Stellen Sie sich Organisationsgruppen als einzelne Zweige an einem Stammbaum vor, wobei jedes Blatt für einen Gerätebenutzer steht. Workspace ONE UEM powered by AirWatch identifiziert jedes Blatt und legt dessen Position im Stammbaum mithilfe von Organisationsgruppen (OG) fest. Die meisten Kunden erstellen OG-Strukturen, die ihrer Unternehmenshierarchie ähneln: Unternehmensleitung, Management, Betrieb, Vertrieb usw.

OGs können auch auf Grundlage von Workspace ONE UEM Funktionen und Inhalten erstellt werden.

Sie können auf Organisationsgruppen über Gruppen & Einstellungen > Gruppen > Organisationsgruppen > Listenansicht oder über das Dropdown-Menü für Organisationsgruppen zugreifen.

  • Erstellen Sie Gruppen für Entitäten in Ihrer Organisation (Management, Angestellte, Gewerbliche Mitarbeiter, Einzelhandel, Personalwesen, Führungskräfte usw.).
  • Passen Sie Hierarchien mit über- und untergeordneten Ebenen an („Angestellte“ und „Gewerbliche Mitarbeiter“ z. B. als Elemente, die „Management“ untergeordnet sind).
  • Führen Sie Integrationen in mehrere, interne Infrastrukturen auf der Stufenebene durch.
  • Delegieren Sie rollenbasierten Zugriff und Verwaltung basierend auf einer mandantenfähigen Struktur.
Hinweis: In der Organisierungsgruppen-Listenansicht werden „Aktive Geräte“ nur als solche Geräte definiert, die innerhalb der vorherigen acht Stunden an die Workspace ONE UEM Console gemeldet haben.

Eigenschaften von Organisationsgruppen

Organisationsgruppen können sich allen funktionalen, geographischen und organisatorischen Entitäten anpassen und eine mandantenfähige Lösung ermöglichen:

  • Skalierbarkeit – Profitieren Sie von einem flexiblen Support für exponentielles Wachstum.
  • Mandantenfähigkeit – Erstellen Sie Gruppen, die als unabhängige Umgebungen funktionieren.
  • Vererbung – Beschleunigen Sie den Einrichtungsvorgang, indem Sie festlegen, dass untergeordnete Gruppen übergeordnete Konfigurationen erben.

Im Beispiel des Dropdown-Menüs für Organisationsgruppen können alle Profile, Funktionen, Anwendungen und andere MDM-Einstellungen auf der obersten Ebene „World Wide Enterprises“ eingerichtet werden.

Dann werden die Einstellungen an die untergeordneten Organisationsgruppen wie AsiaPacific und EMEA oder eine Stufe darunter an AsiaPacific > Manufacturing oder sogar an die noch weiter untergeordneten wie AsiaPacific > Operations > Corporate vererbt.

Einstellungen zwischen Organisationsgruppen auf gleicher Ebene wie AsiaPacific und EMEA nutzen den Vorteil der Mandantenfähigkeit von Organisationsgruppen, indem diese Einstellungen voneinander getrennt gehalten werden. Diese beiden Organisationsgruppen auf gleicher Ebene erben jedoch Einstellungen von ihrer übergeordneten Organisationsgruppe World Wide Enterprises.

Wahlweise können Sie Einstellungen auf einer unteren Ebene überschreiben und nur bestimmte Einstellungen ändern oder beibehalten. Diese Einstellungen können auf jeder Ebene geändert bzw. heruntergetragen werden.

Überlegungen zur Einrichtung von Organisationsgruppen

Bevor Sie Ihre Organisationsgruppenhierarchie (OG) in der Workspace ONE UEM Console einrichten, sollten Sie zuerst die Gruppenstruktur bestimmen. Gruppenstrukturen ermöglichen Ihnen die bestmögliche Nutzung von Einstellungen, Anwendungen und Ressourcen.

