Server file aziendali

La soluzione Content Management supporta l'integrazione con Server file aziendali (CFS). I Server file aziendali sono archivi esistenti e presenti nella rete interna dell'organizzazione.

Funzionalità

L'integrazione con Server file aziendali supporta le funzionalità seguenti:

• Integrazione sicura
• Protezione dell'accesso alla rete interna dell'organizzazione
• Opzioni di integrazione avanzate con Content Gateway

Sicurezza

La soluzione Content Management offre le opzioni di sicurezza seguenti:

• Crittografia SSL per il transito dei dati
• Controllo su accessi e diritti di download degli amministratori di Workspace ONE UEM
• Memorizzazione dei contenuti nella rete dell'organizzazione
• Memorizzazione dei soli metadati nel database di Workspace ONE UEM. supporto per la revisione e la gestione dei metadati memorizzati

Distribuzione

A seconda della struttura dell'organizzazione, l'amministratore di Workspace ONE UEM potrebbe o meno disporre delle autorizzazioni amministrative su un CFS. Una volta completata l'integrazione della soluzione Content Management con il CFS, i dispositivi degli utenti finali possono sincronizzare i contenuti dei server utilizzando VMware Workspace ONE Content.

Supporto per i server dei file aziendali

Workspace ONE UEM supporta l'integrazione con vari server dei file aziendali. Il supporto del metodo di sincronizzazione e la necessità di utilizzare il componente Content Gateway variano in base al tipo di archivio.

Metodi di sincronizzazione disponibili

Controlla i metodi di sincronizzazione disponibili per gli archivi:

• Amministratore – È un archivio completamente configurato e sincronizzato da un amministratore nella console UEM. Ciascun utente assegnato riceve lo stesso link statico al repository di file.
• Automatico – Fa riferimento a un repository che viene configurato da un amministratore nella console di UEM, ma consente all'amministratore di utilizzare i valori di ricerca dinamica. Il repository viene sincronizzato dagli utenti finali sui loro dispositivi. Ciascun utente assegnato riceve un link univoco o semi-univoco a un repository di file. Questa è un'opzione utile per il collegamento alle directory home degli utenti.
• Manuale – Fa riferimento a un repository che viene configurato nella console di UEM, ma consente all'amministratore di impostare una parte statica e una parte con caratteri jolly di un link. Ogni utente finale può aggiungere manualmente un link al repository che sia conforme al formato impostato dall'amministratore e sincronizzare il repository sul proprio dispositivo.

Nota: indipendentemente dal numero di file presenti nelle cartelle del repository, solo 1.000 file di qualsiasi cartella che vengono ordinati alfabeticamente vengono sincronizzati con il dispositivo.

Griglia dei server dei file aziendali

Utilizza la griglia per determinare i metodi di sincronizzazione supportati e i requisiti di Content Gateway in base al tipo di archivio:

Abilitare l'accesso degli utenti finali ai contenuti del server dei file aziendali

Sincronizza i server dei file aziendali esistenti della tua rete con Workspace ONE UEM configurando un archivio amministrativo, un archivio automatico aggiunto dall'utente o un archivio manuale aggiunto dall'utente. Le configurazioni disponibili influiscono sul "trigger" che avvia la sincronizzazione dei contenuti sui dispositivi.

Usa questa panoramica della configurazione di livello generale per comprendere meglio il processo di abilitazione dell'accesso degli utenti finali ai contenuti del server dei file aziendali, dalla fase iniziale a quella finale.

1. Configura un archivio nella console UEM.
2. Scaricare ed eseguire il programma di installazione del componente Content Gateway configurato.
3. Verifica la connettività tra la console UEM e Content Gateway.

4. Valuta se la tua organizzazione ha bisogno di più nodi Content Gateway.

   Questa funzionalità può essere utile alle organizzazioni globali interessate ai problemi di latenza causati dalle distanze geografiche.

5. Configura un archivio amministrativo o sincronizza CFS nella console UEM.

   Se configuri un archivio amministrativo, seleziona Esegui test sulla connessione per verificare la connettività.

6. Configurare VMware Workspace ONE Content nella console di UEM.

7. Distribuisci le applicazioni Workspace ONE UEM per i tuoi dispositivi.

Configurare un archivio dell'amministratore

Configurare un repository dell'amministratore per sincronizzare i server dei file aziendali della rete esistenti con Workspace ONE UEM. Dopo la sincronizzazione, gli utenti finali possono accedere ai contenuti del server dei file aziendali dai propri dispositivi.

