Grupos organizacionais

Pense nos grupos organizacionais como ramificações individuais em uma árvore genealógica, com cada folha como um usuário do dispositivo. O Workspace ONE UEM identifica cada folha e estabelece sua posição na árvore genealógica usando grupos organizacionais (GO). A maioria dos clientes faz com que as árvores do GO se pareçam com a hierarquia corporativa: Executivos, Gerenciamento, Operações, Vendas e assim por diante.

Você também pode estabelecer GOs com base nos recursos e conteúdo do Workspace ONE UEM.

Você pode acessar grupos organizacionais navegando para Grupos e configurações > Grupos > Grupos organizacionais > Modo de exibição de lista ou por meio da lista de menu suspenso do grupo organizacional.

  • Construa grupos para entidades dentro da sua organização (Gerenciamento, Assalariados, De hora em hora, Vendas, Varejo, RH, Executivos e assim por diante).
  • Personalize hierarquias com níveis principais e herdeiros (por exemplo, ‘Assalariados’ e ‘Por hora’ como herdeiro sob ‘Gerenciamento’).
  • Faça a integração com várias infraestruturas internas no nível da camada.
  • Delegue acesso baseado na função e gerenciamento com base em uma estrutura multiempresa.

Observação: A Exibição em Lista de Grupos Organizacionais define os “Dispositivos Ativos” como somente aqueles dispositivos que retornaram ao Workspace ONE UEM Console nas últimas 8 horas.

Características dos grupos organizacionais

Grupos organizacionais podem acomodar entidades funcionais, geográficas e organizacionais e ativar uma solução multiempresa.

  • Dimensionamento – Suporte flexível para um crescimento exponencial.
  • Multiempresa – Crie grupos que funcionam como ambientes independentes.
  • Herdar – Otimize o processo de configuração inicial determinando que os grupos herdeiros recebam as configurações dos grupos principais.

Esta ilustração mostra um exemplo de estrutura de hierarquia de GO, implementando elementos geográficos e corporativos.Esta captura de tela reflete a mesma hierarquia que a ilustração do estilo do fluxograma, mas como ela aparece no Workspace ONE UEM.

Usando o exemplo de menu suspenso de grupo organizacional, é possível definir perfis, recursos, aplicativos e outras configurações do MDM em nível de ‘Empresa mundial’.

As configurações são herdadas pelos grupos organizacionais herdeiros, como Ásia-Pacífico e EMEA ou até mesmo pelos netos Ásia-Pacífico > Fabricação ou até mesmo netos Ásia-Pacífico > Operações > Corporativo.

Configurações entre grupos organizacionais irmãos, como Ásia/Pacífico e EMEA, aproveitam a natureza multiempresa dos grupos organizacionais ao manter essas configurações separadas uma da outra. No entanto, esses dois GOs irmãos herdam configurações do seu GO principal, Empresas mundiais.

Você também pode substituir as configurações de um nível mais baixo e alterar somente parte das configurações. Essas configurações podem ser alteradas ou executadas em qualquer nível.

Considerações para configurar grupos organizacionais

Antes de configurar a sua hierarquia de grupo organizacional (GO) no console do Workspace ONE UEM, decida a estrutura do grupo. A estrutura do grupo permite que você faça melhor uso das configurações, aplicativos e recursos.

  • Administração delegada – Você pode delegar a administração de subgrupos para administradores de níveis inferiores, limitando sua visibilidade somente para os grupos organizacionais inferiores.

Esta ilustração mostra um exemplo de hierarquia de GO com GOs principais-herdeiros típicos de varejo.

  • Administradores corporativos podem acessar e visualizar tudo no ambiente.
  • O gerente de Los Angeles tem acesso ao GO LA e pode gerenciar somente esses dispositivos.
  • O gerente de Nova York tem acesso ao GO NY e pode gerenciar somente esses dispositivos.
  • Configurações do sistema – As configurações são aplicadas a diferentes níveis da hierarquia do grupo organizacional e herdadas. Elas também podem ser desfeitas em qualquer nível. As configurações incluem opções de inscrição, métodos de autenticação, configurações de privacidade e identidade visual.

Esta ilustração mostra um exemplo de hierarquia de GO com GOs principais-herdeiros típicos de envio.

