Pense nos grupos organizacionais como ramificações individuais em uma árvore genealógica, com cada folha como um usuário do dispositivo. O Workspace ONE UEM powered by AirWatch identifica cada folha e estabelece sua posição na árvore genealógica usando grupos organizacionais (OG). A maioria dos clientes faz com que as árvores OG se pareçam com sua hierarquia corporativa: executivos, gerenciamento, operações, vendas e assim por diante.

Você também pode estabelecer grupos organizacionais baseados nos recursos e conteúdo do Workspace ONE UEM.

Você pode acessar grupos organizacionais em Grupos e configurações > Grupos > Grupos organizacionais > Modo de exibição de lista ou por meio do menu suspenso do grupo organizacional.

  • Construa grupos para entidades dentro da sua organização (Gerenciamento, Assalariados, De hora em hora, Vendas, Varejo, RH, Executivos e assim por diante).
  • Personalize hierarquias com níveis principais e herdeiros (por exemplo, 'Assalariados' e 'Por hora' como herdeiro sob 'Gerenciamento').
  • Faça a integração com várias infraestruturas internas no nível da camada.
  • Delegue acesso baseado na função e gerenciamento com base em uma estrutura multiempresa.
Observação: A Exibição em lista do grupo organizacional define os "Dispositivos ativos" como somente aqueles dispositivos que retornaram ao Workspace ONE UEM console nas últimas 8 horas.

Características dos grupos organizacionais

Grupos organizacionais podem acomodar entidades funcionais, geográficas e organizacionais e ativar uma solução multiempresa.

  • Dimensionamento – Suporte flexível para um crescimento exponencial.
  • Multiempresa – Crie grupos que funcionam como ambientes independentes.
  • Herdar – Otimize o processo de configuração inicial determinando que os grupos herdeiros recebam as configurações dos grupos principais.

Usando o exemplo de menu suspenso de grupo organizacional, é possível definir perfis, recursos, aplicativos e outras configurações do MDM em nível de "Empresa mundial".

As configurações podem ser herdadas pelos grupos organizacionais herdeiros, como Ásia/Pacífico e EMEA, ou até mesmo pelos grupos netos Ásia/Pacífico > Divisão de fabricação, ou pelos grupos netos Ásia/Pacífico > Divisão de operações > Corporativo.

Configurações entre grupos organizacionais irmãos, como Ásia/Pacífico e EMEA, aproveitam a natureza multiempresa dos grupos organizacionais ao manter essas configurações separadas uma da outra. No entanto, esses dois GOs irmãos herdam configurações do seu GO principal, Empresas mundiais.

Você também pode substituir as configurações de um nível mais baixo e alterar somente parte das configurações. Essas configurações podem ser alteradas ou executadas em qualquer nível.

Considerações para configurar grupos organizacionais

Antes de configurar a sua hierarquia de grupo organizacional (GO) no console da Workspace ONE UEM console, decida a estrutura do grupo. A estrutura do grupo permite que você faça melhor uso das configurações, aplicativos e recursos.

  • Administração delegada – Você pode delegar a administração de subgrupos para administradores de níveis inferiores, limitando sua visibilidade somente para os grupos organizacionais inferiores.
  • Administradores corporativos podem acessar e visualizar tudo no ambiente.
  • O gerente de Los Angeles tem acesso ao GO LA e pode gerenciar somente esses dispositivos.
  • O gerente de Nova York tem acesso ao GO NY e pode gerenciar somente esses dispositivos.
  • Configurações do sistema – As configurações podem ser aplicadas a diferentes níveis da hierarquia do grupo organizacional e herdadas. Elas também podem ser desfeitas em qualquer nível. As configurações incluem opções de inscrição, métodos de autenticação, configurações de privacidade e identidade visual.
  • Empresa geral estabelece que a inscrição deve ser feita no servidor do Active Directory da empresa.
  • Dispositivos de driver substituem a autenticação principal e permitem a inscrição baseada em token.
  • Os dispositivos de depósito herdam as configurações do Active Directory do grupo principal.
  • Caso de uso do dispositivo – Um perfil pode ser atribuído a um ou a vários grupos organizacionais. Os dispositivos nesses grupos poderão, assim, receber o perfil. Consulte a seção Perfis para obter mais informações. Considere configurar dispositivos utilizando perfis, aplicativos e conteúdo de acordo com atributos como marca, modelo do dispositivo, tipo de proprietário ou grupos de usuários, antes de criar grupos organizacionais.
  • Os dispositivos dos Executivos não podem instalar aplicativos e têm acesso à rede Wi-Fi de vendas.
  • Os dispositivos de Vendas têm permissão para instalar aplicativos e acesso à VPN.

Comparar dois grupos organizacionais

Você pode comparar configurações de um grupo organizacional com outro para mitigar problemas de migração de versão. O recurso de comparação de grupo organizacional está disponível apenas para clientes no local.

Você pode realizar as seguintes tarefas ao comparar as configurações do OG.

