組織グループは、木に例えるとその枝、デバイス ユーザーは葉に相当します。Workspace ONE UEM powered by AirWatch はそれぞれの葉を識別して、木における葉の立場を、組織グループ (OG) を使用して構築します。ほとんどのお客様は、企業の階層(幹部、管理、運用、営業など)に基づいて OG の構成を構築します。

Workspace ONE UEM 機能とコンテンツに基づいて組織構造を確立することもできます。

組織グループは、[グループと設定] > [グループ] > [組織グループ] > [リスト表示] の順に進むか、あるいは組織グループ ドロップダウン メニューから閲覧することができます。

  • 組織内のエンティティのグループ(管理、月給、時給、営業、小売り、人事、経営など)を作成します。
  • 親子レベルを使用して階層をカスタマイズします(たとえば、「月給」と「時給」は「管理」の子になります)。
  • 複数の内部インフラをその階層レベルで統合
  • マルチテナント構造により役割に基づいてアクセス/管理権限を委譲
注: [組織グループのリスト表示] では、「アクティブ デバイス」は、過去 8 時間に Workspace ONE UEM Console にレポートしたデバイスとして限定的に定義されています。

組織グループの特長

組織グループを使用することで、機能的/地理的/組織的エンティティのすべてに対応する、以下のようなマルチテナント対応のソリューションが可能になります。

  • [高拡張性] – 急成長する企業を完全にサポート
  • [マルチテナント性] – 独立環境として機能するグループを作成
  • [継承] – メイン グループの構成をサブグループに継承することでセットアップ プロセスを効率化

組織グループのドロップダウン メニューを例に説明すると、任意のプロファイル、機能、アプリケーション、その他の MDM 設定を 「World-Wide Enterprises 社」 レベルで設定できます。

設定は、[AsiaPacific][EMEA] などのサブ組織グループからその下の [AsiaPacific] > [Manufacturing]、さらには [AsiaPacific] > [Operations] > [Corporate] へと継承されていきます。

[AsiaPacific][EMEA] といった兄弟組織グループ間での設定は、別々に行うことで組織グループのマルチテナント機能を活用できるようになります。ただし、これら 2 つの兄弟 組織グループは、メイン組織グループである [World Wide Enterprises ]の設定を継承します。

あるいは、サブ組織グループレベルで設定を上書きし、変更したい設定のみを変更してそれ以外は継承することも可能です。これらの設定はすべてのレベルに継承することも、任意のレベルで変更することも可能です。

組織グループをセットアップする際の検討事項

Workspace ONE UEM Console で貴社の組織グループ階層構造をセットアップする前に、まずグループ構造を決めてください。そうすることで、設定、アプリケーションとリソースを最大限に活用することができます。

  • [代理管理者] – 下位の管理者にサブ組織グループのみの制限された可視性を与え、管理権限を委任します。
  • [企業管理者] は、この環境内のすべての情報を閲覧することができる。
  • [LA マネージャ] は LA 組織グループに対するアクセス権限を持ち、この組織グループに属するデバイスのみを管理することができる。
  • [NY マネージャ] は NY 組織グループに対するアクセス権限を持ち、この組織グループに属するデバイスのみを管理することができる。
  • [システム設定] – 設定は組織グループの異なるレベルで適用され、継承されます。どのレベルでも上書きを行うことができます。設定にはデバイス加入オプション、認証方法、プライバシー設定とブランディングが含まれます。
  • [企業全体] で企業の Active Directory サーバへの加入設定を確立する。
  • [ドライバ デバイス] は、上位グループの認証設定を上書きし、トークンによる加入を許可する。
  • [倉庫デバイス] は、メイン グループの Active Directory 設定を継承する。
  • [デバイス ユース ケース] – プロファイルは 1 つまたは複数の組織グループに割り当てることができます。該当グループに属するデバイスはそのプロファイルを受け取ります。詳細は、「プロファイル」 セクションを参照してください。デバイス メイク、モデル、所有形態やユーザー グループといったデバイス属性に基づき、プロファイル、アプリケーション、コンテンツ設定を使用して、組織グループを作成する前にデバイス構成を行うことをお勧めします。
  • [エグゼクティブ] デバイスは、アプリケーションをインストールすることはできないが、Wi-Fi セールス ネットワークへのアクセスを許可。
  • [セールス] デバイスには、アプリケーションのインストールと VPN アクセスを許可。