  • Empresa geral estabelece que a inscrição deve ser feita no servidor do Active Directory da empresa.
  • Dispositivos de driver substituem a autenticação principal e permitem a inscrição baseada em token.
  • Os dispositivos de depósito herdam as configurações do Active Directory do grupo principal.
  • Caso de uso do dispositivo – Um perfil pode ser atribuído a um ou a vários grupos organizacionais. Os dispositivos nesses grupos poderão, assim, receber o perfil. Consulte a seção Perfis para obter mais informações. Considere configurar dispositivos utilizando perfis, aplicativos e conteúdo de acordo com atributos como marca, modelo do dispositivo, tipo de proprietário ou grupos de usuários, antes de criar grupos organizacionais.

Esta ilustração mostra um exemplo de hierarquia de GO com GOs principais-herdeiros corporativos.

  • Os dispositivos dos Executivos não podem instalar aplicativos e têm acesso à rede Wi-Fi de vendas.
  • Os dispositivos de Vendas têm permissão para instalar aplicativos e acesso à VPN.

Alterar grupos organizacionais

É possível alterar grupos organizacionais ao selecionar o indicador de grupo organizacional no canto superior direito da tela.

Esta captura de tela mostra a localização do Seletor de GO.

Ao ser selecionado, um menu suspenso exibe a hierarquia do grupo organizacional, permitindo a alteração para outro grupo organizacional.

Comparar dois grupos organizacionais

Você pode comparar configurações de um grupo organizacional com outro para mitigar problemas de migração de versão. O recurso de comparação de grupo organizacional está disponível apenas para clientes no local.

Você pode realizar as seguintes tarefas ao comparar as configurações do OG.

  • Carregue arquivos XML contendo as configurações dos grupos organizacionais das diferentes versões de software do Workspace ONE UEM.
  • Elimine a possibilidade de uma diferença na configuração que cause problemas durante a migração da versão.
  • Filtre os resultados da comparação para exibir apenas as configurações que tenha interesse em comparar.
  • Pesquise por uma única configuração por nome com a função Pesquisar.

Um exemplo de uma migração de versão ocorre quando o servidor de Teste de aceitação do usuário (TAU) passa por upgrade, é configurado e testado, e você pode comparar as configurações do TAU com as configurações de produção diretamente.

  1. Vá para Grupos e configurações > Todas as configurações > Administrador > Gerenciamento de configurações > Comparação das configurações.

    Essa captura de tela mostra a página de configuração do sistema Comparar Grupos Organizacionais.

  2. Selecione um grupo organizacional em seu ambiente no menu suspenso à esquerda (marcado com o número 1). Como alternativa, carregue o arquivo de configurações XML selecionando o botão Carregar e escolhendo um arquivo XML de configuração do grupo organizacional exportado.

  3. Selecione o grupo organizacional no menu suspenso à direita (marcado com o número 2).
  4. Exiba uma lista de todas as configurações para os dois grupos organizacionais selecionados usando o botão Atualizar.
    • As diferenças entre os dois conjuntos de GO são realçadas.
    • Você pode marcar a caixa Mostrar apenas as diferenças. Essa caixa de seleção exibirá somente as configurações que se aplicam a um grupo organizacional, mas não a outro.
    • Configurações individuais que estão em branco (ou não especificadas) vão aparecer na lista de comparação como ‘NULL’.

Criar grupos organizacionais

Você deve criar um grupo organizacional (GO) para cada entidade de negócios onde os dispositivos estão implementados. Compreenda que o GO em que você está atualmente é o principal em relação ao GO herdeiro que você está prestes a criar.

  1. Vá para Grupos e Configurações > Grupos > Grupos Organizacionais > Detalhes.

    Essa captura de tela mostra a exibição de Detalhes da página Grupos Organizacionais, que você usa para adicionar Grupos Organizacionais herdeiros.

  2. Selecione a aba Adicionar grupo organizacional herdeiro e conclua as seguintes configurações.

    Configuração Descrição
    Nome Insira um nome de exibição para o grupo organizacional (GO) herdeiro. Use apenas caracteres alfanuméricos. Não use caracteres especiais.
    ID de grupo Esse identificador de GO obrigatório é usado pelos usuários finais durante o login do dispositivo e durante a inscrição de dispositivos de grupo no GO apropriado.

