Workspace ONE UEM は組織グループを使用してユーザーを識別し、アクセス許可を確立します。Workspace ONE UEMVMware Identity Manager と連携すると、管理および登録ユーザーの REST API キーは、顧客と呼ばれる Workspace ONE UEM 組織グループ タイプで構成されます。

ユーザーがデバイスから Workspace ONE にログインすると、VMware Identity Manager 内でデバイスの登録のイベントがトリガされます。ユーザーおよびデバイスの組み合わせに資格が付与された任意のアプリケーションを取得するための要求が Workspace ONE UEM に送信されます。Workspace ONE UEM 内でユーザーを特定し、適切な組織グループにデバイスを配置するための要求が REST API を使用して送信されます。

組織グループを管理するには、VMware Identity Manager で 2 つのオプションを構成できます。

  • Workspace ONE UEM 自動検出を有効にします。

  • Workspace ONE UEM 組織グループを VMware Identity Manager サービス内のドメインにマップします。

これらの 2 つのオプションのどちらも構成されていない場合、Workspace ONE は REST API キーが作成された組織グループでユーザーを特定しようとします。これは、顧客グループです。

Workspace ONE UEM 自動検出の使用

顧客組織グループへの子グループで 1 つのディレクトリが構成されるとき、または一意の E メール ドメインを使用して顧客グループの下に複数のディレクトリが構成されるときに、自動検出を設定します。

図 1. 例 1

例 1 では、自動検出のために組織の E メール ドメインが登録されます。ユーザーは、Workspace ONE ログイン ページに自分のメール アドレスのみを入力します。

この例では、NorthAmerica ドメインのユーザーが Workspace ONE にログインするときに、完全なメール アドレスを [email protected] として入力します。アプリケーションはドメインを検索し、NorthAmerica 組織グループ内にユーザーが存在するか、またはディレクトリ呼び出しを使用してユーザーを作成できるかを確認します。デバイスを登録できます。

VMware Identity Manager ドメインへの Workspace ONE UEM 組織グループ マッピングの使用

同じ E メール ドメインを使用して複数のディレクトリが構成されている場合、VMware Identity Manager サービスと Workspace ONE UEM 組織グループのマッピングを構成します。VMware Identity Manager コンソールの AirWatch 構成ページで [ドメインを複数の組織グループにマップ] を有効にします。

[ドメインを複数の組織グループにマップ] オプションを有効にすると、VMware Identity Manager で構成されているドメインを Workspace ONE UEM 組織グループ ID にマッピングできます。管理者 REST API キーも要求されます。

例 2 では、2 つのドメインが別々の組織グループにマッピングされます。管理者 REST API キーが要求されます。同じ管理 REST API キーが両方の組織グループ ID に使用されます。

図 2. 例 2

VMware Identity Manager コンソールの AirWatch 構成 ページで、各ドメインの固有の Workspace ONE UEM 組織グループ ID を構成します。

図 3. 例 2 組織グループの構成

この構成では、ユーザーが自分のデバイスから Workspace ONE にログインすると、デバイス登録要求は組織グループ Europe 内の Domain3 のユーザーと、組織グループ AsiaPacific 内の Domain4 のユーザーを見つけようとします。

例 3 では、1 つのドメインが複数の Workspace ONE UEM 組織グループにマッピングされます。両方のディレクトリが E メール ドメインを共有します。ドメインは、同じ Workspace ONE UEM 組織グループをポイントします。

図 4. 例 3

この構成では、ユーザーが Workspace ONE にログインすると、アプリケーションは、どのグループに登録するかの選択をユーザーに要求します。この例では、ユーザーは Engineering または Accounting のいずれかを選択できます。

図 5. ディレクトリが同じドメインを共有する組織グループ

正しい組織グループへのデバイスの配置

ユーザー レコードが正常に配置されると、デバイスが適切な組織グループに追加されます。Workspace ONE UEM 登録設定の [グループ ID 割り当てモード] によって、デバイスを配置する組織グループが決まります。この設定は、Workspace ONE UEM Console の [システム設定] > [デバイスとユーザー] > [全般] > [加入] > [グループ化] ページで行います。

図 6. デバイスの Workspace ONE UEM グループの登録

例 4 では、すべてのユーザーは、Corporate 組織グループ レベルにあります。

図 7. 例 4

デバイスの配置は、Corporate 組織グループでのグループ ID 割り当てモード用に選択した構成に依存します。

  • [デフォルト] が選択されている場合、デバイスはユーザーが配置されているのと同じグループに配置されます。例 4 では、デバイスは Corporate グループに配置されます。

  • [ユーザーがグループ ID を選択するようプロンプト表示する] が選択されている場合、自分のデバイスを登録するグループを選択するようユーザーに求められます。例 4 では、Workspace ONE アプリケーション内に Engineering と Accounting がオプションとして設けられたドロップダウン メニューがユーザーに表示されます。

  • [ユーザー グループに基づき自動選択] が選択されている場合、デバイスは、ユーザー グループ割り当てと、Workspace ONE UEM コンソールの対応するマッピングに基づいて、Engineering または Accounting のいずれかに配置されます。

非表示グループの概念について

例 4 では、ユーザーに登録元の組織グループの選択が要求されるときに、ユーザーは Workspace ONE アプリケーションから提供されたリストに含まれていないグループ ID の値も入力できます。これが非表示グループの概念です。

例 5 では、Corporate 組織グループ構造に North America と Beta が Corporate の下のグループとして構成されています。

図 8. 例 5

例 5 では、ユーザーは Workspace ONE にメール アドレスを入力します。認証後、ユーザーに選択肢として Engineering と Accounting が表示されたリストが示されます。Beta は表示されるオプションではありません。ユーザーが組織グループ ID を把握している場合、グループの選択テキスト ボックスに手動で Beta を入力することで、自分のデバイスを Beta に正常に登録できます。