Servidores de archivos corporativos

La solución de administración de contenido admite la integración con sus servidores de archivos corporativos (CFS). Los servidores de archivos corporativos son repositorios existentes que residen dentro de la red interna de la organización.

Funciones

La integración del servidor de archivos corporativos admite las siguientes funciones:

  • Integración segura
  • Proteger el acceso a la red interna de la organización
  • Opciones de integración avanzadas mediante Content Gateway

Seguridad

La solución Content Management ofrece las siguientes opciones de seguridad:

  • Cifrado SSL para el tránsito de datos
  • Control sobre el acceso y los derechos de descarga de los administradores de Workspace ONE UEM
  • Contenido almacenado en la red de la organización
  • Solo metadatos almacenados en la base de datos de Workspace ONE UEM. Soporte para revisión y administración de los metadatos almacenados.

Implementación

Dependiendo de la estructura de la organización, el administrador de Workspace ONE UEM puede o no tener permisos administrativos para un CFS. Una vez que la solución Content Management está integrada con CFS, los dispositivos de los usuarios finales pueden sincronizar el contenido desde los servidores con la ayuda de VMware Wokspace ONE Content.

Compatibilidad de los servidores de archivos corporativos

Workspace ONE UEM admite la integración con varios servidores de archivos corporativos. La compatibilidad con el método de sincronización y el requisito del componente de Content Gateway varían según el tipo de repositorio.

Métodos de sincronización disponibles

Vea los métodos de sincronización disponibles para los repositorios:

  • Administrador: repositorio completamente configurado y sincronizado por un administrador en la consola de UEM. Cada usuario asignado recibe el mismo vínculo estático al repositorio de archivos.
  • Automático: hace referencia a un repositorio que configura un administrador en UEM Console, pero permite que el administrador use valores de búsqueda dinámica. El repositorio lo sincronizan los usuarios finales en sus dispositivos. Cada usuario asignado recibe un vínculo único o semiúnico a un repositorio de archivos. Esta es una opción útil para vincular los directorios principales de los usuarios.
  • Manual: hace referencia a un repositorio que se configura en UEM Console, pero permite al administrador establecer una parte estática y una parte variable (comodín) de un vínculo. Cada usuario final puede agregar manualmente un vínculo del repositorio con el formato establecido por el administrador y sincronizar el repositorio en sus dispositivos.

Aviso: Independientemente del número de archivos presentes en las carpetas del repositorio, solo se sincronizarán con el dispositivo 1000 archivos de cualquier carpeta que se encuentre ordenada alfabéticamente.

Matriz del servidor de archivos corporativos

Utilice la matriz para determinar los métodos de sincronización compatibles y los requisitos de Content Gateway según el tipo de repositorio:

Repositorios disponibles Administración Automatic Manual
Box
CMIS
Google Drive
Recurso compartido de red
OneDrive
OneDrive para la Empresa
ADFS de OneDrive para la Empresa
OneDrive para la Empresa OAuth
SharePoint
ADFS de SharePoint
SharePoint 0365
ADFS de SharePoint O365
SharePoint O365 OAuth
SharePoint - Personal (Mis sitios)
SharePoint WebDAV
Autenticación de Windows de SharePoint
WebDAV
Acceder mediante Content Gateway
Box
CMIS ✓+ ✓+ ✓+
Google Drive
Recurso compartido de red ✓+ ✓+ ✓+
OneDrive
OneDrive para la Empresa
ADFS de OneDrive para la Empresa
SharePoint
ADFS de SharePoint
SharePoint 0365
ADFS de SharePoint O365
SharePoint - Personal (Mis sitios)
SharePoint WebDAV
Autenticación de Windows en SharePoint (Content Gateway para Linux)
Autenticación de Windows en SharePoint (Content Gateway para Windows)
WebDAV
Extensiones de documentos
Box
CMIS
Google Drive
Recurso compartido de red ✓* ✓* ✓*
OneDrive
OneDrive para la Empresa
ADFS de OneDrive para la Empresa
OneDrive para la Empresa OAuth
SharePoint ✓** ✓** ✓**
ADFS de SharePoint ✓** ✓** ✓**
SharePoint 0365 ✓** ✓** ✓**
ADFS de SharePoint O365 ✓** ✓** ✓**
SharePoint O365 OAuth
SharePoint - Personal (Mis sitios) ✓**
SharePoint WebDAV ✓**
Autenticación de Windows de SharePoint ✓** ✓** ✓**
WebDAV ✓* ✓* ✓*
Leyenda:
¥ = VMware Content Gateway en los servidores Linux solo admite SMB v2.0 y SMB v3.0. La versión compatible predeterminada es SMB v2.0.
✓+ = requerido
✓ = compatible
= no compatible
✓* = compatible, con limitaciones. Acceso limitado a los archivos de los repositorios anteriormente abiertos en VMware Workspace ONE Content.
✓** = Compatible, con limitaciones. Acceso limitado a los archivos anteriormente descargados en Workspace ONE Content.