    Certifique-se de que os usuários que compartilham dispositivos recebam a ID do grupo, já que pode ser exigida para login do dispositivo dependendo da sua configuração de dispositivos compartilhados.

    Se você não estiver em um ambiente on-premise, a ID de grupo identificará seu grupo organizacional em todo o ambiente SaaS compartilhado. Por esse motivo, todas as IDs de grupo devem ter nomes exclusivos.
    Tipo Selecione o tipo de GO pré-configurado que reflete a categoria do GO herdeiro.
    País Selecione o país onde está localizado o GO.
    Idioma Selecione o idioma do país selecionado.
    Indústria do cliente Essa configuração só está disponível quando o Tipo é Cliente. Selecione na lista de Indústrias do cliente.
    Fuso horário Selecione o fuso horário para a localização do GO.

  3. Selecione Salvar.

Excluir um grupo organizacional

É possível excluir um grupo organizacional (GO), desde que ele não contenha herdeiros de GO e nenhum dispositivo em lugar algum nesse grupo.

  1. Selecione o grupo organizacional que deseja excluir no menu suspenso de grupos organizacionais.

    Esta captura de tela mostra a localização relativa do Seletor de GO.

  2. Vá para Grupos e Configurações > Grupos > Grupos Organizacionais > Detalhes.

  3. Na parte inferior da tela Detalhes, revise a contagem dos Dispositivos no grupo organizacional e Grupos organizacionais herdeiros. Se alguma entrada não for zero, o grupo organizacional não poderá ser excluído e o botão Excluir não estará disponível.

    É necessário mover todos os dispositivos deste grupo organizacional para outro. Os grupos organizacionais herdeiros do grupo organizacional que você deseja excluir também não devem conter dispositivos antes de serem excluídos.

  4. Quando a contagem de Dispositivos no grupo organizacional e Grupos organizacionais herdeiros forem zero, será possível prosseguir com a exclusão do GO.

  5. Selecione o botão Excluir.
  6. A tela Ação restrita - Excluir grupo organizacional é exibida e fornece avisos sobre preparações que devem ser feitas antes de excluir o GO.
  7. Antes que seja possível continuar com a exclusão, é necessário digitar o PIN de segurança de quatro dígitos que foi selecionado na inscrição como administrador do UEM. Redefina este PIN selecionando o link Esqueceu o PIN de segurança?

Identificar o ID de grupo de qualquer grupo organizacional

É possível identificar a ID de grupo de qualquer grupo organizacional ao seguir as etapas a seguir.

  1. Mova o grupo organizacional que deseja identificar selecionado-o no menu suspenso de grupos organizacionais.

    Esta captura de tela mostra a localização relativa do Seletor de GO.

  2. Passe o cursor sobre o rótulo do grupo organizacional. Um pop-up exibe o nome e o ID de grupo para o grupo organizacional selecionado no momento.

Esta captura de tela mostra como a ID do Grupo é revelada quando você passa o ponteiro do mouse sobre o Seletor de GO.

Herança, multiempresa e autenticação

O conceito de substituir as configurações com base em cada grupo organizacional, quando combinado com as características do grupo organizacional (GO), como herança e multiempresa, pode ser combinado ainda mais com a autenticação. Essa combinação possibilita configurações flexíveis.

O modelo de grupo organizacional a seguir ilustra essa flexibilidade.

Este diagrama mostra um modelo de hierarquia de grupo organizacional que consiste em um Principal, um herdeiro e um neto.

Nesse modelo, os Administradores, geralmente em posse de maior permissões e funcionalidade, são posicionados na parte superior desse nível de GO. Esses administradores fazem login em seu GO usando SAML específico para administradores.

Usuários corporativos são subservientes aos administradores, por isso seu GO é organizado como seus herdeiros. Sendo usuários e não administradores, seu login SAML não pode herdar a configuração de administrador. Portanto, a configuração SAML dos usuários corporativos é substituída.