  • Delegierte Administration – Sie können die Administration von Untergruppen an Administratoren unterer Ebenen delegieren, indem Sie deren Sichtbarkeit auf eine untere Organisationsgruppe beschränken.
  • Unternehmensadministratoren haben hier Zugriff und können alles in der Umgebung sehen.
  • Der LA-Manager hat Zugriff auf die LA-OG und kann nur diese Geräte verwalten.
  • Der NY-Manager hat Zugriff auf die NY-OG und kann nur diese Geräte verwalten.
  • Systemeinstellungen – Einstellungen können auf verschiedene Ebenen in der Organisationsgruppenstruktur angewendet und diesen vererbt werden. Sie können auch auf jeder Ebene überschrieben werden. Einstellungen sind beispielsweise Geräteregistrierungsoptionen, Authentifizierungsmethoden, Datenschutzeinstellungen und Branding.
  • Unternehmen allgemein legt die Registrierung mit dem Active Directory-Server des Unternehmens fest.
  • Geräte der Fahrer überschreiben die übergeordnete Authentifizierung und erlauben eine tokenbasierte Registrierung.
  • Geräte der Warenhäuser erben die AD-Einstellungen von der übergeordneten Gruppe.
  • Gerät – Anwendungsfall – Ein Profil kann einer oder mehreren Organisationsgruppen zugewiesen werden. Geräte in diesen Gruppen können dann dieses Profil annehmen. Weitere Informationen finden Sie im Abschnitt „Profile“. Vor der Erstellung von Organisationsgruppen sollten Sie die Konfiguration von Geräten mit Profil-, Anwendungs- und Inhaltseinstellungen nach Attributen erwägen, wie beispielsweise Gerätefabrikat und -modell, Besitztyp oder Benutzergruppen.
  • Die Geräte der Geschäftsführer können keine Anwendungen installieren und haben Zugriff auf das WLAN-Vertriebsnetzwerk.
  • Die Geräte der Vertriebsabteilung dürfen Anwendungen installieren und haben VPN-Zugriff.

Vergleichen zweier Organisationsgruppen

Sie können die Einstellungen einer Organisationsgruppe mit der einer anderen vergleichen, um so durch Versionsmigration entstandene Probleme zu beheben. Diese Vergleichsfunktion für Organisationsgruppen ist nur für lokale Kunden verfügbar.

Sie können die folgenden Aufgaben ausführen, wenn Sie die Installationseinstellungen vergleichen.

  • Laden Sie XML-Dateien mit OG-Einstellungen von verschiedenen Workspace ONE UEM Softwareversionen hoch.
  • Beseitigen Sie die Möglichkeit, dass ein Unterschied in den Konfigurationen Probleme während der Versionsmigration verursachen könnte.
  • Filtern Sie die Vergleichsergebnisse, sodass nur die für Sie wesentlichen Einstellungen angezeigt werden.
  • Mit der Suchfunktion können Sie eine einzelne Einstellung nach Namen suchen.

Beispiel für eine Versionsmigration: Sobald der UAT-Server (User Acceptance Testing; Benutzerakzeptanztest) beispielsweise aktualisiert, konfiguriert und getestet wurde, können die UAT-Einstellungen direkt mit den Produktionseinstellungen verglichen werden.

  1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Admin > Einstellungsverwaltung > Einstellungsvergleich.
  2. Wählen Sie im linken Dropdown-Menü (mit der Zahl 1 gekennzeichnet) eine Organisationsgruppe in Ihrer Umgebung aus. Sie können die XML-Einstellungsdatei auch hochladen, indem Sie die Schaltfläche Hochladen wählen und eine exportierte OG-XML-Einstellungsdatei auswählen.
  3. Wählen Sie im rechten Dropdown-Menü (mit der Zahl 2 gekennzeichnet) die OG, mit der Sie den Vergleich durchführen möchten.
  4. Zeigen Sie eine Liste aller Einstellungen für die beiden ausgewählten Organisationsgruppen an, indem Sie die Schaltfläche zum Aktualisieren auswählen.
    • Unterschiede zwischen den beiden Sätzen an OG-Einstellungen werden automatisch hervorgehoben.
    • Sie können optional das Kontrollkästchen Nur Unterschiede anzeigen aktivieren. Dieses zeigt nur solche Einstellungen an, die nur für eine OG gelten, aber nicht für die andere.
    • Leere (oder nicht festgelegte) individuelle Einstellungen werden in der Vergleichsauflistung als „NULL“ angezeigt.

