Considérez les groupes organisationnels comme des branches individuelles d'un arbre généalogique, chaque feuille étant un utilisateur de terminal. Workspace ONE UEM powered by AirWatch identifie chaque feuille et établit son rang dans l'arbre généalogique à l'aide des groupes organisationnels (OG). La plupart des clients font ressembler les arbres de groupes organisationnels à leur hiérarchie d'entreprise : cadres, direction, opérations, ventes, etc.

Vous pouvez également établir des groupes organisationnels selon les fonctionnalités et le contenu Workspace ONE UEM.

Vous pouvez accéder aux groupes organisationnels en naviguant vers Groupes et paramètres > Groupes > Groupes organisationnels > Affichage en liste ou grâce au menu déroulante des groupes organisationnels.

  • Créez des groupes pour les entités au sein de votre organisation (Direction, Salariés, Employés à l'heure, Ventes, Vente au détail, RH, Cadres, etc.).
  • Personnalisez les hiérarchies avec des niveaux parents et enfants (par exemple, « Salariés » et « Employés à l'heure » en tant qu'enfants sous « Direction »).
  • de vous intégrer à plusieurs infrastructures internes au niveau de la couche ;
  • Déléguez un accès basé sur les rôles et une gestion basée sur une structure mutualisée.
Note : L' Affichage des groupes organisationnels sous forme de liste définit les « Terminaux actifs » comme étant les seuls terminaux ayant fait l'objet d'un rapport Workspace ONE UEM Console au cours des 8 heures précédentes.

Caractéristiques des groupes organisationnels

Les groupes organisationnels s'adaptent aux entités fonctionnelles, géographiques et organisationnelles et offrent une solution mutualisée.

  • Extensibilité – Assurez une prise en charge flexible pour une croissance exponentielle.
  • Mutualisation – Créez des groupes se comportant comme des environnements indépendants.
  • Héritage – Rationalisez le processus de configuration en paramétrant les sous-groupes pour qu'ils héritent des configurations parentes.

Grâce au menu déroulant Groupe organisationnel, l'ensemble des profils, des fonctions, des applications et des autres paramètres MDM peut être défini au niveau supérieur World-Wide Enterprises.

Les sous-groupes organisationnels, comme AsiaPacific et EMEA, ou même AsiaPacific > Manufacturing et AsiaPacific > Operations > Corporate peuvent ensuite hériter de ces paramètres.

Les paramètres entre les groupes organisationnels d'une même famille comme AsiaPacific et EMEA profitent de la nature mutualisée des groupes organisationnels, en gardant ces paramètres séparés les uns des autres. Cependant, ces deux groupes organisationnels de même famille héritent des paramètres de leur groupe organisationnel parent, World Wide Enterprises.

Vous pouvez aussi choisir de remplacer les paramètres à un niveau inférieur et de modifier uniquement les paramètres que vous souhaitez. Ces paramètres peuvent être modifiés et/ou propagés à n'importe quel niveau.

Conditions de la configuration des groupes organisationnels

Avant de définir la hiérarchie de votre groupe organisationnel dans Workspace ONE UEM Console, décidez d'abord de la structure du groupe. La structure de groupe vous permet de tirer le meilleur parti des paramètres, des applications et des ressources.

