用户组
您可以将用户群分成不同用户组(如组织组),并将这些组用作分配配置文件和应用程序的筛选方式。在 Workspace ONE UEM 中配置您的环境时,用户组应与您所在组织内的安全组及业务角色保持一致。
通过用户组,您可以向用户和设备分配配置文件、合规策略、内容及应用程序。您可以将现有的目录服务组添加到 Workspace ONE UEM 中,或者从头开始创建用户组。
作为用户组的替代方案,您也可以根据预先配置的网络 IP 地址范围或自定义属性分配设备,以此来管理内容。
用户组列表视图
“用户组列表视图”页面为您提供可用于维护常见用户组的实用工具,包括查看、合并和删除用户组,以及添加缺失的用户和同步用户组。
您可以根据对您而言最重要的条件使用用户组列表视图即时创建用户组列表。您还可以逐个或批量添加新用户组。
导航到账户 > 用户组 > 列表视图。
| 操作 | 说明 |
|---|---|
| 筛选器 | 通过使用以下筛选器仅显示所需用户组。 * 用户组类型 * 同步状态 * 合并状态 |
| 添加 | |
| 添加用户组。 | 一次性添加“基于目录的用户组”或“自定义用户组”。 |
| 批量导入 | 使用逗号分隔值 (CSV) 文件批量导入新用户组。您可以通过输入唯一的名称和描述来一次组织多个用户组。 |
| 列排序和大小调整 | 可在“列表视图”中排序的列有:“组名称”、“上次同步时间”、“用户”和“合并状态”。可调整大小的列有:组名称和上次同步时间。 |
| 详细信息视图 | 选择组名称列中的链接来查看“详细信息视图”中的基本用户组信息。此信息包括组名称、组类型、外部类型、管理员和用户数量。“详细信息视图”还包括一个指向组映像设置的链接,该设置位于分组标签页的所有设置 > 设备与用户 > 常规> 注册中。 |
导出 ( ) |
保存整个未筛选或已筛选列表视图的 CSV(逗号分隔值)文件。此文件可以使用 MS Excel 查看和分析。 |
用户组列表视图还有一个选择复选框,在用户左边还有一个编辑图标。通过选择编辑图标 (
),您可以对用户组做一些基本变更。可以选中一个或多个将会显示列表操作按钮的组,来对用户组执行批处理操作。
针对用户组的更多操作
您可以通过选中任意多的复选框来选择一个以上的用户组。这样做可修改可用的操作按钮,也可以将这些可用操作应用于多个组群以及其相应的用户。
| 操作 | 说明 |
|---|---|
| 同步 | 在 Workspace ONE UEM 和 Workspace ONE Express 安排的自动 Active Directory 同步执行之前,将近期添加的用户组用户手动复制到临时表格中。 注意:即使遇到重复用户,用户属性同步过程也会继续进行。发生此类同步失败时,出于故障排除目的,系统会在控制台事件日志中生成一个名为“DuplicateUserSyncFailure”的条目。请导航到监控 > 报告和分析事件 > 控制台事件,查看此条目和其他控制台事件日志条目。 |
| 查看用户 | 显示用户组成员屏幕,使您能够查看所选用户组中所有成员的用户名。 |
| 更多操作 | |
| 查看并合并 | 查看、添加和删除近期添加到临时用户组表格中的用户。此表中显示的用户组用户会等待在 Workspace ONE UEM 和 Workspace ONE Express 中执行自动用户组同步。 |
| 添加遗漏的用户 | 将临时用户组表与 Active Directory 表合并起来,使这些新用户正式添加到用户组中。 |
| 删除 | 删除用户组。 |
向用户组添加用户
您可以根据需要向用户组添加用户。如果您不想等待 Active Directory 同步用户组(此同步已调度为自动进行),可以手动同步用户组。
当您需要向一个或多个用户组添加新用户时,请遵循以下步骤:
- 导航到账户 > 用户 > 列表视图。
- 通过在复选框的左侧插入复选标记,选择在列表中的一个或多个用户。
- 选择更多操作按钮,然后再选择添加到用户组。随即会显示将选定的用户添加到自定义用户组页面。
- 您可以向现有用户组添加用户,也可以创建新用户组。