Cómo habilitar el acceso de los usuarios finales a contenido del servidor de archivos corporativos

Sincronice los servidores de archivos corporativos existentes de la red con Workspace ONE UEM; para ello, configure un repositorio administrativo, un repositorio agregado por el usuario automático o un repositorio agregado por el usuario manual. Las configuraciones disponibles afectan al “desencadenador” que inicia la sincronización del contenido con los dispositivos.

Utilice este resumen sobre la configuración en el nivel de macros para obtener información sobre cómo permitir a los usuarios finales acceder al contenido del servidor de archivos corporativos.

  1. Configure un repositorio en la consola de UEM.
  2. Descargue y ejecute el programa de instalación de Content Gateway configurado.
  3. Compruebe la conectividad entre la consola de UEM y Content Gateway.

  4. Evalúe la necesidad que tiene su organización de contar con varios nodos de Content Gateway.

    Las organizaciones globales con problemas de latencia provocados por separaciones geográficas pueden utilizar esta funcionalidad.

  5. Configure un repositorio administrativo o sincronice los servidores de archivos corporativos (CFS) en la consola de UEM.

    Si configura un repositorio de administrador, seleccione Probar conexión para comprobar la conectividad.

  6. Configure VMware Workspace ONE Content en la consola UEM.

  7. Implemente las aplicaciones de Workspace ONE UEM en la flota de dispositivos.

Cómo configurar un repositorio administrativo

Configure un repositorio administrativo para sincronizar los servidores de archivos corporativos existentes de la red con Workspace ONE UEM. Después de la sincronización, los usuarios finales pueden acceder al contenido del servidor de archivos corporativo desde sus dispositivos.

  1. Desplácese a Content > Repositorios > Repositorios de administradores en UEM Console.
  2. Seleccione Agregar.

  3. Configure los ajustes que aparecen.

    Ajustes Descripción
    Nombre Etiquete el directorio de contenido
    Tipo Seleccione un servidor de archivos corporativos en el menú desplegable.
    Enlace Proporcione la ruta completa a la ubicación del directorio en lugar del domino raíz.
    Ejemplo: http://SharePoint/Corporate/DocumentsEs posible que una URL copiada directamente de un navegador web no tenga permiso para acceder a un servidor en determinados tipos de repositorios.
    Aviso: Si el repositorio seleccionado es un repositorio de OAuth, la URL del repositorio debe contener "/personal".
    Por ejemplo, si la URL del repositorio es xyz.abc.com, debe agregar la URL como xyz.abc.com/personal.
    Grupo organizativo Asigne acceso al servidor de archivos corporativos a un grupo de usuarios seleccionado.
    Usar credenciales derivadas de PIV-D Este ajuste solo está disponible cuando se selecciona SharePoint como el tipo de repositorio. Seleccione la casilla de verificación para usar la autenticación de certificados de PIV-D para autenticar a los usuarios en lugar de los nombres de usuario y contraseñas. La autenticación de certificados de PIV-D es para la autenticación de los usuarios que desean acceder a los repositorios de SharePoint locales desde sus dispositivos.

