企业文件服务器
内容管理解决方案支持与企业文件服务器 (CFS) 集成。企业文件服务器是指驻留在组织内部网络中的已有存储库。
功能
企业文件服务器集成支持以下功能:
- 安全集成
- 保护对组织内部网络的访问
- 使用 Content Gateway 的高级集成选项
安全性
内容管理解决方案提供以下安全选项:
- 对数据传输进行 SSL 加密
- 控制 Workspace ONE UEM 管理员的访问和下载权限
- 使用组织网络中存储的内容
- 仅限 Workspace ONE UEM 数据库中存储的元数据。支持查看和管理存储的元数据。
部署
根据组织的结构,Workspace ONE UEM 管理员可能具备也可能不具备 CFS 的管理员权限。在内容管理解决方案与 CFS 集成后,最终用户设备即可使用 VMware Workspace ONE Content 同步服务器中的内容。
支持企业文件服务器
Workspace ONE UEM 支持与各种企业文件服务器的集成。同步方法的支持及 Content Gateway 组件的要求因存储库类型而异。
可用的同步方法
查看存储库的可用同步方法:
- 管理员 - 表示存储库由管理员在 UEM Console 中完全配置并同步。每个分配的用户都会收到相同的文件存储库静态链接。
- 自动 – 表示存储库由管理员在 UEM Console 中配置,但允许管理员使用动态查找值。存储库将由其设备上的最终用户进行同步。每个分配的用户都会收到一个唯一或半唯一的文件存储库链接。这是用于链接到用户的主目录的有用选项。
- 手动 – 表示存储库是在 UEM Console 中配置的,但允许管理员设置链接的静态和通配符部分。每个最终用户都可以手动添加符合管理员设置的格式的存储库链接,并在其设备上同步存储库。
注意:无论存储库文件夹中有多少个文件,在按字母顺序排序的任何文件夹中,只有 1000 个文件会同步到设备。
企业文件服务器表
使用该表以按存储库类型确定支持的同步方法和 Content Gateway 要求:
| 可用存储库 | 管理员 | 自动 | 手动 |
|---|---|---|---|
| Box | ✓ | ✓ | ✓ |
| CMIS | ✓ | ✓ | ✓ |
| Google Drive | ✓ | – | – |
| 网络共享 | ✓ | ✓ | ✓ |
| OneDrive | ✓ | – | – |
| OneDrive for Business | ✓ | – | – |
| OneDrive for Business ADFS | ✓ | – | – |
| OneDrive for Business OAuth | ✓ | – | – |
| SharePoint | ✓ | ✓ | ✓ |
| SharePoint ADFS | ✓ | ✓ | ✓ |
| SharePoint O365 | ✓ | ✓ | ✓ |
| SharePoint O365 ADFS | ✓ | ✓ | ✓ |
| SharePoint O365 OAuth | ✓ | – | – |
| SharePoint - 个人 (My Sites) | ✓ | – | – |
| SharePoint WebDAV | ✓ | – | – |
| SharePoint Windows 身份验证 | ✓ | ✓ | ✓ |
| WebDAV | ✓ | ✓ | ✓ |
| 通过 Content Gateway 访问 | |||
| Box | – | – | – |
| CMIS | ✓+ | ✓+ | ✓+ |
| Google Drive | – | – | – |
| 网络共享 | ✓+ | ✓+ | ✓+ |
| OneDrive | – | – | – |
| OneDrive for Business | ✓ | – | – |
| OneDrive for Business ADFS | ✓ | – | – |
| SharePoint | ✓ | ✓ | ✓ |
| SharePoint ADFS | ✓ | ✓ | ✓ |
| SharePoint O365 | ✓ | ✓ | ✓ |
| SharePoint O365 ADFS | ✓ | ✓ | ✓ |
