組織グループは、木に例えるとその枝、デバイス ユーザーは葉に相当します。Workspace ONE UEM powered by AirWatch はそれぞれの葉を識別して、木における葉の立場を、組織グループ (OG) を使用して構築します。ほとんどのお客様は、企業の階層(幹部、管理、運用、営業など)に基づいて OG の構成を構築します。

Workspace ONE UEM 機能とコンテンツに基づいて組織構造を確立することもできます。

組織グループは、[グループと設定] > [グループ] > [組織グループ] > [リスト表示] の順に進むか、あるいは組織グループ ドロップダウン メニューから閲覧することができます。

  • 組織内のエンティティのグループ(管理、月給、時給、営業、小売り、人事、経営など)を作成します。
  • 親子レベルを使用して階層をカスタマイズします(たとえば、「月給」と「時給」は「管理」の子になります)。
  • 複数の内部インフラをその階層レベルで統合
  • マルチテナント構造により役割に基づいてアクセス/管理権限を委譲
注: [組織グループのリスト表示] では、「アクティブ デバイス」は、過去 8 時間に Workspace ONE UEM Console にレポートしたデバイスとして限定的に定義されています。

組織グループの特長

組織グループを使用することで、機能的/地理的/組織的エンティティのすべてに対応する、以下のようなマルチテナント対応のソリューションが可能になります。

  • [高拡張性] – 急成長する企業を完全にサポート
  • [マルチテナント性] – 独立環境として機能するグループを作成
  • [継承] – メイン グループの構成をサブグループに継承することでセットアップ プロセスを効率化

組織グループのドロップダウン メニューを例に説明すると、任意のプロファイル、機能、アプリケーション、その他の MDM 設定を 「World-Wide Enterprises 社」 レベルで設定できます。

設定は、[AsiaPacific][EMEA] などのサブ組織グループからその下の [AsiaPacific] > [Manufacturing]、さらには [AsiaPacific] > [Operations] > [Corporate] へと継承されていきます。

[AsiaPacific][EMEA] といった兄弟組織グループ間での設定は、別々に行うことで組織グループのマルチテナント機能を活用できるようになります。ただし、これら 2 つの兄弟 組織グループは、メイン組織グループである [World Wide Enterprises ]の設定を継承します。

あるいは、サブ組織グループレベルで設定を上書きし、変更したい設定のみを変更してそれ以外は継承することも可能です。これらの設定はすべてのレベルに継承することも、任意のレベルで変更することも可能です。

組織グループをセットアップする際の検討事項

Workspace ONE UEM Console で貴社の組織グループ階層構造をセットアップする前に、まずグループ構造を決めてください。そうすることで、設定、アプリケーションとリソースを最大限に活用することができます。

  • [代理管理者] – 下位の管理者にサブ組織グループのみの制限された可視性を与え、管理権限を委任します。
  • [企業管理者] は、この環境内のすべての情報を閲覧することができる。
  • [LA マネージャ] は LA 組織グループに対するアクセス権限を持ち、この組織グループに属するデバイスのみを管理することができる。
  • [NY マネージャ] は NY 組織グループに対するアクセス権限を持ち、この組織グループに属するデバイスのみを管理することができる。
  • [システム設定] – 設定は組織グループの異なるレベルで適用でき、継承することができます。どのレベルでも上書きを行うことができます。設定にはデバイス加入オプション、認証方法、プライバシー設定とブランディングが含まれます。
  • [企業全体] で企業の Active Directory サーバへの加入設定を確立する。
  • [ドライバ デバイス] は、上位グループの認証設定を上書きし、トークンによる加入を許可する。
  • [倉庫デバイス] は、メイン グループの Active Directory 設定を継承する。
  • [デバイス ユース ケース] – プロファイルは 1 つまたは複数の組織グループに割り当てることができます。該当グループに属するデバイスはそのプロファイルを受け取ります。詳細は、「プロファイル」 セクションを参照してください。デバイス メイク、モデル、所有形態やユーザー グループといったデバイス属性に基づき、プロファイル、アプリケーション、コンテンツ設定を使用して、組織グループを作成する前にデバイス構成を行うことをお勧めします。
  • [エグゼクティブ] デバイスは、アプリケーションをインストールすることはできないが、Wi-Fi セールス ネットワークへのアクセスを許可。
  • [セールス] デバイスには、アプリケーションのインストールと VPN アクセスを許可。