    Nota: Para habilitar el uso de credenciales derivadas de PIV-D se requiere la configuración de Kerberos en los ajustes de Content Gateway.

    Para obtener información sobre los ajustes de autenticación de certificados en Content Gateway, consulte el tema Configurar Content Gateway en UEM Console en la documentación de Content Gateway.
    Acceder vía MAG/Content Gateway Utilice Content Gateway si el dominio del servidor de Workspace ONE UEM no puede acceder al servidor de archivos corporativos.
    Content Gateway Identifique el nombre único del nodo de Content Gateway correspondiente en el menú desplegable.
    Permitir herencia Permita que los grupos organizativos secundarios hereden los mismos permisos de acceso del grupo organizativo primario.
    Permitir la escritura Permita que los usuarios finales creen y carguen archivos y carpetas, editen documentos y realicen retiros/devoluciones de archivos en repositorios externos desde sus dispositivos.
    Permitir acciones de archivos Este ajuste solo está disponible cuando se selecciona SharePoint O365 OAuth o OneDrive para empresa Oauth como tipo de repositorio. Seleccione la casilla de verificación para permitir que los usuarios de la aplicación Workspace ONE Content cambien el nombre, muevan y eliminen archivos en los repositorios de nube.
    Permitir eliminación Permite la eliminación remota de contenido para el repositorio de recurso compartido de red. Con esta característica, el usuario final puede eliminar el contenido permanentemente del repositorio de recurso compartido de red utilizando la aplicación Workspace ONE Content.
    Tipo de autenticación Seleccione el nivel de acceso que los administradores tienen en los servidores de archivos corporativos desde la consola de UEM.

    Ninguno: impide que los administradores vean y descarguen contenido del servidor de archivos corporativos desde UEM Console.
    Usuario: permite la navegación en la estructura de archivos del repositorio dentro de UEM Console. Introduzca las credenciales en los cuadros de texto Nombre de usuario y Contraseña que aparecen.
    Aviso: Si se ha seleccionado la casilla de verificación Usar credenciales derivadas de PIV-D, el cuadro de texto de la contraseña no aparecerá. Proporcione el Nombre principal del usuario del usuario en el cuadro de texto Nombre de usuario.
    Permitir la carga solo desde la cámara Seleccione esta opción para permitir que los usuarios carguen imágenes solo desde la cámara del dispositivo.

  4. Seleccione Probar conexión para verificar la conectividad. Un resultado positivo indica que el servidor de archivos corporativos se integró sin problemas.

  5. Complete los detalles en las pestañas de seguridad, asignación e implementación.

    a. En la pestaña Seguridad, complete los cuadros de texto para controlar cómo comparten y mueven los usuarios finales documentos confidenciales fuera de los medios corporativos.

    La opción Forzar cifrado se ha eliminado de Workspace ONE UEM Console versión 9.5. La aplicación VMware Workspace ONE Content cifra todos los archivos de forma predeterminada, tanto si la opción está disponible como si no.

    Ajustes Descripción
    Control de acceso Configure esta opción como Permitir ver fuera de línea para proporcionar a los usuarios finales la máxima libertad posible para ver sus documentos. Configure la función Permitir ver solamente en línea para garantizar que todos los dispositivos que accedan al contenido cumplan con las políticas de conformidad, ya que Workspace ONE UEM no puede examinar la conformidad de los dispositivos si están fuera de línea.
    Permitir que se abra en correo electrónico Permita que el contenido se abra en los correos electrónicos. Los usuarios no pueden abrir archivos de más de 10 MB. Para permitir que los usuarios abran archivos de más de 10 MB, debe editarlos en UEM Console y habilitar esta opción. Los archivos de los repositorios de usuario no se pueden editar.
    Permitir que se abra en una aplicación de terceros Otorgue permiso para abrir este contenido en otras aplicaciones. Puede configurar una lista de aplicaciones aprobadas en el perfil de SDK. Si se deshabilita esta opción, también se deshabilita el permiso del usuario final para imprimir los documentos PDF desde VMware Workspace ONE para iOS.
    Permitir que se guarde en otros repositorios Seleccione esta opción para permitir a los usuarios finales guardar el archivo en el repositorio de contenido personal.
    Habilitar la marca de agua Seleccione esta opción para agregar una superposición de marca de agua al archivo. Configure el texto superpuesto de la marca de agua como parte del perfil de SDK.
    Permitir impresión Otorgue permiso a los usuarios finales para que puedan imprimir documentos PDF desde VMware Workspace ONE Content para iOS a través del servidor de AirPrint. Una vez impreso, el contenido queda fuera del control del administrador de Workspace ONE UEM. La impresión solo es compatible si se habilita la opción Permitir que se abra en una aplicación de terceros.
    Permitir modificación Este ajuste solo se aplica a los repositorios que tienen permisos de escritura.