| SharePoint - 个人 (My Sites) | ✓ | – | – |
| SharePoint WebDAV | ✓ | – | – |
| SharePoint Windows 身份验证(适用于 Linux 的 Content Gateway) | – | – | – |
| SharePoint Windows 身份验证(适用于 Windows 的 Content Gateway) | ✓ | ✓ | ✓ |
| WebDAV | ✓ | ✓ | ✓ |
| 文档扩展 | |||
| Box | ✓ | ✓ | ✓ |
| CMIS | ✓ | ✓ | ✓ |
| Google Drive | ✓ | – | – |
| 网络共享 | ✓* | ✓* | ✓* |
| OneDrive | ✓ | – | – |
| OneDrive for Business | ✓ | – | – |
| OneDrive for Business ADFS | ✓ | – | – |
| OneDrive for Business OAuth | ✓ | – | – |
| SharePoint | ✓** | ✓** | ✓** |
| SharePoint ADFS | ✓** | ✓** | ✓** |
| SharePoint O365 | ✓** | ✓** | ✓** |
| SharePoint O365 ADFS | ✓** | ✓** | ✓** |
| SharePoint O365 OAuth | ✓ | – | – |
| SharePoint - 个人 (My Sites) | ✓** | – | – |
| SharePoint WebDAV | ✓** | – | – |
| SharePoint Windows 身份验证 | ✓** | ✓** | ✓** |
| WebDAV | ✓* | ✓* | ✓* |
| 图例: | |||
| ¥ = Linux 服务器上的 VMware Content Gateway 只支持 SMB v2.0 和 SMB v3.0。默认支持版本是 SMB v2.0。 ✓+ = 必需 ✓ = 支持 - = 不支持 ✓* = 支持,但有限制。仅限访问 VMware Workspace ONE Content 中先前已打开的存储库文件。 ✓** = 支持,但有限制。仅限访问 VMware Workspace ONE Content 中先前已下载的文件。 |
使最终用户能够访问企业文件服务器内容
通过配置管理员存储库、用户添加的自动存储库或用户添加的手动存储库,使网络中现有的企业文件服务器与 Workspace ONE UEM 同步。可用的配置会影响用于启动将内容同步到设备这一过程的触发器。
通过这个总体性的配置概述,可以全面深入地了解如何帮助最终用户访问企业文件服务器内容。
- 在 UEM console 中配置存储库。
- 下载并运行已配置的 Content Gateway 安装程序。
- 验证 UEM Console 和 Content Gateway 之间的连接性。
-
评估您的组织对多个 Content Gateway 节点的需求。
那些担心地域之间可能会出现延迟的全球性组织可以使用此功能。
-
在 UEM Console 中配置管理员存储库或同步企业文件服务器 (CFS)。
如果配置管理员存储库,则选择测试连接以确保连通性。
-
在 UEM Console 中配置 VMware Workspace ONE Content。
- 将 Workspace ONE UEM 应用程序部署到您的设备库。
配置管理员存储库
配置管理员存储库,使网络的现有企业文件服务器与 Workspace ONE UEM 同步。同步后,最终用户可以从其设备访问企业文件服务器内容。
- 在 UEM console 中导航到内容 > 存储库 > 管理员存储库。
- 选择添加。
-
配置出现的设置。
设置 说明 名称 标记内容目录 类型 从下拉菜单中选择企业文件服务器。 链接 提供目录位置的完整路径而非根域。
示例:http://SharePoint/Corporate/Documents 对于某些存储库类型,直接通过 Web 浏览器复制的 URL 可能无权访问服务器。
注意:如果所选存储库是 OAuth 存储库,则存储库 URL 必须包含“/personal”。
