Workspace ONE UEM verwendet Organisationsgruppen (OG) zur Identifizierung von Benutzern und zur Einrichtung von Berechtigungen. Wenn Workspace ONE UEM in VMware Identity Manager integriert ist, werden die REST-API-Schlüssel für die Registrierung von Administrator- und Registrierungsbenutzern in der Workspace ONE UEM-Organisationgruppe namens „Kunde“ konfiguriert.

Wenn Benutzer sich bei Workspace ONE von einem Gerät anmelden, wird ein Geräteregistrierungsereignis in VMware Identity Manager ausgelöst. Dabei wird eine Anforderung an Workspace ONE UEM gesendet, um alle Anwendungen abzurufen, für die die Kombination von Benutzer und Gerät über eine Berechtigung verfügt. Die Anforderung wird mithilfe der REST-API gesendet, um den Benutzer innerhalb von Workspace ONE UEM zu ermitteln und das Gerät in der entsprechenden Organisationsgruppe zu platzieren.

Für die Konfiguration der Verwaltung von Organisationsgruppen stehen in VMware Identity Manager zwei Möglichkeiten zur Verfügung.

  • Aktivieren der automatischen Ermittlung in Workspace ONE UEM.

  • Zuordnen von Workspace ONE UEM-Organisationsgruppen zu Domänen im VMware Identity Manager-Dienst.

Wenn keine der beiden Optionen konfiguriert ist, versucht Workspace ONE den Benutzer in der Organisationsgruppe zu ermitteln, in der der REST-API-Schlüssel erstellt wurde. Das ist die Kundengruppe.

Verwenden der automatischen Ermittlung in Workspace ONE UEM

Richten Sie die automatische Ermittlung ein, wenn ein einzelnes Verzeichnis bei einer untergeordneten Gruppe für die Kundenorganisationsgruppe konfiguriert ist oder wenn mehrere Verzeichnisse unterhalb der Kundengruppe mit eindeutigen E-Mail-Domänen konfiguriert sind.

Abbildung 1. Beispiel 1

Im Beispiel 1 wird die E-Mail-Domäne der Organisation für die automatische Ermittlung registriert. Benutzer geben nur ihre E-Mail-Adresse auf der Workspace ONE-Anmeldeseite ein.

In diesem Beispiel geben Benutzer der Domäne „Nordamerika“ die vollständige Mail-Adresse als user1@domain1.com ein, wenn sie sich bei Workspace ONE anmelden. Die Anwendung sucht nach der Domäne und überprüft, ob der Benutzer vorhanden ist oder mit einem Verzeichnisaufruf in der Organisationsgruppe „Nordamerika“ erstellt werden kann. Das Gerät kann registriert werden.

Verwenden der Zuordnung von Workspace ONE UEM-Organisationsgruppen zu VMware Identity Manager-Domänen

Konfigurieren Sie den VMware Identity Manager-Dienst für die Zuordnung von Workspace ONE UEM-Organisationsgruppen, wenn mehrere Verzeichnisse mit derselben E-Mail-Domäne konfiguriert sind. Sie aktivieren dazu Domänen mehreren Organisationsgruppen zuordnen auf der AirWatch-Konfigurationsseite in der VMware Identity Manager-Konsole.

Wenn die Option „Domänen mehreren Organisationsgruppen zuordnen“ aktiviert ist, können den Workspace ONE UEM-Organisationsgruppen-IDs in VMware Identity Manager konfigurierte Domänen zugeordnet werden. Der Admin-REST-API-Schlüssel ist ebenfalls erforderlich.

Im Beispiel 2 werden zwei Domänen verschiedenen Organisationsgruppen zugeordnet. Dabei ist ein Admin-REST-API-Schlüssel erforderlich. Der gleiche Admin-REST-API-Schlüssel wird für beide Organisationsgruppen-IDs verwendet.

Abbildung 2. Beispiel 2

Konfigurieren Sie auf der AirWatch-Konfigurationsseite in der VMware Identity Manager-Konsole eine spezielle Workspace ONE UEM-Organisationsgruppen-ID für jede Domäne.

