Serveurs de fichiers professionnels

La solution de gestion de contenu prend en charge l'intégration avec vos serveurs de fichiers professionnels (CFS, Corporate File Servers). Les serveurs de fichiers professionnels font référence aux référentiels existants dans le réseau interne d'une organisation.

Fonctionnalités

L'intégration du serveur de fichiers professionnels prend en charge les fonctionnalités suivantes :

  • Intégration sécurisée
  • Protéger l’accès au réseau interne de l’organisation
  • Options d'intégration avancées à l'aide de Content Gateway

Sécurité

La solution de gestion de contenu fournit les options de sécurité suivantes :

  • Chiffrement SSL pour le transport des données
  • Contrôle de l'accès et des droits de téléchargement des administrateurs Workspace ONE UEM
  • Contenu stocké dans le réseau de l’organisation
  • Métadonnées uniquement stockées dans la base de données Workspace ONE UEM. Prise en charge de la vérification et de la gestion des métadonnées stockées.

Déploiement

Suivant la structure d'une organisation, l’administrateur Workspace ONE UEM peut disposer ou non d'un accès administratif à un CFS. Une fois la solution de gestion de contenu intégrée avec CFS, les terminaux des utilisateurs peuvent synchroniser le contenu des serveurs à l'aide de VMware Workspace ONE Content.

Prise en charge des serveurs de fichiers professionnels

Workspace ONE UEM prend en charge l'intégration avec différents serveurs de fichiers professionnels. La prise en charge de la méthode de synchronisation et la nécessité du composant de la passerelle de contenu varient selon le type de référentiel.

Méthodes de synchronisation disponibles

Passez en revue les méthodes de synchronisation des référentiels disponibles :

  • Administrateur – Fait référence à un référentiel que l'administrateur configure et synchronise entièrement dans UEM Console. Chaque utilisateur attribué reçoit le même lien statique vers le référentiel de fichiers.
  • Automatique : fait référence à un référentiel qu'un administrateur configure dans UEM Console, mais autorise l'administrateur à utiliser des valeurs de recherche dynamiques. Le référentiel est synchronisé par les utilisateurs finaux sur leurs terminaux. Chaque utilisateur attribué reçoit un lien unique ou semi-unique vers un référentiel de fichiers. Il s'agit d'une option utile pour le lien vers les répertoires de base des utilisateurs.
  • Manuel : fait référence à un référentiel qui est configuré dans UEM Console, mais permet à l'administrateur de définir une partie statique et générique d'un lien. Chaque utilisateur final peut ajouter manuellement le lien du référentiel qui est conforme au format défini par l'administrateur et synchroniser le référentiel sur son terminal.

Remarque : Quel que soit le nombre de fichiers présents dans les dossiers du référentiel, seuls 1 000 fichiers d'un dossier trié par ordre alphabétique sont synchronisés avec le terminal.

Matrice des serveurs de fichiers professionnels

Utilisez la matrice pour déterminer les méthodes de synchronisation prises en charge et les prérequis de la passerelle de contenu par type de référentiel :

Référentiels disponibles Administrateur Automatique Manuel
Box
CMIS
Google Drive
Partage de réseau
OneDrive
OneDrive for Business
OneDrive for Business ADFS
OneDrive for Business OAuth
SharePoint
SharePoint ADFS
SharePoint Office 365
SharePoint Office 365 ADFS
SharePoint O365 OAuth
SharePoint - Personnel (Mes sites)
SharePoint WebDAV
SharePoint Windows Auth
WebDAV
Accès via Content Gateway
Box
CMIS ✓+ ✓+ ✓+
Google Drive
Partage de réseau ✓+ ✓+ ✓+
OneDrive
OneDrive for Business
OneDrive for Business ADFS
SharePoint
SharePoint ADFS
SharePoint Office 365
SharePoint Office 365 ADFS
SharePoint - Personnel (Mes sites)
SharePoint WebDAV
Authentification SharePoint Windows (Content Gateway pour Linux)
Authentification SharePoint Windows (Content Gateway pour Windows)
WebDAV
Extensions de documents
Box
CMIS
Google Drive
Partage de réseau ✓* ✓* ✓*
OneDrive
OneDrive for Business
OneDrive for Business ADFS
OneDrive for Business OAuth
SharePoint ✓** ✓** ✓**
SharePoint ADFS ✓** ✓** ✓**
SharePoint Office 365 ✓** ✓** ✓**
SharePoint Office 365 ADFS ✓** ✓** ✓**
SharePoint O365 OAuth
SharePoint - Personnel (Mes sites) ✓**
SharePoint WebDAV ✓**
SharePoint Windows Auth ✓** ✓** ✓**
WebDAV ✓* ✓* ✓*
Légende :
¥ = Sous Linux, la passerelle de contenu VMware ne prend en charge que les versions 2.0 et 3.0 de SMB. SMB 2.0 est la version par défaut prise en charge.
✓+ = Requis
✓ = Pris en charge
= Non pris en charge
✓* = Pris en charge, avec des restrictions. Accès limité aux fichiers depuis des référentiels précédemment ouverts dans VMware Workspace ONE Content.
✓** = Pris en charge, avec des restrictions. Accès limité aux fichiers précédemment téléchargés dans Workspace ONE Content.

