将组织组视为谱系图上的单个分支,每个叶都充当一个设备用户。Workspace ONE UEM powered by AirWatch 将标识每个叶,并使用组织组 (OG) 确立其在谱系图中所处的位置。大多数客户都会让 OG 树看起来像其公司的层次结构:执行官、管理层、运营、销售等。

您也可以根据 Workspace ONE UEM 的特性和内容来建立组织组。

要访问组织组,请导航到组与设置 > > 组织组 > 列表视图,或使用组织组下拉菜单。

  • 为您所在组织内的实体构建组(管理、已领薪水、每小时、销售、零售、HR,管理层等等)。
  • 使用父级与子级自定义层次结构(例如,将“已领薪水”和“每小时”定义为“管理”下的子级)。
  • 与层级别上的多个内部基础设施集成。
  • 根据多租户结构,委派基于角色的访问和管理。
注: 组织组列表视图将“活动设备”定义为仅在前 8 小时内向 Workspace ONE UEM console 进行回报的那些设备。

组织组的特征

组织组可容纳功能、地域和机构实体并支持多租户解决方案。

  • 可扩展性 – 为指数增长提供灵活支持。
  • 多租户结构 – 创建可作为独立环境运作的组。
  • 继承 – 通过设立继承父级配置的子组来精简设置过程。

以组织组下拉菜单为例,配置文件、功能、应用程序及其他 MDM 设置均可在“环球企业”级别进行设置。

这些设置会由各子组织组继承,如亚太区欧洲、中东和非洲,甚至进一步下传至孙组织亚太区 > 制造或曾孙组织亚太区 > 运营 > 企业

亚太区以及欧洲、中东和非洲这样的同级组织组之间的设置利用了 OG 的多租户特性,这是通过使这些设置彼此隔开而实现的。但是,这两个同级组织组确实继承了其父级组织组(即环球企业)的设置。

此外,您可以选择在更低级别覆盖设置,并仅对您想要更改或保留的设置加以变动。这些设置可在任何级别进行修改和/或存留。

设置组织组的注意事项

Workspace ONE UEM console中设置您的组织组 (OG) 层次结构之前,请先决定组的结构。利用组结构,您可以充分运用设置、应用程序和资源。

  • 委派的管理 – 您可以向更低级别的管理员委派子组的管理权,将他们的可视范围限制在更低级别的组织组。
  • 公司管理员可以访问并查看环境中的一切内容。
  • 洛杉矶经理可以访问洛杉矶组织组,并且只能管理这些设备。
  • 纽约经理可以访问纽约组织组,并且只能管理这些设备。
  • 系统设置 – 设置可应用于组织组树结构中的不同级别并向下继承。它们也可在任何级别上被覆盖。设置项包括设备注册选项、身份验证方法、隐私设置和品牌化。
  • 全公司参照公司 Active Directory 服务器建立注册。
  • 驾驶员设备覆盖父级身份验证并允许基于令牌进行注册。
  • 仓库设备继承父级组的 AD 设置。
  • 设备用例 – 可将一份配置文件分配给一个或多个组织组。然后,这些组中的设备可以接收该配置文件。有关更多信息,请参阅“配置文件”部分。在创建组织组之前,不妨先根据设备厂牌、型号、所有权类型或用户组等属性,使用配置文件、应用程序和内容设置来配置设备。
  • 主管部门的设备不能安装应用程序,但拥有访问 Wi-Fi 销售网络的权限。
  • 销售部门的设备可以安装应用程序,并拥有访问 VPN 的权限。

比较两个组织组

您可以比较两个组织组的设置,以便减少版本迁移问题。组织组比较功能仅适用于内部部署的客户。

在比较 OG 设置时,您可以执行以下任务。

  • 上载内含不同 Workspace ONE UEM 软件版本组织组设置的 XML 文件。
  • 消除版本迁移过程中配置差异导致问题的可能性。
  • 筛选比较结果,只允许您显示您有兴趣比较的设置。
  • 通过使用搜索功能按名称搜索单一设置。

版本迁移的一个典型场景就是,在升级、配置并测试用户验收测试 (UAT) 服务器后,您可以直接将 UAT 设置与生产设置进行比较。

  1. 导航到组与设置 > 所有设置 > 管理员 > 设置管理 > 设置比较
  2. 从左侧的下拉菜单(标有数字 1)中选择环境中的一个组织组。另外,通过选择上载按钮,然后再选择一个导出的组织组设置 XML 文件来上载 XML 设置文件。
  3. 在右侧的下拉菜单(标有数字 2)上选择比较组织组。
  4. 通过选择更新按钮,显示选定的两个组织组的所有设置列表。
    • 系统会自动高亮显示这两组组织组设置之间的差别。
    • 您可以选择启用仅显示差异复选框。此复选框仅显示那些应用于一个组织组,但不能应用于其他组织组的设置。
    • 空白 (或未指定) 的单独设置将在比较列表中显示为“NULL”。

创建组织组

您必须为在其中部署设备的每个业务实体创建一个组织组 (OG)。注意您目前所处的组织组是您要创建的子级组织组的父级。

  1. 导航到组与设置 > > 组织组 > 详细信息
  2. 选择添加子组织组标签页,再完成下列设置。
    设置 说明
    名称 输入要显示的子组织组 (OG) 的名称。仅使用字母数字字符。请勿使用奇数个字符。
    组 ID

