選取儲存來建立具有該指派身分的管理員帳戶。

建立暫時的管理員帳戶

您可以授與存取環境的暫時管理權限，以便處理支援、示範和其他有時限性的使用案例。

1. 瀏覽至帳戶 > 管理員 > 清單檢視，然後點選新增。選擇新增暫時管理員選項。

或者

幾乎每個 Workspace ONE ™UEM頁面右上角都會顯示標題列，請在其中選取說明按鈕，然後選取新增

暫時管理員。

2. 在基本標籤中，選擇要依據電子郵件地址或使用者名稱來新增暫時管理員帳戶，接著完成下列設定。


52



設定描述

Email 地址為暫時管理員帳戶輸入要使用的 Email地址。僅當您已選取了 Email地址選項按鈕，才能

使用此項目。

使用者名

稱

為暫時管理員帳戶輸入使用者名稱。僅當您已選取了使用者名稱選項按鈕，才能使用此

項目。

密碼/確認

密碼

輸入並確認要與 Email地址或使用者名稱建立關聯的密碼。

到期時間選取一個到期時間，預設值為 6小時。您也可以將此下拉式功能表設定為非使用中，以

先建立帳戶，等日後再啟用。

票據編號您也可以從 ZenDesk新增詢問票證編號以作為參考標記之用。

3. 在身份標籤中，您可以新增或刪除適用於暫時管理員帳戶的身份。

a. 若要新增身份，請選取新增身份按鈕，接著選取企業群組和身份，以及要用來讓暫時管理員帳戶

套用的身份。

b. 若要編輯現有身分，請選取編輯圖示 ( )，再選取其他企業群組與身分即可。

c. 選取刪除圖示 ( )即可刪除角色。

4. 選取儲存。

掌管管理員帳戶

若要實作金鑰管理功能，以持續維護和維持管理員帳戶，可瀏覽至帳戶 > 管理員 > 清單檢視。

若要顯示新增/編輯管理員頁面，請選取使用者名稱欄位中的超連結。此連結可讓您快速更新目前指派的

身份，或快速變更企業內的身份，將權限保持在最新狀態。您還可修改一般管理資訊並重設密碼。

您可篩選管理員清單，決定是要納入所有身份，或是將清單限制為只需要查看的特定身份。

若要顯示適用於管理員的動作按鈕，請選取管理員使用者名稱旁的圓形按鈕。

l 檢視歷程記錄 –追蹤管理員登入與登出 Workspace ONE ™UEM主控台的時間。

l 停用 –將管理員帳戶之使用狀態改成停用狀態。此功能可讓您暫停管理功能和權限。同時，此功能可

讓您保留管理員帳戶中已定義的身份，供日後使用。

l 啟用 –將管理員帳戶之停用狀態改成使用狀態。

l 刪除 –從 UEM主控台移除管理員帳戶。此動作在管理員結束受僱關係時十分有用。

l 重設密碼 –僅基本管理員可使用此功能。傳送電子郵件至記錄中的基本管理員電子郵件地址。電子郵

件中會包含 48小時內過期的連結。若要重設密碼，基本管理員必須選取該連結，回答密碼復原問題，

然後才能變更密碼。如需密碼復原問題、無效登入嘗試次數和鎖定的詳細資訊，請參閱管理帳戶設定

於第 10頁。

目錄式管理員必須透過 Active Directory系統重設密碼。

暫時管理員則無法重設密碼。其他管理員必須先刪除再重新建立暫時管理員帳戶。


53



第 5章：身份式存取您可以建立身分，授與對 Workspace ONE UEM Console的特定存取權限。您可以根據有用的 UEM主控台存

取層級，為個別使用者和群組定義身分。

舉例來說，您企業中的服務台管理員可能在主控台中具有受限的存取權，而 IT主管則具有更廣泛的權限

範圍。

要啟用身份式的存取權之控管，您必須在 UEM主控台中設定管理員和使用者身份。特定的資源 (也就是權

限)可以針對這些身份，定義出何者應啟用或停用 UEM主控台內各種功能的存取權。您可以為那些需要存

取自助入口網站的終端使用者建立身份。

由於身分 (特別是資源或權限)決定了使用者和管理員在 UEM主控台可執行/不可執行的操作，因此請務

必授與正確的資源或權限。例如，如果您要求管理員在對裝置執行企業抹除之前先輸入備註，則該身分

不僅必須擁有對裝置執行企業抹除的權限，也必須擁有新增備註的權限。

預設和自訂身份

有數種 Workspace ONE ™UEM所提供的預設身分可供您選擇。您可以在每次升級時使用這些預設身份，它

們可以協助您快速地將身份指派給新的使用者。如果需要更深入的自訂功能，您可建立自訂身分，進一

步量身定製使用者的特殊權限和權限。與預設身份不同的是，這些自訂身份必須隨著每次 Workspace ONEUEM的升級手動進行更新。

每種身份的類型都包含繼承到的優點和缺點。預設身份可為您省下替品牌重新配置新身份的時間，理論

上可以用在各種不同的管理特權，並且可以自動與新功能和設定一同更新。但是「預設身份」可能無法精

確地符合企業或 MDM部署，這就是為何需要建立「自訂身份」。

預設的終端使用者身份

根據預設，終端使用者可在統一端點管理主控台使用的身份。

l 完整存取身份 –提供可以在自助入口網站中執行所有工作的完整權限。

l 基本存取身份 –提供在自助入口網站中，除了 MDM指令之外都可使用的權限。

自訂身份讓您可以隨心所欲地自訂多種特殊身份，並且在不同的使用者和管理員中做各種大大小小的變

更。但是「自訂身份」必須長期透過手動方式來維護和更新功能。

54



編輯預設的終端使用者身份來建立自訂的使用者身份

如果沒有任何預設身份可以確切地滿足貴公司，請考慮修改現有的使用者身份來建立自訂的使用者身

份。

1. 先確認您目前所在企業群組，就是要與新身份建立關聯的企業群組。

2. 瀏覽至帳戶 > 使用者 > 身份。

3. 決定清單中的哪個身份最符合您所要建立的身份，選取最右邊的編輯圖示 ( )即可編輯該角色。新

增/編輯身份頁面即會出現。

4. 依需要來編輯名稱、描述和初始登陸頁面文字方塊。審查每個勾選方格。這些選項代表各種權限，請

依需要來選取或取消這些選項。

5. 選取儲存將會儲存變更，覆寫先前的身份設定來使用新設定。

預設管理員身份

管理員可以在 Workspace ONE ™UEM主控台中使用以下的預設身份：使用管理員身份比較工具，比較兩個

管理員身份的特定權限。如需進一步資訊，請參閱比較管理員身份於第 64頁。

身份描述

系統管理員系統管理員身份可完整存取 Workspace ONE UEM環境。此身份包括密碼和安全性設定、工

作階段管理和 UEM主控台稽查資訊的存取權。此資訊位於系統配置下的管理標籤。

該身份僅限為環境管理員，例如由 VMware代管之所有 SaaS環境的 SaaS作業團隊。

AirWatch 管

理員

AirWatch管理員身份擁有 Workspace ONE UEM環境的全面存取權。但是，這不包括在系統

配置下之管理標籤的存取權限，因為該標籤負責管理 UEM主控台的最高層設定。

該身份僅限為可存取環境來進行疑難排解、安裝和設定的 VMware員工。

主控台管理

員

主控台管理員身份是共用 SaaS環境的預設管理員身份。該身份的功能有限，與合規原則

屬性、報告撰寫及企業群組選擇相關。

裝置管理員裝置管理員身份授予使用者存取 UEM主控台的重要權限。但是，此身份不是用於配置大

多數系統配置。這些配置包括 Active Directory (AD)/輕量型目錄存取通訊協定 (LDAP)、簡易郵

件傳輸通訊協定 (SMTP)、Agent等等。對於這些工作，請使用最上層的身份，比如 AirWatch管理員或系統管理員。

報告檢視器報告檢視器的身份，讓您能夠檢視透過行動裝置管理 (MDM)所擷取的資料。此身份限制

使用者從 UEM主控台上產生、檢視、匯出和訂閱報告的能力。

內容管理內容管理身份僅有 VMware Content Locker管理的存取權。使用此身份讓專門負責上傳和管

理裝置內容的管理員來使用此身份。

應用程式管

理

擁有應用程式管理身份存取權的管理員，可以部署和管理裝置團隊之內部用和公用的應

用程式。此身份適用於執行應用程式管理的管理員。

服務台「服務台」身份提供了大部分處理第一層 IT服務台功能所需的各種工具。此身份可以使用

的主要工具就是透過遠端動作來查看並回覆裝置訊息。然而，此身份也包含了報告檢視

和裝置搜尋的能力。

第 5章：身份式存取

55



身份描述

僅限 APP 目

錄的管理員

僅限 APP目錄的管理員身份與應用程式管理擁有的權限大致相同。新增的權限是能夠新

增和維護管理員和使用者帳戶、管理員和使用者群組、裝置詳細資訊和標籤。

唯讀唯讀身份提供 UEM主控台大部分的存取權，但是僅限於唯讀狀態。使用此身份可稽查或

記錄 Workspace ONE UEM環境中的設定。此身份不適用於系統操作員或管理員。

HorizonAdministrator

Horizon Administrator身份是特別設計的權限集合，針對與 VMware Horizon View整合的

Workspace ONE UEM配置加以補強。

NSX 管理員 NSX管理員身份是特別設計的權限集合，目的在於補強與 Workspace ONE UEM整合的

VMware NSX。此身份提供完整的系統和憑證管理權限，允許管理員橋接端點安全性與資料

中心安全性。

隱私權核證

者

隱私權核證者身分提供 Monitor總覽、裝置清單檢視、檢視系統設定的讀取權限，以及隱

私權設定的完整編輯權限。

編輯預設管理員身份來建立自訂管理員身份

如果可用的預設角色無法確切地符合貴公司的管理員資源，請考慮修改現有的預設角色來建立自訂管理

員身份。

1. 先確認您目前所在企業群組，就是要與新身份建立關聯的企業群組。

2. 瀏覽至帳戶 > 管理員 > 身份。

3. 決定清單中的哪個身份最符合您所要建立的身份，勾選此身份的方格。

4. 在清單上方的動作功能表中選擇複製，複製身份的頁面即會出現。

5. 在所產生的複製身份頁面中，編輯特定之複製設定。為自訂的身份建立專屬的名稱和描述。

6. 選取儲存。

如需進一步資訊，請參閱建立管理員身份於第 59頁。

使用者身份

使用者身份可讓您啟用或停用登入使用者能夠執行的特定動作。這些動作包括控制對裝置抹除、裝置查

詢的存取權，以及管理個人內容。您也可以自訂初始登陸頁面，並限制自助入口網站的存取權。

建立多使用者身份可以節省時間，還可跨越不同企業群組做全面性的配置，又或者隨時為特定使用者變

更其使用者身份。

建立新的使用者身份

除了現有的「基本存取權」和「完整存取權」身份外，您還可以建立自訂的身份。擁有數個可用的使用者身

份，除了可以保持彈性外，還可能省下為新使用者指派身分的時間。

1. 導覽至帳戶 > 使用者 > 角色，然後選取新增角色。新增/編輯身份頁面即會出現。

2. 輸入名稱和描述，並且為使用此新身份之使用者選擇 SSP之初始登陸頁面。

對於現有的使用者身分，其預設初始登陸頁面為我的裝置頁面。


56



3. 在選項清單中，選擇具有此指派身份的終端使用者在 SSP中所擁有的存取和控管權限的等級。

l 按一下全不選來清除此頁面上所有的勾選方格。

l 選取全選來勾選此頁面上所有的方格。

4. 儲存所有身份的變更。新增的使用者身份現將會出現在「身份」頁面的清單中。

您可以從「身份」頁面檢視、編輯或刪除身份。

配置預設身份

預設身份為所有使用者身份的基準身份。進行預設身份配置，讓您能夠設定使用者在註冊時會自動收到

的權限和權力。

1. 瀏覽至裝置 > 裝置設定 > 裝置 & 使用者 > 一般 > 註冊，然後點選分組標籤。

2. 選取預設身份，以在自助入口網站中為終端使用者配置預設的存取層級。您可以依企業群組來自訂這

些身份設定。

3. 選取儲存。

指派或編輯現有之使用者的身份。

您可以為特定使用者編輯身份，例如授予或限制 Workspace ONE ™UEM功能的存取權。

1. 選擇適當的企業群組。

2. 瀏覽至帳戶 > 使用者 > 清單檢視

3. 從清單中搜尋您要編輯的特定使用者。一旦您已辨識該使用者，請在勾選方格下方選取「編輯」圖示。

就會顯示新增/編輯使用者的畫面。

4. 在一般標籤中滑動至註冊區塊，然後從下拉式功能表中選擇使用者身份，以變更特定使用者之身份。

5. 選取儲存。

管理員身份

管理員身分允許您為 UEM主控台中每個可用的設定及資源啟用或停用權限。這些設定會為管理團隊的每

位成員賦予或限制主控台功能，允許您針對自己的需求來形構出管理員的層次。

建立多個管理員身份可以節省時間，對不同企業群組設定全面的配置，代表您可隨時變更特定管理員的

權限。

管理員身份清單檢視

管理員身份清單檢視可讓您在整個 Admin Base中新增、編輯、比較和維護身份資料庫。您可導覽至帳戶 >管理員 > 清單檢視，以找到管理員身分清單檢視。

新增身份

若要從頭開始建立新的管理員身份，請選取新增身份按鈕。如需進一步資訊，請參閱建立管理員身份於第

59頁。


57



匯入身份並匯出身份

您可匯入其他環境匯出的身份。您也可將儲存為 XML檔案的身份，匯出到裝置上的位置，以便稍後匯入。

選擇要匯出的身份，然後選擇匯出按鈕。更多相關資訊，請參閱以下主題。

l 匯入管理員身份於第 61頁

l 匯出管理員身份於第 61頁

l 匯入匯出管理員身份時發生版本設定問題於第 62頁


58



複製身份

複製現有的身份可以省下時間。您也可以變更副本的權限，並另存為不同名稱。

1. 在要複製的身份旁邊，勾選方格。

2. 選取複製按鈕。複製身份的頁面即會出現。

3. 變更類別、名稱和描述。

4. 完成後，請選擇儲存。

檢視使用者

使用檢視使用者按鈕可查看「管理員清單檢視」，該清單列出所有管理員。勾選身分名稱左側的勾選方

格，然後選取檢視使用者按鈕。

刪除身份

您可以在管理員身份資料庫中刪除未使用的身份。您不能刪除指派給管理員的身份。選擇要刪除的未指

派身份，然後選擇刪除按鈕。

為身份重新命名

如果要匯入管理員身份，其名稱與現有的管理員身份相同，您可以先為現有的管理員身份重新命名。如

需進一步資訊，請參閱將管理員身份重新命名於第 62頁。

查看管理員身分的資源

您可以檢視任何管理員身分 (包括自訂身分和預設身分)的所有資源或權限。此視圖可協助您判斷管理員

可以 (或不可以)在 UEM主控台中執行哪些工作。如需詳細資訊，請參閱查看管理員身分的資源於第 63頁。

編輯身份

您可以編輯現有的身份名稱、描述和特定權限。從清單中選取身分名稱左側的鉛筆圖示，即可顯示編輯

身分畫面，讓您進行變更。

比較兩個身份

您也可以比較兩個身份的個別權限設定。如需進一步資訊，請參閱比較管理員身份於第 64頁。

建立管理員身份

您可以建立管理員身份，定義要在 Workspace ONE ™UEM中執行的特定工作。接著再為個別管理員指派這

些身份。要建立管理員身份，請按照下列步驟。


59



1. 導覽至帳戶 > 管理員 > 身份，然後在 UEM主控台中點選新增身份。

2. 在建立角色中輸入該身份的名稱與描述。

3. 在類別清單中做適當的選擇。

此類別區段會統整最上層的類別，例如裝置管理，而其之下又細分為應用程式、瀏覽器和大量管理等

其他項目。這種類別之細分方式，讓您可以輕鬆又快速地建立身份。在右方面板的每個子類別之設定

都有讀取和編輯的勾選方格。

當您從類別的區塊做選擇時，其子類別內容 (個別設定)會在右方面板中填入資訊。每項個別的設定都

有自己的讀取和編輯勾選方格，欄位標題上也有「全選」樣式的讀取和編輯勾選方格。這種排列方式可

在建立身份時，能夠彈性控管與自訂。

使用搜尋資源文字方塊，可以縮減能從中選取的資源數量。資源本身的標註方式通常與在 UEM主控

台中參照該資源的方式相同。例如，如果您要將管理員身分限制成只能編輯 App記錄，請在搜尋資源

方塊中輸入「App記錄」，畫面將出現一張清單，列出包含「App記錄」字串的所有資源。

4. 在對應的資源選項的讀取和編輯方格中做適當的選擇。您也可以選擇清除任何所選的資源。


60



5. 若要做全面之類別的選擇，請直接從類別區塊中選取無、讀取或編輯，而無需在右方面板中填入資

訊。選取類別標籤右側的圓圈圖示，即會出現下拉式功能表。當您確定要選擇「無」、僅供「讀取」或「編

輯」功能作為整體類別的設定時，請採用此選擇方式。

6. 點選儲存，來完成建立「自訂身份」的工作。您現在便可在身份頁面的清單中，檢視新增的身份。您也

可在此處編輯身份的詳細資料或刪除身份。

每次 Workspace ONE UEM版本更新後，您必須同時更新「自訂身份」，才能在最新版本中取得新的權限。

匯入管理員身份

您可以匯入自其他環境儲存為 XML檔案的管理員身份，使管理員身份成為可攜式的資源，從而節省時

間。

若要將身份匯入個別的 Workspace ONE ™UEM環境中：

1. 瀏覽至帳戶 > 管理員 > 身份，然後選擇匯入身份。

2. 在「匯入身份」的畫面中，選擇瀏覽，並找出先前所儲存的 XML檔。選擇上傳來將管理員身份上傳至類

別清單中以便驗證。

3. Workspace ONE UEM會執行一系列的驗證檢查，包括 XML檔案檢查、匯入身份權限檢查、重複身份名稱

檢查，以及空白名稱和描述的檢查。

4. 若要檢查資源設定，並確認其匯入角色規格，請在左方面板中選取特定類別。

5. 您也可依據需要，為匯入的身分編輯資源、名稱和描述。若您想要同時保留現有身份與匯入的身份，

請在匯入新身份之前，先將現有的管理身份重新命名。

a. 如果要導入的角色名稱與環境中現有的角色相同，則會顯示一則訊息。「已有相同名稱的角色存在於此

環境。是否要覆寫現有角色？」

b. 若選擇「否」，則環境中的現有角色就會保持不變，同時取消身份匯入。

c. 若選擇「是」，系統會提示您提供安全 PIN碼。如能正確輸入，系統便會以匯入的角色來取代現有角

色。

6. 選擇儲存，將匯入的身份套用到新的環境中。

匯出管理員身份

您可以使用 XML檔案來匯出管理員身份，在將相同的檔案匯入其他環境，藉此將管理員身份製作成可攜

帶的檔案，能省下不少時間。

請採用以下步驟來啟動此程序。


61




2. 勾選您想要匯出之管理員身份旁邊的方格。身份清單上方的動作按鍵即會出現。

3. 選擇匯出並將該 XML檔案儲存在您裝置上的某個位置。

如果您選取多個管理員身份，就無法使用匯出動作。

將管理員身份重新命名

如果您要匯入的管理員身分，名稱與現有管理員身分相同，那麼先將現有的管理員身分重新命名應該十

分有用。重新命名可讓您在相同的環境中同時保留新舊身分。

1. 瀏覽至帳戶 > 管理員 > 角色，然後針對您要重新命名的角色選取編輯圖示 ( )。編輯身份的頁面即會

出現。

2. 編輯該身份的名稱，也可編輯描述。

3. 選取儲存。

匯入匯出管理員身份時發生版本設定問題

在某些情況下，匯出的身分可能會匯入到一個執行舊版 Workspace ONE ™UEM的環境中。此先前的版本和

所匯入的身分，或許沒有一樣的資源和權限。

在這種情況下，Workspace ONE UEM會透過下列訊息通知您。

此環境中有些權限在您匯入的檔案裡找不到。在儲存之前，請先審查並修正所強調的權限。

使用類別清單畫面來取消選取所強調的權限。此動作讓您能夠將身份儲存至新的環境中。

讀取/編輯管理員身份類別中的指示器

類別區塊中有一個明顯的指標，可以反映出目前對僅供「讀取」、「編輯」或兩者的組合。您無需開啟和檢

驗個別之子類別的設定，此指標即可呈報相關的設定。

此指標位在「類別」清單的右方以圓圈圖形顯示，呈報內容如下。

此類別的所有選項都有編輯的功能 (照理說也都有僅供讀取功能)。

大部分的類別設定都會啟用編輯功能，但至少有一個子類別的編輯功能會被停用。

所有類別設定皆啟用為唯讀 (停用編輯功能)。


62



大部分的類別設定都是唯讀，但至少啟用了一個子類別的編輯功能。

指派或編輯管理員身份

您可以將身份指派給管理員，允許其在 Workspace ONE ™UEM主控台中擴展管理員的功能。您也可以編輯

現有的身分，這可能是限制或擴大其功能。

1. 瀏覽至帳戶 > 管理員 > 清單檢視，找到管理員帳戶，然後在動作按鈕叢集中選擇編輯圖示。新增/編輯

管理員頁面即會顯示。

2. 選擇身份標籤。選擇新增身份。

3. 為每個新增的身份輸入企業群組和身份的詳細資料。

4. 選取儲存。

查看管理員身分的資源

身分是由數百種資源或權限組成，可用於在 UEM主控台內存取特定功能 (唯讀或編輯)。您可以使用管理

員身分清單檢視檢閱任何管理員身分 (包括自訂身分和預設身分)的所有資源，這樣可協助您判斷哪些管

理員可/不可在 UEM主控台中執行的工作。

若要查看管理身分的資源，請執行以下步驟。


2. 找到您要查看權限的管理員身分。如果您有一個相當大的管理員身分庫，請使用右上角的搜尋清單

列，縮小清單範圍。

3. 選擇身分的名稱 (即連結)，此時會顯示檢視身分畫面，內含所有與身分相關聯的權限。

l 身分類別將列於左側面板，有的身分可能有子類別，您可以展開檢視。

l 如需深入瞭解此畫面上出現的橙色讀取/編輯視覺指示器，請參閱讀取/編輯管理員身份類別中的

指示器於第 62頁。

l 在左側面板中選擇特定類別，則每個資源的類別、名稱和描述會顯示在右側面板上。最右側的詳

細資料連結會顯示 UEM主控台內每個特定的唯讀和編輯功能。

l 您可以使用搜尋資源方塊，依名稱尋找特定功能。例如，如果要建立只能為裝置新增標記的管理

員身分，請在搜尋資源中輸入「標記」一字，然後按下 enter鍵。所有包含字串「標記」的資源都會出

現在右側面板中，讓您輕鬆找出特定的標記相關功能，並指派給某個身分。

l 若要套用這些步驟，以建立自己的身分，請瀏覽建立管理員身份於第 59頁。

4. 稽核管理員身分後，請選取關閉。

管理員身份比較工具

建立管理員身份時，修改現有身份通常比從頭建立管理員身份容易得多。身份比較工具可清楚顯示兩個

管理員身份之間的差異，大幅簡化比較程序。


63



比較管理員身份

您可比較任兩個管理員角色的權限設定，藉此確保設定準確無誤或確認您刻意設定的差異。使用比較身

份工具來比較兩個管理員身份。


2. 找到任兩個已列出的身份，包括出現在不同畫面的身份，並選擇那些身份。

3. 選擇比較。具有類別清單的比較身份的畫面即會出現。在左方選取特定的類別，便會將該類別的所有

詳細資料填入右方。

l 不管選取的身份是比兩個少，還是比兩個多，都不會顯示比較按鈕。

l 透過點選最右方詳細資料的連結，便可在右方的面板中檢視身份的子類別。選取隱藏的連結可以

摺疊身份的子類別。

l 當選取左方面板上「全部」的類別時，比較身份頁面上便會顯示所有的父類別。當您在搜尋資源列

中輸入搜尋參數時，右方的面板僅會顯示相符的類別和資源 (也就是權限)清單。

l 搜尋功能具持續性。此持續性表示如果您在搜尋資源列中留有參數，即使選取全部類別也只會顯

示相符的類別與資源而已。在您選取特定的資源並選取了讀取與編輯之後，搜尋的功能一就是持

續的。

l 根據預設，系統只會顯示那些設定不同的類別與子類別。啟用顯示所有權限勾選方格即可顯示所

有的權限，包括那些在兩種選定的身份中皆相同的設定。


64



l 如果您選取的兩個角色具有完全相同的權限，主控台會在比較角色頁面的最上方顯示此訊息。

「這兩個角色的權限沒有任何差異。」

l 您也可以選取匯出以建立 Excel可檢視的 CSV檔案 (逗點分隔值)。此 CSV檔包含了身份 1和身份 2的所有設定，讓您能夠分析兩者間的差異。


65



第 6章：指派群組指派群組是一個概括性的術語，在 Workspace ONE ™UEM中用來分類某管理群組結構。

企業群組、智慧群組和使用者群組，各有一組全套的功能和特性，而且互不相同。唯一的共通點是都能輕

鬆將內容指派到使用者裝置。指派群組讓管理員能夠在單一的位置管理這三個群組。

您可以使用清單檢視將多個企業群組、智慧群組和使用者群組指派到一或多個設定檔、公用應用程式和

原則。

瀏覽至群組 & 設定 > 群組 > 指派群組。

建立自訂指派群組清單

「指派群組清單檢視」有著三種不同群組的清單，這些群組都具有將內容指派到裝置的功能：企業群組、智

慧群組和使用者群組。您可以僅針對那些您有興趣看見的群組來建立清單。

按欄位排序

66



您可點選欄位的標頭，依照個別欄位的群組清單來排序。

篩選群組

您可依群組類型 (智慧群組、企業群組和使用者群組)篩選群組。您還可以依指派 (指派、排除、全部和無)的條件篩選。

選取指派群組清單中的連結

「指派群組清單」頁面中共有四個欄位，各自負擔著特定功能，需在此說明一下。

l 每個智慧群組的群組欄位中都有一個連結。您可以選擇此連結來編輯智慧群組。

l 如果在指派欄位中選擇非零數值，將會出現「檢視指派」頁面，即使是已指派的企業群組和使用者群組

也會出現。此功能讓您能夠檢視和確認設定檔、公用應用程式和合規原則的指派項目。

l 如果在排除欄位中選擇非零數值，將會出現「檢視指派」頁面，即使是已排除的企業群組和使用者群組

也會出現。「檢視指派」頁面可讓您檢視並確認設定檔、公共應用程式和合規原則的排除項目。

l 如果選擇裝置欄數，將出現「裝置清單檢視」頁面。「裝置清單檢視」列出所選企業群組、智慧群組或使

用者群組的所有裝置。


檢視指派於第 87頁

裝置清單檢視於第 173頁

指派一或多個指派群組

您可將群組指派到設定檔、公用應用程式和合規原則。您也可以同時將數個群組指派給每種個別的類型

(企業、智慧和使用者)。

若要指派公用應用程式，您可為不同的使用者群組配置不同的 APP原則。如需詳細資訊，請前往

docs.vmware.com找到《VMware AirWatch Mobile Application Management 行動應用程式管理指南》，並參閱其

中的「使用彈性化部署指派內部應用程式」。

1. 瀏覽至群組 & 設定 > 群組 > 指派群組。

2. 在清單中選擇一個以上的群組，然後在欄位的標頭上點選指派。

第 6章：指派群組

67



3. 指派頁面會顯示您所選的企業群組、智慧群組以及使用者群組。

4. 透過啟動設定檔、公用應用程式和合規原則的搜尋功能來進行指派。您最多可以選取 10個設定檔、10個公用應用程式和一個合規原則。

每個工作階段您都只能為單一類型選取多個實體。例如：您可以在單一指令中指派多個群組至最多 10個不同的設定檔。但是，您不可在單一指令中指派多個群組至 10個設定檔、10個 APP和一個合規原

