Freestyle Orchestrator
使用 Intelligence 上的 Freestyle(也称为工作流)可自动执行已集成并在 Intelligence 中注册的第三方服务和连接器的操作。要使用工作流,请注册服务或连接器,然后使用特定的触发器和操作配置工作流。
什么是 Freestyle Orchestrator?
Freestyle Orchestrator on Intelligence(以前称为 Intelligence 自动化)是一个低代码、无代码工作流平台,可帮助 IT 管理员通过根据触发器排序任务自动处理复杂的业务用例。触发器按计划手动启动,或者由来自多个连接器(Workspace ONE或第三方服务)的事件自动启动。
在使用 Freestyle 之前,请通过设置所有数据源和工作流连接器,确保已完全配置 Workspace ONE 实例。在 Integrations 部分中授权您的 Workspace ONE 和第三方连接器。
工作流组件
要充分利用您的工作流体验,了解工作流中的构建块非常重要。工作流由通过 Workspace ONE 或集成的第三方服务启动一组操作的状态更改或趋势所导致的触发。
要了解有关 Freestyle Orchestrator 系统技术架构的更多信息,请阅读此 Tech Zone 博客。
触发器
Workspace ONE Intelligence 中的 Freestyle 功能可监控触发工作流的入站数据和现有数据。您可以自定义该工作流以应用于 Workspace ONE 环境和第三方服务中的特有方案。触发器作用于在您保存它们之后立即反映其配置的状态。然后,工作流会监控状态更改数据并按配置进行操作。
操作
工作流提供了许多操作,可帮助解决与 Workspace ONE 和第三方产品之间的日常 IT 任务、部署和合规性相关的问题。工作流引擎根据工作流画布中的配置按顺序执行操作。
条件
工作流使用条件在工作流中间添加进一步的评估和备选执行路径。
组
工作流提供分组,以便您可以将工作流操作组织到组中。工作流引擎在组中并行执行操作,而不是按顺序执行。每个组都会获得一个唯一名称,以便于在日志中筛选。一个组中最多可以有五个操作。
组中某个操作失败不会影响组中的其他操作。但是,工作流引擎会取消在外部以及包括任何操作失败的组之后定义的操作。
工作流限制
- 您最多可以向工作流添加 10 个操作。如果添加的操作超过 10 个,系统将显示错误,并且您无法保存并使用工作流。
- 您的组织中最多可以有 50 个工作流。
使用自动触发器设置的优势
自动触发器设置对时间序列数据和快照数据执行操作非常有效。下表说明了使用自动触发器设置与计划触发器设置相比的优势。使用自动触发设置的工作流会立即获取所有设备的单个通知。但是,使用计划触发设置的工作流在执行工作流时会收到通知。
触发设置 |
触发规则 |
操作 |
工作流行为 |
自动 |
防火墙状态 > 等于 > 已禁用 |
发送 Slack 消息 |
每当报告的防火墙状态变为停用时,工作流引擎会立即向管理员或通道发送所有受影响设备的单个 Slack 消息。 |
计划
每天下午 4 点 |
防火墙状态 > 等于 > 已禁用 |
发送 Slack 消息 |
每天下午 4 点,工作流引擎会向管理员或频道发送 Slack 消息。它会为防火墙状态在下午 4 点报告为已停用的每个设备发送电子邮件。 |
创建工作流
要创建工作流,请确保在 Intelligence 中注册了要使用的服务和连接器。然后,使用已注册的服务和连接器设置工作流。
步骤 1:注册服务和连接器
添加第三方服务、受管连接器或自定义连接器,以便在工作流中使用其操作。请参阅适用的主题,了解如何注册连接器。
连接器 |
UI 中可用 |
数据源
Workspace ONE Hub 服务 Workspace ONE Intelligence Workspace ONE Mobile Threat Defense Workspace ONE UEM BETTER Mobile Carbon Black Check Point 员工体验 (DEEM) Horizon Lookout Netskope Pradeo Wandera Zimperium |
|
工作流连接器
自定义连接器 Workspace ONE Hub 服务 Workspace ONE UEM ServiceNow Slack Web API |
