Workspace ONE UEM 使用组织组 (OG) 标识用户和设置权限。在将 Workspace ONE UEMWorkspace ONE Access 集成后,管理员和注册用户 REST API 密钥将在“客户”类型的 Workspace ONE UEM 组织组进行配置。

当用户从设备登录到 Workspace ONE Intelligent Hub 应用程序时,会在 Workspace ONE Access 内触发一个设备注册事件。系统会向 Workspace ONE UEM 发送一个请求,以提取用户和设备组合有权使用的任何应用程序。该请求将使用 REST API 发送,以便在 Workspace ONE UEM 中查找用户,并将设备放置在相应的组织组中。

要在 Workspace ONE Access 中管理组织组,请将 Workspace ONE UEM 组织组映射到 Workspace ONE Access 服务中的域。

如果 Workspace ONE UEM 组织组未映射到 Workspace ONE Access 服务中的域,Workspace ONE Intelligent Hub 应用程序会尝试在创建 REST API 密钥的组织组中查找用户。该组即是客户组。

使用 Workspace ONE UEM 自动发现

确保在 Workspace ONE UEM Console 中设置了自动发现。当在客户组织组的子组配置了单个目录,或在具有唯一电子邮件域的客户组下方配置了多个目录时,可设置自动发现。

图 1. 示例 1
屏幕截图显示了子组中配置的单个目录

在示例 1 中,对组织的电子邮件域注册了自动发现。用户只需在 Workspace ONE Intelligent Hub 登录页面中输入其电子邮件地址。

在此示例中,当 NorthAmerica 域中的用户登录到 Workspace ONE Intelligent Hub 应用程序时,他们需以 [email protected] 格式输入完整的电子邮件地址。应用程序会查找相应的域,并确认 NorthAmerica 组织组中存在用户,或者可以通过目录调用在 NorthAmerica 组织组中创建用户。可以注册设备。

使用 Workspace ONE UEM 组织组映射到 Workspace ONE Access

在多个目录配置有同一电子邮件域的情况下,可配置 Workspace ONE Access 服务到 Workspace ONE UEM 组织组的映射。您需要在 Workspace ONE Access 控制台的“集成”>“UEM 集成”页面中启用将域映射到多个组织组

如果启用了“将域映射到多个组织组”选项,则 Workspace ONE Access 中配置的域可被映射到多个 Workspace ONE UEM 组织组 ID。此外,还需要管理员 REST API 密钥。

在示例 2 中,两个域被映射到不同的组织组。此外,需要一个管理员 REST API 密钥。两个组织组 ID 使用相同的管理员 REST API 密钥。

图 2. 示例 2
屏幕截图显示了两个映射到具有一个管理员 REST API 密钥的不同组织组的域

Workspace ONE Access 控制台的 UEM 集成配置页面中,为每个域配置一个特定的 Workspace ONE UEM 组织组 ID。

图 3. 示例 2 组织组配置
屏幕截图显示了两个映射到具有不同管理员 REST API 密钥的不同组织组的域

通过此配置,当用户从其设备登录到 Workspace ONE Intelligent Hub 应用程序时,设备注册请求会尝试从组织组 Europe 的 Domain3 中查找用户,或从组织组 AsiaPacific 的 Domain4 中查找用户。

在示例 3 中,一个域被映射到多个 Workspace ONE UEM 组织组。两个目录共用同一电子邮件域。该域指向相同的 Workspace ONE UEM 组织组。

图 4. 示例 3
屏幕截图显示了映射到多个组织组的域,其中有多个目录共享该域

在此配置中,当用户登录到 Workspace ONE Intelligent Hub 应用程序时,应用程序会提示用户选择他们想要注册到的组。在此示例中,用户可以选择“Engineering”或“Accounting”。

图 5. 目录共用同一域的组织组
“映射域”对话框的屏幕截图,其中有多个目录共享一个域

将设备放置在正确的组织组中

在成功找到用户记录后,设备会被添加到相应的组织组中。Workspace ONE UEM 注册设置组 ID 分配模式确定要将设备放置到的组织组。此设置位于 Workspace ONE UEM Console 的“系统设置”>“设备与用户”>“常规”>“注册”>“分组”页中。

图 6. 设备的 Workspace ONE UEM 组注册
显示“分组”选项卡的“注册”页面的屏幕截图

在示例 4 中,所有用户都位于 Corporate 组织组级别。

图 7. 示例 4
显示“分组”选项卡的“注册”页面的屏幕截图

设备放置位置取决于在 Corporate 组织组级别为“组 ID 分配模式”选择的配置。

  • 如果选择“默认”,设备将放置在用户所在的同一组中。在示例 4 中,设备将放置在 Corporate 组中。
  • 如果选择“提示用户选择组 ID”,系统将提示用户选择要将其设备注册到的组。对于示例 4,用户将在 Workspace ONE Intelligent Hub 应用程序中看到一个包含“Engineering”和“Accounting”选项的下拉菜单。
  • 如果选择“根据用户组自动选择”,设备将根据其在 Workspace ONE UEM 控制台中的用户组分配和相应映射放置在“Engineering”或“Accounting”中。

了解隐藏组的概念

在示例 4 中,当系统提示用户选择要从中注册的组织组时,用户还可以输入 Workspace ONE Intelligent Hub 应用程序显示的列表中未包含的组 ID 值。这就是隐藏组的概念。

在示例 5 中,Corporate 组织组结构中的 North America 和 Beta 配置为 Corporate 下面的组。

图 8. 示例 5
屏幕截图显示了企业组织组结构中配置的组

在示例 5 中,用户在 Workspace ONE Intelligent Hub 应用程序中输入电子邮件地址。在进行身份验证后,将向用户显示一个列表,其中显示“Engineering”和“Accounting”以供选择。Beta 不是显示的选项。如果用户知道组织组 ID,他们可以在组选择文本框中手动输入 Beta,以将其设备成功注册到 Beta。