Gruppi

I gruppi possono essere considerati come i singoli rami di un albero genealogico, di cui ogni foglia rappresenta l'utente di un dispositivo. Workspace ONE UEM identifica ciascuna foglia e ne stabilisce la posizione all'interno dell'albero genealogico utilizzando i gruppi. La maggior parte dei clienti struttura gli alberi dei gruppi in modo che rispecchino la loro gerarchia aziendale: Dirigenza, Gestione, Operazioni, Vendite e così via.

Puoi anche definire i gruppi in base alle funzionalità e ai contenuti di Workspace ONE UEM.

Puoi accedere ai gruppi passando a Gruppi e impostazioni > Gruppi > Gruppi organizzativi > Visualizzazione elenco o tramite il menu a discesa del gruppo.

Crea gruppi per le entità all'interno dell'organizzazione (Gestione, Stipendiato, Orario, Vendite, Retail, Risorse Umane, Dirigente e così via).
Personalizza le gerarchie attribuendovi livelli superiori o inferiori (ad esempio, 'Stipendiato' e 'Orario' come livelli inferiori di 'Gestione').
Integra con molteplici infrastrutture interne a livello di strato.
Delegare l'accesso in base ai ruoli e la gestione in base alla struttura multi-utente.

Nota: La Visualizzazione elenco gruppi definisce "Dispositivi attivi" solo i dispositivi che hanno inviato informazioni alla Workspace ONE UEM Console nelle 8 ore precedenti.

Caratteristiche dei gruppi

I gruppi possono accogliere entità funzionali, geografiche e organizzative e offrono una soluzione multi-tenancy.

Scalabilità - Supporto flessibile per una crescita esponenziale.
Multi-tenancy - Crea gruppi che funzionino come ambienti indipendenti.
Eredità - Semplifica il processo di installazione impostando i sottogruppi in modo che ereditino le configurazioni del gruppo principale.

Questa figura mostra la struttura gerarchica di un gruppo di esempio che implementa elementi geografici e aziendali. Questa schermata riflette la stessa gerarchia dell'illustrazione in stile diagramma di flusso, mostrandone la visualizzazione in Workspace ONE UEM.

Utilizzando l'esempio del menu a discesa del gruppo, puoi configurare profili, funzionalità, applicazioni e altre impostazioni MDM al livello World Wide Enterprises.

Le impostazioni vengono ereditate dai relativi sottogruppi, come ad esempio Asia/Pacifico ed EMEA, o persino dai sottogruppi di livello inferiore Asia/Pacifico > Produzione o Asia/Pacifico > Operazioni > Aziendale.

Le impostazioni tra gruppi di pari livello come Asia/Pacifico ed EMEA traggono vantaggio dalla natura multi-tenant dei gruppi, che consente di tenere tali impostazioni separate le une dalle altre. Tuttavia, questi due gruppi derivati ereditano le impostazioni dai relativi gruppi principali, World Wide Enterprises.

In alternativa, puoi scegliere di sostituire le impostazioni di un livello inferiore e modificare o mantenere esclusivamente le impostazioni desiderate. Queste impostazioni possono essere modificate o trasferite a qualsiasi livello.

Considerazioni per l'impostazione dei gruppi

Prima di impostare la gerarchia dei gruppi all'interno della console Workspace ONE UEM, è necessario definire la struttura dei gruppi. Ciò garantisce un utilizzo ottimale delle impostazioni, delle applicazioni e delle risorse.

Amministrazione delegata - È possibile delegare l'amministrazione di un sottogruppo ad amministratori di un livello inferiore limitandone la visibilità ad un gruppo inferiore.

Questa figura mostra la gerarchia di un gruppo di esempio con gruppi principali-sottogruppi tipici della vendita al dettaglio.

Gli amministratori aziendali possono accedere e visualizzare tutti i componenti all'interno dell'ambiente.
Il manager di LA può accedere al gruppo LA e gestire esclusivamente i dispositivi ad esso correlati.
Il manager di NY può accedere al gruppo NY e gestire esclusivamente i dispositivi ad esso correlati.
Impostazioni di sistema: le impostazioni sono applicate a diversi livelli dell'albero gerarchico del gruppo ed ereditate dai vari sottogruppi. Possono anche essere ignorate ad ogni livello. Le impostazioni includono le opzioni di registrazione del dispositivo, i metodi di autenticazione, la privacy e il branding.