則。如果您有多種不同類型的多個實體，您就必須為每個類型 (設定檔、APP和原則)分別展開指派的

工作階段。

5. 點選下一步來顯示檢視裝置指派頁面，您可用此來確認該群組的指派。

6. 點選儲存並發佈來完成此指派。

企業群組

Workspace ONE ™UEM可使用企業群組來辨識使用者及建立權限。由於任何企業方法都是要將內容傳送給

裝置的，因此請使用企業群組 (OG)來建立與企業階層相同的 MDM階層。您也可以根據 Workspace ONEUEM功能與內容來建立 OG。

您可以透過以下導覽途徑群組 & 設定 > 群組 > 企業群組 > 清單檢視，或從企業群組下拉式功能表來存取

企業群組。

l 為組織內的實體建置群組 (管理、支薪、計時、業務、零售、人力資源、主管等等)。

l 具有父層和子層的自訂階層 (例如「支薪」和「計時」是「管理」階層之下的子層)。

l 在階層上與數種內部基礎結構作整合。

l 按照多租用戶架構來委派以身份為基礎的存取權限與管理方式。

企業群組的特性

企業群組能夠適應功能性、地理性和組織性的實體，並且能夠啟用多重租用解決方案。

l 延展性 –彈性支援指數性成長。

l 多重租用 –建立用來作為獨立環境的群組。

l 繼承 –透過設定子群組繼承父群組之配置，來簡化設置過程。


68



以企業群組下拉式功能表為例，任何設定檔、功能、應用程式和其他 MDM設定都可設在「環球企業

(World Wide Enterprises)」的層級上。

然後，這些設定值可由下層的子群組企業群組來繼承，比如亞太地區和 EMEA，或甚至可細分成澳洲 >製造部門，或旗下的澳洲 > 作業部門 > 公司。

如亞太地區和 EMEA等同層級企業群組間的設定，則可透過保持這些設定單獨的限制來利用 OG的多租

用戶本質。然而，這兩個同層級 OG都承襲了其父級 OG的設定，也就是環球企業 (World WideEnterprises)。

此外，您也可以選擇覆寫較低層級的設定，只變更您想改變或保留的設定。您也可在任何層級上變更或

承襲這些設定。

設定企業群組時需考量的項目

在 Workspace ONE ™UEM主控台上設定企業群組 (OG)階層架構之前，請先決定群組結構。群組結構可讓您

妥善運用設定、應用程式與資源。

l 委託管理 –您可將子群組的管理工作委派給較低層的管理員，並將他們的可見度設在較低層的企業

群組。

l 企業管理員可以存取和檢視環境中的所有內容。

l LA 地區經理擁有 LAOG存取權，且僅可管理該處的裝

置。

l NY 地區經理擁有 NY OG存取權，且僅可管理該處的裝

置。

l 系統設定 –設定可套用在樹狀企業群組中的不同階層，並且向下傳承。您也可在任何階層中覆寫這些

設定。設定內容包括裝置註冊選項、驗證方式、隱私權設定和品牌化等。

l 整體公司可針對該公司的 Active Directory伺服器建立註冊

程序。

l 驅動程式裝置可覆寫父級驗證並允許 Token型註冊。

l 倉庫用裝置可從父群組繼承 AD的設定。

l 裝置使用範例 –您可將同一個設定檔指派到一個或數個企業群組。在那些群組中的裝置即可接收到

該設定檔。想取得更多資訊，請參閱「設定檔」章節內容。在建立企業群組之前，請根據屬性 (例如：裝

置製造商和型號、擁有權類型，或是使用者群組等)，使用設定檔、應用程式和內容設定來考量如何配

置裝置。

l 高階主管的裝置無法安裝應用程式與存取 Wi-Fi銷售網

路。

l 業務的裝置可安裝應用程式並具 VPN存取權。

企業群組設定的覆寫與繼承

結構的階層會決定企業群組是子代還是父代。然而，您必須要擁有額外的存放庫與應用程式，才能選擇

覆寫本機繼承。


69



您可將存放庫和應用程式加入將要繼承父群組設定的子群組。此外，您可以選擇在各別的群組層級上覆

寫繼承內容。

如需詳細資訊，請參閱《VMware AirWatch Mobile Application Management 行動應用程式管理指南》中「從

App Store新增公用應用程式」。另請參閱《VMware AirWatch Mobile Content Management 行動內容管理指南》

中的「將內容上傳至 Workspace ONE UEM管理存放庫」。這兩份指南都可上網查閱：docs.vmware.com。

繼承、多租戶和驗證

以個別企業群組為準而覆寫設定的概念在與企業群組 (OG)特性 (如繼承和多租戶)結合時，將可進一步

與驗證結合。此一結合可讓配置更有彈性。

下列企業群組模型說明了這種彈性。

在此模型中，管理員通常擁有較大的權限和功能，位於此 OG分支的最高位置。這些管理員可使用管理

員特有的 SAML登入其 OG。

公司使用者從屬於管理員，因此其 OG會安排為子系。身為使用者而非管理員，其 SAML登入設定無法

繼承管理員設定。因此，公司使用者的 SAML設定會被覆寫。

BYOD 使用者不同於公司使用者。BYOD使用者所使用的裝置屬於使用者本身，並且可能包含更多個人

資訊。因此，這些裝置設定檔可能需要稍有不同的設定。BYOD使用者可能會有不同的使用條款合約。

BYOD裝置可能需要不同的企業抹除參數。基於前述種種和其他原因，讓 BYOD使用者登入個別的 OG，可能較為合理。

而且，儘管並非從屬於公司階層中的公司使用者，將 BYOD使用者設置為公司使用者的子系，確有其好

處。此安排意味著，BYOD使用者可繼承適用於「所有」公司使用者裝置的設定，只要將這些設定套用至

公司使用者的企業群組即可。

繼承也適用於 SAML驗證設定。由於 BYOD使用者是公司使用者的子系，因此 BYOD使用者在使用者驗證

設定方面也會繼承其 SAML。

替代模式是使 BYOD使用者成為公司使用者的同層級。

在此替代模式中，會有以下情況。

l 所有應全域套用至所有裝置的裝置設定檔 (包括合規性原則)，以及其他全域適用的裝置設定，都會套

用至兩個企業群組，而不是一個。之所以需要此雙重性，是因為 BYOD使用者對公司使用者的繼承已

非此模式中的要素。公司使用者與 BYOD使用者是對等項，因此沒有繼承關係。


70



l 必須對 BYOD使用者套用另一個 SAML覆寫。此覆寫是必要的，因為系統會假設這些使用者會從其父系

(也就是管理員)繼承 SAML設定。此類假設是錯誤的，因為 BYOD使用者並不是管理員，也沒有相同的

存取權和權限。

l BYOD使用者會繼續與公司使用者分開處理。此替代模型意味著，他們將繼續享有其本身的裝置設定

檔設定。

哪些因素可用來判斷最佳模式為何？比較全域適用的裝置設定數目，與群組特有的裝置設定數目。基

本上，如果您想要以大致相同的方式來處理所有裝置，請將 BYOD使用者設為公司使用者的子系。如果

維護個別設定較為重要，則應使 BYOD使用者成為公司使用者的同層級。

如需詳細資訊，請參閱 BYOD裝置的企業抹除於第 97頁。

如需涉及註冊之 OG繼承的詳細範例，請參閱目錄服務整合和註冊限制於第 93頁。

建立企業群組

您必須為每個執行裝置部署的公司實體，建立一個企業群組。請注意，您目前所在的 OG正是您即將建立

的 OG的父代。

1. 瀏覽至群組 & 設定 > 群組 > 企業群組 > 企業群組明細。

2. 選取新增子企業群組標籤並完成下列設定。

設定描述

名稱請為子企業群組 (OG)輸入要顯示的名稱。只能使用英數字元。請勿使用奇怪的字元。

群組

ID請為 OG輸入識別碼，以供終端使用者在裝置登入期間使用。在註冊過程中，利用群組 ID來

將裝置分配到正確的 OG。

請確定共用裝置的使用者都收到該群組 ID，因為依據您「共用裝置」的配置，系統可能會要

求裝置必須透過該群組 ID才能登入。

類型選擇預先配置的 OG類型，以反映其子 OG的類別。

國家選擇 OG所在國家。

地區

設定

為所選國家選擇語言分類。

客戶

產業

僅當類型為客戶時才能使用此設定。從客戶產業清單中加以選取。

3. 選取儲存。

企業群組類型功能

企業群組的類型可能會影響管理員所能配置的設定。

l 全域 –最上層的企業群組。該群組通常稱為「全域」且類型為「全域」。

o 對於代管的 SaaS環境，您將無法存取此群組。

o 內部部署客戶可在這個層級啟用「詳細資訊」記錄功能。


71



l 合作夥伴 –合作夥伴的上層企業群組 (Workspace ONE ™UEM的第三方經銷商)。

l 客戶 –每位客戶的上層企業群組。

o 客戶企業群組擁有的子/父企業群組，不得屬於客戶類型。

o 某些設定只能在「客戶」群組配置。這些設定會向下篩選到較低的組織。列舉幾個此類設定範例如

下：自動探索電子郵件網域、「大量採購方案」設定、「裝置註冊方案」設定 (AirWatch 8.0之前的版本)及個人內容。

l 容器 –預設企業群組類型。

o 客戶企業群組下方的所有企業群組都必須為容器類型。您可以將容器設置在「合作夥伴」和「客戶」

群組之間。

l 潛在客戶 –潛在的客戶。與客戶企業群組類似。功能可能會比真正的客戶群組少。

另有「部門」、「區域」之類的其他企業群組類型，以及自行定義企業群組類型的功能。這些類型不具有任

何與容器企業群組類型相同的特性和功能。

在全域新增裝置

全域企業群組 (OG)旨在為客戶和其他類型的 OG提供服務。鑑於繼承原理，若將裝置新增到全域，並根據

該裝置所屬的設定配置全域，則將另外影響到以下所有客戶 OG。此舉將削弱多租戶和繼承的優點。

如需進一步資訊，請參閱不應在全域註冊裝置的原因於第 121頁。

企業群組限制

若您嘗試設定企業群組 (OG)專用設定，群組與設定 > 所有設定下的設定頁面會通知您限制。

建立客戶層級的企業群組時可套用下列限制。

l 在軟體即服務 (SaaS)的部署中，無法建立巢狀的客戶 OG。

l 在內部部署環境中，雖然可以建立巢狀 OG，但您的管理員身份必須是系統管理員才行。

企業群組設定比較

身為管理員，您會發現比較各企業群組 (OG)之間的設定是非常有用的。下列為比較 OG設定時的可用項

目。

l 從不同的 Workspace ONE UEM軟體版本上傳包含 OG設定的 XML檔案。

l 減低在版本移轉時因配置的不同而造成問題的可能性。

l 篩選比較的結果，讓您能夠只顯示有興趣比較的設定。

l 利用搜尋功能，透過名稱來搜尋單一設定。

此企業群組的比較功能只適用於內部部署的客戶。

比較兩個企業群組

您可以將某個企業群組的設定拿去與另一個比較，從而減少版本移轉的問題。


72



例如，使用者接受度測試 (UAT)伺服器經過升級、配置和測試後，您可直接比較 UAT設定與生產設定。

1. 瀏覽至群組 & 設定 > 所有設定 > 管理員 > 設定管理 > 設定比較。

2. 從左方的下拉式功能表中選擇您環境內的OG (以數字 1標示)。或者您也可透過選取上傳按鈕來上傳

XML設定檔，並選取一個匯出的 OG設定 XML檔。

3. 在右方的下拉式功能表中選擇您要比較的OG (以數字 2標示)。

4. 選取升級按鈕，顯示兩個所選企業群組的所有設定清單。

l 兩企業群組 (OG)設定間的差異會自動反白。

l 您可以選擇是否要勾選僅顯示不同的部分勾選方格。此勾選方格只會顯示那些適用於某個企業群

組，卻不適用於另一個企業群組的設定。

l 空白 (或尚未指定)的個別設定會以「NULL」顯示在比較清單中。

智慧群組

智慧群組是可自訂的群組，決定哪些平台、裝置和使用者可接收所指派的應用程式、書籍、合規原則、裝

置設定檔或佈建。

當您建立企業群組時，您的依據通常是內部公司結構：地理位置、商務單位和部門。例如：「北部銷售」、

「南部人力資源」。然而，智慧群組提供彈性，可依裝置平台、型號、作業系統、裝置標記或使用者群組傳

送內容和設置。您甚至可以跨多重企業群組來將內容傳送給個別的使用者。

您可在上傳內容和定義設定時建立智慧群組。不過，其模組化的本質則意味著您可在任何時候建立這些

群組以供日後指派用途。

智慧群組的主要優點是它可重複使用。每次新增內容或定義設定檔或原則時，可以直接指派新的項目。相

反，如果只為智慧群組定義一次被指定者，可以在內容定義中包含這些智慧群組就好。

建立智慧群組

您必須先建立一個智慧群組，才可指派該智慧群組至應用程式、書籍、合規原則、裝置設定檔、影片頻道

或產品佈建等。

1. 選取合適的企業群組，讓您能套用新的智慧群組並從中管理。

2. 瀏覽至群組 & 設定 > 群組 > 指派群組，然後選擇新增智慧群組。

3. 輸入智慧群組的名稱。

4. 您也可以選擇啟用裝置預覽，以便查看您設定的智慧群組中包含哪些裝置。為了改善效能，此裝置預

覽功能預設為停用。

5. 配置智慧群組類型。在選擇準則和選擇裝置或使用者之間選擇。在選擇準則和選擇裝置或使用者之間

切換，會清除您已輸入的項目和選項。

選擇準則選項最適合裝置數量極多 (500以上)的群組，所接收的更新為一般更新。這種方法最有效，因

為這些群組的固有詳細資訊可傳送到行動團隊的所有端點。在選取準則類型，選擇適當的參數並加入

智慧群組。若未在任何設定中選取任何選項，該篩選便不會套用至準則。


73



設定描述

企業

群組

此準則選項可依選取的企業群組篩選裝置。您可選取多個企業群組。

使用

者群

組

此準則選項可依選取的使用者群組篩選裝置。您可選取多個使用者群組。

擁有

權

此準則選項可依選取的所有權類型篩選裝置。

標籤此準則選項可依標記方式篩選裝置。您可選取數個標記。

平台

和作

業系

統

此準則選項可依選取的平台和作業系統篩選裝置。您可以選擇多種組合。

雖然「平台」是智慧群組的一項準則，但是在裝置設定檔或合規原則中所配置的平台，其重要性始終都比智慧群

組的平台優先。舉例來說，如果某裝置設定檔是為 iOS 平台所建立的，即使智慧群組中含有 Android裝置，設定檔

還是只會指派到 iOS 裝置上。

型號此準則選項可依裝置型號篩選裝置。系統會依平台和作業系統內的選取項目顯示個別型

號。您可以從清單中選取 (或排除)型號。

企業

OEM版本

此準則選項可依原始設備製造商版本篩選裝置。您可選取多個 OEM。

新增

項目

此準則選項可新增篩選準則內未包含的個別裝置和使用者。您可以選取多部裝置和多位使

用者。

排除

項目

此準則選項可排除篩選準則內包含的個別裝置、個別使用者和使用者群組。您可以排除多

部裝置、多位使用者及多個使用者群組。

選擇裝置或使用者選項最適合裝置數量較少 (500以下)的群組，所接收的更新雖然零星卻重要。此方

法最有效，因為可從更細微的層級選擇群組成員。

您可使用選擇裝置或使用者類型來將內容和設定，指派給在一般企業行動準則之外的特殊案例。在裝

置中輸入裝置暱稱、在使用者中輸入使用者名稱 (名字或姓氏)。您必須先新增至少一個裝置或使用

者，否則您將無法儲存智慧群組。

一個智慧群組所能編程的規則數量是有限的 (500)。這 500個規則的限制與上述 500個裝置的閾值並不

相關，該閾值僅決定智慧群組將以選擇準則還是選擇裝置或使用者作為基礎。

設定描述

裝置輸入裝置暱稱，可將裝置新增到此智慧群組。您可以藉此方式新增多部裝置。

使用

者

輸入使用者名稱、名字或姓氏，可將使用者新增到此智慧群組。您可以藉此方式新增多位使

用者。

6. 完成後，選取儲存。

指派智慧群組

建立智慧群組後，必須予以指派，才會生效。您可指派給應用程式、書籍、合規原則、裝置設定檔、影片頻

道或產品佈建。指派智慧群組的方式有兩種。


74



建立裝置產品時指派至會群組

您可以在新增或建立應用程式、書籍、合規原則、裝置設定檔、影片頻道或產品佈建的過程中，指派智慧

群組。

1. 完成指派的群組下拉式功能表。

2. 從下拉式功能表中選擇智慧群組。可用的智慧群組只會新增資源的企業群組 (OG)或下層的子 OG中受

到管理。

3. 如果沒有任何智慧群組符合您想要的指派準則，請選擇建立智慧群組選項。您可為每項應用程式、書

籍、合規原則、裝置設定檔、影片頻道或產品佈建等項目，指派不止一個智慧群組。

4. 選擇儲存以加入該指派項目。

管理智慧群組時加以指派

您可以在管理智慧群的過程中指派智慧群組。

1. 若要檢視智慧群組完整清單，請瀏覽至群組 & 設定 > 群組 > 指派群組。

2. 選擇一或多個要指派的智慧群組，然後選取指派。指派頁面便會顯示。

選擇指派頁面頂端的群組連結，以顯示群組頁面。管理智慧群組的企業群組會顯示於本頁。若要返回

指派頁面，請選擇關閉按鈕。

3. 在指派頁面中，使用搜尋方塊檢視符合資格的產品清單，並將其指派到選取的智慧群組。

4. 選擇下一步來顯示檢視裝置指派頁面，並且確認指派狀態。

5. 選取儲存並發佈。

如需進一步資訊，請參閱檢視裝置指派於第 141頁。

在設定檔和原則中排除群組

除了 APP、書籍、影片頻道和產品之外，智慧群組也適用於裝置設定檔和合規原則。這種靈活性可讓您從

設定檔和原則排除所選的智慧群組和使用者群組。

舉例來說，如果您要將合規原則套用至公司中所有使用者，但高階主管除外，有兩個方法可以完成。

排除其他智慧群組

建立兩個智慧群組，一個包含所有使用者，而另一個則包含高階主管。建立合規原則，然後將原則指派至

「所有使用者」智慧群組，然後在排除項目選項中指定「高階主管」智慧群組。

排除使用者群組

建立一個內含所有使用者的智慧群組。建立一個內含所有高階主管的智慧群組。建立合規原則，然後將原

則指派至「所有使用者」智慧群組，然後在排除項目選項中指定「高階主管」使用者群組。

1. 當新增裝置設定檔或合規原則時，選取位於排除項目設定旁的是，即可顯示排除的群組選項。

2. 在排除的群組設定中，選取您想要從此設定檔或原則指派排除的群組。若要以其他方法建立新的群

組，可選擇建立指派群組按鈕。

如果您在指派的群組和排除的群組設定中選取相同的群組，將無法儲存該設定檔或原則。

3. 選取檢視裝置指派即可預覽受影響的裝置。


75



智慧群組清單檢視

透過 Workspace ONE ™UEM主控台的編輯、指派、解除指派、排除和刪除等功能，管理您的智慧群組。若要

檢視智慧群組完整清單，請瀏覽至群組 & 設定 > 群組 > 指派群組。管理員只能查看依其權限設定有權管

理的群組。

群組、指派項目、排除項目和裝置等欄皆有供您用來檢視詳細資訊的可選連結。

l 選擇指派項目或排除項目欄中顯示的連結，會顯示檢視智慧群組指派項目畫面。

l 選擇裝置欄位中的連結，會顯示裝置 > 清單檢視並只顯示智慧群組中的裝置。

l 您可依群組類型 (智慧、企業、使用者或全部)，或是指派狀態篩選群組集合。指派狀態會顯示群組是否

已指派、排除、兩者皆是或兩者皆非。

l 您可以直接從清單指派智慧群組。

編輯、刪除智慧群組，或將其解除指派

任何套用在智慧群組的編輯，都會直接影響指派給該智慧群的所有原則和設定檔。

舉例來說，高階主管的智慧群組被指派到一項合規原則、裝置設定檔和兩個內部用的 APP。如果您想要排

除其中某些高階主管，只需要指定排除項目來編輯該智慧群組。此動作不但可移除那兩個內部用 APP，也可移除這些排除之裝置上的合規原則和裝置設定檔。

1. 瀏覽至群組 & 設定 > 群組 > 指派群組。

2. 在列出的智慧群組中，選擇您要編輯之群組左側的編輯圖示 ( )。您也可以在群組欄中選擇智慧群

組名稱。編輯智慧群組頁面會出現，並且會顯示其現有設定。

3. 在編輯智慧群組的頁面中，變更準則或裝置和使用者 (視智慧群組儲存的類型)，然後選擇下一步。

4. 在檢視指派項目頁面中，您可以檢閱哪些設定檔、App、書籍、佈建和原則可能會因此新增到裝置上或

從裝置上移除。


76



5. 選擇發佈以儲存您的智慧群組編輯內容。所有與此智慧群組相關的設定檔、APP、書籍、佈建和原則，

都會按照此編輯內容來更新其裝置指派。

主控台事件記錄可以追蹤智慧群組所做的變更，包括變更作者、已新增的裝置和已移除的裝置。

刪除智慧群組

當智慧群組不再需要使用時，便可以刪除。您一次只能刪除一個智慧群組。如果選擇一個以上的智慧群

組，刪除按鍵會無法使用。如果指派了智慧群組，則不得刪除。

1. 瀏覽至群組 & 設定 > 群組 > 指派群組，然後從清單中找出您所要刪除的智慧群組。

2. 選擇智慧群組名稱左側的勾選方格，然後從顯示的動作功能表選擇刪除。

將智慧群組解除指派

您可將智慧群組從應用程式、書籍、頻道、原則、設定檔或產品中解除指派。這個動作會從智慧群組的所

有裝置中將有關聯的內容全數移除。

1. 取消指派應用程式、書籍、合規原則、裝置設定檔或產品佈建中的智慧群組。依照顯示的導覽路徑操

作。

l 應用程式 –瀏覽至 APP & 書籍 > 應用程式 > 清單檢視，然後選擇公用或內部用標籤。

l 書籍 –瀏覽至 APP & 書籍 > 書籍 > 清單檢視，然後選取公用、內部用或 Web 標籤。

l 頻道 –瀏覽至內容 > Video > 頻道。

l 合規原則 –瀏覽至裝置 > 合規原則 > 清單檢視。

l 裝置設定檔 –瀏覽至裝置 > 設定檔與資源 > 設定檔。

l 產品佈建 –導覽至裝置 > 註冊預備和佈建 > 產品 > 清單檢視。

2. 從清單中找出內容或設定，然後從動作功能表中點選編輯圖示。

3. 選取指派標籤或找出已指派的智慧群組文字方塊。

4. 在您所要解除指派的智慧群組旁邊，選擇刪除 (X)。此動作不會刪除智慧群組。只會單純地從已儲存的

設定中移除智慧群組的指派。

5. 按照必要步驟來儲存您所做的變更。

使用主控台事件記錄器來研究智慧群組事件

您可利用主控台事件記錄器來追蹤智慧群組的變更，以及變更的時間和變更者。要排解裝置的疑難時，

這種追蹤功能顯得格外實用。

1. 導覽至 Monitor > 報告與分析 > 事件 > 主控台事件。

2. 在主控台事件清單最上方，從模組下拉式篩選條件中選擇智慧群組。

3. 套用更多您想要使用的篩選條件，包括日期範圍、嚴重性和類別等等。

4. 在適用情況下，選擇內含其他詳細資料之事件資料欄位中的超連結，可以協助您的研究用途。


77



使用者群組

您可以將使用者集合組成使用者群組，就像企業群組一樣，在指派設定檔與應用程式時可充任篩選條

件。在配置您的 MDM環境時，使用者群組必須與您企業中的安全性群組和業務身份一致。

您可使用者群組將設定檔、合規原則、內容和應用程式指派給使用者和裝置。您可以將您現有的目錄服務

群組新增至 Workspace ONE ™UEM中，或重新建立使用者群組。

另外一個取代使用者群組的方式，是按照預先配置的網路 IP位址範圍或自訂屬性來指派裝置，並且以此

來管理內容。更多相關的資訊，請參閱裝置指派於第 127頁。

未整合目錄的使用者群組 (自訂 )

在您現有的 Active Directory架構外建立使用者群組，讓您能夠隨時建立特殊的使用者群組。若要根據您的

部署自訂使用者群組，請特別設定功能和內容的存取權限。例如，您可以針對那些需要特殊 APP、裝置設

定檔和合規原則的特定專案，建立暫時的使用者群組。

更多大量新增使用者群組的相關資訊，請參閱批次匯入使用者群組於第 50頁。

新增未整合目錄的使用者群組 (自訂)

您可以在您的公司結構外建立自訂使用者群組，根據您所需要的使用者群組類型，這可能是首選的方

式。自訂使用者群組只能新增於客戶層級的企業群組。

1. 導覽至帳戶 > 使用者群組 > 清單檢視，選擇新增，然後再選擇新增使用者群組。

2. 將使用者群組的類型選項改為自訂。

3. 輸入群組名稱和描述，以便在 Workspace ONE ™UEM主控台中辨識使用者群組。

4. 確認將負責管理該使用者群組之企業群組，然後選擇儲存。

5. 然後，若要新增使用者到此新使用者群組，請瀏覽至帳戶 > 使用者 > 清單檢視。

若要新增多名使用者，請勾選每個列出的使用者名稱最左側的勾選方格。接下來，選取欄位標題上方

的管理按鈕，然後選取新增至使用者群組。

使用目錄整合的使用者群組

還有一個替代方案能夠自訂使用者群組而無需整合 Active Directory，那就是整合使用者群組。這個方法能

夠套用 Active Directory的現有結構，並提供許多好處。

在將您現有的目錄服務使用者群組匯入為 Workspace ONE ™UEM的使用者群組後，您便可執行以下工作。

l 使用者管理 –參考您現有的目錄服務群組 (例如：安全群組或分發清單)，並使 Workspace ONE UEM中的

使用者管理和現有的企業系統協調一致。

l 設定檔和原則 –將 Workspace ONE UEM所有部署之設定檔、應用程式和原則指派給各組使用者。

l 已整合的更新 –依照群組成員的變化，自動更新使用者群組的指派工作。

l 管理權限 –設定管理的使用權限，只允許經授權的管理員才能變更某些使用者群組之原則和設定檔

指派項目。

l 註冊 –允許使用者使用現有的憑證註冊，並自動指派企業群組。

管理員必須指定一個現有的企業群組為主要的根位置群組，並從此處管理裝置和使用者。必須在此根企

業群組上啟動目錄服務。


78



您可以將您現有的目錄服務群組新增至 Workspace ONE UEM中。雖然整合並不會立刻為您的每個目錄服

務帳戶建立使用者帳戶，但可確保 Workspace ONE UEM會將這些帳戶辨識為使用者群組。您可以此群組來

限制哪些使用者才可註冊。

如需大量新增目錄使用者群組的詳細資訊，請參閱批次匯入使用者群組於第 50頁。

新增已整合目錄的使用者群組

透過整合目錄來製作使用者群組能夠為裝置維持一致性的管理方式：裝置註冊加上後續更新、管理概觀

和使用者管理都能在您現有的目錄服務結構中保持一致的步調。

繼續進行前，請先確認使用者群組的類型為目錄。


79



1. 瀏覽至帳戶 > 使用者群組 > 清單檢視，選擇新增，然後再選擇新增使用者群組。

設定描述

類型選取使用者群組的類型。

l 目錄 –建立使用者群組，並使該群組與您現有的 Active Directory結構一致。

l 自訂 -在企業現有的 Active Directory結構之外建立使用者群組。此使用者群組類

型會為基本和目錄使用者授與功能和內容之存取權，以便依照您的部署情況自

訂使用者群組。自訂使用者群組只能新增於客戶層級的企業群組。

外部類型為您正在新增的群組選取外部類型。

l 群組 –一種群組物件類別，用於充任使用者群組的基礎。若要自訂此類別，請瀏

覽至群組 & 設定 > 所有設定 > 系統 > 企業整合 > 目錄服務 > 群組。

l 組織單位 –一種組織單位物件類別，用於充任使用者群組的基礎。若要自訂此類

別，請瀏覽至群組 & 設定 > 所有設定 > 系統 > 企業整合 > 目錄服務 > 群組。

l 自訂查詢 –所建立的使用者群組中，也能包含您藉著執行自訂查詢而定位的使

用者。選取這項外部類別將會取代搜尋文字功能，改為顯示自訂查詢區段。

搜尋文字輸入搜尋準則來辨識目錄中您的使用者群組名稱，然後選擇搜尋來搜尋該群組。如

果目錄群組中含有您所輸入的搜尋文字，群組名稱的清單便會顯示出來。

若外部類型設為自訂查詢，便無法使用此選項。

目錄名稱顯示您目錄服務伺服器位址的唯讀設定。

網域和群組基

準 DN系統會根據您輸入於目錄服務頁面 (群組與設定 > 系統 > 企業整合 > 目錄服務)中的

目錄服務伺服器資訊，來自動填入此項資訊。

選取群組基準 DN設定旁的擷取 DN加號 (+)，將會顯示辨別名稱元素清單供您選擇。

自訂物件類別識別出您查詢執行的物件類別。預設物件類別為「person」，但您也能提供自訂物件

類別以便更加有效而準確地識別您的使用者。

僅有在您將自訂查詢選取為外部類型時才能使用此選項。

群組名稱在搜尋文字結果清單中，選擇群組名稱。選取群組名稱將會自動變更辨別名稱設定

中的值。

僅當您成功使用搜尋文字設定完成搜尋後，才能使用此選項。

辨別名稱此唯讀設定會顯示您為群組所建立的完整辨別名稱。

僅有在您將群組或組織單位選取為外部類型時，才能使用此選項。

自訂基準 DN 識別出作為查詢起點的基本辨別名稱。預設基本辨別名稱為「AirWatch」和「sso」。但如果您想使用不同的起點來執行查詢，則可以提供自訂的基本辨別名稱。

僅有在您將自訂查詢選取為外部類型時才能使用此選項。

企業群組指派此選擇性設定允許您將正在建立的使用者群組指派給特定的企業群組。



80



設定描述

使用者群組設

定

請選取套用預設設定或是為使用者群組使用自訂設定。如需進一步的設定描述，請

參閱自訂設定區段。在建立群組後，您便可從權限設定中配置此選項。


自訂查詢

查詢此設定會顯示目前已載入的查詢，且當您選取測試查詢按鈕或者繼續按鈕時，即會

加以執行該查詢。您為自訂邏輯設定或自訂物件類別設定所作出的變更將會反映於

此。

自訂邏輯在此處新增您的自訂查詢邏輯，如使用者名稱或管理員名稱。例如："cn=jsmith"。您可以新增任意數量的辨別名稱。測試查詢按鈕允許您在選取繼續按鈕前，先查看查

詢的語法是否正確。

自訂設定

管理權限您可以允許或禁止管理您正在建立的使用者群組。

預設身份從下拉式功能表為使用者群組選取預設角色。

預設註冊原則從下拉式功能表中選取預設註冊原則。

自動與目錄同

步

此選項允許目錄同步，可從目錄檢測使用者的成員資格，並將其儲存於暫時表格

中。除非選取自動合併選項，否則管理員會核准對主控台的變更。

如果不希望使用者群組在排程同步期間自動同步，則必須停用此設定。

自動合併變更啟用此選項，即可從資料庫中自動套用同步變更，而不需要管理員許可。

所允許的變更

上限

使用此設定來為使用者群組的變更設定閾值，指出在獲得許可前所允許的自動化同

步次數。

閾值以外的變更都需要管理員核准，且必須傳送變更生效通知。如需詳細資訊，請

參閱《VMware Workspace ONE UEM 行動裝置管理指南》中的「Workspace ONE UEM主控

台通知」。

僅當自動合併變更啟用時，才能使用此選項。

自動新增群組

成員

啟用此設定，即可自動將使用者新增到使用者群組。

如果不希望使用者群組在排程同步期間自動同步，則必須停用此設定。

新增遺漏的使

用者時向使用

者傳送 Email

您可以在新增遺漏的使用者時向使用者傳送 Email。新增遺漏的使用者，意思是將暫

時的使用者群組表格與 Active Directory之表格合併。

訊息範本選取在將遺漏的使用者新增至使用者群組時，要用於電子郵件通知的訊息範本。

僅當新增遺漏的使用者時向使用者傳送 Email啟用時，才能使用此選項。

如需有關辨別名稱的進一步資訊，請前往 https://technet.microsoft.com，搜尋標題為「物件命名」

的 Microsoft TechNet文章。

2. 選取儲存。


81



https://technet.microsoft.com/

編輯使用者群組權限

微調使用者群組的權限可以讓您重新思考，將要允許企業中的哪些人員來編輯某些群組。舉例來說，貴公

司有一個高階主管使用者群組，您不會希望較低層的管理員擁有該使用者群組的管理權限。

利用權限頁面來控管哪些人可以管理特定的使用者群組，以及哪些人可以將設定檔、合規原則和應用程

式指派給使用者群組。重要的邏輯限制是以紅色反白顯示。

1. 瀏覽至帳戶 > 使用者群組 > 清單檢視。

2. 選取現有使用者群組列的編輯圖示。

3. 選取權限標籤，然後點選新增。

4. 選取您想要界定權限的企業群組。

5. 選取您想要啟用的權限。

l 管理員群組 (編輯/刪除) –啟用即可編輯或刪除使用者群組。

l 管理群組中的使用者並允許註冊 –管理使用者群組中的使用者，並允許在企業群組中註冊裝置。

僅當管理群組 (編輯/刪除)也啟用時，才能啟用此設定。如已停用管理群組 (編輯/刪除)，則此設定

也會跟著停用。

l 使用群組來進行指派 –使用此群組來將安全性原則與企業資源指派至裝置。僅當管理群組 (編輯/刪除)已停用時，才能變更此設定。如已啟用管理群組 (編輯/刪除)，系統就會封鎖此設定而無法加

以編輯。

6. 選擇這些權限的範圍，也就是您授權哪些管理員群組來管理或利用此使用者群組。只有以下其中一個

選項可處於使用狀態。

l 僅限管理員 –此權限只會影響父企業群組中的管理員。

l 此企業群組和其下層的所有管理員 –此權限會影響企業群組中的管理員，以及其下所有子企業群

組中的所有管理員。

7. 選取儲存。

存取使用者詳細資料

在備妥使用者和使用者群組後，您便可檢視有關的使用者明細、相關裝置、和互動情形等使用者資訊。

從 Workspace ONE ™UEM主控台中顯示使用者名稱的任何位置來存取使用者資訊，包括主控台中的以下各

個頁面。

l 使用者群組成員 (帳戶 > 使用者群組 > 詳細資訊檢視 > 更多 > 檢視使用者)

l 使用者清單檢視 (帳戶 > 使用者 > 清單檢視)

l 管理員清單檢視 (帳戶 > 管理員 > 清單檢視)。

使用者明細是一種單頁檢視。

l 所有相關的使用者群組。

l 所有長期以來與此使用者有關的裝置，以及所有已註冊裝置的連結。

l 在「共享裝置環境」中同一位使用者所簽出的所有裝置，以及裝置之完整的簽入/簽出記錄的連結。


82



l 所有針對裝置和使用者的事件記錄。

l 所有已指派、已接受和已拒絕的使用條款。

加密個人詳細資料

您可以將名字、姓氏、Email地址和電話號碼等個人識別資訊予以加密。

先從全域或客戶層級找到即將要配置加密的企業群組，然後瀏覽至群組 & 設定 > 所有設定 > 系統 > 安全

性 > 資料安全性。

1. 啟用加密個人資料設定，然後選取個別使用者資料設定來啟動加密。這麼做將會停用搜尋、排序和篩

選等功能。

2. 點選儲存來加密使用者資料，所以任何人無法隨意從資料庫中存取資料。此動作會限制 WorkspaceONE ™UEM主控台上的某些功能，譬如搜尋、排序和篩選等。

使用者群組清單檢視

使用者群組清單檢視頁面為一般使用者群組的維護和維持工作提供實用工具，包括檢視、合併、刪除使

用者群組，以及新增遺失的使用者。瀏覽至帳戶 > 使用者群組 > 清單檢視。

您可以透過使用者群組清單檢視，使用對您而言特別重要的準則來快速建立使用者群組清單。您也可以

個別或大量新增使用者群組。

動作描述

篩選

條件

使用下列篩選條件即可僅顯示您想要的使用者群組。

l 使用者群組類型。

l 同步狀態。

l 合併狀態。

新增

新增

使用

者群

組。

單次性的新增目錄型使用者群組或自訂使用者群組。

批次

匯入

透過以逗點分隔值 (CSV)檔案，大量匯入新的使用者。若要一次統整多個使用者群組，請輸入一個

獨特名稱和描述。

排序

並調

整欄

位大

小

在清單檢視中可排序的欄位為群組名稱、上次同步時間、使用者和合併狀態。可以調整大小的欄

位為「群組名稱」和「上次同步時間」。

明細

檢視

若要在詳細資訊檢視中檢視基本使用者群組資訊，請選擇群組名稱欄位中的連結。此資訊包含群

組名稱、群組類型、外部類型、管理員和使用者人數。詳細資訊檢視還包括所有設定 > 裝置與使

用者 > 一般 > 註冊的分組標籤中的群組對應設定連結。

匯出

( )將整個未篩選和已篩選的清單檢視儲存為逗點分隔值 (CSV)檔，以便在 Excel中檢視與分析。


83



使用者群組清單檢視中的使用者左側也有一個勾選方格和編輯圖示。點選編輯圖示 ( )讓您可以針對使

用者群組做基本的變更。若要對使用者群組執行大量動作，選取一或多個群組，將會出現該清單的動作

按鈕。

若要選取多個使用者群組，您可視需要的數量勾選方格。如此做即會修改可用的動作按鍵，而且會將可

用的動作套用到數個群組及其個別的使用者。

動作描述

同步在 Workspace ONE ™UEM執行排程的自動化 Active Directory同步之前，先將最近新增的使用者

群組使用者手動複製到暫存表格。

檢視使用

者

顯示使用者群組成員畫面，讓您查看所選使用者群組中所有成員的使用者名稱。

更多動作

檢視與合併檢視、新增和移除最近在暫時使用者群組的表格中所新增的使用者。出現在此表格中的使用者群組使用者，會等

待自動化 Workspace ONE UEM使用者群組同步完成。

新增遺失的

使用者

將暫時的使用者群組表格與 Active Directory的表格合併，可以確定將這些使用者正式新增至使用者群組中。

刪除刪除使用者群組。

將使用者新增至使用者群組

如果您有新使用者要新增至一或多個使用者群組，請遵循下列步驟。

1. 瀏覽至帳戶 > 使用者 > 清單檢視。

2. 以勾選左側的方格來選取一個或多個清單中的使用者。

3. 選取更多動作按鍵，然後選取新增至使用者群組。就會顯示將選定的使用者加入自訂使用者群組的頁

面。

4. 您可將使用者加入現有的使用者群組，或是建立一個新的使用者群組。

5. 選取群組名稱。

6. 選取儲存。

7. 瀏覽至帳戶 > 使用者群組 > 清單檢視。

a. Active Directory (AD)同步 (此為已排定時間的自動化程序)，會複製這些擱置中的使用者群組使用者

到暫時的表格中。然後會審查、新增或移除這些使用者群組使用者。

b. 如果不想等待自動化 AD同步，可以手動進行同步。若要啟動手動同步，請選取已新增使用者的使

用者群組，然後選取同步按鈕。

8. 您可以選擇是否要選取更多 > 檢視並合併來執行維護工作 (例如，檢閱、新增和移除擱置中的使用者

群組)。

9. 若要將擱置中的使用者群組使用者臨時表與 Active Directory使用者群組互相結合，請選取更多 > 新增

遺失的使用者。


84



管理員群組

管理員群組讓您能夠組裝管理員帳戶的子集，從而在管理員帳戶的權限外指派身份與權限。

管理員群組可用於指派身份與權限，為特殊的專案賦予主控台存取權。

您可以將您現有的目錄服務管理員新增至管理員群組，或者使用自訂查詢來重新創造管理員群組。

例如，如果有新的業務指令，則可能需要為一組培訓員指派特殊的管理員存取權限。您可以先建立一個

管理員群組，針對培訓員執行自訂查詢，再將為此全新商務而設的特殊身份指派給他們。如需詳細資訊，

請參閱管理員帳戶於第 52頁。

管理員群組清單檢視

管理員群組清單檢視頁面提供一些有用的工具，可用來維護和維持一般的使用者群組。這類維持包括新

增、檢視、合併和刪除使用者群組和遺失的使用者。

若要檢視此頁面，請導覽至帳戶 > 管理員 > 管理員群組。

若要顯示編輯管理員群組頁面，請選擇清單檢視中群組名稱欄位的超連結名稱。使用此頁面變更管理員

群組的名稱。您也可新增和移除適用於群組成員的身份。如需詳細資訊，請參閱《VMware Workspace ONE™ UEM Console指南》中的＜管理員角色＞。

若要顯示管理員群組成員清單，請選取管理欄位中的超連結號碼。此清單顯示管理員群組中所有管理員

的名稱。

若要存取以下動作和維護功能，請選取群組名稱旁邊的選項按鈕。

動作描述

同步在 Workspace ONE UEM安排 Active Directory進行同步之前，先將最近所新增之管理

員群組內的使用者，手動複製到暫時的表格中。

更多動作

檢視與合併檢視、新增和移除最近在暫時管理員群組的表格中所新增的使用者。出現在此表

格中的管理員群組之管理員，都在等待自動化 Workspace ONE UEM管理員群組同步

處理。

刪除刪除管理員群組。

置於頂部、上移一

個、下移一個、置於

底部

您可以為清單中出現的各個管理員群組編輯順序。若管理員群組的數量超過單一

頁面，則以這種方式移動群組會很實用。

新增遺漏的使用

者。

將暫時的管理員群組表格與 Active Directory的表格合併，可以確定將這些管理員正

式新增至管理員群組中。

新增管理員群組

您可以採取下列步驟新增管理員群組，從而將額外的身份與權限指派給管理員，以因應特殊的專案。


85



1. 導覽至帳戶 > 管理員 > 管理員群組，然後點選新增。完成適當的設定。

設定描述

外部類

型

為您正在新增的管理員群組選取外部類型。

l 群組 –一種群組物件類別，用於充任管理員群組的基礎。若要自訂此類別，請導覽至群

組與設定 > 所有設定 > 系統 > 企業整合 > 目錄服務 > 群組。

l 組織單位 –一種組織單位物件類別，用於充任管理員群組的基礎。若要自訂此物件類

別，請導覽至群組與設定 > 所有設定 > 系統 > 企業整合 > 目錄服務 > 群組。

l 自訂查詢 –所建立的管理員群組中，也能包含您藉著執行自訂查詢而定位的管理員。

選取這項外部類別將會取代搜尋文字功能，改為顯示自訂查詢區段。

目錄名

稱

顯示您目錄服務伺服器位址的唯讀設定。

網域和

群組基

準 DN

系統會根據您輸入於目錄服務頁面 (帳戶 > 使用者群組 > 設定 > 目錄服務)中的目錄服務伺

服器資訊，來自動填入此項資訊。

選取群組基準 DN設定旁的擷取 DN加號 (+)，會顯示基本網域名稱清單供您選擇。

搜尋文

字

輸入搜尋準則來辨識目錄中您的管理員群組名稱，然後選擇搜尋來搜尋該群組。如果目錄

群組中含有您所輸入的搜尋文字，群組名稱的清單便會顯示出來。

另外，您也可以將預設身份套用至您所建立的管理員群組。成功執行查詢後，選取身份索

引標籤，然後再選取新增按鈕，即可新增身份。您也可以變更企業群組和身份的選取項

目，從而編輯現有的身份。

僅有在您將群組或組織單位選取為外部類型時，才能使用此設定。

自訂物

件類別

識別出您查詢執行的物件類別。預設物件類別為「person」，但您也能提供自訂物件類別，以

便更加準確地識別您的管理員。

僅有在您將自訂查詢選取為外部類型時才能使用此設定。

自訂基

準 DN識別出作為查詢起點的基本辨別名稱。預設值為 'airwatch'和 'sso'，但如果您想從不同的起

點來執行查詢，也可以提供自訂的基礎辨別名稱。

僅有在您將自訂查詢選取為外部類型時才能使用此設定。

群組名

稱

在搜尋文字結果清單中，選擇群組名稱。選取群組名稱將會自動變更辨別名稱設定中的

值。

當您使用搜尋文字設定成功完成搜尋後，才能使用此設定。

辨別名

稱

此唯讀設定會顯示您為管理員群組所建立的完整辨別名稱。

當您使用搜尋文字設定成功完成搜尋後，才能使用此設定。

順位管理員群組一旦建立完成，此唯讀設定便會顯示其順位。若要變更管理員群組的排名，請

導覽至群組與設定 > 群組 > 管理員群組，並使用 [更多]動作按鈕來將它的相對位置移

動至管理員群組清單的右邊。

自動同

步

此選項允許目錄同步，可從目錄檢測使用者的成員資格，並將其儲存於暫時表格中。除非

啟用自動合併選項，否則管理員會核准對主控台的所有變更。


86



設定描述

自動合

併

啟用此選項，即可從資料庫中自動套用同步變更，而不需要管理員許可。

所允許

的變更

上限

使用此設定來為管理員群組的變更設定閾值，指出在獲得許可前所允許的自動化同步次

數。

僅當自動合併啟用時，才能使用此選項。

自動新

增群組

成員

啟用此選項即可自動將管理員新增至管理員群組。

時區輸入與管理員群組有關聯的時區。當系統執行已排程的自動化 Active Directory同步時，這項

必要設定便會產生影響。

地區設

定

選取與管理員群組有關聯的地區設定 (語言)。必須具備這項設定。

初始登

陸頁面

為管理員群組中的管理員輸入初始登陸頁面。此必要設定的預設設定為裝置儀表板，但您

可以選擇將其設為任何頁面。

自訂查詢

查詢此設定會顯示目前已載入的查詢，且當您選取測試查詢按鈕或者繼續按鈕時，即會加以執

行該查詢。您為自訂邏輯選項或自訂物件類別設定所作出的變更將會反映於此。

自訂邏

輯

在此處新增您的自訂查詢邏輯，如管理員名稱。例如："cn=jsmith"。您可以新增任意數量的

辨別名稱。測試查詢按鈕允許您在選取繼續按鈕前，先查看查詢的語法能否成功完成搜

尋。

如需有關辨別名稱的進一步資訊，請前往 https://technet.microsoft.com，搜尋標題為「物件命名」

的 Microsoft TechNet文章。

2. 選取儲存。

檢視指派

為了方便起見，您可以確認設定檔、APP、書籍、頻道和合規原則已包含在 (或已排除)所指派的群組內。

1. 瀏覽至群組 & 設定 > 群組 > 指派群組中的群組清單，並找出至少已指派一個實體的群組。

2. 在指派欄位中，選擇超連結數字以開啟檢視指派項目頁面。此頁面只會顯示群組中包含指派項目或排

除項目的類別。

在檢視指派項目畫面上方的標題列，有三個新工具來幫助您確認特定的設定檔、APP、書籍、頻道和合規

原則。


87



https://technet.microsoft.com/

第 7章：裝置註冊您必須先註冊裝置，才能透過 Workspace ONE ™UEM主控台管理該裝置。目前有多個註冊路徑，每個路徑

亦提供不同的註冊選項。

在全域註冊裝置



如需進一步資訊，請參閱不應在全域註冊裝置的原因於第 121頁。

透過 Workspace ONE Intelligent Hub註冊裝置

透過 Workspace ONE Intelligent Hub註冊裝置是 Android、iOS與 Windows等裝置的主要選項。

1. 從您的註冊裝置上之本機瀏覽器，瀏覽至 AWAgent.com。

Workspace ONE ™UEM會自動偵測是否已安裝 Workspace ONE Intelligent Hub，並在必要時將系統重新引

導至合適的行動 App商店去下載 Workspace ONE Intelligent Hub。

若要從公用的應用程式商店中下載 Workspace ONE Intelligent Hub，則必須有 Apple ID或 Google帳戶。

2. 完成下載後，執行 Workspace ONE Intelligent Hub或返回瀏覽器工作階段。

重要提示：若要確保 Workspace ONE Intelligent Hub在 Android裝置上安裝成功且順利執行，必須至少

具有 60MB的可用空間。CPU與執行時間記憶體會根據 Android平台上的 APP而配置。如果某 APP的

用量多於所配置的量，Android裝置便會終止該 APP以顧及整體的最佳化。

3. 輸入您的 Email地址。Workspace ONE UEM會檢查您的地址先前是否已曾加入此環境。如果是，則表示

系統已將您配置為終端使用者，而您的企業群組也已獲得指派。

如果 Workspace ONE UEM無法依照您的 Email地址來辨識別您的終端使用者身份，就會提示您輸入環境

URL、群組 ID 和認證。如果需要環境 URL和群組 ID，Workspace ONE UEM管理員會提供。

4. 依照所有剩餘的提示完成註冊。

88



https://www.awagent.com/

其他的註冊工作流程

在某些特殊情況下，註冊程序必須依照特定的企業和部署稍作調整。對於其他的每個註冊選項，終端使

用者必須使用此指南在必要資訊的部分所敘述的認證。

l Kiosk 模式和 Kiosk 設計工具 –Windows桌面的終端使用者可以在 Kiosk模式中設定桌面裝置。使用者也

可使用 Kiosk設計工具在 Workspace ONE UEM主控台中建立具有多項 App的 Kiosk。

l 通知提示註冊 –終端使用者收到含有註冊 URL的通知 (Email和 SMS)，然後輸入其群組 ID和登入認證。

當終端使用者接受使用條款 (TOU)時，裝置會自動註冊並裝備所有 MDM功能和內容。接受的內容包括

Workspace ONE ™UEM伺服器已選取的 APP和功能。

l 單擊註冊 –在此工作流程中，管理員會將 Workspace ONE UEM所產生的 Token以及註冊連結 URL寄送給

使用者；此流程也適用於 Web式註冊。使用者只需選取所提供的連結，即可驗證和註冊裝置，對於終

端使用者來說，此註冊程序可說是既簡單又快速。也可透過設定到期時間來確保此方法的安全。

o Web 註冊 –管理員可以選擇性地在使用的環境中附加「/enroll/welcome」來為 Web註冊叫用歡迎畫

面。例如：為參與 Web註冊的使用者提供 URL https://<custenvironment>/enroll/welcome，他們就可以

看到歡迎使用 Workspace ONE UEM的畫面。此畫面包含使用 Email地址或群組 ID註冊的選項。Web註冊選項適用於 Workspace ONE UEM 8.0以上版本。

l 雙重要素驗證 –在此工作流程中，管理員會將 Workspace ONE UEM所產生的註冊 Token傳送給使用者；

但是，使用者還是需要輸入其登入認證。此執行方式就和單擊註冊一樣簡單，但安全性層級還要再提

高一級。此額外的安全措施需要使用者輸入他們專用的認證。

l 終端使用者登記 –使用者登入自助入口網站 (SSP)，並登記其個人所屬的裝置。登記完畢後，系統便會

傳送一封含有註冊 URL和登入認證的 Email給終端使用者。此工作流程假設管理員尚未針對企業裝置

團隊執行裝置登記，並也假設您規定企業裝置都必須註冊，這樣管理員才能追蹤註冊狀態。此外，終

端使用者登記也表示企業裝置可與使用者購買的裝置搭配使用。

l 單一使用者裝置的註冊預備 –管理員以某終端使用者的身份代理註冊裝置。當管理員需為整個團隊

或團隊中的個別成員設定多個裝置時，本方法很實用。終端使用者若要註冊自己的裝置，使用此方法

可說是省時又省力。管理員也可以先配置並註冊某個裝置，再將該裝置直接寄送給在外地的使用者。

l 多使用者裝置的註冊預備 –管理員為多位使用者所使用的裝置進行註冊。每台裝置都會透過特定的

一組功能來進行註冊與佈建，只有透過使用者專用的認證登入後才可存取這些功能。


啟用登記 Token並建立預設訊息於第 108頁。

終端使用者裝置登記於第 106頁。

裝置登記於第 102頁。

預備單一使用者裝置於第 101頁。

預備多使用者裝置於第 102頁。

Workspace ONE直接註冊

使用 VMwareWorkspace ONE ™的直接註冊功能，可說是開始使用公司擁有和個人啟用 (COPE)的裝置時最

順暢的入門途徑。

第 7章：裝置註冊

89



COPE型號可為企業提供方式，讓企業可在裝置消費以及 IT需要的安全性和控制之間取得平衡。身為管理

員，您可以對使用者設定選擇性提示、依裝置類型限制、依使用者群組限制，以及延遲安裝 APP。

Workspace ONE直接註冊支援的選項

Workspace ONE ™的直接註冊支援以下平台和註冊選項。

支援的平台

l iOS。

l Android舊版。

l Android Enterprise。

導覽至群組和設定 > 所有設定 > 裝置和使用者 > 一般 > 註冊，選取每個適用的索引標籤，然後根據與

Workspace ONE直接註冊的相容性進行選取。

驗證

以下是與 Workspace ONE直接註冊相容的驗證選項。

l 目錄使用者。

l SAML和 Active Directory使用者受到「即時」支援。只要在初次登入之前有使用者記錄存在於 WorkspaceONE UEM中，即支援未使用 LDAP的 SAML使用者。

