Workspace ONE UEM は組織グループを使用してユーザーを識別し、アクセス許可を確立します。Workspace ONE UEM が Workspace ONE Access と連携すると、管理および登録ユーザーの REST API キーは、顧客と呼ばれる Workspace ONE UEM 組織グループ タイプで構成されます。
ユーザーがデバイスから Workspace ONE Intelligent Hub アプリケーションにログインすると、Workspace ONE Access 内でデバイス登録イベントがトリガされます。ユーザーおよびデバイスの組み合わせに資格が付与された任意のアプリケーションを取得するための要求が Workspace ONE UEM に送信されます。Workspace ONE UEM 内でユーザーを特定し、適切な組織グループにデバイスを配置するための要求が REST API を使用して送信されます。
Workspace ONE Access で組織グループを管理するには、Workspace ONE UEM 組織グループを Workspace ONE Access サービスのドメインにマッピングします。
Workspace ONE UEM 組織グループが Workspace ONE Access サービスのドメインにマッピングされていない場合、Workspace ONE Intelligent Hub アプリケーションは、REST API キーが作成された組織グループでユーザーの特定を試みます。これは、[顧客] グループです。
Workspace ONE UEM 自動検出の使用
Workspace ONE UEM Console で自動検出が設定されていることを確認します。顧客組織グループへの子グループで 1 つのディレクトリが構成されるとき、または一意の E メール ドメインを使用して顧客グループの下に複数のディレクトリが構成されるときに、自動検出を設定します。
例 1 では、自動検出のために組織の E メール ドメインが登録されます。ユーザーは、Workspace ONE Intelligent Hub ログイン ページに自分のメール アドレスのみを入力します。
この例では、NorthAmerica ドメインのユーザーが Workspace ONE Intelligent Hub アプリケーションにログインするときに、完全なメール アドレスを [email protected] として入力します。アプリケーションはドメインを検索し、NorthAmerica 組織グループ内にユーザーが存在するか、またはディレクトリ呼び出しを使用してユーザーを作成できるかを確認します。デバイスを登録できます。
Workspace ONE UEM 組織グループ マッピングの Workspace ONE Access ドメインへの使用
同じ E メール ドメインを使用して複数のディレクトリが構成されている場合、Workspace ONE Access サービスと Workspace ONE UEM 組織グループのマッピングを構成します。Workspace ONE Access コンソールの [統合] > [UEM 統合] ページで [ドメインを複数の組織グループにマップ] を有効にします。
[ドメインを複数の組織グループにマップ] オプションを有効にすると、Workspace ONE Access で構成されているドメインを Workspace ONE UEM 組織グループ ID にマッピングできます。管理者 REST API キーも要求されます。
例 2 では、2 つのドメインが別々の組織グループにマッピングされます。管理者 REST API キーが要求されます。同じ管理 REST API キーが両方の組織グループ ID に使用されます。
Workspace ONE Access コンソールの UEM 統合構成 ページで、各ドメインの固有の Workspace ONE UEM 組織グループ ID を構成します。
この構成では、ユーザーが自分のデバイスから Workspace ONE Intelligent Hub アプリケーションにログインすると、デバイス登録要求は組織グループ Europe 内の Domain3 のユーザーと、組織グループ AsiaPacific 内の Domain4 のユーザーを見つけようとします。
例 3 では、1 つのドメインが複数の Workspace ONE UEM 組織グループにマッピングされます。両方のディレクトリが E メール ドメインを共有します。ドメインは、同じ Workspace ONE UEM 組織グループをポイントします。
この構成では、ユーザーが Workspace ONE Intelligent Hub にログインすると、アプリケーションは、どのグループに登録するかの選択をユーザーに要求します。この例では、ユーザーは Engineering または Accounting のいずれかを選択できます。
正しい組織グループへのデバイスの配置
ユーザー レコードが正常に配置されると、デバイスが適切な組織グループに追加されます。Workspace ONE UEM 登録設定の [グループ ID 割り当てモード] によって、デバイスを配置する組織グループが決まります。この設定は、Workspace ONE UEM Console の [システム設定] > [デバイスとユーザー] > [全般] > [加入] > [グループ化] ページで行います。
例 4 では、すべてのユーザーは、Corporate 組織グループ レベルにあります。
デバイスの配置は、Corporate 組織グループでのグループ ID 割り当てモード用に選択した構成に依存します。
- [デフォルト] が選択されている場合、デバイスはユーザーが配置されているのと同じグループに配置されます。例 4 では、デバイスは Corporate グループに配置されます。
- [ユーザーがグループ ID を選択するようプロンプト表示する] が選択されている場合、自分のデバイスを登録するグループを選択するようユーザーに求められます。例 4 では、Workspace ONE Intelligent Hub アプリケーション内に Engineering と Accounting がオプションとして設けられたドロップダウン メニューがユーザーに表示されます。
- [ユーザー グループに基づき自動選択] が選択されている場合、デバイスは、ユーザー グループ割り当てと、Workspace ONE UEM コンソールの対応するマッピングに基づいて、Engineering または Accounting のいずれかに配置されます。
非表示グループの概念について
例 4 では、ユーザーに登録元の組織グループの選択が要求されるときに、ユーザーは Workspace ONE Intelligent Hub アプリケーションから提供されたリストに含まれていないグループ ID の値も入力できます。これが非表示グループの概念です。
例 5 では、Corporate 組織グループ構造に North America と Beta が Corporate の下のグループとして構成されています。
例 5 では、ユーザーは Workspace ONE Intelligent Hub アプリケーションにメール アドレスを入力します。認証後、ユーザーに選択肢として Engineering と Accounting が表示されたリストが示されます。Beta は表示されるオプションではありません。ユーザーが組織グループ ID を把握している場合、グループの選択テキスト ボックスに手動で Beta を入力することで、自分のデバイスを Beta に正常に登録できます。