  • Administration déléguée – Vous pouvez déléguer l'administration des sous-groupes à des administrateurs de niveau inférieur en limitant leur visibilité à un sous-groupe organisationnel.
  • Les administrateurs d'entreprise peuvent accéder à ce niveau et voir tous les éléments de l'environnement.
  • Le responsable LA a accès au groupe organisationnel LA et ne peut gérer que les terminaux qui s'y trouvent.
  • Le responsable NY a accès au groupe NY et ne peut gérer que les terminaux qui s'y trouvent.
  • Paramètres système – Les paramètres peuvent être appliqués à différents niveaux dans l'arborescence de groupes organisationnels et les sous-groupes peuvent en hériter. Ils peuvent aussi être remplacés à n'importe quel niveau. Les paramètres comprennent les options d'enrôlement de terminaux, les méthodes d'authentification, les paramètres de confidentialité et la personnalisation d'apparence.
  • L'ensemble de l'entreprise établit l'enrôlement d'après le serveur Active Directory de l'entreprise.
  • Les terminaux des chauffeurs remplacent l'authentification du groupe supérieur et autorisent l'enrôlement par jeton.
  • Les terminaux de l'entrepôt héritent des paramètres AD du groupe supérieur.
  • Cas d'utilisation des terminaux – Un profil peut être attribué à un ou plusieurs groupes organisationnels. Les terminaux membres de ces groupes peuvent alors recevoir le profil. Consultez la section Profils pour plus d'informations. AirWatch recommande de configurer les terminaux à l'aide des paramètres de profil, d'application et de contenu en fonction des attributs comme le fabricant et le modèle du terminal, le type de propriété ou les groupes d'utilisateurs avant de créer les groupes organisationnels.
  • Les terminaux des cadres ne peuvent pas installer d'applications ni avoir accès au réseau Wi-Fi des commerciaux.
  • Les terminaux des commerciaux sont autorisés à installer des applications et ont un accès VPN.

Modification des groupes organisationnels

Vous pouvez modifier les groupes organisationnels en sélectionnant l'indicateur de groupe organisationnel en haut à droite de l'écran.

Lorsque cet indicateur est sélectionné, un menu déroulant affiche votre hiérarchie de groupes organisationnels pour vous permettre de passer à un autre groupe organisationnel.

Comparer deux groupes organisationnels

Vous pouvez comparer les paramètres d'un groupe organisationnel à un autre pour réduire les problèmes de migration des version. Cette fonction de comparaison des groupes organisationnels n'est disponible que pour les clients sur site.

Vous pouvez effectuer les tâches suivantes lorsque vous comparez les paramètres des groupes organisationnels.

  • Téléchargez les fichiers XML contenant les paramètres des groupes organisationnels de différentes versions de logiciels Workspace ONE UEM.
  • Éliminez la possibilité d'une différence de configuration susceptible de poser des problèmes lors de la migration de version.
  • Filtrez les résultats de la comparaison, affichant les paramètres que vous souhaitez comparer uniquement.
  • Recherchez un seul paramètre par nom grâce à la fonction de recherche.

Exemple de scénario de migration des versions : lorsqu'un serveur de test d'acceptation utilisateur (UAT) a été mis à niveau, configuré et testé, vous pouvez comparer directement les paramètres UAT aux paramètres de production.

  1. Accédez à Groupes et paramètres > Tous les paramètres > Administrateur > Gestion des paramètres > Comparaison des paramètres.
  2. Sélectionnez un groupe organisationnel dans votre environnement, depuis le menu déroulant de gauche (portant le numéro 1). Sinon, vous pouvez importer le fichier de paramètres XML en cliquant sur le bouton Importer et en sélectionnant un fichier XML exporté de paramètres de groupe organisationnel.
  3. Sélectionnez le groupe organisationnel avec lequel vous voulez effectuer la comparaison dans le menu déroulant de droite (portant le numéro 2).
  4. Affichez une liste de tous les paramètres pour les deux groupes organisationnels choisis en sélectionnant le bouton Mettre à jour.
    • Les différences entre les paramètres des deux groupes organisationnels seront automatiquement surlignées.
    • Vous pouvez aussi cocher la case Afficher les différences uniquement. Cette case affiche seulement les paramètres qui s'appliquent à un groupe organisationnel mais pas un autre.
    • Les paramètres individuels qui sont vides (ou non indiqués) s'affichent dans la liste de comparaison en tant que « NULL ».

Créer des groupes organisationnels

Vous devez créer un groupe organisationnel pour chaque entité professionnelle dans laquelle des terminaux sont déployés. N'oubliez pas que le groupe organisationnel dans lequel vous êtes actuellement est le groupe parent du sous-groupe organisationnel que vous allez créer.

