組織グループは、木に例えるとその枝、デバイス ユーザーは葉に相当します。Workspace ONE UEM は、各葉を識別し、組織グループ(OG)を使用してファミリ ツリー内でのその地位を確立します。ほとんどのユーザーは、組織グループ ツリーを企業階層に見立てています。幹部、管理、運用、営業など。
Workspace ONE UEM 機能とコンテンツに基づいて組織構造を確立することもできます。
組織グループは、グループと設定 > グループ > 組織グループ > リスト表示 と進むか、あるいは組織グループ ドロップダウン メニューから閲覧することができます。
注:組織グループのリスト表示 では、「アクティブ デバイス」は、過去 8 時間に Workspace ONE UEM Console に報告を返したデバイスとして限定的に定義されています。
組織グループを使用することで、機能的/地理的/組織的エンティティのすべてに対応する、以下のようなマルチテナント対応のソリューションが可能になります。
組織グループのドロップダウン メニューを例に説明すると、プロファイル、機能、アプリケーション、その他の MDM 設定を 「World-Wide Enterprises 社」 レベルで設定できます。
設定は、AsiaPacific や EMEA などの子組織グループ、さらにその孫にあたる AsiaPacific > Manufacturing、さらにそのひ孫にあたる AsiaPacific > Operations > Corporate まで継承されます。
AsiaPacific や EMEA といった兄弟組織グループ間での設定は、別々に行うことで組織グループのマルチテナント機能を活用できるようになります。ただし、これら 2 つの兄弟 組織グループは、メイン組織グループである World Wide Enterprises の設定を継承します。
あるいは、サブ組織グループレベルで設定を上書きし、変更したい設定のみを変更してそれ以外は継承することも可能です。これらの設定はすべてのレベルに継承することも、任意のレベルで変更することも可能です。
Workspace ONE UEM コンソールで貴社の組織グループ階層構造をセットアップする前に、まずグループ構造を決めてください。そうすることで、設定、アプリケーションとリソースを最大限に活用することができます。
組織グループを変更するには、画面の右上にある組織グループインジケータを選択します。
選択すると、ドロップダウン メニューに貴社の組織グループ階層が表示され、別の組織グループに変更できます。
2 つの組織グループの設定を比較し、バージョン移行の際の問題を軽減することができます。この組織グループ比較機能は、オンプレミス展開でのみ利用可能です。
組織グループの設定を比較する場合、次のタスクを実行できます。
バージョン移行のシナリオの例として、受け入れテスト (UAT) サーバをアップグレード、構成、テストした場合、UAT の設定と本番環境の設定を直接比較できることが挙げられます。
グループと設定 > すべての設定 > 管理者 > 設定管理 > 設定の比較 と進みます。
左側のドロップダウン メニューで、貴社環境の組織グループを選択します (1 と表示されています)。または、[アップロード] ボタンをクリックし、エクスポート済みの組織グループ設定 XML ファイルを選択して、XML 設定ファイルをアップロードします。
デバイスが展開されている各ビジネス ユニットに組織グループを作成する必要があります。作業するユーザーが現在属している組織グループが、作成するサブ組織グループの親になります。
[グループと設定] > [グループ] > [組織グループ] > [詳細] の順に移動します。
サブ組織グループの追加 タブを選択し、以下の設定を行います。
設定 | 説明 |
---|---|
名前 | 表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の文字は使用できません。 |
グループ ID | この必要な組織グループ識別子は、エンド ユーザーがデバイスにログインする際、およびグループ デバイスを適切な組織グループに加入させる際に使用されます。 デバイスを共有するユーザーが、グループ ID を受け取っていることを確認してください。共有デバイスの構成によっては、デバイスのログイン時にユーザーによる [グループ ID] 入力が必要になります。 オンプレミス環境ではない場合、グループ ID は、共有 SaaS 環境全体にわたって組織グループを識別します。このため、すべてのグループ ID が一意である必要があります。 |
タイプ | サブ組織グループのカテゴリに適合する、事前構成されている組織グループ タイプを選択します。 |
国 | 組織グループが存在する国を選択します。 |
ロケール | 選択した国の言語分類を選択します。 |
カスタマーの業種 | このフィールド値は、タイプ の値が 「カスタマー」 である場合にのみ指定できます。「カスタマーの業種」 のリストから選択します。 |
タイム ゾーン | 組織グループが属しているタイム ゾーンを選択します。 |
[保存] を選択します。
組織グループ (OG) の子が含まれておらず、組織グループの下り線のどこにもデバイスが含まれていない場合は、組織グループを削除できます。