|
步骤 2:设置工作流
通过使用工作流画布设置工作流,开始自动化您的 IT 环境。
- 在 Workspace ONE Intelligence 中,导航到工作区 > Freestyle > 添加工作流。
- 输入工作流的名称。
- 使用所需数据源设置触发器,或浏览模板以获取新观点。
- 如果从模板开始,请使用筛选器或搜索,以根据您的用例缩小模板的范围。
- 例如,您可以选择选项设备 > 电池,然后从列出的模板中进行选择。
- 选择触发设置。
重要提示:使用手动或计划触发类型时,将显示运行按钮,以允许根据需要手动执行。由于节流限制,同一工作流每小时不能多次执行此操作。
- 自动:当入站事件与触发规则匹配时自动执行工作流。选择此触发器是在保存时对现有数据执行还是仅对新入站数据执行。
- 所有集成类型都支持此菜单项。
- 自动触发对从所选数据源接收的实时事件数据起作用。
- 有关此触发设置的优点的详细信息,请参阅使用自动触发设置的优势一节。
- 计划:定义工作流的运行时间。
- 在设置已调度工作流时,报告数据仓库中的数据会提供 Freestyle 的快照和历史数据。
- 手动:按需执行工作流(适用于一次性操作)。
- 在设置手动的一次性工作流时,报告数据仓库中的数据会提供 Freestyle 的快照和历史数据。
- 使用所需的属性配置触发规则。此步骤至关重要,因为工作流基于所选数据源和数据筛选器来定位数据集。
- 通过从左侧组件拖放操作图标或使用画布上的 + 添加步骤图标来添加操作。
- 工作流会在确定触发器时执行此操作。
- 您最多可以添加 10 个操作。
- 您还可以根据希望工作流的执行方式添加条件和组。
- 选择此选项可刷新画布顶部的潜在影响菜单项。潜在影响是当前与筛选器匹配的所有目标的数量。潜在影响结果取决于所选的触发设置。
- 自动 - 潜在影响显示所有目标,但工作流执行仅针对之前运行中未包括的新目标。
- 计划 - 潜在影响包括执行时的所有目标。
- 手动 - 显示的潜在影响数量是运行自动化的实际目标数。
- 选择以查看潜在影响结果,查看目标预览(如果有要查看的目标)。
- 尽管目标显示在潜在影响预览中,但如果其状态发生更改且不再与触发规则匹配,则它不再是目标,并且 Intelligence 在工作流运行时不包含该目标。
- 使用分组方式按 Intelligence 数据中的数据属性对数据进行分组。例如,您可以按设备数据或应用数据对数据进行分组。
- 使用箭头关闭“潜在影响”结果。
- 选择一个连接器,然后从该连接器中选择一个可用操作。
- 保存工作流。在名称附近查看工作流的激活切换开关。您可以随时激活工作流。
- 保存:当您准备好执行工作流时,使用此菜单项保存您的工作。保存不会启动工作流机制。
- 启用工作流:使用此菜单项激活工作流。其会立即扫描数据,并对与配置的标准相匹配的筛选器起作用。然后,它继续监控标准的数据,并继续执行相应的操作。
条件
Workspace ONE Intelligence 提供了在 Freestyle Orchestrator 中使用的条件,以便您可以定义中间工作流的操作序列,而无需创建单独的工作流。
优势
条件可减少为每个特定场景维护单独工作流的开销。根据条件,您可以使用通用触发规则为一个工作流中的每个不同场景创建备用执行路径。例如,如果没有条件,您必须为每个合规性场景所需的每个操作创建单独的工作流。现在,您可以在单个工作流中使用多个操作为多个合规性方案添加条件。
创建具有条件的工作流
在工作流画布上查找条件菜单项作为拖放选项。
重要提示:检查工作流的潜在影响,并通过指定更严格的筛选器在少量目标上测试工作流,确保工作流操作按预期运行。
- 在 Workspace ONE Intelligence 中,导航到工作区 > Freestyle > 添加工作流。
- 输入工作流的名称。
- 使用所需数据源设置触发器。
- 选择触发设置。
- 配置触发规则。
- 通过从左侧组件拖放条件图标或使用画布上的 + 添加步骤图标来添加操作。
- 您必须向 Then 分支或 Else 分支添加操作。
- 您可以嵌套条件,并且必须向嵌套条件组中的至少一个条件添加操作。
- 命名条件以提高可读性。
- 在条件窗口中设置此条件的筛选器。
- 设置条件的 If 语句。
- 设置条件的 Then 语句。
- 如果嵌套条件,则必须将操作添加到嵌套组中的一个条件中。
- 设置条件的 Else 语句。