目前不支援基本使用者、註冊預備使用者、未使用目錄的 SAML使用者，以及 Authentication Proxy使用

者。

l 開放式註冊。

l Workspace ONE不會稽核「要求 iOS或 macOS使用 Workspace ONE Intelligent Hub」設定；這些設定可用來封

鎖其各自平台上的 Web註冊。

使用條款

所有使用條款選項皆與 Workspace ONE直接註冊相容。

分組

所有分組選項皆與 Workspace ONE直接註冊相容。

限制

以下是與 Workspace ONE直接註冊相容的限制選項。

l 已知的使用者和已配置的群組。

l 已註冊的裝置數上限。

l 原則設定受到部分支援。

o 允許的擁有權類型 –Workspace ONE只會對員工擁有和公司專用的類型發出提示。如果您不想看見

兩者的提示，請停用選擇性提示，並使用預設的擁有權類型。

o 不支援「允許的註冊類型」。


90



l 支援裝置平台、裝置型號和作業系統限制。

l 使用者群組限制。

選擇性提示

以下是與 Workspace ONE直接註冊相容的選擇性提示選項。

l 裝置擁有權提示。

l 資產號碼提示 (只有在 [裝置擁有權提示]已啟用時才支援)。

l 不支援其他所有的選擇性提示。

自訂

以下是與 Workspace ONE直接註冊相容的自訂選項。

l 為各平台使用特定的訊息範本。

l 註冊後的登陸 URL (僅限 iOS)。

l MDM設定檔訊息 (僅限 iOS)。

l 使用自訂 MDM應用程式。

l 不支援「註冊支援電子郵件」和「註冊支援電話」。

註冊預備

不支援透過 Workspace ONE直接註冊進行裝置註冊預備。如果您必須為單一或多個使用者進行裝置註冊

預備，您必須使用 Workspace ONE Intelligent Hub註冊裝置，而不是使用 Workspace ONE直接註冊。

啟用 Workspace ONE的直接註冊

您必須針對完成偏好設定的企業群組 (OG)啟用 Workspace ONE ™直接註冊。啟用後，所有符合資格的裝置

在第一次登入 Workspace ONE UEM後都會直接註冊。不合資格的裝置，如果與您定義的條件不符，則會註

冊為不受管理或容器狀態。

直接註冊預設為停用。

若要啟用 Workspace ONE直接註冊，請採取以下步驟。

1. 切換到您想要啟用 Workspace ONE直接註冊的企業群組。

2. 導覽至群組 & 設定 > 所有設定 > 裝置 & 使用者 > 一般 > 註冊，然後選取限制標籤。

3. 如有必要，請選取為覆寫父級 OG設定。


91



4. 向下捲動至Workspace ONE 管理需求，然後選取您的配置選項。

設定描述

WorkspaceONE 需要

MDM

登入 Workspace ONE時，提示符合資格的裝置和使用者必須立即註冊。

不符定義條件的裝置能夠以不受管理的狀態註冊，且之後可能會變更為受管理的狀

態 (可調式管理)。

指派的使用者

群組

此設定會指定您想要納入直接註冊程序的使用者群組。您也可以選取所有使用者，

此為啟用 Workspace ONE 需要 MDM時的預設選取項目。

iOS 啟用此設定以納入 iOS裝置。停用時，iOS裝置不符合直接註冊的資格，不過仍可以

不受管理的狀態註冊至 Workspace ONE UEM。

Android 舊版啟用此選項以納入舊版 Android裝置。停用時，舊版 Android裝置不符合直接註冊的

資格，不過仍可以不受管理的狀態註冊至 Workspace ONE UEM。

AndroidEnterprise

啟用此設定以納入 Android企業裝置。停用時，Android企業裝置不符合直接註冊的資

格，不過仍可以不受管理的狀態註冊至 Workspace ONE UEM。

5. 選取儲存。

只有配置於其他註冊標籤的可受支援選項，可套用到已儲存的直接註冊配置。

Workspace ONE直接註冊已經啟用時，下一步就是使用 Workspace ONE直接註冊來註冊您的裝置於第 92頁。

如需詳細瞭解 Workspace ONE選項的直接註冊和一般註冊選項，請參閱Workspace ONE直接註冊支援的選

項於第 90頁和配置註冊選項於第 109頁。

使用 Workspace ONE直接註冊來註冊您的裝置

啟用 Workspace ONE ™直接註冊後，只要透過 Workspace ONE APP使用符合資格的裝置和使用者登入註冊企

業群組，您就能立即完成註冊。

您的使用者也可以立即安裝公司認為實用的 APP。如果他們想要稍後再安裝 APP，也可以略過此步驟。

若要使用 Workspace ONE直接註冊來註冊裝置，終端使用者必須採取下列步驟。

1. 從平台專用的 APP商店或貯存器下載、安裝並執行 Workspace ONE APP。

2. 輸入伺服器網址或電子郵件地址。

3. 輸入目錄服務使用者名稱和密碼。

4. 選取您的平台專用的肯定步驟來安裝或啟用 Workspace Services。

a. iOS –允許伺服器開啟「設定」，輸入裝置密碼，安裝未簽署的裝置設定檔，並在工作區中開啟畫面。

b. Android 舊版 –安裝 Workspace ONE Intelligent Hub，允許其建立與管理通話，利用輸入裝置資產編號

的選項來選取裝置擁有權，啟動裝置管理員應用程式，然後登入 Workspace ONE。

c. Android 企業版 –接受 (或拒絕)使用協議條款，設定工作設定檔，並建立 Workspace ONE密碼。

5. Workspace ONE完成安裝例行工作時，您就可以繼續安裝 APP。

6. 您可以安裝選取自清單的個別 APP、全部安裝，或完全略過此步驟。


92



基本註冊與目錄服務註冊

如果具備目錄服務基礎結構，例如 Active Directory (AD)、Lotus Domino和 Novell e-Directory等等，就可在

Workspace ONE ™UEM中套用現有的使用者和群組。

如果沒有現有的目錄服務基礎結構，或是選擇不與之整合，則必須執行基本註冊。基本註冊即為手動建

立 UEM主控台中的使用者帳戶。

注意 :由於 Workspace ONE UEM支援混用基本使用者與目錄式使用者，通常只需要使用其中一種，就能

為使用者與裝置進行第一次註冊。

優點與缺點

優點缺點

基本註

冊




l 可以向潛在多個企業群組註冊。

l 認證僅存在於 Workspace ONE UEM，而且未必符合現有的企業

認證。

l 不提供聯合安全性。

l 不支援單一登入。


l 無法用於 Workspace ONE 直接註冊。

目錄服

務註冊

l 終端使用者可以利用現有的企業憑證來進

行驗證。

l 可自動偵測變更並從目錄系統將變更同步

至 Workspace ONE UEM。

l 能提供安全的方法來與現有的目錄服務整

合。


l 可用於 Workspace ONE 直接註冊。

l 在使用 VMware Enterprise Systems Connector的 SaaS 部署中，無需變更防火牆即可為其

他的基礎結構提供安全的配置，如 MicrosoftADCS、SCEP和 SMTP伺服器。

l 需要現有的目錄服務基礎結構。

l 由於 VMware Enterprise Systems Connector安裝在防

火牆後方或 DMZ之中，因此 SaaS部署需要額外的

配置。

目錄服務整合和註冊限制

在 Workspace ONE ™UEM配置目錄服務整合時，目錄服務帳戶會從經過配置的目錄服務中繼承企業群組

(OG)的註冊設定。不過基本帳戶必須遵守本機設定，包括覆寫設定。


93



例如，假設選取了對自已配置群組移除之使用者所擁有的裝置進行企業抹除這個選項，在此情況下，無

論該 OG配置的覆寫設定為何，退出已配置之群組的 Sales01目錄註冊使用者皆會看到自己的裝置已抹

除。雖然這些帳戶已經在其他 OG註冊裝置，上述規則依然適用，因為註冊設定以使用者為依據，而非以

裝置為依據。

但是，在相同例子中，裝置如果屬於 Sales01 OG的基本註冊使用者，該使用者離開已配置的群組後，上述

裝置並不會遭到抹除。這是因為 Sales01中的基本註冊使用者並不屬於目錄服務整合後的 OG，因此可辨識

並遵守覆寫的註冊限制。

註冊考量：基本與目錄比較

考量終端使用者註冊時，除了基本與目錄使用者的現有利弊之外，還要考量以下問題。

如要了解基本使用者與目錄使用者的利弊，請參閱基本註冊與目錄服務註冊於第 93頁。

考量 #1：誰可以註冊？

回答這個問題時，請先考量下列事項。

l 為企業的所有使用者管理裝置而採用的 MDM部署，其目的是否符合您配置的基本 DN*？如果是，那

麼要達成這個目的，最簡單的方式就是不要勾選「限制註冊」方格，好讓您所有的使用者都能註冊。

您可以允許所有使用者在初始部署推出期間註冊，之後再限制註冊，以防未知的使用者註冊。企業在

現有的使用者群組新增新員工或成員時，這些變更將同步並合併。

l 是否有某些使用者或群組未被納入 MDM？如果有的話，您就要逐一新增使用者，或是只將 CSV (逗號

分隔值)檔案中的合格使用者批次匯入。

如果要限制特定使用者或群組，請參閱配置註冊限制設定於第 117頁。

考量 #2：要在哪裡指派使用者？

整合 Workspace ONE ™UEM環境與目錄服務時，還有另一件事情需要考量。那就是在註冊時，您打算如何

將目錄使用者指派至企業群組。回答這個問題時，請先考量下列事項。

l 您是否已建立了在邏輯上與目錄服務群組相互對應的企業群組結構？您必須先完成此任務，才能編

輯使用者群組指派。

l 如果使用者註冊自己的裝置，從清單選擇群組 ID的選項很簡單。但在這種簡單的情況中，卻容易發生

人為錯誤，並導致產生錯誤的群組指派。

您可以根據使用者群組來自動選取群組 ID，也可以允許使用者從清單中選取。您可以瀏覽至裝置 > 裝置

設定 > 裝置 & 使用者 > 一般 > 註冊，選取組成群組標籤，並選取上述的群組 ID 指派模式選項。

若要配置群組 ID選項，請參閱在分組標籤上配置註冊選項於第 111頁。

* 基本 DN (「辨別名稱」的縮寫) 是伺服器搜尋使用者的起點。辨別名稱是專用來辨識目錄中某項目的唯一名稱。目錄中的每個項

目都有一個 DN。

啟用基礎註冊

基礎註冊會參考手動建立使用者帳戶的程序，以及企業中各個使用者所屬的使用者群組。若您的企業未

整合 Workspace ONE ™UEM與目錄服務，則基本註冊是您建立使用者帳戶的方法。

如果您有多個基本帳戶需要建立，請按照建立基本使用者帳戶於第 42頁中所述的步驟，每次建立一個帳

戶。


94



如果是包含較多終端使用者的基本註冊，為節省時間，您可以填寫並上傳 CSV (逗號分隔值)範本檔案。這

些檔案會透過批次匯入功能加入所有使用者資訊。如需詳細資訊，請參閱批次匯入使用者或裝置於第 50頁。

自攜裝置 (BYOD)註冊

管理使用者個人裝置時，最大的挑戰就是要去辨識與區分員工自有的裝置與公司專用的裝置，還要限制

為只有核准的裝置才能註冊。

Workspace ONE ™UEM允許您配置各種選項，可針對註冊個人裝置自訂終端使用者體驗。但是在您開始

前，您需要先考慮到自己如何在部署中識別出員工自有的裝置，以及是否要為員工自有的裝置強制實施

註冊限制。

註冊考量，BYOD

假設您允許員工在 Workspace ONE ™UEM環境中註冊個人裝置，在進行下一步前，有許多因素必須考量。

考量 #1：BYOD 使用者會使用 VMware Workspace ONE 還是 Workspace ONE Intelligent Hub 來進行註冊呢？

VMwareWorkspace ONE是安全的企業平台，可在各種裝置上傳送並管理任何 APP。從自助式和單一登入存

取，到雲端、行動和 Windows APP，甚至包含了完全整合的 Email、行事曆、檔案和協作工具等等。

有了 Workspace ONE，使用者不需註冊個人裝置也能夠存取服務。Workspace ONE APP本身可從 Apple AppStore、Google Play或 Microsoft Store下載並安裝。然後使用者登入並根據建立的原則存取應用程式。

Workspace ONE APP在安裝時就會配置好 MDM管理設定檔，以便自動註冊裝置。

Workspace ONE Intelligent Hub代表行動裝置的舊版註冊選項。如需詳細資訊，請參閱透過 Workspace ONEIntelligent Hub註冊裝置於第 88頁。

考量 #2：您將如何指定所有權類型？

每個向 Workspace ONE UEM註冊的裝置都有一個指派的裝置所有權類型：公司專用、公司共用或員工自

用。員工的個人裝置會歸類為員工自用，且受到特定隱私權設定的管制，並受限於您為該類型所配置的

限制。

當您要回答指定所有權類型的問題時，請考量下列事項。

l 對於列出了可大量上傳至 UEM主控台之裝置的主要清單，您是否具有存取權？如果有，您可以考慮

上傳此清單並將預設的擁有權類型設為「員工自有」。

l 您是否曾思考過，如果允許使用者從清單中自行選取擁有權類型，會造成什麼樣的法律問題？例如，

如果使用者註冊個人裝置，但將擁有權類型誤選為公司擁有。若使用者違反原則，並完全抹除個人裝

置時，會有什麼後果？

在用戶自攜裝置 (BYOD)方案中，您可以透過 Workspace ONE UEM的配置，令系統在註冊時套用預設的擁有

權類型或者允許使用者自選合適的擁有權類型。

考量 #3：您是否會為員工自有的裝置套用其他註冊限制？

回答這個問題之前，請先考量下列事項。

l 您的 MDM部署是否只支援特定的裝置平台？如果是，則您可以指定這些平台，並僅允許執行這類平

台的裝置註冊。


95



l 您是否會限制員工所能註冊的個人裝置數量？如果會，您可以指定每位員工所能註冊的個人裝置數

量上限。

您可以設定其他限制，以進一步控管可以允許哪些人和裝置類型進行註冊。例如，您可以選擇只支援具

有內建企業管理功能的 Android裝置。在貴企業做完評估，並且決定哪種員工自有裝置適用於工作環境

後，您便可配置這些設定。

如需進一步資訊，請參閱其他的裝置限制於第 116頁。

識別企業裝置與指定預設的裝置所有權

如果您擁有公司專用裝置和員工自有裝置 (員工自己註冊)，準備一張裝置清單將非常實用。

註冊開始後，您識別為公司專用的裝置將根據您選擇的內容自動配置其所有權類型。然後，您可配置員工

自有的所有裝置 (不在清單中)，並將所有權類型註冊為員工自有。

以下程序將說明如何匯入預先核准的公司裝置清單。即使您對自動套用員工自有所有權類型設定限制，

仍可在自動註冊後，套用企業專用所有權類型。

相反的，開放註冊的限制會明確地允許或封鎖符合您所辨識之參數的裝置註冊，包含平台、型號和作業

系統。

1. 導覽至裝置 > 生命週期 > 註冊狀態，選取新增，然後再選取批次匯入以便顯示批次匯入畫面。

或者，您也可以選取新增，然後選取白名單中的裝置，即可一次輸入所需裝置的 IMEI、UDID或序號，

最多輸入 30個白名單中的裝置。您也可將所有權類型選為公司專用或公司共用。

2. 輸入批次名稱與批次描述，然後選取新增允許清單中的裝置作為批次類型。

3. 選取標題為「下載範本 (含有白名單中裝置的範例) 」的連結，並將這份逗點分隔值 (CSV)範本儲存到您

可存取的位置。使用 Excel編輯此 CSV檔案，以便新增所有想列入允許清單的裝置，然後儲存檔案。

4. 選取選擇檔案，然後選取已儲存的 CSV檔案。

5. 選取匯入即可將裝置資訊匯入至允許清單。

接著將所有開放註冊的預設裝置所有權類型設定為員工自有。

1. 導覽至裝置 > 裝置設定 > 裝置 & 使用者 > 一般 > 註冊，然後選取分組索引標籤。

2. 選取員工自有作為預設裝置所有權。

3. 選取要指派給使用者的預設身份，用來決定使用者對自助入口網站 (SSP)的存取層級。

4. 為非使用中使用者選取預設動作，以決定當使用標示為非使用中時應採取什麼動作。

5. 選取儲存。

提示使用者識別所有權類型

如果部署有企業群組，其中具有多種擁有權類型，您可提示使用者在註冊期間識別自己的擁有權類型。

1. 導覽至裝置 > 裝置設定 > 裝置 & 使用者 > 一般 > 註冊，然後選取選擇性提示索引標籤。

2. 選取提示裝置擁有權類型。註冊期間，系統會提示使用者選取其擁有權類型。

3. 選取儲存。

風險


96



雖然簡單，但這個方法會假設每位使用者都會正確為其裝置選取合適的擁有權類型。

如果個人裝置使用者選取公司專用類型，則其裝置將受到通常不適用於個人裝置的原則和設定檔約束。

這類錯誤選擇可能對使用者的隱私權，造成嚴重的法律問題。

雖然可在日後隨時更新所有權類型，但是列出公司裝置將更加安全有保障。然後分別註冊企業專用裝

置，之後所有權類型預設值設為員工自有。

BYOD裝置的企業抹除

部署 BYOD最重要的一點，就是在員工離職，或是裝置遺失或遭竊時，能夠移除公司內容。Workspace ONEUEM可讓您在裝置上執行企業抹除，以移除所有公司內容和存取權限，但仍保留個人檔案和設定。

另外，公有和購買的 VPP應用程式經常處於公司所有和員工自有裝置之間的灰色地帶，Workspace ONEUEM可讓您視情況套用企業抹除。企業抹除也能從 Workspace ONE UEM取消註冊裝置，並去除透過 MDM啟用的所有內容，包括電子郵件帳戶、VPN設定、Wi-fi設定檔、安全內容，以及企業應用程式。

如果您將 Apple大量採購方案兌換碼用於 iOS 6及更舊版本的裝置，將無法回收該應用程式的任何已兌換

授權。一旦安裝完成後，應用程式便會與使用者的 App Store帳戶產生關聯。此關聯無法復原，但您可兌換

用於 iOS 7及更新版本的授權碼。

自我註冊與裝置註冊預備

Workspace ONE ™UEM支援兩種註冊企業裝置的方式。您可以讓使用者自行註冊裝置，也可以由管理員透

過一種叫作裝置註冊預備的程序來代替使用者註冊。

在裝置註冊預備其間，管理員會先將裝置註冊，再加以指派並發佈給終端使用者。若有管理員必須設置

整個企業中多個使用者所共用的裝置，此方法非常實用。

此外，裝置註冊預備也很適合用於剛佈建的裝置，因為此時員工仍未收到這些裝置。如果終端使用者已

經擁有企業裝置，那麼允許他們自行註冊是最合理不過了。裝置總數多到讓管理員無法執行裝置註冊預

備時，讓使用者註冊自己的裝置也是好事。

Android、Windows Phone、iOS和 macOS的裝置都能執行裝置註冊預備。

注意 :Windows Phone目前僅支援單一使用者裝置的註冊預備功能。



如需詳細資訊，請參閱Workspace ONE直接註冊於第 89頁。

註冊考量，自我註冊

如果希望允許終端使用者自我註冊，以便節省時間，請考量以下問題。

考量 #1：裝置所有權

l 您是否已為終端使用者指派了企業裝置？如果是的話，重新收集這些裝置並為其進行註冊預備顯然

很不切實，最好還是讓使用者自行註冊。

l 終端使用者是共享裝置，還是擁有專用裝置？如果終端使用者未共享裝置，那麼由裝置的單一擁有者

負責註冊自己的裝置即可。


97



考量 #2：自動探索

您會在企業的 Email網域與 Workspace ONE ™UEM環境之間建立關聯嗎？此程序稱為自動探索，代表終端

使用者只需輸入 Email地址和認證。就會自動輸入註冊 URL和群組 ID。

另外也請參閱從子企業群組配置自動探索註冊於第 122頁和從父企業群組配置自動探索註冊於第 122頁。

考量 #3：Workspace ONE 直接註冊

Workspace ONE直接註冊是一項適合用於自我註冊的功能。啟用後，所有符合資格的裝置在登入註冊企業

群組時都能立即註冊。且完整安裝後，終端使用者可以同意安裝公司選取的 APP，也可以選擇不安裝

APP。


自我註冊程序

終端使用者可能必須知道自己的正確群組 ID和登入認證才能自我註冊。若您已與目錄服務整合，那麼此

處的憑證與使用者的目錄服務憑證是一樣的。

您也可以使用名為自動探索的程序，為企業的電子郵件網域與您的 Workspace ONE ™UEM環境建立關聯。

啟用自動探索後，支援的平台裝置會提示終端使用者輸入 Email地址。如果 Email網域 (@之後的文字)相符，這些裝置將自動完成註冊，不需輸入群組 ID或註冊 URL。如需詳細資訊，請參閱自動探索註冊於第 121頁。

1. 終端使用者可導覽至 AWAgent.com，自動偵測是否已安裝 Workspace ONE Intelligent Hub。如果未安裝，

網站將重新導向到行動 APP商店。

2. AirWatch Container使用者可從 APP商店下載 AirWatch Container。

3. 啟動 Workspace ONE Intelligent Hub或 Container APP後，使用者須輸入自己的認證，以及電子郵件地址或

URL/群組 ID，接著繼續註冊。

考量項目、裝置註冊預備

管理員代表其他其他使用者進行註冊，這種程序稱為裝置註冊預備。註冊預備裝置可簡化登記程序，並

註冊由多個使用者共用的 iOS裝置。您也可透過 Apple Configurator註冊預備裝置，以利快速佈建整個裝置

團隊。

考量 #1：裝置註冊預備的使用

除非使用 Apple Configurator，否則管理員必須逐一註冊預備裝置。對於大型部署，請考慮這項工作所需的

時間和人力。

管理員可輕鬆註冊預備新裝置，但是已使用公司專用裝置的員工必須將裝置送到現場，或是在現場收集

裝置，才能註冊預備裝置。

如果有上千台裝置要預先註冊，裝置註冊預備可能需要一段時間。因此，如果有一批新的裝置需要佈建，

最好使用此方法，因為您可在員工收到裝置前，先取得裝置的存取權。

請按照下列方法來為 Android、Windows Phone和 iOS執行裝置的註冊預備。

l 單一使用者 (標準) -在註冊預備任何使用者都可以註冊的裝置時使用。

l 單一使用者 (進階) –此法可用來註冊預備您要代替某特定使用者來註冊的裝置。

l 多使用者 –此法可用來註冊預備將供多位使用者所使用的裝置。


98



https://awagent.com/

注意 :Windows Phone目前僅支援單一使用者裝置的註冊預備功能。

考量 #2：您是否參與 Apple的裝置註冊計劃？

為了將在行動裝置管理 (MDM)中註冊 Apple裝置的好處最大化，Apple推出了裝置註冊計劃 (DEP)。使用

DEP，您可以執行以下操作。

l 在裝置上安裝不可移除的 MDM設定檔，可避免終端使用者將其刪除。

l 在監督模式下佈建裝置 (僅適用於 iOS)。監督模式中的裝置能存取額外的安全性與配置設定。

l 為所有終端使用者執行註冊。

l 自訂並簡化註冊程序以滿足企業的需求。

l 若要避免 iCloud備份，請在產生 DEP設定檔時，停用讓使用者以其 Apple ID登入的功能。

l 為所有終端使用者強制升級 OS。

考量 #3：Apple Configurator 的使用

Apple Configurator允許 IT管理員有效部署並管理 Apple iOS裝置。對零售店、教室和醫院等企業會特別實

用，尤其是預先註冊裝置讓多個終端使用者共用時。

支援使用 Configurator為單一使用者註冊預先登記裝置，只要在主控台將序號/IMEI資訊新增到使用者的

登記裝置即可。Apple Configurator還有個最重要的好處，那就是您可以使用 USB Hub或 iOS裝置圖表來佈建

多個裝置，且耗時不過數分鐘。

考量 #4：使用 Workspace ONE 直接註冊




考量 #5：該選擇單一使用者註冊預備還是登記呢？

如果您想針對單一使用者進行裝置註冊預備，採取登錄方式可能是較佳的選項。單一使用者註冊預備和

登記裝置之間的差異儘管細微，卻相當重要。

登記 –登記裝置的方式適合針對已命名的個別使用者採用。這個程序代表裝置認為第一個登入的使用者

與登錄裝置的使用者將為同一人。如果其他使用者嘗試登入已登記的裝置，基於安全考量，該裝置將遭

到鎖定，且無法進行註冊。

單一使用者註冊預備 –裝置註冊預備的方式適合針對任何有資格在 Workspace ONE ™UEM中註冊的使用

者採用。理論上，您可以將已經完成註冊預備的裝置交給任何符合使用資格的使用者，該使用者也可以

成功登入裝置並在 Workspace ONE UEM中註冊。

透過註冊預備工作流程，您可以先行準備所需裝置，然後啟動所有合格註冊使用者都能登入的 WorkspaceONE Intelligent Hub，接著讓 Workspace ONE UEM執行一次性的重新指派，以便使裝置建立與該使用者的關

聯。

監督模式

管理員可以允許那些透過 Apple Configurator註冊的裝置使用監督模式，從而啟用更多增強的安全性功能。

但此模式也會為裝置帶來許多限制。


99



優點

一旦裝置在 Workspace ONE UEM中註冊完成並獲得監督，比起一般裝置，管理員還會獲得下列可用於配置

作業的增強功能。

l 可在 MDM 上提高限制

o 可禁止使用者移除應用程式。使用系統配置下的限制選項，即可在裝置本機限制應用程式的移除

作業。

o 禁止 AirDrop。

o 禁止使用者修改 iCloud與郵件帳戶設定，從而避免帳戶遭到竄改。

o 停用 iMessage。

o 為 iBookstore設定內容分級限制。

o 停用遊戲中心與 iBookstore。

l 增強的安全性

o 禁止終端使用者使用 Safari造訪具有成人內容的網站。

o 限制哪些裝置可以連線至特定 AirPlay目的地，例如 Apple TV。

o 禁止安裝憑證或未受管的配置設定檔。

o 強制所有裝置的網路流量經過全域 HTTP代理伺服器傳送。

l Kiosk 模式

o 使用單一 APP模式並停用首頁按鈕即可將裝置鎖定於單一 APP。

l 自訂裝置上的底色圖案與文字

l 啟用或清除啟動鎖定

限制

l 監管裝置只能透過監管用的 Mac來使用 USB存取。

l 如果是使用 iTunes的裝置，則除非已在裝置上安裝 Apple Configurator身份識別憑證，否則無法從該裝

置複製資料、亦無法複製資料至該裝置。

o 無法將相片或影片等媒體從裝置複製到 PC或 Mac。若要傳輸這類資料，請使用 VMware ContentLocker來將內容同步至使用者的個人文件區段。此外，透過共享檔案用的應用程式，也能用

WLAN/WWAN來將資料傳輸至伺服器。

l 監督模式雖能禁止使用者透過 iPhone Configuration Utility (IPCU)來存取裝置側的記錄。

o 此模式使得疑難排解任何應用程式或裝置問題變得難上加難。原因是裝置的日誌只能在連接到監

管用的 Mac才能取得。要克服這樣的挑戰，請使用 Workspace ONE ™UEM SDK將日誌與邏輯從應用

程式傳送至 UEM主控台。


100



l 您無法簡單地使用原廠設定重設裝置。

o 裝置一旦還原成出廠設定，就必須與監管用的 Mac重新連接，才能還原成監督模式。如果 Mac不在裝置附近，則此程序可能會有問題。

決定是否要啟用監督模式前，請考量下列事項。雖然這能為裝置啟用更多增強的安全性功能，但 USB限制

值得您深思。

因此裝置與監督用 Mac之間的距離，應是決定時的重要考量。由於 USB限制可避免任何人存取裝置側的

記錄，因此裝置發生問題，都得要回收才能還原功能。

事先決定監督至關重要，因為監督或「不監督」的程序，影響了裝置是要運送到 IT位置或是倉庫的決定。

預備單一使用者裝置

Workspace ONE UEM主控台上的「單一使用者裝置註冊預備」允許由單一管理員代表其他使用者配置其裝

置，這對於佈建大量裝置機群的 IT管理員特別有用。



1. 瀏覽至帳戶 > 使用者 > 清單檢視，然後在您要啟用裝置註冊預備的使用者帳戶上選擇編輯。

2. 在新增/編輯使用者頁面上，選擇進階標籤。

a. 向下捲動至註冊預備的區段。

b. 選取啟用裝置註冊預備。

c. 選取要套用至此註冊預備使用者的註冊預備設定。

3. 單一使用者裝置可以為單一使用者註冊預備裝置。將單一使用者之裝置註冊預備的模式切換為標準

或進階。「標準」註冊預備會在完成此預備動作後，要求終端使用者輸入登入資訊；而「進階」註冊預備

則表示執行預備的使用者可代表另一位使用者註冊裝置。

4. 確保多使用者裝置已設為停用。

5. 使用下列一或兩個方法來註冊裝置。

l 輸入伺服器 URL與群組 ID，即可透過 Workspace ONE Intelligent Hub來進行註冊。

l 開啟裝置的網際網路瀏覽器、瀏覽至註冊 URL，然後輸入適當的群組 ID。

6. 在註冊時，請輸入您的註冊預備使用者認證。有必要的話，也可指明您是為單一使用者裝置執行註冊

預備。只有在您同時為註冊預備使用者啟動多使用者裝置註冊預備時，才需執行上述動作。

7. 完成進階或標準的註冊預備程序。

l 若是執行「進階」註冊預備，系統將提示您輸入要使用此裝置之終端使用者裝置擁有者的名稱。安

裝行動裝置管理 (MDM)設定檔繼續進行註冊，並接受所有的提示和訊息。

l 若是執行「標準」註冊預備，在終端使用者完成註冊時，系統便會在登入視窗中通知這些終端使用

者輸入其認證。

此後，裝置便已備妥並隨時可供新使用者來使用。


101



預備多使用者裝置

「多使用者裝置/共享裝置註冊預備」，讓 IT管理員能夠佈建那些即將提供給多位使用者所使用的裝置。多

使用者註冊預備能允許裝置在不同網路的使用者登入時，動態變更其指派的使用者。

不支援透過 Workspace ONE直接註冊進行裝置註冊預備。如果您必須為單一或多個使用者預備裝置，您必

須使用 Workspace ONE Intelligent Hub註冊裝置，而不是使用 Workspace ONE直接註冊。

1. 瀏覽至帳戶 > 使用者 > 清單檢視，然後在您要啟用裝置註冊預備的使用者帳戶上選擇編輯。

2. 在新增/編輯使用者頁面上，選擇進階標籤。

a. 向下捲動至註冊預備的區段。

b. 選取啟用裝置註冊預備。

c. 選取要套用至此註冊預備使用者的註冊預備設定。

3. 單一使用者裝置可以為單一使用者註冊預備裝置。將單一使用者之裝置註冊預備的模式切換為標準

或進階。「標準」註冊預備會在完成此預備動作後，要求終端使用者輸入登入資訊；而「進階」註冊預備

則表示執行預備的使用者可代表另一位使用者註冊裝置。

4. 確保多使用者裝置已設為啟用。

5. 使用下列一或兩個方法來註冊裝置。

l 輸入伺服器 URL與群組 ID，即可透過 Workspace ONE Intelligent Hub來進行註冊。

l 開啟裝置的網際網路瀏覽器、瀏覽至註冊 URL，然後輸入適當的群組 ID。

6. 在註冊時，請輸入您的註冊預備使用者認證。有必要的話，也可指明您是為單一使用者裝置執行註冊

預備。只有在您同時為註冊預備使用者啟動多使用者裝置註冊預備時，才需要執行上述動作。

7. 完成進階或標準的註冊預備程序。

l 若是執行「進階」註冊預備，系統將提示您輸入要使用此裝置之終端使用者裝置擁有者的名稱。安

裝行動裝置管理 (MDM)設定檔繼續進行註冊，並接受所有的提示和訊息。

l 若是執行「標準」註冊預備，在終端使用者完成註冊時，系統便會在登入視窗中通知這些終端使用

者輸入其認證。

此後，裝置便已備妥並隨時可供新使用者來使用。

裝置登記

您可以選擇在註冊公司裝置先行登記，這麼做的主要優點在於可限制為只有已登記的裝置才能註冊。

另一項優點是追蹤註冊狀態，讓您知道使用者的註冊情況。接著您就可以通知這些還沒註冊的使用者。

即使在輸入裝置資料的階段，使用者或管理員就已遺失裝置識別碼，Workspace ONE ™UEM還是能夠成功

地登記裝置。

安全性則是在註冊前先登錄裝置的第三個優點。已登記的裝置會認為第一個登入的使用者與登記裝置的

使用者為同一人。如果其他使用者嘗試登入已登記的裝置，裝置將遭到鎖定，且無法進行註冊。


102



註冊考量、登記

如果要在註冊之前繼續登記裝置程序，請考量下列項目。

誰會登記裝置？

登記裝置時，決定由誰來執行登記裝置的實際動作，是十分值得考量的重點。

l 您的部署中共有多少部裝置？大量部署數以千計的裝置時，您可以將此資訊新增到 CSV (逗點分隔值)檔案中。接著，在裝置佈建之前上傳此檔案。您也可將裝置登記的任務交給終端使用者。

l 您是否打算採用 BYOD方案，好允許員工們使用自己的個人裝置？若要將註冊限制為只有已登錄的裝

置才能進行，那麼便需要指示員工如何為裝置進行註冊。

透過 SSP 登記終端使用者的裝置

如果您支援 BYOD，您可以引導終端使用者登記自己的裝置，接著再註冊到 Workspace ONE ™UEM中。如果

想要追蹤註冊或使用登錄 Token，您也可以要求那些使用公司專用裝置的使用者進行登錄。無論是哪種情

況，您都需要向其告知終端使用者須遵循的程序。

下列說明假設終端使用者具有 Workspace ONE UEM憑證，可能是來自他們現有的目錄服務憑證，或來自先

前已啟動的使用者帳戶。若您之前選擇使用目錄服務來註冊，而不是手動新增使用者，此時便不會擁有任

何已建立好的使用者帳戶。

在這種情況下，如果想允許終端使用者登錄裝置，您將需要透過電子郵件或內部網路通知，將登錄說明傳

送給 Workspace ONE UEM之外的每個使用者。

若您允許使用登錄 Token來進行註冊驗證，則系統將使用此時所選的訊息，來將 Token寄送給使用者。

僅限已登記裝置進行註冊

此時，無論管理員和終端使用者是否已經登記裝置，您都可以將將註冊限制為只有已登記的裝置才能進

行。若要如此作，瀏覽至裝置 > 裝置設定 > 裝置＆使用者 > 一般 > 註冊，然後選取僅限已註冊裝置。

追蹤註冊狀態

裝置經登記後，若要追蹤其註冊狀態，只需要瀏覽至裝置儀表板頁面並選取註冊圖表，並根據裝置的註

冊狀態來進行篩選即可。您也可以存取 Monitor，其中列出最近註冊的所有裝置。

l 登記個別裝置 –輸入重要的裝置和資產資訊，例如：在 UEM主控台中易於辨認的裝置暱稱、型號、作

業系統、序號、獨特裝置識別碼 (UDID)和資產編號等。在新增單一使用者時，如果選取儲存並新增裝

置而非儲存，則此程序即為最後的步驟。

l 登記多個裝置 –類似於大量地新增使用者的方式，您可同時新增多台裝置來簡化裝置登記過程。此程

序可包含在大量建立使用者帳戶的程序當中。

l 終端使用者裝置登錄 –如果您的部署支援 BYOD，您可以引導終端使用者登錄自己的裝置，接著再註

冊到 Workspace ONE UEM中。這種做法適合需要先登錄裝置，使用者才能夠註冊。

如需進一步資訊，請參閱啟用登記 Token並建立預設訊息於第 108頁。

註冊期間執行使用者群組同步處理

如果您想要整理應用程式、裝置設定檔、合規原則的指派項目，或整理使用者群組的相關使用者對應，

不妨將使用者群組同步處理設定維持為啟用 (此為預設設定)。此設定會使 Workspace ONE在每次建立裝置


103



記錄時對驗證伺服器進行即時呼叫。

如需詳細資訊，請參閱在分組標籤上配置註冊選項於第 111頁中的使用者群組同步處理一節。

登記個別裝置

若要登錄個別裝置，請執行下列步驟。

1. 選取新增按鈕；您可以在 Workspace ONE ™UEM主控台上絕大多數畫面的右上角找到此按鈕。選取後，

此按鈕會顯示有多個選項的下拉式功能表。

2. 選取裝置。新增裝置頁面即會出現。

3. 根據您的需求，從使用者索引標籤開始完成選項。

設定描述

使用者區段

搜尋文字輸入搜尋參數並選取搜尋使用者按鈕，以搜尋使用者。

搜尋成功時，請選取要登錄裝置的使用者帳戶。此時會顯示數個預先填入的文字方塊，

包括 [安全性類型]、[使用者名稱]、[密碼]和 [電子郵件地址]。您可以顯示進階使用者詳細

資料，以編輯這些欄位。

裝置區段

預期的暱

稱

輸入裝置的暱稱。此文字方塊接受經由您點選加號來嵌入的查閱值。如需詳細資訊，請

參閱查閱值於第 190頁。

企業群組選擇裝置所屬的企業群組。

擁有權選擇裝置的擁有權層級。

平台選擇裝置平台

顯示進階

裝置資訊

選項

顯示進階裝置資訊設定。

型號選擇裝置型號。此下拉式功能表的選項將依所選的平台而定。

作業系統選擇裝置的操作系統。此下拉式功能表的選項將依所選的平台而定。


104



設定描述

UDID* 輸入該裝置的唯一識別碼。

序號* § ‡ 輸入裝置的序號。

IMEI* § 輸入裝置的國際行動裝置識別碼 (InternationalMobile Station Equipment Identity)。

SIM* 輸入裝置的訂閱者識別模組。

資產編號

*輸入裝置的資產編號。

訊息區段

訊息類型新增裝置後，傳送給使用者的通知之類型。選取無、電子郵件或 SMS。

Email的選項需要有效的 Email地址。同時也必須選取一個電子郵件訊息範本。

SMS選項則需要電話號碼，包括國碼和區碼。可能需要 SMS的費用。同時也必須選取一

個 SMS訊息範本。

Email 地址

Email訊息類型所需。

Email 訊息範本

Email訊息類型所需。從下拉式功能表中選取一個範本。透過訊息預覽按鈕來檢視 Email訊息。

電話號碼 SMS訊息類型所需。

SMS 訊息

範本

SMS訊息類型所需。從下拉式清單中選取一個範本。透過訊息預覽按鈕來檢視 SMS訊息。

*若要登記裝置，請至少填妥其中一個具有此標記的欄位。

§Windows Phone裝置必須輸入 IMEI或序號才能登記。

§Windows Desktop裝置必須輸入序號才能登記。

4. 完成自訂屬性標籤 (選用)。

設定描述

新增若要新增自訂屬性及其對應的值，請選取此按鈕。

如需詳細資訊，

屬性從下拉式功能表中選擇自訂屬性。

值從下拉式功能表中選擇自訂屬性值。

5. 完成標記標籤 (選用)。

設定描述

新增新增標記至裝置。

標記從現有標記的下拉式功能表中，選擇所要的標記。

6. 點選儲存來完成裝置的登記程序。


105



裝置現已登錄至步驟 3中指定的選定 Workspace ONE UEM使用者帳戶。請將此裝置傳遞給該使用者，

以便其登入並完成註冊程序。如果有其他使用者嘗試在已登錄的使用者之前登入此裝置，裝置將會鎖

定，且無法註冊。

登記時缺乏裝置識別碼

如果在登錄期間未指定任何裝置識別碼 (例如 UDID、IMEI和序號)，Workspace ONE UEM便會依照下列順序，

使用這些屬性自動比對註冊的裝置和其登錄記錄。此排名順序可讓 Workspace ONE UEM成功登錄未提供

足夠資訊的裝置。

1. 登錄裝置的使用者。

2. 平台 (如果已指定)。

3. 型號 (如果已指定)。

4. 擁有權類型 (如果已指定)。

5. 最早比對登錄記錄的日期。

登記多個裝置

您可以選擇在裝置註冊前先將其登記，這能讓您限制為只有已登記的裝置才能註冊。另一個優點是可追

蹤註冊狀態。

您可以使用批次匯入功能一次登記多個裝置來節省時間。

若要登記多個裝置：

1. 瀏覽至帳戶 > 使用者 > 清單檢視，或是裝置 > 生命週期 > 註冊狀態。

a. 選取新增，然後選取批次匯入以顯示批次匯入畫面。

2. 完成每個必要選項。批次名稱、批次描述和批次類型。

3. 批次檔 (.csv) 選項內有一份以工作為基礎的範本清單，您可以利用該清單大量載入使用者及其裝置。

4. 選取適當的下載範本，然後將逗點分隔值 (CSV)檔案儲存至可供存取之處。

5. 導覽至儲存 CSV檔案的位置，使用 Excel加以開啟，並輸入您要匯入之各項裝置的所有相關資訊。

每個範本都會預先填入樣本項目，以示範每個欄位中所應填入的資訊類型 (和資訊格式)。

CSV檔案中標示星號 (*)的欄位為必填欄位。

6. 以 CSV檔的形式來儲存完成的範本。在 UEM主控台中，從批次匯入畫面中選取選擇檔案按鈕，導覽至

您已完成的 CSV檔案儲存所在的路徑，並選取該檔案。

7. 點選儲存以完成所有列出的使用者和相關裝置的登記工作。

終端使用者裝置登記

設定期間，如果不確定裝置的詳細資訊，請引導終端使用者登錄自己的裝置，或許是較好的做法。或者，

如果有自攜裝置 (BYOD)部署運作中，這類指示可能是較謹慎的做法。


106



如果您的部署支援 BYOD，請在引導終端使用者註冊 Workspace ONE ™UEM之前，先登記其自有裝置。您可

以這麼做，同時仍要求使用者在註冊之前，先登記裝置。如果想要追蹤註冊或使用登記 Token，則可要求

使用公司專用裝置的使用者登記。不論是哪一種情況，您都必須向終端使用者告知程序。

下列說明假設終端使用者具有 Workspace ONE UEM憑證，可能是來自他們現有的目錄服務憑證，或來自先

前已啟動的使用者帳戶。若您已選擇使用目錄服務來註冊，而不是手動新增使用者，就不可有任何已經建

立的使用者帳戶。

如果想讓終端使用者登記裝置，您必須傳送 Email或通知，向每個 Workspace ONE UEM外部的使用者群組

提供登記指示。

如果啟用登記 Token進行註冊驗證，則會在所選訊息中將該 Token傳送給使用者。

l 向 Workspace ONE UEM外部的使用者傳送內含登記說明的 Email或內部網路通知。請透過下列途徑來確

認已啟用 Active Directory或驗證代理伺服器的註冊驗證：裝置 > 裝置設定 > 裝置 & 使用者 > 一般 > 註

冊 > 驗證。

若要確認拒絕未知使用者設定是否已取消勾選，請導覽至裝置 > 裝置設定 > 裝置與使用者 > 一般 > 註

冊 > 限制。

l 先為所有的終端使用者建立使用者帳戶讓他們可以自行登記裝置，然後再將內含登記說明的使用者

帳戶啟動訊息傳送給每位使用者。

以上兩種選項，都會要求您提供終端使用者一些基本的資訊。

l 在何處登記 –終端使用者可瀏覽至自助入口網站的 URL來進行登記。此 URL沿用

https://<AirWatchEnvironment>/MyDevice的結構，而 <AirWatchEnvironment>為註冊的 URL。如需進一步資

訊，請參閱引導使用者自助登記於第 107頁。

l 如何透過驗證進入自助入口網站 –終端使用者需要群組 ID、使用者名稱和密碼，才能登入自助入口網

站 (SSP)。

引導使用者自助登記

終端使用者收到登記訊息後，便可依照下列步驟來登記自己的裝置，節省時間。

1. 瀏覽至自助入口網站 (SSP) URL：https://<AirWatchEnvironment>/MyDevice，<AirWatchEnvironment>是您環