2 つの組織グループを比較する

2 つの組織グループの設定を比較し、バージョン移行の際の問題を軽減することができます。この組織グループ比較機能は、オンプレミス展開でのみ利用可能です。

組織グループの設定を比較する場合、次のタスクを実行できます。

  • Workspace ONE UEM の異なるソフトウェア バージョンの組織グループの設定を含む XML ファイルをアップロードする
  • バージョンの移行の際に、構成の相違が元で問題が発生する可能性をなくす。
  • 比較結果をフィルタにかけ、比較したい項目のみの結果を表示する
  • 検索機能に設定の名前を入力し、特定の設定を確認する

バージョン移行のシナリオの例として、受け入れテスト (UAT) サーバをアップグレード、構成、テストした場合、UAT の設定と本番環境の設定を直接比較できることが挙げられます。

  1. [グループと設定] > [すべての設定] > [管理者] > [設定管理] > [設定の比較] の順に進みます。
  2. 左側のドロップダウン メニューで、貴社環境の組織グループを選択します([1] と表示されています)。または、[[アップロード]] ボタンをクリックし、エクスポート済みの組織グループ設定 XML ファイルを選択して、XML 設定ファイルをアップロードします。
  3. 右側のドロップダウン メニューで、比較対象の組織グループを選択します ([2] と表示されています)。
  4. [更新] ボタンを選択し、選択された両方の組織グループのすべての設定一覧を表示します。
    • 2 つの組織グループ間の設定の相違は自動的にハイライトされます。
    • [[違いのみを表示]] チェック ボックスをオンにすることもできます。この場合、一方の組織グループにのみ適用されている設定だけが表示されます。
    • 空白または特定されていない設定は、比較設定リストで 「NULL」 と表示されます。

組織グループを作成する

デバイスが展開されている各ビジネス ユニットに組織グループを作成する必要があります。作業するユーザーが現在属している組織グループが、作成するサブ組織グループの親になります。

  1. [グループと設定] > [グループ] > [組織グループ] > [詳細] の順に進みます。
  2. [サブ組織グループの追加] タブを選択し、以下の設定を行います。
    設定 説明
    名前 表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の文字は使用できません。
    グループ ID

    エンド ユーザーがデバイスのログイン時に使用する組織グループの ID を入力します。グループ ID は、加入時にデバイスを適切な組織グループに分類するために使用されます。

    デバイスを共有するユーザーが、[グループ ID] を受け取っていることを確認してください。共有デバイスの構成によっては、デバイスのログイン時にユーザーによる [グループ ID] 入力が必要になります。

    オンプレミス環境ではない場合、グループ ID は、共有 SaaS 環境全体にわたって組織グループを識別します。このため、すべてのグループ ID が一意である必要があります。

    タイプ サブ組織グループのカテゴリに適合する、事前構成されている組織グループ タイプを選択します。
    組織グループが存在する国を選択します。
    ロケール 選択した国の言語分類を選択します。
    カスタマーの業種 このフィールド値は、[タイプ] の値が 「カスタマー」 である場合にのみ指定できます。「カスタマーの業種」 のリストから選択します。
    タイム ゾーン 組織グループが属しているタイム ゾーンを選択します。
  3. [[保存]] を選択します。

任意の組織グループのグループ ID の確認

次の手順を実行すると、任意の組織グループのグループ ID を確認できます。

  1. 組織グループのドロップダウン メニューで、確認したい組織グループを選択して、その組織グループに移動します。
  2. 組織グループのラベルにマウス カーソルを重ねます。ポップアップに、現在選択されている組織グループの名前とグループ ID が表示されます。

継承、マルチテナント、および認証

組織グループごとのオーバーライド設定の概念は、継承やマルチテナントなどの組織グループ (OG) の特性と組み合わせた場合、さらに認証とも組み合わせることができます。この組み合わせにより、柔軟な構成を提供します。

次の組織グループ モデルはこのような柔軟性を示しています。

この図は、親、子、および孫で構成される組織グループの階層モデルを示しています。

このモデルでは、[管理者] は、一般に大きい権限と機能を所有し、この OG 分岐の最上部に位置します。これらの管理者は、管理者に特化した SAML を使用して OG にログインします。

[企業ユーザー]は管理者に従属しているので、それらの OG はその子として配置されます。管理者ではなくユーザーであり、その SAML ログイン設定は管理者設定を継承することはできません。そのため、企業ユーザーの SAML 設定がオーバーライドされます。

[BYOD ユーザー] は、企業ユーザーとは異なります。BYOD ユーザーによって使用されるデバイスはユーザー自身に属し、個人情報を含む可能性があります。そのため、これらのデバイス プロファイルには、若干異なる設定が必要になる場合があります。BYOD ユーザーには異なる利用規約同意書がある場合があります。BYOD デバイスには異なる企業情報ワイプ パラメータが必要な場合があります。これらすべての理由およびそれ以外のために、BYOD ユーザーが別の OG にログインすることは理にかなっているといえます。