組織グループのドロップダウン メニューで、削除したい組織グループを選択して、その組織グループに移動します。
[グループと設定] > [グループ] > [組織グループ] > [詳細] の順に移動します。
詳細 画面の下部で、組織グループにあるデバイス と サブ組織グループ にあるデバイスの数を確認します。いずれかのエントリが 0 でない場合、組織グループは削除できず、削除 ボタンは使用できません。
すべてのデバイスをこの組織グループから別の組織グループに移動する必要があります。削除する組織グループのサブ組織グループの下り線にも、削除前にデバイスが含まれていないことが必要です。
組織グループにあるデバイス と サブ組織グループ の数が両方とも 0 になったら、組織グループの削除を続行できます。
次の手順を実行すると、任意の組織グループ (OG) のグループ ID を確認できます。
組織グループのドロップダウン メニューで、確認したい組織グループを選択して、その組織グループに移動します。
組織グループのラベルにマウス カーソルを重ねます。ポップアップに、現在選択されている組織グループの名前とグループ ID が表示されます。
組織グループごとのオーバーライド設定の概念は、継承やマルチテナントなどの組織グループ (OG) の特性と組み合わせた場合、さらに認証とも組み合わせることができます。この組み合わせにより、柔軟な構成を提供します。
次の組織グループ モデルはこのような柔軟性を示しています。
このモデルでは、管理者 は、一般に大きい権限と機能を所有し、この OG 分岐の最上部に位置します。これらの管理者は、管理者に特化した SAML を使用して OG にログインします。
企業ユーザーは管理者に従属しているので、それらの OG はその子として配置されます。管理者ではなくユーザーであり、その SAML ログイン設定は管理者設定を継承することはできません。そのため、企業ユーザーの SAML 設定がオーバーライドされます。
BYOD ユーザー は、企業ユーザーとは異なります。BYOD ユーザーによって使用されるデバイスはユーザー自身に属し、個人情報を含む可能性があります。そのため、これらのデバイス プロファイルには、若干異なる設定が必要になる場合があります。BYOD ユーザーには異なる利用規約同意書がある場合があります。BYOD デバイスには異なる企業情報ワイプ パラメータが必要な場合があります。これらすべての理由およびそれ以外のために、BYOD ユーザーが別の OG にログインすることは理にかなっているといえます。
また、BYOD ユーザーは企業階層の意味では企業ユーザーに従属しませんが、メリットがあるため企業ユーザーの子として配置されます。この配置は、企業ユーザー OG に適用することで、すべての企業ユーザー デバイスに適用可能な設定を BYOD ユーザーが継承することを意味します。
継承は、SAML 認証の設定にも適用されます。BYOD ユーザーは企業ユーザーの子であるため、ユーザー認証の設定に関して、BYOD ユーザーは企業ユーザーの SAML を継承します。
代替となるモデルは、BYOD ユーザーを企業ユーザーの兄弟にすることです。
この代替モデルでは以下が該当します。
どのモデルが最適かは何の要素によって決まりますか。グローバルに適用可能なデバイス設定の数を、グループ固有のデバイス設定の数と比較します。基本的には、すべてのデバイスをほとんどの場合に同じ方法で処理したい場合、BYOD ユーザーを企業ユーザーの子にすることを検討します。個別の設定を維持することがより重要な場合、BYOD ユーザーを企業ユーザーの兄弟にすることを検討します。
組織グループ (OG) による制限がある設定を構成しようとした場合、[グループと設定] > [すべての設定] と進んだときに表示される設定画面に、その制限の内容が表示されます。
カスタマーレベルの組織グループを作成する際には、以下の制限が適用されます。
組織グループのタイプにより、管理者が構成できる設定の内容が異なります。
部門、リージョンなど追加の組織グループ タイプがあり、独自の組織グループ タイプを定義することもできます。
組織グループ タイプを追加
カスタム組織グループ タイプを追加できます。特別な特性はなく、機能はコンテナ組織グループ タイプと同じです。
独自の組織グループ タイプを作成するには…
デバイスを最上位の組織グループ (グローバル) に直接加入させるべきではありません。これにはいくつか理由があります。その理由は、マルチテナンシー、継承、機能の 3 つです。
マルチテナンシー
サブ組織グループは必要な数だけ作成できます。また、各サブ組織グループを個別に構成します。あるサブ組織グループに適用する設定は、他のサブ組織グループに影響しません。
継承
メイン組織グループに加えた変更内容は、サブ組織グループにも適用されます。一方、サブ組織グループに加えた変更内容は、メイン組織グループおよび同位の組織グループに適用されません。
機能
「カスタマー」 タイプの組織グループに対してのみ構成できる設定と機能があります。それは、ワイプ保護、テレコム、および個人コンテンツです。トップレベルのグローバル組織グループに直接追加されたデバイスは、これらの設定および機能から除外されます。