  • Carregue os arquivos XML que contêm as configurações de grupos organizacionais das diferentes versões de software do Workspace ONE UEM.
  • Elimine a possibilidade de uma diferença na configuração que cause problemas durante a migração da versão.
  • Filtre os resultados da comparação para exibir apenas as configurações que tenha interesse em comparar.
  • Pesquise por uma única configuração por nome com a função Pesquisar.

Um exemplo de uma migração de versão ocorre quando o servidor de Teste de aceitação do usuário (TAU) passa por upgrade, é configurado e testado, e você pode comparar as configurações do TAU com as configurações de produção diretamente.

  1. Vá até Grupos e configurações > Todas as configurações > Administrador > Gerenciamento de configurações > Comparação das configurações.
  2. Selecione um grupo organizacional em seu ambiente no menu suspenso à esquerda (marcado com o número 1). Como alternativa, carregue o arquivo de configurações XML selecionando o botão Carregar e escolhendo um arquivo XML de configuração do grupo organizacional exportado.
  3. Selecione o grupo organizacional no menu suspenso à direita (marcado com o número 2).
  4. Exiba uma lista de todas as configurações para os dois grupos organizacionais selecionados usando o botão Atualizar.
    • As diferenças entre os dois conjuntos de GO são automaticamente realçadas.
    • Você pode marcar a caixa Mostrar apenas as diferenças. Essa caixa de seleção exibirá somente as configurações que se aplicam a um grupo organizacional, mas não a outro.
    • Configurações individuais que estão em branco (ou não especificadas) vão aparecer na lista de comparação como "NULL".

Criar grupos organizacionais

Você deve criar um grupo organizacional (GO) para cada entidade de negócios onde os dispositivos estão implementados. Compreenda que o GO em que você está atualmente é o principal em relação ao GO herdeiro que você está prestes a criar.

  1. Vá para Grupos e configurações > Grupos > Grupos organizacionais > Detalhes.
  2. Selecione a aba Adicionar grupo organizacional herdeiro e conclua as seguintes configurações.
    Configuração Descrição
    Nome Insira um nome de exibição para o grupo organizacional (GO) herdeiro. Use apenas caracteres alfanuméricos. Não use caracteres especiais.
    ID de grupo

    Insira um identificador para o GO para os usuários utilizarem durante o login do dispositivo. As IDs de grupo são utilizadas durante a inscrição para associar dispositivos ao GO apropriado.

    Certifique-se de que os usuários que compartilham dispositivos recebam a ID do grupo, já que pode ser exigida para login do dispositivo dependendo da sua configuração de dispositivos compartilhados.

    Se você não estiver em um ambiente on-premise, a ID de grupo identificará seu grupo organizacional em todo o ambiente SaaS compartilhado. Por esse motivo, todas as IDs de grupo devem ter nomes exclusivos.

    Tipo Selecione o tipo de GO pré-configurado que reflete a categoria do GO herdeiro.
    País Selecione o país onde está localizado o GO.
    Idioma Selecione o idioma do país selecionado.
    Indústria do cliente Essa configuração só está disponível quando o Tipo é Cliente. Selecione na lista de Indústrias do cliente.
    Fuso horário Selecione o fuso horário para a localização do grupo organizacional.
  3. Selecione Salvar.

Identificar o ID de grupo de qualquer grupo organizacional

É possível identificar o ID de grupo de qualquer grupo organizacional seguindo as etapas a seguir.

  1. Vá para o grupo organizacional que você deseja identificar selecionando-o no menu suspenso Grupo organizacional.
  2. Passe o cursor sobre o rótulo do grupo organizacional. Um pop-up exibe o nome e o ID de grupo para o grupo organizacional selecionado no momento.

Herança, multiempresa e autenticação

O conceito de substituir as configurações com base em cada grupo organizacional, quando combinado com as características do grupo organizacional (GO), como herança e multiempresa, pode ser combinado ainda mais com a autenticação. Essa combinação possibilita configurações flexíveis.

O modelo de grupo organizacional a seguir ilustra essa flexibilidade.

Este diagrama mostra um modelo de hierarquia de grupo organizacional que consiste em pai e herdeiros.

Nesse modelo, os Administradores, geralmente em posse de maior permissões e funcionalidade, são posicionados na parte superior desse nível de GO. Esses administradores fazem login em seu GO usando SAML específico para administradores.

Usuários corporativos são subservientes aos administradores, por isso seu GO é organizado como seus herdeiros. Sendo usuários e não administradores, seu login SAML não pode herdar a configuração de administrador. Portanto, a configuração SAML dos usuários corporativos é substituída.

Usuários de BYOD diferem de usuários corporativos. Dispositivos usados pelos usuários BYOD pertencem aos próprios usuários e provavelmente contêm mais informações pessoais. Portanto, esses perfis de dispositivo podem exigir configurações um pouco diferentes. Usuários BYOD podem ter contratos de termos de uso diferentes. Dispositivos BYOD podem precisar de parâmetros diferentes para apagar dados corporativos. Por todos esses motivos, entre outros, pode fazer sentido que os usuários BYOD façam login em GO separados.

