I gruppi possono essere considerati come i singoli rami di un albero genealogico, di cui ogni foglia rappresenta l'utente di un dispositivo. Workspace ONE UEM powered by AirWatch identifica ciascuna foglia e ne stabilisce la posizione nell'albero genealogico tramite i gruppi. La maggior parte dei clienti crea gli alberi dei gruppi in modo che siano simili alla propria gerarchia aziendale: dirigenti, direzione, attività operative, vendite e così via.

Puoi anche definire i gruppi in base alle funzionalità e ai contenuti di Workspace ONE UEM.

Puoi accedere ai gruppi passando a Gruppi e impostazioni > Gruppi > Gruppi organizzativi > Visualizzazione elenco o tramite il menu a discesa del gruppo.

  • Crea gruppi per le entità all'interno dell'organizzazione (Gestione, Stipendiato, Orario, Vendite, Retail, Risorse Umane, Dirigente e così via).
  • Personalizza le gerarchie con livelli padre e figlio (ad esempio, 'Stipendiato' e 'Orario' come figlio in 'Gestione').
  • Integra con molteplici infrastrutture interne a livello di strato.
  • Delegare l'accesso in base ai ruoli e la gestione in base alla struttura multi-utente.
Nota: La Visualizzazione elenco Gruppi definisce "Dispositivi attivi" solo i dispositivi che hanno inviato informazioni alla Workspace ONE UEM Console nelle 8 ore precedenti.

Caratteristiche dei gruppi

I gruppi possono accogliere entità funzionali, geografiche e organizzative e offrono una soluzione multi-tenancy.

  • Scalabilità - Supporto flessibile per una crescita esponenziale.
  • Multi-tenancy - Crea gruppi che funzionino come ambienti indipendenti.
  • Eredità - Semplifica il processo di installazione impostando i sottogruppi in modo che ereditino le configurazioni del gruppo principale.

Utilizzando l'esempio del menu a discesa del gruppo, puoi configurare profili, funzionalità, applicazioni e altre impostazioni MDM al livello World Wide Enterprises.

Le impostazioni vengono ereditate dai relativi sottogruppi, ad esempio Asia/Pacifico ed EMEA o anche dalle sottocategorie più in basso nella gerarchia Asia/Pacifico > Produzione o ancora più in basso Asia/Pacifico > Divisione operativa > Aziendale.

Le impostazioni tra i gruppi di pari livello quali Asia/Pacifico ed EMEA traggono vantaggio dalla natura multi-tenant dei gruppi, mantenendo queste impostazioni separate le une dalle altre. Tuttavia, questi due gruppi derivati ereditano le impostazioni dai relativi gruppi principali, World Wide Enterprises.

In alternativa, puoi scegliere di sostituire le impostazioni di un livello inferiore e modificare o mantenere esclusivamente le impostazioni desiderate. Queste impostazioni possono essere modificate o trasferite a qualsiasi livello.

Considerazioni per l'impostazione dei gruppi

Prima di impostare la gerarchia dei gruppi all'interno di Workspace ONE UEM Console, è necessario definire la struttura dei gruppi. Ciò garantisce un utilizzo ottimale delle impostazioni, delle applicazioni e delle risorse.