例如,如果您的存储库 URL xyz.abc.com,则必须将 URL 添加为 xyz.abc.com/personal。组织组 将企业文件服务器访问权限分配到选定用户组。 使用 PIV-D 派生的凭据 仅当选择 SharePoint 作为存储库类型时,此设置才可用。选中此复选框可使用 PIV-D 证书身份验证对用户进行身份验证,而不是用户名和密码。PIV-D 证书身份验证用于对要从其设备访问内部部署 SharePoint 存储库的用户进行身份验证。
注意:要支持使用 PIV-D 派生的凭据,需要在 Content Gateway 设置中配置 Kerberos。
有关 Content Gateway 上的证书身份验证设置的信息,请参见 Content Gateway 文档中的在 UEM Console 上配置 Content Gateway 主题。通过 Content Gateway 访问 如果Workspace ONE UEM 服务器的域无法访问企业文件服务器,请使用 Content Gateway。 Content Gateway 标识下拉菜单中的适当 Content Gateway 节点的唯一名称。 允许继承 允许子组织组继承与其父组织组相同的访问权限。 允许写入 允许最终用户创建并上载文件和文件夹、编辑文档并将文件签入或签出到其设备上的外部存储库。 允许文件操作 只有在选择 SharePoint O365 OAuth 或 OneDrive for Business OAuth 作为存储库类型时,此设置才可用。选中该复选框以允许 Workspace ONE Content 应用用户重命名、移动、删除云存储库上的文件。 允许删除 允许对网络共享存储库进行远程内容删除。利用此功能,最终用户可以使用 Workspace ONE Content 应用从网络共享存储库中永久删除其内容。 身份验证类型 选择管理员在 UEM Console 中对企业文件服务器所具有的访问权限级别。
无 - 禁止管理员从 UEM Console 查看和下载企业文件服务器内容。
用户 - 允许在 UEM console 中浏览存储库文件结构。将凭证输入到显示的用户名和密码文本框中。
注意:如果选中“使用 PIV-D 派生的凭据”复选框,则不会显示密码文本框。在“用户名”文本框中,提供用户的用户主体名称。仅允许从摄像头上载 选择此选项可允许用户仅从设备摄像头上载图像。 -
选择测试链接以验证连接。成功的测试结果表示企业文件服务器已成功集成。
-
填写“安全”、“分配”和“部署”标签页下的详细信息。
a. 在“安全”选项卡上,填写文本框,以控制最终用户共享敏感文档并将其移出企业介质的方式。
自 Workspace ONE UEM console 版本 9.5 开始,已移除“强制加密”设置。不管该设置是否可用,VMware Workspace ONE Content 应用默认都会对所有文件加密。
设置 说明 访问控制 设为允许脱机查看,以给予最终用户查看文档的最大自由。配置仅允许联机查看,以确保所有访问内容的设备合规,因为 Workspace ONE UEM 无法扫描脱机设备是否合规。 允许在电子邮件中打开 允许在电子邮件中打开内容。用户无法打开大于 10 MB 的文件。要允许用户打开大于 10 MB 的文件,您必须在 UEM Console 上编辑此类文件并启用此选项。无法编辑用户存储库中的文件。 允许在第三方应用中打开 授权在其他应用程序中打开此内容。您可以在 SDK 配置文件中设置一个获批准的应用列表。禁用此选项还会禁用最终用户从 iOS VMware Workspace ONE Content 打印 PDF 文档的权限。 允许保存到其他存储库 选择此项可允许最终用户将此文件保存到其个人内容中。 启用水印 选择此项可向文件添加叠加水印。将水印叠加文本配置为 SDK 配置文件的一部分。 允许打印 授权最终用户使用 AirPrint 服务器从 iOS VMware Workspace ONE Content 打印 PDF 文档。打印后,Workspace ONE UEM 管理员无法再控制内容。仅当启用“允许在第三方应用中打开”时,才支持打印。 允许编辑 此设置仅适用于启用写入权限的存储库。 b. 在“分配”选项卡上,配置设置以控制哪些用户有权访问内容。此功能可确保只有获得授权的员工才能访问机密或敏感材料,并允许您设置内容访问权限的分层层次结构。