組織グループの変更

組織グループを変更するには、画面の右上にある組織グループインジケータを選択します。

選択すると、ドロップダウン メニューに貴社の組織グループ階層が表示され、別の組織グループに変更できます。

2 つの組織グループを比較する

2 つの組織グループの設定を比較し、バージョン移行の際の問題を軽減することができます。この組織グループ比較機能は、オンプレミス展開でのみ利用可能です。

組織グループの設定を比較する場合、次のタスクを実行できます。

  • Workspace ONE UEM の異なるソフトウェア バージョンの組織グループの設定を含む XML ファイルをアップロードする
  • バージョンの移行の際に、構成の相違が元で問題が発生する可能性をなくす。
  • 比較結果をフィルタにかけ、比較したい項目のみの結果を表示する
  • 検索機能に設定の名前を入力し、特定の設定を確認する

バージョン移行のシナリオの例として、受け入れテスト (UAT) サーバをアップグレード、構成、テストした場合、UAT の設定と本番環境の設定を直接比較できることが挙げられます。

  1. [グループと設定] > [すべての設定] > [管理者] > [設定管理] > [設定の比較] の順に進みます。
  2. 左側のドロップダウン メニューで、貴社環境の組織グループを選択します([1] と表示されています)。または、[[アップロード]] ボタンをクリックし、エクスポート済みの組織グループ設定 XML ファイルを選択して、XML 設定ファイルをアップロードします。
  3. 右側のドロップダウン メニューで、比較対象の組織グループを選択します ([2] と表示されています)。
  4. [更新] ボタンを選択し、選択された両方の組織グループのすべての設定一覧を表示します。
    • 2 つの組織グループ間の設定の相違はハイライトされます。
    • [[違いのみを表示]] チェック ボックスをオンにすることもできます。この場合、一方の組織グループにのみ適用されている設定だけが表示されます。
    • 空白または特定されていない設定は、比較設定リストで 「NULL」 と表示されます。

組織グループを作成する

デバイスが展開されている各ビジネス ユニットに組織グループを作成する必要があります。作業するユーザーが現在属している組織グループが、作成するサブ組織グループの親になります。

  1. [グループと設定] > [グループ] > [組織グループ] > [詳細] の順に進みます。
  2. [サブ組織グループの追加] タブを選択し、以下の設定を行います。
    設定 説明
    名前 表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の文字は使用できません。
    グループ ID

    エンド ユーザーがデバイスのログイン時に使用する組織グループの ID を入力します。グループ ID は、加入時にデバイスを適切な組織グループに分類するために使用されます。

    デバイスを共有するユーザーが、[グループ ID] を受け取っていることを確認してください。共有デバイスの構成によっては、デバイスのログイン時にユーザーによる [グループ ID] 入力が必要になります。

    オンプレミス環境ではない場合、グループ ID は、共有 SaaS 環境全体にわたって組織グループを識別します。このため、すべてのグループ ID が一意である必要があります。

    タイプ サブ組織グループのカテゴリに適合する、事前構成されている組織グループ タイプを選択します。
    組織グループが存在する国を選択します。
    ロケール 選択した国の言語分類を選択します。
    カスタマーの業種 このフィールド値は、[タイプ] の値が 「カスタマー」 である場合にのみ指定できます。「カスタマーの業種」 のリストから選択します。
    タイム ゾーン 組織グループが属しているタイム ゾーンを選択します。
  3. [[保存]] を選択します。

組織グループを削除する

組織グループ (OG) の子が含まれておらず、組織グループの下り線のどこにもデバイスが含まれていない場合は、組織グループを削除できます。
  1. 組織グループのドロップダウン メニューで、削除したい組織グループを選択して、その組織グループに移動します。

  2. [グループと設定] > [グループ] > [組織グループ] > [詳細] の順に進みます。
  3. [詳細] 画面の下部で、[組織グループにあるデバイス][サブ組織グループ] にあるデバイスの数を確認します。いずれかのエントリが 0 でない場合、組織グループは削除できず、[削除] ボタンは使用できません。

    すべてのデバイスをこの組織グループから別の組織グループに移動する必要があります。削除する組織グループのサブ組織グループの下り線にも、削除前にデバイスが含まれていないことが必要です。