Questa figura mostra la gerarchia di un gruppo di esempio con gruppi principali-sottogruppi tipici delle spedizioni.

L'azienda globale definisce la registrazione in base al server Active Directory in uso.
I dispositivi degli autisti ignorano l'autenticazione e accettano la registrazione basata su token.
I dispositivi del magazzino ereditano le impostazioni AD del gruppo principale.
Caso d'uso del dispositivo - Un profilo può essere assegnato a uno o più gruppi. I dispositivi di questi gruppi possono quindi ricevere tale profilo. Fai riferimento alla sezione Profili per maggiori informazioni. Potrebbe essere opportuno configurare i dispositivi che utilizzano le impostazioni del profilo, delle applicazioni e dei contenuti in base ad attributi quali la marca e il modello del dispositivo, il tipo di proprietà o i gruppi utente prima di creare gruppi.

Questa figura mostra la gerarchia di un gruppo di esempio con gruppi principali-sottogruppi tipici all'interno di un'azienda.

I dispositivi del gruppo Dirigenti non possono installare applicazioni e avere accesso alla rete Wi-Fi del gruppo Vendite.
I dispositivi del gruppo Vendite possono installare applicazioni e hanno accesso alla VPN.

Modifica dei gruppi

È possibile modificare i gruppi selezionando l'indicatore del gruppo nella parte superiore destra della schermata.

Questa schermata mostra la posizione del selettore del gruppo.

Quando selezionato, in un menu a discesa viene visualizzata la gerarchia dei gruppi che consente di passare a un altro gruppo.

Paragonare due gruppi

Puoi paragonare le impostazioni di due gruppi per ridurre eventuali problemi di migrazione delle versioni. La funzione Paragona gruppi è disponibile solo per clienti on-premise.

Quando si confrontano le impostazioni del gruppo, è possibile eseguire le attività indicate di seguito.

Carica file XML contenenti le impostazioni del gruppo da versioni diverse del software Workspace ONE UEM.
Elimina il rischio di problemi di migrazione causati da eventuali differenze della configurazione.
Filtra i risultati del confronto, in modo da visualizzare solo le impostazioni che ti interessano.
Cerca una specifica impostazione per nome.

L'esempio di uno scenario di migrazione versione si presenta quando un server Test accettazione utenti (UAT) è stato aggiornato, configurato e testato, è possibile paragonare direttamente le impostazioni UAT alle impostazioni di produzione.

Vai su Gruppi e impostazioni > Tutte le impostazioni > Amministratore > Gestione impostazioni > Paragone impostazioni.
Seleziona un gruppo dell'ambiente dal menu a discesa (contrassegnato dal numero 1). In alternativa, carica il file delle impostazioni XML selezionando il pulsante Carica e seleziona un file XML delle impostazioni del gruppo esportato.
Seleziona il gruppo da paragonare nel menu a discesa a destra (contrassegnato dal numero 2).
Visualizza un elenco di impostazioni per i gruppi selezionati utilizzando il pulsante Aggiorna.
- Verranno evidenziate le differenze tra i due set di impostazioni di gruppo.
- Se lo desideri, puoi selezionare la casella di controllo Mostra solo differenze. Ciò ti permetterà di visualizzare solo le impostazioni applicate a un gruppo e non all'altro.
- Se sono presenti impostazioni in bianco (o non specificate), verranno visualizzate nell'elenco di paragone come 'NULL'.

Creare gruppi

È necessario creare un gruppo per ogni entità aziendale in cui vengono distribuiti i dispositivi. Il gruppo di cui fai attualmente parte è il gruppo principale del sottogruppo che stai per creare.

Vai su Gruppi e impostazioni > Gruppi > Gruppi > Dettagli.

Seleziona la scheda Aggiungi sottogruppo e configurare le impostazioni seguenti.

Impostazione	Descrizione
Nome	Consente di inserire un nome per il sottogruppo da mostrare. Sono consentiti solo caratteri alfanumerici. Non utilizzare caratteri non previsti.
ID di gruppo	Questo identificatore obbligatorio del gruppo viene utilizzato dagli utenti finali durante l'accesso al dispositivo e durante la registrazione dei dispositivi nel gruppo appropriato. Assicurarsi che gli utenti finali che condividono i dispositivi ricevano l’ID del gruppo poiché, a seconda della configurazione dei dispositivi condivisi, è possibile che venga richiesto per l'accesso. Se non si è un ambiente on-premise, l'ID del gruppo identifica il gruppo nell'ambito dell'intero ambiente SaaS condiviso. Per questo motivo, tutti gli ID di gruppo devono avere un nome univoco.
Tipo	Selezionare il tipo di gruppo preconfigurato corrispondente alla categoria per il sottogruppo.
Paese	Selezionare il Paese in cui è basato il gruppo.
Locale	Selezionare la classificazione della lingua per il Paese selezionato.
Settore del cliente	Questa impostazione è disponibile solo quando Tipo è su Cliente. Seleziona dall'elenco dei settori del cliente.
Fuso orario	Seleziona il fuso orario per la posizione del gruppo.

