Workspace ONE UEM は組織グループを使用してユーザーを識別し、アクセス許可を確立します。Workspace ONE UEM が VMware Identity Manager と連携すると、管理および登録ユーザーの REST API キーは、顧客と呼ばれる Workspace ONE UEM 組織グループ タイプで構成されます。
ユーザーがデバイスから Workspace ONE にログインすると、VMware Identity Manager 内でデバイスの登録のイベントがトリガされます。ユーザーおよびデバイスの組み合わせに資格が付与された任意のアプリケーションを取得するための要求が Workspace ONE UEM に送信されます。Workspace ONE UEM 内でユーザーを特定し、適切な組織グループにデバイスを配置するための要求が REST API を使用して送信されます。
組織グループを管理するには、VMware Identity Manager で 2 つのオプションを構成できます。
Workspace ONE UEM 自動検出を有効にします。
Workspace ONE UEM 組織グループを VMware Identity Manager サービス内のドメインにマップします。
これらの 2 つのオプションのどちらも構成されていない場合、Workspace ONE は REST API キーが作成された組織グループでユーザーを特定しようとします。これは、顧客グループです。
Workspace ONE UEM 自動検出の使用
顧客組織グループへの子グループで 1 つのディレクトリが構成されるとき、または一意の E メール ドメインを使用して顧客グループの下に複数のディレクトリが構成されるときに、自動検出を設定します。
![](images/GUID-FD85317F-9E0B-44F0-A194-1F5235FBB03A-low.png)
例 1 では、自動検出のために組織の E メール ドメインが登録されます。ユーザーは、Workspace ONE ログイン ページに自分のメール アドレスのみを入力します。
この例では、NorthAmerica ドメインのユーザーが Workspace ONE にログインするときに、完全なメール アドレスを [email protected] として入力します。アプリケーションはドメインを検索し、NorthAmerica 組織グループ内にユーザーが存在するか、またはディレクトリ呼び出しを使用してユーザーを作成できるかを確認します。デバイスを登録できます。
VMware Identity Manager ドメインへの Workspace ONE UEM 組織グループ マッピングの使用
同じ E メール ドメインを使用して複数のディレクトリが構成されている場合、VMware Identity Manager サービスと Workspace ONE UEM 組織グループのマッピングを構成します。VMware Identity Manager コンソールの AirWatch 構成ページで [ドメインを複数の組織グループにマップ] を有効にします。
[ドメインを複数の組織グループにマップ] オプションを有効にすると、VMware Identity Manager で構成されているドメインを Workspace ONE UEM 組織グループ ID にマッピングできます。管理者 REST API キーも要求されます。
例 2 では、2 つのドメインが別々の組織グループにマッピングされます。管理者 REST API キーが要求されます。同じ管理 REST API キーが両方の組織グループ ID に使用されます。
![](images/GUID-D34619C0-258E-467D-BDA4-5797FDFE8AEF-low.png)
VMware Identity Manager コンソールの AirWatch 構成 ページで、各ドメインの固有の Workspace ONE UEM 組織グループ ID を構成します。
![](images/GUID-8E1826CE-27A6-4CD0-AE2A-C594D3FAC65F-low.png)
この構成では、ユーザーが自分のデバイスから Workspace ONE にログインすると、デバイス登録要求は組織グループ Europe 内の Domain3 のユーザーと、組織グループ AsiaPacific 内の Domain4 のユーザーを見つけようとします。
例 3 では、1 つのドメインが複数の Workspace ONE UEM 組織グループにマッピングされます。両方のディレクトリが E メール ドメインを共有します。ドメインは、同じ Workspace ONE UEM 組織グループをポイントします。
![](images/GUID-C3D7358D-D8EA-4A13-AD68-E06AA3FDBA99-low.png)
この構成では、ユーザーが Workspace ONE にログインすると、アプリケーションは、どのグループに登録するかの選択をユーザーに要求します。この例では、ユーザーは Engineering または Accounting のいずれかを選択できます。
![](images/GUID-A9099C1F-FB4A-46AA-AA84-7F195265C184-low.png)
正しい組織グループへのデバイスの配置
ユーザー レコードが正常に配置されると、デバイスが適切な組織グループに追加されます。Workspace ONE UEM 登録設定の [グループ ID 割り当てモード] によって、デバイスを配置する組織グループが決まります。この設定は、Workspace ONE UEM Console の [システム設定] > [デバイスとユーザー] > [全般] > [加入] > [グループ化] ページで行います。
![](images/GUID-C46EE6CB-3B81-49E4-932E-7706E8F920A1-low.png)
例 4 では、すべてのユーザーは、Corporate 組織グループ レベルにあります。
![](images/GUID-282A649D-3C4C-41CA-8138-4E2DADDCF7C7-low.png)
デバイスの配置は、Corporate 組織グループでのグループ ID 割り当てモード用に選択した構成に依存します。
[デフォルト] が選択されている場合、デバイスはユーザーが配置されているのと同じグループに配置されます。例 4 では、デバイスは Corporate グループに配置されます。
[ユーザーがグループ ID を選択するようプロンプト表示する] が選択されている場合、自分のデバイスを登録するグループを選択するようユーザーに求められます。例 4 では、Workspace ONE アプリケーション内に Engineering と Accounting がオプションとして設けられたドロップダウン メニューがユーザーに表示されます。
[ユーザー グループに基づき自動選択] が選択されている場合、デバイスは、ユーザー グループ割り当てと、Workspace ONE UEM コンソールの対応するマッピングに基づいて、Engineering または Accounting のいずれかに配置されます。
非表示グループの概念について
例 4 では、ユーザーに登録元の組織グループの選択が要求されるときに、ユーザーは Workspace ONE アプリケーションから提供されたリストに含まれていないグループ ID の値も入力できます。これが非表示グループの概念です。
例 5 では、Corporate 組織グループ構造に North America と Beta が Corporate の下のグループとして構成されています。
![](images/GUID-9D904CEA-C956-4275-8F5B-57ACB04B865B-low.png)
例 5 では、ユーザーは Workspace ONE にメール アドレスを入力します。認証後、ユーザーに選択肢として Engineering と Accounting が表示されたリストが示されます。Beta は表示されるオプションではありません。ユーザーが組織グループ ID を把握している場合、グループの選択テキスト ボックスに手動で Beta を入力することで、自分のデバイスを Beta に正常に登録できます。