  4. [組織グループにあるデバイス][サブ組織グループ] の数が両方とも 0 になったら、組織グループの削除を続行できます。
  5. [削除] ボタンを選択します
  6. [制限された操作 - 組織グループの削除] 画面が表示され、組織グループを削除する前に必要な準備について警告が表示されます。
  7. 削除を続行するには、4 桁のセキュリティ暗証番号(UEM 管理者として加入するときに選択したもの)を入力する必要があります。この PIN をリセットするには、セキュリティ暗証番号をお忘れですか? リンクを選択します。

任意の組織グループのグループ ID の確認

次の手順を実行すると、任意の組織グループ (OG) のグループ ID を確認できます。

  1. 組織グループのドロップダウン メニューで、確認したい組織グループを選択して、その組織グループに移動します。

  2. 組織グループのラベルにマウス カーソルを重ねます。ポップアップに、現在選択されている組織グループの名前とグループ ID が表示されます。

継承、マルチテナント、および認証

組織グループごとのオーバーライド設定の概念は、継承やマルチテナントなどの組織グループ (OG) の特性と組み合わせた場合、さらに認証とも組み合わせることができます。この組み合わせにより、柔軟な構成を提供します。

次の組織グループ モデルはこのような柔軟性を示しています。

この図は、親、子、および孫で構成される組織グループの階層モデルを示しています。

このモデルでは、[管理者] は、一般に大きい権限と機能を所有し、この OG 分岐の最上部に位置します。これらの管理者は、管理者に特化した SAML を使用して OG にログインします。

[企業ユーザー]は管理者に従属しているので、それらの OG はその子として配置されます。管理者ではなくユーザーであり、その SAML ログイン設定は管理者設定を継承することはできません。そのため、企業ユーザーの SAML 設定がオーバーライドされます。

[BYOD ユーザー] は、企業ユーザーとは異なります。BYOD ユーザーによって使用されるデバイスはユーザー自身に属し、個人情報を含む可能性があります。そのため、これらのデバイス プロファイルには、若干異なる設定が必要になる場合があります。BYOD ユーザーには異なる利用規約同意書がある場合があります。BYOD デバイスには異なる企業情報ワイプ パラメータが必要な場合があります。これらすべての理由およびそれ以外のために、BYOD ユーザーが別の OG にログインすることは理にかなっているといえます。

また、BYOD ユーザーは企業階層の意味では企業ユーザーに従属しませんが、メリットがあるため企業ユーザーの子として配置されます。この配置は、企業ユーザー OG に適用することで、すべての企業ユーザー デバイスに適用可能な設定を BYOD ユーザーが継承することを意味します。

継承は、SAML 認証の設定にも適用されます。BYOD ユーザーは企業ユーザーの子であるため、ユーザー認証の設定に関して、BYOD ユーザーは企業ユーザーの SAML を継承します。

代替となるモデルは、BYOD ユーザーを企業ユーザーの兄弟にすることです。

この図は、メイン グループと 2 つのサブグループで構成される組織グループの階層モデルを示しています。

この代替モデルでは以下が該当します。

  • 順守ポリシーを含め、すべてのデバイスにグローバルに適用されることが意図されるすべてのデバイス プロファイル、およびその他のグローバルに適用可能なデバイス設定は、1 つではなく 2 つの組織グループに適用されます。この重複が必要な理由は、企業ユーザーから BYOD ユーザーへの継承はこのモデルの要素ではないためです。企業ユーザーと BYOD ユーザーはピアであり、したがって継承はありません。
  • 別の SAML オーバーライドは BYOD ユーザーに適用する必要があります。システムは親である管理者から SAML 設定を継承することを前提としているので、このオーバーライドが必要です。BYOD ユーザーは管理者ではなく同じアクセスや権限がないため、このような前提は誤りです。
  • BYOD ユーザーは、引き続き企業ユーザーから個別に扱われます。この代替モデルは、BYOD ユーザーが独自のデバイス プロファイル設定の利用を継続することを意味します。

どのモデルが最適かは何の要素によって決まりますか。グローバルに適用可能なデバイス設定の数を、グループ固有のデバイス設定の数と比較します。基本的には、すべてのデバイスをほとんどの場合に同じ方法で処理したい場合、BYOD ユーザーを企業ユーザーの子にすることを検討します。個別の設定を維持することがより重要な場合、BYOD ユーザーを企業ユーザーの兄弟にすることを検討します。

