组织组

将组织组视为谱系图上的单个分支,每个叶都充当一个设备用户。Workspace ONE UEM 使用组织组 (OG) 识别每个分支并建立其在谱系图中的地位。大多数客户使 OG 谱系图看起来像他们的企业层次结构:高管、管理层、运营、销售等。

您还可以根据 Workspace ONE UEM 的特性和内容来建立组织组。

您可以通过导航到组与设置 > 组 > 组织组 > 列表视图或通过组织组的下拉菜单访问组织组。

  • 为您所在组织内的实体构建组(管理、已领薪水、每小时、销售、零售、HR,管理层等等)。
  • 使用父级与子级自定义层次结构(例如,将“已领薪水”和“每小时”定义为“管理”下的子级)。
  • 与层级别上的多个内部基础设施集成。
  • 根据多租户结构,委派基于角色的访问和管理。

注意:组织组列表视图将“活动设备”定义为仅在前 8 小时内向 Workspace ONE UEM Console 进行回报的那些设备。

组织组的特征

组织组可容纳功能、地域和机构实体并支持多租户解决方案。

  • 可扩展性 – 为指数增长提供灵活支持。
  • 多租户结构 – 创建可作为独立环境运作的组。
  • 继承 – 通过设立继承父级配置的子组来精简设置过程。

下图显示了一个实施地理和企业元素的 OG 层次结构示例。此屏幕截图反映了与流程图样式相同的层次结构,但它在 Workspace ONE UEM 中显示方式不同。

以组织组下拉菜单为例,配置文件、功能、应用程序及其他 MDM 设置均可在“环球企业”级别进行设置。

这些设置会由各子组织组继承,如亚太区欧洲、中东和非洲,甚至进一步下传至孙组织亚太区 > 制造部门或曾孙组织亚太区 > 运营部门 > 企业

亚太区以及欧洲、中东和非洲这样的同级组织组之间的设置利用了 OG 的多租户特性,这是通过使这些设置彼此隔开而实现的。但是,这两个同级组织组确实继承了其父级组织组(即环球企业)的设置。

此外,您可以选择在更低级别覆盖设置,并仅对您想要更改或保留的设置加以变动。这些设置可在任何级别进行修改和/或存留。

设置组织组的注意事项

在 Workspace ONE UEM Console 中设置您的组织组 (OG) 层次结构之前,请先决定组的结构。利用组结构,您可以充分运用设置、应用程序和资源。

  • 委派的管理 – 您可以向更低级别的管理员委派子组的管理权,将他们的可视范围限制在更低级别的组织组。

此图显示了具有典型零售父子 OG 的示例 OG 层次结构。

  • 公司管理员可以访问并查看环境中的一切内容。
  • 洛杉矶经理可以访问洛杉矶组织组,并且只能管理这些设备。
  • 纽约经理可以访问纽约组织组,并且只能管理这些设备。
  • 系统设置 – 设置应用于组织组树结构中的不同级别并向下继承。它们也可在任何级别上被覆盖。设置项包括设备注册选项、身份验证方法、隐私设置和品牌化。

此图显示了一个具有典型交付父子 OG 的示例 OG 层次结构。

  • 全公司参照公司 Active Directory 服务器建立注册。
  • 驾驶员设备覆盖父级身份验证并允许基于令牌进行注册。
  • 仓库设备继承父级组的 AD 设置。
  • 设备用例 – 可将一份配置文件分配给一个或多个组织组。然后,这些组中的设备可以接收该配置文件。有关更多信息,请参阅“配置文件”部分。在创建组织组之前,不妨先根据设备厂牌、型号、所有权类型或用户组等属性,使用配置文件、应用程序和内容设置来配置设备。

此图显示了具有典型企业父子 OG 的示例 OG 层次结构。

  • 主管部门的设备不能安装应用程序,但拥有访问 Wi-Fi 销售网络的权限。
  • 销售部门的设备可以安装应用程序,并拥有访问 VPN 的权限。

更改组织组

您可以通过选择屏幕右上角的组织组标记来更改组织组。

此屏幕截图显示了 OG 选择器的位置。

选中后,下拉菜单会显示您的组织组层次结构,允许您更改为另一个组织组。

比较两个组织组

您可以比较两个组织组的设置,以便减少版本迁移问题。组织组比较功能仅适用于内部部署的客户。

在比较 OG 设置时,您可以执行以下任务。

  • 上载内含不同 Workspace ONE UEM 软件版本组织组设置的 XML 文件。
  • 消除版本迁移过程中配置差异导致问题的可能性。
  • 筛选比较结果,只允许您显示您有兴趣比较的设置。
  • 通过使用搜索功能按名称搜索单一设置。