- 选择组名称。
- 选择保存。
-
导航到账户 > 用户组 > 列表视图。
- Active Directory (AD) 同步(这是一个预定的自动化过程)会将这些待办用户组用户复制到一个临时表中。然后,系统将审查、添加或删除这些用户组用户。
-
如果您不想等待系统自动进行 AD 同步,也可以手动进行同步。通过选择您已将用户添加到的用户组,然后选择同步按钮,开始手动同步。
注意:即使遇到重复用户,用户属性同步过程也会继续进行。发生此类同步失败时,出于故障排除目的,系统会在控制台事件日志中生成一个名为“DuplicateUserSyncFailure”的条目。请导航到监控 > 报告和分析事件 > 控制台事件,查看此条目和其他控制台事件日志条目。
-
您可以选择性地选择更多 > 查看并合并以执行审查、添加和移除待定用户组用户等维护任务。
- 选择更多 > 添加缺失的用户,将 Active Directory 用户组用户整合到待定用户组用户的临时表格中。
不通过目录集成添加用户组(自定义)
在现有活动目录结构之外创建用户组,意味着您可以随时创建特殊性质的用户组。通过专门设计对功能和内容的访问权限(根据所需的用户组类型可能首选)来根据您的部署自定义用户组。
例如,您可以为需要特殊应用、设备配置文件和合规策略的特定项目创建临时用户组。
有关批量添加用户组的详细信息,请参阅批量导入功能中标题为批量导入用户组的部分。
只能在客户级别的组织组添加自定义用户组。
- 导航到账户 > 用户组 >列表视图并选择添加,然后再添加用户组。
- 将用户组类型选项更改为自定义。
- 输入用于在 Workspace ONE UEM Console 中标识用户组的组名称和描述。
- 确认负责管理用户组的组织组,然后选择保存。
- 然后,您可以导航到账户 > 用户 > 列表视图以向此新用户组添加用户。
可通过选中每个所列用户名最左侧的复选框来添加多个用户。接下来,选择列标题上方的管理按钮,然后选择添加到用户组。
通过目录集成添加用户组
不通过活动目录集成建立自定义用户组的替代方法是通过应用现有活动目录结构的用户组集成来完成,这一方法可带来诸多优势。
一旦您将现有的目录服务用户组导入为 Workspace ONE UEM 用户组,便可执行以下任务。
- 用户管理 – 参照您现有的目录服务组(如“安全组”或者“分发列表”)并使 Workspace ONE UEM 中的用户管理与现有组织系统协调一致。
- 配置文件和策略 – 跨 Workspace ONE UEM 部署向用户组分配配置文件、应用程序和策略。
- 集成化更新 – 根据组成员的变动自动更新用户组分配。
- 管理权限 – 将管理权限设为仅允许获批准的管理员更改某些用户组的策略和配置文件分配。
- 注册 – 允许用户使用现有的凭证注册,并且自动分配组织组。
管理员必须将一个现有的组织组指定为主要根目录位置,以便在此管理设备和用户。必须在此根目录组织组级别启用目录服务。
您可以将现有的目录服务组添加到 Workspace ONE UEM 中。虽然集成还不能立即为每个目录服务帐户创建用户帐户,但至少可以确保 Workspace ONE UEM 承认这些用户帐户为用户组。您可以使用这个组来限制何人可以注册。
有关批量添加目录用户组的详细信息,请参阅批量导入功能中标题为批量导入用户组的部分。
通过目录集成来形成用户组可以产生一种适用于设备管理的一致方法:设备注册与后续更新、管理概览及用户管理全部在现有的目录服务结构中紧密衔接。
开始之前:确保用户组的类型是目录。
-
导航到账户 > 用户组 > 列表视图,选择添加,然后再选择添加用户组。
设置 说明 类型 选择“用户组”类型。
* 目录 – 创建与现有 Active Directory 结构一致的用户组。
* 自定义 – 在您的组织的现有 Active Directory 结构之外创建用户组。此用户组类型向基本用户和目录用户授予对各项功能和内容的访问权限,以根据您的部署自定义用户组。只能在客户级别的组织组添加自定义用户组。外部类型 选择要添加的组的外部类型。