組織グループによる制限事項

組織グループ (OG) による制限がある設定を構成しようとした場合、[グループと設定] > [すべての設定] の順に進んだときに表示される設定画面に、その制限の内容が表示されます。

この設定は、組織グループ タイプが「カスタマー」の場合のみ有効になります。

カスタマーレベルの組織グループを作成する際には、以下の制限が適用されます。

  • SaaS 環境とオンプレミス環境のいずれでも、ネストされたカスタマー組織グループを作成することはできません。

組織グループ タイプの機能とカスタマイズ

組織グループのタイプにより、管理者が構成できる設定の内容が異なります。

  • [[グローバル] ]– 最上位の組織グループ。通常、このグループはグローバルと呼ばれ、タイプがグローバルです。
    • ホストされる SaaS 環境では、このグループにアクセスできません。
    • オンプレミスのお客様は、このレベルでの詳細ログ収集をオンにすることができます。
  • [[カスタマー] ]– お客様ごとの最上位の組織グループです。
    • カスタマー組織グループには、カスタマー タイプであるサブ/メイン組織グループを設定できません。
    • 基本的なワークフローは、カスタマー タイプの OG 内または階層内でのみ実行できます。これらのワークフローには、デバイスの追加、デバイスの登録と加入、ユーザー グループのマッピング、スマート グループの作成とマッピング、デバイス上の OG の変更(または OG 間のデバイス移動)、デバイスのチェックアウトが含まれます
    • 一部の設定は、カスタマー グループでのみ構成できます。そのような設定は、下位 OG にフィルタを適用します。たとえば、自動検出の E メール ドメイン、Volume Purchase Program 設定、デバイス加入プログラム設定(AirWatch 8.0 以前)、個人コンテンツなどがあります。
  • [コンテナ] – 既定の組織グループ タイプ。
    • カスタマー組織グループの下にあるすべての組織グループは、コンテナ タイプでなければなりません。パートナー グループとカスタマー グループの間でコンテナを使用できます。
  • [パートナー] – パートナーの最上位レベルの組織グループ(Workspace ONE UEM のサードパーティ リセラー)。
  • [見込] – 潜在的なお客様です。カスタマー組織グループに類似していますが、 一部、利用できない機能がある場合があります。

部門、リージョンなど追加の組織グループ タイプがあり、独自の組織グループ タイプを定義することもできます。

[組織グループ タイプを追加]

カスタム組織グループ タイプを追加できます。特別な特性はなく、機能はコンテナ組織グループ タイプと同じです。

独自の組織グループ タイプを作成するには...
  1. [グループと設定] > [グループ] > [組織グループ] > [タイプ] の順に進み、[組織グループ タイプを追加] ボタンを選択します。
  2. 組織グループ タイプの [名前][説明] を入力します。
  3. [[保存]] を選択します。

デバイスをグローバル レベルで加入させるべきでない理由

デバイスを最上位の組織グループ (グローバル) に直接加入させるべきではありません。これにはいくつか理由があります。その理由は、マルチテナンシー、継承、機能の 3 つです。

[マルチテナンシー]

サブ組織グループは必要な数だけ作成できます。また、各サブ組織グループを個別に構成します。あるサブ組織グループに適用する設定は、他のサブ組織グループに影響しません。

[継承]

メイン組織グループに加えた変更内容は、サブ組織グループにも適用されます。一方、サブ組織グループに加えた変更内容は、メイン組織グループおよび同位の組織グループに適用されません。

[機能]

「カスタマー」 タイプの組織グループに対してのみ構成できる設定と機能があります。それは、ワイプ保護、テレコム、および個人コンテンツです。トップレベルのグローバル組織グループに直接追加されたデバイスは、これらの設定および機能から除外されます。

グローバル組織グループは、「カスタマー」 およびその他のタイプの組織グループを所属させる目的で用意されているものです。設定は下位の組織グループに継承されるので、デバイスをグローバル組織グループに追加し、かつ、それらのデバイスに影響を及ぼす設定を使用してグローバル組織グループを構成する場合、その下位のすべてのカスタマー組織グループにも影響が及びます。つまり、マルチテナントと継承のメリットが活かされません。

組織グループに関する設定を上書き/継承する

作成する組織グループ (OG) 構造の階層によって、どの OG がサブであるか、メインであるかが決まります。サブ OG はメイン OG の設定を継承しますが、この継承をオーバーライドすることができます。