版本迁移的一个典型场景就是,在升级、配置并测试用户验收测试 (UAT) 服务器后,您可以直接将 UAT 设置与生产设置进行比较。

  1. 导航到组与设置 > 所有设置 > 管理员 > 设置管理 > 设置比较

    此屏幕截图显示了 比较组织组 系统设置页面。

  2. 从左侧的下拉菜单(标有数字 1)中选择环境中的一个组织组。另外,通过选择上载按钮,然后再选择一个导出的组织组设置 XML 文件来上载 XML 设置文件。

  3. 在右侧的下拉菜单(标有数字 2)上选择比较组织组。
  4. 通过选择更新按钮,显示选定的两个组织组的所有设置列表。
    • 系统会突出显示这两组组织组设置之间的差别。
    • 您可以选择启用仅显示差异复选框。此复选框仅显示那些应用于一个组织组,但不能应用于其他组织组的设置。
    • 空白 (或未指定) 的单独设置将在比较列表中显示为“NULL’。

创建组织组

您必须为在其中部署设备的每个业务实体创建一个组织组 (OG)。注意您目前所处的组织组是您要创建的子级组织组的父级。

  1. 导航到组与设置 > 组 > 组织组 > 详细信息

    此屏幕截图显示了“组织组”页面的“详细信息”视图,您可以使用该视图添加子组织组。

  2. 选择添加子组织组标签页,再完成下列设置。

    设置 说明
    名称 输入要显示的子组织组 (OG) 的名称。仅使用字母数字字符。请勿使用奇数个字符。
    组 ID 最终用户在设备登录期间以及将组设备注册到相应的 OG 期间使用此必需的 OG 标识符。

    确保共享设备的用户收到组 ID,因为根据“共享设备”配置,设备可能需要此 ID 才能登录。

    如果您不是在内部部署环境内,组 ID 可用于在整个共享 SaaS 环境中识别您的组织组。因此,所有组 Id 的名称都必须是唯一的。
    类型 选择预先配置的组织组类型,该类型要反映子组织组的类别。
    国家/地区 选择组织组所在的国家/地区。
    区域设置 选择所选国家/地区的语言分类。
    客户行业 此设置仅在类型为“客户”时才可用。从“客户行业”列表中选择行业。
    时区 选择组织组所在位置的时区。
  3. 选择保存

删除组织组

您可以删除组织组 (OG),前提是在其下线中的任何位置都不包含组织组子级和设备。

  1. 通过从组织组下拉菜单中选择要删除的组织组来移动到该组织组。

    此屏幕截图显示了 OG 选择器的相对位置。

  2. 导航到组与设置 > 组 > 组织组 > 详细信息

  3. 详细信息屏幕底部,检查组织组中的设备子组织组计数。如果任一条目不为零,则无法删除组织组,并且删除按钮不可用。

    您必须将所有设备从此组织组移动到另一个组织组。您要删除的组织组下线的任何子组织组在可以删除之前也不得包含任何设备。

  4. 组织组中的设备子组织组计数均为零后,您可以继续删除组织组。

  5. 选择删除按钮。
  6. 此时将显示受限制的操作 - 组织组删除屏幕,并提供有关在删除组织组之前必须采取的准备工作的警告。
  7. 在允许您继续删除之前,您必须输入您在注册为 UEM 管理员时选择的四位数安全 PIN 码。通过选择忘记安全 PIN 链接重置此 PIN。

标识任何组织组的组 ID

您可以通过执行以下步骤来确定任何组织组 (OG) 的组 ID。

  1. 通过从组织组下拉菜单中选择要标识的组织组来移动到该组织组。

    此屏幕截图显示了 OG 选择器的相对位置。

  2. 将指针悬停在 OG 标签上。弹出窗口会显示当前所选组织组的名称和组 ID。

此屏幕截图显示了将鼠标指针悬停在 OG 选择器上时如何显示组 ID。

继承、多租户和身份验证

基于每组织组覆盖设置的概念在与组织组 (OG) 特性(例如继承和多租户)结合使用时,可以进一步与身份验证相结合。此组合提供灵活的配置。

以下组织组模型说明了这种灵活性。

此图显示了由父项、子项和孙项组成的组织组层次结构模型。

在此模型中,管理员(通常拥有更大的权限和功能)位于此组织组分支的最上层。这些管理员使用特定于管理员的 SAML 登录到其组织组。

企业用户隶属管理员,因此其组织组会被归为管理员的子项。如果是一般用户而非管理员,则其 SAML 登录设置无法继承管理员设置。因此,企业用户的 SAML 设置会被覆盖。

