O Workspace ONE UEM usa grupos organizacionais (GO) para identificar usuários e estabelecer permissões. Quando o Workspace ONE UEM está integrado ao Workspace ONE Access, as chaves da REST API do usuário de inscrição e administrador são configuradas no tipo de grupo organizacional do Workspace ONE UEM chamado Cliente.
Quando os usuários fazem login no aplicativo Workspace ONE Intelligent Hub por meio de um dispositivo, um evento de registro do dispositivo é disparado no Workspace ONE Access. Uma solicitação é enviada para o Workspace ONE UEM para efetuar pull de todos os aplicativos que a combinação de usuário e dispositivo tem direito. A solicitação é enviada usando a REST API para localizar o usuário no Workspace ONE UEM e para colocar o dispositivo no grupo organizacional apropriado.
Para gerenciar grupos organizacionais no Workspace ONE Access, mapeie grupos organizacionais do Workspace ONE UEM para domínios no serviço do Workspace ONE Access.
Se os grupos organizacionais do Workspace ONE UEM não forem mapeados para domínios no serviço Workspace ONE Access, o aplicativo Workspace ONE Intelligent Hub tentará localizar o usuário no grupo organizacional em que a chave da REST API foi criada. Esse é o grupo Cliente.
Usando a detecção automática do Workspace ONE UEM
Certifique-se de que a Detecção Automática esteja configurada no console do Workspace ONE UEM. Configure a Detecção Automática quando um único diretório estiver configurado em um grupo herdeiro para o Grupo organizacional do cliente ou quando vários diretórios estiverem configurados abaixo do grupo Cliente com domínios de e-mail exclusivos.
No exemplo 1, o domínio de e-mail da organização está registrado para detecção automática. Os usuários digitam apenas seu endereço de e-mail na página de logon do Workspace ONE Intelligent Hub.
Neste exemplo, quando os usuários no domínio NorthAmerica fazem login no aplicativo Workspace ONE Intelligent Hub, eles digitam o endereço de e-mail completo como [email protected]. O aplicativo procura o domínio e verifica se o usuário existe ou pode ser criado com uma chamada de diretório no grupo organizacional NorthAmerica. O dispositivo pode ser registrado.
Usando mapeamento do grupo organizacional do Workspace ONE UEM para domínios do Workspace ONE Access
Configure o serviço do Workspace ONE Access para o mapeamento do grupo organizacional do Workspace ONE UEM quando vários diretórios são configurados com o mesmo domínio de e-mail. Você ativa Mapear Domínios para Vários Grupos de Organizações na página Integrações > Integração do UEM no console do Workspace ONE Access.
Quando a opção Mapear Domínios para Vários Grupos de Organizações está habilitada, os domínios configurados no Workspace ONE Access podem ser mapeados para os IDs de grupos organizacionais do Workspace ONE UEM. A chave da REST API de administrador também é necessária.
No exemplo 2, dois domínios são mapeados para diferentes grupos organizacionais. É necessária uma chave da REST API de administrador. A mesma chave da REST API de administrador é usada para ambas as IDs do grupo organizacional.
Na página de configuração da Integração do UEM no console do Workspace ONE Access, configure um ID específico do grupo organizacional do Workspace ONE UEM para cada domínio.
Com essa configuração, quando os usuários fazem login no aplicativo Workspace ONE Intelligent Hub por meio de seu dispositivo, a solicitação de registro do dispositivo tenta localizar usuários de Domain3 no grupo organizacional Europe e usuários de Domain4 no grupo organizacional AsiaPacific.
No exemplo 3, um domínio é mapeado para vários grupos organizacionais do Workspace ONE UEM. Ambos os diretórios compartilham o domínio de e-mail. O domínio aponta para o mesmo grupo organizacional do Workspace ONE UEM.
Nessa configuração, quando os usuários fazem login no aplicativo Workspace ONE Intelligent Hub, o aplicativo solicita que os usuários selecionem o grupo em que eles desejam se registrar. Neste exemplo, os usuários podem selecionar Engenharia ou Contabilidade.
Colocando os dispositivos no grupo organizacional correto
Quando um registro de usuário é localizado com êxito, o dispositivo é adicionado ao grupo organizacional apropriado. O Modo de Atribuição de ID de Grupo da configuração de inscrição do Workspace ONE UEM determina o grupo organizacional para colocar o dispositivo. Essa configuração está na página Configurações do Sistema > Dispositivo e Usuários > Geral > Inscrição > Agrupamento no Workspace ONE UEM Console.
No exemplo 4, todos os usuários estão no nível do grupo organizacional Corporação.
A colocação do dispositivo depende da configuração selecionada para o Modo de Atribuição de ID de Grupo no grupo organizacional Corporação.
- Padrão for selecionado, o dispositivo será colocado no mesmo grupo em que o usuário está localizado. No exemplo 4, o dispositivo é colocado no grupo Corporação.
- Se a opção Avisar Usuário para Selecionar ID de Grupo for selecionada, os usuários serão solicitados a selecionar qual grupo registrar seu dispositivo. Para o exemplo 4, os usuários veem um menu suspenso no aplicativo Workspace ONE Intelligent Hub com Engenharia e Contabilidade como opções.
- Se a opção Selecionado Automaticamente com Base no Grupo de Usuários for selecionada, os dispositivos serão colocados em Engenharia ou Contabilidade com base na atribuição do grupo de usuários e no mapeamento correspondente no console do Workspace ONE UEM.
Entendendo o conceito de um grupo oculto
No exemplo 4, quando os usuários são solicitados a selecionar um grupo organizacional para se registrar, os usuários também podem digitar um valor de ID de grupo que não esteja na lista apresentada no aplicativo Workspace ONE Intelligent Hub. Este é o conceito de um grupo oculto.
No exemplo 5, na estrutura do grupo organizacional Corporação, América do Norte e Beta são configurados como grupos em Corporação.
No exemplo 5, os usuários digitam seu endereço de e-mail no aplicativo Workspace ONE Intelligent Hub. Após a autenticação, os usuários mostram uma lista que exibe Engenharia e Contabilidade para seleção. Beta não é uma opção exibida. Se os usuários souberem o ID do grupo organizacional, eles poderão digitar manualmente Beta na caixa de texto da seleção do grupo e registrar com êxito seu dispositivo em Beta.