Seleziona Salva.

Eliminare un gruppo

È possibile eliminare un gruppo purché non contenga sottogruppi e nessun dispositivo in alcuna posizione a valle.

Passare al gruppo che si desidera eliminare selezionandolo dal menu a discesa dei gruppi.
Vai su Gruppi e impostazioni > Gruppi > Gruppi > Dettagli.
Nella parte inferiore della schermata Dettagli, verificare gli elementi riportati in corrispondenza di Dispositivi nel gruppo e in Sottogruppi. Se una delle voci non è pari a zero, non è possibile eliminare il gruppo e il pulsante Elimina non è disponibile.

È necessario spostare tutti i dispositivi da questo gruppo in un altro. Tutti i sottogruppi a valle del gruppo che si desidera eliminare non devono contenere dispositivi per poter essere eliminati.
Quando in Dispositivi nel gruppo e Sottogruppi sono presenti zero elementi, è possibile procedere con l'eliminazione del gruppo.
Selezionare il pulsante Elimina.
Verrà visualizzata la schermata Azione con restrizioni - Eliminazione gruppo, che contiene avvisi sulle preparazioni da svolgere prima di eliminare il gruppo.
Prima di poter procedere con l'eliminazione, è necessario immettere il PIN di sicurezza a quattro cifre, selezionato quando ci si è registrati come amministratore UEM. Reimpostare il PIN selezionando il link PIN di sicurezza dimenticato?.

Identificare l'ID di qualsiasi gruppo

È possibile identificare l'ID di qualsiasi gruppo effettuando i passaggi riportati di seguito.

Passare al gruppo che si desidera identificare selezionandolo dal menu a discesa dei gruppi.
Passare il puntatore del mouse sull'etichetta del gruppo Un popup visualizza il nome e l'ID del gruppo attualmente selezionato.

Questa schermata mostra come viene visualizzato l'ID del gruppo quando si passa il puntatore del mouse sul selettore del gruppo.

Eredità, multi-tenancy e autenticazione

Il concetto di sostituzione delle impostazioni in base al gruppo, se combinato con le caratteristiche di gruppo (OG) come eredità e multi-tenancy, può essere combinato ulteriormente con l'autenticazione. Questa combinazione offre configurazioni flessibile.

Il modello di gruppo seguente illustra questa flessibilità.

Questo diagramma mostra un modello di gerarchia di gruppo composto da un gruppo principale, un sottogruppo e un sottogruppo del sottogruppo.

In questo modello, gli amministratori, di solito in possesso di maggiori funzionalità e permessi, si posizionano in cima al ramo del gruppo. Gli amministratori accedono al gruppo utilizzando SAML, specifico per loro.

Gli utenti aziendali si trovano al di sotto degli amministratori, quindi il loro gruppo è disposto come figlio. Essendo utenti e non amministratori, le loro impostazioni di accesso SAML non possono ereditare le impostazioni amministratore. Di conseguenza, l'impostazione SAML degli utenti aziendali viene sovrascritta.

Gli utenti BYOD sono diversi dagli utenti aziendali. I dispositivi utilizzati dagli utenti BYOD appartengono agli utenti stessi ed è probabile che contengano più informazioni personali. Quindi, questi profili del dispositivo potrebbero richiedere impostazioni leggermente diverse. Gli utenti BYOD possono avere diverse condizioni per l'utilizzo. I dispositivi BYOD potrebbero aver bisogno di parametri di cancellazione dati aziendali diversi. Per tutti questi motivi e non solo, ha senso che gli utenti BYOD accedano a un gruppo separato.

E, anche se da un punto di vista gerarchico aziendale essi non sono al di sotto degli utenti aziendali, posizionare gli utenti BYOD come gruppo figlio degli utenti aziendali presenta diversi vantaggi. Questa disposizione implica che gli utenti BYOD ereditino le impostazioni applicabili a TUTTI i dispositivi aziendali applicandole al gruppo degli utenti aziendali.

