Workspace ONE UEM utilise des groupes organisationnels pour identifier les utilisateurs et établir des autorisations. Lorsqu'Workspace ONE UEM est intégré à Workspace ONE Access, les clés REST API de l'utilisateur d'administration et d'inscription sont configurées sur le type de groupe d'organisation Workspace ONE UEM appelé Client.

Lorsque les utilisateurs se connectent à l'application Workspace ONE Intelligent Hub à partir d'un terminal, un événement d'enregistrement de terminal est déclenché dans Workspace ONE Access. Une demande est envoyée à Workspace ONE UEM pour extraire toutes les applications auxquelles la combinaison utilisateur/périphérique est autorisée à accéder. La demande est envoyée à l'aide de REST API pour localiser l'utilisateur dans Workspace ONE UEM et pour placer le périphérique dans le groupe d'organisation approprié.

Pour gérer des groupes d'organisation dans Workspace ONE Access, mappez les groupes d'organisation Workspace ONE UEM à des domaines dans le service Workspace ONE Access.

Si les groupes d'organisation Workspace ONE UEM ne sont pas mappés à des domaines dans le service Workspace ONE Access, l'application Workspace ONE Intelligent Hub tente de localiser l'utilisateur dans le groupe d'organisation dans lequel la clé REST API est créée. Il s'agit du groupe Client.

Utilisation de la découverte automatique d'Workspace ONE UEM

Assurez-vous que l'option Détection automatique est configurée dans la console Workspace ONE UEM. Configurez la découverte automatique lorsqu'un répertoire unique est configuré dans un groupe enfant pour le groupe organisationnel Client, ou lorsque plusieurs répertoires sont configurés sous le groupe Client avec des domaines de messagerie uniques.

Figure 1. Exemple 1
Capture d'écran montrant un annuaire unique configuré au niveau du groupe enfant

Dans l'exemple 1, le domaine de messagerie de l'organisation est enregistré pour la découverte automatique. Les utilisateurs entrent uniquement leur adresse e-mail sur la page de connexion de Workspace ONE Intelligent Hub.

Dans cet exemple, lorsque les utilisateurs du domaine Amérique du Nord se connectent à l'application Workspace ONE Intelligent Hub, ils entrent l'adresse e-mail complète sous la forme [email protected]. L'application recherche le domaine et vérifie que l'utilisateur existe ou peut être créé avec un appel de répertoire dans le groupe d'organisation Amérique du Nord. Le périphérique peut être enregistré.

Utilisation du mappage du groupe d'organisation Workspace ONE UEM vers les domaines Workspace ONE Access

Configurez le service Workspace ONE Access pour le mappage de groupe d'organisation Workspace ONE UEM lorsque plusieurs annuaires sont configurés avec le même domaine de messagerie. Activez Mapper les domaines sur plusieurs groupes d'organisation sur la page Intégrations > Intégration d'UEM de la console Workspace ONE Access.

Lorsque l'option Mapper les domaines sur plusieurs groupes d'organisation est activée, les domaines configurés dans Workspace ONE Access peuvent être mappés aux ID de groupe d'organisation de Workspace ONE UEM. La clé REST API d'administration est également requise.

Dans l'exemple 2, deux domaines sont mappés à des groupes organisationnels différents. Une clé REST API d'administration est requise. La même clé REST API d'administration est utilisée pour les deux ID de groupe d'organisation.

Figure 2. Exemple 2
Capture d'écran montrant deux domaines mappés à différents groupes d'organisation avec une clé REST API d'administrateur

Sur la page de configuration d'Intégration d'UEM de la console Workspace ONE Access, configurez un ID de groupe d'organisation de Workspace ONE UEM spécifique pour chaque domaine.

Figure 3. Exemple 2 de configuration de groupe d'organisation
Capture d'écran montrant deux domaines mappés à différents groupes d'organisation avec une clé REST API d'administrateur différente

Avec cette configuration, lorsque les utilisateurs se connectent à l'application Workspace ONE Intelligent Hub à partir de leur terminal, la demande d'enregistrement de terminal tente de localiser les utilisateurs du domaine Domain3 dans le groupe d'organisation Europe et les utilisateurs du domaine Domain4 dans le groupe d'organisation Asie Pacifique.