グローバル組織グループは、「カスタマー」 およびその他のタイプの組織グループを所属させる目的で用意されているものです。設定は下位の組織グループに継承されるので、デバイスをグローバル組織グループに追加し、かつ、それらのデバイスに影響を及ぼす設定を使用してグローバル組織グループを構成する場合、その下位のすべてのカスタマー組織グループにも影響が及びます。つまり、マルチテナントと継承のメリットが活かされません。
作成する組織グループ (OG) 構造の階層によって、どの OG がサブであるか、メインであるかが決まります。サブ OG はメイン OG の設定を継承しますが、この継承をオーバーライドすることができます。
各システム設定ページは、組織グループ階層に関する次の 2 つのタイプの継承/オーバーライド オプションに従って設定を適用します。1)現在の設定と 2)子の権限。設定を適用する OG は現在の OG です。
つまり、Employees\Warehouse OG などにいる場合、設定に加えた変更は、その OG と、Warehouse OG の子であるすべての OG に適用されます。
たとえば、 [グループと設定] > [すべての設定] > [システム] > [ブランディング] に進むことで表示される ブランディング 設定ページは、組織グループ ドロップダウンに表示される OG のすべてのカスタム背景画像、ロゴ、テーマ カラーを制御します。
前の例で言うと、新しい背景画像、新しいロゴ、別のテーマ カラー、Employees\Warehouse OG 固有のすべてのものをインポートできます。Warehouse OG にのみ適用する設定を構成することもできます。このオプションは、設定ページのこの OG の継承を変更することで有効になります。
サブグループの権限
サブグループの権限設定は、サブ OG に対するメイン OG の姿勢として考えます。サブグループの権限には 3 つの異なる設定があります。継承またはオーバーライド、継承のみ、上書きのみ。
継承またはオーバーライド 設定は単純にメイン グループがサブグループの権限に優先されないことを意味します。メイン グループのサブグループの権限設定が 継承またはオーバーライド である場合、サブ OG の現在の設定で、設定をオーバーライドするか継承するかが決定されます。サブグループの権限は、デフォルトでは 継承またはオーバーライド に設定されます。
サブグループの権限設定がメイン グループに対して 継承のみ である場合、すべてのサブグループに継承が強制されます。この設定は、すべてのサブグループがメイン グループと同じ設定を持つことを意味します。サブグループの権限設定が オーバーライドのみの の場合、すべてのサブ OG に継承の影響がなくなり、そのサブ OG に固有の設定を構成する必要があります。
サブグループの権限設定は、1 レベル下のサブグループにのみ影響します。このような設定は、孫またはそれより低い OG には影響しません。
現在の設定
サブグループの権限が子に対する親の姿勢である場合、OG の現在の設定は親に対する子の姿勢です。現在の設定には、継承 または オーバーライド のみを指定できます。
現在の設定が 継承 である場合、サブ OG はメイン OG のすべての設定を受け入れることを意味します。現在の設定として オーバーライド を選択すると、サブグループはメイン グループを拒否し、サブグループ自体で設定します。オーバーライド選択は、サブグループ用の新しい設定を作成できることを意味します。
OG の現在の設定を変更できるのは、メイン OG のサブグループの権限の設定が 継承またはオーバーライド である場合のみです。
また前の例で説明すると、ブランディング 設定を Warehouse OG にのみ適用する場合は、Warehouse のそれぞれのサブ OG 用の現在の設定を オーバーライド に変更することができます(Warehouse のサブグループの権限が既定の 継承またはオーバーライド である場合)。その後、Warehouse のサブグループの ブランディング 設定を適切に構成できます。Warehouse と異なる設定にすることも、同じ設定にすることもできます。
権限設定の変更
メイン グループのサブグループの権限の設定で許可されていない場合、サブグループの現在の設定を変更することはできません。たとえば、MomandDadOG のサブグループの権限の設定が オーバーライドのみ である場合、JuniorOG の現在の設定を 継承 に変更することはできません。つまり、メイン OG のサブグループの権限の設定は、サブ OG の現在の設定よりも優先されます。
サブグループの現在の設定を オーバーライド から 継承 に変更した場合、そのメイン グループのサブグループの権限の設定を 継承のみ に変更すると、サブ OG のサブグループの権限の設定がロックされます。このシナリオでは、サブグループの権限の設定を変更できません。この動作は、サブ OG 設定がオーバーライドされない場合には適用されません。
この動作を回避するには、メイン OG のサブグループの権限の設定を 継承またはオーバーライド に戻し、サブ OG のサブグループの権限の設定をロック解除する必要があります。
より大規模で好ましい戦略は、事前に計画を立て、継承を構成し、必要な階層構造に対して適切な OG レベルに設定をオーバーライドすることです。