Erstellen von Organisationsgruppen

Sie müssen eine Organisationsgruppe (OG) für jede Geschäftseinheit erstellen, in der Geräte eingesetzt werden. Die OG, in der Sie sich momentan befinden, ist die übergeordnete OG der Gruppe, die Sie gerade erstellen.

  1. Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen > Details.
  2. Über die Registerkarte Untergeordnete Organisationsgruppe hinzufügen können Sie folgende Einstellungen bearbeiten:
    Einstellung Beschreibung
    Name Geben Sie den Namen für die untergeordnete Organisationsgruppe (OG) ein, der angezeigt werden soll. Verwenden Sie nur alphanumerische Zeichen. Verwenden Sie keine Sonderzeichen.
    Gruppen-ID

    Geben Sie eine Bezeichnung für die OG ein, die Endbenutzer bei der Geräteanmeldung angeben müssen. Gruppen-IDs werden während der Registrierung von Gruppengeräten in der entsprechenden OG verwendet.

    Stellen Sie sicher, dass alle Benutzer, die Geräte gemeinsam nutzen, die Gruppen-ID erhalten, da diese möglicherweise zur Geräteanmeldung erforderlich ist (je nach Konfiguration der Gemeinschaftsgeräte).

    Wenn Sie sich nicht in einer lokalen Umgebung befinden, identifiziert die Gruppen-ID Ihre Organisationsgruppe über die gesamte gemeinsam genutzte SaaS-Umgebung hinweg. Aus diesem Grund müssen alle Gruppen-IDs eindeutig benannt sein.

    Typ Wählen Sie den vorkonfigurierten OG-Typ, der der Kategorie der untergeordneten OG entspricht.
    Land Wählen Sie das Land der OG.
    Gebietsschema Wählen Sie die Sprachenklassifikation für das ausgewählte Land.
    Branche des Kunden Diese Einstellung ist nur verfügbar, wenn für Typ „Kunde“ gewählt ist. Wählen Sie eine Option aus der Liste mit Kundenbranchen.
    Zeitzone Wählen Sie die Zeitzone für den Standort der Organisationsgruppe aus.
  3. Wählen Sie Speichern.

Gruppen-ID für eine beliebige Organisationsgruppe identifizieren

Sie können die Gruppen-ID für eine beliebige Organisationsgruppe identifizieren, indem Sie die folgenden Schritte ausführen.

  1. Wechseln Sie zur Organisationsgruppe, die Sie identifizieren möchten, indem Sie sie aus dem Dropdown-Menü „Organisationsgruppe“ auswählen.
  2. Bewegen Sie den Mauszeiger über die Bezeichnung der Organisationsgruppe. In einem Popup-Fenster werden Name und Gruppen-ID für die aktuell ausgewählte Organisationsgruppe angezeigt.

Vererbung, Mandantenfähigkeit und Authentifizierung

Das Konzept des Überschreibens von Einstellungen auf Basis einzelner Organisationsgruppen kann bei Kombination mit Organisationsgruppenmerkmalen, wie z. B. Vererbung und Mandantenfähigkeit, des Weiteren mit Authentifizierung kombiniert werden. Diese Kombination bietet die Möglichkeit flexibler Konfigurationen.

Das folgende Organisationsgruppenmodell veranschaulicht diese Flexibilität.

