Workspace ONE UEM utilise des groupes organisationnels pour identifier les utilisateurs et établir des autorisations. Lorsqu'Workspace ONE UEM est intégré à Workspace ONE Access, les clés REST API de l'utilisateur d'administration et d'inscription sont configurées sur le type de groupe organisationnel Workspace ONE UEM appelé Client.

Lorsque les utilisateurs se connectent à l'application Intelligent Hub depuis un terminal, un événement d'enregistrement de terminal est déclenché dans Workspace ONE Access. Une demande est envoyée à Workspace ONE UEM pour extraire toutes les applications auxquelles la combinaison utilisateur/périphérique est autorisée à accéder. La demande est envoyée à l'aide de REST API pour localiser l'utilisateur dans Workspace ONE UEM et pour placer le périphérique dans le groupe organisationnel approprié.

Pour gérer les groupes organisationnels, deux options peuvent être configurées dans Workspace ONE Access.

  • Activez la découverte automatique d'Workspace ONE UEM.
  • Mappez des groupes organisationnels Workspace ONE UEM à des domaines dans le service Workspace ONE Access.

Si aucune de ces deux options n'est configurée, Intelligent Hub tente de localiser l'utilisateur dans le groupe organisationnel dans lequel la clé REST API est créée. Il s'agit du groupe Client.

Utilisation de la découverte automatique d'Workspace ONE UEM

Configurez la découverte automatique lorsqu'un répertoire unique est configuré dans un groupe enfant pour le groupe organisationnel Client, ou lorsque plusieurs répertoires sont configurés sous le groupe Client avec des domaines de messagerie uniques. Voir Enregistrement de domaines de messagerie pour la découverte automatique.

Figure 1. Exemple 1

Dans l'exemple 1, le domaine de messagerie de l'organisation est enregistré pour la découverte automatique. Les utilisateurs entrent uniquement leur adresse e-mail sur la page de connexion d'Intelligent Hub.

Dans cet exemple, lorsque les utilisateurs du domaine NorthAmerica se connectent à l'application Intelligent Hub, ils entrent l'adresse e-mail complète sous la forme user1@domain1.com. L'application recherche le domaine et vérifie que l'utilisateur existe ou peut être créé avec un appel de répertoire dans le groupe organisationnel Amérique du Nord. Le périphérique peut être enregistré.

Utilisation du mappage du groupe d'organisation Workspace ONE UEM vers les domaines Workspace ONE Access

Configurez le service Workspace ONE Access pour le mappage de groupe d'organisation Workspace ONE UEM lorsque plusieurs annuaires sont configurés avec le même domaine de messagerie. Activez Mapper les domaines sur plusieurs groupes d'organisation dans la page de configuration d’AirWatch dans la console Workspace ONE Access.

Lorsque l'option Mapper les domaines sur plusieurs groupes d'organisation est activée, les domaines configurés dans Workspace ONE Access peuvent être mappés aux ID de groupe organisationnel de Workspace ONE UEM. La clé REST API d'administration est également requise.

Dans l'exemple 2, deux domaines sont mappés à des groupes organisationnels différents. Une clé REST API d'administration est requise. La même clé REST API d'administration est utilisée pour les deux ID de groupe organisationnel.

Figure 2. Exemple 2

Sur la page de configuration d’AirWatch de la console Workspace ONE Access, configurez un ID de groupe organisationnel de Workspace ONE UEM spécifique pour chaque domaine.

Figure 3. Exemple 2 de configuration de groupe organisationnel

Avec cette configuration, lorsque les utilisateurs se connectent à l'application Intelligent Hub depuis leur terminal, la demande d'enregistrement du terminal tente de localiser les utilisateurs du domaine Domain3 dans le groupe organisationnel Europe et les utilisateurs du domaine Domain4 dans le groupe organisationnel AsiaPacific.

Dans l'exemple 3, un domaine est mappé à plusieurs groupes organisationnels Workspace ONE UEM. Les deux répertoires partagent le domaine de messagerie. Le domaine pointe sur le même groupe organisationnel de Workspace ONE UEM.

Figure 4. Exemple 3

Dans cette configuration, lorsque les utilisateurs se connectent à l'application Intelligent Hub, ils sont invités à sélectionner le groupe dans lequel ils souhaitent s'enregistrer. Dans cet exemple, les utilisateurs peuvent sélectionner Ingénierie ou Comptabilité.

Figure 5. Groupes organisationnels dans lesquels les répertoires partagent le même domaine

Placement de périphériques dans le groupe organisationnel correct

Lorsqu'un enregistrement d'utilisateur est trouvé, le périphérique est ajouté au groupe organisationnel approprié. Le paramètre d'inscription de Workspace ONE UEM Mode d'attribution d'ID de groupe détermine le groupe organisationnel dans lequel placer le terminal. Ce paramètre se trouve dans la page Paramètres système > Périphérique et utilisateurs > Général > Inscription > de Workspace ONE UEM Console.

Figure 6. Inscription de groupe de Workspace ONE UEM pour des terminaux

Dans l'exemple 4, tous les utilisateurs sont au niveau du groupe organisationnel Entreprise.

Figure 7. Exemple 4

Le placement du périphérique dépend de la configuration sélectionnée pour le mode d'attribution d'ID de groupe dans le groupe organisationnel Entreprise.

  • Si la valeur par défaut est sélectionnée, le périphérique est placé dans le même groupe où se trouve l'utilisateur. Pour l'exemple 4, le périphérique est placé dans le groupe Entreprise.
  • Si l'option Inviter l'utilisateur à sélectionner un ID de groupe est sélectionnée, les utilisateurs sont invités à sélectionner le groupe dans lequel enregistrer leur périphérique. Pour l'exemple 4, les utilisateurs voient un menu déroulant dans l'application Intelligent Hub avec Ingénierie et Comptabilité comme options.
  • Si l'option Automatiquement sélectionné en fonction du groupe d'utilisateurs est sélectionnée, les terminaux sont placés dans Ingénierie ou Comptabilité en fonction de leur attribution de groupe d'utilisateurs et du mappage correspondant dans la console Workspace ONE UEM.

Comprendre le concept de groupe masqué

Dans l'exemple 4, lorsque les utilisateurs sont invités à sélectionner un groupe organisationnel auprès de laquelle s'enregistrer, ils peuvent également entrer une valeur de l'ID du groupe qui ne se trouve pas dans la liste présentée dans l'application Intelligent Hub. Il s'agit du concept de groupe masqué.

Dans l'exemple 5, dans la structure de groupe organisationnel Entreprise, Amérique du Nord et Bêta sont configurés comme groupes sous Entreprise.

Figure 8. Exemple 5

Dans l'exemple 5, les utilisateurs entrent leur adresse e-mail dans l'application Intelligent Hub. Après l'authentification, les utilisateurs voient une liste qui affiche Ingénierie et Comptabilité. Ils doivent sélectionner l'une de ces options. Bêta n'est pas une option qui s'affiche. Si les utilisateurs connaissent l'ID du groupe organisationnel, ils peuvent entrer manuellement Bêta dans la zone de texte de sélection de groupe et enregistrer correctement leur périphérique dans Bêta.