- 您可以将 Else 语句留空,可以停止工作流、继续执行其他操作或添加更多条件。
- 选择此选项可刷新画布顶部的潜在影响菜单项。
- 选择此选项可查看潜在影响结果。
- 如果需要,请重新修改触发规则或条件,减少目标资源的数量。
- 保存工作流。您可以随时激活工作流。
条件示例
查找已注册 Windows 设备,检查设备的防火墙状态,如果状态不等于通过,则安装 Workspace ONE UEM 防火墙配置文件以更新防火墙。
- 在 Workspace ONE Intelligence 中,导航到工作区 > Freestyle > 添加工作流。
- 输入工作流的名称。
- 在我们的示例中,我们可以使用更新 Windows 防火墙。
- 使用所需数据源设置触发器。
- 在我们的场景中,使用 Workspace ONE UEM > 设备作为数据源。
- 选择触发设置。
- 配置触发规则。
- 此方案的触发规则为设备 > 注册状态 > 等于 > 已注册。
- 通过从左侧组件拖放条件图标或使用画布上的 + 添加步骤图标来添加操作。
- 命名条件以提高可读性。在这种情况下,输入 Check Windows Platform(检查 Windows 平台)。
- 设置条件的 If 语句。
- 对于该场景,请设置设备 > 平台 > 等于 > Windows 桌面。
- 我们在条件中使用的属性与在触发规则中使用的属性相同。
- 设置条件的 Then 语句。
- 对于该场景,让我们嵌套另一个条件,以便可以检查防火墙的状态。
- 将第二个条件命名为防火墙状态未通过 > 安装防火墙配置文件。
- 选择设备 >防火墙状态 > 不等于 >通过。
- 为第二个嵌套条件设置 Then 语句。
- 将操作添加为 Workspace ONE UEM > 安装配置文件。
- 工作流引擎会安装 UEM 防火墙配置文件,以在确定防火墙状态不是通过时更新防火墙。
- 嵌套组中的一个条件具有分配的操作。
- 将设备 ID 条目保留为默认值。
- 对于配置文件 ID 名称,请选择您的 UEM 防火墙配置文件。
- 将第一个和第二个条件的 Else 语句留空。
- 选择此选项可刷新画布顶部的潜在影响菜单项。
- 检查工作流是否针对的资源过多。
- 潜在影响结果取决于所选的触发设置。
- 对于自动触发设置,潜在影响显示所有目标,但工作流执行仅针对之前运行中未包括的新目标。
- 选择此选项可查看潜在影响结果。
- 如果需要,请重新修改触发规则或触发条件以减少目标资源的数量。
- 保存工作流。您可以随时激活工作流。
配置场景
您必须在触发规则中为工作流配置所有必要数据。如果使用条件,则需要使用特定配置(相同的实体或 1:1 关系),或者需要在触发规则中引用条件实体(1:N 关系)。
什么是实体和属性?
触发规则和条件由包含实体和属性的触发筛选器组成。在屏幕截图中,设备是实体,防病毒状态是属性。
等于和通过是设备 > 防病毒状态实体属性对的限定符。
场景
要使条件正常运行,请使用场景列表中列出的方法之一配置条件。
这些场景是触发规则中的实体与条件中的实体之间的关系示例。
场景 1:相同的实体
- 解释
- 示例
- 数据源和触发规则使用调查实体引用
Apps Survey
条件还包含用于评估的调查实体。
- 工作流可以有多个条件,但所有条件都必须使用调查实体。
场景 2:一对一 (1:1) 关系
- 解释
- 触发规则使用一个实体,条件使用另一个实体。但是,触发规则和触发条件中的实体具有一对一的关系。
- 例如,在触发规则中使用设备实体时,工作流引擎可以识别条件中的唯一用户实体。
- 在触发规则中使用设备实体时,另一个示例是工作流引擎可以识别特定传感器实体的值,如条件中的
device_manufacturer_name
。
- 示例
- 数据源和触发规则使用设备实体来查看设备是否已注册,条件使用用户实体来检查设备用户是否在 HR 用户组中。
- 触发规则和条件使用 1:1 实体关系,因为工作流引擎会识别在特定用户组中注册的特定设备。
- 只要每个条件实体与触发规则实体具有 1:1 关系,这些工作流就可以具有多个条件。
场景 3:一对多 (1:N) 关系
- 解释
- 触发规则使用一个实体,条件使用另一个实体。但是,触发规则和触发条件中的实体具有 1:N 关系。
- 例如,单个设备分配或安装了许多应用程序。在这种场景下,触发规则具有设备属性,并且条件包括应用程序属性。