Dieses Diagramm zeigt ein Organisationsgruppen-Hierarchiemodell, bestehend aus einem übergeordneten, einem untergeordneten und einem untergeordneten Element der dritten Generation.

In diesem Modell sind Administratoren, die weitreichendere Berechtigungen haben und auf mehr Funktionen zugreifen können, oben in diesem OG-Zweig positioniert. Diese Administratoren melden sich bei ihren OG mithilfe der SAML an, die ausschließlich Administratoren zur Verfügung steht.

Unternehmensbenutzer sind Administratoren untergeordnet, sodass ihre OG ein untergeordnetes Element ist. Für SAML-Anmeldeeinstellungen von Benutzern, die keine Administratoren sind, können keine Administratoreinstellungen vererbt werden. Aus diesem Grund wird die SAML-Einstellung von Unternehmensbenutzern überschrieben.

BYOD-Benutzer unterscheiden sich von Unternehmensbenutzern. Geräte, die von BYOD-Benutzern verwendet werden, gehören den Benutzern selbst und enthalten in der Regel mehr persönliche Daten. Daher können für diese Geräteprofile leicht unterschiedliche Einstellungen erforderlich sein. BYOD-Benutzer verfügen möglicherweise über abweichende Nutzungsbedingungen. BYOD-Geräte benötigen möglicherweise andere Enterprise Wipe-Parameter. Aus allen diesen und anderen Gründen ist es für BYOD-Benutzer unter Umständen sinnvoll, sich über eine separate OG anzumelden.

Und obwohl BYOD-Benutzer im Sinne der Unternehmenshierarchie Unternehmensbenutzern nicht untergeordnet sind, kann es Vorteile haben, sie Unternehmenswendern unterzuordnen. So erben BYOD-Benutzer Einstellungen, die für ALLE Geräte von Unternehmensbenutzern gelten, indem diese einfach auf die Unternehmensbenutzer-OG angewendet werden.

Die Vererbung gilt auch für SAML-Authentifizierungseinstellungen. Da BYOD-Benutzer eine untergeordnete Instanz von Unternehmensbenutzern sind, erben BYOD-Benutzer deren SAML für Benutzerauthentifizierungseinstellungen.

Ein alternatives Modell sieht vor, BYOD-Benutzer mit Unternehmensbenutzern gleichzustellen.

Dieses Diagramm zeigt ein Organisationsgruppen-Hierarchiemodell, bestehend aus einem übergeordneten und zwei untergeordneten Elementen.

Bei diesem alternativen Modell gilt Folgendes:

  • Alle Geräteprofile, die für ALLE Geräte gelten sollen, einschließlich Konformitätsrichtlinien und andere global anwendbare Geräteeinstellungen, werden auf zwei Organisationsgruppen anstatt nur auf eine angewendet. Diese Duplizierung ist deshalb erforderlich, weil die Vererbung von Unternehmensbenutzern an BYOD-Benutzer in diesem Modell kein Faktor mehr ist. Unternehmensbenutzer und BYOD-Benutzer sind gleichrangig, daher gibt es keine Vererbung.
  • Bei BYOD-Benutzern muss die SAML erneut überschrieben werden. Diese Überschreibung ist erforderlich, da das System davon ausgeht, dass es SAML-Einstellungen von seinen übergeordneten Administratoren erbt. Eine derartige Annahme ist ein Fehler, da BYOD-Benutzer keine Administratoren sind und nicht über die gleichen Zugriffsrechte und Berechtigungen verfügen.
  • BYOD-Benutzer werden weiterhin separat von Unternehmensbenutzern behandelt. Dieses alternative Modell sieht vor, dass sie weiterhin ihre eigenen Geräteprofileinstellungen haben.

