Workspace ONE UEM 使用组织组 (OG) 标识用户和设置权限。在将 Workspace ONE UEMWorkspace ONE Access 集成后,管理员和注册用户 REST API 密钥将在“客户”类型的 Workspace ONE UEM 组织组进行配置。

在用户从设备中登录到 Intelligent Hub 应用程序时,将在 Workspace ONE Access 中触发一个设备注册事件。系统会向 Workspace ONE UEM 发送一个请求,以提取用户和设备组合有权使用的任何应用程序。该请求将使用 REST API 发送,以便在 Workspace ONE UEM 中查找用户,并将设备放置在相应的组织组中。

要管理组织组,可在 Workspace ONE Access 中配置两个选项。

  • 启用 Workspace ONE UEM 自动发现。
  • Workspace ONE UEM 组织组映射到 Workspace ONE Access 服务中的域。

如果未配置这两个选项,Intelligent Hub 将尝试在创建 REST API 密钥的组织组中查找用户。该组即是客户组。

使用 Workspace ONE UEM 自动发现

当在客户组织组的子组配置了单个目录,或在具有唯一电子邮件域的客户组下方配置了多个目录时,可设置自动发现。请参阅为自动发现注册电子邮件域

图 1. 示例 1

在示例 1 中,对组织的电子邮件域注册了自动发现。用户仅在 Intelligent Hub 登录页面中输入电子邮件地址。

在该示例中,在 NorthAmerica 域中的用户登录到 Intelligent Hub 应用程序时,他们使用 user1@domain1.com 形式输入完整的电子邮件地址。应用程序会查找相应的域,并确认 NorthAmerica 组织组中存在用户,或者可以通过目录调用在 NorthAmerica 组织组中创建用户。可以注册设备。

使用 Workspace ONE UEM 组织组映射到 Workspace ONE Access

在多个目录配置有同一电子邮件域的情况下,可配置 Workspace ONE Access 服务到 Workspace ONE UEM 组织组的映射。您需要在 Workspace ONE Access 控制台的 AirWatch 配置页面中启用将域映射到多个组织组

如果启用了“将域映射到多个组织组”选项,则 Workspace ONE Access 中配置的域可被映射到多个 Workspace ONE UEM 组织组 ID。此外,还需要管理员 REST API 密钥。

在示例 2 中,两个域被映射到不同的组织组。此外,需要一个管理员 REST API 密钥。两个组织组 ID 使用相同的管理员 REST API 密钥。

图 2. 示例 2

Workspace ONE Access 控制台的 AirWatch 配置页面中,可为每个域配置一个特定的 Workspace ONE UEM 组织组 ID。

图 3. 示例 2 组织组配置

对于该配置,在用户从设备中登录到 Intelligent Hub 应用程序时,设备注册请求尝试从 Europe 组织组的 Domain3 中查找用户,并从 AsiaPacific 组织组的 Domain4 中查找用户。

在示例 3 中,一个域被映射到多个 Workspace ONE UEM 组织组。两个目录共用同一电子邮件域。该域指向相同的 Workspace ONE UEM 组织组。

图 4. 示例 3

在该配置中,在用户登录到 Intelligent Hub 应用程序时,该应用程序提示用户选择他们要在其中注册的组。在此示例中,用户可以选择“Engineering”或“Accounting”。

图 5. 目录共用同一域的组织组

将设备放置在正确的组织组中

在成功找到用户记录后,设备会被添加到相应的组织组中。Workspace ONE UEM 注册设置组 ID 分配模式确定要将设备放置到的组织组。此设置位于 Workspace ONE UEM Console 的“系统设置”>“设备与用户”>“常规”>“注册”>“分组”页中。

图 6. 设备的 Workspace ONE UEM 组注册

在示例 4 中,所有用户都位于 Corporate 组织组级别。

图 7. 示例 4

设备放置位置取决于在 Corporate 组织组级别为“组 ID 分配模式”选择的配置。

  • 如果选择“默认”,设备将放置在用户所在的同一组中。对于示例 4,设备将放置在 Corporate 组中。
  • 如果选择“提示用户选择组 ID”,系统将提示用户选择要将其设备注册到的组。对于示例 4,用户在 Intelligent Hub 应用程序中看到一个包含“Engineering”和“Accounting”选项的下拉菜单。
  • 如果选择“根据用户组自动选择”,设备将根据其在 Workspace ONE UEM 控制台中的用户组分配和相应映射放置在“Engineering”或“Accounting”中。

了解隐藏组的概念

在示例 4 中,在提示用户选择从中进行注册的组织组时,用户还可以输入 Intelligent Hub 应用程序中显示的列表未包含的组 ID 值。这就是隐藏组的概念。

在示例 5 中,Corporate 组织组结构中的 North America 和 Beta 配置为 Corporate 下面的组。

图 8. 示例 5

在示例 5 中,用户在 Intelligent Hub 应用程序中输入电子邮件地址。在进行身份验证后,将向用户显示一个列表,其中显示“Engineering”和“Accounting”以供选择。Beta 不是显示的选项。如果用户知道组织组 ID,他们可以在组选择文本框中手动输入 Beta,以将其设备成功注册到 Beta。