    b. En la pestaña Asignación, configure los ajustes para controlar qué usuarios tendrán acceso al contenido. Esta función garantiza que solo los empleados autorizados tengan acceso al material confidencial o sensible y le permite configurar una jerarquía con niveles de acceso al contenido.

    Ajustes Descripción
    Tipo de propiedad del dispositivo Defínala como Cualquiera, Corporativa - Dedicada, Corporativa - Compartida, Propiedad del empleado o Sin definir.
    Grupos organizativos Para asignar el contenido a un nuevo grupo, empiece a escribir en el cuadro de texto.
    Grupos de usuarios Asigne grupos si está integrándose con los servicios de directorio o grupos de usuarios personalizados.

    c. En la pestaña Implementación, configure los ajustes para controlar cómo y cuándo acceden los usuarios finales al contenido.

    Ajustes Descripción
    Método de transferencia Especifique Cualquiera o Solo Wi-Fi en el menú desplegable. Restringir las transferencias a Wi-Fi obliga a que los dispositivos se registren en Workspace ONE UEM para garantizar la conformidad.
    Descargar durante roaming Habilite esta opción para que los usuarios descarguen contenido durante roaming.
    Tipo de descarga Configure esta opción para implementar contenido de una de estas dos formas:

    Automáticamente: se instala en los dispositivos cuando el contenido está disponible.
    A pedido: se instala en los dispositivos solo cuando el usuario final lo solicita.
    Prioridad de descarga Defina esta opción para comunicar a los usuarios finales la prioridad de descarga: Normal, Alto/a o Bajo/a.
    Obligatorio Seleccione esta opción para marcar contenido como requerido en VMware Workspace ONE Content. Los usuarios finales deben descargar y revisar el contenido requerido para que sus dispositivos se mantengan conformes con Workspace ONE UEM.
    Fecha de entrada en vigor Especifique una fecha para configurar un intervalo limitado durante el cual el contenido estará disponible.
    Fecha de caducidad Especifique una fecha para configurar un intervalo limitado durante el cual el contenido estará disponible.

  6. Seleccione Guardar.

Acceda al vínculo correcto

Asegúrese de que Content Gateway esté configurado con el vínculo correcto. Esta regla en particular se aplica a SharePoint 2013, Office 365 y versiones más recientes. Algunas direcciones URL no están diseñadas para que aplicaciones y servicios accedan a ellas y solo aceptan acceso de un navegador web. Si al configurar Content Gateway se introduce una dirección URL que acepta "solo navegadores" como enlace, se producirá un error de conexión.

  1. Introduzca la dirección URL en el navegador.
  2. Desplácese a PÁGINA > Editar propiedades > Ver propiedades.
  3. Haga clic con el botón secundario y copie la dirección del enlace.
  4. Pegue la dirección en el cuadro de texto Enlace en la consola de UEM.

Aviso: Debe habilitar https://login.microsoftonline.com/, *.sharepoint.com y cualquier URL de ADFS en los servidores de Console y DS para el repositorio de OAuth. Cuando se bloquea una URL, también se restringe la autenticación. Permita el vínculo de ADFS en Console y los cuadros de DS para los repositorios de ADFS.