1. Passare a Contenuti > Archivi > Archivi amministratori nella console di UEM.
2. Seleziona Aggiungi.

3. Configurare le impostazioni visualizzate.

   Impostazioni	Descrizione
   Nome	Attribuire un'etichetta alla directory dei contenuti
   Tipo	Seleziona un Server file aziendali dal menu a discesa.
   Collegamento	Inserisci il percorso completo della posizione della directory e non il dominio radice. Esempio: http://SharePoint/Corporate/Documents Un URL copiato direttamente da un browser Web potrebbe non disporre dell'autorizzazione di accesso a un server per alcuni tipi di repository. Nota: se il repository selezionato è di tipo OAuth, l'URL corrispondente deve includere '/personal'. Ad esempio, se l'URL del repository è xyz.abc.com, è necessario aggiungere l'URL come xyz.abc.com/personal.
   Gruppo	Assegna l'accesso al Server file aziendali a un gruppo selezionato di utenti.
   Utilizzare le credenziali derivate PIV-D	Questa impostazione è disponibile solo quando è selezionato SharePoint come tipo di repository. Selezionare la casella di controllo per utilizzare l'autenticazione tramite certificato PIV-D anziché i nomi utente e le password per autenticare gli utenti. L'autenticazione tramite certificato PIV-D consente l'autenticazione degli utenti che desiderano accedere agli archivi di SharePoint on-premise dai loro dispositivi. Nota: L'abilitazione dell'uso di una credenziale derivata PIV-D richiede la configurazione Kerberos nelle impostazioni di Content Gateway. Per informazioni sulle impostazioni di autenticazione tramite certificato in Content Gateway, vedere Configurare Content Gateway nella console di UEM nella documentazione di Content Gateway.
   Accesso tramite Content Gateway	Utilizza Content Gateway, se il dominio del server di Workspace ONE UEM non può accedere al server dei file aziendali.
   Content Gateway	Identifica il nome univoco del nodo Content Gateway appropriato nel menu a discesa.
   Consenti eredità	Consenti ai sottogruppi di ereditare le stesse autorizzazioni di accesso del relativo gruppo principale.
   Consenti scrittura	Consenti agli utenti finali di creare e caricare file e cartelle, modificare documenti ed effettuare il check-in/check-out dei file negli archivi esterni sui propri dispositivi.
   Consenti azioni dei file	Questa impostazione è disponibile solo quando è selezionato SharePoint O365 OAuth o OneDrive for Business OAuth come tipo di repository. Selezionare la casella di controllo per consentire agli utenti dell'app Workspace ONE Content di rinominare, spostare ed eliminare i file nei repository del cloud.
   Consenti eliminazione	Consente l'eliminazione dei contenuti remoti per l'archivio Network Share. Grazie a questa funzionalità, l'utente finale può eliminare definitivamente i propri contenuti dal repository Network Share utilizzando l'app Workspace ONE Content.
   Tipo di autenticazione	Seleziona il livello di accesso degli amministratori per i server dei file aziendali dalla console UEM. Nessuno: impedisce agli amministratori di visualizzare e scaricare i contenuti dei server dei file aziendali dalla console di UEM. Utente: consente l'esplorazione della struttura di file del repository all'interno della console di UEM. Inserisci le credenziali nelle caselle di testo Nome utente e Password visualizzati. Nota: se è selezionata la casella di controllo Utilizzare le credenziali derivate PIV-D, la casella di testo relativa alla password non viene visualizzata. Specificare il Nome principale dell'utente nella casella di testo Nome utente.
   Consenti caricamento solo dalla fotocamera	Selezionare questa opzione per consentire agli utenti di caricare le immagini solo dalla fotocamera del dispositivo.

4. Seleziona Esegui test sulla connessione per verificare la connettività. L'esito positivo del test indica che il server dei file aziendali è stato integrato correttamente.

5. Completare i dettagli nelle schede Sicurezza, Assegnazione e Distribuzione.

   a. Nella scheda sicurezza, completare le caselle di testo per controllare come gli utenti finali condividono e spostano i documenti sensibili fuori dai canali aziendali.

   L'impostazione Imponi crittografia è stata rimossa a partire dalla versione 9.5 della console di Workspace ONE UEM. L'app VMware Workspace ONE Content crittografa tutti i file per impostazione predefinita, a prescindere dalla disponibilità dell'impostazione.