Activer l'accès de l'utilisateur au contenu du serveur de fichiers professionnels

Synchronisez les serveurs de fichiers professionnels existants de votre réseau avec Workspace ONE UEM en configurant un référentiel administrateur, un référentiel avec ajout automatique d'utilisateur ou un référentiel avec ajout manuel d'utilisateur. Les configurations disponibles impactent le « déclenchement » qui lance la synchronisation du contenu sur les terminaux.

Utilisez l'aperçu de cette configuration au niveau macro pour comprendre le processus complet qui permet aux utilisateurs d'accéder au contenu du serveur de fichiers professionnels.

  1. Configurez un référentiel dans UEM Console.
  2. Téléchargez et lancez le programme d'installation du Content Gateway configuré.
  3. Vérifiez la connectivité entre UEM Console et Content Gateway.
  4. Évaluez les besoins de votre entreprise pour plusieurs nœuds de passerelle de contenu.

    Les entreprises internationales, inquiètes des latences causées par la séparation géographique, peuvent utiliser cette fonctionnalité.

  5. Configurez un référentiel administratif ou synchronisez les serveurs de fichiers professionnels (CFS, Corporate File Servers) dans UEM Console.

    Si vous configurez un référentiel administrateur, cliquez sur Tester la connexion pour vous assurer de la connectivité.

  6. Configurez VMware Workspace ONE Content dans la console UEM.

  7. Déployez des applications Workspace ONE UEM vers votre flotte de terminaux.

Configurer un référentiel administrateur

Configurez un référentiel administrateur pour synchroniser les serveurs de fichiers professionnels de votre réseau avec Workspace ONE UEM. Après la synchronisation, les utilisateurs finaux peuvent accéder au contenu de serveurs de fichiers professionnels depuis leurs terminaux.

  1. Accédez à Contenu > Référentiels > Référentiels administrateur dans UEM Console.
  2. Sélectionnez Ajouter.
  3. Configurez les paramètres qui s'affichent.

    Paramètres Description
    Nom Nommez le contenu du répertoire.
    Type Sélectionnez un serveur de fichiers professionnels depuis le menu déroulant.
    Lien Fournissez le chemin complet vers l'emplacement du répertoire plutôt que vers le domaine racine.
    Exemple : http://SharePoint/Corporate/Documents Une URL copiée directement depuis un navigateur Web pourrait ne pas avoir l'autorisation d'accéder au serveur de certains types de référentiels.
    Remarque : Si le référentiel sélectionné est un référentiel OAuth, l'URL du référentiel doit contenir « /personal ».
    Par exemple, si l'URL de votre référentiel est xyz.abc.com, vous devez ajouter l'URL en tant que xyz.abc.com/personal.
    Groupe organisationnel Donnez accès aux serveurs de fichiers professionnels à un groupe spécifique d'utilisateurs.
    Utiliser les informations d'identification dérivées de PIV-D Ce paramètre est disponible uniquement lorsque SharePoint est sélectionné comme type de référentiel. Cochez la case pour utiliser l'authentification par certificat PIV-D afin d'authentifier les utilisateurs plutôt que les noms d'utilisateur et les mots de passe. L'authentification par certificat PIV-D permet d'authentifier les utilisateurs qui souhaitent accéder aux référentiels SharePoint sur site depuis leurs terminaux.