L'eredità si applica anche per le impostazioni di autenticazione SAML. Poiché sono un sottogruppo degli utenti aziendali, gli utenti BYOD ereditano l'accesso SAML per le impostazioni di autenticazione degli utenti.

Un modello alternativo prevede di rendere gli utenti BYOD di livello equivalente degli utenti aziendali.

Questo diagramma mostra un modello di gerarchia di gruppo composto da un gruppo principale e due sottogruppi.

In questo modello alternativo, quanto segue è vero.

Ogni profilo associato al dispositivo si applica globalmente a TUTTI i dispositivi, inclusi i criteri di conformità, mentre le altre impostazioni del dispositivo applicabili globalmente si applicano a due gruppi invece che a uno. Il motivo di questa duplica è dato dal fatto che l'eredità dagli utenti aziendali agli utenti BYOD non è più contemplata in questo modello. Gli utenti aziendali e gli utenti BYOD sono ora di pari livello e, pertanto, non è prevista eredità.
È necessario applicare un'altra sostituzione SAML agli utenti BYOD. Questa sostituzione è necessaria perché il sistema presuppone l'eredità delle impostazioni SAML dal padre, ovvero gli amministratori. Questo presupposto è però errato poiché gli utenti BYOD non sono amministratori e non dispongono di accesso e autorizzazioni medesimi.
Gli utenti BYOD continuano a essere gestiti separatamente dagli utenti aziendali. Questo modello alternativo significa che continueranno a sfruttare le proprie impostazioni di profilo del dispositivo.

Quale fattore determina il modello più appropriato? Confronta il numero di impostazioni di dispositivo applicabili a livello globale con il numero di impostazioni di dispositivo specifiche per i gruppi. Fondamentalmente, se vuoi gestire tutti i dispositivi più o meno allo stesso modo, valuta di rendere gli utenti BYOD un sottogruppo degli utenti aziendali. Se è più importante gestire impostazioni separate, valuta di rendere gli utenti BYOD di pari livello rispetto agli utenti aziendali.

Limitazioni sui gruppi

Se si tenta di configurare un'impostazione limitata a un gruppo specifico, nelle pagine delle impostazioni in Gruppi e impostazioni > Tutte le impostazioni viene visualizzata una notifica che informa della limitazione.

Questa impostazione può essere attivata solo al livello del gruppo di tipo cliente.

Alla creazione di gruppi a livello cliente si applicano le seguenti limitazioni.

Sia che ci si trovi in un ambiente Software-as-a-Service (SaaS) che in un ambiente on-premise, non è possibile creare gruppi cliente nidificati.

Funzioni e personalizzazioni relative ai tipi di gruppo

Il tipo di un gruppo ha effetto sulle impostazioni che un amministratore può configurare.

Globale: il gruppo più alto. In genere, questo gruppo è denominato Globale ed è di tipo Globale.
- Per gli ambienti SaaS ospitati, non è possibile accedere a questo gruppo.
- I clienti locali possono attivare la registrazione dettagliata a questo livello.
Cliente – il gruppo di livello superiore per ciascun cliente.
- Un gruppo del cliente non può avere nessun sottogruppo/gruppo principale di tipo cliente.
- I flussi di lavoro essenziali possono essere eseguiti solo all'interno di un gruppo di tipo cliente o della relativa gerarchia. Questi flussi di lavoro includono l'aggiunta di un dispositivo, la registrazione di un dispositivo, il mapping dei gruppi utente, la creazione e il mapping dei gruppi smart, la modifica del gruppo su un dispositivo (o lo spostamento di un dispositivo da un gruppo all'altro) e il check-out del dispositivo.
- Alcune impostazioni possono essere configurate solo al livello del gruppo del cliente. Queste impostazioni applicano un filtro ai gruppi inferiori di tipo container.
  - Individuazione automatica dei domini e-mail
  - Impostazioni del programma di registrazione dei dispositivi (precedente a AirWatch 8.0)
  - Contenuti personali
  - Apple VPP (Volume Purchase Program) deve essere abilitato nel gruppo principale del cliente; solo allora i sottogruppi di tipo container presenteranno la funzionalità VPP funzionante.
  - Samsung Enterprise FOTA
  - Pacchetti Hub
  - Attributi personalizzati
  - Relay server
  - Intelligence
  - Sensori
  - Scansione app e protezione rimozione app
  - CDN (Content Delivery Network) per la distribuzione delle app
  - L'archivio NFS per la gestione dei contenuti diventerà configurabile
  - Servizi Workspace ONE Hub
  - Accesso condizionale
  - MAG (Mobile Access Gateway)
  - LBUS (Sincronizzazione utente di base locale)
  - Dynamic Environment Manager
  - Mobile Flows
Contenitore: il tipo di gruppo predefinito.
- Tutti i gruppi sotto un gruppo del cliente devono essere del tipo "contenitore". Possono essere presenti contenitori tra i gruppi Cliente e Partner.
Partner: gruppo di livello superiore per i partner (rivenditori di terze parti di Workspace ONE UEM).
Potenziale cliente: potenziali clienti. Simile a un gruppo cliente, potrebbe avere meno funzionalità rispetto a quelle di un gruppo cliente effettivo.