   Impostazione	Descrizione
   Controllo di accesso	Configura questa impostazione su Consenti visualizzazione offline per offrire agli utenti finali la massima libertà di visualizzazione del loro documento. Configura Consenti solo visualizzazione in linea per garantire che tutti i dispositivi che accedono ai contenuti siano conformi, poiché Workspace ONE UEM non può verificare la conformità dei dispositivi quando questi non sono in linea.
   Consenti apertura in email	Seleziona questa impostazione per consentire l'apertura dei contenuti nelle email. Gli utenti non possono aprire file di dimensioni superiori a 10 MB. Per consentire agli utenti di aprire file di dimensioni superiori a 10 MB, è necessario modificare tali file nella console di UEM e abilitare questa opzione. Non è possibile modificare i file nei repository degli utenti.
   Consenti apertura in applicazioni di terze parti	Seleziona questa impostazione per consentire l'apertura dei contenuti in altre applicazioni. È possibile impostare un elenco di app approvate nel profilo SDK. Disabilitando questa opzione, si disattivano anche le autorizzazioni dell'utente finale a stampare i documenti PDF da VMware Workspace ONE Content per iOS.
   Consenti il salvataggio in altri archivi	Seleziona questa impostazione per consentire agli utenti finali di salvare questo file nei contenuti personali.
   Abilita il watermark	Seleziona questa impostazione per aggiungere al file una sovrapposizione con il watermark. Configura il testo sovrapposto per il watermark come parte di un profilo SDK.
   Consenti la stampa	Seleziona questa impostazione per consentire agli utenti finali di stampare i documenti PDF da VMware Workspace ONE Content per iOS mediante il server AirPrint. Una volta stampati, i contenuti non sono più soggetti al controllo dell'amministratore di Workspace ONE UEM. La stampa è supportata solo se è abilitata l'opzione Consenti apertura in applicazioni di terze parti.
   Consenti modifica	Questa impostazione è valida solo per gli archivi abilitati per la scrittura.

   b. Nella scheda Assegnazione, configurare le impostazioni per controllare quali utenti hanno accesso ai contenuti. Questa funzione garantisce che solo i dipendenti autorizzati abbiano accesso a materiale riservato o sensibile e consente di configurare una gerarchia a più livelli di accesso ai contenuti.

   Impostazioni	Descrizione
   Proprietà dispositivo	Definisci come Qualsiasi, Aziendale, Condiviso, Personale o Non definito.
   Gruppi	Per assegnare i contenuti a un nuovo gruppo, inizia a digitare nella casella di testo.
   Gruppi utente	Designa i gruppi se stai effettuando un'integrazione con i servizi di directory o con gruppi di utenti personalizzati.

   c. Nella scheda Distribuzione configurare le impostazioni per controllare come e quando gli utenti finali accedono ai contenuti.

   Impostazioni	Descrizione
   Metodo di trasferimento	Specifica un metodo Qualsiasi o Solo Wi-Fi dal menu a discesa. Limitando i trasferimenti al Wi-Fi, si impone ai dispositivi di eseguire il check-in con Workspace ONE UEM per assicurare la conformità.
   Scarica durante il roaming	Abilita questa impostazione per consentire agli utenti finali di scaricare i contenuti durante il roaming.
   Tipo download	Impostare per distribuire i contenuti in una delle due modalità seguenti: Automatico: i contenuti vengono automaticamente installati sui dispositivi quando sono disponibili. Su richiesta: i contenuti vengono installati sui dispositivi solo su richiesta dell'utente finale.
   Priorità download	Imposta questo valore per indicare agli utenti finali se il download dei contenuti ha una priorità di tipo Normale, Alto o Basso.
   Necessario	Seleziona questa impostazione per contrassegnare i contenuti come necessari in VMware Workspace ONE Content. Gli utenti finali devono scaricare e rivedere i contenuti necessari in modo che i loro dispositivi mantengano la conformità con Workspace ONE UEM.
   Data di efficacia	Specifica questa impostazione per configurare un intervallo limitato di disponibilità dei contenuti.
   Data di scadenza	Specifica questa impostazione per configurare un intervallo limitato di disponibilità dei contenuti.

6. Seleziona Salva.

Accedere al link corretto

Assicurati che Content Gateway sia configurato con il link corretto. Questa regola specifica è valida per SharePoint 2013 e Office 365 e versioni successive. Alcuni URL non sono accessibili da applicazioni e servizi ed è pertanto necessario utilizzare un browser web. Se durante la configurazione di Content Gateway viene inserito un URL "solo browser", la connessione non viene stabilita.