また、BYOD ユーザーは企業階層の意味では企業ユーザーに従属しませんが、メリットがあるため企業ユーザーの子として配置されます。この配置は、企業ユーザー OG に適用するだけですべての企業ユーザー デバイスに適用可能な設定を BYOD ユーザーが継承することを意味します。

継承は、SAML 認証の設定にも適用されます。BYOD ユーザーは企業ユーザーの子であるため、ユーザー認証の設定に関して、BYOD ユーザーは企業ユーザーの SAML を継承します。

代替となるモデルは、BYOD ユーザーを企業ユーザーの兄弟にすることです。

この図は、メイン グループと 2 つのサブグループで構成される組織グループの階層モデルを示しています。

この代替モデルでは以下が該当します。

  • 順守ポリシーを含め、すべてのデバイスにグローバルに適用されることが意図されるすべてのデバイス プロファイル、およびその他のグローバルに適用可能なデバイス設定は、1 つではなく 2 つの組織グループに適用されます。この重複が必要な理由は、企業ユーザーから BYOD ユーザーへの継承はこのモデルの要素ではないためです。企業ユーザーと BYOD ユーザーはピアであり、したがって継承はありません。
  • 別の SAML オーバーライドは BYOD ユーザーに適用する必要があります。システムは親である管理者から SAML 設定を継承することを前提としているので、このオーバーライドが必要です。BYOD ユーザーは管理者ではなく同じアクセスや権限がないため、このような前提は誤りです。
  • BYOD ユーザーは、引き続き企業ユーザーから個別に扱われます。この代替モデルは、BYOD ユーザーが独自のデバイス プロファイル設定の利用を継続することを意味します。

どのモデルが最適かは何の要素によって決まりますか。グローバルに適用可能なデバイス設定の数を、グループ固有のデバイス設定の数と比較します。基本的には、すべてのデバイスをほとんどの場合に同じ方法で処理したい場合、BYOD ユーザーを企業ユーザーの子にすることを検討します。個別の設定を維持することがより重要な場合、BYOD ユーザーを企業ユーザーの兄弟にすることを検討します。

組織グループによる制限事項

組織グループ (OG) による制限がある設定を構成しようとした場合、[グループと設定] > [すべての設定] の順に進んだときに表示される設定画面に、その制限の内容が表示されます。

この設定は、組織グループ タイプが「カスタマー」の場合のみ有効になります。

カスタマーレベルの組織グループを作成する際には、以下の制限が適用されます。

  • SaaS 環境とオンプレミス環境のいずれでも、ネストされたカスタマー組織グループを作成することはできません。

組織グループ タイプの機能

組織グループのタイプにより、管理者が構成できる設定の内容が異なります。

  • [[グローバル] ]– 最上位の組織グループ。通常、このグループはグローバルと呼ばれ、タイプがグローバルです。
    • ホストされる SaaS 環境では、このグループにアクセスできません。
    • オンプレミスのお客様は、このレベルでの詳細ログ収集をオンにすることができます。
  • [パートナー] – パートナーの最上位レベルの組織グループ(Workspace ONE UEM のサードパーティ リセラー)。
  • [[カスタマー] ]– お客様ごとの最上位の組織グループです。
    • カスタマー組織グループには、カスタマー タイプであるサブ/メイン組織グループを設定できません。
    • 一部の設定は、カスタマー グループでのみ構成できます。そのような設定は、下位組織にフィルタを適用します。たとえば、自動検出の Eメール ドメイン、Volume Purchase Program 設定、デバイス登録プログラム設定(AirWatch 8.0 以前)、個人コンテンツなどがあります。
  • [コンテナ] – 既定の組織グループ タイプ。
    • カスタマー組織グループの下にあるすべての組織グループは、コンテナ タイプでなければなりません。パートナー グループとカスタマー グループの間でコンテナを使用できます。
  • [見込] – 潜在的なお客様です。カスタマー組織グループに似ています。実際のカスタマー グループよりも機能が少ない場合があります。

部門、リージョンなど追加の組織グループ タイプがあり、独自の組織グループ タイプを定義することもできます。特別な特性はなく、機能はコンテナ組織グループ タイプと同じです。

[グローバルでデバイスを追加する]

グローバル組織グループは、「カスタマー」 およびその他のタイプの組織グループを所属させる目的で用意されているものです。設定は下位の組織グループに継承されるので、デバイスをグローバル組織グループに追加し、かつ、それらのデバイスに影響を及ぼす設定を使用してグローバル組織グループを構成する場合、その下位のすべてのカスタマー組織グループにも影響が及びます。つまり、マルチテナントと継承のメリットが活かされません。

詳細については、「デバイスをグローバル レベルで加入させるべきでない理由」を参照してください。