Sono disponibili ulteriori tipi di gruppo, ad esempio, Divisione, Regione, e la possibilità di definire il proprio tipo di gruppo.

Aggiungi tipo di gruppo

È possibile aggiungere tipi di gruppi personalizzati. Tali tipi non presentano caratteristiche particolari e funzionano in modo identico al tipo di gruppo Contenitore.

Per creare il proprio tipo di gruppo…

Passare a Gruppi e impostazioni > Gruppi > Gruppi > Tipi, quindi selezionare il pulsante Aggiungi tipo di gruppo.
Inserire il Nome desiderato per il tipo di gruppo e la relativa Descrizione.
Seleziona Salva.

Motivi per cui non è opportuno registrare i dispositivi in Globale

Sono diversi i motivi per cui registrare i dispositivi direttamente nel gruppo di livello superiore, noto come Globale, non è una buona idea. Essi sono la multi-tenancy, l'eredità e la funzionalità.

Multi-tenancy

È possibile creare tutti i sottogruppi necessari e configurarli indipendentemente dagli altri. Le impostazioni che si applicano a un sottogruppo non hanno effetto sugli altri gruppi derivati.

Eredità

Le modifiche apportate a un gruppo principale vengono applicate anche ai relativi sottogruppi. Al contrario, le modifiche apportate ai sottogruppi non si applicano al gruppo principale o agli altri gruppi derivati.

Funzionalità

Alcune impostazioni e funzionalità possono essere configurate solo dai gruppi di tipo Cliente. Tra questi vi sono la protezione del ripristino, la telefonia e i contenuti personali. I dispositivi aggiunti direttamente al gruppo Globale di livello superiore vengono esclusi da queste impostazioni e funzionalità.

Il gruppo globale è progettato per ospitare Cliente e altri tipi di gruppi. A causa del funzionamento dell'eredità, se si aggiungono dispositivi a livello Globale e si configura quest'ultimo con impostazioni che abbiano effetto su tali dispositivi, saranno interessati anche tutti i sottogruppi Cliente. Ciò riduce i vantaggi della multiutenza e dell'eredità.

Differenza tra l'impostazione Sostituisci e l'impostazione Eredita in relazione ai gruppi

La gerarchia della struttura dei gruppi creata determina quale gruppi sono principali e quali sono sottogruppi. I sottogruppi ereditano le impostazioni dai relativi gruppi principali, ma è possibile scegliere di sovrascrivere questa eredità.

Ogni pagina delle impostazioni di sistema applica le relative impostazioni in base a due tipi di opzioni di eredità/sovrascrittura in relazione alla gerarchia dei gruppi: 1) impostazione attuale e 2) autorizzazione sottogruppi. Il gruppo al quale vengono applicate le impostazioni è il gruppo corrente.

In altre parole, se si è inclusi nel gruppo Dipendenti\Magazzino, le modifiche apportate alle impostazioni si applicano a tale gruppo e a tutti i sottogruppi del gruppo Magazzino.

Ad esempio, la pagina delle impostazioni Branding, accessibile passando a Gruppi e impostazioni > Tutte le impostazioni > Sistema > Branding, controlla tutte le immagini di sfondo personalizzate, i loghi e le combinazioni di colori per il gruppo visualizzato nel menu a discesa del gruppo.

Applicando il nostro esempio precedente, è possibile importare una nuova immagine di sfondo, un nuovo logo, uno schema di colori diverso, il tutto specifico del gruppo Dipendenti\Magazzino. Inoltre, è possibile configurare le impostazioni da applicare solo al gruppo Magazzino. Questa opzione viene abilitata mediante la modifica dell'eredità del gruppo nella pagina Impostazioni.