设置 说明 设备所有权 定义为任意、企业专用、企业共享、员工所有或未定义。 组织组 要将内容分配到新组,请在文本框中键入内容。 用户组 如果与目录服务或自定义用户组集成,则指定组。 c. 在部署选项卡上,配置设置以控制最终用户访问内容的方式和时间。
设置 说明 传输方法 从下拉菜单中指定任意方法或仅限 Wi-Fi。通过将传输方法限制为 Wi-Fi,强制设备向 Workspace ONE UEM 签入以确保合规。 漫游时下载 启用此项可允许最终用户在漫游时下载内容。 下载类型 设置为通过以下两种方式之一部署内容:
自动 - 内容变为可用时在设备上安装。
按需随选 - 只根据最终用户的要求在设备上安装。下载优先级 定义以便让最终用户知道内容下载的优先级是中、高还是低。 必需 选择此项以将内容标记为 VMware Workspace ONE Content 中的必需内容。最终用户必须下载并查看必需的内容,以使其设备保持符合 Workspace ONE UEM 的规定。 生效日期 指定此日期以配置可获得内容的有限日期范围。 失效日期 指定此日期以配置可获得内容的有限日期范围。 -
选择保存。
访问正确的链接
确保为 Content Gateway 配置正确的链接。此特定规则适用于 SharePoint 2013、Office 365 以及更新版本。一些 URL 无法使用应用程序和服务进行访问,只能使用 Web 浏览器访问。如果在配置 Content Gateway 时输入了“仅限浏览器”的 URL 作为链接,则连接会失败。
- 在浏览器中输入 URL。
- 导航到页面 > 编辑属性 > 查看属性。
- 右键点击并复制链接地址。
- 将地址粘贴到 UEM Console 中的链接文本框中。
注意:您必须在 DS 和控制台服务器上为 OAuth 存储库启用 https://login.microsoftonline.com/、*.sharepoint.com 以及任何 ADFS URL。URL 被阻止时,还会禁止进行身份验证。在控制台和 ADFS 存储库的 DS 框中允许使用 ADFS 链接。
使用户能够同步企业文件服务器
通过配置最终用户同步设备所用的自动或手动模板,将 Workspace ONE UEM 与现有的内容存储库集成。同步后,最终用户可以从其设备访问企业文件服务器内容。通过将 Content Gateway 与企业文件服务器结合使用,最终用户可以安全地将内容添加、编辑和上载到企业文件服务器。
在配置自动或手动模板时,步骤可能有所不同。
-
在 UEM Console 中导航到适当的页面。
企业文件服务器类型 位置 自动模板 内容 > 存储库 > 模板 > 自动 手动模板 内容 > 存储库 > 模板 > 手动 -
选择添加。
-
填写显示的文本框。在配置管理员存储库、自动模板或手动模板时,文本框可能会变化。
设置 说明 名称 标记内容目录。 用户存储库名称(仅限自动模板) 使用查找值按照 VMware Workspace ONE Content 中最终用户的名称为存储库命名。 类型 从下拉菜单中选择企业文件服务器。 链接 对于某些存储库类型,直接通过 Web 浏览器复制的 URL 可能无权访问服务器。 链接(仅限自动模板) 在最终用户访问 VMware Workspace ONE Content 时,使用查找值创建存储库。
示例:https://sharepoint.acme.com/share/{EnrollmentUser}链接(仅限手动模板) 将 * 用作域链接的通配符,提供通往目录位置的路径。
示例:http://*.sharepoint.com
您可以将新链接添加到现有手动模板,但不能编辑或删除现有链接。添加新的列入拒绝列表的链接时要小心,因为如果出现任何错误,则无法编辑或删除这些链接。对链接进行的任何更正都需要删除整个模板。已拒绝的链接 为文件路径中的通配符 (*) 指定值。为文件路径开头和结尾的 * 指定的值,将让用户无法使用手动模板创建手动存储库和子文件夹。 组织组 将企业文件服务器访问权限分配到特定用户组。 使用派生的凭据 仅当选择 SharePoint 作为存储库类型时,此设置才可用。选中此复选框可使用 PIV-D 证书身份验证对用户进行身份验证,而不是用户名和密码。PIV-D 证书身份验证用于对要从其设备访问内部部署 SharePoint 存储库的用户进行身份验证。