Usuários de BYOD diferem de usuários corporativos. Dispositivos usados pelos usuários BYOD pertencem aos próprios usuários e provavelmente contêm mais informações pessoais. Portanto, esses perfis de dispositivo podem exigir configurações um pouco diferentes. Usuários BYOD podem ter contratos de termos de uso diferentes. Dispositivos BYOD podem precisar de parâmetros diferentes para apagar dados corporativos. Por todos esses motivos, entre outros, pode fazer sentido que os usuários BYOD façam login em GO separados.

E, embora não sejam subservientes a usuários corporativos pela hierarquia da empresa, colocar os usuários de BYOD como herdeiros dos usuários corporativos tem suas vantagens. Essa disposição significa que os usuários de BYOD herdam as configurações aplicáveis a TODOS os dispositivos de usuários corporativos simplesmente aplicando-os aos GOs de usuários corporativos.

A herança também se aplica a configurações de autenticação SAML. Como os usuários de BYOD são herdeiros dos usuários corporativos, os usuários de BYOD herdam seu SAML para as configurações de autenticação de usuários.

Um modelo alternativo é tornar os usuários de BYOD irmãos dos usuários corporativos.

Este diagrama mostra um modelo de hierarquia do grupo organizacional que consiste em um pai e dois herdeiros.

Com esse modelo alternativo, o seguinte é possível:

  • Todos os perfis de dispositivo destinados a uso global em TODOS os dispositivos, incluindo políticas de conformidade e outras configurações de dispositivo globalmente aplicáveis, são aplicados aos dois grupos organizacionais em vez de um. O motivo para essa necessidade de duplicação é que a herança de usuários corporativos para usuários BYOD já não é um fator neste modelo. Usuários corporativos e usuários de BYOD estão agora no mesmo nível e, portanto, não há nenhuma herança.
  • Outra substituição SAML deve ser aplicada aos usuários BYOD. Essa substituição é necessária porque o sistema presume estar herdando as configurações de SAML do usuário principal Administradores. Tal pressuposto é um erro, porque os usuários de BYOD não são administradores e não têm o mesmo acesso e permissões.
  • Usuários BYOD continuam a ser manipulados separadamente dos usuários corporativos. Esse modelo alternativo significa que eles continuam a aproveitar suas próprias configurações de perfil do dispositivo.

Qual fator determina qual modelo é o melhor? Compare os números de configurações de dispositivo a serem aplicadas globalmente com o número de configurações de dispositivo específicas por grupo. Basicamente, se você deseja tratar todos os dispositivos geralmente da mesma maneira, então considere tornar os usuários BYOD herdeiros dos usuários corporativos. Se for mais importante manter configurações separadas, então considere tornar os usuários BYOD irmãos dos usuários corporativos.

Restrições do grupo organizacional

Se você tentar definir uma configuração limitada ao grupo organizacional (GO), as páginas de configuração em Grupos e configurações > Todas as configurações notificam você sobre a limitação.

Essa configuração pode ser ativada somente no grupo organizacional do tipo cliente.

As seguintes restrições aplicam-se à criação de grupos organizacionais de nível de Cliente.

  • Independentemente de você estar em um ambiente local ou de Software como serviço (SaaS), não é possível criar OGs de clientes aninhados.

Funções e personalizações do tipo de grupo organizacional

O tipo de um grupo organizacional pode afetar quais configurações são disponibilizadas para um administrador.