各システム設定ページは、組織グループ階層に関する 2 つのタイプ(1) 現在の設定と 2) 子の権限)の継承/オーバーライド オプションに従って設定を適用します。設定を適用する OG は現在の OG です。

つまり、Employees\Warehouse OG などにいる場合、設定に加えた変更は、その OG と、Warehouse OG の子であるすべての OG に適用されます。

たとえば、[グループと設定] > [すべての設定] > [システム] > [ブランディング] に進むことで表示される [ブランディング] 設定ページは、組織グループ ドロップダウンに表示される OG のすべてのカスタム背景画像、ロゴ、テーマ カラーを制御します。

前の例で言うと、新しい背景画像、新しいロゴ、別のテーマ カラー、Employees\Warehouse OG 固有のすべてのものをインポートできます。Warehouse OG [にのみ] 適用する設定を構成することもできます。このオプションは、設定ページのこの OG の継承を変更することで有効になります。

[サブグループの権限]

サブグループの権限設定は、サブ OG に対するメイン OG の姿勢として考えます。サブグループの権限には、[継承またはオーバーライド][継承のみ][オーバーライドのみ] の 3 つの異なる設定があります。

[継承またはオーバーライド] 設定は単純にメイン グループがサブグループの権限に優先されないことを意味します。メイン グループのサブグループの権限設定が [継承またはオーバーライド] である場合、サブ OG の現在の設定で、設定をオーバーライドするか継承するかが決定されます。サブグループの権限は、デフォルトでは [継承またはオーバーライド] に設定されます。

サブグループの権限設定がメイン グループに対して [継承のみ] である場合、すべてのサブグループに継承が強制されます。この設定は、すべてのサブグループがメイン グループと同じ設定を持つことを意味します。サブグループの権限設定が [オーバーライドのみの] の場合、すべてのサブ OG に継承の影響がなくなり、そのサブ OG に固有の設定を構成する必要があります。

サブグループの権限設定は、1 レベル下のサブグループにのみ影響します。このような設定は、孫またはそれより低い OG には影響しません。

[現在の設定]

サブグループの権限が子に対する親の姿勢である場合、OG の現在の設定は親に対する子の姿勢です。現在の設定には、[継承] または [オーバーライド] のみを指定できます。

現在の設定が [継承] である場合、サブ OG はメイン OG のすべての設定を受け入れることを意味します。現在の設定として [オーバーライド ] を選択すると、サブグループはメイン グループを拒否し、サブグループ自体で設定します。オーバーライド選択は、サブグループ用の新しい設定を作成できることを意味します。

OG の現在の設定を変更できるのは、メイン OG のサブグループの権限の設定が [継承またはオーバーライド] である場合のみです。

また前の例で説明すると、[ブランディング] 設定を Warehouse OG にのみ 適用する場合は、Warehouse のそれぞれのサブ OG 用の現在の設定を [オーバーライド] に変更することができます(Warehouse のサブグループの権限が既定の [継承またはオーバーライド] である場合)。その後、Warehouse のサブグループの [ブランディング] 設定を適切に構成できます。Warehouse と異なる設定にすることも、同じ設定にすることもできます。

[権限設定の変更]

メイン グループのサブグループの権限の設定で許可されていない場合、サブグループの現在の設定を変更することはできません。たとえば、MomandDadOG のサブグループの権限の設定が [オーバーライドのみ] である場合、JuniorOG の現在の設定を [継承] に変更することはできません。つまり、メイン OG のサブグループの権限の設定は、サブ OG の現在の設定よりも優先されます。

サブグループの現在の設定を [オーバーライド] から [継承] に変更した場合、そのメイン グループのサブグループの権限の設定を [継承のみ] に変更すると、サブ OG のサブグループの権限の設定がロックされます。このシナリオでは、サブグループの権限の設定を変更できません。この動作は、サブ OG 設定がオーバーライドされない場合には適用されません。

この動作を回避するには、メイン OG のサブグループの権限の設定を [継承またはオーバーライド] に戻し、サブ OG のサブグループの権限の設定をロック解除する必要があります。

より大規模な戦略は、事前に計画を立て、継承を構成し、必要な階層構造に対して適切な OG レベルに設定をオーバーライドすることです。