境專用的註冊 URL。

2. 輸入群組 ID和認證 (Email地址或使用者名稱和密碼)以便登入。這些認證可以與目錄使用者的目錄服

務認證互相配對。

3. 選取新增裝置來開啟登記裝置的表格。

4. 完成登記裝置的表格中之必要的文字方塊來輸入裝置資訊。

5. 點選儲存以提交並登記裝置。

追蹤裝置註冊狀態

您偶爾也需要為裝置登錄進行疑難排解，或者追蹤整個階段的註冊過程。終端使用者也許會不小心刪除

含有登錄指示的訊息，或是未在規定效期內兌換驗證。

若要管理註冊狀態，請至裝置 > 生命週期 > 註冊狀態存取「註冊狀態」頁面。只要將清單的註冊狀態欄加

以排序，或者根據註冊狀態來篩選清單檢視，都能夠追蹤裝置的登記狀態。


107



使用「註冊狀態」頁面，您可以產生已登記 (但為註冊)裝置的自訂清單、選取此自訂清單中的所有裝置，並

重新傳送註冊說明。如果經過足夠的時間，但裝置仍無法註冊，您可以選擇以重設 (或甚至撤銷)其登錄

Token。

如需進一步資訊，請參閱註冊狀態於第 187頁。

啟用登記 Token並建立預設訊息

若您僅限已登記的裝置註冊，則您還可以進一步透過選項來要求登記 Token。此選項能確認特定使用者是

否經過授權而允許註冊，從而提升安全性。您可以透過 Workspace ONE ™UEM帳戶，將已附加註冊 Token的

Email或 SMS訊息傳送給使用者。

1. 若要啟用 Token型註冊，請選擇相應的企業群組。導覽到裝置 > 裝置設定 > 裝置 & 使用者 > 一般 > 註

冊，務必選擇驗證標籤。

向下捲動至使用入門區段，並將裝置註冊模式選取為僅限已登記的裝置。出現標有需要登記 Token的

切換選項。啟用此選項，即可將限制只有登記過 Token的裝置才能註冊。

2. 選取登記 Token 類型。

l 單一要素 –只需要 Token即可註冊。

l 雙重要素 –除了 Token，也需要登入使用者憑證才能註冊。

3. 設定登記 Token 長度。此必要設定能指出登記 Token的複雜度，其數值長度必須包括 6至 20個英數字

元。

4. 設定 Token 到期時間 (以小時為單位)。此必要設定是終端使用者能用來選取連結並註冊的時間長度。

一旦到期，您就必須傳送另一個連結。

使用 UEM 主控台來產生 Token

1. 瀏覽至帳戶 > 使用者 > 清單檢視，然後為使用者選擇編輯使用者。(此程序也適用於建立使用者。)新增

/編輯使用者的畫面便會顯示。

2. 向下捲動並選取一個訊息類型：目錄使用者帳戶的 Email和基本使用者帳戶的 SMS。

3. 選取訊息範本。若要使用預設範本或建立新範本，請在新的索引標籤中，選取訊息範本頁面下方的連

結。接下來請選取儲存並新增裝置。即會出現新增裝置畫面。


108



4. 檢閱裝置的一般資訊，確認訊息本身的資訊。完成後，點選儲存即可使用所選的訊息類型來將 Token傳送給使用者。

注意 :基於安全性考量，您無法透過 UEM主控台存取 Token。

使用自助入口網站 (SSP) 來產生 Token

1. 登入自助入口網站。如果您使用單一登入或智慧卡驗證，您可以從裝置或電腦登入。目錄使用者可使

用目錄服務憑證來登入。

2. 選取新增裝置。

3. 若要輸入裝置資訊 (暱稱與平台)以及其他詳細資料，請完成登記裝置表單中的設定。由於系統可能不

會自動填入電子郵件地址與電話號碼，請務必提供這些資訊並確保其正確無誤。

4. 選擇儲存即可使用所選的訊息類型來將註冊 Token傳送給使用者。

注意 : Token不會顯示在此頁面上，只會出現在傳送的訊息中。

作為安全功能，已對使用 token註冊的帳戶進行了以下更改。

l 新增裝置畫面和帳戶畫面上的電子郵件地址和電話號碼皆設為唯讀。

l 「檢視註冊訊息」動作已移除。

使用登記 Token 來進行註冊

1. 在裝置上開啟 SMS或 Email訊息，並選取包含了註冊 Token的連結。

當註冊頁面提示您輸入群組 ID或 Token時，直接輸入 Token。

2. 如使用雙因素驗證，請輸入使用者名稱或密碼。

3. 繼續照常註冊。完成後，裝置便會與建立 Token的使用者建立關聯。

但如果該裝置已安裝了 MDM設定檔，系統便會將 Token視為「已使用」，而無法再用於註冊其他裝置。如

果註冊未完成，則 Token仍可於另一個裝置使用。如果 Token已根據您所設定的時限而到期，就需要再產

生另一個註冊 Token。

配置註冊選項

透過結合 Workspace ONE ™UEM主控台中可用的進階選項，來自訂您的註冊工作流程。若要存取更多註冊

選項，請導覽至裝置 > 裝置設定 > 裝置與使用者 > 一般 > 註冊。

使用入門

設定描述

新增電子郵件網域。此按鈕用來設定自動探索服務，向您的環境註冊 Email網域。

如需自動探索服務的詳細資訊，請參閱自動探索註冊於第 121頁。


109



設定描述

驗證模式選取允許的驗證類型，包括：

l 基本 –基本使用者帳戶 (您在 UEM主控台中手動建立的帳戶)可進行註

冊。

l 目錄 –目錄使用者帳戶 (您已匯入或允許使用目錄服務整合的帳戶)可進

行註冊。Workspace ONE直接註冊支援具有或不具 SAML的目錄使用者。

l Authentication Proxy –可讓使用者使用 Authentication Proxy使用者帳戶進行

註冊。使用者會向 Web端點進行驗證。

Hub 的驗證來源選擇系統 Hub Services作為使用者和驗證原則的來源。

l Workspace ONE UEM -如果您想要 Hub Services使用 Workspace ONE UEM作

為來源，請選取此設定。

為 Hub Services設定 Hub 配置頁面後，輸入 Hub Services租用戶 URL。

l Identity Manager -如果您想要 Hub Services使用 VMware Identity Manager作為來源，請選取此設定。

為 Hub Services設定 Hub 配置頁面後，輸入 VMware Identity Manager租用戶

URL。

裝置註冊模式選取偏好的裝置註冊模式，其中包括：

l 開放式註冊 –基本上允許符合其他註冊準則 (驗證模式、限制等)的任何

人進行註冊。Workspace ONE直接至冊支援開放式註冊。

l 僅限已登錄的裝置 –僅允許使用者使用已由您或他們登錄的裝置進行註

冊。裝置登錄是在公司裝置註冊之前新增至 UEM主控台的程序。如需登

錄裝置的詳細資訊，請參閱 VMware Workspace ONE UEM 行動裝置管理指

南的「註冊」一節。Workspace ONE直接註冊支援僅允許已登錄裝置進行註

冊，但前提是此情況不需要提供登錄 Token。

需要註冊Token 只有在已選取僅限已登錄的裝置時，才會顯示。

若您僅限已登錄的裝置進行註冊，則您還可以選擇要求使用登錄 Token進行

註冊。此選項可藉由確認特定使用者有權進行註冊，而提升安全性。您可以

透過 Workspace ONE UEM帳戶，將附加了註冊 Token的 Email或 SMS訊息傳送

給使用者。

要求 iOS 使用 Hub 註冊選取此核取方塊，會要求 iOS裝置使用者必須先下載並安裝 Workspace ONEIntelligent Hub，才可以註冊。

要求 macOS 使用 Hub 註

冊

選取此核取方塊，會要求 macOS裝置使用者必須先下載並安裝 WorkspaceONE Intelligent Hub，才可以註冊。

除了驗證標籤與使用條款標籤，您也可以選擇性地完成下列註冊標籤。

1. 在分組標籤上配置註冊選項於第 111頁。

2. 配置註冊限制設定於第 117頁。


110



3. 在選擇性提示標籤上配置註冊選項於第 112頁。

4. 在自訂標籤上配置註冊選項於第 115頁。

在 [使用條款] 索引標籤中配置註冊選項

[使用條款]索引標籤可讓您新增並檢閱與註冊相關的使用條款。導覽至裝置 > 裝置設定 > 裝置 & 使用者 >一般 > 註冊，即可找到 [服務條款]索引標籤。

設定描述

必須接受註冊使用

條款

啟用此設定，即可要求使用者在註冊時接受使用條款合約。

新增註冊使用條款選取以新增註冊時必須接受的使用條款合約。如需詳細資訊，請參閱建立註冊使用

條款於第 28頁。

重要提示：如果您啟用必須接受註冊使用條款，則必須建立使用條款，否則 Windows桌面的裝置可能

無法註冊。

在分組標籤上配置註冊選項

分組的標籤，讓您可以檢視並指定有關終端使用者之企業群組和群組 ID的基本資訊。啟用群組 ID 指派模

式，讓您可以選擇 Workspace ONE ™UEM環境如何將群組 ID指派給使用者。

瀏覽至裝置 > 裝置設定 > 裝置 & 使用者 > 一般 > 註冊，即可找到分組標籤。

設定描述

群組

ID 指

派模

式

Workspace ONE的直接註冊支援所有指派模式。

l 預設 –如果您將提供使用者一個註冊用的群組 ID，請選擇此項。群組 ID會用來決定使用者將

被指派到哪個企業群組。

l 提示使用者選擇群組 ID –啟用此選項來允許目錄服務使用者在註冊時，從清單上選擇群組

ID。群組 ID 指派區段，列出了可供使用的企業群組和相關的群組 ID。此清單不需要您執行群

組指派對應動作，但的確意味著使用者有可能會選擇不正確的群組 ID。

l 依照使用者群組自動選擇 –此選項只適用在您與使用者群組進行整合的情況下。啟用此選項

可以確保使用者能根據其目錄服務群組指派內容，而被自動指派給企業群組。

群組指派設定區段，列出了環境中的所有企業群組及其相關的目錄服務使用者群組。

選取編輯群組指派按鈕以修改企業群組/使用者群組關聯性，並且設定每個群組應有的優先

順序排名。

舉例來說，您有三種以工作身份來排序之群組：高階主管、業務和全域。每個人都是「全域」之

成員，所以如果您要將該使用者群組排名在第一順位，就會將您所有的使用者都置放在單一

企業群組中。

如果您將「高階主管」排名在第一順位，您可確保屬於該群組的少數成員可以置放在其專屬的

企業群組中。如果您將「業務」排名在第二順位，您可確保所有業務員工可以置放在業務特定

的企業群組中。將「全域」排名在第三順位，代表尚未指派給群組的任何人，都會置放在一個

獨立的企業群組。


111



預設值

設定描述

預設裝置擁有權選取註冊到目前企業群組之裝置的預設裝置擁有權。

Workspace ONE直接註冊支援設定預設裝置擁有權。

預設身份選取為目前企業群組中的使用者指派的預設身份，這會影響對自助入口網站的

存取。

Workspace ONE直接註冊支援設定預設角色。

非使用中使用者的預

設動作

選取在 Active Directory使用者的裝置變成非使用中狀態時，會對這些使用者造成

影響的預設動作。

Workspace ONE直接註冊支援設定非使用中使用者的預設動作。

使用者群組：同步

設定描述

對於 Workspace ONE即時同步使用者群

組

Workspace ONE可在指定的使用者透過 UEM主控台進行登錄時同步其使用者群組。

此功能預設為啟用，在使用者群組經常用於 APP指派、設定檔指派、原則指派或使

用者對應時最有效用。

此功能會使用大量 CPU資源，因此，除非您的使用案例類似於前述作業，否則請停

用此設定，以改善效能，以及防止在啟動 Workspace ONE應用程式時出現延遲問

題。

使用者身份關係對應

設定描述

啟用目錄

群組型的

對應

選取此方塊，可啟用將目錄使用者群組連結至特定 Workspace ONE UEM角色的排名式指派。

系統會指派相關聯角色給屬於特定群組的使用者。屬於多個群組的使用者將會獲得最高排

名配對。

您可以選取編輯指派按鈕，以編輯為已導入身份的使用者群組排名的順序。

Workspace ONE的直接註冊支援目錄群組型的對應。

在選擇性提示標籤上配置註冊選項

在選擇性提示標籤上，可決定請求額外的裝置資訊，或向使用者顯示有關註冊和 MDM資訊的選擇性訊

息。

瀏覽至裝置 > 裝置設定 > 裝置 & 使用者 > 一般 > 註冊，即可找到選擇性提示標籤。

設定描述

提示裝置

擁有權類

型

您可提示終端使用者選取其裝置擁有權類型。或者，您也可以為目前的企業群組配置預設

的裝置擁有權類型。

Workspace ONE直接註冊支援裝置擁有權類型的提示。


112



設定描述

顯示歡迎

訊息

在裝置註冊過程之初，可顯示歡迎訊息來歡迎您的使用者。若要配置此歡迎訊息的標題和

正文，請導覽至系統 > 當地語系化 > 當地語系化編輯器。接著，分別選取

「EnrollmentWelcomeMessageHeader」和「EnrollmentWelcomeMessageBody」標籤。

顯示 MDM安裝訊息

在裝置註冊過程中，可向您的使用者顯示訊息。若要配置此 MDM安裝訊息的標題和正文，

請瀏覽至系統 > 當地語系化 > 當地語系化編輯器。接著，分別選取

「EnrollmentMdmInstallationMessageHeader」和「EnrollmentMdmInstallationMessageBody」標籤。

如果您選擇使用當地語系化編輯器來自訂您的標題和內文訊息，請記得在目前的設定中選

取「覆寫」的選項。如此一來，便可確保系統會使用您的自訂訊息，而非預設的訊息。

除了進行單次性的當地語系化變更，您也可以藉由上傳已編輯的逗點分隔值 (CSV)檔案，大

量進行當地語系化變更。請導覽至系統 > 當地語系化 > 當地語系化編輯器，然後選取修改

按鈕，以下載此當地語系化範本 CSV檔案。依據您的喜好編輯檔案以影響大規模的當地語系

化變更，並使用相同的畫面上傳檔案。

啟用註冊

Email 提示

您可提示使用者在註冊過程中輸入其 Email認證。

「註冊 Email提示」會向終端使用者請求提供 Email地址，以在使用者記錄中自動填入該選項。

此資料對使用 {EmailAddress}查閱值來將 Email部署到裝置中的企業特別實用。如需詳細資

訊，請參閱查閱值於第 190頁。

啟用裝置

資產編號

提示

您可提示使用者在註冊時輸入裝置資產編號。

Workspace ONE直接註冊支援註冊電子郵件提示，但僅在啟用設備所有權提示類型且僅適用

於公司所有設備時。

顯示註冊

轉換訊息

(僅適用於

Android)

您可在 Android裝置中顯示或隱藏註冊訊息。

啟用

Windows的 TLS 相

互驗證

您可強制 Windows Phone和 Windows裝置使用受 TLS相互驗證所保護的端點。這種方式需要

額外的設立和配置工作。請聯絡支援部門以取得協助。

建立自訂註冊訊息

您可自訂有關裝置註冊的訊息，以及任何未來傳送到裝置的行動裝置管理 (MDM)提示。

雖然自訂訊息純粹為選擇性，但通常會比預設訊息要來得好。因為這類訊息會在通知中顯示特定的企業

名稱，而非顯示環境的 URL或只有「Workspace ONE ™UEM」，有助於避免使用者混淆。

1. 瀏覽至裝置 > 裝置設定 > 一般 > 註冊，然後選擇自訂標籤。

2. 選取為每個平台使用特定的訊息範本，然後從每個平台的下拉式功能表中選取一個裝置啟動訊息範

本。請參閱建立註冊訊息範本於第 114頁。

3. 若使用 iOS裝置，可以選擇性配置以下內容：

l 輸入 iOS裝置的後置註冊登陸 URL。

l 輸入 iOS裝置的 MDM 設定檔訊息，也就是在註冊時 MDM設定檔所顯示的安裝提示訊息。

4. 選取儲存。


113



建立註冊訊息範本

您可以依照平台自訂並建立您專屬的訊息範本資料庫，以涵蓋您可能遇到的各種註冊情況。

1. 瀏覽至裝置 > 裝置設定 > 一般 > 訊息範本，然後選擇新增。

2. 設定類別下拉式功能表以符合您範本所屬的類別。選項包括管理員、應用程式、合規性、內容、裝置生

命週期、註冊和使用條款。

3. 設定最能呼應子類別之類型。類型下拉式功能表的選項，將取決於類別設定。

4. 設定選取語言下拉式功能表。若要新增語言，請選取新增按鈕。

5. 如果要將某範本作為所選類別的預設範本，請勾選預設勾選方格。

6. 選取範本的訊息類型。這些選項包括 Email、SMS和推播通知。

7. 以在訊息內文文字方塊中輸入文字來撰寫您的訊息。

您有兩種方式可以撰寫 Email訊息範本：純文字和 HTML。

純文字選項只有等寬並有襯線的字型 (Courier)，也沒有任何格式的選項。

HTML選項讓您能夠使用 RTF 文字的編輯環境，包括字型、格式、標題層級、項目符號、縮排、段落對

齊、下標、上標、圖像和超連結等功能。HTML環境支援基本的 HTML編碼，您可以使用顯示來源鍵在

RTF 文字與來源檢視畫面之間作切換。

8. 點選儲存按鍵來儲存範本。

配置生命週期通知

您可使用生命週期通知，在裝置生命週期中發生任何的特定事件後傳遞自訂的訊息。

若要配置此選擇性設定，請導覽至裝置 > 生命週期 > 設定 > 通知，然後在下列區塊中輸入以下選項。

l 已取消裝置註冊 –當裝置取消註冊時傳送一封 Email通知。

l 裝置註冊成功 –當裝置註冊成功時傳送一封 Email通知。

l 裝置因註冊限制遭封鎖 –如果註冊限制封鎖裝置，會傳送電子郵件通知。若要設定此行為，請導覽至

群組與設定 > 所有設定 > 裝置與使用者 > 一般 > 註冊，然後選取限制索引標籤。


114



設定描述

將電子郵

件傳送

至。

l 無 –在成功地封鎖裝置、註冊或取消註冊後，不會傳送確認的 Email。

l 使用者 –將確認的 Email傳送給裝置使用者，通知他們系統已成功地完成了裝置封鎖、註

冊或取消註冊的動作。

o 副本 –將相同的確認 Email傳送給單一 Email地址，或是傳送給數個以逗號分開的

Email地址。

o 訊息範本 –從下拉式清單中選取您要的訊息範本。若要新增訊息範本或編輯現有範

本，請選取「按一下這裡 ...」超連結，您隨即前往裝置 & 使用者 > 一般 > 訊息範本設定

頁面。

l 管理員 –將確認電子郵件傳送給 Workspace ONE UEM管理員，通知他們裝置封鎖、註冊或

取消註冊已成功。

o 收件者 –將相同的確認 Email傳送給單獨一個 Email地址，或是傳送給數個以逗號分

開的 Email地址。

在自訂標籤上配置註冊選項

若要提供額外終端使用者支援層級，包括 Email和電話號碼，請配置自訂標籤。使用者基於任何原因而無

法註冊裝置時，這類支援層級就很有價值。

瀏覽至裝置 > 裝置設定 > 裝置 & 使用者 > 一般 > 註冊，即可找到自訂標籤。

設定描述

為各平台使用特

定的訊息範本

如果啟用，就能為每個平台選取唯一訊息範本。

此提供的連結將顯示訊息範本頁面，允許您立即開始建立範本。

Workspace ONE ™直接註冊支援特定平台訊息範本。

註冊支援 Email 輸入支援 Email地址。

註冊支援電話輸入支援電話的號碼。

註冊後的登陸

URL(僅用於 iOS)

您可提供後置註冊登陸 URL，在終端使用者註冊成功後，系統便會導向該處。此 URL可能會連結至公司資源，例如：公司網站或導向其他資源的登入畫面。

Workspace ONE直接註冊支援註冊後的登陸 URL。

MDM 設定檔訊

息 (僅用於 iOS)只有在 iOS裝置上，系統才會在註冊過程中顯示此文字方塊中的訊息。您所指定的訊

息，長度不得超過 255個字元。

Workspace ONE直接註冊支援僅限 iOS的 MDM設定檔訊息。

使用自訂 MDM應用程式

顯示可開啟 APP群組清單頁面的連結。此連結標示為應用程式群組。

Workspace ONE直接註冊支援自訂 MDM APP。

使用黑名單和白名單來執行裝置登記

黑名單會明確地列出禁止使用的裝置與 APP。而白名單會明確地列出僅能使用的裝置與 APP。這個概念也

可套用在登記方面，允許您控制哪些裝置可以註冊而哪些不行。


115



舉例來說，在部署公司的專用裝置時，您可以建立一份核准的 iOS裝置白名單。您可以依據國際行動裝置

識別碼 (IMEI)、序號或獨特裝置辨別碼 (UDID)來建立此裝置清單。如此一來，只有經您識別的裝置才能進

行註冊，而員工的個人裝置均不得註冊。

此外，在裝置遺失或遭竊的情況下 ,您即可將裝置的 IMEI、序號或 UDID資料，列入黑名單裝置的清單中。

將某裝置列入黑名單將會取消裝置註冊、移除所有 MDM設定檔並禁止註冊，直到您將它從黑名單中移

除。

注意 :目前的 Microsoft功能指定您無法依 IMEI或 UDID將 Windows Phone裝置列入黑名單。

在黑名單和白名單中新增裝置

您可以根據裝置的各種屬性來將其加入黑名單 (禁止註冊的裝置)或白名單 (可以註冊的裝置)。

1. 瀏覽至裝置 > 生命週期 > 註冊狀態，然後選擇新增。

2. 從新增下拉式功能表中，選取列入黑名單的裝置或列入白名單的裝置，並完成相關設定。

設定描述

在黑名單/白名單中的裝置輸入黑名單/白名單中的裝置 (選取裝置屬性)，一次最多 30個。

裝置屬性相取相應的裝置屬性類型。選取 IMEI、序號或 UDID。

企業群組確認要將哪些企業群組的裝置列入黑名單或白名單。

擁有權您可以僅允許具有所選擁有權類型的裝置。

此選項僅在裝置列入白名單時才能使用。

其他資訊允許您選取要套用白名單或黑名單的平台。

平台您可以將整個平台的上的所有裝置都列入黑名單或白名單。

此選項僅在您已勾選其他資訊方格時才能使用。

3. 點選儲存來確認此設定。

其他的裝置限制

其他裝置限制可套用至任何部署，無論是目錄服務整合、BYOD支援、裝置登記還是其它配置。您可以設

定其他限制，以控管可以允許哪些人和裝置類型進行註冊。

您也可決定每個企業群組的最大註冊裝置數。配置註冊限制後，還可將這些限制另存為原則。

註冊考量，附加限制

註冊限制讓您能夠微調要套用給部署的註冊參數。在決定要使用何種註冊限制時，請先考量下列事項。

考量項目 #1 – 您是否會限制特定平台、OS 版本或允許裝置的最大數量？

l 您是否只會支援那些功能已內建於企業管理中的裝置，例如 Samsung SAFE/Knox、HTC Sense、LGEnterprise和 Motorola的裝置？如果是，您可以要求 Android裝置必須具有支援的企業版本以作為註冊

限制。


116



l 您是否要限制使用者允許註冊的裝置數量上限？如果是，您可以設定此數量，也可以明確指定公司專

用裝置與員工自有裝置。

l 您的部署是否不支援特定平台？如果有，您可以建立一個清單，列出要封鎖的裝置平台並禁止他們註

冊。

企業必須評估員工擁有的裝置數量和種類。還必須決定哪些裝置要在工作環境中使用。完成此工作後，

可將這些註冊限制另存為原則。

考量 #2：您是否會將註冊限制為公司裝置的集合清單？

這些額外的登記選項能針對終端使用者所能註冊的裝置提供控制項。有助於容納 BYOD部署，可防止列入

黑名單的裝置註冊，或限制只有列入白名單的裝置才能註冊。您可依類型、平台或特定裝置 ID和序號，將

裝置列入白名單。如需進一步資訊，請參閱在黑名單和白名單中新增裝置於第 116頁。

考量 #3：您是否會根據企業群組限制註冊裝置的數量？

您可以為特定的企業群組 (OG)套用註冊裝置的數量限制。實施這樣的限制可以避免您超過有效的註冊數

量，有助於管理部署。如需進一步資訊，請參閱每企業群組的註冊裝置限制於第 118頁。

配置註冊限制設定

整合 Workspace ONE UEM與目錄服務時，您可以決定哪些使用者可以向您的企業部署註冊裝置。

您可以限制為只有已知的使用者或已配置的群組才能註冊。已知的使用者就是 UEM主控台上現有的使用

者。如果您選擇與使用者群組整合，則配置的群組指的就是與目錄服務群組關聯的使用者。您也可以根

據企業群組來限制可註冊的裝置數量，並將限制儲存為可重複使用的原則。

若要使用這些選項，請導覽至群組 & 設定 > 所有設定 > 裝置 & 使用者 > 一般 > 註冊，然後選取限制索引

標籤。限制標籤，讓您能夠按照企業群組和使用者群組身份來自訂註冊之限制原則。

l 使用「原則設定」來建立並指派現有的註冊限制原則。

l 在「群組指派設定」區域之下，將原則指派給一個使用者群組。

l 依照平台、作業系統、UDID、IMEI等，將裝置列入黑名單或白名單等等。


117



設定描述

使用者

存取權

的控管

Workspace ONE直接註冊支援所有使用者存取控制選項。

限制已知使用者才可註冊 –啟用此選項會限制僅有 UEM主控台中現有的使用者才可註冊。這

個註冊選項適用於由您手動逐一加入或批次匯入 UEM主控台中的目錄使用者。當初始部署

(初始部署允許任何人註冊)完成後，您也可利用此功能來鎖定註冊。此選項讓您可選擇能註

冊的人員。

您可以停用此選項，以允許沒有 UEM主控台帳戶的所有目錄使用者向 Workspace ONE UEM註

冊。註冊時便會自動建立使用者帳戶。

僅限已配置使用者註冊 –啟用此選項，則僅有屬於「所有群組」或「所選群組」的使用者才可以

註冊裝置 (如果您已與使用者群組進行整合)。如果您尚未與您的目錄服務使用者群組進行整

合，請勿選取此項目。

停用讓所有目錄使用者註冊的選項，即可在註冊期間建立 Workspace ONE UEM使用者帳戶。選

取對不屬於已配置群組中的使用者所擁有的裝置進行企業抹除，將會對相關裝置自動執行企

業抹除。如果選取所有群組，將會移除不屬於任何使用者群組的裝置。如果選取所選的群組，

則會移除不屬於特定使用者群組的裝置。

與使用者群組整合的一個選項是建立「MDM核准的」目錄服務群組，並將群組匯入 WorkspaceONE UEM。執行此匯入步驟後，您可以將現有的目錄服務使用者群組新增到「MDM核准的」群

組，因為這些群組有資格使用 Workspace ONE UEM。

設定此

OG 以下

的註冊

裝置上

限

啟用並輸入裝置限制，即可限制可於目前企業群組中 (OG)註冊的裝置數量。

Workspace ONE直接註冊支援此選項。

注意 :透過 Apple的裝置註冊計劃 (DEP)而註冊的 iOS裝置，將無法套用這些限制，因為這些裝置只有在

註冊後才能收到必要的裝置資訊。

每企業群組的註冊裝置限制

您可以為特定的企業群組 (OG)套用註冊裝置的數量限制。實施這樣的限制可以避免您超過有效的註冊數

量，有助於管理部署。

這項裝置限制可以施加於各類 OG (全域、客戶、夥伴)。為一個 OG設定限制後，將無法在同一個 OG分支的

任何位置設定另一個限制。除非在單獨的 OG分支中設定限制，否則無法為其他已註冊的裝置設定限制。


118



限制每個企業群組註冊的裝置數目

若要定義您目前的 OG已註冊的裝置限制，請執行下列步驟。

1. 導覽至群組 & 設定 > 所有設定 > 裝置 & 使用者 > 一般 > 註冊，然後選取限制標籤。

2. 在設定此企業群組和其下的註冊裝置數目上限下啟用限制。

如果此選項不可使用，請檢查父系 OG (高於目前的 OG)或子 OG (低於目前的 OG)。目前 OG的上層或下層可

能已定義了現有的限制。

建立註冊限制原則

企業必須評估員工擁有的裝置數量和種類。他們還必須決定要在您工作環境中使用的裝置。完成此工作

後，可將這些註冊限制另存為原則。

1. 導覽至裝置 > 裝置設定 > 裝置與使用者 > 一般 > 註冊。

2. 選擇限制標籤，然後選擇在原則設定區塊中的新增原則。


119



3. 在新增/編輯註冊限制原則畫面中新增註冊限制原則。

設定描述

註冊限

制原則

名稱

輸入您註冊限制原則之名稱。

企業

群組

從下拉式功能表中選取企業群組。此為您新的註冊限制原則所要套用的企業群組。

原則類

型

選擇「註冊限制原則」的類型，此類型可以是套用在所選企業群組上的企業群組預設值；或

是透過限制標籤中的群組指派設定，套用在特定使用者群組上的使用者群組原則。

允許的

擁有權

類型

選擇允許使用或禁用公司 -專用、公司 -共用和員工自有的裝置。

Workspace ONE直接註冊僅支援公司專用和員工自有這兩種擁有權類型。

允許的

註冊類

型

選擇要允許使用或禁用以 MDM (Workspace ONE Intelligent Hub)和 AirWatch Container (適用

iOS/Android)等 App來註冊裝置。

依據使

用者設

定裝置

限制

選取無限制來允許使用者註冊他們想要註冊的任何裝置數量。Workspace ONE直接註冊支援

設定每位使用者的裝置限制。

取消勾選此方格，並於每位使用者的裝置限制區段中輸入數值，即可定義每種擁有權類型

的裝置數量上限。

l 每個使用者可用的裝置數量上限

l 企業裝置數量上限

l 共用裝置數量上限

l 員工自有裝置數量上限

允許的

裝置

類型

勾選依據特定平台、型號及作業系統來限制註冊的方格，加入其他特定裝置的限制。


注意 :目前的 Microsoft功能指定您無法依 IMEI或 UDID將 Windows Phone裝置列入黑名

單。


120



設定描述

裝置等

級限制

模式

僅當您已於允許裝置類型選項中選取依據特定平台、型號或作業系統來限制註冊，才能使

用此選項。

決定要限制的裝置類型。

l 僅允許列出的裝置類型 (白名單) –選擇此項目，僅明確允許使用符合您所輸入參數之

裝置，並封鎖其他所有裝置。

l 封鎖列出的裝置類型 (黑名單) –選擇此項目，明確地封鎖所有符合您所輸入參數之裝

置，並允許使用其他所有裝置。

若要選擇其中一種裝置層級的限制模式，請選取新增裝置限制並選擇一個平台、型號、製

造商 (Android裝置限定)或作業系統。您也可以根據定義好的裝置限制來新增裝置數量限

制。您可以加入數種裝置限制。

您也可依照裝置的 IMEI、序號或 UDID來封鎖特定的裝置，請瀏覽至裝置 > 生命週期 > 註冊

狀態，然後選擇新增。這是封鎖單獨一個裝置的有效方法並且可以禁止該裝置重新註冊，

此方法並不會影響到其他使用者的裝置。在執行企業抹除時，禁止重新註冊也是其中一種

可用的選項。


4. 選取儲存以儲存您的變更，並導覽回裝置與使用者/一般/註冊畫面。

不應在全域註冊裝置的原因

將裝置直接註冊到最上層企業群組 (OG) (通常稱為全域)，並不是好做法，原因如下。多租戶、繼承和功能。

多租戶

您可根據需要盡可能建立子企業群組，並配置為可獨立於其他群組。套用至子 OG的設定不影響其他同層

級。

繼承

對父層級 OG所做的變更會套用至子層級。相反的，對子層級 OG所做的變更，不會套用至父層級或同層

級。

功能

有些設定和功能只能在客戶類型企業群組中配置，包括抹除保護、電信和個人內容。直接新增至最上層全

域 OG的裝置，會從這些設定和功能中排除。



自動探索註冊

Workspace ONE ™UEM使用自動探索系統，能透過使用者的 Email地址來向環境與企業群組 (OG)註冊裝置，

從而簡化註冊的程序。自動探索功能也能讓終端使用者自行利用其 Email地址來向自助入口網站 (SSP)驗證。


121



注意 :若要啟用內部部署環境的自動探索功能，請先確定您的環境能夠與 Workspace ONE UEM自動探索

伺服器進行通訊。

自動探索註冊登記

伺服器會檢查 Email網域的獨特性，只允許企業群組在相同的環境中登記一個網域。由於有這項伺服器檢

查，因此請在您最高層級的企業群組登記您的網域。

系統會為軟體即服務 (SaaS)的新客戶，自動配置自動探索功能。

從父企業群組配置自動探索註冊

自動探索註冊能使用終端使用者的 Email地址，來簡化裝置向預期的環境與企業群組 (OG)註冊的程序。

若要從父級 OG配置自動探索註冊，請執行以下步驟。

1. 導覽至群組與設定 > 所有設定 > 管理員 > 雲端服務並啟用自動探索設定。在自動探索 AirWatch ID中

輸入您的登入 Email地址並選取設定身份識別。

a. 如有需要，請導覽至 https://my.workspaceone.com/set-discovery-password為自動探索服務設定密碼。

一旦完成登記並選取了設定身份識別，系統便會自動填入 HMAC Token。按一下測試連線以確定連

線能正常運作。

2. 啟用自動探索證書固定選項以上傳您的證書，然後將之固定到自動探索功能。

您可以檢閱現有憑證的有效日期及其他資訊，也可以選擇取代和清除這些現有的憑證。

選取新增證書及設定名稱及證書顯示。輸入您要上傳之憑證的名稱，選取上傳按鈕，然後選取位於您

裝置上的憑證。

3. 選擇儲存以完成自動探索設定。

指示自行註冊的終端使用者，選擇使用 Email地址選項進行驗證，不需輸入環境 URL和群組 ID。若使用者

使用 Email地址註冊裝置，會順便在相關使用者帳戶的註冊企業群組所列的同一個群組中註冊。

從子企業群組配置自動探索註冊

您可以從註冊企業群組下方的子企業群組，配置自動探索註冊。要以這種方式啟用自動探索註冊，您必

須要求使用者在註冊期間選擇群組 ID。

1. 瀏覽至裝置 > 裝置設定 > 一般 > 註冊，然後選擇群組標籤。

2. 選取提示使用者選取群組 ID。

3. 選取儲存。


122



https://my.workspaceone.com/set-discovery-password

第 8章：共用裝置要在特定企業內將某項裝置發放給每位員工可能所費不貲。Workspace ONE ™UEM可讓您以兩種方法與其

他使用者共用行動裝置：讓所有使用者都使用單一固定的配置，或者讓個別的使用者擁有獨特的配置設

定。

共用裝置/多使用者裝置的功能，可確保每名獨特終端使用者都有安全性和驗證。而且如果適用，共用裝

置僅允許特定終端使用者存取敏感資訊。

在管理共享裝置時，您必須先透過適用的設定和限制來佈建裝置，再將這些這些部署給終端使用者。一

旦完成部署，Workspace ONE UEM便可使用簡單的共用裝置登入或登出程序，終端使用者只需輸入其目錄

服務或專屬認證即可登入。終端使用者的身分決定了其企業資源 (例如：內容、功能和應用程式等等)存取

權層級。此身份可確保使用者登入後能夠自動配置各項功能與資源。

登入或登出功能已內含在 Workspace ONE Intelligent Hub中。這種獨立性可確保註冊狀態絕對不會受到影

響，且不論裝置是否正在使用，都會受到管理。

共享裝置功能

共享裝置有需多基本功能，這些功能都涉及跨使用者共享裝置時的功能和安全性。這些功能會提供充份

的理由，說明共享裝置為何算是符合成本效益的解決方案，又能如何協助您發揮企業的行動性。

l 功能

o 在不失去企業的設定之下，為每位終端使用者提供個人化的體驗。

o 登入裝置後，系統便會透過公司存取權和特定設定、應用程式，以及根據終端使用者角色和企業

群組 (OG)的內容來配置裝置。

o 允許內含在 Workspace ONE Intelligent Hub內的登入/登出程序。

o 當終端使用者登出裝置後，工作階段的配置設定就會抹除。然後裝置就可以讓另一名終端使用者

登入。

l 安全

o 先透過共用裝置設定來佈建裝置，再將裝置提供給終端使用者。

o 登入/登出裝置而不影響 Workspace ONE UEM中的註冊。

123



o 使用目錄服務或專屬的 Workspace ONE UEM憑證登入期間，會對使用者進行驗證。

o 即便裝置尚未登入也可以管理裝置。

支援共享裝置的平台

下列裝置支援共享裝置/多使用者裝置功能。

l Android 4.3+、

l 具有 Workspace ONE Intelligent Hub v4.2+的 iOS裝置、

l 具有 Workspace ONE Intelligent Hub v2.1+的 MacOS裝置。

定義共享裝置的階層架構

首次登入 Workspace ONE ™UEM時，將會看到一個企業群組 (OG)，這是使用貴公司的名稱為您建立的。以

此群組作為您最高層的 OG。在此最高層的群組下面，您可以建立各種子群組來打造貴公司的階層架構。

1. 瀏覽至群組 & 設定 > 群組 > 企業群組 > 企業群組明細。您可以在此處看到代表您公司的 OG。

2. 請確認所顯示的企業群組明細正確無誤，並且利用可用的設定來做必要的修改。如果您做了任何變

更，請點選儲存。

3. 選取新增子企業群組。

4. 為最高層 OG下的第一個 OG，輸入以下的資訊。

設定描述

名稱請為子企業群組 (OG)輸入要顯示的名稱。只能使用英數字元。請勿使用奇怪的字元。

群組

ID請為 OG輸入識別碼，以供終端使用者在裝置登入期間使用。在註冊過程中，利用群組 ID來

將裝置分配到正確的 OG。

請確定共用裝置的使用者都收到該群組 ID，因為依據您「共用裝置」的配置，系統可能會要

求裝置必須透過該群組 ID才能登入。

類型選擇預先配置的 OG類型，以反映其子 OG的類別。

國家選擇 OG所在國家。

地區

設定

為所選國家選擇語言分類。

客戶

產業

僅當類型為客戶時才能使用此設定。從客戶產業清單中加以選取。

5. 選取儲存。

共用 Android裝置的登入與登出

若要在 Android裝置上使用共用裝置功能，請使用 Workspace ONE Intelligent Hub註冊裝置，然後將 AndroidLauncher應用程式設為預設的主畫面。Launcher應用程式會於註冊期間自動下載。