  • Amministrazione delegata - È possibile delegare l'amministrazione di un sottogruppo ad amministratori di un livello inferiore limitandone la visibilità ad un gruppo inferiore.
  • Gli amministratori aziendali possono accedere e visualizzare tutti i componenti all'interno dell'ambiente.
  • Il manager di LA può accedere al gruppo LA e gestire esclusivamente i dispositivi ad esso correlati.
  • Il manager di NY può accedere al gruppo NY e gestire esclusivamente i dispositivi ad esso correlati.
  • Impostazioni di sistema - Le impostazioni possono essere applicate a diversi livelli dell'albero gerarchico del gruppo ed ereditate dai vari sottogruppi. Possono anche essere ignorate ad ogni livello. Le impostazioni includono le opzioni di registrazione del dispositivo, i metodi di autenticazione, la privacy e il branding.
  • L'azienda globale definisce la registrazione in base al server Active Directory in uso.
  • I dispositivi degli autisti ignorano l'autenticazione e accettano la registrazione basata su token.
  • I dispositivi del magazzino ereditano le impostazioni AD del gruppo principale.
  • Caso d'uso del dispositivo - Un profilo può essere assegnato a uno o più gruppi. I dispositivi di questi gruppi possono quindi ricevere tale profilo. Fai riferimento alla sezione Profili per maggiori informazioni. Potrebbe essere opportuno configurare i dispositivi che utilizzano le impostazioni del profilo, delle applicazioni e dei contenuti in base ad attributi quali la marca e il modello del dispositivo, il tipo di proprietà o i gruppi utente prima di creare gruppi.
  • I dispositivi del gruppo Dirigenti non possono installare applicazioni e avere accesso alla rete Wi-Fi del gruppo Vendite.
  • I dispositivi del gruppo Vendite possono installare applicazioni e hanno accesso alla VPN.

Paragonare due gruppi

Puoi paragonare le impostazioni di due gruppi per ridurre eventuali problemi di migrazione delle versioni. La funzione Paragona gruppi è disponibile solo per clienti on-premise.

Quando si confrontano le impostazioni del gruppo, è possibile eseguire le attività indicate di seguito.

  • Carica file XML contenenti le impostazioni del gruppo da versioni diverse del software Workspace ONE UEM.
  • Elimina il rischio di problemi di migrazione causati da eventuali differenze della configurazione.
  • Filtra i risultati del confronto, in modo da visualizzare solo le impostazioni che ti interessano.
  • Cerca una specifica impostazione per nome.

L'esempio di uno scenario di migrazione versione si presenta quando un server Test accettazione utenti (UAT) è stato aggiornato, configurato e testato, è possibile paragonare direttamente le impostazioni UAT alle impostazioni di produzione.

  1. Vai su Gruppi e impostazioni > Tutte le impostazioni > Amministratore > Gestione impostazioni > Paragone impostazioni.
  2. Seleziona un gruppo dell'ambiente dal menu a discesa (contrassegnato dal numero 1). In alternativa, carica il file delle impostazioni XML selezionando il pulsante Carica e seleziona un file XML delle impostazioni del gruppo esportato.
  3. Seleziona il gruppo da paragonare nel menu a discesa a destra (contrassegnato dal numero 2).
  4. Visualizza un elenco di impostazioni per i gruppi selezionati utilizzando il pulsante Aggiorna.
    • Le differenze tra i due set di impostazioni di gruppo verranno evidenziate automaticamente.
    • Se lo desideri, puoi selezionare la casella di controllo Mostra solo differenze. Ciò ti permetterà di visualizzare solo le impostazioni applicate a un gruppo e non all'altro.
    • Se sono presenti impostazioni in bianco (non specificate), queste verranno visualizzate nell'elenco di paragone come 'NULLO'.

Creare gruppi

È necessario creare un gruppo per ogni entità aziendale in cui vengono distribuiti i dispositivi. Il gruppo di cui fai attualmente parte è il gruppo principale del sottogruppo che stai per creare.

  1. Vai su Gruppi e impostazioni > Gruppi > Gruppi > Dettagli.
  2. Seleziona la scheda Aggiungi sottogruppo e configurare le impostazioni seguenti.
    Impostazione Descrizione
    Nome Consente di inserire un nome per il sottogruppo da mostrare. Sono consentiti solo caratteri alfanumerici. Non utilizzare caratteri non previsti.
    ID di gruppo

    Consente di inserire un identificatore per il gruppo, che verrà utilizzato dagli utenti finali per accedere ai dispositivi. Gli ID del gruppo vengono utilizzati durante la registrazione per associare i dispositivi al gruppo appropriato.

    Assicurarsi che gli utenti finali che condividono i dispositivi ricevano l’ID del gruppo poiché, a seconda della configurazione dei dispositivi condivisi, è possibile che venga richiesto per l'accesso.