Cómo habilitar los usuarios para sincronizar servidores de archivos corporativos

Integre Workspace ONE UEM con los repositorios de contenido existentes mediante la configuración de una plantilla manual o automática que los usuarios finales podrán sincronizar desde sus dispositivos. Después de la sincronización, los usuarios finales pueden acceder al contenido del servidor de archivos corporativo desde sus dispositivos. El uso de Content Gateway con servidores de archivos corporativos permite a los usuarios finales agregar, editar y cargar contenido en el servidor de archivos corporativo de forma segura.

Los pasos pueden variar al configurar una plantilla manual o automática.

  1. Navegue a la página correspondiente en la consola de UEM.

    Tipo de servidor de archivos corporativos Ubicación
    Plantilla automática Content > Repositorios > Plantillas > Automático
    Plantilla manual Content > Repositorios > Plantillas > Manual

  2. Seleccione Agregar.

  3. Complete los cuadros de texto que aparecen. Los cuadros de texto pueden cambiar al configurar un repositorio administrativo, una plantilla automática o una plantilla manual.

    Ajustes Descripción
    Nombre Introduzca el nombre del directorio de contenido.
    Nombre del repositorio de usuarios (solo plantilla automática) Utilice los valores de búsqueda para nombrar el repositorio después del usuario final en VMware Workspace ONE Content.
    Tipo Seleccione un servidor de archivos corporativos en el menú desplegable.
    Enlace Es posible que una dirección URL copiada directamente de un navegador web no tenga permiso para acceder a un servidor en determinados tipos de repositorios.
    Enlace (solo plantilla automática) Utilice los valores de búsqueda para crear un repositorio cuando el usuario final acceda a VMware Workspace ONE Content.

    Ejemplo: https://sharepoint.acme.com/share/{EnrollmentUser}
    Enlace (solo plantilla manual) Proporcione la ruta a la ubicación del directorio utilizando * como comodín para un vínculo de dominio.

    Ejemplo: http://*.sharepoint.com
    Puede agregar un nuevo vínculo a una plantilla manual existente, pero no puede editar ni eliminar un vínculo existente. Preste atención cuando agregue nuevos vínculos de la lista de no permitidos, ya que no puede editar ni eliminar los vínculos si hay algún error. Cualquier corrección realizada a los vínculos requiere la eliminación de toda la plantilla.
    Vínculos denegados Especifique los valores del carácter comodín (*) en las rutas de archivo. Los valores especificados para * al principio y al final de la ruta de archivo evitan que los usuarios creen repositorios y subcarpetas manuales mediante la plantilla manual.
    Grupo organizativo Asigne acceso al servidor de archivos corporativos a un grupo de usuarios específico.
    Utilizar credenciales derivadas Este ajuste solo está disponible cuando se selecciona SharePoint como el tipo de repositorio. Seleccione la casilla de verificación para usar la autenticación de certificados de PIV-D para autenticar a los usuarios en lugar de los nombres de usuario y contraseñas. La autenticación de certificados de PIV-D es para la autenticación de los usuarios que desean acceder a los repositorios de SharePoint locales desde sus dispositivos.

    Aviso: Para habilitar el uso de credenciales derivadas de PIV-D se requiere la configuración de Kerberos en los ajustes de Content Gateway.

    Para obtener información sobre los ajustes de autenticación de certificados en Content Gateway, consulte el tema Configurar Content Gateway en UEM Console en la documentación de Content Gateway.
    Acceder vía MAG/Content Gateway Utilice Content Gateway si el dominio del servidor de Workspace ONE UEM no puede acceder al servidor de archivos corporativos.
    Permitir herencia Permita que los grupos organizativos secundarios hereden los mismos permisos de acceso del grupo organizativo primario.
    Permitir la escritura Permita que los usuarios finales creen y carguen archivos y carpetas, editen documentos y realicen retiros/devoluciones de archivos en repositorios externos desde sus dispositivos.

Compatibilidad con la autenticación de certificados de PIV-D

A los usuarios de la aplicación Workspace ONE Content se les otorga acceso a los repositorios de SharePoint y de recursos compartidos de red locales una vez que los usuarios se autentican mediante las credenciales derivadas de PIV-D. La autenticación basada en certificados acaba con el requisito del nombre de usuario y la contraseña.