  • Global – O grupo organizacional de nível mais elevado. Geralmente, esse grupo é chamado Global e tem o tipo Global.
    • Para ambientes SaaS hospedados, você não conseguirá acessar esse grupo.
    • Clientes de instalação local podem ativar o log detalhado nesse nível.
  • Cliente – O grupo organizacional de nível superior de cada cliente.
    • Um grupo organizacional Cliente não pode ter grupos organizacionais herdeiros/principais do tipo Cliente.
    • Os fluxos de trabalho essenciais só podem ocorrer dentro de um OG do tipo cliente ou na hierarquia dele. Esses fluxos de trabalho incluem adicionar um dispositivo, registrar e inscrever um dispositivo, mapear grupo de usuários, criar e mapear grupo inteligente, alterar o OG em um dispositivo (ou mudar um dispositivo de um OG para outro) e fazer check-out do dispositivo.
    • Algumas configurações só podem ser feitas em um grupo do tipo Cliente. Essas configurações são transferidas para os OGs inferiores de tipo de contêiner.
      • Domínios de e-mail de descoberta automática
      • Configurações do Programa de Inscrição do Dispositivo (antes do AirWatch 8.0)
      • Conteúdo pessoal
      • O VPP (Programa de Compra por Volume) da Apple deve ser ativado no GO do cliente principal e só então os GOs do tipo de contêiner herdeiro apresentarão a funcionalidade do VPP em funcionamento.
      • Samsung Enterprise FOTA
      • Pacotes de hub
      • Atributos personalizados
      • Servidor de retransmissão
      • Intelligence
      • Sensores
      • Proteção Contra Verificação e Remoção de Aplicativos
      • CDN (Content Delivery Network) para entrega de aplicativos
      • O armazenamento NFS para gerenciamento de conteúdo se tornará configurável
      • Serviços do Workspace One Hub
      • Acesso condicional
      • MAG (Gateway de Acesso Móvel)
      • LBUS (Sincronização de Usuário Básico Local)
      • Dynamic Environment Manager
      • Mobile Flows
  • Contêiner – O tipo de grupo organizacional padrão.
    • Todos os grupos organizacionais abaixo de um grupo organizacional Cliente devem ser do tipo Contêiner. Você pode ter contêineres entre os grupos Parceiro e Cliente.
  • Parceiro – Grupo organizacional de nível superior para parceiros (revendedores terceirizados do Workspace ONE UEM).
  • Cliente potencial – Possíveis clientes. Semelhante a um grupo organizacional de cliente e pode ter menor funcionalidade do que um grupo de clientes de verdade.

Há outros tipos de grupos organizacionais, como Divisão, Região e a capacidade de definir seu próprio tipo de grupo organizacional.

Adicionar tipo de grupo organizacional

Você pode adicionar tipos de grupos organizacionais personalizados. Esses tipos não têm nenhuma característica especial, funcionam de forma idêntica ao tipo de grupo organizacional Contêiner.

Para criar seu próprio tipo de GO…

  1. Vá para Grupos e Configurações > Grupos > Grupos Organizacionais > Tipos e selecione o botão Adicionar Tipo de Grupo Organizacional.
  2. Insira o Nome que deseja para o tipo de grupo organizacional e sua Descrição.
  3. Selecione Salvar.

Motivos pelos quais você não deve inscrever dispositivos em global

Há vários motivos pelos quais inscrever dispositivos diretamente no grupo organizacional (GO) de nível superior, normalmente chamado de Global, não é uma boa ideia. Esses motivos são recurso multiempresa, herança e funcionalidade.

Multiempresa

Você pode criar quantos grupos organizacionais herdeiros precisar e configurar cada um independentemente dos outros. As configurações que aplicar a um GO herdeiro não afetam outros irmãos.

Herança

As alterações feitas a um GO de nível principal aplicam-se aos herdeiros. Por outro lado, as alterações feitas em GO de nível herdeiro não se aplicam ao principal ou aos herdeiros.

Funcionalidade

Há configurações e funcionalidades configuráveis apenas para os grupos organizacionais do tipo Cliente. Elas incluem proteção contra apagamento, telecomunicações e conteúdo pessoal. Dispositivos adicionados diretamente ao GO global de nível superior são excluídos dessas configurações e funcionalidade.

O grupo organizacional (GO) global é projetado para abrigar Cliente e outros tipos de GOs. Devido à forma como funciona a herança, se você adicionar dispositivos a Global e configurar Global com configurações destinadas a afetar esses dispositivos, você também afetará todos os GOs de cliente abaixo. Isso minimiza os benefícios de multiempresa e herança.

Configuração Substituir x Herdar para grupos organizacionais

A hierarquia da estrutura do grupo organizacional (OG) que você faz determina quais OGs são herdeiros e quais são os pais. Os OGs herdeiros herdam as configurações de seus grupos organizacionais principais, porém você pode optar por substituir essa herança.

Cada página de configurações do sistema aplica suas configurações de acordo com dois tipos de opções de herança/substituição em relação à hierarquia do grupo organizacional: 1) Configuração Atual e 2) Permissão de Herdeiro. O OG ao qual as configurações são aplicadas é o OG em que você está atualmente.