Autorizzazione sottogruppi

L'impostazione dell'autorizzazione sottogruppi può essere considerata come il comportamento del gruppo principale nei confronti del sottogruppo. Sono disponibili tre impostazioni diverse per l'autorizzazione sottogruppi: Eredita o sostituisci, Eredita solo e Sostituisci solo.

L'opzione Eredita o sostituisci significa semplicemente che il gruppo principale non specifica alcuna preferenza per le autorizzazioni del sottogruppo. Quando l'impostazione dell'autorizzazione sottogruppi è Eredita o sostituisci, l'impostazione attuale del sottogruppo determina se sovrascrivere o ereditare le impostazioni. Tutte le autorizzazioni sottogruppo sono impostate su Eredita o sostituisci per impostazione predefinita.

L'impostazione dell'autorizzazione sottogruppi su Eredita solo sul gruppo principale, impone l'ereditarietà su tutti i sottogruppi. Questo significa che tutti i sottogruppi avranno le medesime impostazioni del gruppo principale. L'impostazione dell'autorizzazione sottogruppi Sostituisci solo rimuove l'effetto dell'eredità su tutti i sottogruppi, con la conseguente necessità di configurare impostazioni specifiche per il sottogruppo.

Le impostazioni dell'autorizzazione sottogruppi influiscono solo sui sottogruppi al livello immediatamente inferiore. Tali impostazioni non hanno alcun impatto sui sottogruppi dei sottogruppi o sui gruppi a livelli inferiori.

Impostazione attuale

Se l'autorizzazione sottogruppi rappresenta il comportamento del gruppo principale nei confronti del sottogruppo, l'impostazione attuale di un gruppo rappresenta il comportamento del sottogruppo nei confronti del gruppo principale. L'impostazione attuale può essere solo Eredita o Sostituisci.

L'impostazione attuale Eredita significa che il sottogruppo accetta tutte le impostazioni del gruppo principale. Selezionando per impostazione attuale Sostituisci, il sottogruppo rifiuta le impostazioni del gruppo principale dal quale sarà svincolato. La selezione di Sostituisci significa che è possibile creare nuove impostazioni per il sottogruppo.

È possibile modificare l'impostazione attuale di un gruppo solo se l'impostazione dell'autorizzazione sottogruppi del gruppo principale è Eredita o sostituisci.

Proseguendo con l'esempio precedente, se si desidera agire sulle impostazioni di Branding solo per il gruppo Magazzino, è possibile modificare l'impostazione attuale per ogni sottogruppo Magazzino in Sostituisci, purché l'autorizzazione sottogruppi per Magazzino sia quella predefinita, vale a dire Eredita o sostituisci. È quindi possibile configurare le impostazioni di Branding per i sottogruppi Magazzino come si desidera, in base a quelle di Magazzino oppure in modo diverso.

Modifica delle impostazioni di autorizzazione

Non è possibile modificare l'impostazione attuale se l'impostazione dell'autorizzazione sottogruppi del gruppo principale non lo consente. Ad esempio, se l'impostazione dell'autorizzazione sottogruppi del gruppo MomandDad è Sostituisci solo, non è possibile modificare l'impostazione attuale del gruppo Junior su Eredita. In breve, le impostazioni dell'autorizzazione sottogruppi del gruppo principale hanno la precedenza sull'impostazione attuale del sottogruppo.

Quando si modifica l'impostazione attuale di un sottogruppo da Sostituisci a Eredita, la modifica dell'impostazione dell'autorizzazione sottogruppi del relativo gruppo principale in Eredita solo blocca l'impostazione dell'autorizzazione sottogruppi del sottogruppo. Non è possibile modificare l'impostazione dell'Autorizzazione sottogruppi in questo scenario. Questo comportamento non è applicabile se l'impostazione del sottogruppo non viene mai sovrascritta.

Una soluzione alternativa a questo comportamento consiste nel modificare le impostazioni di Autorizzazione di nuovo in Eredita o sostituisci, sbloccando l'impostazione Autorizzazione sottogruppi del sottogruppo.

La strategia generale che si preferisce adottare è quella di pianificare in anticipo, configurando le impostazioni di eredità e sostituzione in modo appropriato a livello di gruppo, in base alla struttura gerarchica desiderata.