Los repositorios locales, como SharePoint y de recursos compartidos de red, pueden configurarse para utilizar las credenciales derivadas de PIV-D para la autenticación. La configuración de los repositorios para usar la credencial derivada de PIV-D requiere la configuración de Kerberos en los ajustes de VMware Content Gateway.

Se deberán considerar los siguientes requisitos previos para la configuración de la autenticación de certificados de PIV-D:

  • El servidor de delegación limitada de Kerberos (KCD) debe configurarse con los SPN correctos (Nombres de entidad de servicio).

  • Active Directory debe sincronizarse con Workspace ONE UEM, con el Nombre principal del usuario (UPN) como atributo.

  • La cuenta de servicio debe estar disponible para Workspace ONE UEM y VMware Content Gateway para usarla como parte del flujo de trabajo de autenticación de Kerberos.

  • Se deberá proporcionar a Content Gateway un certificado de confianza de la entidad de certificación (CA) que emite los certificados de usuario. Estos certificados pueden ser solo certificados intermedios o bien la cadena de certificados completa en función de los requisitos de validación de la CA.

En el caso de un repositorio de recursos compartidos de red, asegúrese de que las claves de configuración se establezcan de la siguiente forma: jcifs en false y jcifsng en true.

Compatibilidad con la autenticación de certificados sin PIV-D

Los repositorios locales, como SharePoint y de recursos compartidos de red, pueden configurarse para utilizar las credenciales derivadas para la autenticación. Para configurar los repositorios para que utilicen las credenciales derivadas, es necesario configurar Kerberos en los ajustes de VMware Content Gateway.

Se deberán considerar los siguientes requisitos previos para la configuración de la autenticación de certificados:

  • El servidor de delegación limitada de Kerberos (KCD) debe configurarse con los SPN correctos (Nombres de entidad de servicio).

  • Active Directory debe sincronizarse con Workspace ONE UEM, con el Nombre principal del usuario (UPN) como atributo.

  • La cuenta de servicio debe estar disponible para Workspace ONE UEM y VMware Content Gateway para usarla como parte del flujo de trabajo de autenticación de Kerberos.

  • Se deberá proporcionar a Content Gateway un certificado de confianza de la entidad de certificación (CA) que emite los certificados de usuario. Estos certificados pueden ser solo certificados intermedios o bien la cadena de certificados completa en función de los requisitos de validación de la CA.

En el caso de un repositorio de recursos compartidos de red, asegúrese de que las claves de configuración se configuren de la siguiente forma: jcifs en false y jcifsng en true.

Rendimiento de la memoria caché

Cuando se almacena en caché todo el repositorio corporativo, pueden producirse picos de memoria en el servidor de servicios de dispositivos debido a la escasez de memoria interna. La memoria caché debe deshabilitarse cada vez para soportar la carga en el servidor de servicios de dispositivos.

Aviso: El script de base de datos que se utiliza para deshabilitar la memoria caché ya no es compatible desde la versión 1904 de Workspace ONE UEM. La memoria caché se puede deshabilitar cambiando ContentCacheFeatureFlag a false en la API, https:// /api/system/featureflag/ /<OG_GUID>/false.

La estrategia de almacenamiento en la memoria caché Just-in-Time elimina el problema de memoria insuficiente al almacenar en caché solo las carpetas y los registros de contenido a los que el usuario accede. Las carpetas y el contenido no deseados se eliminan de la memoria caché.

Las carpetas se almacenan en la memoria caché individualmente con la clave de caché folderId, en lugar de almacenar en caché todo el repositorio mediante la clave de caché RepoId.

En caso de error de la memoria caché, el servidor de servicios de dispositivos solo carga los metadatos de las carpetas actuales de la base de datos y los almacena en la memoria caché. En caso de acierto de la memoria caché, el servidor de servicios de dispositivos lee solo la estructura de carpetas del nivel raíz de la memoria caché.

check-circle-line exclamation-circle-line close-line
Scroll to top icon