Em outras palavras, se você estiver no OG Funcionários\Depósito, as alterações feitas nas configurações se aplicam a este OG e a todos os OGs que são filhos do OG Depósito.

Por exemplo, a página de configurações Branding encontrada ao navegar até Grupos e Configurações > Todas as Configurações > Sistema > Branding controla todas as imagens de fundo personalizadas, logotipos e esquemas de cores para o GO visível no menu suspenso do grupo organizacional.

Aplicando o nosso exemplo anteriormente, você pode importar uma nova imagem de plano de fundo, um novo logotipo, um esquema de cores diferente, tudo específico para o OG Funcionários\Depósito. Você também pode definir as configurações para aplicar somente ao OG Depósito. Esta opção é ativada alterando a herança destes OGs na página de configurações.

Permissão para herdeiro

Pense na definição de Permissão de Herdeiro como a atitude do principal em relação ao GO herdeiro. Há três configurações diferentes para Permissão de Herdeiro: Herdar ou Substituir, Herdar Somente e Substituir.

A configuração Herdar ou Substituir simplesmente significa que o principal não tem preferência pelas permissões do herdeiro. Quando a configuração de Permissão de Herdeiro de um principal é Herdar ou Substituir, a Configuração Atual do GO herdeiro determina se eles substituem ou herdam as configurações. Por padrão, todas as permissões de herdeiros são definidas como Herdar ou substituir.

Uma configuração de permissão de herdeiro de Somente herdar no pai força a herança em todos os herdeiros. Esta configuração significa que todos os herdeiros têm as mesmas configurações que os pais. Uma configuração de permissão de herdeiro de Somente substituir remove o efeito de herança em todos os OGs herdeiros, exigindo que você defina configurações específicas para esse OG herdeiro.

As configurações de permissão para herdeiros afetam apenas herdeiros um nível abaixo. Essas configurações não afetam os netos ou os OGs mais abaixo.

Configuração atual

Se a permissão para herdeiro é a atitude do principal em relação ao herdeiro, a configuração atual de um OG é a atitude do herdeiro em relação ao principal. A configuração atual pode ser somente Herdar ou Substituir.

Uma configuração atual de Herdar significa que o OG herdeiro aceita todas as configurações do OG pai. Selecione uma configuração atual de Substituir, e o herdeiro rejeita o pai e fica sozinho. A seleção de substituir significa que você pode fazer novas configurações para o herdeiro.

Você pode alterar a Configuração Atual de um OG somente se a configuração de Permissão de Herdeiro do OG principal for Herdar ou Substituir.

Continuando com o exemplo acima, se você quisesse afetar apenas as configurações Branding do OG Depósito, você poderia alterar a configuração atual para cada OG filho do depósito para Substituir desde que a permissão de filho para o Depósito seja o padrão Herdar ou substituir. Em seguida, você pode configurar o Branding para os filhos do Depósito como desejar, diferentes do Depósito ou iguais.

Alterar as configurações de permissão

Você não pode alterar a Configuração Atual de um herdeiro se a configuração de Permissão de Herdeiro do principal não permitir. Por exemplo, se a configuração de Permissão de Herdeiro do MomandDadOG for Substituir Somente, você não pode alterar a Configuração Atual de JuniorOG para Herdar. Em suma, as configurações de Permissão de Herdeiro do OG principal têm precedência sobre a Configuração Atual do OG herdeiro.

Quando você altera as Configurações Atuais de um herdeiro de Substituir para Herdar, a alteração da configuração de Permissão de Herdeiro de seu principal para Herdar Somente bloqueia a configuração de Permissão de Herdeiro do OG filho. Você não pode alterar a configuração de permissão filho neste cenário. Esse comportamento não se aplica se a configuração do OG herdeiro nunca for substituída.

A solução alternativa para esse comportamento é que você deve alterar as configurações de permissão para herdeiro no OG pai de volta para Herdar ou substituir, desbloqueando a configuração Permissão para herdeiro do OG herdeiro.

A estratégia maior preferida é planejar com antecedência, definindo as configurações de herança e substituição para os níveis de OG que fazem sentido, considerando a estrutura de hierarquia desejada.

check-circle-line exclamation-circle-line close-line
Scroll to top icon