  1. Accédez à Groupes et paramètres > Groupes > Groupes organisationnels > Détails.
  2. Sélectionnez l'onglet Ajouter un sous-groupe organisationnel et complétez les paramètres suivants.
    Paramètre Description
    Nom Saisissez un nom pour le sous-groupe organisationnel à afficher. Utilisez des caractères alphanumériques uniquement. N'utilisez pas de caractères spéciaux.
    ID de groupe

    Saisissez un identifiant pour le groupe organisationnel que l'utilisateur final utilisera pour connecter son terminal. Les ID de groupe sont utilisés lors de l'enrôlement pour rassembler les terminaux dans le bon groupe organisationnel.

    Assurez-vous que les utilisateurs qui partagent des terminaux reçoivent l'ID de groupe, celui-ci pouvant être exigé pour la connexion du terminal, en fonction des paramètres de terminal partagé.

    Si vous n'êtes pas dans un environnement sur site, l'ID de groupe identifie votre groupe organisationnel dans tout l'environnement SaaS partagé. Pour cette raison, tous les ID de groupe doivent posséder un nom unique.

    Type Sélectionnez le type de groupe organisationnel préconfiguré qui reflète la catégorie du sous-groupe organisationnel.
    Pays Sélectionnez le pays où le groupe organisationnel est basé.
    Paramètres régionaux Choisissez une langue pour le pays sélectionné.
    Secteur d'activité du client Ce paramètre est uniquement disponible lorsque le type est « Client ». Sélectionnez dans la liste de secteurs d'activité des clients.
    Fuseau horaire Sélectionnez le fuseau horaire pour l'emplacement du groupe organisationnel.
  3. Cliquez sur Enregistrer.

Supprimer un groupe organisationnel

Vous pouvez supprimer un groupe organisationnel à condition qu'il ne contienne aucun groupe organisationnel enfant ni aucun terminal dans sa descendance.
  1. Accédez au groupe organisationnel que vous souhaitez supprimer en le sélectionnant dans le menu déroulant Groupe organisationnel.

  2. Accédez à Groupes et paramètres > Groupes > Groupes organisationnels > Détails.
  3. Dans la partie inférieure de l'écran Détails, vérifiez le nombre de Terminaux dans le groupe organisationnel et de Groupes organisationnels enfants. Si l'une des entrées n'est pas à zéro, vous ne pourrez pas supprimer le groupe organisationnel et le bouton Supprimer n'est pas disponible.

    Vous devez déplacer tous les terminaux de ce groupe organisationnel dans un autre groupe organisationnel. Tous les groupes organisationnels enfants du groupe organisationnel que vous souhaitez supprimer ne doivent contenir aucun terminal avant leur suppression.

  4. Une fois que les nombres de Terminaux dans le groupe organisationnel et de Groupes organisationnels enfants sont à zéro, vous pouvez procéder à la suppression du groupe organisationnel.
  5. Sélectionnez le bouton Supprimer.
  6. L'écran Action restreinte - Suppression de groupes organisationnels s'affiche et fournit des avertissements sur les possibles préparatifs à effectuer avant de supprimer le groupe organisationnel.
  7. Avant de pouvoir procéder à la suppression, vous devez entrer le code PIN de sécurité à 4 chiffres que vous avez sélectionné lors de l'enrôlement en tant qu'administrateur UEM. Réinitialisez ce code PIN en sélectionnant le lien Vous avez oublié votre code PIN ?.

Identifiez l'ID de groupe d'un groupe organisationnel

Vous pouvez identifier l'ID de groupe d'un groupe organisationnel en procédant comme suit.

  1. Accédez au groupe organisationnel que vous souhaitez identifier en le sélectionnant dans le menu déroulant Groupe organisationnel.

  2. Passez votre curseur sur l'étiquette du groupe organisationnel. Une fenêtre contextuelle affiche le nom et l'ID de groupe du groupe organisationnel actuellement sélectionné.

Héritage, mutualisation et authentification

Le concept de remplacement des paramètres en fonction du groupe organisationnel, lorsqu'il est combiné avec des caractéristiques de groupe organisationnel telles que l'héritage et la mutualisation, peut également être combiné avec l'authentification. Cette combinaison permet des configurations flexibles.