    Remarque : Pour activer l'utilisation d'informations d'identification dérivées de PIV-D, vous devez configurer Kerberos dans les paramètres de Content Gateway.

    Pour plus d'informations sur les paramètres d'authentification par certificat sur Content Gateway, reportez-vous à la section Configurer Content Gateway dans UEM Console de la documentation de Content Gateway.
    Accès via Content Gateway Utilisez Content Gateway si le domaine du serveur Workspace ONE UEM ne peut pas accéder au serveur de fichiers professionnels.
    Content Gateway Identifiez le nom unique du nœud approprié de passerelle de contenu depuis le menu déroulant.
    Autoriser l'héritage Permettez aux sous-groupes organisationnels d'hériter des autorisations d'accès de leurs groupes parents.
    Autoriser l'écriture Permettez aux utilisateurs finaux de créer et d'importer des fichiers et des dossiers, de modifier des documents et d'ajouter des fichiers à des référentiels externes ou d'en extraire, depuis leurs terminaux.
    Autoriser les actions de fichier Ce paramètre est uniquement disponible si SharePoint O365 OAuth ou OneDrive for Business OAuth sont sélectionnés comme type de référentiel. Cochez cette case pour permettre aux utilisateurs de l'application Workspace ONE Content de renommer, déplacer et supprimer des fichiers dans les référentiels Cloud.
    Autoriser la suppression Autorisez la suppression de contenu distant pour le référentiel du partage réseau. Avec cette fonctionnalité, l'utilisateur final peut supprimer définitivement son contenu depuis le référentiel du partage réseau à l'aide de l'application Workspace ONE Content.
    Type d'authentification Sélectionnez le niveau d'accès des administrateurs aux serveurs de fichiers professionnels depuis UEM Console.

    Aucun – Empêche les administrateurs d'afficher et de télécharger le contenu des serveurs de fichiers professionnels depuis UEM Console.
    Utilisateur – Autorise la navigation dans la structure de fichiers des référentiels dans UEM Console. Saisissez les identifiants dans les zones de texte Nom d'utilisateur et Mot de passe qui s'affichent.
    Remarque : Si la case Utiliser les informations d'identification dérivées de PIV-D est cochée, la zone de texte Mot de passe ne s'affiche pas. Fournissez le nom principal de l'utilisateur pour l'utilisateur dans la zone de texte Nom d'utilisateur.
    Autorisez le chargement depuis Camera uniquement Sélectionnez cette option pour permettre aux utilisateurs de charger des images uniquement à partir de l'appareil photo du terminal.
  4. Cliquez sur Tester la connexion pour vérifier la connectivité. Un résultat de test réussi indique que le serveur de fichiers professionnels a été intégré avec succès.

  5. Complétez les détails dans les onglets Sécurité, Attribution et Déploiement.

    a. Dans l'onglet Sécurité, remplissez les zones de texte pour contrôler la manière dont l'utilisateur final partage et déplace des documents sensibles en dehors des supports professionnels.

    Le paramètre Forcer le chiffrement a été supprimé depuis Workspace ONE UEM Console version 9.5. L'application VMware Workspace ONE Content chiffre tous les fichiers par défaut, que le paramètre soit disponible ou non.

    Paramètre Description
    Contrôle d'accès Définissez ce paramètre Autoriser la consultation hors ligne pour donner à l'utilisateur une totale liberté de consultation de son document. Sélectionnez Autoriser la consultation en ligne uniquement pour vous assurer que tous les terminaux qui accèdent au contenu sont conformes, car Workspace ONE UEM ne peut analyser la conformité des terminaux hors ligne.
    Autoriser l'ouverture dans l'e-mail Autorisez l'ouverture du contenu dans les e-mails. Les utilisateurs ne peuvent pas ouvrir des fichiers d'une taille supérieure à 10 Mo. Pour permettre aux utilisateurs d'ouvrir des fichiers d'une taille supérieure à 10 Mo, vous devez modifier ces fichiers sur UEM Console et activer cette option. Les fichiers présents dans les référentiels d'utilisateurs ne peuvent pas être modifiés.
    Autoriser l'ouverture dans les applications tierces Activez ce paramètre pour autoriser le contenu à s'ouvrir dans d'autres applications. Vous pouvez définir une liste d'applications approuvées dans le profil SDK. La désactivation de cette option désactive également l'autorisation de l'utilisateur final à imprimer les documents PDF à partir de VMware Workspace ONE Content pour iOS.
    Autoriser la sauvegarde dans d'autres référentiels Activez ce paramètre pour autoriser les utilisateurs à enregistrer ce fichier dans leur contenu personnel.
    Activer le filigrane Sélectionnez ce paramètre pour ajouter un filigrane au fichier. Configurez le texte du filigrane dans le cadre du profil SDK.
    Autoriser l'impression Autorisez les utilisateurs finaux à imprimer les documents PDF de VMware Workspace ONE Content pour iOS en utilisant le serveur AirPrint. Une fois imprimé, le contenu échappe au contrôle de l'administrateur Workspace ONE UEM. L'impression est uniquement prise en charge si Autoriser l'ouverture dans les applications tierces est activé.
    Autoriser les modifications Ce paramètre s'applique uniquement aux référentiels accessibles en écriture.

