通过目录集成来形成用户组可以产生一种适用于设备管理的一致方法:设备注册与后续更新、管理概览及用户管理全部在现有的目录服务结构中紧密衔接。

前提条件

确保用户组的 类型目录

过程

  1. 导航到帐户 > 用户组 > 列表视图,选择添加,然后再选择添加用户组
    设置 说明
    类型

    选择“用户组”类型。

    • 目录 – 创建与现有 Active Directory 结构一致的用户组。
    • 自定义 – 在您的组织的现有 Active Directory 结构之外创建用户组。此用户组类型向基本用户和目录用户授予对各项功能和内容的访问权限,以根据您的部署自定义用户组。只能在客户级别的组织组添加自定义用户组。
    外部类型

    选择要添加的组的外部类型。

    • – 指的是您的用户组所基于的组对象类别。通过导航到组与设置 > 所有设置 > 系统 > 企业集成 > 目录服务 > 自定义此类别。
    • 组织单位 – 指的是您的用户组所基于的组织单位对象类别。通过导航到组与设置 > 所有设置 > 系统 > 企业集成 > 目录服务 > 自定义此类别。
    • 自定义查询 – 您也可以创建一个用户组,使其包含您通过运行自定义查询找到的用户。选择此外部类型将会替换“搜索文本”功能,但会显示“自定义查询”部分。
    搜索文本

    输入搜索条件并选择搜索进行搜索,以识别目录中的用户组名称。如果目录组包含您的搜索文本,则会显示一个组名称列表。

    外部类型设置为自定义查询时,此选项不可用。

    目录名称 显示您的目录服务服务器地址的只读设置。

    组基本 DN

    这些信息将根据您在目录服务页面(组与设置 > 系统 > 企业集成 > 目录服务)所输入的目录服务的服务器信息自动填充。

    选择组基本 DN 设置(它会显示一个供您选择的标识名元素列表)旁的获取 DN 加号 (+)。

    自定义对象类别

    用于识别您的查询在其名下运行的对象类别。默认对象类别为“person”,但您可以提供一个自定义对象类别,以便更成功、更精准地识别您的用户。

    此选项只有在选择自定义查询作为外部类型时才可用。

    组名称

    从您的搜索文本结果列表中选取一个组名称。选择组名称会自动更改“标识名”设置中的值。

    此选项仅在您通过搜索文本设置成功完成搜索之后可用。

    可分辨名称

    这是一个只读设置,显示您要创建的组的完整标识名。

    此选项只有在选择组织单位作为外部类型时才可用。

    自定义基本 DN

    用于识别可用作您的查询起始点的基本可分辨名称。默认的基本可分辨名称为“AirWatch”和“sso”。但是,您如果希望从不同起始点运行查询,则可以提供一个自定义基本标识名。

    此选项只有在选择自定义查询作为外部类型时才可用。

    组织组分配

    您可以使用此可选设置将要创建的用户组分配给特定组织组。

    此选项只有在选择组织单位作为外部类型时才可用。

    用户组设置

    应用默认设置对此用户组使用自定义设置之间进行选择。有关其他设置描述,请参阅自定义设置部分。您可以在创建组之后,从组的许可设置处配置此选项。

    此选项只有在选择组织单位作为外部类型时才可用。

    自定义查询 - 查询 此设置显示当您选择测试查询按钮以及选择继续按钮后,将运行的当前已加载的查询。您对自定义逻辑设置或自定义对象类别设置所做的更改将反映在此处。
    自定义逻辑 在此处添加您的自定义查询逻辑,例如用户名称或管理员名称。例如,“cn=jsmith”。您可以根据需要添加任意数量的可分辨名称。利用测试查询按钮,您可以在选择继续按钮之前查看您的查询语法是否正确。
    自定义设置 - 管理权限 您可以允许或禁止所有管理员管理您要创建的用户组。
    默认角色 从下拉菜单中为用户组选择默认角色。
    默认注册策略 从下拉菜单中选择默认注册策略。
    自动与目录同步

    此选项将启用目录同步功能,该功能将会从目录服务器检测用户成员资格并将其存储在临时表格中。除非选中“自动合并”选项,否则对控制台进行的更改都必须经过管理员批准。

    如果您希望在计划的同步期间禁止用户组自动进行同步,则必须禁用此设置。

    自动合并更改 启用此选项即可从数据库自动应用同步更改,而无需管理员批准。
    允许的更改次数上限

    您可以使用此设置为不需要获得批准即可进行的自动用户组同步更改次数设置阈值。

    超过阈值的更改需要获得管理员的批准,并且会为此发送一个通知。

    此选项只有在已启用自动合并更改时才可用。

    自动添加组成员

    启用此设置即可自动向用户组添加用户。

    如果您希望在计划的同步期间禁止用户组自动进行同步,则必须禁用此设置。

    添加遗漏的用户时向用户发送电子邮件 启用后,在将遗漏的用户添加到用户组时,系统将向用户发送电子邮件。添加缺失的用户意味着将临时用户组表与 Active Directory 表合并。
    消息模板

    此选项只有在已启用添加缺失的用户时向用户发送电子邮件时才可用。

    将缺失的用户添加到用户组时,选择要用于电子邮件通知的消息模板。

    Workspace ONE UEM console 添加新的 Active Directory 用户时,消息模板的可用性取决于在组与设置 > 所有设置 > 设备与用户 > 常规 > 注册中配置的注册模式,配置方法是选择身份验证,并在设备注册模式选项中做出相应的选择。

    当选择开放注册作为设备注册模式时,消息模板下拉列表中将提供一个用户激活电子邮件模板。此电子邮件允许新 AD 用户进行注册。

    当选择仅限登记的设备注册作为设备注册模式时,消息模板下拉列表中将提供一个设备激活电子邮件模板。此电子邮件允许新 AD 用户注册其设备。如果启用了需要登记令牌,则可以使用消息中嵌入的令牌登记设备。

    有关标识名的更多信息,请在 https://technet.microsoft.com/搜索标题为“Object Naming”的 Microsoft TechNet 文章。

  2. 选择保存