O Workspace ONE UEM usa grupos organizacionais (GO) para identificar usuários e estabelecer permissões. Quando o Workspace ONE UEM está integrado ao Workspace ONE Access, as chaves da REST API do usuário de inscrição e administrador são configuradas no tipo de grupo organizacional do Workspace ONE UEM chamado Cliente.

Quando os usuários fazem login no aplicativo Workspace ONE Intelligent Hub por meio de um dispositivo, um evento de registro do dispositivo é disparado no Workspace ONE Access. Uma solicitação é enviada para o Workspace ONE UEM para efetuar pull de todos os aplicativos que a combinação de usuário e dispositivo tem direito. A solicitação é enviada usando a REST API para localizar o usuário no Workspace ONE UEM e para colocar o dispositivo no grupo organizacional apropriado.

Para gerenciar grupos organizacionais no Workspace ONE Access, mapeie grupos organizacionais do Workspace ONE UEM para domínios no serviço do Workspace ONE Access.

Se os grupos organizacionais do Workspace ONE UEM não forem mapeados para domínios no serviço Workspace ONE Access, o aplicativo Workspace ONE Intelligent Hub tentará localizar o usuário no grupo organizacional em que a chave da REST API foi criada. Esse é o grupo Cliente.

Usando a detecção automática do Workspace ONE UEM

Certifique-se de que a Detecção Automática esteja configurada no console do Workspace ONE UEM. Configure a descoberta automática quando um único diretório for configurado em um grupo herdeiro para o grupo organizacional do cliente ou quando vários diretórios forem configurados abaixo do grupo do cliente com domínios de email exclusivos.

Figura 1. Exemplo 1
Captura de tela mostrando um único diretório configurado no grupo herdeiro

No exemplo 1, o domínio de e-mail da organização está registrado para detecção automática. Os usuários digitam apenas seu endereço de e-mail na página de logon do Workspace ONE Intelligent Hub.

Neste exemplo, quando os usuários no domínio NorthAmerica fazem login no aplicativo Workspace ONE Intelligent Hub, eles digitam o endereço de e-mail completo como user1@domain1.com. O aplicativo procura o domínio e verifica se o usuário existe ou pode ser criado com uma chamada de diretório no grupo organizacional NorthAmerica. O dispositivo pode ser registrado.

Usando mapeamento do grupo organizacional do Workspace ONE UEM para domínios do Workspace ONE Access

Configure o serviço do Workspace ONE Access para o mapeamento do grupo organizacional do Workspace ONE UEM quando vários diretórios são configurados com o mesmo domínio de e-mail. Você ativa Mapear Domínios para Vários Grupos de Organizações na página Integrações > Integração do UEM no console do Workspace ONE Access.

Quando a opção Mapear Domínios para Vários Grupos de Organizações está habilitada, os domínios configurados no Workspace ONE Access podem ser mapeados para os IDs de grupos organizacionais do Workspace ONE UEM. A chave da REST API de administrador também é necessária.

No exemplo 2, dois domínios são mapeados para diferentes grupos organizacionais. É necessária uma chave da REST API de administrador. A mesma chave da REST API de administrador é usada para ambas as IDs do grupo organizacional.

Figura 2. Exemplo 2
Captura de tela mostrando dois domínios mapeados para diferentes grupos organizacionais com uma chave de REST API de administrador

Na página de configuração da Integração do UEM no console do Workspace ONE Access, configure um ID específico do grupo organizacional do Workspace ONE UEM para cada domínio.

Figura 3. Exemplo 2: Configuração do grupo organizacional
Captura de tela mostrando dois domínios mapeados para diferentes grupos organizacionais com chave de REST API de administrador diferente

Com essa configuração, quando os usuários fazem login no aplicativo Workspace ONE Intelligent Hub por meio de seu dispositivo, a solicitação de registro do dispositivo tenta localizar usuários de Domain3 no grupo organizacional Europe e usuários de Domain4 no grupo organizacional AsiaPacific.

No exemplo 3, um domínio é mapeado para vários grupos organizacionais do Workspace ONE UEM. Ambos os diretórios compartilham o domínio de e-mail. O domínio aponta para o mesmo grupo organizacional do Workspace ONE UEM.

Figura 4. Exemplo 3
Captura de tela mostrando um domínio mapeado para vários grupos organizacionais em que vários diretórios compartilham o domínio

Nessa configuração, quando os usuários fazem login no aplicativo Workspace ONE Intelligent Hub, o aplicativo solicita que os usuários selecionem o grupo em que eles desejam se registrar. Neste exemplo, os usuários podem selecionar Engenharia ou Contabilidade.

Figura 5. Grupos organizacionais nos quais os diretórios compartilham o mesmo domínio
Captura de tela da caixa de diálogo Mapear Domínios em que os diretórios compartilham um domínio

Colocando os dispositivos no grupo organizacional correto

Quando um registro de usuário é localizado com êxito, o dispositivo é adicionado ao grupo organizacional apropriado. O Modo de Atribuição de ID de Grupo da configuração de inscrição do Workspace ONE UEM determina o grupo organizacional para colocar o dispositivo. Essa configuração está na página Configurações do Sistema > Dispositivo e Usuários > Geral > Inscrição > Agrupamento no Workspace ONE UEM Console.

Figura 6. Inscrição do grupo do Workspace ONE UEM para dispositivos
Captura de tela da página de inscrição mostrando a guia Agrupamento

No exemplo 4, todos os usuários estão no nível do grupo organizacional Corporação.

Figura 7. Exemplo 4
Captura de tela da página de inscrição mostrando a guia Agrupamento

A colocação do dispositivo depende da configuração selecionada para o Modo de Atribuição de ID de Grupo no grupo organizacional Corporação.

  • "Padrão for selecionado, o dispositivo será colocado no mesmo grupo em que o usuário está localizado." Para o exemplo 4, o dispositivo é colocado no grupo Corporação.
  • Se a opção Avisar Usuário para Selecionar ID de Grupo for selecionada, os usuários serão solicitados a selecionar qual grupo registrar seu dispositivo. Para o exemplo 4, os usuários veem um menu suspenso no aplicativo Workspace ONE Intelligent Hub com Engenharia e Contabilidade como opções.
  • Se a opção Selecionado Automaticamente com Base no Grupo de Usuários for selecionada, os dispositivos serão colocados em Engenharia ou Contabilidade com base na atribuição do grupo de usuários e no mapeamento correspondente no console do Workspace ONE UEM.

Entendendo o conceito de um grupo oculto

No exemplo 4, quando os usuários são solicitados a selecionar um grupo organizacional para se registrar, os usuários também podem digitar um valor de ID de grupo que não esteja na lista apresentada no aplicativo Workspace ONE Intelligent Hub. Este é o conceito de um grupo oculto.

No exemplo 5, na estrutura do grupo organizacional Corporação, América do Norte e Beta são configurados como grupos em Corporação.

Figura 8. Exemplo 5
Captura de tela mostrando grupos configurados na estrutura do grupo organizacional corporativo

No exemplo 5, os usuários digitam seu endereço de e-mail no aplicativo Workspace ONE Intelligent Hub. Após a autenticação, os usuários mostram uma lista que exibe Engenharia e Contabilidade para seleção. Beta não é uma opção exibida. Se os usuários souberem o ID do grupo organizacional, eles poderão digitar manualmente Beta na caixa de texto da seleção do grupo e registrar com êxito seu dispositivo em Beta.