BYOD 用户与企业用户不同。BYOD 用户使用的设备属于用户自己,并且可能包含更多个人信息。因此,这些设备配置文件可能需要略有不同的设置。BYOD 用户可能采用不同的使用条款协议。BYOD 设备可能需要不同的企业擦除参数。鉴于上述所有原因及其他因素,BYOD 用户可能需要登录到单独的组织组。

虽然从企业层次结构意义上讲,BYOD 用户不属于企业用户,但将 BYOD 用户归为企业用户的子项具有诸多益处。这种安排意味着 BYOD 用户将适用于所有企业用户设备的设置应用到企业用户组织组,就可以继承这些设置。

继承也适用于 SAML 身份验证设置。由于 BYOD 用户是企业用户的子项,因此 BYOD 用户会继承其 SAML 来获取用户身份验证设置。

备用模式用于将 BYOD 用户设置为与企业用户同级。

此图显示了由父项和两个子项组成的组织组层次结构模型。

在备用模式下,会发生以下情况。

  • 旨在全局应用到所有设备的所有设备配置文件(包括合规策略)和其他全局适用的设备设置都会应用到两个组织组,而不是其中一个。需要进行这种复制的原因是:在此模式下,不再进行从企业用户到 BYOD 用户的继承。企业用户和 BYOD 用户现在是对等的,因此不会进行任何继承。
  • 另一 SAML 覆盖必须应用于 BYOD 用户。此覆盖是必要的,因为系统假定它从其父项(即管理员)继承 SAML 设置。这种假定是错误的,因为 BYOD 用户不是管理员,与管理员具有不同的访问权和权限。
  • BYOD 用户继续与企业用户分开处理。在这种备用模式下,BYOD 用户继续使用其自己的设备配置文件设置。

确定最佳模式的因素有哪些?将全局适用的设备设置数与特定于组的设备设置数进行比较。基本上,如果您想要采用大致相同的方式处理所有设备,则请考虑将 BYOD 用户设置为企业用户的子项。如果维护单独的设置更重要,则请考虑将 BYOD 用户设置为与企业用户同级。

组织组限制

如果您尝试配置受限于组织组 (OG) 的设置,则组与设置 > 所有设置下的设置页面会告知您限制内容。

只能在客户类型的组织组中启用此设置。

以下限制适用于创建客户级别的组织组。

  • 无论是在软件即服务 (SaaS) 还是在本地环境中,您都无法创建嵌套的客户 OG。

组织组类型功能和自定义

组织组的类型可能会对管理员能够配置的设置产生影响。

  • 全局 – 最顶端的组织组。通常情况下,此组称为“全局”并且其类型为“全局”。
    • 在托管的 SaaS 环境中,您将无法访问此组。
    • 本地部署客户可以打开此级别的“详细”日志记录。
  • 客户 – 每个客户的高级别组织组。
    • 客户组织组不能拥有任何“客户”类型的子级/父级组织组。
    • 基本工作流只能发生在客户类型 OG 内或其层次结构内。这些工作流包括添加设备、登记和注册设备、用户组映射、智能组创建和映射、更改设备上的 OG(或将设备从一个 OG 移至另一个 OG),以及设备签出。
    • 某些设置仅可以在客户组级别配置。这些设置会筛选到较低级别的容器类型 OG。
      • 自动发现电子邮件域
      • 设备注册计划设置(AirWatch 8.0 之前的版本)
      • 个人内容
      • 必须在父级客户 OG 中启用 Apple VPP(批量购买计划),然后子容器类型 OG 功能才能使用 VPP 功能。
      • Samsung Enterprise FOTA
      • Hub 软件包
      • 自定义属性
      • 中继服务器
      • Intelligence
      • 传感器
      • 应用扫描和应用移除保护
      • 用于应用交付的 CDN(内容交付网络)
      • 用于内容管理的 NFS 存储将变为可配置
      • Workspace One Hub 服务
      • 条件访问
      • MAG(移动接入网关)
      • LBUS(本地基本用户同步)
      • Dynamic Environment Manager
      • Mobile Flows
  • 容器 – 默认组织组类型。
    • 低于客户组织组级别的所有组织组必须为容器类型。您可以具有级别介于合作伙伴和客户组之间的容器。
  • 合作伙伴 – 合作伙伴的高级别组织组(Workspace ONE UEM 的第三方经销商)。
  • 目标客户 – 潜在客户。与客户组织组类似,其功能可能少于真正的客户组。