Abbildung 3. Beispiel 2 Organisationsgruppenkonfiguration

Bei dieser Konfiguration versucht die Anforderung der Geräteregistrierung, Benutzer aus der „Domäne3“ in der Organisationsgruppe „Europa“ und Benutzer aus der „Domäne4“ in Organisationsgruppe „Asien/Pazifik“ zu ermitteln, wenn sich Benutzer von ihrem Gerät bei Workspace ONE anmelden.

Im Beispiel 3 wird eine Domäne mehreren Workspace ONE UEM-Organisationsgruppen zugeordnet. Beide Verzeichnisse nutzen gemeinsam die E-Mail-Domäne. Die Domäne verweist auf dieselbe Workspace ONE UEM-Organisationsgruppe.

Abbildung 4. Beispiel 3

Bei dieser Konfiguration werden Benutzer, wenn sie sich bei Workspace ONE anmelden, zur Auswahl der Gruppe aufgefordert, bei der sie sich registrieren möchten. In diesem Beispiel können Benutzer zwischen den Gruppen „Technik“ und „Buchhaltung“ auswählen.

Abbildung 5. Organisationsgruppen, in denen Verzeichnisse dieselbe Domäne nutzen

Platzieren von Geräten in der richtigen Organisationsgruppe

Wenn ein Benutzerdatensatz ermittelt wurde, wird das Gerät der entsprechenden Organisationsgruppe hinzugefügt. Die Workspace ONE UEM-Registrierungseinstellung Gruppen-ID-Zuweisungsmodus bestimmt die Organisationsgruppe, in der das Gerät platziert wird. Diese Einstellung befindet sich auf der Seite „Systemeinstellungen > Gerät & Benutzer > Allgemein > Registrierung > Gruppieren“ in der Workspace ONE UEM Console.

Abbildung 6. Workspace ONE UEM-Gruppenregistrierung für Geräte

Im Beispiel 4 befinden sich alle Benutzer auf der Ebene der Organisationsgruppe „Unternehmen“.

Abbildung 7. Beispiel 4

Die Geräteplatzierung hängt von der ausgewählten Konfiguration des Modus der Gruppen-ID-Zuweisung für die Organisationsgruppe „Unternehmen“ ab.

  • Wenn „Standard“ ausgewählt ist, wird das Gerät in der Gruppe des Benutzers platziert. In Beispiel 4 wird das Gerät in der Gruppe „Unternehmen“ platziert.

  • Wenn die Option „Benutzer auffordern, Gruppen-ID auszuwählen“ ausgewählt ist, werden die Benutzer aufgefordert, die Gruppe auszuwählen, für die ihr Gerät registriert werden soll. In Beispiel 4 wird in der Workspace ONE-App ein Dropdown-Menü mit „Technik“ und „Buchhaltung“ als Optionen angezeigt.

  • Wenn die Option „Automatisch auf der Basis der Benutzergruppe auswählen“ aktiviert ist, werden die Geräte je nach ihrer zugewiesenen Benutzergruppe und der entsprechenden Zuordnung in der Workspace ONE UEM-Konsole entweder in „Technik“ oder „Buchhaltung“ platziert.

Verstehen des Konzepts der verborgenen Gruppe

In Beispiel 4 können Benutzer, wenn sie zur Auswahl der Organisationsgruppe aufgefordert werden, für die die Registrierung durchgeführt werden soll, auch eine Gruppen-ID eingeben, die nicht in der Liste der Workspace ONE-App enthalten ist. Dies wird als „Konzept der verborgenen Gruppe“ bezeichnet.

In Beispiel 5 sind in der Struktur der Organisationsgruppe „Unternehmen“ die Gruppen „Nordamerika“ und „Beta“ unterhalb von „Unternehmen“ konfiguriert.

Abbildung 8. Beispiel 5

In Beispiel 5 geben Benutzer ihre E-Mail-Adresse in Workspace ONE ein. Nach der Authentifizierung wird eine Liste mit „Technik“ und „Buchhaltung“ angezeigt, aus der Benutzer auswählen können. Die Option „Beta“ ist darin nicht enthalten. Wenn Benutzer die Organisationsgruppen-ID kennen, können sie „Beta“ manuell in das Textfeld für die Gruppenauswahl eingeben und so ihr Gerät erfolgreich für „Beta“ registrieren.