Le concept de remplacement des paramètres en fonction du groupe organisationnel, lorsqu'il est combiné avec des caractéristiques de groupe organisationnel telles que l'héritage et la mutualisation, peut également être combiné avec l'authentification. Cette combinaison permet des configurations flexibles.

Le modèle de groupe organisationnel suivant illustre cette flexibilité.

Ce diagramme montre un modèle de hiérarchie du groupe organisationnel composé d'un parent, d'un enfant et d'un petit-enfant.

Dans ce modèle, les administrateurs, qui disposent généralement d'autorisations et de fonctionnalités plus importantes, sont positionnés au sommet de cette branche de groupe organisationnel. Ces administrateurs se connectent à leur groupe organisationnel en utilisant l'authentification SAML qui est réservée aux administrateurs.

Les utilisateurs d'entreprise sont subordonnés aux administrateurs : leur groupe organisationnel est considéré comme l'enfant de leur groupe. En qualité d'utilisateurs (et non d'administrateurs), leurs paramètres de connexion SAML ne peuvent pas hériter des paramètres administrateur. Par conséquent, le paramètre SAML des utilisateurs d'entreprise est remplacé.

Les utilisateurs BYOD diffèrent des utilisateurs d'entreprise. Les terminaux utilisés par les utilisateurs BYOD appartiennent aux utilisateurs eux-mêmes et contiennent probablement davantage d'informations personnelles. Ces profils de terminaux pourraient donc nécessiter des paramètres légèrement différents. Les utilisateurs BYOD pourraient disposer de conditions d'utilisation différentes. Les terminaux BYOD pourraient avoir besoin de paramètres d'effacement des données professionnelles différents. Pour toutes ces raisons et plus encore, il pourrait être utile pour les utilisateurs BYOD de se connecter à un autre groupe organisationnel.

Et bien qu'ils ne soient pas subordonnés aux utilisateurs d'entreprise au sens de la hiérarchie de l'entreprise, le fait de définir les utilisateurs BYOD comme des enfants d'utilisateurs d'entreprise présente des avantages. Cet arrangement signifie que les utilisateurs BYOD héritent des paramètres applicables à TOUS les terminaux des utilisateurs d'entreprise en les appliquant simplement au groupe organisationnel des utilisateurs d'entreprise.

L'héritage s'applique également aux paramètres d'authentification SAML. Étant donné que les utilisateurs de terminaux personnels sont des enfants des utilisateurs d'entreprise, ils héritent de leur SAML pour les paramètres d'authentification utilisateur.

Un autre modèle consiste à définir les utilisateurs BYOD comme des frères des utilisateurs d'entreprise.

Ce diagramme montre un modèle de hiérarchie du groupe organisationnel composé d'un parent et de deux enfants.

Dans le cadre de ce modèle alternatif, les remarques suivantes sont valables.

  • Tous les profils de terminaux conçus pour s'appliquer globalement à TOUS les terminaux, y compris les politiques de conformité, et les autres paramètres de terminaux applicables globalement sont appliqués à deux groupes organisationnels au lieu d'un. Cette duplication s'explique par le fait que l'héritage des utilisateurs d'entreprise pour les utilisateurs BYOD n'est plus un facteur dans ce modèle. Les utilisateurs d'entreprise et les utilisateurs BYOD sont des pairs, et il n'y a donc pas d'héritage.
  • Un autre remplacement SAML doit être appliqué aux utilisateurs BYOD. Ce remplacement est nécessaire, parce que le système suppose qu'il hérite des paramètres SAML de son parent (administrateurs). Une telle hypothèse est erronée, parce que les utilisateurs BYOD ne sont pas des administrateurs et ne disposent pas des mêmes accès et permissions.
  • Les utilisateurs BYOD continuent d'être traités séparément des utilisateurs d'entreprise. Ce modèle alternatif signifie qu'ils continuent de profiter de leurs propres paramètres de profil de terminal.

Quel facteur permet de déterminer le meilleur modèle ? Comparez le nombre de paramètres de terminal applicables globalement avec le nombre de paramètres de terminal spécifiques au groupe. Pour résumer, si vous voulez traiter tous les terminaux de la même manière, définissez les utilisateurs BYOD en tant qu'enfants des utilisateurs d'entreprise. S'il est plus important de conserver des paramètres séparés, définissez les utilisateurs BYOD en tant que frères des utilisateurs d'entreprise.