还有其他组织组类型,如部门、区域,同时您可以定义自己的组织组类型。

添加组织组类型

您可以添加自定义组织组类型。这些类型不具有任何特殊的特性,且功能与容器组织组类型相同。

要创建自己的组织组类型…

  1. 导航到组与设置 > 组 > 组织组 > 类型,然后选择添加组织组类型按钮。
  2. 输入您想要的组织组类型的名称及其描述
  3. 选择保存

不应在“全局”注册设备的原因

将设备直接注册到顶级组织组 (OG)(通常称为“全局”)并不是好办法,原因包括:多租户、继承和功能。

多租户

您可以根据需要分配多个子组织组,然后单独配置每一个组。您应用到子组织组的设置不会影响其他同级子组织组。

继承

对父级组织组所做的更改会应用于子级组织组。反之,对子级组织组所做的更改不会应用于父级组织组或同级其他子组织组。

功能性

有几种设置和功能仅可为“客户”类型组织组进行配置,包括擦除保护、电信和个人内容。系统将从这些设置和功能中排除直接添加到顶级全局组织组的设备。

“全局”组织组 (OG) 专门用于容纳“客户”和其他类型的 OG。考虑到继承功能的工作方式,如果您向“全局”添加设备,并为“全局”配置将会影响这些设备的设置,则还会影响其下的所有“客户”OG。这会损害多租户和继承的优势。

组织组的覆盖与继承设置

您所创建的组织组 (OG) 结构的层次结构将确定哪些 OG 是子项,哪些是父项。子 OG 从其父 OG 继承设置,但您可以选择覆盖此继承。

每个系统设置页面根据两种类型的继承/覆盖选项(组织组层次结构相关)应用其设置:1)“当前设置”和 2)“子权限”。其应用设置的 OG 是您当前所在的 OG。

换句话说,如果您属于“员工\仓库”OG,则您对设置所做的更改将应用于该 OG 以及属于仓库 OG 子项的所有 OG。

例如,通过导航到组与设置 > 所有设置 > 系统 > 品牌化找到的品牌化设置页面控制组织组下拉列表中可见的 OG 的所有自定义背景图像、徽标和颜色方案。

在应用前面的示例后,您可以导入新的背景图像、新徽标、不同的颜色方案,这些都特定于“员工\仓库”OG。您还可以将设置配置为应用于仓库 OG。通过在设置页面上更改此 OG 的继承来启用此选项。

子权限

将“子权限”设置视为父 OG 对子 OG 的态度。子权限有三种不同的设置:继承或覆盖仅继承仅覆盖

继承或覆盖设置只表示父项对于子项的权限没有偏好。当父项的“子权限”设置为继承或覆盖时,子 OG 的“当前设置”将确定它们是覆盖还是继承设置。默认情况下,“子权限”设置为继承或覆盖

父项的仅继承的“子权限”设置将在所有子项上强制继承。此设置表示所有子项都具有与父项相同的设置。仅覆盖的“子权限”设置将撤消对所有子 OG 的继承影响,要求您配置特定于该子 OG 的设置。

“子权限”设置仅影响更低一级别的子项。此类设置对孙项或更低的 OG 没有影响。

当前设置

如果子权限是父级对子级的态度,则组织组的当前设置是子级对父级的态度。“当前设置”只能是继承覆盖

继承的“当前设置”表示子 OG 接受父 OG 的所有设置。选择“当前设置”覆盖,子项将拒绝父项并使用其自己的设置。选择覆盖意味着您可以重新对子项进行设置。

仅当父 OG 的“子权限”设置为继承或覆盖时,您才能更改 OG 的“当前设置”。

继续上面的示例,如果您希望品牌化设置影响仓库 OG,则可以将仓库的每个子 OG 的“当前设置”更改为覆盖,前提是该仓库的“子权限”为默认的继承或覆盖。然后,您可以根据需要为仓库子项配置与仓库不同或相同的品牌化设置。

更改权限设置

如果父项的“子权限”设置不允许,那么您无法更改子项的“当前设置”。例如,如果 MomandDadOG 的“子权限”设置为仅覆盖,则无法将 JuniorOG 的“当前设置”更改为继承。简言之,父 OG 的“子权限”设置优先于子 OG 的“当前设置”。

当将子项的“当前设置”从覆盖更改为继承时,将其父项的“子权限”设置更改为仅继承会锁定子 OG 的“子权限”设置。在这种情况下,您无法更改子权限设置。如果子 OG 设置从不被覆盖,则此行为不适用。

解决此问题的方法是,您必须将父 OG 上的“子权限”设置更改为继承或覆盖,从而解锁子 OG 的“子权限”设置。

更大的首选战略是提前进行规划,将继承和覆盖设置配置到 OG 级别,使其对您想要的层次结构有意义。

check-circle-line exclamation-circle-line close-line
Scroll to top icon