E, embora não sejam subservientes a usuários corporativos pela hierarquia da empresa, colocar os usuários de BYOD como herdeiros dos usuários corporativos tem suas vantagens. Essa disposição significa que os usuários de BYOD herdam as configurações aplicáveis a TODOS os dispositivos de usuários corporativos simplesmente aplicando-os aos GO de usuários corporativos.

A herança também se aplica a configurações de autenticação SAML. Como os usuários de BYOD são herdeiros dos usuários corporativos, os usuários de BYOD herdam seu SAML para as configurações de autenticação de usuários.

Um modelo alternativo é tornar os usuários de BYOD irmãos dos usuários corporativos.

Este diagrama mostra um modelo de hierarquia do grupo organizacional que consiste em um pai e dois herdeiros.

Com esse modelo alternativo, o seguinte é possível:

  • Todos os perfis de dispositivo destinados a uso global em TODOS os dispositivos, incluindo políticas de conformidade e outras configurações de dispositivo globalmente aplicáveis são aplicadas aos dois grupos organizacionais em vez de um. O motivo para essa necessidade de duplicação é porque a herança de usuários corporativos para usuários BYOD já não é um fator neste modelo. Usuários corporativos e usuários de BYOD estão no mesmo nível e, portanto, não há nenhuma herança.
  • Outra substituição SAML deve ser aplicada aos usuários BYOD. Essa substituição é necessária porque o sistema presume estar herdando as configurações de SAML do usuário principal Administradores. Tal pressuposto é um erro, porque os usuários de BYOD não são administradores e não têm o mesmo acesso e permissões.
  • Usuários BYOD continuam a ser manipulados separadamente dos usuários corporativos. Esse modelo alternativo significa que eles continuam a aproveitar suas próprias configurações de perfil do dispositivo.

Qual fator determina qual modelo é o melhor? Compare os números de configurações de dispositivo a serem aplicadas globalmente com o número de configurações de dispositivo específicas por grupo. Basicamente, se você deseja tratar todos os dispositivos geralmente da mesma maneira, então considere tornar os usuários BYOD herdeiros dos usuários corporativos. Se for mais importante manter configurações separadas, então considere tornar os usuários BYOD irmãos dos usuários corporativos.

Restrições do grupo organizacional

Se você tentar definir uma configuração limitada ao grupo organizacional (GO), as páginas de configuração em Grupos e configurações > Todas as configurações notificarão sobre a limitação.

Essa configuração pode ser ativada somente no grupo organizacional do tipo Cliente.

As seguintes restrições aplicam-se à criação de grupos organizacionais de nível de Cliente.

  • Independentemente de você estar em um ambiente local ou de Software como serviço (SaaS), não é possível criar OGs de clientes aninhados.

Funções dos tipos de grupo organizacional

O tipo de um grupo organizacional pode afetar quais configurações são disponibilizadas para um administrador.

  • Global – O grupo organizacional de nível mais elevado. Geralmente, esse grupo é chamado Global e tem o tipo Global.
    • Para ambientes SaaS hospedados, você não conseguirá acessar esse grupo.
    • Clientes de instalação local podem ativar o log detalhado nesse nível.
  • Parceiro – o grupo organizacional de nível superior para parceiros (revendedores terceirizados do Workspace ONE UEM).
  • Cliente – O grupo organizacional de nível superior de cada cliente.
    • Um grupo organizacional Cliente não pode ter grupos organizacionais herdeiros/principais do tipo Cliente.
    • Algumas configurações só podem ser feitas em um grupo do tipo Cliente. Essas configurações são transferidas para as organizações inferiores. Alguns exemplos dessas configurações incluem domínios de e-mail de detecção automática, configurações do Programa de compra por volume, configurações do Programa de inscrição de dispositivos (anterior ao AirWatch 8.0) e conteúdo pessoal.
  • Contêiner – O tipo de grupo organizacional padrão.
    • Todos os grupos organizacionais abaixo de um grupo organizacional Cliente devem ser do tipo contêiner. Você pode ter contêineres entre os grupos Parceiro e Cliente.
  • Cliente potencial – Possíveis clientes. Semelhante a um grupo organizacional de cliente. Pode ter funcionalidade reduzida em comparação à de um grupo de clientes de fato.

Há outros tipos de grupos organizacionais, como Divisão, Região e a capacidade de definir seu próprio tipo de grupo organizacional. Esses tipos não têm nenhuma característica especial, funcionam de forma idêntica ao tipo de grupo organizacional Contêiner.

Adicionando dispositivos em Global

O grupo organizacional (GO) global é projetado para abrigar Cliente e outros tipos de GOs. Devido à forma como funciona a herança, se você adicionar dispositivos a Global e configurar Global com configurações destinadas a afetar esses dispositivos, você também afetará todos os GOs de cliente abaixo. Isso minimiza os benefícios de multiempresa e herança.

Para obter mais informações, consulte Motivos pelos quais você não deve inscrever dispositivos em global.