1. Inserisci l'URL nel browser.
2. Passare a PAGINA > Modifica proprietà > Visualizza proprietà.
3. Fare clic con il pulsante destro del mouse e copiare l'indirizzo del link.
4. Incolla l'indirizzo nella casella di testo Collegamento della console UEM.

Nota: È necessario abilitare https://login.microsoftonline.com/, *.sharepoint.com e tutti gli URL ADFS nei server di DS e console per il repository OAuth. Quando un URL viene bloccato, viene vietata anche l'autenticazione. Consentire il collegamento ADFS nella console e nelle caselle DS per i repository ADFS.

Consentire agli utenti di sincronizzare i server dei file aziendali

Integra Workspace ONE UEM con gli archivi dei contenuti esistenti, configurando un modello automatico o manuale con cui gli utenti si sincronizzeranno utilizzando il proprio dispositivo. Dopo la sincronizzazione, gli utenti finali possono accedere ai contenuti del server dei file aziendali dai propri dispositivi. L'utilizzo di Content Gateway con i server dei file aziendali consente agli utenti finali di aggiungere, modificare e caricare in modo sicuro i contenuti nel server dei file aziendale.

I passaggi possono variare a seconda che si configuri il modello Automatico o Manuale.

1. Accedi alla pagina appropriata della console di UEM.

   Tipo di server dei file aziendali	Posizione
   Modello automatico	Contenuti > Archivi > Modello > Automatico
   Modello manuale	Contenuti > Repository > Modelli > Manuale

2. Seleziona Aggiungi.

3. Completare le caselle di testo visualizzate. Le caselle di testo possono variare a seconda che si configuri un repository amministratore, un modello automatico o un modello manuale.

   Impostazioni	Descrizione
   Nome	Attribuisci un'etichetta alla directory dei contenuti.
   Nome archivio dell'utente (solo modello automatico)	Utilizza i valori di ricerca per denominare l'archivio visualizzato dall'utente finale in VMware Workspace ONE Content.
   Tipo	Seleziona un Server file aziendali dal menu a discesa.
   Collegamento	Un URL copiato direttamente da un browser web potrebbe non disporre dell'autorizzazione di accesso a un server per alcuni tipi di archivi.
   Collegamento (solo modello automatico)	Utilizza i valori di ricerca per creare un repository quando l'utente finale accede a VMware Workspace ONE Content. Esempio: https://sharepoint.acme.com/share/{EnrollmentUser}
   Collegamento (solo modello manuale)	Specificare il percorso della directory utilizzando l'asterisco (*) come carattere jolly per un collegamento di dominio. Esempio: http://*.sharepoint.com È possibile aggiungere un nuovo link a un modello manuale esistente, ma non è possibile modificare o eliminare un link esistente. Prestare attenzione quando si aggiungono nuovi link nella lista vietata, poiché non è possibile modificarli o eliminarli in caso di errori. Qualsiasi correzione ai link richiede l'eliminazione dell'intero modello.
   Link negati	Specificare i valori per il carattere jolly (*) nei percorsi dei file. I valori specificati per * all'inizio e alla fine del percorso del file impediscono agli utenti di creare repository manuali e sottocartelle utilizzando il modello manuale.
   Gruppo	Assegna l'accesso al Server file aziendali a un gruppo specifico di utenti.
   Utilizza credenziali derivate	Questa impostazione è disponibile solo quando è selezionato SharePoint come tipo di repository. Selezionare la casella di controllo per utilizzare l'autenticazione tramite certificato PIV-D anziché i nomi utente e le password per autenticare gli utenti. L'autenticazione tramite certificato PIV-D consente l'autenticazione degli utenti che desiderano accedere agli archivi di SharePoint on-premise dai loro dispositivi. Nota: L'abilitazione dell'uso di una credenziale derivata PIV-D richiede la configurazione Kerberos nelle impostazioni di Content Gateway. Per informazioni sulle impostazioni di autenticazione tramite certificato in Content Gateway, vedere Configurare Content Gateway nella console di UEM nella documentazione di Content Gateway.
   Accesso tramite Content Gateway	Utilizza Content Gateway, se il dominio del server di Workspace ONE UEM non può accedere al server dei file aziendali.
   Consenti eredità	Consenti ai sottogruppi di ereditare le stesse autorizzazioni di accesso del relativo gruppo principale.
   Consenti scrittura	Consenti agli utenti finali di creare e caricare file e cartelle, modificare documenti ed effettuare il check-in/check-out dei file negli archivi esterni sui propri dispositivi.