* 组 – 指的是您的用户组所基于的组对象类别。可通过导航到组与设置 > 所有设置 > 系统 > 企业集成 > 目录服务 > 组来对此类别进行自定义。
*组织单位 – 指的是您的用户组所基于的组织单位对象类别。可通过导航到组与设置 > 所有设置 > 系统 > 企业集成 > 目录服务 > 组来对此类别进行自定义。
* 自定义查询 – 您也可以创建一个用户组,使其包含您通过运行自定义查询找到的用户。选择此外部类型将会替换“搜索文本”功能,但会显示“自定义查询”部分。搜索文本 输入搜索条件并选择搜索进行搜索,以识别目录中的用户组名称。如果目录组包含您的搜索文本,则会显示一个组名称列表。
在外部类型设置为自定义查询时,此选项不可用。目录名 显示您的目录服务服务器地址的只读设置。 域和组基本 DN 这些信息将根据您在目录服务页面(组与设置 > 系统 > 企业集成 > 目录服务)所输入的目录服务的服务器信息自动填充。
选择组基本 DN 设置(它会显示一个供您选择的标识名元素列表)旁的获取 DN 加号 (+)。自定义对象类别 用于识别您的查询在其名下运行的对象类别。默认对象类别为“person”,但您可以提供一个自定义对象类别,以便更成功、更精准地识别您的用户。
此选项只有在选择自定义查询作为外部类型时才可用。组名称 从您的搜索文本结果列表中选取一个组名称。选择组名称会自动更改“标识名”设置中的值。
此选项仅在您通过搜索文本设置成功完成搜索之后可用。可分辨名称 这是一个只读设置,显示您要创建的组的完整标识名。
此选项只有在选择组或组织单位作为外部类型时才可用。自定义基本 DN 用于识别可用作您的查询起始点的基本可分辨名称。默认的基本可分辨名称为“AirWatch”和‘sso’。但是,您如果希望从不同起始点运行查询,则可以提供一个自定义基本标识名。
此选项只有在选择自定义查询作为外部类型时才可用。组织组分配 您可以使用此可选设置将要创建的用户组分配给特定组织组 (OG)。
*此选项只有在选择组或组织单位作为外部类型时才可用。
* 您必须选择“客户”类型 OG。不允许将用户组分配给非客户类型 OG。用户组设置 在应用默认设置和对此用户组使用自定义设置之间进行选择。有关其他设置说明,请参见此表的自定义设置行。您可以在创建组之后,从组的许可设置处配置此选项。
此选项只有在选择组或组织单位作为外部类型时才可用。自定义查询 - 查询 此设置显示当您选择测试查询按钮以及选择继续按钮后,将运行的当前已加载的查询。您对自定义逻辑设置或自定义对象类别设置所做的更改将反映在此处。 自定义逻辑 在此处添加您的自定义查询逻辑,例如用户名称或管理员名称。例如,“cn=jsmith”。您可以根据需要添加任意数量的可分辨名称。利用测试查询按钮,您可以在选择继续按钮之前查看您的查询语法是否正确。 自定义设置 - 管理权限 您可以允许或禁止所有管理员管理您要创建的用户组。 默认角色 从下拉菜单中为用户组选择默认角色。 默认注册策略 从下拉菜单中选择默认注册策略。 自动与目录同步 此选项将启用目录同步功能,该功能将会从目录服务器检测用户成员资格并将其存储在临时表格中。除非选中“自动合并”选项,否则对控制台进行的更改都必须经过管理员批准。
如果您希望在计划的同步期间禁止用户组自动进行同步,则必须停用此设置。自动合并更改 启用此选项即可从数据库自动应用同步更改,而无需管理员批准。 允许的更改次数上限 您可以使用此设置为不需要获得批准即可进行的自动用户组同步更改次数设置阈值。
超过阈值的更改需要获得管理员的批准,并且会为此发送一个通知。
此选项只有在已启用自动合并更改时才可用。自动添加组成员 启用此设置即可自动向用户组添加用户。
如果您希望在计划的同步期间禁止用户组自动进行同步,则必须停用此设置。添加缺失的用户时向用户发送电子邮件 启用后,在将遗漏的用户添加到用户组时,系统将向用户发送电子邮件。添加缺失的用户意味着将临时用户组表与 Active Directory 表合并。 消息模板 此选项只有在已启用添加缺失的用户时向用户发送电子邮件时才可用。
将缺失的用户添加到用户组时,选择要用于电子邮件通知的消息模板。