第 8章：共用裝置

124



一旦應用程式安裝完成並設為預設主畫面，裝置就會進入簽到狀態。處於此狀態時，終端使用者的瀏覽

範圍僅限於此頁面，且裝置會提示使用者簽出。若要移除設定檔並讓整個裝置都可再次提供存取，請透

過 Workspace ONE ™UEM主控台，在註冊預備的使用者裝置上執行企業抹除。

登入 Android 裝置

1. 使用者必須從 Launcher登入頁面輸入其群組 ID、使用者名稱和密碼。如果在主控台中啟用提示使用者

提供企業群組 ID功能，則終端使用者必須輸入群組 ID才能登入。

2. 若適用，請點選登入然後接受使用條款。裝置已配置。

登入後，系統會根據智慧群組和使用者群組關聯將使用者設定檔向下推播。

登出 Android 裝置

1. 點選設定按鈕。

2. 選取登出。

共用 macOS裝置的登入與登出

多位使用者可以登入和登出 macOS共用裝置，啟用裝置設定檔的自動推送。

登入 macOS 裝置

使用指派的網路認證，登入已預備的 macOS裝置，並在 Workspace ONE ™UEM中接收指派給帳戶的設定

檔。

登出 macOS 裝置

標準 macOS登出程序也會將裝置登出指派的 Workspace ONE UEM使用者設定檔。

從 UEM主控台簽入共用裝置

您可以直接從 Workspace ONE UEM console簽入裝置，略過終端使用者必須使用安裝的 Workspace ONEIntelligent Hub簽入裝置的步驟。

使用 UEM主控台簽入裝置時，您可以使用指定的企業群組、設定檔、應用程式等資訊，有效地將註冊重設

為多個註冊預備使用者。裝置端的 Workspace ONE Intelligent Hub會重新啟動，並顯示簽出畫面。

限制

此功能目前僅適用於 iOS裝置。不支援使用 Workspace ONE Intelligent Hub以外方式 (例如：直接註冊、

Workspace ONE或 Container)註冊的裝置。不支援從主控台大量簽入裝置。

工作

請依以下步驟操作，從主控台簽入 iOS裝置。

1. 導覽至裝置 > 清單檢視，然後找到您要簽入的共用 iOS裝置。

2. 選取裝置的暱稱以顯示裝置明細。


125



3. 選取畫面右上角的更多動作按鈕。

4. 在管理區段選取簽入裝置。

啟用目錄服務型註冊

目錄服務註冊是指整合 Workspace ONE ™UEM與企業目錄服務基礎結構的程序。以這種方式整合目錄服務

代表您可自動匯入使用者，以及像安全性群組和通訊群組清單的使用者群組 (選擇性)。

與 Active Directory (AD)這類的目錄服務整合時，可以進一步選擇匯入使用者的方法。

l 允許所有目錄使用者註冊 –您可以允許您目錄服務內的所有使用者進行註冊。此外，您可以根據使用

者的 Email自動探索使用者，以便設置環境。接著再於他們執行註冊時，為他們建立 Workspace ONEUEM使用者帳戶。

l 逐一新增使用者 -與目錄服務整合後，可個別新增使用者，方法如同建立基本 Workspace ONE UEM使用

者帳戶。唯一的區別在於，您只需要為其輸入使用者名稱，並選取檢查使用者，即可從您的目錄服務

中將剩下的資訊自動填入。

l 批次上傳 CSV 檔案 –使用此選項，您就可以使用 CSV (逗號分隔值)範本檔案來匯入目錄服務帳戶的清

單。該檔案具有特定欄位，有些不能留空。

l 透過使用者群組整合 (可選) –透過這個方法，您就能使用現有使用者群組成員資格來指派設定檔、

APP、合規原則等等。

注意 :關於如何整合 Workspace ONE UEM環境與目錄服務的資訊，請參閱《VMware AirWatch 目錄服務指

南》。如果您正考慮使用 SAML提供者來整合 Workspace ONE UEM，請參閱《VMware AirWatch SAML 整合

指南》，這兩部指南皆可在 docs.vmware.com取得。


126



第 9章：裝置指派裝置指派可讓您按照網際網路通訊協定 (IP)位址範圍或自訂屬性，在跨企業群組 (OG)和使用者名稱之中

移動裝置。這是一種代替使用者群組來整理內容 (比如：設定檔、APP、原則和產品)的方法。

與其需要管理員手動在 OG之間移動裝置，您可以指導主控台在連接至定義的 Wi-Fi時，自動移動裝置。您

還可根據您定義的自訂屬性規則移動裝置。

典型的裝置指派使用範例是：經常變更身份而且每個身份都需要有特殊的設定檔和應用程式的使用者。

若要移動裝置，您必須在施行使用者群組或是裝置指派之間做選擇，因為 Workspace ONE ™UEM無法在一

台裝置上同時支援這兩種功能。

啟用裝置指派

您必須先啟用裝置指派，才能以網際網路通訊協議 (IP)或者自訂屬性作為基礎，在企業群組 (OG)和使用

者名稱之間移動裝置。裝置指派僅能在子企業群組中配置。

1. 導覽至群組與設定 > 所有設定 > 裝置與使用者 > 一般 > 進階，然後依據您的需要來選取覆寫或繼承目

前設定。

127



2. 在裝置指派規則設定中選擇啟用。

3. 選擇管理類型。

l 依 IP 範圍的企業群組 –裝置退出一個 Wi-Fi網路範圍並進入另一個 Wi-Fi網路範圍時，將裝置移到

指定的 OG。此舉將自動推送設定檔、APP原則和產品。

l 依自訂屬性的企業群組 –依自訂屬性將裝置移到某企業群組。自訂屬性讓管理員能夠從受管理裝

置中摘錄特定的值，並將此值傳回至 Workspace ONE UEM主控台。您也可以將屬性值指派給裝置，

以供產品佈建或裝置查閱值使用。

o 若已啟用依自訂屬性的企業群組，標題為按一下這裡即可根據指派規則建立自訂屬性的連結即會顯示。選取後，此

連結將在瀏覽器中打開另一個分頁。此分頁顯示自訂屬性指派規則頁面，讓您建立自己的屬性指派規則。如需進一

步資訊，請參閱使用自訂屬性來指派企業群組於第 196頁。

l 依 IP 範圍的使用者名稱 –若裝置退出一個網路並進入另一個網路，則裝置會變更使用者名稱，而

不是移至另一個 OG。此使用者名稱變更會觸發的推送 (設定檔、APP原則和產品)，與 OG變更時的

相同。此選項適用於那些只具有有限的權限來建立新企業群組的客戶；如此一來，這些客戶便可利

用此替代方法的優勢來使用裝置指派的功能。

重要提示：如果您要在現有的指派配置變更指派類型，您必須刪除全部現有的已定義範圍。若

要移除 IP範圍指派，請導覽至群組與設定 > 群組 > 企業群組 > 網路範圍。若要移除自訂屬性指

派，請瀏覽至裝置 > 註冊預備 & 佈建 > 自訂屬性 > 自訂屬性指派規則。

4. 選擇裝置擁有權選項。僅指派具有某種已選之擁有權類型的裝置。

l 公司專用

l 公司共用

第 9章：裝置指派

128



l 員工自有

l 未定義

5. 您可以選取連結以新增網路範圍，請按一下此處建立網路範圍。選取後，網路範圍頁面隨即顯示。您

也可以導覽至群組 & 設定 > 群組 > 企業群組 > 網路範圍來前往此頁面。前往這個位置時，您所屬企業

群組的裝置指派必須已啟用，您才能看到 [網路範圍]設定選項。如需詳細資訊，請參閱定義裝置指派

規則或網路範圍於第 129頁。

6. 設好所有的選項後，請選擇儲存。

定義裝置指派規則或網路範圍

當您的裝置連線至 Wi-Fi時，裝置會進行驗證，並針對您選取的 OG自動安裝設定檔、APP、原則和產品佈

建。

您也可依照自訂屬性來定義規則。當具有指派屬性的裝置註冊後，規則會將裝置指派給已配置的企業群

組。裝置也可獲得指派，條件是裝置必須收到包含合格自訂屬性的產品佈建。

裝置指派僅能在子企業群組中配置。

1. 導覽至群組 & 設定 > 群組 > 企業群組 > 網路範圍。

您必須啟用裝置指派，[網路範圍]選項才會顯示。如果您在企業群組導覽路徑中找不到「網路範圍」，

請參閱啟用裝置指派於第 127頁。

2. 若要新增單一的際網路通訊協定 (IP)位址，請選擇新增網路範圍。在新增/編輯網路範圍頁面中，填妥

下列的設定，然後選擇儲存。

l 起始 IP 位址 –輸入網路範圍的最頂端。

l 結束 IP 位址 –輸入網路範圍的最底端。

l 企業群組名稱 –為加入網路範圍後要移動的裝置輸入 OG名稱。此設定只有在網路指派類型為「依

IP範圍而定的企業群組」時才能看到。

l 使用者名稱 –輸入在界定網路範圍時，裝置要登記的使用者名稱。此設定只有在網路指派類型為

「依 IP範圍區分的使用者名稱」時才能看到。

l 描述 –選擇加入一個對網路範圍有幫助的描述。

l 重疊網路範圍會出現「儲存失敗，網路範圍已存在」的訊息。

3. 如果需要新增數個網路範圍，可以選擇批次匯入來節省時間。在批次匯入頁面，選擇為此批次類型下

載範本連結，即可檢視並下載大量匯入的範本。


129



完成此範本，利用批次匯入頁面將之匯入，然後點選儲存。


130



第 10章：裝置設定檔裝置設定檔是您用來管理裝置的主要方式。在設定檔與合規原則合併時，它們可協助您強制執行公司規

則和程序的設定及規定。

先為每種平台類型建立設定檔，然後再為每種平台類型配置具有您所配置之個別設定的裝載。

建立設定檔的程序包括依序指定一般設定與裝載設定。

l 一般設定會決定如何部署設定檔，以及誰可接收此設定檔。

l 而設定檔的裝載實際上包含了限制本身，以及會在設定檔安裝後套用至裝置的其他各項設定。

設定檔處理

裝置設定檔為裝置管理提供標準化基礎。與合規原則搭配使用，裝置設定檔這套機制將能讓裝置管理成

為有價值的工具。

處理和發佈裝置設定檔，將對伺服器造成巨大壓力，必須加以管理才能緩減。Workspace ONE UEM Console使用批次處理邏輯來處理大多數處理器密集型裝置設定檔。若要調整此批次邏輯，請導覽至群組與設定

> 所有設定 > 安裝 > 效能微調。

新增一般設定檔設定

以下這些設定檔的設定和選項，可套用於大部分的平台並可作為一般參考之用。然而，有些平台會提供

一些不同的選項。以下的步驟和設定可套用至任何設定檔。

1. 導覽至裝置 > 設定檔 & 資源 > 設定檔 > 新增。您可以選取下列任一選項來新增設定檔。

l 新增設定檔 –執行單次新增裝置設定檔。

l 上傳設定檔 –在您的裝置上傳一個已簽署的設定檔。

l 批次匯入 –透過以逗點分隔值 (.csv)的檔案，大量匯入新的裝置設定檔。輸入一個特殊名稱和描

述，以便同時分組和統整多重設定檔。

2. 選擇新增設定檔。

3. 為您所要部署的設定檔，選擇適當的平台。裝載設定可能依平台而異。

4. 請完成下列設定以完成一般標籤。

設定描述

名稱 Workspace ONE ™UEM主控台中顯示的設定檔名稱。

版本回報設定檔目前版本的唯讀文字方塊，依新增版本而定。

第 10章：裝置設定檔

131



設定描述

描述簡短描述設定檔的使用目的。

部署決定是否在取消註冊時，也同時自動移除該設定檔 (不適用於 Android設定檔)。

l 納管 –移除設定檔。

l 手動 –除非終端使用者手動移除設定檔，否則會維持安裝狀態。

指派

類型

判斷設定檔部署到裝置的方式。

l 自動 –設定檔會自動部署到所有裝置。

l 選用 –終端使用者可選擇從自助入口網站 (SSP)安裝設定檔，也可由管理員自行決定部署

至個別裝置。

終端使用者也可以使用 Web Clip或書籤裝載來安裝代表 Web應用程式的設定檔。如果您

配置裝載以在 APP目錄中顯示，那麼您就可以從 APP目錄中安裝。

l 互動式 – (不適用於 iOS 或 Android)。此設定檔為終端使用者透過自助入口網站安裝的獨特

類型。安裝完畢後，這些特殊類型的設定檔會與外部系統進行互動，以產生要傳送到裝置

上的資料。只有在依照以下的步驟啟用後，才能使用此選項：群組 & 設定 > 所有設定 > 裝

置 & 使用者 > 進階 > 設定檔選項。

l 合規 -若使用者未能採取補救措施使得裝置合規，設定檔將由合規引擎套用至裝置。如需

進一步資訊，請參閱合規設定檔於第 137頁。

允許

移除

l 始終允許 –終端使用者可隨時手動移除設定檔。

l 經過授權 –終端使用者必須經過管理員授權才能移除設定檔。選取此項目會新增一個帳戶

密碼文字方塊。

l 永不允許 –終端使用者無法從裝置移除設定檔。

管理

者

具備設定檔管理存取權的企業群組。

已指

派的

群組

指派的群組指的是要加入裝置設定檔的群組。其中包括建立新的智慧群組之選項，您可以利

用最低作業系統的規格要求、裝置型號、擁有權類別和企業群組等來進行配置。如需進一步

資訊，請參閱指派群組於第 66頁。

雖然「平台」是智慧群組的一項準則，但是在裝置設定檔或合規原則中所配置的平台，其重要

性始終都比智慧群組的平台優先。舉例來說，如果某裝置設定檔是為 iOS平台所建立的，即使

智慧群組中含有 Android裝置，設定檔還是只會指派到 iOS裝置上。

排除

項目

如果選取是，畫面就會顯示新的文字方塊排除的群組。此文字方塊可讓您選取要從裝置設定

檔的指派中排除的群組。詳情請參閱在設定檔和原則中排除群組於第 75頁。

檢視

裝置

指派

在您選取指派群組後，您可以預覽所有指派裝置的清單，並將智慧群組指派項目和排除項目

列入考量。


132



設定描述

其他

指派

標準

這些勾選方格可提供額外的設定檔限制。

l 僅在選定區域內的裝置上進行安裝。–輸入世界上任何地方的地址，以及以公里或英里計

算的半徑，即可設定「設定檔安裝週界」。如需進一步資訊，請參閱地理柵欄區域於第 138頁。

l 啟用排程，並只在選定的時間內安裝 –指定配置的時間排程，讓裝置只在該時間範圍內接

收設定檔。選取此項即會新增一個必要的指派的排程文字方塊。如需進一步資訊，請參閱

時間排程於第 140頁。

移除

日期

從裝置上移除設定檔的日期。必須是未來的日期，且格式為 MM/DD/YYYY。

5. 為裝置平台配置裝載。

有關配置某平台之特定裝載的逐步說明，請參閱 docs.vmware.com上適用的平台指南。


裝置設定檔清單檢視

在您建好設定檔並將它們指派給裝置後，您還需要有一個能夠從遠端的單一來源管理個別設定的方式。

裝置 > 設定檔 & 資源 > 設定檔可讓您集中整理並針對設定檔採取動作。

您也可以使用篩選條件、版面配置和欄位排序來量身訂做自己的清單，使其根據您所指定的準則來列出

所有裝置設定檔。您也可將這些清單匯出為 CSV檔案，以便使用 Excel來檢視，並查看裝置設定檔的狀態。

設定描述

篩選條

件

使用下列篩選條件即可僅檢視您想要的設定檔。

l 狀態 –透過使用中、非使用中或所有裝置來篩選出要檢視的裝置。

l 平台 –依據來 13種不同類型的平台，或所有平台來透過篩選出要檢視的裝置。

l 智慧群組 –依據下拉式功能表中所選擇的智慧群組來篩選出要檢視的裝置。

版面配

置

讓您自訂清單的欄位配置。

l 摘要 –利用預設欄位和檢視設定來查看清單檢視。

l 自訂 –在清單檢視中僅選擇您要的資訊。您也可以將所選欄位套用至目前所有的企業群

組及其下層的所有管理員。

匯出將整個清單檢視儲存為 CSV檔 (逗點分隔值)，以便在 Excel中檢視與分析。如果您已在清單檢

視套用篩選條件，匯出的清單也反映篩選結果。

欄位排

序

選取欄位標頭即可切換清單的排序方式。


133



設定描述

設定檔

詳細資

料

在摘要和自訂檢視的設定檔詳細資訊欄位中，每項設定檔功能都具有一個代表裝載類型的圖

示。

單一裝載類型具有該個別裝載類型的獨特圖示。

具有相同類型的多重裝載項目之設定檔，在圖示右上方會有一個號碼徽章。

具有不同類型的多重裝載項目之設定檔，在圖示右上方會有一個具有號碼徽章的通用

圖示。

安裝狀

態

該欄位會藉由三種圖示指示器來顯示設定檔安裝狀態，每種指示器都有超文字數字連結。選

擇此連結會顯示檢視裝置頁面，也就是在所選類別中受到影響的裝置清單。

l 已安裝的 ( ) –此指示器會顯示設定檔受指派並成功安裝的裝置數量。

l 未安裝的 ( ) –此指示器會顯示設定檔受指派但未安裝的裝置數量。

l 已指派的 ( ) –此指示器會顯示已指派的設定檔之數量總計。

選項按

鈕和編

輯圖示

清單檢視中，在每個設定檔的左側有一個選項按鈕和編輯圖示。點選編輯圖示 ( )讓您可以

針對設定檔的配置做基本的變更。選擇單一選項按鈕，裝置按鈕、XML按鈕以及更多動作按

鈕將出現在清單上方。

l 裝置 –檢視可供該設定檔使用的裝置、設定檔是否已安裝，若未安裝，則查看原因。審查

您的團隊中已有哪些裝置，並在需要時手動推播設定檔。

l </> XML –顯示 Workspace ONE ™UEM在建立設定檔後所產生的 XML程式碼。檢視並儲存

XML碼，以便在主控台外重新使用或進行變更。

l 更多動作

o 複製 –複製現有的設定檔並調整該複本之配置內容，以便開始使用裝置設定檔。

o 啟動/停用 –切換裝置設定檔之使用與停用狀態。

o 刪除 –透過移除不必要的設定檔，來維護您的設定檔名冊。

裝置設定檔暫留式快顯

設定檔詳細資料欄位中每個裝置設定檔的右上方都有一個工具提示圖示。若輕觸此圖示 (行動觸控裝置)或滑鼠游標暫留在圖示上 (PC或 Mac)，將會顯示暫留快顯視窗。此快顯包含設定檔資訊，例如設定檔名

稱、平台和所包含的裝載類型。


134



在設定檔清單檢視中的指派的群組欄位，可以找到一個類似的工具提示圖示，具有「暫留快顯視窗」功能

並顯示指派的智慧群組和部署類型。

確認裝置設定檔安裝

在設定檔未安裝於目標裝置的罕見案例中，檢視裝置畫面讓您能夠查看特定原因。

瀏覽至裝置 > 設定檔 & 資源 > 設定檔，並點選已安裝狀態欄位右方之數字連結，來開啟檢視裝置畫面。

您也可以在選取匯出圖示 ( )後，產生一個完整檢視裝置頁面的逗點分隔值 (CSV)檔案。Excel可用來閱讀

和分析 CSV檔案。

您也可以藉由選取可用欄位圖示 ( )來自訂檢視裝置頁面可看到的欄位。

檢視裝置指令狀態欄位

iOS裝置在檢視裝置畫面上有指令狀態欄位，其中包含下列與選取的 iOS裝置有關的安裝狀態。

l 錯誤 –顯示為連結，當選取該連結時，會顯示適用於裝置的特定錯誤碼。

l 擱置 –當裝置列入進行中的憑證批次處理程序時，會顯示此訊息。

l 不適用 –如果設定檔指派沒有影響裝置，但仍屬於智慧群組或部署的一部分，就會顯示。例如，當該

設定檔類型不受到管理時。

l 不是現在 –當裝置為鎖定或使用中，會顯示此訊息。

l 擱置中 –當安裝指令已排入佇列並且會按時完成時，就會顯示此訊息。

l 成功 –當設定檔安裝成功時，會顯示此訊息。


135



裝置設定檔唯讀檢視

當一個企業群組 (OG)建立並管理某「裝置設定檔」時，另一個層級較低的管理員登入系統後，僅可以唯讀

狀態存取該設定檔。該設定檔視窗會透過新增下列特殊註解來反映此唯讀狀態：「此設定檔為階層較高的

企業群組所管理，無法進行編輯。」

這項唯讀限制也會套用至所有智慧群組指派。若在父級 OG建立設定檔並指派給智慧群組，則子 OG管理

員可以加以「查看」但不能編輯設定檔。

此舉除了促進管理員之間交流，還可以維持階層式的安全性。

裝置設定檔編輯

透過 Workspace ONE ™UEM主控台，您可以編輯已經在您團隊裝置上安裝的某個裝置設定檔。您可以對任

何裝置設定檔進行下列兩種變更。

l 一般 –一般設定檔設定可用於管理設定檔的發佈事宜：以何種方式指派設定檔、由哪個企業群組所管

理、指派到哪個智慧群組以及從哪個智慧群組中排除。

l 裝載 –裝載設定檔設定則會影響裝置本身：密碼要求、裝置限制 (比如使用相機或擷取畫面功能)、Wi-Fi設定、VPN等等。

既然裝置本身的操作不會受到影響，您通常可以不需要重新發佈該設定檔來進行一般變更。儲存此變更

僅會將設定檔推播至未指派給該設定檔的裝置。

然而裝載變更因為會影響裝置本身的操作，一定得重新發佈到所有新的及現有裝置上才行。

編輯一般裝置設定檔設定

一般設定檔設定包括僅可管理其分發的變更。此分發包括如何指派設定檔，由哪個企業群組 (OG)管理，

以及指派給哪個指派群組/在哪個指派群組中排除。

1. 瀏覽至裝置 > 設定檔 & 資源 > 設定檔，然後針對要編輯的設定檔，在動作功能表中選取編輯圖示 ()。

唯一可編輯的設定檔是企業群組 (或其下的子群組企業群組)所管理的。

2. 在一般類別中，進行任何您想要的變更。

3. 在完成一般變更後，您可以點選儲存 & 發佈以將該設定檔套用在任何您已增加或移除的新裝置。已

有指派設定檔的裝置將會再次收到重新發佈的設定檔。檢視裝置指派的畫面會顯示出來，讓您確認目

前指派的裝置清單。


新增一般設定檔設定於第 131頁

檢視裝置指派於第 141頁

編輯裝載裝置設定檔設定

裝載設定檔設定包括了會影響裝置本身的變更：密碼要求、裝置限制 (比如使用相機或擷取畫面功能)、Wi-Fi設定、VPN等等。

新增版本按鍵讓您可以建立設定檔的遞增版本，並能夠修改裝載設定。


136



1. 若要啟用裝載編輯，影響裝置的操作，請選擇新增版本按鈕。

選取新增版本鈕並儲存您的變更，代表重新發佈裝置設定檔至所有指派的裝置上。此重新發佈包含

已有該設定檔的裝置。有關配置特定裝載的逐步說明，請參閱 docs.vmware.com所提供之適用的平台

指南。

2. 在完成裝載的變更後，您可選擇儲存並發佈來將該設定檔套用到所有被指派的裝置上。檢視裝置指派

的畫面會顯示出來，讓您可以確認目前指派的裝置清單。

合規設定檔

要了解合規設定檔，必須充分了解裝置設定檔和合規原則。裝置設定檔可做為裝置管理的基礎，而合規

原則則可當作安全性閘道，用來保護公司內容。

裝置設定檔可讓您控制各種裝置設定。這些設定包括密碼複雜性、地理柵欄，時間排程、裝置硬體功能、

Wi-Fi、VPN、Email、憑證等等。

合規引擎會監視規則、強制執行動作並套用升級 (上述全都是您定義的)。但是合規設定檔會向合規引擎

提供通常僅適用於裝置設定檔的所有選項和設定。如需詳細資訊，請參閱合規原則於第 158頁。

例如，您可以建立與一般裝置設定檔相同的特殊裝置設定檔，但設定更嚴格。然後在定義合規原則時，將

此特殊裝置設定檔套用至動作標籤。透過這種安排，如果使用者無法使其裝置合規，將可以套用更為嚴

格的合規設定檔。

新增合規設定檔

合規性設定檔是以與「自動」和「可選的」裝置設定檔相同的方式來建立和儲存。

1. 瀏覽至設備 > 設定檔 & 資源 > 設定檔，然後選擇新增，然後選擇新增設定檔，然後選擇一個平台。

2. 為合規設定檔選擇名稱，以便稍後識別。

3. 在一般設定檔標籤中，在指派類型下拉式設定中選擇「合規」。

4. 完成剩餘的一般和裝載設定。

5. 完成後，選擇儲存 & 發佈。

如需完成裝置設定檔的逐步說明，請參閱新增一般設定檔設定於第 131頁

接著，必須在合規原則中選擇此設定檔。

6. 瀏覽至裝置 > 設定檔 > 清單檢視，選擇新增，然後選擇平台。

7. 定義規則，然後選取下一步。

8. 在動作標籤中選取以下項目。

l 將第一個下拉式功能表設定為「設定檔」。

l 將第二個下拉式功能表設定為「安裝合規設定檔」。

l 將第三個下拉式功能表設定為您在步驟 2中命名的裝置設定檔。


137



9. 選擇下一步，然後繼續配置剩餘的設定，包括指派和摘要標籤。

10. 若要儲存合規原則，請選擇完成或完成並啟用。

如需完成合規原則的逐步說明，請參閱新增合規原則於第 163頁

地理柵欄區域

Workspace ONE UEM可讓您使用地理柵欄區域定義設定檔。地理柵欄區域可將裝置的使用範圍限制在特定

區域，包括公司辦公室、學校建築和零售百貨商店。您可以將「地理柵欄」區域想像成一個為真實世界所

劃分的虛擬邊界。

舉例來說，您可將方圓 1英里的地理柵欄區域套用至您的公司，也可將更大規模的地理柵欄區域套用至

整個州/省。一旦您定義好地理柵欄區域的範圍，便可將其套用到設定檔、SDK應用程式，以及 WorkspaceONE UEM APP (例如 VMware Content Locker)等。

l 啟用地理柵欄區域有兩個步驟。

1. 新增地理柵欄區域於第 139頁。

2. 將地理柵欄套用至設定檔於第 139頁。

l Android和 iOS裝置皆可使用「地理柵欄」。

l 請切記，雖然地理柵欄需要和其他裝載合併使用才能根據位置啟用安全性設定檔，請考慮只為每個設

定檔賦予一個裝載項目。

如需關於 Workspace ONE UEM如何追蹤 GPS位置的詳細資訊，請參閱下列 VMware知識庫文

章：https://support.workspaceone.com/articles/115001663108。

iOS裝置上的地理柵欄支援

APP的地理柵欄功能，只有在運行位置服務的 iOS裝置上才能使用。為了讓位置服務能正常運作，裝置必

須與行動網路或 Wi-Fi熱點連線。否則，裝置必須具備內建 GPS功能。

對僅使用 Wi-Fi的裝置來說，只有在開啟並解鎖裝置，而且也開啟並使用 Workspace ONE Intelligent Hub時，

才會呈報 GPS資料。對行動裝置來說，但裝置改換行動塔台時，便會回報 GPS資訊。當終端使用者開啟並

使用 VMware Browser和 Content Locker時，便會回報 GPS資料 (使用 Workspace ONE Intelligent Hub)。

裝置在「飛航模式」時，系統便會停用位置服務 (和地理柵欄)功能。

裝置 Wi-Fi 行動網路內建 GPS

iPhone ✓ ✓ ✓

iPad Wi-Fi + 3G/4G ✓ ✓ ✓

iPad Wi-Fi ✓

iPod Touch ✓

必須符合下列的所有要求，GPS位置才能更新。


138



https://support.workspaceone.com/articles/115001663108

l 裝置必須執行 Workspace ONE Intelligent Hub。

l 隱私權設定必須允許收集 GPS位置資料 (群組與設定 > 所有設定 > 裝置與使用者 > 一般 > 隱私權)。

l Apple iOS的 Workspace ONE Intelligent Hub設定必須啟用「收集位置資料」(群組與設定 > 所有設定 > 裝置

與使用者 > Apple > Apple iOS > Hub 設定)。

將 Workspace ONE Intelligent Hub SDK設為預設的 SDK設定，而非設為 [無]。

新增地理柵欄區域

您必須先定義地理柵欄區域才能套用至裝置。

1. 若要存取區域設定頁面，請瀏覽至裝置 > 設定檔 & 資源 > 設定檔設定 > 區域。點選新增，再選擇地理

柵欄區域。

2. 輸入地理柵欄的地址和半徑 (公里或英里)。此外，您可以在地圖上的任何地方連按兩下，來設定中心

位置。

3. 選擇點選以搜尋，在地圖上大略地檢視您要套用地理柵欄的地方。

注意 :與 Bing地圖之整合，需要在此頁面載入「不安全的內容」。如果無法順利載入位置搜尋，您可

能需要允許瀏覽器「顯示所有內容」。

4. 輸入區域名稱 (在 Workspace ONE ™UEM主控台中顯示的區域名稱)，然後選取儲存。

接下來，您必須採用將地理柵欄套用至設定檔於第 139頁。

將地理柵欄套用至設定檔

新增地理柵欄區域後，便可套用在設定檔，並與其他裝載合併使用，以建立更強固的設定檔。

例如，您可以在每個辦公室周圍定義地理柵欄區域。然後新增限制裝載，禁止存取遊戲中心、多人遊戲、

YouTube內容和其他設定。啟動此限制後，這些企業群組中適用此設定檔的員工，將無法在辦公室內存取

上述的功能。

1. 瀏覽至裝置 > 設定檔 & 資源 > 設定檔 > 新增，然後選擇平台。

2. 在一般標籤上，選擇僅安裝在所選區域內的裝置。便會顯示指派的地理柵欄區域的方格。如果您尚未

定義地理柵欄區域，功能表就會將您導回到「地理柵欄區域」之建立功能表。

3. 請在此設定檔輸入一個或多個「地理柵欄」區域。

4. 配置一項您要裝置在所選的地理柵欄區域內才能套用的裝載，例如密碼、限制或 Wi-Fi等。


如果使用者手動停用 iOS裝置上的位置服務，Workspace ONE ™UEM將無法再收集位置更新。Workspace ONEUEM會認為裝置處於停用服務的位置。

iBeacons

iBeacon是專屬於 iOS的功能，用來管理定位知悉。如需詳細資訊，請參閱 docs.vmware.com上的《VMwareAirWatch iOS 平台指南》。


139



http://docs.vmware.com/

時間排程

時間排程讓您能夠掌控每個裝置設定檔可以在什麼時間內使用。裝置可用性的限制與權限由設定檔決

定，而時間排程只是單純地安排設定檔的安裝時間。

啟用時間排程有兩個步驟。

1. 定義時間排程。

2. 將時間排程套用至設定檔。

定義時間排程

您必須先定義時間排程才能將其套用在裝置設定檔。

1. 瀏覽至裝置 > 設定檔 & 資源 > 設定檔設定 > 時間排程。

2. 選取排程名稱欄位上方的新增排程。

3. 選取星期幾欄位下方的新增排程，然後完成以下設定。

設定描述

排程名

稱

為出現在清單中的時間排程輸入名稱。

時區為容納管理裝置的企業群組選取時區。

星期幾若要套用已排定時間的設定檔安裝，請選擇星期幾。

全天請將設定檔安裝設定在所選星期幾的午夜安裝。勾選此方格以移除開始時間欄與結束時

間欄。

開始時

間

為該日選取要安裝設定檔的時間。

結束時

間

為該日選取要將設定檔解除安裝的時間。

動作若要移除排程的日期，請按一下 X。

4. 選取儲存。

將時間排程套用於新的設定檔

一旦定義好時間排程後，您即可將其套用在新的設定檔並且與其他的裝載合併使用，以建立更強固的設

定檔。例如，您可以為正常工作時間定義時間排程，然後再新增限制裝載來拒絕 YouTube、多人遊戲和其

他 APP的內容。

啟動此限制後，此設定檔所套用的企業群組使用者，將無法在指定時間內存取上述功能。

1. 瀏覽至裝置 > 設定檔 & 資源 > 設定檔 > 新增，然後選擇您要的平台。

2. 在一般標籤上，選取啟用排程，並只在選定的時間內安裝。

3. 在指派的排程方格中，將一或多個「時間排程」輸入此設定檔。


140



4. 配置裝置必須在特定的時間範圍內才套用的裝載，例如密碼、限制或 Wi-Fi等。


將間排程套用至現有的設定檔

您可以將以前定義的排程套用至現有的設定檔。

1. 瀏覽至裝置 > 設定檔 & 資源 > 設定檔，從清單中選取要編輯的設定檔。選擇鉛筆圖示 ( )或按一下設

定檔名稱。

2. 前往設定檔頁面的一般索引標籤中，並將啟用排程，並只在選定的時間內安裝設定啟用。

3. 指派的排程設定隨即出現，此時請在下拉式功能表中選擇先前所儲存的時間排程。


刪除時間排程

刪除未使用的時間排程，不要在集合裡囤積。您不能刪除指派給設定檔的時間排程。刪除前，請先從設定

檔取消指派時程。

1. 在要刪除的時間排程旁邊選擇選項按鈕。

2. 選擇刪除按鈕。

檢視裝置指派

在配置完設定檔並顯示檢視裝置指派的頁面後，選擇儲存並發佈按鈕，即可預覽受影響 (或不受影響)的裝置。

指派狀態欄位會反映出各種狀態，取決於您對裝置設定檔所進行的變更。

l 新增的 –該設定檔會被新增和發佈至裝置。

l 移除的 –該設定檔會被從裝置上移除。

l 不變更的 –指出不會排程該設定檔並重新發佈至裝置。

l 更新的 –指出該設定檔會被重新發佈至已指派設定檔的裝置。

選擇發佈來完成變更，並在需要時重新發佈任何必要的設定檔。


141



第 11章：資源在同時支援 iOS、Android與 Windows等多種裝置平台的 Workspace ONE UEM部署中，資源能夠簡化 Wi-Fi、VPN與 Exchange裝載的佈建程序。

請為上述的任何裝載建立資源並定義各裝置平台所接收的一般設定。接著您便可以選擇性地配置特定裝

置的設定，而這些設定將僅套用至上述裝置。

資源可在裝置設定檔中個別定義、管理與部署。部署資源與裝置設定檔即可為您部署中所支援的所有平

台提供既深又廣的裝置管理選項。

您不必使資源來部署 Wi-Fi、VPN或 Exchange設定。您仍能選擇為上述各平台的裝載各自建立裝置設定檔。

若您希望能在各平台之間使用相同或類似的 Wi-Fi、VPN或 Exchange設定，請考慮部署資源。之後如常建立

其他裝置設定檔即可進一步管理各平台的功能。

資源清單檢視

使用資源清單檢視來為您的裝置資源進行新增與管理，包括個別資源配置的檢視、刪除和編輯等等。

新增資源

您可以新增資源，並藉此使用相同的 Exchange、Wi-Fi和 VPN設定來佈建您的多平台裝置團隊。

導覽至裝置 > 設定檔和資源 > 資源，然後選取新增資源。您必須選取下列任一選項來新增資源。

l Exchange –配置 Email設定，以便與 Exchange Email伺服器保持連線。

l Wi-Fi –配置 Wi-Fi連線設定，以便維持網路連線。

l VPN –配置虛擬的私人網路設定，以便保有安全連線。

各資源均有三個不同的配置步驟。藉由指定資源明細、適用的平台，並將資源指派給裝置即可建立裝置

資源。

l 資源明細包含資源的名稱與描述、伺服器依存性，以及其他決定作業方式的重要設定。

l 平台定義了執行裝置資源的平台種類。

l 指派則決定資源的部署方式，包括企業群駔、使用者群組和智慧群組。

142



管理資源

一旦資源收集到了一定程度，只要導覽至裝置 > 設定檔 & 資源 > 資源，即可透過「篩選」、「檢視」、「編輯」

與「刪除」來管理資源。

l 篩選資源清單檢視，即可選擇顯示使用中、非使用中或全部的資源。

l 而選取平台欄中的超連結號碼，即可檢視資源所包含的不同平台。

o 若要開啟資源的進階設定，請選取超連結平台名稱。

o 若要開啟檢視裝置頁面，請在平台頁面的已安裝/已指派欄位選取超連結編號。此頁面會顯示指派

至資源的裝置清單。

o 若要檢視並匯出 XML代碼並上傳憑證，請在平台頁面的 XML欄中按一下檢視超連結。

l 若要編輯資源，請在編輯資源頁面中，針對顯示著資源明細區段的資源，選取其名稱連結。

o 若要編輯資源明細，請按一下資源清單左側的編輯鉛筆 ( )。若要繼續編輯編輯資源頁面中的其

他區段，只需選取下一個按鈕即可。

l 若要編輯資源的指派內容，請選取資源清單左側的選項按鈕，然後按一下編輯指派按鈕。

l 若要刪除資源，請選取資源清單左側的選項按鈕，然後按一下刪除按鈕。刪除資源會將資源設定為非

使用中，直到從裝置中加以移除為止。

新增 Exchange資源

您可以新增一項專用的資源，來為裝置賦予收發安全性 Email通信的手段。如需查看概覽，請參閱資源於

第 142頁。

第 11章：資源

143



1. 導覽至裝置 > 設定檔與資源 > 資源，再依序選取新增資源和 Exchange，並完成下列設定。

設定描述

資源明細

資源名稱 Workspace ONE ™UEM主控台中顯示的設定檔名稱。


連線資訊

郵件用戶端選取要與資源搭配使用的 Email用戶端。

Exchange主機為 Email帳戶輸入要包含在資源中的 Exchange主機。

使用 SSL 為此郵件用戶端啟用安全通訊端層。

進階

網域* 為電子郵件網域輸入查閱值。

使用者名稱* 為電子郵件使用者名稱輸入查閱值。

電子郵件地址* 為電子郵件地址輸入查閱值。

密碼為 Email帳戶輸入密碼。勾選顯示字元方格即可顯示未編輯的密碼。

身份識別憑證選取新增憑證按鈕，上傳並附加憑證授權單位至 Email帳戶。

要同步過去多少天的

郵件

選取要同步的 Email記錄長度。請從 3天、1週、2週、1個月和無限制中加以

選取。

同步行事曆選取此項即可將您的裝置行事曆與 Exchange行事曆同步。在 iOS和 macOS裝置上，此設定預設為啟用。

同步聯絡人選取此項即可將您的裝置聯絡人與 Exchange聯絡人同步。在 iOS和 macOS裝置上，此設定預設為啟用。

*如需詳細資訊，請參閱查閱值於第 190頁。

2. 按一下下一步，繼續選擇平台。請從下列項目中選擇支援的平台，並選擇使用預設設定或進階設定。

l 為 iOS Exchange配置進階設定於第 145頁。

l 為 macOS Exchange配置進階設定於第 145頁。

l 為 Android Exchange配置進階設定於第 146頁。

l 為 Windows Phone Excange配置進階設定於第 147頁。

l 為 Windows Desktop VPN配置進階設定於第 148頁。

3. 按一下下一步，繼續進行指派。

4. 若要將資源指派至裝置，請完成下列設定。

第 11章：資源

144



設定描述

指派類型決定設定檔部署到裝置的方式。

l 自動 –資源會自動部署到所有裝置。

l 選用 –終端使用者可選擇從自助入口網站 (SSP)安裝資源，也可由管理員自行決

定部署至個別裝置。

管理者具備資源管理存取權的企業群組。

已指派的群組指派的群組指的是要加入裝置資源的群組。其中包括建立新的智慧群組之選項，您

可以利用最低作業系統的規格要求、裝置型號、擁有權類別和企業群組等來進行配

置。如需進一步資訊，請參閱指派群組於第 66頁。

排除項目如果選擇是，就會顯示一個新的已排除的群組的文字方塊，讓您選擇想要從此資源

的指派中排除的群組。詳情請參閱在設定檔和原則中排除群組於第 75頁。

檢視裝置指派在指派的群組文字方塊中做出選擇後，可選擇此按鈕預覽會指派此資源的所有裝

置清單，並將智慧群組指派項目和排除項目列入考量。

為 iOS Exchange 配置進階設定

iOS的進階 Exchange設定包含 S/MIME與安全性配置選項，用來為 Email提供適用於特定使用者的憑證式加

密。

設定描述

使用 S/MIME。使用安全多用途網際網路郵件延伸，一種公開金鑰加密和簽署標準。

S/MIME 憑證僅當使用 S/MIME啟用時才能使用此項。若要在 Email新增簽署憑證，選擇

新增憑證。

S/MIME 加密憑證僅當使用 S/MIME啟用時才能使用此項。若要新增加密憑證和經過數位簽

署的 Email，選擇新增憑證。

啟用每個訊息切換。僅當使用 S/MIME啟用時才能使用此項。允許終端使用者透過 iOS本機郵

件用戶端來選擇哪些個別 Email訊息需要簽署並加密 (僅支援 iOS 8以上版

本的受監督裝置)。

設定與安全性

禁止移動訊息。禁止在 Exchange信箱中，將郵件移到裝置的另一個信箱中。

禁止在第三方 APP 中使用。禁止其他 APP使用 Exchange信箱來傳送訊息。

禁止同步處理最近使用的位

址。

禁止系統在您使用 Exchange傳送 Email時提出聯絡人建議。

禁止 Mail Drop 功能。禁止使用 Apple的 Mail Drop功能。

為 macOS Exchange 配置進階設定

若要啟用您的 macOS裝置來擷取 Exchange Email，請配置進階設定。

第 11章：資源

145



設定描述

內部的 Exchange主機供 EAS使用的安全伺服器名稱。當您選擇了本機郵件用戶端，便會出現此選項

與下列各項。

連接埠為指派來與內部 Exchange主機溝通用的連接埠輸入埠號。

內部伺服器路徑供 EAS使用的安全伺服器位置。

内部 Exchange主機使用

SSL。若要與內部 Exchange主機通訊，請啟用安全通訊端層 (SSL)。

外部 Exchange主機。供 EAS使用的外部伺服器名稱。

連接埠為指派來與外部 Exchange主機溝通用的連接埠輸入埠號。

外部伺服器路徑供 EAS使用的外部伺服器位置。

外部 Exchange主機使用

SSL。若要與外部 Exchange主機通訊，請啟用安全通訊端層 (SSL)。

為 Android Exchange 配置進階設定

Android Exchange的進階設定包括同步歷程、限制、同步排程與 S/MIME。配置這些選項才能將 Email傳送至

您的 Android裝置。

設定描述

設定

要同步過去多少天的

行事曆

在裝置行事曆上同步選取的過去天數。

允許同步工作允許工作與裝置同步。

Email 截斷大小上限

(KB)指明在將 Email訊息同步到裝置時，在多大的額度後 Email訊息即會被截斷 (以 kb為單位)。

Email 簽名輸入 Email的簽名，此簽名將顯示在傳出的 Email上。

略過 SSL 錯誤允許裝置在 Agent程序中略過 SSL錯誤。

限制

允許附件允許在 Email中加上附件。

附件大小上限指定附件大小 (MB)的上限。

允許轉寄 Email 允許轉寄 Email。

允許 HTML 格式指定與裝置同步的 Email是否可為 HTML格式。

如果停用此設定，所有 Email都將轉換為文字。

停用螢幕擷取畫面不允許在裝置上擷取螢幕畫面。

同步間隔輸入同步的間隔時間 (分鐘)。

第 11章：資源

146



設定描述

同步排程的尖峰日期

l 排定同步的尖峰日期，以及在指定日期進行同步的開始時間和結束時間。

l 設置同步排程尖峰日期和同步排程離峰日期的頻率。

o 選取自動，則可在每次更新時自動同步電子郵件。

o 選取手動，則只在選取此項時才會同步電子郵件。

o 選取一個時間值，可在指定的排程時間同步電子郵件。

l 啟用使用 SSL、使用 TLS和預設帳戶。

S/MIME 設定

選擇使用 S/MIME，從這裡您可以在認證裝載上，選擇和您有關聯的 S/MIME憑證作為使用者憑證。

l S/MIME 憑證 –選擇要使用的憑證。

l 需要加密的 S/MIME 訊息 –需要加密的 S/MIME訊息。

l 需要簽署的 S/MIME 訊息 –需要經過數位簽署的所有 S/MIME訊息。

如果您使用 S/MIME憑證來加密，請提供移轉主機。

為 Windows Phone Excange 配置進階設定

Windows Phone的進階 Exchange設定包含了同步排程與資料保護設定。配置這些設定以確保 Exchange Email能安全地傳送至您的裝置上。

設定描述

設定

下一次同步

時間間隔 (分鐘)