- 类似的示例是设备实体与配置文件、产品或 操作系统更新实体之间的关系。
- 这种 1:N 关系会阻止系统使用触发规则中的实体来唯一地标识条件中的实体实例。
- 此配置可能很复杂,需要额外的配置。
- 示例
- 触发规则中的设备实体会检查设备的名称,但条件中的应用实体会检查应用 > 应用安装状态,并且此设备上面安装了许多应用。
- 系统不允许您保存此工作流。
- 请参见添加配置 - 1:N 关系一节,了解如果要使用此关系但出现此 UI 错误时可以执行的操作。
其他配置 - 1:N 关系
在触发规则和条件之间使用 1:N 关系时,必须添加另一个引用条件实体的触发规则。执行工作流时,该工作流将触发规则(原始实体)和引用条件的实体中的匹配记录定位。
添加引用条件实体的触发规则可增加工作流引擎在大量迭代中执行的可能性,因为它与记录匹配。将工作流设置为按计划运行时,运行迭代的可能性进一步增加。工作流中具有 1:N 关系的目标可能过多,因此请检查潜在影响。
操作
- 如果在条件中使用其他实体,则必须包含引用条件中引入的实体的触发规则。
注意:如果使用 1:1 关系,则不必包含额外的触发规则。
- 系统需要此引用条件实体的触发规则,因为它需要加入不同实体的数据以查找匹配的记录并显示结果。
- 如果我们重新访问场景列表中的 1:N 关系示例,则可以将触发规则添加为应用名称 > 等于> Intelligent Hub。
- 此筛选器引用在条件(应用 > 应用安装状态)中引入的实体应用,并且完成设备和应用实体的加入。
- 触发规则中的实体具有更强的限制性,并且更有可能最大限度减少工作流可迭代的匹配设备和应用程序对(也称为潜在影响)。
- 如果未添加引用条件实体的触发规则,则无法保存工作流,并且 UI 将显示错误。
- 检查潜在影响。
- 通过添加限制性更高的筛选器,在少量目标上测试工作流,以查看其是否按预期执行。例如,筛选器设备 GUID > 等于 > 测试设备的 GUID 中的属性会限制迭代以查找特定设备 GUID。
- 如果适用,请使用自动触发设置。
- 请考虑创建单独的工作流。
其他配置 - 状态更改
工作流获取的数据用于在工作流执行开始时(而不是评估时)评估条件。
如果属性的状态因条件前的操作(例如移除应用或更新设备)而发生更改(例如从 true 更改为 false),则工作流在开始时不会发生此状态更改,并且系统不会报告结果中的状态更改。
操作
- 在条件中使用在工作流执行期间不会更改状态的属性。属性状态更改的一个示例是由于移除已购买应用的操作导致的,应用安装状态从 true 更改为 false。
- 使用单独的工作流来执行在状态更改后将发生的操作。
工作流与合规引擎有何区别?
- 工作流 - 其决策引擎通过设备和应用程序对触发器起作用,以跨数字工作区环境自动执行操作。
- 您可以将决策引擎扩展到第三方服务。使用 Freestyle 平台定义设备类别场景(如电池百分比和所有权)的工作流,并在 Workspace ONE 部署中安装应用程序和其他资源。
- 您也可以在包含 Workspace ONE 部署的各个层面的场景中使用它。使用它安装或移除应用程序和配置文件以确保安全,通知感兴趣的团队关注工作流,并将这些功能扩展到第三方解决方案。
- 合规性 - 其引擎将针对在设备再次合规后用户可以返回资源的闭环工作流起作用。
- 合规性用于关注修复和设备状态的方案。
- 使用该选项可强制设备遵守制定的安全策略。移除资源,直到设备遵守使其返回工作状态的已设定的合规规则为止。
FedRAMP 注意事项
NIST 特别出版物 800-47 版本 1:管理信息交换安全将系统互连定义为直接连接两个或多个 IT 系统,用于共享数据和其他信息资源。
连接 IT 系统是客户配置的一项功能。在 Workspace ONE Intelligence 中连接 IT 系统之前,请与您的授权人员讨论连接非 FedRAMP 认可的信息系统的风险。AWS GovCloud 上的 Workspace ONE 以及 Workspace ONE Intelligence 是经过 FedRAMP 认证的中等信息系统。在将信息系统连接到具有不同安全要求和控制的其他系统时,请仔细考虑风险。
请联系联邦支持热线 (877-869-2730 选项 2),或者使用 My Workspace ONE 提交支持请求以获取更多详细信息,并启用客户控制的第三方与其他系统的连接。