Le modèle de groupe organisationnel suivant illustre cette flexibilité.

Ce diagramme montre un modèle de hiérarchie du groupe organisationnel composé d'un parent, d'un enfant et d'un petit-enfant.

Dans ce modèle, les administrateurs, qui disposent généralement d'autorisations et de fonctionnalités plus importantes, sont positionnés au sommet de cette branche de groupe organisationnel. Ces administrateurs se connectent à leur groupe organisationnel en utilisant l'authentification SAML qui est réservée aux administrateurs.

Les utilisateurs d'entreprise sont subordonnés aux administrateurs : leur groupe organisationnel est considéré comme l'enfant de leur groupe. En qualité d'utilisateurs (et non d'administrateurs), leurs paramètres de connexion SAML ne peuvent pas hériter des paramètres administrateur. Par conséquent, le paramètre SAML des utilisateurs d'entreprise est remplacé.

Les utilisateurs BYOD diffèrent des utilisateurs d'entreprise. Les terminaux utilisés par les utilisateurs BYOD appartiennent aux utilisateurs eux-mêmes et contiennent probablement davantage d'informations personnelles. Ces profils de terminaux pourraient donc nécessiter des paramètres légèrement différents. Les utilisateurs BYOD pourraient disposer de conditions d'utilisation différentes. Les terminaux BYOD pourraient avoir besoin de paramètres d'effacement des données professionnelles différents. Pour toutes ces raisons et plus encore, il pourrait être utile pour les utilisateurs BYOD de se connecter à un autre groupe organisationnel.

Et bien qu'ils ne soient pas subordonnés aux utilisateurs d'entreprise au sens de la hiérarchie de l'entreprise, le fait de définir les utilisateurs BYOD comme des enfants d'utilisateurs d'entreprise présente des avantages. Cet arrangement signifie que les utilisateurs BYOD héritent des paramètres applicables à TOUS les terminaux des utilisateurs d'entreprise en les appliquant simplement au groupe organisationnel des utilisateurs d'entreprise.

L'héritage s'applique également aux paramètres d'authentification SAML. Étant donné que les utilisateurs de terminaux personnels sont des enfants des utilisateurs d'entreprise, ils héritent de leur SAML pour les paramètres d'authentification utilisateur.

Un autre modèle consiste à définir les utilisateurs BYOD comme des frères des utilisateurs d'entreprise.

Ce diagramme montre un modèle de hiérarchie du groupe organisationnel composé d'un parent et de deux enfants.

Dans le cadre de ce modèle alternatif, les remarques suivantes sont valables.

  • Tous les profils de terminaux conçus pour s'appliquer globalement à TOUS les terminaux, y compris les politiques de conformité, et les autres paramètres de terminaux applicables globalement sont appliqués à deux groupes organisationnels au lieu d'un. Cette duplication s'explique par le fait que l'héritage des utilisateurs d'entreprise pour les utilisateurs BYOD n'est plus un facteur dans ce modèle. Les utilisateurs d'entreprise et les utilisateurs BYOD sont des pairs, et il n'y a donc pas d'héritage.
  • Un autre remplacement SAML doit être appliqué aux utilisateurs BYOD. Ce remplacement est nécessaire, parce que le système suppose qu'il hérite des paramètres SAML de son parent (administrateurs). Une telle hypothèse est erronée, parce que les utilisateurs BYOD ne sont pas des administrateurs et ne disposent pas des mêmes accès et permissions.
  • Les utilisateurs BYOD continuent d'être traités séparément des utilisateurs d'entreprise. Ce modèle alternatif signifie qu'ils continuent de profiter de leurs propres paramètres de profil de terminal.

Quel facteur permet de déterminer le meilleur modèle ? Comparez le nombre de paramètres de terminal applicables globalement avec le nombre de paramètres de terminal spécifiques au groupe. Pour résumer, si vous voulez traiter tous les terminaux de la même manière, définissez les utilisateurs BYOD en tant qu'enfants des utilisateurs d'entreprise. S'il est plus important de conserver des paramètres séparés, définissez les utilisateurs BYOD en tant que frères des utilisateurs d'entreprise.