輸入同步的間隔時間 (分鐘)。

診斷性記錄選取要蒐集診斷性記錄的類型。

內容類型

需要「鎖定下

的資料保護」

在裝置遭到 PIN碼鎖定時保護資料。

當裝置配置為可使用 PIN鎖時，系統便會使用獨立的企業金鑰來將需保護的資料加密。

就算某人獲得了裝置 PIN鎖的存取權，您的企業 Email與資料依舊由獨立的金鑰保護著。

受保護的網

域

僅當需要「鎖定下的資料保護」啟用時，才能使用此項。輸入要保護的 Exchange網域查閱

值。如需詳細資訊，請參閱查閱值於第 190頁。

允許 Email 同步

允許同步 Email。停用此設定將會移除透過 Exchange ActiveSync存取 Email的權限。

第 11章：資源

147



為 Windows Desktop VPN配置進階設定

Windows桌面的進階 Exchange設定包含了同步排程與資料保護設定。配置這些設定以確保 Exchange Email能安全地傳送至您的裝置上。

設定描述

設定

下一次同步時間間隔 (分鐘) 選擇裝置與 EAS伺服器同步的頻率 (分鐘)。

診斷性記錄記錄資訊，供進行疑難排解時使用。

內容類型

允許 Email 同步允許同步 Email訊息。

新增 Wi-Fi資源

您可以新增一個資源，專門用來為裝置提供與無線網路連線的方法，好讓裝置能夠安全地收發資料。

1. 導覽至裝置 > 設定檔與資源 > 資源，再依序選取新增資源和 Wi-Fi，並完成下列設定。

設定描述

資源明細



連線資訊

服務組識別元輸入與所需 Wi-Fi網路名稱 (SSID)有關聯的識別元。

隱藏網路如果網路沒有要開放廣播，請啟用此項。

自動加入自動引導裝置加入網路的設定。

加密使用下拉式功能表欄指定使用 Wi-Fi連線來傳輸的資料是否要加密。

依據安全性類型而顯示。

密碼為 Email帳戶輸入密碼。勾選顯示字元方格即可顯示未編輯的密碼。


l 為 Wi-Fi代理伺服器配置進階設定於第 149頁。

l 為 macOS Wi-Fi配置進階設定於第 149頁。

l 為 Android Wi-Fi配置進階設定於第 150頁。

l 為 Windows Wi-Fi配置進階設定於第 151頁。



第 11章：資源

148



設定描述













為 Wi-Fi代理伺服器配置進階設定

配置進階 Wi-Fi設定，使用代理伺服器將裝置連接到 Workspace ONE ™UEM。

設定描述

代理伺服器類型請在無、手動或自動間擇一。

代理伺服器 URL 僅當代理伺服器類型設為自動時，才能使用此項。為裝置輸入要用來連線的

Wi-Fi代理伺服器 URL。

無法到達 PAC 時允許直

接連線

僅當代理伺服器類型設為自動時，才能使用此項。若要在代理伺服器自動配

置檔案無法存取時允許裝連線，請啟用此項。

代理伺服器僅當代理伺服器類型設為手動時，才能使用此項。輸入要讓裝置連線的代理

伺服器名稱。

代理伺服器連接埠僅當代理伺服器類型設為手動時，才能使用此項。包括代理伺服器的埠號，

裝置將透過這個埠號來與代理伺服器連線。

代理伺服器使用者名稱僅當代理伺服器類型設為手動時，才能使用此項。輸入使用者名稱以供代理

伺服器辨識。

代理伺服器密碼僅當代理伺服器類型設為手動時，才能使用此項。輸入與使用者名稱對應的

密碼。

為 macOS Wi-Fi配置進階設定

配置進階 Wi-Fi設定，使用代理伺服器將裝置連接到 Workspace ONE ™UEM。

第 11章：資源

149



設定描述

設定檔為代理伺服器設定的選取配置的目標。

裝置 –將代理伺服器設定限制於特定的 macOS裝置

使用者 –將代理伺服器設定套用至 macOS裝置的使用者。

勾選兩個方塊即表示要將代理伺服器設定套用至這兩種目標。

代理伺服器

代理伺服器類型請在無、手動或自動間擇一。

代理伺服器 URL 僅當代理伺服器類型設為自動時，才能使用此項。為裝置輸入要用來連線的

Wi-Fi代理伺服器 URL。

無法到達 PAC 時允許直

接連線

僅當代理伺服器類型設為自動時，才能使用此項。若要在代理伺服器自動配

置檔案無法存取時允許裝連線，請啟用此項。

代理伺服器僅當代理伺服器類型設為手動時，才能使用此項。輸入要讓裝置連線的代理

伺服器名稱。

代理伺服器連接埠僅當代理伺服器類型設為手動時，才能使用此項。包括代理伺服器的埠號，

裝置將透過這個埠號來與代理伺服器連線。

代理伺服器使用者名稱僅當代理伺服器類型設為手動時，才能使用此項。輸入使用者名稱以供代理

伺服器辨識。

代理伺服器密碼僅當代理伺服器類型設為手動時，才能使用此項。輸入與使用者名稱對應的

密碼。

為 Android Wi-Fi配置進階設定

Android的進階 Wi-Fi設定包含 Fusion和代理伺服器設定。這些設定可讓您指定無線電頻率、頻譜遮罩和代

理伺服器設定的無線配置。

設定描述

Fusion

包含 Fusion 設定顯示 Fusion功能的主要設定。

設定 Fusion 802.11d/啟用

802.11d使用 802.11d無線規格在法規適用的其他網域中進行作業。

設定國碼 (地區碼)/國碼

(地區碼)設定可使用 802.11d規格的國碼 (地區碼)。

設定 RF 頻帶顯示所有無線電頻率的規格選項，包括 2.4 GHz與 5 GHz的頻道遮罩在內。

設定 2.4 GHz/啟用 2.4 GHz 使用 2.4 GHz無線頻率。

2.4 GHz 頻道遮罩套用 2.4 GHz頻率左右的頻道遮罩或頻譜遮罩，從而減少相鄰頻道的干擾。

設定 5 GHz/啟用 5 GHz 使用 5 GHz無線頻率。

5 GHz 頻道遮罩套用 5 GHz頻率左右的頻率遮罩或頻譜遮罩，從而減少相鄰頻道的干擾。

第 11章：資源

150



設定描述

代理伺服器

啟用手動代理伺服器顯示代理伺服器設定。

代理伺服器請輸入代理伺服器網域名稱。

代理伺服器連接埠請輸入要供代理伺服器使用的埠號。

排除清單輸入要避免由代理伺服器進行路由的主機名稱。請在網域中使用星號作為萬

用字元。例如：*.air-watch.com。

為 Windows Wi-Fi配置進階設定

配置進階 Wi-Fi設定，使用代理伺服器將 Windows裝置 (桌上型電腦和手機)連接到 Workspace ONE ™UEM。

設定描述

代理伺

服器

允許使用代理伺服器來將您的 Windows裝置連線至 Workspace ONE UEM。

URL 僅當代理伺服器啟用時，才能使用此項。為裝置輸入要用來連線的 Wi-Fi代理伺服器 URL。

連接埠僅當代理伺服器啟用時，才能使用此項。包括代理伺服器的埠號，裝置將透過這個埠號來與代

理伺服器連線。

新增 VPN資源

您可新增資源，專用於提供虛擬私人網路 (VPN)。VPN可讓使用者在公用網絡上傳送和接收資料，就像直

接連線到私用網路一樣。

1. 導覽至裝置 > 設定檔與資源 > 資源，再依序選取新增資源和 VPN，並完成下列設定。

設定描述

資源明細



連線資訊

連線類型從下拉式清單中選取安全連線類型。

RFS 輸入伺服器 URL。


l 為 iOS VPN配置進階設定於第 152頁

l 為 Android VPN配置進階設定於第 153頁

l 為 Windows Phone VPN配置進階設定於第 154頁

第 11章：資源

151





設定描述













為 iOS VPN配置進階設定

iOS的進階 VPN設定包含連線與驗證的設定，以及代理伺服器與廠商的配置。需啟用這些設定才能為 iOS配置 VPN。

設定描述

連線資訊

帳戶輸入 VPN帳戶名稱。

閒置時中斷連

線 (以分鐘為單

位)。

允許 VPN在經過了特定的時間後自動中斷連線。此值的支援與否取決於 VPN提供者。

傳送所有流量。選取此項即可強制使用特定網路來傳送所有流量。

按個別 APP 配

置的 VPN 規則

選取此項即可按個別 APP啟用並配置 VPN規則。

自動連接。選取此項以允許 VPN自動連線至 Safari網域。若勾選個別 App VPN 規則勾選方格，將顯

示此選項。

提供者類型選取個別 APP VPP提供者類型。選取 AppProxy或 PacketTunnel，以決定要在應用程式層

或是 IP層透過通道傳送流量。若勾選個別 App VPN 規則勾選方格，將顯示此選項。

Safari 網域請為個別 APP配置的 VPN輸入要自動連線的各個網域。這些網域均為內部站台，且均

能觸發 VPN自動連線。若勾選個別 App VPN 規則勾選方格，將顯示此選項。

驗證

使用者驗證若要驗證終端使用者，可上傳憑證或要求 VPN存取密碼。

第 11章：資源

152



設定描述

群組名稱輸入 Workspace ONE ™UEM群組名稱。

密碼僅當使用者驗證設為「密碼」時才能使用。輸入 Workspace ONE UEM群組名稱的密碼。

身份識別憑證僅當使用者驗證設為「憑證」時才能使用此設定。選取新增憑證即可為憑證命名或上傳

憑證檔，也可以使用憑證範本來選擇現有的憑證授權機構。

啟用隨選 VPN。僅當使用者驗證設為「憑證」時才能使用此設定。啟用隨選 VPN即可使用憑證來自動建

立 VPN連線。

使用新的隨選

鍵。

僅當使用者驗證設為「憑證」時才能使用此設定。啟用此項，即可在終端使用者存取任

何所指定的網域時啟動 VPN連線。

配對網域或主

機。

僅當使用者驗證設為「憑證」時才能使用此設定。輸入網域或主機名稱，當終端使用者

存取這些網域或主機時，觸發 VPN連線。

隨選動作僅當使用者驗證設為「憑證」時才能使用此設定。為特定網域選取隨選動作，當終端使

用者啟動 VPN連線時，這些動作便會發生。可選取 [始終建立]、[從不建立]或 [視需要

建立]。

代理伺服器

代理伺服器選取無、手動或自動。

代理伺服器自

動配置 URL僅當代理伺服器設為自動時，才能使用此項。為裝置輸入要用來連線的 Wi-Fi代理伺服

器 URL。

RFS 僅當代理伺服器設為手動時，才能使用此項。輸入要讓裝置連線的代理伺服器名稱。

連接埠僅當代理伺服器設為手動時，才能使用此項。包括代理伺服器的埠號，裝置將透過這

個埠號來與代理伺服器連線。

使用者名稱僅當代理伺服器設為手動時，才能使用此項。輸入使用者名稱以供代理伺服器辨識。

密碼僅當代理伺服器設為手動時，才能使用此項。輸入與使用者名稱對應的密碼。

廠商配置

廠商鍵使用廠商配置字典建立自訂鍵。

鍵輸入廠商所提供的特定鍵。

值輸入各鍵的 VPN值。

為 Android VPN配置進階設定

Android的進階 VPN設定包括驗證與隨選 VPN，如果要為 Android裝置建立 VPN，就需要加以配置。

設定描述

驗證

身分識別憑證。選取新增憑證即可輸入要用於驗證連線的憑證認證。

認證來源選擇認證來源。選取 [上傳]、[定義的憑證授權機構]或 [使用者憑證]。

認證名稱當認證來源已設為「上傳」時，即可使用此項。輸入已上傳認證的名稱。

第 11章：資源

153



設定描述

憑證當認證來源已設為「上傳」時，即可使用此項。按一下上傳，從您的裝置選取憑證檔

案。

憑證授權單位當認證來源已設為「已定義的憑證授權單位」時，即可使用此項。從下拉式清單中選

取憑證授權單位。

憑證範本當認證來源已設為「已定義的憑證授權單位」時，即可使用此項。此設定會根據您在

憑證授權單位設定中的選擇而自動填入內容。

S/MIME 當認證來源已設為「使用者憑證」時，即可使用此項。選取使用者中心的 [S/MIME簽署憑證]，或者 [S/MIME加密憑證]。

啟用「隨選即用 VPN」

啟用隨選 VPN。啟用隨選 VPN即可使用憑證來自動建立 VPN連線。

輸入 APP名稱並選取放大鏡圖示左側的加號，即可啟用 VPN。您可輸入多個應用程

式。

為 Windows Phone VPN配置進階設定

配置裝置的 VPN設定，確保遠端存取企業基礎結構的安全性。您也可以配置每個應用程式的 VPN連線，限

制通過 VPN的流量。然後將 VPN設置為只要啟動指定的應用程式即自動連線。

設定描述

連線資訊

進階連線設

定

為裝置的 VPN連線配置進階的路由規則。

路由位址選取新增即可為 VPN連線輸入 IP位址以及子網路的前置詞大小。您也可以視需要輸入額

外的路由位址。

當進階連線設定啟用時，即可使用此項。

DNS 路由規

則

選取新增即可輸入用於託管 VPN伺服器的網域名稱。為各個特定網域輸入要使用的網域

名稱、DNS 伺服器和 Web 代理伺服器。

當進階連線設定啟用時，即可使用此項。

路由原則選取允許直接存取外部資源即可允許流量使用本機的網路連線。相對地，選取強制所有流

量經過 VPN則能透過 VPN傳送所有流量。當進階連線設定啟用時，即可使用此項。

代理伺服器選取自動偵錯即可自動偵測 VPN所使用的代理伺服器。選取手動即可配置代理伺服器。當

進階連線設定啟用時，即可使用此項。

Proxy 自動

配置 URL請輸入 URL供 Proxy自動配置使用。僅當代理伺服器設為「自動偵錯」時，才能使用此項。

RFS 請為 Proxy伺服器的配置設定入 URL。

當代理伺服器設為「手動」時顯示

連接埠請輸入要用於存取 Proxy伺服器的埠號。

當代理伺服器設為「手動」時顯示。

第 11章：資源

154



設定描述

允許本機繞

過 Proxy當裝置偵測到其位於本機網路時，即可繞過代理伺服器。

驗證

驗證類型為 VPN選取驗證通訊協定。

l EAP –允許多種驗證方法。

l 機器憑證 –偵測裝置的憑證存放區中有否用於驗證的用戶端憑證。

通訊協定選取 EAP驗證的類型。

l EAP-TLS –智慧卡用戶端憑證驗證。

l EAP-MSCHAPv2 –使用者名稱與密碼。

認證類型選取使用憑證以使用用戶端憑證。選取使用智慧卡以使用智慧卡來驗證。

通訊協定選項設為 EAP-TLS時會顯示。

簡易的憑證

選取項目

簡化使用者所能選取的憑證清單。系統會顯示最近才核發的憑證，並會依核發憑證的實體

分組顯示憑證。

通訊協定選項設為 EAP-TLS時會顯示。

使用

Windows 登入認證

使用與 Windows裝置相同的認證。

通訊協定選項設為 EAP-MSCHAPv2時會顯示。

VPN 流量規則

APP 識別碼輸入應用程式套件的家族名稱，以指定要套用流量規則的 APP。

l 套件家族名稱，例如：WorkspaceONE.MDMAgent_htcwkw4rx2gx4

隨選 VPN 啟動應用程式時，使用 VPN自動連線。

路由原則為 APP選取路由原則。

l 允許直接存取外部資源可同時允許 VPN流量與來自本機網路連線的流量。

l 強制所有流量經過 VPN則會強制所有流量使用 VPN傳送。

第 11章：資源

155



設定描述

VPN 流量篩

選器

為特定的繼承應用程式與現代化應用程式新增流量篩選條件。

選取新增篩選條件即可為路由規則新增篩選條件類型和篩選條件值。僅當流量是來自滿

足上述規則的特定 APP時，才可以透過 VPN傳送。

l IP 通訊協定 –使用 0-255的數值來表示要允許的 IP通訊協定。例如 TCP = 6，而 UDP = 17。

l IP 位址 –使用逗號分隔值清單來指定要允許的遠端 IP位址範圍。

l 連接埠 –使用逗號分隔值清單來指定要允許的遠端連接埠範圍。例如 100-120、200、300-320等等。僅當通訊協定設為 TCP或 UDP時，連接埠才有效。

l 本機連接埠 –使用逗號分隔值清單來指定允許流量通過的本機連接埠範圍。

l 本機位址 –使用逗號分隔值清單來指定允許流量通過的本機 IP位址。

全設備通用

的 VPN 規

則

選取新增即可為所有裝置新增流量規則。

選取新增即可為路由規則新增篩選條件類型和篩選條件值。僅當流量滿足上述規則時，才

可以透過 VPN傳送。

原則

記憶憑證記憶終端使用者的登入憑證。

永遠啟動強制 VPN連線保持啟動，如此便能在網路連線中斷或重新連線時啟動 VPN連線。

VPN 鎖定強制 VPN啟動，如果 VPN未連接，則停用任何網路存取權，並阻止對其他 VPN設定檔連接

或修改。

信任的網路輸入信任的網路位址，並以逗號分開。當系統偵測到信任的網路連線時，就不會啟動 VPN連線。

分割通道允許終端使用者使用分割通道 VPN。

此文字方塊僅適用於 Windows Phone 8.1裝置。

允許本機旁

路

允許本機的內部網路流量繞過 VPN連線。例如當您也在辦公室連線至工作網路時，便不需

使用 VPN連線。


信任網路偵

測

在連線至 VPN時使用信任網路偵測功能。


連線類型選取您要允許的連線類型。

「永遠啟動」功能會使 VPN連線隨時保持執行。


閒置的中斷

連線時間

設定時間上限，指出在自動與 VPN中斷連線前，能在不具連線要求的情況下持續傳遞多

久。


第 11章：資源

156



設定描述

隨選 VPN

允許 APP 選取新增即可定義 APP，使其所有流量均能獲得 VPN的保護。

您可以新增任意數量的 APP。

允許的網路選取新增即可定義網路。

來自配置網路的所有流量均能獲得 VPN的保護。

您可以新增任意數量的網路。

排除的 APP 選取新增即可定義要排除的 APP。

前往該 APP的所有流量均「不能」獲得 VPN的保護。

您可以新增要排除的 APP (不限數量)。

排除的網路選取新增即可定義要排除的網路。

經過已排除網路的所有流量均「不能」獲得 VPN的保護。

您可以新增要排除的網路 (不限數量)。

DNS 尾碼搜

尋清單

選取新增即可定義 DNS尾碼搜尋清單。

DNS尾碼會附加至簡短 URL，以供 DNS解析與連線使用。

您可以新增任意數量的 DNS尾碼。

第 11章：資源

157



第 12章：合規原則合規引擎是一種由 Workspace ONE ™UEM提供的自動化工具，確保所有裝置都遵守您的原則。這些原則可

能包含基本的安全性設定，如要求密碼並設有最短的裝置鎖定期。如為特定平台，您也可以決定是否設

定和強制執行特定預防措施。這些預防措施包含設定密碼強度、將特定 APP列入黑名單，以及要求裝置簽

入間隔以確保裝置安全，並與 Workspace ONE UEM保持連線。

一旦發現裝置不合規，合規引擎就會警告使用者解決合規問題，以避免裝置受到懲戒動作。舉例來說，合

規引擎可以觸發一個訊息來傳送訊息，以告知使用者其裝置已不合規定。

此外，不合規的裝置無法指派裝置設定檔，並且也無法在裝置上安裝 APP。如果在指定時間內沒有更正錯

誤，該裝置便會喪失您所指定之特定內容和功能的存取權。可用的合規原則和動作依平台而異。

倘若問題未被修正，您可以自動啟用升級，例如鎖定裝置並通知使用者與您聯繫以解除裝置的鎖定。這

些升級步驟、懲戒動作、寬限期和訊息都可透過統一端點管理主控台來自訂。

合規性可以兩種方法來衡量。

l 即時合規性 (RTC) –從裝置取得之未排程的樣本，用來判斷裝置是否合規。管理員可以透過隨選方式

來請求這些樣本。

l 引擎合規 –合規引擎是一種軟體算法，這種算法可接收並測量排定時間的範例，主要是決定裝置的合

規性。管理員可以在主控台中定義運行排程器的時間間隔。

行動安全性原則的強制執行程序需要五個步驟。

l 選擇您的平台 –決定您要強制執行合規性的平台。選取平台之後，您絕對不會看到不適用於該平台的

選項。

l 建立您的原則 –自訂您的原則以涵蓋所有應用程式清單、破解狀態、加密、製造廠商、型號和作業系

統版本、密碼以及漫遊等事項。

l 定義升級 –配置以時間 (分鐘、小時或天數)為主的行動，以採取分層漸進的方法來執行這些行動。

l 指定動作 –將 SMS、Email或推播通知傳送給使用者的裝置，或者只向管理員傳送 Email。要求裝置簽

入、移除或封鎖特殊定的設定檔、安裝合規性設定檔、移除或封鎖 APP，以及執行企業抹除。

l 配置指派項目 –依照企業群組或智慧群組來指派您的合規原則，並透過裝置來確認指派內容。

158



合規原則清單檢視

合規原則清單檢視讓您能夠查看所有使用中及非使用中的合規原則及其配置內容。初始註冊時，裝置的

合規狀態會被列於擱置中。建立、儲存和將某原則指派給一個已註冊裝置時，會使裝置的合規狀態變為

合規或不合規。

同樣的，在智慧群組指派中所做的變更，僅會在智慧群組中有新裝置時，將裝置的合規原則變更為擱置

中。已指派給智慧群組的裝置，不會因為其智慧群組擴大 (或縮小)其指派項目而變更其合規狀態。

若要檢視合規原則清單檢視，請瀏覽至裝置 > 合規原則 > 清單檢視。

設定描述

狀態篩選全部、使用中和非使用中狀態之間的清單。

動作功能表檢視並編輯個別的原則、檢視已被指派原則的裝置，並且刪除您不需要再保留的原

則。

合規/不合規/擱置

中/已指派

在此欄列中所標示的數字具有超連結的功能；一旦點選後，便會顯示檢視裝置畫

面，提供您有關所選的合規原則之特定狀態。

已指派狀態是合規、不合規和擱置中的裝置之摘要。

如需進一步資訊，請參閱檢視裝置頁面於第 159頁。

檢視裝置頁面

檢視裝置頁面可用來針對指派至所選原則的各個裝置，檢視其合規細節。當您在合規原則清單檢視中，

選取了合規/不合規/擱置中/已指派任一欄列中所標示的超連結文字數字時，就會顯示此頁面。

若要在這四個狀態中篩選清單，請從狀態下拉式功能表中選取。已指派狀態是合規、不合規和擱置中狀

態的摘要。

狀態欄位中列出三種裝置狀態。

l 合規 –指派的合規原則已確定該裝置處於合規狀態。

l 不合規 –指派的合規原則已確定該裝置處於不合規狀態。

l 擱置中 –已排定時間要將合規原則指派給新註冊的裝置。

您也可以確認裝置的 C/E/S (擁有權)、)、平台/作業系統/型號、企業群組、最後合規性檢查、下一次合規性

檢查和採取的動作。「採取的動作」欄位會列出為處理不合規裝置而採取的動作。

您也可以選擇重新評估某特定裝置的合規性。若要使用合規引擎和重新報告裝置的合規狀態，請選取重

新評估合規性 ( )。

第 12章：合規原則

159



依平台而定的合規原則規則

單一合規原則並不能因應所有平台。新增合規原則頁面以平台為基礎，因此只能看到適用於裝置的合規

原則規則和動作。

使用下列表格來判斷哪些規則可以部署至您的裝置。

合規原則 Android AppleApplemacOS

Chrome作業系統

QNXWindows堅固型

Windows7

Windows電話

Windows桌面型

應用程式清單 ✓ ✓ ✓

防毒狀態 ✓

行動數據使用量 ✓ ✓

行動訊息使用量 ✓

行動語音使用量 ✓

合規屬性 ✓

破解狀態 ✓ ✓ ✓

裝置最後上線時間 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

裝置製造商 ✓

加密 ✓ ✓ ✓ ✓ ✓ ✓

防火牆狀態 ✓ ✓

可用磁碟空間 ✓

iBeacon區域 ✓

互動式憑證設定檔到期

日✓ ✓

上次違規掃描 ✓ ✓

MDM使用條款接受狀態 ✓ ✓ ✓ ✓ ✓ ✓ ✓

型號 ✓ ✓ ✓ ✓

作業系統版本 ✓ ✓ ✓ ✓ ✓ ✓ ✓

密碼 ✓ ✓ ✓ ✓ ✓

漫遊* ✓ ✓ ✓

漫遊行動數據使用量* ✓ ✓

安全性修補版本 ✓

SIM卡變更* ✓ ✓ ✓

Windows自動更新狀態 ✓

Windows正版驗證 ✓

* 備註：僅限電信進階使用者使用。


160



合規原則規則描述

合規原則規則允許您建立為原則構建堅實的基礎，並作為原則的組成部分。隨後的動作、升級與指派都

會以這些規則為基礎。

設定描述

應用程式

清單

偵測已安裝在裝置中的特定黑名單 APP，或偵測所有未列入白名單的 APP。您可禁止某些特

定的 APP (例如社群媒體 APP)以及被廠商列入黑名單的 APP，或僅准許使用您所指定的 APP。您也可以為 APP指定最低的版本需求。

防毒狀態偵測防毒 APP是否正在運作。合規引擎會檢查裝置的行動作業中心是否具有防毒解決方

案。如果行動作業中心並未顯示您的第三方解決方案，系統就會回報為未監控。

行動數據/訊息/語音

使用量

偵測出終端使用者的裝置，在什麼時候超過了指派的電信計劃之特定的閾值。必須先配置

好電信，此原則才能生效。

合規屬性

***將裝置中的屬性鍵與第三方端點安全性進行比對，傳回一個代表裝置合規性的布林值。

破解狀態偵測裝置是否已遭破解。禁止使用已向 Workspace ONE ™UEM註冊的越獄或根破解裝置。

越獄/根破解裝置會除去整體安全性設定，可能會將惡意軟體引入您的網路中，並提供存取

企業資源的途徑。在 BYOD環境下，員工擁有各種版本的裝置及作業系統，所以監控破解裝

置狀態對此環境而言尤其重要。

如需關於使用 VMware之受損裝置偵測的詳細資訊，請參閱以下知識庫文

章：https://support.air-watch.com/articles/115001662748和 https://support.air-watch.com/articles/115001662508。

裝置最後

上線時間

偵測裝置是否未在配置的時間範圍內進行簽入。

裝置製造

商

偵測裝置造商，讓您能夠辨別特定的 Android裝置。您可以特別禁止特定製造商或僅准許您

指定的特定製造商。

加密偵測裝置是否已啟用加密功能。

防火牆狀

態

偵測防火牆 APP是否正在運作。合規引擎會檢查裝置的行動作業中心是否具有防火牆解決

方案。如果行動作業中心並未顯示您的第三方解決方案，系統就會回報為未監控。

可用磁碟

空間

偵測裝置上之可有的儲存空間。

iBeacon 區

域

偵測您的 iOS裝置是否在 iBeacon群組的區域內。

互動式憑

證設定檔

到期日

在指定的時間範圍內，偵測安裝在裝置上的設定檔何時會到期。

上次違規

掃描

偵測裝置是否尚未在指定的時間排程內，呈報其破解狀態。


161






設定描述

接受 MDM使用條款

偵測終端使用者是否尚未在指定的時間內，接受目前的 MDM使用條款。

型號偵測裝置型號。您可以特別禁止特定型號或僅准許您指定的特定型號。

作業系統

版本

偵測裝置的作業系統版本。您可以禁止特定的作業系統，或者僅准許您所指定的作業系統

和版本。

密碼偵測裝置上是否設有密碼。

漫遊* 偵測裝置是否處於漫遊狀態。

漫遊行動

數據使用

量*

針對靜態數據量 (以 MB或 GB為測量單位)來偵測漫遊行動數據的使用量。

安全性修

補版本**偵測 Google上最新的 Android裝置安全性修補日期。

SIM 卡變

更*偵測 SIM卡是否已被取代。

Windows自動更新

狀態

偵測 Windows自動更新是否已被啟動。合規引擎會檢查裝置的行動作業中心是否具有更新

解決方案。如果行動作業中心並未顯示您的第三方解決方案，系統就會回報為未監控。

Windows正版驗證

偵測目前在裝置上所執行的 Windows版本是否為正版軟體。

* 僅限電信進階使用者使用。

** 僅限 Android 6.0或更新版本使用。

*** 僅適用於 Windows 桌面版裝置。


162



依平台而定的合規原則動作

由各平台所支援，且由合規原則所強制執行的動作列示如下。

合規原則動作 AndroidAppleiOS

ApplemacOS

Chrome作業系統

QNXWindows堅固型

Windows7

Windows電話

Windows桌面型

應用程式

封鎖 /移除受管理 APP ✓ ✓ ✓

封鎖 /移除所有 APP ✓ ✓ ✓

指令

變更漫遊設定。 ✓(iOS 5以上 )

企業抹除 ✓ ✓ ✓ ✓ ✓ ✓ ✓

企業重設 ✓ ✓

作業系統更新 ✓

(僅限 DEP)

請求裝置簽入 ✓ ✓ ✓

撤銷 Azure Token*。 ✓ ✓

Email

封鎖 Email ✓ ✓

通知

傳送電子郵件給使用

者**。✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

傳送 SMS簡訊給裝置。 ✓ ✓ ✓ ✓

傳送推播通知給裝置。 ✓ ✓ ✓ ✓ ✓ ✓ ✓

傳送電子郵件給管理

員。✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

設定檔

安裝合規設定檔。 ✓ ✓ ✓ ✓

封鎖 /移除設定檔 ✓ ✓ ✓ ✓ ✓

封鎖 /移除設定檔類型 ✓ ✓ ✓

封鎖 /移除所有設定檔 ✓ ✓ ✓ ✓ ✓

*需要在設定 > 系統 > 企業整合 > 目錄服務 > 進階中啟用「針對 Identity Services使用 Azure AD」。會影響特定使用者的所有裝置，停用所有依賴

Azure Token的 APP。

**包含寄送副本給使用者管理員的選項。

新增合規原則

新增合規原則的程序是由四個區段組成：規則、動作、指派和摘要。並非所有此指南中所描述的功能和選

項都適用於所有的平台。Workspace ONE ™UEM主控台以初始平台可選用的選項作為基礎，因此主控台永


163



遠不會提供您裝置無法使用的選項。

注意 :只有 Motorola裝置支援 Windows堅固型合規 (企業必須執行重設動作才能強制執行合規)。

若要透過設定檔和自動化升級配置合規引擎，請完成合規原則標籤。

1. 瀏覽至裝置 > 合規原則 > 清單檢視，然後選擇新增。

2. 從新增合規原則頁面上選擇平台，以此作為您合規原則的基礎。

3. 依第一個相符規則的任何或全部配置規則標籤，以偵測條件。

l 新增規則 –選取此項，以新增其他的規則和參數。如需詳細資訊，請參閱依平台而定的合規原則規

則及合規原則規則描述於第 161頁。

l 上一步和下一步 –分別選擇回到上一步驟或進展到下一步驟或相關動作。

4. 若要在原則中定義不合規的後果，請完成動作標籤。可用的動作依平台而不同。如需進一步資訊，請

參閱依平台而定的合規原則動作於第 163頁。

5. 指明所要執行的動作和升級行為。如果先前的動作不需使用者採取修正步驟來讓裝置合規，則升級僅

是一個自動化的動作。

選擇選項和要執行的動作類型。

設定描述

動作和升級

標示

為不

合規

勾選

方格

讓您能夠在裝置上執行動作而無需將其標示為不合規裝置。合規引擎透過遵守下列規則來達

成任務。

l 在每項新加入的動作中，將「標示為不合規」的勾選方格預設為啟動 (勾選 )狀態。

l 如果某項動作已啟用「標示為不合規」的選項，那麼所有後續的動作和升級也會被標記為不合規

(勾選 )，而且您也無法編輯這些後續的勾選方格。

l 如果某項動作已停用 (不勾選 )標示為不合規的選項，那麼下一步動作 /升級即會預設為啟用 (勾選 )該選項，但您可以編輯該勾選方格。

l 如果動作 /升級的「標示為不合規」選項已經停用，且裝置沒有通過合規規則，則裝置正式為「合

規」。然後系統就會執行指定的動作。

l 除非有動作 /升級的「標示為不合規」勾選方格已經啟用，否則裝置的狀態就會保持「合規」。只有

這樣裝置才會被視為不合規。

應用

程式

封鎖或移除受管的應用程式。

您也可藉由建立白名單、黑名單或必要的應用程式清單來強制應用程式的合規性。

指令啟動裝置簽入或執行企業抹除。

Email 根據 Email來封鎖使用者。

如果您結合 Email合規引擎使用行動 Email管理，那麼「封鎖 Email」動作就會套用。若要存取此

選項，請瀏覽至 Email > 合規原則 > Email 原則。此動作可讓您使用「裝置合規」原則 (例如：黑名

單 APP)以及任何您所配置之 Email合規引擎原則。選擇此動作後，如果裝置違規時，單一裝置

原則更新會觸發 Email的合規性。


164



設定描述

通知通知某人違反合規。

您可選擇以下選項來寄送通知。

l 傳送電子郵件給使用者。

l 傳送 SMS簡訊給裝置。

l 傳送推播通知給裝置。

l 傳送電子郵件給管理員。

多封電子郵件可插入所提供之副本文字方塊並以逗點分隔。您也可以插入查閱值以寄送副本

給使用者管理員；按一下「副本」文字方塊旁的加號，然後從下拉式功能表中選擇

「{UsersManager}」。如需詳細資訊，請參閱查閱值於第 190頁。

如為所有「通知」動作，您可以選擇使用訊息範本。如要使用此選項，請取消選取預設範本勾

選方格，然後畫面就會顯示下拉式功能表，讓您可以選擇訊息範本。

還有一個連結，若選取，將在新視窗中顯示訊息範本頁面。此頁面可讓您建立自己的訊息範

本。

設定

檔

安裝、移除或封鎖特定的裝置設定檔、裝置設定檔類型，或合規設定檔。

合規性設定檔是以與「自動」和「可選的」裝置設定檔相同的方式來建立和儲存。瀏覽至裝置 >設定檔 & 資源 > 設定檔，然後選取新增、新增設定檔。選取平台，然後在一般設定檔標籤的指

派類型下拉式設定中，選取「合規性」。但是，合規性設定檔只適用於新增合規原則頁面的動

作標籤，當終端使用者違犯合規原則時便可使用。從下拉式清單中選擇安裝合規性設定檔，

然後選擇先前已儲存的合規性設定檔。

僅限升級

新增

升級

按鈕

建立升級作業。在新增升級作業時，最佳作法是每新增一項升級便提高額外的安全性動作。

在特

定的

時間

間隔

之

後 ...