注意:要支持使用 PIV-D 派生的凭据,需要在 Content Gateway 设置中配置 Kerberos。
有关 Content Gateway 上的证书身份验证设置的信息,请参见 Content Gateway 文档中的在 UEM Console 上配置 Content Gateway 主题。通过 Content Gateway 访问 如果Workspace ONE UEM 服务器的域无法访问企业文件服务器,请使用 Content Gateway。 允许继承 允许子组织组继承与其父组织组相同的访问权限。 允许写入 允许最终用户创建并上传文件和文件夹、编辑文档并将文件签入或签出到其设备上的外部存储库。
PIV-D 证书身份验证支持
在用户使用 PIV-D 派生的凭据进行身份验证后,Workspace ONE Content 应用用户将被授予访问内部部署 SharePoint 存储库和网络共享存储库的权限。基于证书的身份验证消除了用户名和密码的要求。
可以将内部部署存储库(如 SharePoint 和网络共享)配置为使用 PIV-D 派生的凭据进行身份验证。若将存储库配置为使用 PIV-D 派生的凭据,需要在 VMware Content Gateway 设置中配置 Kerberos。
设置 PIV-D 证书身份验证时,必须考虑以下必备条件:
-
必须使用正确的 SPN(服务主体名称)设置 Kerberos 限制委派 (KCD) 服务器。
-
Active Directory 必须与 Workspace ONE UEM 进行同步,并使用用户主体名称 (UPN) 作为属性。
-
服务帐户必须同时可用于 Workspace ONE UEM 和 VMware Content Gateway,以便在 Kerberos 身份验证工作流中使用。
-
必须向 Content Gateway 提供来自颁发用户证书的证书颁发机构 (CA) 的可信证书。这些证书可能只是中间证书或整个证书链,具体取决于 CA 的验证要求。
对于网络共享存储库,请确保配置键 jcifs 必须设置为 false,并且 jcifsng 必须设置为 true。
不支持 PIV-D 的证书身份验证
可以将内部部署存储库(如 SharePoint 和网络共享)配置为使用派生的凭据进行身份验证。若将存储库配置为使用派生的凭据,需要在 VMware Content Gateway 设置中配置 Kerberos。
设置证书身份验证时,必须考虑以下必备条件:
-
必须使用正确的 SPN(服务主体名称)设置 Kerberos 限制委派 (KCD) 服务器。
-
Active Directory 必须与 Workspace ONE UEM 进行同步,并使用用户主体名称 (UPN) 作为属性。
-
服务帐户必须同时可用于 Workspace ONE UEM 和 VMware Content Gateway,以便在 Kerberos 身份验证工作流中使用。
-
必须向 Content Gateway 提供来自颁发用户证书的证书颁发机构 (CA) 的可信证书。这些证书可能只是中间证书或整个证书链,具体取决于 CA 的验证要求。
对于网络共享存储库,请确保配置键 jcifs 必须设置为 false,并且 jcifsng 必须设置为 true。
缓存性能
缓存整个企业存储库后,由于内部内存不足,设备服务服务器上可能会出现内存峰值。每次,必须禁用缓存才能克服设备服务服务器上的负载。
注意:从 Workspace ONE UEM 版本 1904 起,用于禁用缓存的数据库脚本不再适用。可以通过在 API 中将 ContentCacheFeatureFlag 切换到 false 来禁用缓存:https://
实时缓存策略通过仅缓存用户访问的文件夹和内容记录来消除内存不足问题。将从缓存中移除不需要的文件夹和内容。
与使用 folderId 缓存密钥缓存整个存储库相比,将使用 RepoId 缓存密钥单独缓存文件夹。
在缓存未命中内,设备服务服务器仅加载数据库中当前文件夹的元数据,并将其存储在缓存中。在缓存命中内,设备服务服务器仅从缓存读取根级别文件夹结构。