Restrictions de groupe organisationnel

Si vous tentez de configurer un paramètre limité au groupe organisationnel, les pages de paramètres dans Groupes et paramètres > Tous les paramètres vous informent de la limite.

Ce paramètre peut uniquement être activé au niveau d'un groupe organisationnel de type Client.

Les restrictions suivantes s'appliquent à la création de groupes organisationnels de niveau Client.

  • Dans un environnement SaaS (software-as-a-service) ou sur site, vous ne pouvez pas créer de groupes organisationnels clients imbriqués.

Fonctions et personnalisations des types de groupes organisationnels

Les types de groupe organisationnel peuvent avoir un impact sur les paramètres qu'un administrateur peut configurer.

  • Global – Le groupe organisationnel le plus élevé. Généralement, ce groupe est appelé Global et dispose du type Global.
    • Pour les environnements SaaS hébergés, vous ne pouvez pas accéder à ce groupe.
    • Les clients sur site peuvent activer la journalisation détaillée à ce niveau.
  • Client – Le groupe organisationnel de niveau supérieur pour chaque client.
    • Un groupe organisationnel client ne peut pas avoir de groupes organisationnels parent/enfant de type client.
    • Les workflows essentiels peuvent uniquement se produire dans un groupe organisationnel de type client ou dans sa hiérarchie. Ces workflows incluent l’ajout d’un terminal, l’enregistrement et l’enrôlement d’un terminal, le mappage de groupes d’utilisateurs, la création et le mappage de Smart Group, la modification du groupe organisationnel sur un terminal (ou le déplacement d’un terminal d’un groupe organisationnel à un autre) et le check-out du terminal.
    • Certains paramètres peuvent être configurés uniquement au niveau d'un groupe client. Ces paramètres se répercutent jusqu'aux groupes organisationnels de niveau inférieur. Parmi les exemples figurent les domaines de messagerie à détection automatique, les paramètres du programme d'achats en grande quantité (VPP), les paramètres du programme d'enrôlement des terminaux (avant AirWatch 8.0) et le contenu personnel.
  • Conteneur – Le type de groupe organisationnel par défaut.
    • Tous les groupes organisationnels en dessous d'un groupe organisationnel client doivent être de type conteneur. Vous pouvez avoir des conteneurs entre les groupes partenaire et client.
  • Partenaire – Le groupe organisationnel de niveau supérieur pour les partenaires (revendeurs tiers de Workspace ONE UEM).
  • Prospect – Clients potentiels. Similaire à un groupe organisationnel client. Pourrait avoir moins de fonctionnalités qu'un véritable groupe client.

Il existe d'autres types de groupes organisationnels comme Division, Région, et vous avez aussi la possibilité de définir votre propre type de groupe organisationnel.

Ajouter un type de groupe organisationnel

Vous pouvez ajouter des types de groupes organisationnels personnalisés. Ces derniers n'ont pas de caractéristiques spécifiques et fonctionnent de la même façon que le type de groupe organisationnel Conteneur.

Pour créer votre propre type de groupe organisationnel…
  1. Accédez à Groupes et paramètres > Groupes > Groupes organisationnels > Types et sélectionnez le bouton Ajouter un type de groupe organisationnel.
  2. Entrez le Nom du type de groupe organisationnel souhaité et sa Description.
  3. Cliquez sur Enregistrer.

Ajout de terminaux au niveau Global

Le groupe organisationnel Global est conçu pour héberger le groupe Client et d'autres types de groupes organisationnels. Étant donné le fonctionnement de l'héritage, si vous ajoutez des terminaux au groupe Global et configurez ce groupe avec des paramètres ayant une incidence sur ces terminaux, vous modifiez également tous les sous-groupes organisationnels Client. Cela réduit les avantages de la mutualisation et de l'héritage.

Pour plus d'informations, reportez-vous à la section Raisons pour lesquelles vous ne devez pas enrôler de terminaux dans Global.