您可將升級的時間延遲幾分鐘、幾小時或幾天。

...執行下

列動

作

重複 –您也可以勾選此方格來選擇要重複此升級動作的次數，之後再開始進行下一個排程動

作。

對於 macOS來說，您僅可執行以下的動作：

l 裝置抹除。 l 傳送電子郵件給管理員。

l 企業抹除。 l 封鎖/移除設定檔。


165



l 傳送電子郵件給使用者。 l 封鎖/移除設定檔類型。

l 傳送推播通知給裝置。 l 封鎖/移除所有設定檔。

提示：查詢不合規的 iOS 7+裝置，以減少使用者使裝置合規和 Workspace ONE UEM偵測到該變更之

間的延遲。您可以透過下列導覽途徑來設定此範例：群組 & 設定 > 所有設定 > 裝置 & 使用者 >Apple > MDM 取樣排程，然後設置不合規裝置取樣。

6. 若要決定哪些裝置應受到合規原則所規管 (而哪些應排除)，請完成新增合規原則頁面的指派與摘要標

籤。

您可以接著使用摘要索引來命名、完成並啟動原則。

設定描述

管理者選擇要管理此合規原則的企業群組。

已指派的

群組

將此原則指派到一或多個群組。如需進一步資訊，請參閱指派群組於第 66頁。

排除項目如果要排除群組，請選擇是。然後，從排除的群組文字方塊中的可用群組清單選取。詳

情請參閱在設定檔和原則中排除群組於第 75頁。

檢視裝置

指派按鈕

查看受到此合規原則的指派所影響的裝置清單。

雖然「平台」是智慧群組的一項準則，但是在裝置設定檔或合規原則中所配置的平台，其重要性始終都

比智慧群組的平台優先。舉例來說，如果某裝置設定檔是為 iOS平台所建立的，即使智慧群組中含有

Android裝置，設定檔還是只會指派到 iOS裝置上。

7. 在您決定此原則的指派後，請選擇下一步。即會顯示摘要標籤。

l 提供此合規原則的名稱和有用的描述。

l 選取下列其中一項：

o 完成 –儲存您的合規原則，但不在指派的裝置上啟動它。

o 完成並啟動 –儲存並將該原則套用至所有受影響的裝置上。

檢視裝置指派

在配置合規原則時來顯示檢視裝置指派的頁面時，請在指派標籤上點選檢視裝置指派頁面。此頁面可以

確認受影響 (或不受影響)的裝置。


166



清單中所出現的裝置，會在指派狀態欄位中顯示下列項目。

l 已新增 –已在列出的裝置中新增合規原則。

l 已移除 –已從裝置中移除合規原則。

l 未變更 –裝置不受合規原則的變更所影響。

點選發佈來完成變更，並在需要時重新發佈任何的合規原則。


167



第 13章：裝置標記裝置標記可讓您辨識特定裝置，不需透過裝置設定檔、智慧群組或合規原則，也不需要建立備註。

舉例來說，如果裝置電池有瑕疵或螢幕受損壞，您可以從 Workspace ONE ™UEM主控台利用標記來識別這

些裝置。另外一種用途是以較明顯的方式來辨識硬體的差異，而不靠型號或描述來分辨裝置。

舉例來說，兩台相同型號的 PC，其 CPU也許會有些差異，或是已有自訂的記憶體容量。標記增強型的硬

體，可以讓您輕鬆辨認這些裝置。

標記和智慧群組

標記功能已與智慧群組整合，表示標記可以用來定義智慧群組。

例如，如果已將裝置團隊中外觀有損壞的裝置都標記出來，則可將智慧群組從這些裝置中刪除。接著可

將智慧群組從暫時指派到網站訪客的裝置集區中排除。

另一個範例是標記出效能不佳的裝置。為這些已標記的裝置建立一個智慧群組，避免在進行重大的指派

工作時誤用這些裝置。

按照標記來篩選裝置

您可在「裝置清單檢視」中使用篩選功能，只顯示那些具有特定標記的裝置。

1. 瀏覽至裝置 > 清單檢視，然後點選篩選條件，顯示裝置清單的左側篩選條件欄位。

2. 從篩選器類別的清單中選取進階，然後選取標記。

3. 按一下搜尋文字方塊的任意處，然後從顯示的裝置標記清單中選取。篩選的結果，未被選取標記的裝

置便會從結果清單中被排除。在選好第一個標記後，裝置清單檢視便會自動更新。

建立新標記

您可建立新標記，以使用比暱稱、裝置設定檔、智慧群組或合規原則還要清楚的方式來協助您識別裝置。

在裝置清單檢視中建立標記。

1. 瀏覽至裝置 > 清單檢視。

2. 在裝置清單的左方，勾選所要的裝置。

168



3. 選取更多，然後再從下拉式功能表中選取新增標記。標記指派頁面即會出現。

4. 選擇新標記。

5. 輸入新標記的名稱，並且選擇色彩。

6. 點選新增來儲存標記。

或者，導覽至群組與設定也可以建立標記。

1. 導覽至群組與設定 > 所有設定 > 裝置與使用者 > 進階 > 標記。

2. 選擇您希望某企業群組能夠擁有的標記，然後選擇新增。

3. 在新增標記的畫面上，輸入標記的名稱。

4. 選取您要新增的標記類別。一般或裝置。

5. 選取儲存。

新增標記

您可以為裝置新增標記以便於識別，而無需使用註解、設定檔、原則，也無需為裝置賦予特別的暱稱。

在單一裝置上新增標記

需微調裝置時，您可以輕易地為裝置新增一或多個標記。

1. 瀏覽至裝置 > 清單檢視，然後選擇您要標記的裝置。您可以利用下列兩種方式之一選取單一裝置，來

顯示傳送和更多動作按鈕。

l 若要顯示明細檢視，請從清單選取裝置。

l 選取在裝置旁的勾選方格。

2. 點選更多動作按鍵，然後選擇新增標記。標記指派的畫面會隨著可用的標記清單一起顯示，讓您套用

在選定的裝置上。

3. 選擇每個要指派給裝置的標記。您可選取數個標記。

4. 選擇儲保，將一或多個標記套用至裝置。

將標記新增至多個裝置

您可以在一或多個裝置新增一個標記 (或多個標記)。新增多個標記至多個裝置可以節省時間。


2. 勾選每個您想要標記的裝置之勾選方格。

第 13章：裝置標記

169



3. 點選更多動作，然後選擇新增標記。標記指派頁面隨即顯示，並且包含可用的標記之清單，讓您能夠

套用到所選的裝置上。

4. 選擇您要指派給所有選定的裝置之標記。您可選取數個標記。

5. 選擇儲存，將一或多個標記套用至裝置。

您是否需要以管理員身分授與權限，而這個管理員身分包含 (或不含)為裝置新增標記的能力？請參閱查

看管理員身分的資源於第 63頁。

管理標記

一旦您累積了數種裝置標記，便能開始編輯現有標記、從裝置移除標記，並且刪除已不再使用的標記。

編輯標記

當您要將標記重新命名、變更標記類型或標記顏色時，您就需要編輯現有標記。

1. 瀏覽至群組 & 設定 > 所有設定 > 裝置 & 使用者 > 進階 > 標記，然後您可點選編輯按鈕或點選您要

編輯的標記名稱。只有目前所選的企業群組與子群組中的標記可以進行編輯。

2. 依照您的喜好變更名稱和類型設定。

3. 選取儲存。

移除標記

如果指派的標記不再適用於裝置，您可以從裝置中移除標記 (或取消標記)。

1. 先瀏覽至裝置的明細檢視。

2. 選取摘要標籤並滑到裝置資訊頁面的下方，您可在此找到所有目前已指派給裝置的標記。

3. 在每個您要移除的標記旁邊，點選 X。

重要提示：從裝置上移除標記 (或取消裝置標記)不表示就已刪除標記。

刪除標記

若有標記並未指派給任何裝置，同時已不再能滿足任何目的，您便能加以刪除。

1. 瀏覽至群組 & 設定 > 所有設定 > 裝置 & 使用者 > 進階 > 標記。

2. 在您要刪除的標記旁邊，點選 X。

第 13章：裝置標記

170



第 14章：管理裝置管理機群中的裝置，並在 Workspace ONE ™UEM主控台中使用許多不同的畫面，在一組特定的裝置上執行

功能。

您可以利用 Monitor來檢查資料流程，並利用裝置儀表板仔細查看您的裝置群。您可以使用裝置清單檢視

來為裝置分組，並建立自訂清單。

您也可以產生報告，並使用標記來輕鬆識別裝置。您甚至可設立自助入口網站 (SSP)，讓終端使用者管理

自己的裝置，以減輕服務台人員的負擔。

裝置儀表板

裝置註冊後，您便可從 Workspace ONE ™UEM的裝置儀表板管理這些裝置。裝置儀表板不但可以提供重要

的監控視角來掌握整個行動裝置團隊的狀況，同時還可讓您針對個別裝置快速採取行動。

171



檢視您團隊中相關裝置資訊的圖形，比如裝置擁有權類型、合規性統計數據，以及平台和作業系統明細

等。若要在顯示的類別中存取各個裝置組，可從裝置儀表板選取任何可用的資料檢視。

從清單檢視中，您可執行各種管理行動：傳送訊息、鎖定裝置、刪除裝置和變更與裝置相關的群組。

l 安全性 –檢視您裝置團隊中造成安全性問題的主要原因。選擇任何一個圓環圖，即會顯示篩選後的裝

置清單檢視，此清單包含所有受到所選安全性問題影響的裝置。若平台支援的話，您便能配置合規性

原則在裝置上採取動作。

o 已破解 –部署中已遭破解 (越獄/根破解)之裝置的數量與百分比。

o 無密碼 –尚未為安全性而配置密碼之裝置的百分比與數量。

o 無加密 –尚未為安全性而加密之裝置的百分比與數量。此數字無法說明 Android SD卡上的加密情

形。只有那些缺乏磁碟加密的 Android裝置才會在圓環圖中回報。

l 擁有權 –檢視在各個擁有權類別中的裝置總數。選擇條狀圖的任一區段，即會顯示一個篩選後的裝置

清單視圖，該視圖含有已受到選定之擁有權類型所影響的裝置。

l 最後上線裝置總覽/明細 –檢視最近與 Workspace ONE UEM MDM伺服器通訊之裝置數目與百分比。例

如，如果超過 30天沒有看到多個裝置，請選擇相應的條狀圖，僅顯示那些裝置。然後，您可以選擇所

有篩選過的裝置，並向這些裝置傳送要求簽到的訊息。

l 平台 –檢視在各個裝置平台類別中的裝置總數。選擇任一圖形，即會顯示一個篩選後的裝置清單檢

視，內含所選平台的裝置。

l 註冊 –檢視在各個註冊類別中的裝置總數。選取任一圖形，即會顯示一個篩選後的裝置清單檢視，內

含所選註冊狀態的裝置。

第 14章：管理裝置

172



l 作業系統明細 –按照作業系統來檢視您團隊中的裝置。Apple iOS、Android、Windows Phone和 WindowsRugged皆有其個別的圖表。選取任一圖形，即會顯示一個篩選後的裝置清單檢視，內含執行所選作業

系統版本的裝置。

裝置清單檢視

選擇裝置 > 清單檢視，在目前所選定的企業群組中查看整個清單中的所有裝置。

最後上線時間欄位顯示的指示器，會顯示從裝置最後一次簽到後所經過的分鐘數。指示燈為紅色或綠

色，視裝置非使用狀態逾時 (以分鐘為單位)所定義的分鐘數而定。若要設定此指示器，請導覽至群組 &設定 > 所有設定 > 裝置 & 使用者 > 一般 > 進階。

您可以隨時在一般資訊欄位中點選裝置的一般資訊，來開啟該裝置詳細資料的頁面。

依照特定的資訊，透過欄位和配置資訊篩選條件來檢視裝置的活動。例如，按照合規狀態欄位排序，僅檢

視目前已違規的裝置，並只針對這些裝置採取行動。搜尋所有裝置的暱稱或使用者名稱，來隔離某台裝

置或某位使用者。

為裝置的清單檢視自訂配置

選取版面配置按鈕然後選擇自訂選項，即可在裝置清單檢視中顯示可看到的欄位完整清單。此檢視可讓

您根據偏好顯示或隱藏裝置清單欄位。

您也可以選擇將您自訂的欄位檢視，套用在現有企業群組 (OG)與其下層群組中的所有管理員。舉例來

說，您可以從目前 OG與其下層所有 OG的裝置清單檢視中隱藏「資產編號」。

完成所有自訂項目後，選擇接受按鈕來儲存您各項欄位的偏好並套用此新欄位檢視。您可以隨時回到版

面配置按鈕設定，調整您的欄位顯示喜好。

在裝置清單檢視中搜尋

您可以搜尋某項裝置，以便快速存取裝置上的資訊，並在裝置上進行遠端操作。

若要執行搜尋，請瀏覽至裝置 > 清單檢視，然後選擇搜尋清單列並且輸入使用者名稱、裝置暱稱或其他可

用於辨別裝置的元素。此動作會在目前的企業群組及所有子群組內，透過搜尋參數，開始搜尋所有的裝

置。

裝置清單檢視中的暫留快顯視窗

一般資訊欄中的每個裝置在裝置暱稱旁邊右上方的資料夾形狀中都會有工具提示圖示。若輕觸此圖示

(行動觸控裝置)或滑鼠游標暫留在圖示上 (PC或 Mac)，將會顯示暫留快顯視窗。此快顯畫面包含的資訊包

括暱稱、企業群組、群組 ID、管理和所有權。

在裝置清單檢視中的註冊和合規狀態欄位中可找到類似的工具提示圖示。這些工具提示圖示分別顯示註

冊日期和合規違規的暫留快顯視窗。

在清單檢視中篩選裝置

您可以套用篩選條件，只檢視您想關注的裝置。請選取篩選條件按鈕，以啟用下列一或多項篩選條件，只

檢視符合所選類別的裝置。


173



設定描述

管理顯示受到 APP 層級管理的裝置，或由Catalog、Container或 MDM管理的裝置。顯示以未知方式管

理、處於離線狀態，或接受所有管理方式管理的裝置。

擁有

權

顯示具有以下擁有權層級的裝置：公司專用、公司共用、員工自用或未指派。您可以一次篩選一

或多個擁有權層級。

智慧

群組

顯示屬於所選智慧群組的裝置。按一下搜尋文字方塊，然後從出現的智慧群組清單中選取。向下

捲動以檢視以字母順序排列的智慧群組清單。

使用

者群

組

顯示屬於所選使用者群組的裝置。按一下搜尋文字方塊，然後從出現的使用者群組清單中選取。

向下捲動以檢視以字母順序排列的使用者群組清單。

裝置

類型

平台從完整的裝置平台清單中選取。您可以一次篩選多個平台。

作業

系統

版本

您必須先至少選取一個平台，才能選取作業系統版本。選取多個平台時，會顯示依每個選取的平台分組

的作業系統版本清單。

安全

破解選取已破解、未破解、未知，或以上全部。

已破解的裝置是指經過「越獄」(iOS裝置 )或「根破解」(Android裝置 )的裝置。

加密選取已加密、未加密、未知，或以上全部。

密碼選取密碼、無密碼、未知或全部的密碼選項。

狀態

註冊

狀態

選取已註冊、企業抹除擱置中、裝置抹除擱置中、取消註冊或以上全部。

最後

上線

時間

根據上次簽入時間顯示裝置。使用最後上線時間 (天數 )選項內的最小值和最大值文字方塊，顯示一定

天數內的最後上線裝置。包含輸入的數字：如果輸入 1，會顯示距離上次上線已超過 1天，但未滿 2天的

所有裝置。如果輸入 2，會顯示距離上次上線已超過 2天，但未滿 3天的所有裝置。依此類推。如果輸入

零，會顯示距離上次上線已超過 0天，但未滿 1天 (24小時 )的所有裝置。

若要顯示最後上線時間早於 (或等於 )所輸入最大天數的裝置，請將最小值文字方塊保留空白。

若要顯示最後上線時間晚於 (或等於 )所輸入最小天數的裝置，請將最大值文字方塊保留空白。

合規

性

選取合規、不合規、等候合規性檢查、不適用、未知，或以上全部。

註冊

記錄

從過去一天、過去一週、過去一個月或所有註冊日期中選取。

進階

MAC位址

依裝置的媒體存取控制位址來篩選。


174



設定描述

IP範

圍

依目前指派的網際網路通訊協定位址來篩選裝置。在 IP範圍起始值和 IP範圍結束值的文字方塊內輸入

IP位址，以顯示落在該範圍內的裝置。

目前的 IP位址可能為眾多與裝置相關的 IP位址之一。您可以在「裝置明細」的「網路」標籤中找到

大多數 IP位址。由於裝置可能回報多個不同的 IP位址，篩選中使用的 IP位址不一定是「裝置清單

檢視」資料格內顯示的 IP位址。

標籤依指派的標記來檢視裝置，且您可以從下拉式功能表搜尋和選取這些標記。

Tunnel 選取要顯示所有裝置、連線至通道的裝置，還是未連線至通道的裝置。

內容

合規

性

選取要顯示所有裝置、只有缺少必要文件的裝置，或是只有缺少最新版必要內容的裝置。

遺失

模式

檢視所有裝置，或只有已啟用遺失模式的裝置。僅適用於 iOS裝置。

選取多項篩選條件後，您可以查看篩選條件按鈕右側的圓形號碼徽章，以瞭解產生的清單中套用了多少

篩選條件。

您可以選取篩選條件按鈕旁的「X」，藉此清除所有選取的篩選條件，並返回完整裝置清單。

從清單檢視新增裝置

可以新增或登記裝置，並包括其使用者指派、自訂屬性和標記等資訊。若要從裝置 > 清單檢視或裝置 > 生

命週期 > 註冊狀態新增裝置，請採取下列步驟。


175



1. 選取新增裝置按鈕。新增裝置頁面即會出現。在使用者標籤中完成下列項目。

設定描述

使用者

搜尋文字各裝置都需指派使用者。在此文字方塊中輸入搜尋參數並選取搜尋使用者按鈕來搜

尋某使用者。您可以從搜尋結果中選取使用者，也可以選取建立新的使用者連結。

建立新的使用者

安全性類型請選取基本使用者或目錄使用者。如需更多資訊，請參閱基本使用者驗證於第 35頁和具有 LDAP驗證的 Active Directory於第 36頁。

使用者名稱輸入要用來在 Workspace ONE ™UEM環境中識別使用者的使用者名稱。

密碼、確認密

碼

輸入並確認與使用者帳戶對應的密碼。

Email 地址為使用者帳戶輸入 Email地址。

註冊企業群

組

作為裝置註冊之註冊企業群組 (OG)的 OG。

顯示進階使

用者詳細資

料

顯示所有進階使用者詳細資料，包括有使用者名稱、使用者電話號碼和管理員名稱

的完整資訊。另外也包括選擇性識別設定，例如：部門、員工 ID和成本中心。

為您新增的使用者選取預設使用者角色，以決定在使用已連結的裝置時，該名使用

者應具有何種權限。如需進一步資訊，請參閱使用者身份於第 56頁。

裝置

預期的暱稱為出現在裝置清單檢視中的裝置輸入名稱。您也可以整合查閱值。如需詳細資訊，請

參閱查閱值於第 190頁。

企業群組從與裝置有關聯的下拉式功能表中選取企業群組。

擁有權從下拉式功能表中選擇裝置所有權。請選取無、公司專用、公司共用或員工自用。

平台從下拉式功能表為裝置選取平台。

顯示進階裝

置

資訊選項

顯示所有進階裝置資訊設定。

進階裝置資訊設定

型號從下拉式清單中選擇裝置型號。下拉式功能表的內容取決於您在平台下拉式功能表

中所作出的選擇。

作業系統從下拉式清單中選擇裝置的作業系統。下拉式功能表的內容取決於您在平台下拉式

功能表中所作出的選擇。

UDID (UniqueDeviceIdentifier)

輸入裝置的唯一識別碼。

序號輸入裝置序號。


176



設定描述

IMEI 輸入裝置的 15位數的國際行動裝置識別碼 (InternationalMobile Station EquipmentIdentity)。

SIM 輸入裝置的 SIM卡規格。

資產編號輸入裝置的資產編號。該編號由企業內部建立，而此設定則是專為保留此資料點而

提供的。

傳訊

訊息類型選取您要在 Workspace ONE UEM環境註冊成功時，傳送至裝置的訊息類型 (無、SMS或電子郵件)。

Email 地址輸入您要傳送註冊訊息的 Email地址。

僅當已將訊息類型選為 Email時，才能使用此文字方塊。

Email 訊息範

本

從下拉式功能表中選擇 Email範本。您可以透過連結來開啟訊息範本頁面，並在其中

建立 Email訊息範本。

電話號碼輸入您要傳送 SMS文字訊息的電話號碼。

僅當已將訊息類型選為 SMS時，才能使用此文字方塊。

SMS 訊息範本從下拉式功能表中選擇 SMS範本。您可以透過連結來開啟訊息範本頁面，並在其中

建立 SMS訊息範本。

2. 選擇性地為裝置指派自訂屬性。點選新增按鈕並提供屬性與其數值。

3. 選擇性地為裝置指派標記。點選新增按鍵並從下拉式功能表中選取您要指派的標記。

4. 選取儲存。

取消註冊的裝置

如果取消註冊的裝置過去曾經登錄過或曾處於註冊狀態，您就能在 Workspace ONE™UEM主控台檢視這些

裝置的資訊。您也可存取裝置從 UEM主控台取消註冊之前所作的疑難排解記錄。

取消註冊的狀態

取消註冊的裝置是指具有以下三種情況之一的裝置。

1. 裝置剛新增至 Workspace ONE UEM但尚未登錄、註冊及受到管理。此情況的裝置不會顯示在 UEM主控

台中。

2. 新裝置已開始 Workspace ONE註冊程序，並已透過 UEM主控台登錄，但尚未註冊完成。此情況通常會

發生在需要大量註冊裝置，且僅限已登錄裝置註冊的時候。允許已登錄裝置進行註冊的是裝置白名單

機制。處於此狀態的裝置會顯示在 UEM主控台中，並標示為「取消註冊」。由於已登錄的裝置通常屬於

註冊程序的一部分，因此裝置不會維持在這個情況太久。

3. 裝置曾經在 Workspace ONE UEM console中完整註冊，但又從 UEM主控台中刪除。此動作會將其從所有

裝置管理功能移除。在此情況下，裝置仍會登錄在 UEM主控台，且仍列於白名單內。此外，裝置在

UEM主控台中也會呈現「取消註冊」狀態，因此可以輕鬆地重新註冊。裝置可無限期維持此情況。

您最多可在此白名單中保留約 150,000部裝置。若您需要保留更多裝置，請聯絡支援部門。


177



您可以隨時移除任何屬於白名單裝置的登錄記錄，此舉會讓裝置在 UEM主控台內呈現不顯示及未知

的狀態 (維持情況 1)。在此情況下的裝置可於未來進行註冊。

或者，您可以將裝置從白名單中移除，然後新增至黑名單。如此可避免此裝置於日後進行註冊，有效

地在您的機群中禁用該裝置。

取消註冊前所作的疑難排解記錄

您可存取裝置取消註冊前所作的疑難排解/指令記錄。這些記錄能協助您全盤瞭解裝置歷史記錄。若要檢

視疑難排解/指令記錄，請採取下列步驟。


2. 選取您已知先前已取消註冊的裝置。您可選擇篩選清單檢視，讓清單僅顯示狀態為取消註冊的裝置。

選取裝置時，系統會顯示詳細資訊檢視。

3. 選取更多索引標籤下拉式清單，然後再依序選取疑難排解和指令索引標籤。

如果您不想將先前取消註冊的裝置再重新註冊到同一個客戶企業群組，可考慮永久刪除裝置記錄，如此

一來，重新註冊時，裝置的歷史記錄便會是已清空狀態。請聯絡 Workspace ONE支援人員進行安排。

裝置清單檢視中的大量動作

篩選裝置子集後，若要執行大量動作，可先選取裝置，再從動作按鈕叢集選取動作。

如需進一步資訊，請參閱在裝置清單檢視中選取裝置於第 179頁。

大量動作只能在 [裝置清單檢視]中使用，而且您必須先從系統設定中啟用 (群組與設定 > 所有設定 > 系統

> 安全性 > 受限動作)。密碼保護動作需要 PIN碼才能執行。

在清單檢視中選好裝置後，所選裝置的數目會顯示在動作按鍵旁邊。此數目也包括選定之已篩選裝置。

裝置清單檢視中的大量管理限制

您可以限制能夠接受大量動作指令的裝置總數，從而確保在管理大型的裝置團隊時能順利作業。

若要變更這些限制，請導覽至群組與設定 > 所有設定 > 裝置與使用者 > 進階 > 大量管理。

當您已備妥大量管理限制，而且已選好多個裝置時，「所選項目的數量」的旁邊便會出現一個連結：由於大

量的限制，某些動作已被停用。。

將裝置清單檢視中的大量動作警告排入佇列

大量動作需要一些時間來處理。如果您啟動一個新的大量動作，而 Workspace ONE ™UEM主控台又正在處

理現有的大量動作，系統便會出現警告訊息。

正在處理您先前所請求的大量動作。先前的動作完成後，就會執行此請求。您要繼續進行目前

的請求嗎？

選擇是來將新的大量動作加入佇列。選擇否來取消新的大量動作。


178



在裝置清單檢視中選取裝置

若要在頁面中選取個別裝置，只須勾選各裝置左側的勾選方格即可。您也可以跨頁面選取多個裝置。甚

至還可以選取裝置團隊中的所有裝置，不過有可能會觸發受限動作警告。

選取裝置區塊

若要選取連續的裝置區塊，甚至橫跨多個頁面，請勾選區塊起始處的裝置勾選方格。接著，按住 shift鍵，

然後在區塊末尾處勾選裝置勾選方格。此動作類似於 Windows和 Mac環境中的區塊選擇功能，能夠將大

量的動作套用到所選的裝置上。

選取所有裝置

使用全域勾選方格 (在最後上線時間欄位標題的左側)來全選或取消全選清單中的所有裝置。如果您的清

單檢視包含已篩選的裝置清單，您便可使用全域勾選方格來全選或取消全選所有已篩選的裝置。

如果全域勾選方格出現一個綠色的減號 ( )時，則表示至少已選取一個 (而非全部的)裝置。再次點選此圖

示，此圖示便會變成一個勾號 ( )，表示已選取清單中的所有裝置 (已篩選或未篩選的)。第三次選取該圖

示會將其變更為空的勾選方格( )，表示目前並未選取任何清單中的裝置。

如需觀看選取裝置與大量動作的說明影片，請造訪 https://support.air-watch.com/articles/115001664748。

在所選的裝置上所設置之受限動作警告

當您在所選團隊的所有裝置中開始動作時，警告訊息就會顯示。

您正嘗試針對 [所選數量]個裝置執行動作。此動作可能不適用於所有裝置。一些此動作的限

制包括註冊狀態、管理類型、裝置平台、型號或作業系統。

此警告可用來確認一群具有衆多不同特色之製造商、作業系統和功能等大型裝置團隊。這和大量管理限

制及其所產生的任何警告訊息皆無關。如您設有大量管理限制，系統便不會顯示這則受限動作警告訊息。

裝置明細

使用裝置明細頁面來追蹤單一裝置的詳細資訊，並快速存取使用者和裝置的管理動作。

若要存取裝置的明細，可在任一個可用的儀表板上選取裝置的暱稱，或是利用 Workspace ONE ™UEM主控

台上任何可用的搜尋工具。

主頁面具有數個主要區塊。

l 通知標誌 –可顯示出遭破解狀態、違反合規、註冊日期、所選裝置上次顯示時間，以及 GPS/位置服務

可用性 (僅限 Android裝置)。

l 安全性 –顯示安全性設定，例如大家使用哪種管理軟體、密碼狀態和資料防護等。

l 使用者資訊 –顯示基本使用者資訊，包括其全名和 Email。

l 裝置資訊 –顯示裝置明細，例如企業群組、地點、智慧群組、序號、UDID、資產編號、包括電池健康情

形在內的電源狀態 (僅限 Zebra Android裝置)、儲存空間容量、實體記憶體，還有保固資訊。

l 設定檔 –顯示所有設定檔，例如已安裝 (使用中)、已指派 (非使用中)及未納管 (已側載)。

l APP –顯示所有已安裝的 APP，包括自動化 APP和隨選 APP。


179





l 內容 –顯示 Workspace ONE UEM受管理存放庫以及管理員存放庫中由管理員標示為「必要」的內容。

l 憑證 –列出所有已安裝的憑證，包括快要過期的憑證。

l 管理員應用程式 –顯示已安裝的 Workspace ONE Intelligent Hub資訊，包括版本編號。

l Zebra 電池資訊 (僅適用於 Zebra Android裝置) –顯示詳細電池資訊，包括電池健康情形、製造日期、序

號，以及零件編號。

裝置明細儀表板

儀表板會顯示基本裝置資訊，例如裝置類型、裝置型號、作業系統版本編號、所有權類型、裝置動作按鈕

叢集，以及近期清單指示器。

選擇近期清單顯示器的箭號按鈕，就會根據其在已篩選清單檢視中的位置，變更所選裝置。

裝置明細動作按鍵叢集

使用動作按鈕叢集執行常見的裝置動作，包括查詢、傳送 [訊息]、鎖定，以及透過更多動作按鈕所存取的

其他動作。

隨著不同的平台、裝置製造商和型號、註冊狀態，以及特定的 Workspace ONE UEM console配置，會有不同

的裝置動作可供使用。查看第 1頁的＜依平台而定的裝置動作＞以取得管理員可利用主控台來啟動的遠

端動作完整清單。

裝置明細功能表標籤

您可以使用功能表索引標籤來存取特定裝置的資訊，此項資訊會隨著所選裝置平台而有所不同。

功能表標籤描述

摘要檢視一般統計資料，例如註冊狀態、合規性、最後上線時間、GPS可用性、平台/型號/作業系統、企業群組、序號、電源狀態、儲存容量、實體記憶體和虛擬記憶體等。

合規性顯示狀態、原則名稱、過去和未來的合規性檢查日期，以及已在裝置上執行的動作。合

規性標籤包括進階的疑難排解和各種便於使用的功能。

l 有各種可供違規裝置和合規狀態擱置中的裝置所使用的疑難排解功能。您可依每項

裝置的需要評估其合規性 ( )或者取得裝置合規狀態的詳細資料 ( )。

l 具有唯讀權限的使用者可以直接從合規性標籤中檢視特定的合規原則，管理員則可

編寫合規原則。


180




設定檔檢視裝置上目前所有已指派、已安裝及未納管的設定檔。

APP 檢視目前所有已指派和已安裝在裝置上的 APP。

APP 合規性欄會列出不符合 SDK APP合規性設定的 SDK建置應用程式。如要檢視這些設

定，請導覽至群組 & 設定 > 所有設定 > 設定和原則 > SDK APP 合規性

Content 在 Workspace ONE UEM受管理存放庫內，檢視由管理員標示為「必要」之裝置的狀態、類

型、名稱、版本、優先順序、部署、上次更新時間、日期、檢視時間和內容。此標籤也提供

管理動作的工具列 (安裝或刪除)。

位置檢視裝置目前的位置或位置記錄。選取期間或者要在搜尋中回顧位置資料點的時間長

度。請以 5分鐘作為單位來選取自訂期間的長度。您也可以將游標移到地圖中的位置標

記上方，藉此檢閱這些資料點的緯度和經度座標。

若要允許收集位置資料，請導覽至群組與設定 > 所有設定 > 裝置與使用者，並依據特定

平台來選取 Hub 設定頁面。更多有關位置資料及其隱私權的資訊，請見GPS座標的隱私

權最佳作法於第 27頁。

若要編輯所要收集的位置資料點數量，以及兩位置間的最小距離，請瀏覽至群組 & 設

定 > 所有設定 > 安裝 > 地圖。

使用者存取有關裝置使用者的詳細資料，以及在此使用者之下註冊的其他裝置狀態。

更多這些額外的功能表標籤會依據裝置平台而有所不同。

l 網路 –檢視裝置目前的網路資訊 (行動、Wi-Fi、藍牙、IMEI)。

l 安全性 –根據安全性設定，檢視裝置目前的安全狀態。

l 電信 –檢視通話、資料以及訊息傳送與接收的數量。

l 備註 –檢視並新增與裝置有關的備註。例如，備註說明運送狀態或該裝置是否已送

修且不敷使用。

l 憑證 –以名稱和發行者來辨別裝置憑證。此標籤也提供憑證到期日。

l 產品 –檢視佈建於裝置上所有產品套件的完整歷程記錄和狀態，以及任何佈建錯

誤。您也可以強制重新處理 (重新部署)產品。

l 使用條款 –檢視在裝置註冊時所接受的「終端使用者授權合約」(EULA)清單。


181




更多、

繼續

l 警示 –檢視全部與裝置有關的警示訊息。

l 共用裝置記錄 –檢視共用裝置的歷程記錄，包括以往簽入和簽出的記錄，以及目前

的狀態。

l 狀態記錄 –檢視有關註冊狀態的裝置歷程記錄。

l 目標記錄 –檢視主控台、目錄、裝置服務、裝置管理和自助入口網站之記錄。您必須

在設定中啟用「目標記錄」，系統會提供此用途的連結。然後，您必須選取建立新的

記錄按鈕，並選取收集記錄的時間長度。

l 疑難排解 –檢視事件記錄和指令記錄資訊。此頁面具有匯出和搜尋功能，讓您能夠

執行目標搜尋和分析。

o 事件記錄 –檢視詳細的偵錯資訊和伺服器簽入，包括各種事件群組類型、各種日

期範圍、各種嚴重性、各種模組與各種類別的篩選。

在事件記錄清單中，事件資料欄位可能會顯示超連結，它會開啟另一個畫面，顯

示與特定事件相關的詳細資料。這些資訊讓您能夠執行進階的疑難排解功能，

例如決定無法安裝設定檔的原因。

o 指令 –檢視已傳送到裝置，且處於擱置中、已佇列及已完成等狀態之指令的詳細

清單。內含篩選器，供您依據類別、狀態及特定指令篩選指令。

l 附件 –使用此伺服器上的儲存空間供螢幕擷取畫面、文件和連結使用，以進行疑難

排解和其他目的，而不會佔據裝置上的空間。

依平台而定的裝置動作

身為 Workspace ONE ™UEM管理員，您可以對團隊中的個別 (或大量)裝置遠端執行指令，也可以針對不同

平台提供不同動作。這些特定平台的裝置動作及其定義，都是管理員能從 UEM主控台中啟動的遠端指

令。

如需進一步資訊，請參閱裝置動作描述於第 184頁。

動作 AndroidAppleiOS

macOSAppleTV

Chrome作業系統

QNXWindows堅固型

Win 7Windows

電話

Windows桌面型

新增標籤 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Workspace ONE Intelligent Hub (查詢 ) ✓ ✓ ✓ (*)

APP 遠端檢視 ✓ ✓ ✓

APP (查詢 ) ✓ ✓ ✓ ✓ (*) ✓ ✓

書籍 (查詢 ) ✓

取消記錄檔要求 ✓

憑證 (查詢 ) ✓ ✓ ✓ ✓ ✓ (*) ✓ ✓

變更裝置密碼 ✓ ✓

變更企業群組 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

變更擁有權 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓


182




macOSAppleTV

Chrome作業系統

QNXWindows堅固型

Win 7Windows

電話

Windows桌面型

清除啟動鎖定 ✓

清除密碼 (裝置 ) ✓ ✓ ✓ ✓

清除密碼 (Container) ✓

清除密碼 (限制設定 ) ✓

刪除裝置 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

裝置資訊 (查詢 ) ✓ ✓ ✓ ✓ ✓ ✓ ✓ (*) ✓ ✓

裝置抹除 ✓ ✓ ✓ ✓ ✓ ✓ ✓

編輯裝置 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

啟用/停用遺失模式 ✓

註冊 ✓ ✓ ✓ ✓ ✓ ✓

企業重設 ✓ ✓

企業抹除 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

檔案管理員 ✓ ✓

搜尋裝置 ✓ ✓ ✓

iOS 更新項目 ✓

位置 ✓ ✓ ✓ ✓ ✓ ✓

鎖定裝置 ✓ ✓ ✓ ✓ ✓ ✓

鎖定 SSO ✓ ✓

受管的設定 ✓ ✓

標記為勿擾模式 ✓ ✓

覆寫工作記錄層級 ✓

設定檔 (查詢 ) ✓ ✓ ✓ ✓ ✓ (*)

立刻執行佈建 ✓ ✓

全部查詢 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

重新啟動裝置 ✓

登錄管理員 ✓

遠端控管 ✓ ✓ ✓

遠端管理 ✓ ✓ ✓ ✓ ✓ ✓

遠端檢視 ✓

將裝置重新命名 ✓

請求偵錯記錄 ✓

請求裝置簽入 ✓ ✓ ✓ ✓

請求裝置位置 ✓

重新啟動 Workspace ONE Intelligent Hub ✓

安全性 (查詢 ) ✓ ✓ ✓ ✓ (*) ✓ ✓

傳送訊息 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

啟動 AirPlay ✓ ✓


183




macOSAppleTV

Chrome作業系統

QNXWindows堅固型

Win 7Windows

電話

Windows桌面型

啟動 AWCM ✓ ✓

停止 AWCM ✓ ✓

同步裝置 ✓ ✓ ✓

工作管理員 ✓

檢視資訊清單 ✓

暖開機 ✓ ✓

(*)執行查詢全部指令可以滿足此 Windows 7動作，該指令將傳回所有相同資訊，就像分別執行各個查詢指令一樣。

裝置動作描述

檢視可從主控台遠端控制，並在裝置上執行的各種動作的詳細描述。

l 新增標記 –將可自訂的標記指派給裝置，可以用來辨別您團隊中的特殊裝置。

l Workspace ONE Intelligent Hub (查詢) –將查詢指令傳送給裝置的 Workspace ONE Intelligent Hub，以確保可

以安裝並正常運作。

l APP 遠端檢視 –執行一系列已安裝應用程式的螢幕擷取畫面，並將其傳送到 UEM主控台之「遠端檢

視」畫面。您可以選擇螢幕擷取畫面的數目與螢幕擷取畫面相隔的間距期間 (秒數)。

l APP (查詢) –將 MDM查詢指令傳送給裝置，以傳回已安裝的 APP清單。

l 書籍 (查詢) –將查詢指令傳送給裝置，以傳回已安裝的書籍清單。

l 憑證 (查詢) –將 MDM查詢指令傳送給裝置，以傳回已安裝的憑證清單。

l 變更裝置密碼 –用一組新密碼取代任何現有用來存取所選裝置之裝置密碼。

l 變更企業群組 –將裝置的主企業群組變更為另一個已存在的 OG。包含可選取靜態或動態企業群組的

選項。

l 變更擁有權 –在適用的情況下，變更裝置的擁有權設定。選項包括了公司專用、公司共用、員工自有

的或是未分類等。

l 清除啟動鎖定 –清除 iOS裝置上之啟動鎖定。啟用「啟動鎖定」後，使用者需要使用 Apple ID和密碼才能

執行：停用「尋找我的 iPhone」、原廠抹除和重新啟動以使用裝置等的動作。

l 清除密碼 (Container) –清除 Container專用的密碼。用在使用者忘記其裝置容器密碼的情況下。

l 清除密碼 (裝置) –清除裝置密碼。用在使用者忘記其裝置密碼的情況下。

l 清除密碼 (限制設定) –清除可以限制裝置功能的密碼，比如：安裝 APP、供 Safari使用、供相機使用等功

能。

l 刪除裝置 –從 UEM主控台中刪除裝置並解除裝置註冊。此動作會執行「企業抹除」，並移除其在 UEM主控台中的呈現項目。

l 裝置資訊 (查詢) –將 MDM查詢指令傳送給裝置，以傳回裝置上的基本資訊，例如：暱稱、平台、型號、

企業群組、作業系統版本和擁有權狀態等。


184



l 裝置抹除 –傳送 MDM指令，以將所有資料和作業系統中的裝置抹除。一旦執行此動作，日後若要重新

安裝作業系統，則必須進行復原磁碟分割。此動作無法復原。

o 針對 iOS 11和較舊版本的裝置，裝置抹除指令也會抹除與裝置有關的 Apple SIM資料。

o 針對 iOS 11以上的裝置，您可選擇保留 Apple SIM數據方案 (如果裝置中有此方案)的選項。若要這

麼做，請先選取 [裝置抹除]頁面上的保留數據方案核取方塊，然後再傳送裝置抹除指令。

o 針對 iOS 11.3+裝置，您有一個額外的選項，能夠在傳送裝置抹除指令時啟用或停用略過近接設定

畫面。啟用此選項後，「設定輔助程式」中將略過「近距離感應設定」畫面，讓裝置使用者不會看到

「近距離感應設定」選項。

l 編輯裝置 –編輯裝置資訊，例如：暱稱、資產編號、裝置擁有權、裝置群組和裝置類別等。

l 啟用/停用遺失模式 –使用此項即可鎖定裝置，並將一則訊息、一個電話號碼或一段文字傳送至鎖定

畫面。使用者無法停用遺失模式。管理員停用遺失模式後，裝置的功能便可正常使用。使用者會收到

一則訊息，告訴他們系統已經開始共用裝置的位置資訊。(iOS 9.3以上監督模式)

o 要求裝置位置 –進入遺失模式時查詢裝置，然後使用位置標籤來尋找裝置。(iOS 9.3以上監督模式)

l 註冊 –傳送訊息給裝置使用者，以便註冊其裝置。您也可以選擇使用有包含註冊資訊 (比如逐步說明

和有用連結)的訊息範本。此動作只用在未註冊的裝置。

l 企業重設 –透過企業重設將裝置重設為原廠設定，只保留 Workspace ONE UEM的註冊。

l 企業抹除 –將裝置進行企業抹除，會解除註冊並移除所有受管的企業資源，包括應用程式和設定檔。

此動作無法復原，必須重新註冊才能再讓 Workspace ONE UEM管理此裝置。包括防止將來重新註冊的

選項，以及可讓您新增任何與動作有關之重要詳細資料的備註描述欄位。

o 雲端加入網域的裝置不支援企業抹除。

l 檔案管理員 –在 UEM主控台內啟動檔案管理員，讓您可以遠端檢視裝置內容、新增資料夾、進行搜尋

和上傳檔案等。

l 尋找裝置 –傳送簡訊給適用 Workspace ONE UEM應用程式，同時也一併傳送音效 (可選擇音效重複的次

數，以及兩次音效之間的間隔時間 (秒))。此音效可以幫助使用者找到誤置的裝置。

l iOS 更新 –將作業系統更新推送至一或多個 iOS裝置。僅有受監督、透過 DEP註冊且 iOS版本為 9以上

的裝置可以使用此項。

l 位置 –透過以 macOS Workspace ONE Intelligent Hub啟用的裝置 GPS功能，在地圖上顯示裝置，藉此指明

裝置位置。此功能需要使用者在 macOS系統偏好設定中核准才能啟用。

l 鎖定裝置 –傳送 MDM指令以鎖定選取的裝置，使其呈現無法使用直至解除鎖定。

l 鎖定 SSO –將裝置使用者鎖在 Workspace ONE UEM容器及所有相關的 APP之外。

l 受管設定 –啟用或停用語音漫遊、數據漫遊以及私人熱點。

l 標記為勿擾模式 –將裝置標記為勿擾模式，禁止接收訊息、Email、設定檔，以及透過其他任何類型傳

入的互動。僅有那些「標記為勿擾模式」的裝置可使用清除勿擾模式，用來移除該限制。

l 覆寫工作記錄層級 –覆寫所選裝置之工作事件層級記錄的目前指定層級。此動作會設定藉由產品佈建

推送的工作記錄詳細資訊，並覆寫目前在 Android Hub設定中配置的記錄層級。您可以在動作畫面中


185



選取下拉式功能表的重設為預設項目，來清除工作記錄層級覆寫功能，或者在 Android Hub設定的 [產品佈建]類別中變更工作記錄層級。

l 設定檔 (查詢) –將 MDM查詢指令傳送給裝置，以傳回已安裝的裝置設定檔清單。

l 立即佈建 –在裝置上佈建產品。佈建功能可以將有條理之檔案、動作和應用程式的安裝程序建立為單

一的產品，再推播給裝置。

l 全部查詢 –將查詢指令傳送到裝置，以便傳回已安裝的 App (如果適用的話，也包括 Workspace ONEIntelligent Hub)、書籍、憑證、裝置資訊、設定檔和安全措施等清單。

l 重新啟動裝置 –從遠端重新啟動裝置，與關閉電源並重新開啟的效果一樣。

l 登錄管理員 –在 UEM主控台內啟動登錄管理員，讓您能夠遠端檢視裝置的作業系統登錄情形、新增金

鑰、進行搜尋和新增內容等。

l 遠端控制 –使用此動作來遠端控制可支援的裝置，即可啟動主控台應用程式，並讓您能夠在裝置上執

行支援動作與進行疑難排解。

l 遠端管理 –使用此動作來遠端控制可支援的裝置，即可啟動主控台應用程式，並讓您能夠在裝置上執

行支援動作與進行疑難排解。

l 遠端檢視 –啟用裝置輸出的串流功能來將其傳送至您選擇的目的地 (包括 IP地址、連接埠、音訊連接

埠、密碼和掃描時間等)，讓您可以查看使用者操作裝置時所看到的畫面。

l 重新命名裝置 –在 UEM主控台中變更裝置的好記名稱。

l 請求裝置記錄 –在所選裝置上請求偵錯記錄，然後點選更多標籤並選擇附件 > 文件，您即可檢視記

錄。該記錄是以文字檔形式傳送，並可用來進行疑難排解及提供支援用途。

l 要求裝置簽入 –要求所選裝置本身在 UEM主控台中簽入。此動作會更新最後上線時間的欄位狀態。

l 重新啟動 Workspace ONE Intelligent Hub –重新啟動 Workspace ONE Intelligent Hub。在註冊程序或子模組