    b. Dans l'onglet Attribution, configurez les paramètres pour contrôler l'accès des utilisateurs au contenu. Cette fonction permet de s'assurer que seuls les employés autorisés ont accès aux documents confidentiels ou sensibles et vous permet de configurer une hiérarchie d'accès au contenu.

    Paramètres Description
    Propriété du terminal Définissez le propriétaire du terminal comme étant Indifférent, Professionnel, Partagé, Personnel ou Non-défini.
    Groupes organisationnels Pour attribuer le contenu à un nouveau groupe, commencez à saisir dans la zone de texte.
    Groupes d'utilisateurs Précisez les groupes d'utilisateurs en cas d'intégration aux services d'annuaire ou aux groupes d'utilisateurs personnalisés.

    c. Dans l'onglet Déploiement, configurez les paramètres pour déterminer de quelle manière et à quel moment votre utilisateur accède au contenu.

    Paramètres Description
    Méthode de transfert Précisez Tous/Toutes ou Wi-Fi uniquement depuis le menu déroulant. La restriction des transferts via le Wi-Fi oblige les terminaux à respecter le statut de conformité de Workspace ONE UEM.
    Télécharger pendant l'itinérance Activez cette option pour autoriser vos utilisateurs finaux à télécharger du contenu en itinérance.
    Type de téléchargement Configurez le déploiement du contenu de l'une des deux manières suivantes :

    Automatiquement – S'installe sur les terminaux dès que le contenu devient disponible.
    À la demande – S'installe sur les terminaux uniquement sur demande de l'utilisateur final.
    Priorité de téléchargement Définissez la priorité pour que vos utilisateurs finaux sachent si le téléchargement du contenu est normal, élevé ou faible.
    Requis Indiquez si le contenu est requis dans VMware Workspace ONE Content. L'utilisateur final doit télécharger et parcourir le contenu requis afin que son terminal respecte la stratégie de conformité de Workspace ONE UEM.
    Date d'entrée en vigueur Configurez une période limitée de disponibilité du contenu.
    Date d'expiration Configurez une période limitée de disponibilité du contenu.
  6. Cliquez sur Enregistrer.

Accéder au lien correct

Assurez-vous que Content Gateway est configuré avec le lien correct. Cette règle spécifique s'applique à SharePoint 2013, Office 365 et leurs versions ultérieures. Certaines URL ne sont pas accessibles à l'aide d'applications et de services, mais uniquement avec un navigateur Web. Si une URL « navigateur uniquement » est saisie lors de la configuration de la passerelle de contenu, la connexion échoue.

  1. Saisissez l'URL dans le navigateur.
  2. Accédez à PAGE > Modifier les propriétés > Afficher les propriétés.
  3. Faites un clic droit et copiez l'adresse du lien.
  4. Collez l'adresse dans la zone de texte Lien dans UEM Console.

Remarque : Vous devez activer https://login.microsoftonline.com/, *.sharepoint.com et toutes les URL ADFS sur les serveurs DS et de console pour le référentiel OAuth. Lorsqu'une URL est bloquée, l'authentification est également interdite. Autorisez le lien ADFS sur la console et les zones DS pour les référentiels ADFS.