    Se non si è un ambiente on-premise, l'ID del gruppo identifica il gruppo nell'ambito dell'intero ambiente SaaS condiviso. Per questo motivo, tutti gli ID di gruppo devono avere un nome univoco.

    Tipo Selezionare il tipo di gruppo preconfigurato corrispondente alla categoria per il sottogruppo.
    Nazione Selezionare il Paese in cui è basato il gruppo.
    Locale Selezionare la classificazione della lingua per il Paese selezionato.
    Settore del cliente Questa impostazione è disponibile solo quando Tipo è su Cliente. Seleziona dall'elenco dei settori del cliente.
    Fuso orario Seleziona il fuso orario per la posizione del gruppo.
  3. Seleziona Salva.

Identificare l'ID di qualsiasi gruppo

È possibile identificare l'ID di qualsiasi gruppo effettuando i passaggi seguenti.

  1. Passare al gruppo che si desidera identificare selezionandolo dal menu a discesa dei gruppi.
  2. Passare il puntatore del mouse sull'etichetta del gruppo Un popup visualizza il nome e l'ID del gruppo attualmente selezionato.

Eredità, multi-tenancy e autenticazione

Il concetto di sostituzione delle impostazioni in base al gruppo, se combinato con le caratteristiche di gruppo (OG) come eredità e multi-tenancy, può essere combinato ulteriormente con l'autenticazione. Questa combinazione offre configurazioni flessibile.

Il modello di gruppo seguente illustra questa flessibilità.

Questo diagramma mostra un modello di gerarchia di gruppo composto da un gruppo principale, un sottogruppo e un sottogruppo del sottogruppo.

In questo modello, gli amministratori, di solito in possesso di maggiori funzionalità e permessi, si posizionano in cima al ramo del gruppo. Gli amministratori accedono al gruppo utilizzando SAML, specifico per loro.

Gli utenti aziendali si trovano al di sotto degli amministratori, quindi il loro gruppo è disposto come figlio. Essendo utenti e non amministratori, le loro impostazioni di accesso SAML non possono ereditare le impostazioni amministratore. Di conseguenza, l'impostazione SAML degli utenti aziendali viene sovrascritta.

Gli utenti BYOD sono diversi dagli utenti aziendali. I dispositivi utilizzati dagli utenti BYOD appartengono agli utenti stessi ed è probabile che contengano più informazioni personali. Quindi, questi profili del dispositivo potrebbero richiedere impostazioni leggermente diverse. Gli utenti BYOD possono avere diverse condizioni per l'utilizzo. I dispositivi BYOD potrebbero aver bisogno di parametri di cancellazione dati aziendali diversi. Per tutti questi motivi e non solo, ha senso che gli utenti BYOD accedano a un gruppo separato.

E, anche se da un punto di vista gerarchico aziendale essi non sono al di sotto degli utenti aziendali, posizionare gli utenti BYOD come gruppo figlio degli utenti aziendali presenta diversi vantaggi. Questa disposizione significa che gli utenti BYOD ereditano le impostazioni applicabili a TUTTI gli utenti aziendali, semplicemente applicandole al gruppo degli utenti aziendali.

L'eredità si applica anche per le impostazioni di autenticazione SAML. Poiché gli utenti BYOD sono un sottogruppo degli utenti aziendali, gli utenti BYOD ereditano l'accesso SAML per le impostazioni di autenticazione degli utenti.

Un modello alternativo prevede di rendere gli utenti BYOD di livello equivalente degli utenti aziendali.

Questo diagramma mostra un modello di gerarchia di gruppo composto da gruppo principale e sottogruppo.

In questo modello alternativo, quanto segue è vero.