向 Workspace ONE UEM Console 添加新的 Active Directory 用户时,消息模板的可用性取决于在组与设置 > 所有设置 > 设备与用户 > 常规 > 注册中配置的注册模式,配置方法是选择身份验证,并在设备注册模式选项中做出相应的选择。
当选择开放注册作为设备注册模式时,消息模板下拉列表中将提供一个用户激活电子邮件模板。此电子邮件允许新 AD 用户进行注册。
当选择仅限登记的设备注册作为设备注册模式时,消息模板下拉列表中将提供一个设备激活电子邮件模板。此电子邮件允许新 AD 用户注册其设备。如果启用了需要登记令牌,则可以使用消息中嵌入的令牌登记设备。有关可分辨名称的更多信息,请在 https://technet.microsoft.com/ 网站搜索标题为“Object Naming”的 Microsoft TechNet 文章。
-
选择保存。
编辑用户组权限
微调用户权限允许您对组织内部哪些人可以编辑某些组加以重新考虑。例如,如果您所在的组织有一个公司主管人员用户组,那么您可能不想让级别较低的管理员具有该用户组的管理权限。
使用权限页面来控制哪些人可以管理特定用户组,以及哪些人可以向用户组分配配置文件、合规策略和应用程序。
- 导航到账户 > 用户组 > 列表视图。
- 选择某一现有用户组所在行的编辑图标。
- 选择权限标签页,然后选择添加。
- 选择您要为其定义权限的组织组。您必须选择位于用户组的根 OG 层次结构内的组织组 (OG)。选择的 OG 也必须为“客户”类型。有关详细信息,请参阅组织组中标题为组织组类型功能和自定义的部分。
- 选择您想要启用的权限。
- 管理组(编辑/删除)– 可激活编辑和删除用户组的功能。
- 管理组内用户并允许注册 – 可管理用户组中的用户,并允许在 OG 中进行设备注册。只有当同时启用了“管理组(编辑/删除)”时,此设置才可启用。如果“管理组(编辑/删除)”已停用,则此设置也会被停用。
- 使用组进行分配 – 可使用组向设备分配安全策略和企业资源。只有当停用了“管理组(编辑/删除)”时,才可以更改此设置。如果“管理组(编辑/删除)”已启用,则此设置变为锁定、无法编辑。
- 当用户组由父 OG 管理并且您想要从其子 OG 之一分配该组时,此设置处于停用状态。
- 选择这些权限的范围,即允许哪些管理员组来管理或使用该用户组。以下选项中只有一个可能处于活跃状态。
- 仅限管理员 – 权限仅影响父 OG 的管理员。
- 此组织组或其下组织组的所有管理员 – 权限影响 OG 的管理员,以及其下所有子 OG 的所有管理员。
访问用户详细信息
在您的用户和用户组设置就绪后,您即可查看有关用户详细信息、相关设备和互动情况等全部用户资料。
从 Workspace ONE UEM Console 中显示用户名的任何位置访问用户信息,包括控制台中的以下各个页面。
- 用户组成员(帐户 > 用户组 > 详细信息视图 > 更多 > 查看用户)
- 您可以通过在列表中选择用户组名称来进入“详细信息”视图。
- 用户列表视图(帐户 > 用户 > 列表视图)
- 管理员列表视图(帐户 > 管理员 > 列表视图)。
“用户详细信息”页面是单一页面视图。
- 所有相关的用户组。
- 各时间与用户相关的所有设备,以及所有注册设备的链接。
- 用户在共享设备环境中签出的所有设备,以及签入/签出设备完整历史记录的链接。
- 所有设备和用户特定的事件日志。
- 所有已分配、已接受和已拒绝的使用条款。
对个人详细信息进行加密
您可以加密个人可识别信息,包括名字、姓氏、电子邮件地址及电话号码。
- 从您要为其配置加密的“全局”或“客户”级组织组,导航到组与设置 > 所有设置 > 系统 > 安全性 > 数据安全。
- 启用加密用户信息设置,然后选择用户数据设置以激活加密功能。这样做会停用搜索、分类和筛选功能。
- 单击保存,对用户数据进行加密,从而无法在数据库中对其进行访问。这样做会限制 Workspace ONE UEM Console 中的部分功能,如搜索、排序和筛选等。