Dans l'exemple 3, un domaine est mappé à plusieurs groupes organisationnels Workspace ONE UEM. Les deux répertoires partagent le domaine de messagerie. Le domaine pointe sur le même groupe d'organisation de Workspace ONE UEM.

Figure 4. Exemple 3
Capture d'écran montrant un domaine mappé à plusieurs groupes d'organisation dans lesquels plusieurs annuaires partagent le domaine

Dans cette configuration, lorsque les utilisateurs se connectent à l'application Workspace ONE Intelligent Hub, celle-ci les invite à sélectionner le groupe dans lequel ils souhaitent s'enregistrer. Dans cet exemple, les utilisateurs peuvent sélectionner Ingénierie ou Comptabilité.

Figure 5. Groupes d'organisation dans lesquels les annuaires partagent le même domaine
Capture d'écran de la boîte de dialogue Mapper les domaines dans laquelle les annuaires partagent un domaine

Placement de périphériques dans le groupe d'organisation correct

Lorsqu'un enregistrement d'utilisateur est trouvé, le périphérique est ajouté au groupe d'organisation approprié. Le paramètre d'inscription de Workspace ONE UEM Mode d'attribution d'ID de groupe détermine le groupe d'organisation dans lequel placer le terminal. Ce paramètre se trouve dans la page Paramètres système > Périphérique et utilisateurs > Général > Inscription > de Workspace ONE UEM Console.

Figure 6. Inscription de groupe de Workspace ONE UEM pour des terminaux
Capture d'écran de la page Inscription affichant l'onglet Regroupement

Dans l'exemple 4, tous les utilisateurs sont au niveau du groupe d'organisation Entreprise.

Figure 7. Exemple 4
Capture d'écran de la page Inscription affichant l'onglet Regroupement

Le placement du périphérique dépend de la configuration sélectionnée pour le mode d'attribution d'ID de groupe dans le groupe d'organisation Entreprise.

  • Si la valeur Par défaut est sélectionnée, le terminal est placé dans le même groupe où se trouve l'utilisateur. Dans l'exemple 4, le périphérique est placé dans le groupe Entreprise.
  • Si l'option Inviter l'utilisateur à sélectionner un ID de groupe est sélectionnée, les utilisateurs sont invités à sélectionner le groupe dans lequel enregistrer leur périphérique. Pour l'exemple 4, les utilisateurs voient un menu déroulant dans l'application Workspace ONE Intelligent Hub avec Ingénierie et Comptabilité comme options.
  • Si l'option Automatiquement sélectionné en fonction du groupe d'utilisateurs est sélectionnée, les terminaux sont placés dans Ingénierie ou Comptabilité en fonction de leur attribution de groupe d'utilisateurs et du mappage correspondant dans la console Workspace ONE UEM.

Comprendre le concept de groupe masqué

Dans l'exemple 4, lorsque les utilisateurs sont invités à sélectionner un groupe d'organisation à partir duquel enregistrer, ils peuvent également entrer une valeur d'ID de groupe qui ne se trouve pas dans la liste présentée dans l'application Workspace ONE Intelligent Hub. Il s'agit du concept de groupe masqué.

Dans l'exemple 5, dans la structure de groupe d'organisation Entreprise, Amérique du Nord et Bêta sont configurés comme groupes sous Entreprise.

Figure 8. Exemple 5
Capture d'écran montrant les groupes configurés dans la structure des groupes d'organisation Entreprise

Dans l'exemple 5, les utilisateurs entrent leur adresse e-mail dans l'application Workspace ONE Intelligent Hub. Après l'authentification, les utilisateurs voient une liste qui affiche Ingénierie et Comptabilité. Ils doivent sélectionner l'une de ces options. Bêta n'est pas une option qui s'affiche. Si les utilisateurs connaissent l'ID du groupe d'organisation, ils peuvent entrer manuellement Bêta dans la zone de texte de sélection de groupe et enregistrer correctement leur terminal dans Bêta.