Permettre aux utilisateurs de synchroniser les serveurs de fichiers professionnels

Intégrez vos référentiels de contenu existants à Workspace ONE UEM en configurant un modèle manuel ou automatique pour la synchronisation des terminaux des utilisateurs finaux. Après la synchronisation, les utilisateurs finaux peuvent accéder au contenu de serveurs de fichiers professionnels depuis leurs terminaux. L'utilisation de Content Gateway avec des serveurs de fichiers professionnels permet aux utilisateurs finaux d'ajouter, de modifier et de charger des contenus en toute sécurité sur le serveur de fichiers professionnels.

Les étapes de configuration d'un modèle manuel ou automatique peuvent être différentes.

  1. Naviguez vers la page appropriée dans UEM Console.

    Type de serveur de fichiers professionnels Emplacement
    Modèle automatique Contenu > Référentiels > Modèles > Automatique
    Modèle manuel Contenu > Référentiels > Modèles > Manuel
  2. Sélectionnez Ajouter.

  3. Remplissez les zones de texte qui s'affichent. Elles peuvent différer légèrement avec la configuration d'un référentiel administrateur, d'un modèle automatique ou d'un modèle manuel.

    Paramètres Description
    Nom Nommez le contenu du répertoire.
    Nom du référentiel utilisateur (modèle automatique seulement) Utilisez les valeurs de recherche pour attribuer le nom de l'utilisateur final au référentiel dans VMware Workspace ONE Content.
    Type Sélectionnez un serveur de fichiers professionnels depuis le menu déroulant.
    Lien Une URL copiée directement depuis un navigateur Web pourrait ne pas avoir l'autorisation d'accéder au serveur de certains types de référentiels.
    Lien (modèle automatique seulement) Utilisez les valeurs de recherche pour créer un référentiel lorsqu'un utilisateur final accède à VMware Workspace ONE Content.

    Exemple : https://sharepoint.acme.com/share/{EnrollmentUser}
    Lien (modèle manuel seulement) Indiquez le chemin d'accès à l'emplacement du répertoire en utilisant le caractère * comme caractère générique pour le lien de domaine.

    Exemple : http://*.sharepoint.com
    Vous pouvez ajouter un nouveau lien à un modèle manuel existant, mais vous ne pouvez pas modifier ou supprimer un lien existant. Soyez prudent lorsque vous ajoutez de nouveaux liens qui sont sur liste bloquée, car vous ne pouvez pas modifier ni supprimer les liens en cas d'erreur. Toute correction des liens nécessite la suppression de l'intégralité du modèle.
    Liens refusés Spécifiez les valeurs du caractère générique (*) dans les chemins d'accès aux fichiers. Les valeurs spécifiées pour * au début et à la fin du chemin d'accès au fichier empêchent les utilisateurs de créer des référentiels manuels et des sous-dossiers à l'aide du modèle manuel.
    Groupe organisationnel Donnez accès aux serveurs de fichiers professionnels à un groupe spécifique d'utilisateurs.
    Utiliser les identifiants dérivés Ce paramètre est disponible uniquement lorsque SharePoint est sélectionné comme type de référentiel. Cochez la case pour utiliser l'authentification par certificat PIV-D afin d'authentifier les utilisateurs plutôt que les noms d'utilisateur et les mots de passe. L'authentification par certificat PIV-D permet d'authentifier les utilisateurs qui souhaitent accéder aux référentiels SharePoint sur site depuis leurs terminaux.

    Remarque : Pour activer l'utilisation d'informations d'identification dérivées de PIV-D, vous devez configurer Kerberos dans les paramètres de Content Gateway.

    Pour plus d'informations sur les paramètres d'authentification par certificat sur Content Gateway, reportez-vous à la section Configurer Content Gateway dans UEM Console de la documentation de Content Gateway.
    Accès via Content Gateway Utilisez Content Gateway si le domaine du serveur Workspace ONE UEM ne peut pas accéder au serveur de fichiers professionnels.
    Autoriser l'héritage Permettez aux sous-groupes organisationnels d'hériter des autorisations d'accès de leurs groupes parents.
    Autoriser l'écriture Permettez aux utilisateurs de créer et d'importer des fichiers et des dossiers, de modifier des documents et d'ajouter des fichiers à des référentiels externes ou d'en extraire, depuis leur terminal.

