O Workspace ONE UEM usa grupos organizacionais (GO) para identificar usuários e estabelecer permissões. Quando o Workspace ONE UEM está integrado ao Workspace ONE Access, as chaves da REST API do usuário de inscrição e administrador são configuradas no tipo de grupo organizacional do Workspace ONE UEM chamado Cliente.

Quando os usuários fazem login no aplicativo Intelligent Hub de um dispositivo, um evento de registro do dispositivo é acionado no Workspace ONE Access. Uma solicitação é enviada para o Workspace ONE UEM para efetuar pull de todos os aplicativos que a combinação de usuário e dispositivo tem direito. A solicitação é enviada usando a REST API para localizar o usuário no Workspace ONE UEM e para colocar o dispositivo no grupo organizacional apropriado.

Para gerenciar grupos organizacionais, é possível configurar duas opções no Workspace ONE Access.

  • Habilitar a detecção automática do Workspace ONE UEM.
  • Mapeie os grupos organizacionais do Workspace ONE UEM para domínios no serviço do Workspace ONE Access.

Se nenhuma dessas duas opções estiver configurada, o Intelligent Hub tentará localizar o usuário no grupo organizacional onde a chave da REST API foi criada. Esse é o grupo Cliente.

Usando a detecção automática do Workspace ONE UEM

Configure a Detecção Automática quando um único diretório estiver configurado em um grupo herdeiro para o Grupo organizacional do cliente ou quando vários diretórios estiverem configurados abaixo do grupo Cliente com domínios de e-mail exclusivos. Consulte Registrando domínios de e-mail para a descoberta automática.

Figura 1. Exemplo 1

No exemplo 1, o domínio de e-mail da organização está registrado para detecção automática. Os usuários digitam apenas seu endereço de e-mail na página de login do Intelligent Hub.

Neste exemplo, quando os usuários no domínio NorthAmerica fazem login no aplicativo Intelligent Hub, eles digitam o endereço de e-mail completo como user1@domain1.com. O aplicativo procura o domínio e verifica se o usuário existe ou pode ser criado com uma chamada de diretório no grupo organizacional NorthAmerica. O dispositivo pode ser registrado.

Usando mapeamento do grupo organizacional do Workspace ONE UEM para domínios do Workspace ONE Access

Configure o serviço do Workspace ONE Access para o mapeamento do grupo organizacional do Workspace ONE UEM quando vários diretórios são configurados com o mesmo domínio de e-mail. Você habilita Mapear Domínios para Vários Grupos de Organizações na página de configuração da AirWatch no console do Workspace ONE Access.

Quando a opção Mapear Domínios para Vários Grupos de Organizações está habilitada, os domínios configurados no Workspace ONE Access podem ser mapeados para os IDs de grupos organizacionais do Workspace ONE UEM. A chave da REST API de administrador também é necessária.

No exemplo 2, dois domínios são mapeados para diferentes grupos organizacionais. É necessária uma chave da REST API de administrador. A mesma chave da REST API de administrador é usada para ambas as IDs do grupo organizacional.

Figura 2. Exemplo 2

Na página de configuração da AirWatch no console do Workspace ONE Access, configure um ID específico do grupo organizacional do Workspace ONE UEM para cada domínio.

Figura 3. Exemplo 2: Configuração do grupo organizacional

Com esta configuração, quando os usuários fazem login no aplicativo Intelligent Hub do seu dispositivo, a solicitação de registro do dispositivo tenta localizar usuários do Domain3 no grupo organizacional Europe e usuários do Domain4 no grupo organizacional AsiaPacific.

No exemplo 3, um domínio é mapeado para vários grupos organizacionais do Workspace ONE UEM. Ambos os diretórios compartilham o domínio de e-mail. O domínio aponta para o mesmo grupo organizacional do Workspace ONE UEM.

Figura 4. Exemplo 3

Nesta configuração, quando os usuários fazem login no aplicativo Intelligent Hub, o aplicativo solicita que os usuários selecionem o grupo em que eles desejam se registrar. Neste exemplo, os usuários podem selecionar Engenharia ou Contabilidade.

Figura 5. Grupos organizacionais onde os diretórios compartilham o mesmo domínio

Colocando os dispositivos no grupo organizacional correto

Quando um registro de usuário é localizado com êxito, o dispositivo é adicionado ao grupo organizacional apropriado. O Modo de Atribuição de ID de Grupo da configuração de inscrição do Workspace ONE UEM determina o grupo organizacional para colocar o dispositivo. Essa configuração está na página Configurações do Sistema > Dispositivo e Usuários > Geral > Inscrição > Agrupamento no Workspace ONE UEM Console.

Figura 6. Inscrição do grupo do Workspace ONE UEM para dispositivos

No exemplo 4, todos os usuários estão no nível do grupo organizacional Corporação.

Figura 7. Exemplo 4

A colocação do dispositivo depende da configuração selecionada para o Modo de Atribuição de ID de Grupo no grupo organizacional Corporação.

  • Se Padrão for selecionado, o dispositivo será colocado no mesmo grupo onde o usuário está localizado. Para o exemplo 4, o dispositivo é colocado no grupo Corporação.
  • Se a opção Avisar Usuário para Selecionar ID de Grupo for selecionada, os usuários serão solicitados a selecionar qual grupo registrar seu dispositivo. Para o exemplo 4, os usuários veem um menu suspenso no aplicativo Intelligent Hub com Engenharia e Contabilidade como opções.
  • Se a opção Selecionado Automaticamente com Base no Grupo de Usuários for selecionada, os dispositivos serão colocados em Engenharia ou Contabilidade com base na atribuição do grupo de usuários e no mapeamento correspondente no console do Workspace ONE UEM.

Entendendo o conceito de um grupo oculto

No exemplo 4, quando os usuários são solicitados a selecionar um grupo organizacional para se registrar, os usuários também podem digitar um valor de ID de grupo que não esteja na lista apresentada no aplicativo Intelligent Hub. Este é o conceito de um grupo oculto.

No exemplo 5, na estrutura do grupo organizacional Corporação, América do Norte e Beta são configurados como grupos em Corporação.

Figura 8. Exemplo 5

No exemplo 5, os usuários inserem seu endereço de e-mail no aplicativo Intelligent Hub. Após a autenticação, os usuários mostram uma lista que exibe Engenharia e Contabilidade para seleção. Beta não é uma opção exibida. Se os usuários conhecem a ID do grupo organizacional, eles poderão digitar manualmente Beta na caixa de texto da seleção do grupo e registrar com êxito seu dispositivo em Beta.