Workspace ONE UEM は組織グループを使用してユーザーを識別し、アクセス許可を確立します。Workspace ONE UEM が VMware Identity Manager と連携すると、管理および登録ユーザーの REST API キーは、顧客と呼ばれる Workspace ONE UEM 組織グループ タイプで構成されます。
ユーザーがデバイスから Workspace ONE にログインすると、VMware Identity Manager 内でデバイスの登録のイベントがトリガされます。ユーザーおよびデバイスの組み合わせに資格が付与された任意のアプリケーションを取得するための要求が Workspace ONE UEM に送信されます。Workspace ONE UEM 内でユーザーを特定し、適切な組織グループにデバイスを配置するための要求が REST API を使用して送信されます。
組織グループを管理するには、VMware Identity Manager で 2 つのオプションを構成できます。
Workspace ONE UEM 自動検出を有効にします。
Workspace ONE UEM 組織グループを VMware Identity Manager サービス内のドメインにマップします。
これらの 2 つのオプションのどちらも構成されていない場合、Workspace ONE は REST API キーが作成された組織グループでユーザーを特定しようとします。これは、顧客グループです。
Workspace ONE UEM 自動検出の使用
顧客組織グループへの子グループで 1 つのディレクトリが構成されるとき、または一意の E メール ドメインを使用して顧客グループの下に複数のディレクトリが構成されるときに、自動検出を設定します。
例 1 では、自動検出のために組織の E メール ドメインが登録されます。ユーザーは、Workspace ONE ログイン ページに自分のメール アドレスのみを入力します。
この例では、NorthAmerica ドメインのユーザーが Workspace ONE にログインするときに、完全なメール アドレスを [email protected] として入力します。アプリケーションはドメインを検索し、NorthAmerica 組織グループ内にユーザーが存在するか、またはディレクトリ呼び出しを使用してユーザーを作成できるかを確認します。デバイスを登録できます。
VMware Identity Manager ドメインへの Workspace ONE UEM 組織グループ マッピングの使用
同じ E メール ドメインを使用して複数のディレクトリが構成されている場合、VMware Identity Manager サービスと Workspace ONE UEM 組織グループのマッピングを構成します。VMware Identity Manager コンソールの AirWatch 構成ページで [ドメインを複数の組織グループにマップ] を有効にします。
[ドメインを複数の組織グループにマップ] オプションを有効にすると、VMware Identity Manager で構成されているドメインを Workspace ONE UEM 組織グループ ID にマッピングできます。管理者 REST API キーも要求されます。
例 2 では、2 つのドメインが別々の組織グループにマッピングされます。管理者 REST API キーが要求されます。同じ管理 REST API キーが両方の組織グループ ID に使用されます。
VMware Identity Manager コンソールの AirWatch 構成 ページで、各ドメインの固有の Workspace ONE UEM 組織グループ ID を構成します。
この構成では、ユーザーが自分のデバイスから Workspace ONE にログインすると、デバイス登録要求は組織グループ Europe 内の Domain3 のユーザーと、組織グループ AsiaPacific 内の Domain4 のユーザーを見つけようとします。
例 3 では、1 つのドメインが複数の Workspace ONE UEM 組織グループにマッピングされます。両方のディレクトリが E メール ドメインを共有します。ドメインは、同じ Workspace ONE UEM 組織グループをポイントします。
この構成では、ユーザーが Workspace ONE にログインすると、アプリケーションは、どのグループに登録するかの選択をユーザーに要求します。この例では、ユーザーは Engineering または Accounting のいずれかを選択できます。
正しい組織グループへのデバイスの配置
ユーザー レコードが正常に配置されると、デバイスが適切な組織グループに追加されます。Workspace ONE UEM 登録設定の [グループ ID 割り当てモード] によって、デバイスを配置する組織グループが決まります。この設定は、Workspace ONE UEM Console の [システム設定] > [デバイスとユーザー] > [全般] > [加入] > [グループ化] ページで行います。
例 4 では、すべてのユーザーは、Corporate 組織グループ レベルにあります。
デバイスの配置は、Corporate 組織グループでのグループ ID 割り当てモード用に選択した構成に依存します。
[デフォルト] が選択されている場合、デバイスはユーザーが配置されているのと同じグループに配置されます。例 4 では、デバイスは Corporate グループに配置されます。
[ユーザーがグループ ID を選択するようプロンプト表示する] が選択されている場合、自分のデバイスを登録するグループを選択するようユーザーに求められます。例 4 では、Workspace ONE アプリケーション内に Engineering と Accounting がオプションとして設けられたドロップダウン メニューがユーザーに表示されます。
[ユーザー グループに基づき自動選択] が選択されている場合、デバイスは、ユーザー グループ割り当てと、Workspace ONE UEM コンソールの対応するマッピングに基づいて、Engineering または Accounting のいずれかに配置されます。
非表示グループの概念について
例 4 では、ユーザーに登録元の組織グループの選択が要求されるときに、ユーザーは Workspace ONE アプリケーションから提供されたリストに含まれていないグループ ID の値も入力できます。これが非表示グループの概念です。
例 5 では、Corporate 組織グループ構造に North America と Beta が Corporate の下のグループとして構成されています。
例 5 では、ユーザーは Workspace ONE にメール アドレスを入力します。認証後、ユーザーに選択肢として Engineering と Accounting が表示されたリストが示されます。Beta は表示されるオプションではありません。ユーザーが組織グループ ID を把握している場合、グループの選択テキスト ボックスに手動で Beta を入力することで、自分のデバイスを Beta に正常に登録できます。