Supporto per l'autenticazione tramite certificato PIV-D

Agli utenti dell'app Workspace ONE Content è consentito l'accesso ai repository on-premise di SharePoint e Network Share dopo che gli utenti hanno eseguito l'autenticazione utilizzando le credenziali derivate da PIV-D. L'autenticazione basata su certificato elimina il requisito del nome utente e della password.

I repository on-premise come quelli di SharePoint e Network Share possono essere configurati per l'utilizzo delle credenziali derivate da PIV-D ai fini dell'autenticazione. La configurazione dei repository per l'utilizzo delle credenziali derivate da PIV-D richiede la configurazione di Kerberos nelle impostazioni di VMware Content Gateway.

Per configurare l'autenticazione tramite certificato PIV-D, è necessario considerare i seguenti prerequisiti:

• Il server Kerberos Constrained Delegation (KCD) deve essere configurato con nomi SPN (Service Principal Names) appropriati.

• Active Directory deve essere sincronizzato con Workspace ONE UEM, con il nome UPN (User Principle Name) come attributo.

• L'account di servizio deve essere disponibile sia per Workspace ONE UEM che per VMware Content Gateway per l'uso come parte del flusso di lavoro di autenticazione di Kerberos.

• A Content Gateway deve essere fornito un certificato di attendibilità dall'autorità di certificazione (CA) che emette i certificati utente. Questi certificati possono essere solo certificati intermedi o l'intera catena di certificati in base ai requisiti di convalida dell'autorità di certificazione.

Nel caso di un repository Network Share, verificare che le chiavi di configurazione jcifs siano impostate su false e che quelle jcifsng siano impostate su true.

Supporto dell'autenticazione dei certificati senza PIV-D

I repository on-premise come quelli di SharePoint e Network Share possono essere configurati per l'utilizzo delle credenziali derivate ai fini dell'autenticazione. La configurazione dei repository per l'utilizzo delle credenziali derivate richiede la configurazione di Kerberos nelle impostazioni di VMware Content Gateway.

Per configurare l'autenticazione tramite certificato, è necessario considerare i seguenti prerequisiti:

• Il server Kerberos Constrained Delegation (KCD) deve essere configurato con nomi SPN (Service Principal Names) appropriati.

• Active Directory deve essere sincronizzato con Workspace ONE UEM, con il nome UPN (User Principle Name) come attributo.

• L'account di servizio deve essere disponibile sia per Workspace ONE UEM che per VMware Content Gateway per l'uso come parte del flusso di lavoro di autenticazione di Kerberos.

• A Content Gateway deve essere fornito un certificato di attendibilità dall'autorità di certificazione (CA) che emette i certificati utente. Questi certificati possono essere solo certificati intermedi o l'intera catena di certificati in base ai requisiti di convalida dell'autorità di certificazione.

Nel caso di un repository Network Share, verificare che le chiavi di configurazione jcifs siano impostate su false e che quelle jcifsng siano impostate su true.

Prestazioni della cache

Quando l'intero repository aziendale viene memorizzato nella cache, possono verificarsi dei picchi di memoria nel server dei servizi di dispositivo a causa della memoria interna insufficiente. Ogni volta, la cache deve essere disattivata per risolvere il carico sul server dei servizi di dispositivo.

Nota: lo script del database utilizzato per disattivare la cache non è più applicabile dalla versione 1904 di Workspace ONE UEM. La cache può essere disattivata impostando ContentCacheFeatureFlag su False nell'API, https:// /api/system/featureflag/ /<OG_GUID>/false.

La strategia di memorizzazione nella cache just-in-time elimina il problema della memoria insufficiente memorizzando nella cache solo le cartelle e i record di contenuti a cui l'utente accede. Le cartelle e i contenuti non desiderati vengono rimossi dalla cache.

Le cartelle vengono memorizzate nella cache singolarmente utilizzando una chiave di cache folderId anziché memorizzare nella cache l'intero repository utilizzando la chiave di cache RepoId.

In un mancato riscontro nella cache, il server dei servizi di dispositivo carica solo i metadati delle cartelle correnti dal database e li memorizza nella cache. In un riscontro nella cache, il server dei servizi di dispositivo legge solo la struttura di cartelle del livello root dalla cache.