  • Tutti i profili del dispositivo si applicano globalmente a TUTTI i dispositivi, inclusi i criteri di conformità, mentre altre impostazioni di dispositivo applicabili globalmente si applicano a due gruppi invece che a uno. Il motivo di questa duplica è dato dal fatto che l'eredità dagli utenti aziendali agli utenti BYOD non è più contemplata in questo modello. Gli utenti aziendali e gli utenti BYOD sono di pari livello e, pertanto, non è prevista eredità.
  • È necessario applicare un'altra sostituzione SAML agli utenti BYOD. Questa sostituzione è necessaria perché il sistema presuppone l'eredità delle impostazioni SAML dal padre, ovvero gli amministratori. Questo presupposto è però errato poiché gli utenti BYOD non sono amministratori e non dispongono di accesso e autorizzazioni medesimi.
  • Gli utenti BYOD continuano a essere gestiti separatamente dagli utenti aziendali. Questo modello alternativo significa che continueranno a sfruttare le proprie impostazioni di profilo del dispositivo.

Quale fattore determina il modello più appropriato? Confronta il numero di impostazioni di dispositivo applicabili a livello globale con il numero di impostazioni di dispositivo specifiche per i gruppi. Fondamentalmente, se vuoi gestire tutti i dispositivi più o meno allo stesso modo, valuta di rendere gli utenti BYOD un sottogruppo degli utenti aziendali. Se è più importante gestire impostazioni separate, valuta di rendere gli utenti BYOD di pari livello rispetto agli utenti aziendali.

Limitazioni sui gruppi

Se si tenta di configurare un'impostazione limitata a un gruppo specifico, nelle pagine delle impostazioni in Gruppi e impostazioni > Tutte le impostazioni viene visualizzata una notifica che informa della limitazione.

Questa impostazione può essere attivata solo al livello del gruppo di tipo "Cliente".

Alla creazione di gruppi a livello cliente si applicano le seguenti limitazioni.

  • Sia che ci si trovi in un ambiente Software-as-a-Service (SaaS) che in un ambiente on-premise, non è possibile creare gruppi cliente nidificati.

Funzioni relative ai tipi di gruppo

Il tipo di un gruppo ha effetto sulle impostazioni che un amministratore può configurare.

  • Globale – il gruppo più alto. In genere, questo gruppo è denominato Globale ed è di tipo Globale.
    • Per gli ambienti SaaS ospitati, non è possibile accedere a questo gruppo.
    • I clienti locali possono attivare la registrazione dettagliata a questo livello.
  • Partner – gruppo di livello superiore per i partner (rivenditori di terze parti di Workspace ONE UEM ).
  • Cliente – il gruppo di livello superiore per ciascun cliente.
    • Un gruppo del cliente non può avere nessun sottogruppo/gruppo principale di tipo cliente.
    • Alcune impostazioni possono essere configurate solo al livello del gruppo del cliente. Queste impostazioni applicano un filtro alle organizzazioni inferiori. Alcuni esempi di tali impostazioni includono i domini di posta elettronica di individuazione automatica, le impostazioni di Volume Purchase Program, le impostazioni di Device Enrollment Program (prima di AirWatch 8.0) e il contenuto personale.
  • Contenitore – il tipo di gruppo predefinito.
    • Tutti i gruppi sotto un gruppo del cliente devono essere del tipo contenitore. Possono essere presenti contenitori tra i gruppi Cliente e Partner.
  • Potenziale cliente – potenziali clienti. Simile a un gruppo del cliente. Potrebbe avere meno funzionalità rispetto al gruppo di un cliente effettivo.

Sono disponibili ulteriori tipi di gruppo, ad esempio, Divisione, Regione, e la possibilità di definire il proprio tipo di gruppo. Tali tipi non presentano caratteristiche particolari e funzionano in modo identico al tipo di gruppo Contenitore.

Aggiungere dispositivi a livello globale

Il gruppo globale è progettato per ospitare Cliente e altri tipi di gruppi. A causa del funzionamento dell'eredità, se si aggiungono dispositivi a livello Globale e si configura quest'ultimo con impostazioni che abbiano effetto su tali dispositivi, saranno interessati anche tutti i sottogruppi Cliente. Ciò riduce i vantaggi della multiutenza e dell'eredità.

Per ulteriori informazioni, consulta Motivi per cui non è opportuno registrare i dispositivi in Globale.