Prise en charge de l'authentification par certificat PIV-D

Les utilisateurs de l'application Workspace ONE Content disposent d'un accès au référentiel SharePoint sur site et au référentiel du partage réseau une fois que les utilisateurs sont authentifiés à l'aide des informations d'identification dérivées PIV-D. L'authentification basée sur des certificats élimine les exigences de nom d’utilisateur et de mot de passe.

Les référentiels sur site comme SharePoint et le partage réseau peuvent être configurés pour utiliser les informations d'identification dérivées PIV-D pour l'authentification. La configuration des référentiels pour utiliser les informations d'identification dérivées PIV-D nécessite la configuration de Kerberos dans les paramètres de VMware Content Gateway.

Les conditions préalables suivantes doivent être prises en compte pour la configuration de l'authentification par certificat PIV-D :

  • Le serveur de délégation Kerberos contrainte (KCD) doit être configuré avec des noms SPN (noms de principal du service) appropriés.

  • Active Directory doit être synchronisé avec Workspace ONE UEM, avec l'UPN (Nom principal de l'utilisateur) en tant qu'attribut.

  • Le compte de service doit être disponible pour Workspace ONE UEM et VMware Content Gateway afin d'être utilisé dans le cadre du workflow d'authentification Kerberos.

  • Content Gateway doit disposer d'un certificat approuvé par l'autorité de certification (AC) émettant les certificats utilisateur. Ces certificats peuvent être des certificats intermédiaires uniquement ou la chaîne de certificats complète en fonction des exigences de validation de l'AC.

Dans le cas d'un référentiel de partage réseau, assurez-vous que les clés de configuration jcifs sont définies sur false et que jcifsng est défini sur true.

Prise en charge de l’authentification par certificat sans PIV-D

Les référentiels sur site comme SharePoint et le partage réseau peuvent être configurés pour utiliser les informations d'identification dérivées pour l'authentification. La configuration des référentiels pour utiliser les informations d'identification dérivées nécessite la configuration de Kerberos dans les paramètres de VMware Content Gateway.

Les conditions préalables suivantes doivent être prises en compte pour la configuration de l'authentification par certificat :

  • Le serveur de délégation Kerberos contrainte (KCD) doit être configuré avec des noms SPN (noms de principal du service) appropriés.

  • Active Directory doit être synchronisé avec Workspace ONE UEM, avec l'UPN (Nom principal de l'utilisateur) en tant qu'attribut.

  • Le compte de service doit être disponible pour Workspace ONE UEM et VMware Content Gateway afin d'être utilisé dans le cadre du workflow d'authentification Kerberos.

  • Content Gateway doit disposer d'un certificat approuvé par l'autorité de certification (AC) émettant les certificats utilisateur. Ces certificats peuvent être des certificats intermédiaires uniquement ou la chaîne de certificats complète en fonction des exigences de validation de l'AC.

Dans le cas d'un référentiel de partage réseau, assurez-vous que les clés de configuration jcifs sont définies sur false et que jcifsng est défini sur true.

Performances du cache

Lorsque l'intégralité du référentiel d'entreprise est mise en cache, des pics d'utilisation de la mémoire peuvent se produire sur le serveur des services de terminaux en raison de la faible quantité de mémoire interne. Chaque fois, le cache doit être désactivé pour surmonter la charge sur le serveur des services de terminaux.

Remarque : Le script de base de données qui est utilisé pour désactiver le cache n'est plus applicable à partir de Workspace ONE UEM version 1904. Le cache peut être désactivé en basculant ContentCacheFeatureFlag sur false dans l'API, https:// /api/system/featureflag/ /<OG_GUID>/false.

La stratégie de mise en cache ponctuelle élimine le problème de mémoire insuffisante en mettant uniquement en cache les dossiers et les enregistrements de contenu auxquels l'utilisateur a accès. Les dossiers et le contenu indésirables sont supprimés du cache.

Les dossiers sont mis en cache individuellement à l'aide d'une clé de cache folderId au lieu de mettre en cache l'intégralité du référentiel à l'aide de la clé de cache RepoId.

En cas d'absence dans le cache, le serveur des services de terminaux charge uniquement les métadonnées des dossiers actuels à partir de la base de données et les stocke dans le cache. En cas de correspondance dans le cache, le serveur des services de terminaux lit uniquement l'arborescence de niveau racine à partir du cache.

check-circle-line exclamation-circle-line close-line
Scroll to top icon