Welcher Faktor legt fest, welches Modell das Beste ist? Vergleichen Sie die Anzahl der global geltenden Geräteeinstellungen mit der Anzahl der gruppenspezifischen Geräteeinstellungen. Wenn Sie alle Geräte in der Regel gleich behandeln möchten, sollten Sie BYOD-Benutzer Unternehmensbenutzern unterordnen. Wenn es wichtiger ist, separate Einstellungen beizubehalten, sollten Sie BYOD-Benutzer Unternehmensbenutzern gleichstellen.

Organisationsgruppen – Restriktionen

Sollten Sie versuchen, eine Einstellung zu konfigurieren, die einer organisationsgruppenspezifischen Einschränkung unterliegt, werden Sie von den Einstellungsseiten unter Gruppen & Einstellungen > Alle Einstellungen über die Einschränkung informiert.

Diese Einstellung kann nur im Organisationsgruppentyp „Kunde“ aktiviert werden.

Die folgenden Restriktionen treffen auf die Erstellung von Organisationsgruppen der Kundenebene zu.

  • Unabhängig davon, ob Sie sich in einer Software-as-a-Service(SaaS)- oder lokalen Umgebung befinden, können Sie keine geschachtelten Kunden-OGs erstellen.

Organisationsgruppentyp – Funktionen

Der Typ einer Organisationsgruppe kann die Fähigkeit eines Administrators, bestimmte Einstellungen zu konfigurieren, beeinflussen.

  • Global – Die oberste Organisationsgruppe. Normalerweise ist dieser Gruppe der Name „Global“ und der Typ „Global“ zugewiesen.
    • Bei gehosteten SaaS-Umgebungen ist kein Zugriff auf diese Gruppe möglich.
    • Kunden vor Ort können eine ausführliche Protokollierung auf dieser Ebene aktivieren.
  • Partner – Oberste Organisationsgruppe für Partner (Drittanbieter-Reseller von Workspace ONE UEM).
  • Kunde  – Übergeordnete Organisationsgruppe für die einzelnen Kunden.
    • Die Organisationsgruppe „Kunde“ darf keine untergeordneten/übergeordneten Organisationsgruppen des Typs „Kunde“ haben.
    • Einige Einstellungen können nur bei einer Kundengruppe konfiguriert werden. Diese Einstellungen werden bis zu niedrigeren Organisationen gefiltert. Einige Beispiele für diese Einstellungen sind AutoErmittlungsdiscovery-E-Mail-Domänen, Einstellungen für das Volume Purchase Program, Programmeinstellungen für die Geräteregistrierung (vor AirWatch 8.0) und persönliche Inhalte.
  • Container    – – Der Standardtyp für die Organisationsgruppe.
    • Allen Organisationsgruppen unterhalb einer Organisationsgruppe vom Typ „Kunde“ muss der Typ „Container“ zugewiesen sein. Sie können Container zwischen Partner- und Kundengruppen haben.
  • Potenzieller Neukunde  – – Potenzielle Kunden. Diese Gruppe ähnelt der Organisationsgruppe „Kunde“. Sie bietet möglicherweise weniger Funktionen als eine echte Kundengruppe.

Es sind noch weitere Organisationsgruppentypen wie etwa Abteilung oder Region verfügbar. Sie können aber auch Ihren eigenen Organisationsgruppentyp definieren. Diese Typen müssen keine bestimmten Merkmale aufweisen. Sie funktionieren genau wie der Organisationsgruppentyp „Container“.

Hinzufügen von Geräten auf globaler Ebene

Die globale Organisationsgruppe (OG) ist für die Aufnahme von OGs vom Typ „Kunde“ und anderer Typen konzipiert. Wenn Sie Geräte zur globalen Ebene hinzufügen und die globale Ebene mit Einstellungen für diese Geräte konfigurieren, sind alle untergeordneten Kunden-OGs aufgrund der Funktionsweise der Vererbung ebenfalls davon betroffen. Dies reduziert die Vorteile bezüglich der Mandantenfähigkeit und Vererbung.

Weitere Informationen finden Sie unter Bedenken hinsichtlich der Geräteregistrierung auf globaler Ebene.