的安裝程序被中斷時，可用來執行疑難排解。

l 安全性 (查詢) –將 MDM查詢指令傳送給裝置，以傳回使用中安全措施的清單 (裝置管理員、加密、密

碼、憑證等)。

l 傳送訊息 –傳送訊息給所選裝置之使用者。選擇電子郵件、推播通知 (透過 AirWatch Cloud Messaging)或是 SMS。

l 啟動 AirPlay –從裝置串流視聽內容至 AirPlay鏡射目的地。必須提供目的地的 MAC位址 (格式為

「xx:xx:xx:xx:xx:xx」，不區分大小寫)。如有必要，也可以指定密碼。「掃描時間」用來定義搜尋目的地時所

要花費的時間，以秒為單位 (10至 300秒)。需要使用 macOS 10.10或更高版本。

l 啟動/停止 AWCM –啟動/停止所選裝置的雲端傳訊服務。VMware AirWatch Cloud Messaging (AWCM)讓終

端使用者不需要再存取公用網際網路或使用客戶帳戶 (例如 Google ID)，以此簡化了在 AirWatch管理主

控台上傳送訊息和指令的方式。

l 同步裝置 –將所選裝置與 UEM主控台進行同步處理，使其與最後上線狀態一致。

l 工作管理員 –在 UEM主控台內啟動工作管理員，讓您可以遠端檢視裝置目前運作中的工作，包括工作

名稱、程序 ID和您可以執行的適用動作。


186



l 檢視資訊清單 –以 XML格式在 UEM主控台上檢視裝置的套件資訊清單。在 Windows堅固型裝置上的

資訊清單，列出了小工具和 APP的中繼資料。

l 暖開機 –無須執行開機自我測試 (POST)即可重新啟動作業系統。

註冊狀態

使用註冊狀態頁面，即可存取個別裝置的註冊狀態資訊、大量匯入和登記裝置、將裝置列入白名單和黑

名單，以及撤銷和重設裝置 Token。

選取裝置 > 生命週期 > 註冊狀態，透過目前所選的企業群組中之裝置狀態，來查看整個裝置的清單。

依照特定的資訊，透過欄位和配置資訊篩選條件來檢視裝置的活動。例如，按照 Token 狀態的欄位來排

序，僅檢視登記不適用的裝置，並只對這些特定的裝置採取行動。搜尋所有裝置的暱稱或使用者名稱，來

隔離某台裝置或某位使用者。

設定描述

篩選條

件

若要篩選整個裝置類別，可使用篩選條件，只查看您感興趣的裝置。

l 註冊狀態

l 平台

l 擁有權

l Token 狀態

l Token 類型

l 來源

l 首次上線時間

新增 l 登記裝置 –您可以登記或新增要註冊的單一裝置。

l 將裝置列入白名單或黑名單 –您可以只允許已識別或已列入白名單的裝置進行註冊。或者

您也可以將裝置列入黑名單，禁止這些裝置註冊。

l 批次匯入 –利用批次匯入畫面匯入多個裝置或多名使用者。

如需進一步資訊，請參閱從清單檢視新增裝置於第 175頁、在黑名單和白名單中新增裝置於第

116頁和批次匯入使用者或裝置於第 50頁。

重新傳

送訊息

將原始訊息重新傳送給使用者，包括自助入口網站的 URL、群組 ID和登入認證。

更多動

作

變更企

業群組

將所選的裝置移到您選定的企業群組。

變更擁

有權

變更所選裝置的所有權類型。


187



設定描述

刪除永久刪除所選裝置的登記資訊。此動作會強制使用者預先登記才能註冊。在適用情況下，您必

須先撤銷 Token，才能刪除裝置登記。

重設

Token重新設定已撤銷或失效的 Token狀態。

撤銷

Token迫使所選裝置的登記 Token失效，以從根本阻斷不受歡迎的使用者或裝置的存取權。

針對重設 Token和撤銷 Token動作，您可選取停用通知使用者設定，以防止系統傳送預設的電

子郵件通知。

選擇多

個裝置

若要對個別裝置或多台裝置採取動作，請勾選每個裝置旁邊的勾選方格並使用動作按鈕。

套用篩選條件以顯示特定一組裝置後，您就能對多個選定的裝置執行批次動作。若要執行此

動作，請選擇裝置，並從重新傳送訊息和更多動作按鈕選擇一個動作。

您可各別勾選方格。若要選取經過篩選的所有裝置組，可勾選位於勾選方格欄上方的全域勾

選方格。

當您為一或多台裝置選擇某項動作時，便會顯示確認畫面，讓您能夠儲存或取消動作。

版面配

置

選取自訂選項，即可顯示可看到的欄位完整清單，或根據您的喜好設定顯示或隱藏欄位。

您也可以選擇將您自訂的欄位檢視，套用在現有企業群組與其下層群組中的所有管理員。

您可以隨時回到版面配置按鈕設定，調整您的欄位顯示喜好。

註冊狀態明細檢視

您可以隨時在一般資訊欄位中點選裝置的暱稱，來開啟該裝置的明細檢視頁面。

您可以從明細檢視，透過點選重新傳送訊息鍵來重新傳送註冊的訊息。您也可以透過選擇編輯登記鍵並

且完成進階裝置資訊的區段來編輯裝置的登記資訊。

明細檢視顯示一系列的標籤，每個都包含有關裝置註冊的資訊。

l 摘要 –檢視登記日期、自從裝置首次出現後的時間、基本的裝置和使用者資訊。

l 使用者 –檢視詳細的使用者資訊。

l 訊息 –檢視傳出的啟動裝置的 Email訊息，包括認證資訊和 QR碼。提供您一個「使用者登記訊息」的資

源，它可在裝置成功註冊後，讓 Workspace ONE ™UEM管理員隱藏訊息標籤。

l 自訂屬性 –檢視有關裝置之自訂屬性。

l 標籤 –檢視有關裝置之標籤。

l 離線註冊 –如果可用，此標籤會允許您在裝置離線時也能將其註冊。當您的排程需使裝置在多數時間

內成為不可用的狀態時 (例如：旅行時)，這個功能特別實用。

抹除保護

從遠端抹除裝置上的公司特權內容稱為「企業抹除」，是一種當裝置失竊時才會採取的步驟。這是一種避

免公司內容落入競爭者手中的保障措施。


188



然而，有時候如合規引擎等排定時間的程序，以及其他自動化指示詞，會抹除多個裝置。作為管理員，您

應事先瞭解這類指令會於何時進入排程，這樣才有機會介入。

可藉由定義抹除閾值，也就是在特定時間內可抹除的最小裝置數量，來配置抹除保護設定。例如，如有超

過 10個以上的裝置在 20分鐘內遭到抹除，您便能將未來的抹除程序都先擱置，直到您驗證抹除指令為

止。

您可檢閱「抹除記錄」，來查看裝置抹除的時間與原因。在檢閱完資訊後，您可以選擇接受或拒絕保留中的

抹除指令，以及解鎖系統來重設抹除的閾值計數器。

為受管裝置配置抹除保護設定

為受管裝置設定抹除閾值，並於抵達閾值時透過 Email通知管理員。您僅可在全域或客戶層級的企業群組

上配置這些設定。

1. 瀏覽至裝置 > 生命週期 > 設定 > 受管裝置抹除防護。

2. 配置下列各項設定。

設定描述

抹除

裝置

輸入抹除的裝置的數量，當作觸發抹除防護的閾值。

在幾

分鐘

內

輸入在幾分鐘內的值，此值表示抹除動作必須在此時限內發生，才會觸發抹除防護功能。

Email 選擇透過 Email寄給管理員的訊息範本。

若要建立抹除防護的訊息範本，請導覽至群組 & 設定 > 所有設定 > 裝置 & 使用者 > 一般 > 訊

息範本，然後選取新增，再選取裝置生命週期作為類別，並選取抹除防護通知作為類型。您可

將下列的查閱值當作是訊息範本的一部分。

l {EnterpriseWipeInterval} –設定頁面中，在幾分鐘內的數值。

l {WipeLogConsolePage} –將您帶入「抹除記錄」頁面的連結。

如需詳細資訊，請參閱查閱值於第 190頁。

收件

者

輸入必須收到通知之管理員的電子郵件地址。這些管理員必須具有「抹除記錄」頁面的存取

權。

如需詳細資訊，請參閱查閱值於第 190頁。

3. 選取儲存。

檢視抹除記錄

您可以檢視抹除記錄頁面，來查看裝置遭抹除的時間與原因。在檢閱完資訊後，您可以選擇接受或拒絕任

何保留中的抹除指令，以及解鎖系統來重設抹除的閾值計數器。

如果系統已被鎖定，頁面最上方便會顯示一個橫幅來指明此狀況。

1. 瀏覽至裝置 > 生命週期 > 抹除記錄。報告裝置抹除記錄資源可管理對 [抹除記錄]頁面的存取，依預設

可供系統管理員、SaaS管理員和 Workspace ONE ™UEM管理員使用。您可以利用建立管理員身份頁面


189



來將此資源新增至任何自訂管理員身份。

如需進一步資訊，請參閱建立管理員身份於第 59頁。

2. 您可以使用下列參數來篩選抹除記錄。

l 日期範圍。

l 抹除類型。

l 狀態。

l 來源。

l 擁有權。

3. 檢視裝置清單並決定抹除目前所顯示的裝置是否正確。裝置擱置動作會顯示「保留中」狀態。達到臨界

值限制之前，遭抹除的裝置會顯示為「已處理」。

a. 如果是有效的抹除，請選取每個裝置，然後從指令清單中選取同意抹除。其狀態就會變為「已核

准」。

b. 如果是無效的抹除，請選取每個裝置，然後從指令清單中選取拒絕抹除。其狀態就會變為「已拒

絕」。

4. 若要重設裝置閾值計數器，並允許抹除指令通過，請選取解鎖系統。此時，系統會允許未來的自動抹

除指令，直到閾值再次超過上限為止。

您僅可以在全域或客戶層級的企業群組上執行這項動作。

查閱值

查閱值是一個變數，用來代表裝置、使用者或網域帳戶的特定資料元素。對於完成程序或填寫表單而言，

查閱值至關重要。

在 Workspace ONE ™UEM主控台的多個不同文字方塊中，您可新增查閱值取代手動輸入的值或靜態值。大

多數情況下，您可用查閱值充當一段未知資訊或無法存取的資訊。

例如，新增裝置畫面是用來新增裝置到您的裝置團隊，而此畫面上可使用查閱值填入的其中一個文字方

塊可以是預期的暱稱。

暱稱代表 UEM主控台中多個不同畫面上的裝置，包括裝置清單檢視和詳細資訊檢視。雖然可手動輸入靜

態暱稱，但您也可使用查閱值將暱稱標準化，使其成為有實用價值的識別碼。

常用的暱稱格式架構如以下查閱值所示：

{EnrollmentUser} {DeviceModel} {DeviceOperatingSystem} {DeviceSerialNumberLastFour}

如果您在預期的暱稱文字方塊中輸入以上查閱值，便會產生如裝置清單檢視中所呈現的暱稱。

jsmith iPad iOS GHKD

此暱稱可直接提供您至少三項實用的資訊；而在結尾處裝置序號的最後四碼則可用來保證其唯一性。


190



資料額外負荷

使用查閱值不會造成裝置記憶體的額外負荷。查閱值本身就是 UEM主控台架構的一部分，因此不會轉移

任何負載到裝置上。

靜態字串與查閱值

一旦在文字方塊中輸入靜態字串，便無法套用查閱值。

例如，假設您有 100台要註冊的裝置，新增前 50個裝置的預期的暱稱時，您可使用手動輸入的靜態字串；

而接下來 50個裝置，您可改用查閱值填入預期的暱稱。這 100台裝置有一半使用靜態暱稱，一半使用查閱

值，在此設定下彼此可理想共存。混合使用靜態字串和查閱值並不會造成任何問題。

不過，您就無法再回到前 50個裝置，以查閱值取代靜態字串。

自訂查閱值

您可使用自訂屬性功能製作專屬的查閱值。接著，您即可按照使用一般查閱值的方式來使用這些自訂查

閱值。如需詳細資訊，請參閱建立自訂屬性於第 195頁。

查閱值清單

若要參照完整的查閱值清單，包括您可在 Workspace ONE UEM中存取查閱值的位置，請參閱

https://support.workspaceone.com/articles/115001663908。


191



https://support.workspaceone.com/articles/115001663908

第 15章：憑證管理當行動化公司機密的內容逐漸成為一種常態，未經授權的存取和惡意的威脅不免也會隨之增加。即使您

使用高強度的密碼來保護自己的企業 Email、Wi-Fi和虛擬私人網路，您的基礎結構仍然很脆弱。您的基礎

結構在遇到暴力攻擊法、字典攻擊和員工錯誤時就非常脆弱。

為了得到更佳的保護，請考慮以數位憑證來保全您的企業資產。憑證能夠提供的驗證、穩定性和安全性層

次，是密碼所無法比擬的。Workspace ONE ™UEM的行動憑證管理，透過整個裝置生命週期的安全性來解

決此問題。

數位憑證清單檢視

憑證核發後，Workspace ONE UEM可讓您透過 Workspace ONE UEM console中的憑證清單檢視，管理已部署的

數位憑證。管理員可以檢視憑證，並按照裝置、授權單位、使用者、設定檔、核發日期等項目來加以排序。

導覽至裝置 > 憑證 > 清單檢視。

撤銷獲更新數位憑證

憑證清單檢視提供部署憑證的摘要，也可讓您以個別方式或大量更新或撤銷憑證。在停用的使用者/裝置

中找到並撤銷所有數位憑證，甚至早在合規到期日之前，就更新/輪換所有 Wi-Fi的驗證憑證。

若要開始該程序，請導覽至裝置 > 憑證 > 清單檢視。

1. 勾選一或多個空白的方格，即可識別並選取要更新或撤銷的數位憑證。

2. 選取您要啟動的動作按鈕：更新或撤銷，以套用動作至所選憑證。

憑證整合資源

您可至以下網址按名稱尋找每份憑證文件：docs.vmware.com。

l 透過 DCOM使用 ADCS的 VMware AirWatch憑證 EOBO – 使用 ADCS透過 DCOM通訊協定設定註冊代理簽署憑證，

並利用 Microsoft的「代表其他人註冊憑證」功能。

l Cisco AnyConnect的 VMware AirWatch憑證驗證 – 設定 Cisco ASA 防火牆和 Workspace ONE UEM，以自動部署並設

定使用外部 CA 驗證功能的 AnyConnect VPN。

192



l Cisco IPSec VPN 的 VMware AirWatch憑證驗證 – 設定 Cisco ASA 防火牆和 Workspace ONE UEM，以自動部署並設定

使用外部 CA 驗證功能的 IPSec VPN。

l EAS的 VMware AirWatch憑證驗證 (使用 ADCS) – 除 CAS外，建立目錄服務、憑證授權單位和電子郵件伺服器之

間的信任。

l EAS的 VMware AirWatch憑證驗證 (使用 NDES-MSCEP) – 設定 Microsoft Exchange Client Access Server (CAS)和Workspace ONE UEM，讓裝置能夠使用憑證進行驗證以連線至 Microsoft Exchange ActiveSync (EAS)。

l EAS的 VMware AirWatch憑證驗證 (使用 SEG) – 設定 Kerberos委派，以啟用使用 Secure Email Gateway的 EAS憑證

驗證。

l VMware Workspace ONE UEM與 Entrust IdentityGuard整合 – 與 Entrust IdentityGuard服務整合。

l VMware Workspace ONE UEM與 GlobalSign整合的指南 – 與 GlobalSign服務整合以核發憑證。

l VMware Workspace ONE UEM Integration with JCCH Guide – 與 JCCH服務整合以核發憑證。

l VMware Workspace ONE UEM透過 DCOM與 Microsoft ADCS整合 – 設定 MS憑證授權單位以透過 DCOM通訊協定使

用直接 CA。自動對行動裝置進行核發、更新和撤銷等程序，以善用數位憑證。

l VMware Workspace ONE UEM透過 SCEP與 Microsoft NDES整合 – 設定 Microsoft憑證授權單位，以透過

NDES/SCEP/MSECP通訊協定整合直接 CA 與 Workspace ONE UEM。

l VMware Workspace ONE UEM與 OpenTrust CMS Mobile 2整合 – 與 OpenTrust CMS Mobile 服務整合。

l VMware Workspace ONE UEM與 RSA PKI整合的指南 – 與 RSA PKI整合以核發憑證。

l VMware Workspace ONE UEM與 SCEP整合 – 使用 SCEP，以在您的 Workspace ONE UEM部署中運用憑證。

l VMware Workspace ONE UEM與 SecureAuth PKI整合的指南 – 與 SecureAuth PKI服務整合以核發憑證。

l VMware Workspace ONE UEM與 Symantec MPKI整合的指南 Guide – 與 Symantec 的 MPKI服務整合。

l EAS的 VMware AirWatch憑證驗證 (使用 SEG和 TMG) – 討論兩種配置 (TMG至 EAS伺服器及 TMG至 SEG至 EAS伺服器 )，並定義設定憑證驗證所需的配置。

o 使用憑證的 VMware Workspace ONE UEMSecuring行動裝置 – 深入瞭解在行動環境中，為何數位憑證的功能不僅

只是內部內容的安全保護。

o VMware Workspace ONE UEM選取 Microsoft CA 部署模式總覽 – 為您提供各種 Microsoft CA 部署模式的總覽，以協

助您選取最適合公司的部署模式。

第 15章：憑證管理

193



第 16章：自訂屬性自訂屬性讓管理員能夠從受管理裝置中摘錄特定的值，並將此值傳回至 Workspace ONE UEM主控台。您也

可以將屬性值指派給裝置，以供產品佈建或裝置查閱值使用。

當使用產品佈建來建立產品時，這些屬性讓您能夠善用規則產生器的優勢。

注意 :只有在「客戶」層級的企業群組中，才能配置和使用自訂屬性 (和規則產生器)。

自訂屬性資料庫

您可將自訂屬性以 XML的檔案形式儲存在裝置上，或是儲存在 Workspace ONE ™UEM主控台伺服器的自訂

屬性資料庫中。當使用資料庫時，您可將自訂屬性當作樣本定期傳送至 Workspace ONE UEM，作為金鑰/數值配對的資產追蹤。如果裝置資料庫中的記錄設定為 'Create Attribute' = TRUE，那麼 Workspace ONE IntelligentHub會自動擷取與自訂屬性範例一起傳送的名稱和值。「金鑰/數值配對」將會顯示在「自訂屬性」標籤下，

該裝置的「裝置明細」頁面中。

建立自訂屬性

建立自訂屬性與值並推播至裝置。建立與之相關聯的屬性和值。如需進一步資訊，請參閱建立自訂屬性於

第 195頁。

匯入自訂屬性

自訂屬性批次匯入功能可讓您將自訂屬性和相應值大量載入系統。在提供的範本中，每欄皆對應一個自

訂屬性，每列則對應到自訂屬性的不同參數。如需進一步資訊，請參閱自訂屬性匯入於第 195頁。

特定平台自訂屬性佈建

您可使用 XML佈建將自訂屬性推送到裝置，以與進階產品佈建功能搭配使用。推送 XML的方法因裝置平

台而異。

194



建立自訂屬性

建立自訂屬性與值並推播至裝置。這些屬性與值控制著產品規則如何充任特定裝置的查閱值。

1. 瀏覽至裝置 > 註冊預備 & 佈建 > 自訂屬性 > 清單檢視。

2. 點選新增，然後選擇新增屬性。

3. 在設定標籤下，輸入屬性名稱。

4. 輸入可辨別此屬性之選擇性的描述。

5. 輸入用於蒐集屬性之應用程式的名稱。

6. 選擇收集規則產生器的值，讓使用者能夠在規則產生器的下拉式功能表中使用該屬性的值。

7. 如果您要在規則生產器中使用屬性的話，請選擇在規則生產器中使用。

8. 選取保存，以避免自訂屬性從 Workspace ONE ™UEM主控台中移除 (除非管理員或 API呼叫明確表示將

其移除)。否則，屬性將依正常狀態被移除。

如果您刪除裝置向 UEM主控台所報告的自訂屬性，UEM主控台仍會有保存的自訂屬性。

自訂屬性的保存僅適用於 Android和 Windows堅固型裝置。

9. 選擇當查閱值使用，即可在 UEM主控台的任何地方都將自訂屬性當作查閱值使用。

例如，您可將自訂屬性當作是裝置暱稱的一部分，以簡化裝置命名。

10. 選擇值標籤。

11. 選擇新增值，以便將某值加入自訂屬性，然後再選擇儲存。

自訂屬性匯入

自訂屬性批次匯入功能可讓您將自訂屬性和相應值大量載入系統。在提供的範本中，每欄皆對應一個自

訂屬性，每列則對應到自訂屬性的不同參數。

使用範本，可透過不同方法匯入自訂屬性，所含的資訊也不同。

警告：必須完全複製每個範本的第一欄語法。語法不正確，可能會導致資料庫發生問題，進而遺失資

料。

範本類型

l 自訂屬性範本 –可讓您定義自訂屬性及其設定。

l 自訂屬性值範本模板 –可讓您定義預先定義的自訂屬性值。

第 16章：自訂屬性

195



l 裝置自訂屬性值 –可讓您根據交互參照 (Xref)值為個別裝置定義預先定義的自訂屬性值。Xref值判斷

接收每個自訂屬性值的個別裝置。

1. DeviceID (裝置註冊時 Workspace ONE ™UEM指派的裝置 ID)

2. 序號

3. UDID (Unique Device Identifier)

4. MAC位址

5. IMEI號碼

匯入檔案前，請先另存為 .csv。

使用自訂屬性來指派企業群組

配置在裝置註冊後，要如何將裝置指派到企業群組的規則。您只能為每個運行的企業群組，建立一個自

訂屬性的指派規則。

1. 確認您目前位於客戶類型的企業群組。

2. 瀏覽至群組 & 設定 > 所有設定 > 裝置 & 使用者 > 一般 > 進階。

3. 將裝置指派規則設為啟用。

4. 將類型設為按自訂屬性編排的企業群組。

5. 選取儲存。

6. 瀏覽至裝置 > 註冊預備 & 佈建 > 自訂屬性 > 清單檢視 > 新增 > 新增屬性，然後建立自訂屬性 (如果您

尚未建立的話)。如需進一步資訊，請參閱建立自訂屬性於第 195頁。

7. 瀏覽至裝置 > 註冊預備 & 佈建 > 自訂屬性 > 自訂屬性指派規則 > 新增規則。

8. 選擇企業群組，規則會將裝置指派給此企群組。


196



9. 選擇新增規則來配置規則的邏輯。

設定描述

屬性/應用程式裝置指派視此自訂屬性而定。

運算子此運算子針對屬性與值做比較，來決定裝置是否符合產品。

當在規則中使用超過一個運算子時，每個運算子之間必須包含一個邏輯運算子。

注意 :小於 (<)和大於 (>)運算子有其限制。此限制包括「小於或等於」和「大於或

等於」等變體。這些運算子具有數學本質，這表示它們可用來比較數字，包括

整數。它們無法用來比較非數值的文字字串。此外，雖然軟體版本常會以號碼

表示，用以指出分級的版本設定系統 (例如 6.14.2)，但此類表示法並非數值，因

為其中包含了多個小數點。這些表示法實際上是文字字串。因此，任何指派規

則若使用大於或小於運算子 (及其變體)來比較含有多個小數點的軟體版本號

碼，將可能導致錯誤訊息。

值在所有適用的裝置中，為該規則所選的屬性值都列於此處。

新增邏輯運算子選擇此項，以顯示邏輯運算子之下拉功能表，比如「和」、「或」、「非」和括弧。允許

使用更複雜的規則。

10. 在配置規則邏輯後，再選擇儲存。

當具有指派屬性的裝置註冊後，規則會將裝置指派給已配置的企業群組。


197



第 17章：自助入口網站Workspace ONE UEM自助入口網站 (SSP)是實用的線上工具，可用來從遠端監視及管理裝置。它可以協助您

降低管理裝置團隊時，不易查見的隱藏成本。藉由賦予裝置的使用者一些執行的能力，指導他們如何執

行這些基本的裝置管理工作，以及如何檢查並修正各種問題等等，都能降低您的企業使用服務台票證和

支援問題的次數。

從裝置上存取自助入口網站

瀏覽至 https://<AirWatchEnvironment>/MyDevice，即可從您的工作站或裝置存取自助入口網站 (SSP)。然而，

如果您所擁有的裝置支援 Web Clip或書籤，那麼您的系統管理員可能早已提供了捷徑，允許您直接存取

SSP。

自助入口網站 (SSP)的自訂內容

若要配置品牌設定，請更改預設的登入頁面背景。

導覽至群組 & 設定 > 所有設定 > 系統 > 品牌，然後在自助入口網站登入頁面背景設定中選取上傳按鈕。

選擇自訂背景圖像，建議大小為 1024x768像素。

產品改進計劃設定

自助入口網站是 VMware產品改善計畫的一部分，您可藉此機會發揮影響力，協助我們改善產品品質與效

率。啟用之後，此方案只會測試實用性資料，這些資料相當重要，有助於我們瞭解客戶的實際需求是否獲

得滿足。

您可隨時選擇加入或退出產品改善計畫，若要加入或退出，請導覽至群組 & 設定 > 所有設定 > 管理員 >產品改善計畫。

若要進一步瞭解此計畫，請參閱 https://resources.workspaceone.com/view/9yfkbk6r2pzldhjlhrz9。

Token型的安全措施


198



https://resources.workspaceone.com/view/9yfkbk6r2pzldhjlhrz9



配置 SSP的預設登入頁面

您也可依照企業和使用者的需求來設定自助入口網站中，所顯示的預設驗證方式。

注意 :內部部署客戶僅能在全域層級中存取此設定。

您可以導覽至以下途徑來執行此設定：群組與設定 > 所有設定 > 安裝 > 進階 > 其他，然後將 SSP 驗證類型

設定為：

l Email –如果您已設立自動探索功能，那麼請提示使用者只要輸入 Email地址。

l 舊版 –提醒使用者輸入群組 ID和認證 (使用者名稱/密碼)。

l 專用 –僅需提醒使用者輸入他們的認證 (使用者名稱/密碼)。此選項為單一客戶的環境，預設了一個單

一的群組 ID。

SSP的「我的裝置」頁面

自助入口網站之我的裝置頁面，提供終端使用者有關其裝置詳細資訊的存取權，並讓使用者能夠執行廣

泛的動作。

顯示的索引標籤與可用的動作依裝置平台而有所不同。請參閱 docs.vmware.com上的適用平台指南。

為 SSP選取語言

自助入口網站自動比對瀏覽器預設語言。但是，您也可在登入畫面選擇語言的下拉式選項中選擇來覆寫

此預設設定。

登入 SSP

使用您原先用來在 Workspace ONE UEM中註冊時使用的認證 (群組 ID、使用者名稱和密碼)來登入。

建立您的 SSP密碼

您可以使用帳戶頁面來變更您 Workspace ONE UEM帳戶的相關密碼。此密碼是供裝置註冊與登入 SSP之用

途。

您可以點選位於自助入口網站畫面右上方的帳戶鍵來變更您的密碼。使用者帳戶顯示頁面，讓您能夠在

目前密碼欄位中點選變更鍵。

在 SSP中選取裝置

在登入 SSP後，我的裝置頁面會顯示與帳戶有關的所有裝置。每台已註冊的裝置會出現在自助入口網站

頁面上方，其專屬的標籤中。選取代表您所要檢視和管理的裝置之標籤。

第 17章：自助入口網站

199



裝置狀態列於標籤之裝置名稱的下方這些狀態包括了已偵測到、已註冊、待註冊、已取消註冊以及企業

抹除擱置中等等。

在 SSP中新增裝置

您可以直接從自助入口網站新增裝置。

1. 在我的裝置頁面點選新增裝置。

2. 填寫必填文字方塊：暱稱、平台、裝置擁有權、訊息類型和 Email 地址。

3. 點選儲存來新增裝置到 SSP帳戶。




注意 :在註冊程序完全結束之前，新增裝置的狀態設為「待註冊」。

SSP中的裝置資訊

當使用者登入 SSP時，主要檢視器就會顯示他們的主要裝置。主要檢視頁面會顯示基本資訊，例如註冊日

期、最後上線時間和裝置的狀態。

當前往詳細資訊按鈕所顯示的標籤包含了所選使用者帳戶中所選裝置的資訊。

l 摘要 –顯示合規性、設定檔、APP、內容、暱稱、資產編號、UDID號碼以及 Wi-Fi MAC位址等摘要資訊。

o 您可選取暱稱欄文字方塊右方的編輯圖示，直接從摘要索引標籤檢視中編輯裝置的暱稱。

注意 :裝置摘要使用者角色資源掌控 SSP中摘要標籤的可見度。如果某使用者的身份檢視，因為被

停用資源限制而無法看到特定資訊 (比如裝置 APP、裝置合規性或裝置設定檔)，那麼通常會在摘要

標籤所顯示的對應資訊也會被隱藏。

請造訪使用者身份和管理員身份，以取得有關限制使用者和管理員身份之資源的詳細說明。

l 合規性 –顯示裝置的合規狀態，包括適用於此裝置的所有合規原則之名稱和層級。

l 設定檔 –顯示所有傳送到您的裝置 (這些裝置已利用您的使用者帳戶註冊)之 MDM設定檔 (包括自動

設定檔)。此標籤同時也顯示了每個設定檔的狀態。

l APP –顯示所有安裝在所選裝置上的應用程式，並提供基本應用程式資訊。

l 安全性 –顯示註冊在您使用者帳戶之下的特定裝置的一般安全性資訊。

SSP中的遠端動作

Workspace ONE UEM為管理員提供數個適用於受管理裝置的遠端動作和選項。然而，即使員工使用的是自

有裝置，有時也可能要存取類似的管理工具。Workspace ONE UEM SSP讓員工在不需要 IT人員協助之下，也


200



可使用一些主要的 MDM工具。如果您啟用該功能，終端使用者便可在網路瀏覽器中執行 SSP及主要的

MDM支援工具。您也可從 SSP中啟用或停用資訊顯示功能，以及執行遠端動作的能力。

您的管理員可決定所選裝置的動作權限，以及在 SSP中的可用動作 (依平台而有所不同)。您能夠在主要的

存取頁面中使用的動作可以分為基本動作和進階動作。

動作權限由管理員決定，因此裝置使用者能執行的可用動作可能有限。請參閱 docs.vmware.com上的適用

平台指南。您也可以在線上說明中搜尋特定平台選項。

SSP中的基本遠端動作

基本遠端動作會出現在自助入口網站中，所選裝置的基本動作子標籤上。可用的動作取決於註冊狀態、

裝置平台和動作權限。

動作描述

變更密

碼

為所選裝置設定新密碼。

清除密

碼

清除所選裝置上的密碼，並提示輸入新密碼。當使用者忘記其裝置密碼且裝置遭鎖定時，此功

能非常實用。

刪除裝

置

從自助入口網站移除裝置。

刪除登

記

從自助入口網站刪除任何擱置中的註冊記錄。

裝置查

詢

要求裝置將豐富完整的 MDM資訊集傳送至 Workspace ONE UEM伺服器。

裝置抹

除

從所選裝置上抹除所有資料，包括所有數據、電子郵件、設定檔和 MDM功能，並且將裝置還原

為出廠預設值。

下載

Hub將 Workspace ONE Intelligent Hub下載至您用來檢視 SSP的裝置上，並加以安裝。

企業抹

除

從選取的裝置中抹除所有企業資料，並從 Workspace ONE UEM中移除裝置。所有在裝置中的企

業資料將一律移除，包括 MDM設定檔、原則和內部用應用程式。裝置將回復到安裝 WorkspaceONE UEM之前的狀態。

尋找裝

置

啟動 GPS功能來找尋遺失或遭竊的裝置。當受到隱私權設定的限制時，就會隱藏此動作。

鎖定裝

置/螢幕

鎖定所選裝置，讓未經授權的使用者無法使用此裝置，這在裝置遺失或遭竊時相當管用。終端

使用者也可使用 GPS功能找到裝置。

鎖定

SSO在此裝置上鎖定 APP的單一登入密碼。下一次開啟 SSO之 APP時，就會提示輸入密碼。

製造聲

響

從遠端啟動裝置的響聲來找尋裝置。


201



動作描述

重新傳

送註冊

訊息

再次將初始註冊電子郵件、SMS簡訊或 QR碼傳送至要登錄的裝置。

基於此為安全性功能，因此重新傳送註冊訊息表單中顯示的電子郵件地址對於以 Token註冊

的帳戶為唯讀狀態。

傳送訊

息

以 Email、電話通知或 SMS簡訊來將訊息傳送到裝置。

設定漫

遊

設定此裝置是否要啟用漫遊功能。

同步裝

置

利用公司最新的原則、內容和 APP來為裝置整裝。

檢視註

冊訊息

查看在 Email、SMS或 QR碼中，實際所包含的初始註冊訊息。

基於此動作為安全性功能，因此不適用於以 Token註冊的帳戶。

注意 :登記與註冊的動作，只有在所選裝置的註冊仍為擱置狀態時，才會顯示在 SSP中。

SSP中的進階遠端動作

進階遠端動作會出現在自助入口網站中，所選裝置的進階動作子標籤上。可用的動作取決於註冊狀態、

裝置平台和動作權限。

動作描述

產生 APP Token 產生可供裝置存取安全應用程式的 Token。

管理 Email 管理連到與 Email 帳戶的裝置。

檢視使用條款檢視此帳戶過去的使用條款

撤銷 Token 撤銷所選應用程式的 Token。

上傳 S/MIME 憑證上傳可供企業 Email 帳戶使用的 S/MIME 憑證。


202



自助入口網站動作表格

每個主要裝置平台支援的基本和進階 SSP動作皆不同。

動作 Android iOSWin電話

macOSWin

行動電話Win 7

Win桌面型

基本操作

變更密碼。 ✓

清除 (SSO)密碼。 ✓ ✓ ✓ ✓

刪除裝置。 ✓ ✓ ✓ ✓ ✓ ✓ ✓

刪除登錄。 ✓ ✓ ✓ ✓ ✓

裝置查詢 ✓ ✓ ✓ ✓ ✓

裝置抹除 ✓ ✓ ✓ ✓ ✓

下載 Hub。 ✓ ✓

企業抹除 ✓ ✓ ✓ ✓ ✓ ✓ ✓

尋找裝置。 ✓ ✓ ✓ ✓ ✓

鎖定裝置 /螢幕。 ✓ ✓ ✓ ✓ ✓

鎖定 SSO。 ✓ ✓

製造聲響。 ✓

重新傳送註冊訊息。 ✓ ✓ ✓ ✓ ✓

傳送訊息。 ✓ ✓ ✓ ✓ ✓ ✓ ✓

設定漫遊。 ✓

同步裝置。 ✓ ✓

檢視註冊訊息。* ✓ ✓ ✓ ✓ ✓

進階動作

產生 APP Token。 ✓ ✓ ✓ ✓ ✓ ✓ ✓

管理電子郵件。 ✓ ✓ ✓

檢閱使用條款。 ✓ ✓ ✓ ✓ ✓ ✓ ✓

撤銷 Token。 ✓ ✓ ✓ ✓ ✓ ✓ ✓

上傳 S/MIME 憑證。 ✓ ✓ ✓ ✓ ✓ ✓ ✓

*基於此動作為安全性功能，因此不適用於以 Token註冊的帳戶。

VMware Content Locker選項

Workspace ONE UEM提供三種面向使用者的功能，方便公司進行內容管理。除了 Workspace ONE UEM主控台

能夠為內容提供的健全配置和管理選項之外，您也可以配置下列面向使用者功能的行為。


203



l VMware Content Locker –允許終端使用者在裝置上存取重要內容的同時，也妥善地保護這些檔案。任何

透過 VMware Content Locker所存取的內容都會在應用程式中開啟，以避免內容在不經許可的情況下被

複製、儲存或共享。

l Content Locker Sync –允許終端使用者在電腦的共享資料夾中新增檔案，再與其「個人內容」存放庫進行

同步。這個資料夾可給予這些使用者在行動裝置的 VMware Content Locker應用程式中，或在自助入口

網站中存取這些檔案的權限。

注意 :下載、安裝和使用這些功能，是取決於使用者的動作。請在適當平台的 VMware Content Locker 終端使用者指南中參考逐步說明。另請參閱《Content APP 桌面版終端使用者指南》，網址為：

https://resources.air-watch.com/view/jshgwzqd2fdcby73ryhf/en。

這些指南位於 docs.vmware.com或 myAirWatch文件存放庫。

如需詳細資訊，請諮詢 Workspace ONE UEM管理員。


204



https://resources.air-watch.com/view/jshgwzqd2fdcby73ryhf/en

VMware AirWatch 行動裝置管理指南...第9章：裝置指派 127 啟用裝置指派 127...

Documents

Transcript of VMware AirWatch 行動裝置管理指南...第9章：裝置指派 127 啟用裝置指派 127...