    输入组织组的识别符,供最终用户在设备登录期间使用。组 ID 用于在注册时将设备划归到相应的组织组。

    确保共享设备的用户收到组 ID,因为根据“共享设备”配置,设备可能需要此 ID 才能登录。

    如果您不是在内部部署环境内,组 ID 可用于在整个共享 SaaS 环境中识别您的组织组。因此,所有组 Id 的名称都必须是唯一的。

    类型 选择预先配置的组织组类型,该类型要反映子组织组的类别。
    国家/地区 选择组织组所在的国家/地区。
    区域设置 选择所选国家/地区的语言分类。
    客户行业 此设置仅在类型为“客户”时才可用。从“客户行业”列表中选择行业。
    时区 选择组织组所在位置的时区。
  3. 选择保存

标识任何组织组的组 ID

您可以通过执行以下步骤来标识任何组织组的组 ID。

  1. 从组织组下拉菜单中选择要标识的组织组,移动到该组织组。
  2. 将指针悬停在 OG 标签上。弹出窗口会显示当前所选组织组的名称和组 ID。

继承、多租户和身份验证

基于每组织组覆盖设置的概念在与组织组 (OG) 特性(例如继承和多租户)结合使用时,可以进一步与身份验证相结合。此组合提供灵活的配置。

以下组织组模型说明了这种灵活性。

此图显示了由父项、子项和孙项组成的组织组层次结构模型。

在此模型中,管理员(通常拥有更大的权限和功能)位于此组织组分支的最上层。这些管理员使用特定于管理员的 SAML 登录到其组织组。

企业用户隶属管理员,因此其组织组会被归为管理员的子项。如果是一般用户而非管理员,则其 SAML 登录设置无法继承管理员设置。因此,企业用户的 SAML 设置会被覆盖。

BYOD 用户与企业用户不同。BYOD 用户使用的设备属于用户自己,并且可能包含更多个人信息。因此,这些设备配置文件可能需要略有不同的设置。BYOD 用户可能采用不同的使用条款协议。BYOD 设备可能需要不同的企业擦除参数。鉴于上述所有原因及其他因素,BYOD 用户可能需要登录到单独的组织组。

虽然从企业层次结构意义上讲,BYOD 用户不属于企业用户,但将 BYOD 用户归为企业用户的子项具有诸多益处。这种安排意味着 BYOD 用户只需将适用于所有企业用户设备的设置应用到企业用户组织组,就可以继承这些设置。

继承也适用于 SAML 身份验证设置。由于 BYOD 用户是企业用户的子项,因此 BYOD 用户会继承其 SAML 来获取用户身份验证设置。

备用模式用于将 BYOD 用户设置为与企业用户同级。

此图显示了由父项和两个子项组成的组织组层次结构模型。

在备用模式下,会发生以下情况。

  • 旨在全局应用到所有设备的所有设备配置文件(包括合规策略)和其他全局适用的设备设置都会应用到两个组织组,而不是其中一个。需要进行这种复制的原因是:在此模式下,不再进行从企业用户到 BYOD 用户的继承。企业用户和 BYOD 用户是对等的,因此不会进行任何继承。
  • 另一 SAML 覆盖必须应用于 BYOD 用户。此覆盖是必要的,因为系统假定它从其父项(即管理员)继承 SAML 设置。这种假定是错误的,因为 BYOD 用户不是管理员,与管理员具有不同的访问权和权限。
  • BYOD 用户继续与企业用户分开处理。在这种备用模式下,BYOD 用户继续使用其自己的设备配置文件设置。

确定最佳模式的因素有哪些?将全局适用的设备设置数与特定于组的设备设置数进行比较。基本上,如果您想要采用大致相同的方式处理所有设备,则请考虑将 BYOD 用户设置为企业用户的子项。如果维护单独的设置更重要,则请考虑将 BYOD 用户设置为与企业用户同级。

组织组限制

如果您尝试配置组织组 (OG) 限定的设置,系统会在组与设置 > 所有设置下的设置页面中告知您具体的限制。

只能在“客户”类型的组织组中启用此设置。

以下限制适用于创建客户级别的组织组。

  • 无论是在软件即服务 (SaaS) 还是在本地环境中,您都无法创建嵌套的客户 OG。

组织组类型功能

组织组的类型可能会对管理员能够配置的设置产生影响。

  • 全局 – 最顶端的组织组。通常情况下,此组称为“全局”并且其类型为“全局”。
    • 在托管的 SaaS 环境中,您将无法访问此组。
    • 本地部署客户可以打开此级别的“详细”日志记录。
  • 合作伙伴 – 合作伙伴的顶级组织组(Workspace ONE UEM 的第三方代理商)。
  • 客户 – 每个客户的高级别组织组。
    • 客户组织组不能拥有任何“客户”类型的子级/父级组织组。
    • 某些设置仅可以在客户组级别配置。这些设置会筛选到较低级别的组织。这些设置的示例包括自动发现电子邮件域、批量购买计划 (VPP) 设置、设备注册计划(AirWatch 8.0 之前版本)设置和个人内容。
  • 容器 – 默认组织组类型。
    • 所有低于“客户”组织组级别的组织组必须为“容器”类型。您可以具有级别介于合作伙伴和客户组之间的容器。
  • 目标客户 – 潜在客户。与客户组织组类似。不过可能比真正的客户组的功能少。

还有其他组织组类型,如部门、区域,同时您可以定义自己的组织组类型。这些类型不具有任何特殊的特性,且功能与容器组织组类型相同。

在全局添加设备

“全局”组织组 (OG) 专门用于容纳“客户”和其他类型的 OG。考虑到继承功能的工作方式,如果您向“全局”添加设备,并为“全局”配置将会影响这些设备的设置,则还会影响其下的所有“客户”OG。这会损害多租户和继承的优势。

有关详细信息,请参阅不应在“全局”注册设备的原因