Workspace ONE UEM maakt gebruik van organisatiegroepen (OG) om gebruikers te identificeren en rechten te verlenen. Wanneer Workspace ONE UEM is geïntegreerd met Workspace ONE Access, worden de REST API-sleutels voor beheerders en geregistreerde gebruikers geconfigureerd in een Workspace ONE UEM-organisatiegroep Customer (klant).

Wanneer gebruikers zich via een apparaat aanmelden bij Workspace ONE Intelligent Hub, wordt in Workspace ONE Access een apparaatregistratiegebeurtenis geactiveerd. Er wordt een aanvraag naar Workspace ONE UEM verzonden om alle applicaties waarop die combinatie van gebruiker en apparaat recht heeft, op te halen. Met deze aanvraag via de REST API wordt de gebruiker in Workspace ONE UEM opgezocht en het apparaat in de bijbehorende organisatiegroep geplaatst.

Voor het beheer van organisatiegroepen kunt u twee opties configureren in Workspace ONE Access.

  • U kunt de automatische detectie van Workspace ONE UEM inschakelen.
  • U kunt Workspace ONE UEM-organisatiegroepen toewijzen aan domeinen in de Workspace ONE Access-service.

Als u geen van beide opties configureert, probeert Workspace ONE Intelligent Hub de gebruiker te zoeken in de organisatiegroep waar de REST API-sleutel is gemaakt. Die groep is de groep Customer.

Automatische detectie van Workspace ONE UEM gebruiken

Stel een automatische detectie in wanneer voor de onderliggende groep van de organisatiegroep Customer een afzonderlijke directory is geconfigureerd, of wanneer er onder de groep Customer meerdere directory's met unieke e-maildomeinen zijn geconfigureerd. Zie Automatische detectie in Workspace ONE Access instellen.

Figuur 1. Voorbeeld 1

In voorbeeld 1 is automatische detectie ingesteld voor de registratie van het e-maildomein van de organisatie. Gebruikers hoeven alleen hun e-mailadres in te voeren op de aanmeldingspagina van Workspace ONE Intelligent Hub.

Gebruikers uit het domein NorthAmerica die zich aanmelden bij Workspace ONE Intelligent Hub, moeten in dat geval hun volledige e-mailadres opgeven in de notatie user1@domain1.com. Vervolgens wordt het domein opgezocht en gecontroleerd of de gebruiker bestaat of kan worden aangemaakt in een directory in de organisatiegroep NorthAmerica. Het apparaat kan worden geregistreerd.

Toewijzing van Workspace ONE UEM-organisatiegroepen aan Workspace ONE Access-domeinen gebruiken

Configureer de Workspace ONE Access-service voor de toewijzing van Workspace ONE UEM-organisatiegroepen wanneer er meerdere directory's met hetzelfde e-maildomein worden geconfigureerd. U schakelt Domeinen toewijzen aan meerdere organisatiegroepen in op de pagina Integraties > UEM-integratie in de Workspace ONE Access-console.

Wanneer de optie Domeinen toewijzen aan meerdere organisatiegroepen is ingeschakeld, kunt u domeinen die in Workspace ONE Access zijn geconfigureerd, aan Workspace ONE UEM-organisatiegroeps-ID's toewijzen. Hiervoor is tevens de REST API-beheersleutel vereist.

In voorbeeld 2 zijn twee domeinen aan verschillende organisatiegroepen toegewezen. Er is een REST API-beheersleutel vereist. U kunt dezelfde REST API-beheersleutel gebruiken voor beide organisatiegroep-id's.

Figuur 2. Voorbeeld 2

Configureer op de configuratiepagina voor UEM-integratie in de Workspace ONE Access-console een specifieke Workspace ONE UEM-organisatiegroeps-ID voor elk domein.

Figuur 3. Voorbeeld 2 Configuratie van organisatiegroepen

Wanneer gebruikers zich in deze configuratie met hun apparaat aanmelden bij de Workspace ONE Intelligent Hub-app, wordt een aanvraag voor een apparaatregistratie verstuurd waarmee gebruikers uit Domain3 worden opgezocht in de organisatiegroep Europe en gebruikers uit Domain4 in de organisatiegroep AsiaPacific.

In voorbeeld 3 is één domein toegewezen aan verschillende Workspace ONE UEM-organisatiegroepen. Beide directory's hebben hetzelfde e-maildomein. Het domein verwijst naar dezelfde Workspace ONE UEM-organisatiegroep.

Figuur 4. Voorbeeld 3

Wanneer gebruikers zich in deze configuratie aanmelden bij de Workspace ONE Intelligent Hub-app, verschijnt een melding waarin hen wordt gevraagd bij welke groep ze zich willen registreren. In dit voorbeeld hebben de gebruikers de keuze uit de groepen Engineering en Accounting.

Figuur 5. Organisatiegroepen waarin directory's hetzelfde domein delen

Apparaten in de juiste organisatiegroep plaatsen

Wanneer een gebruikersrecord wordt gevonden, wordt het apparaat toegevoegd aan de bijbehorende organisatiegroep. De inschrijvingsinstelling Toewijzing groeps-ID van Workspace ONE UEM bepaalt in welke organisatiegroep het apparaat wordt geplaatst. U vindt deze instelling op de pagina Systeeminstellingen > Toestellen & Gebruikers > Algemeen > Inschrijving > Groepen in de Workspace ONE UEM Console.

Figuur 6. Workspace ONE UEM-groepsregistratie voor apparaten

In voorbeeld 4 behoren alle gebruikers tot de organisatiegroep Corporate.

Figuur 7. Voorbeeld 4

De plaatsing van apparaten is afhankelijk van de toewijzingsmodus met groeps-id's die is ingesteld voor de organisatiegroep Corporate.

  • Als Standaard is geselecteerd, wordt het apparaat in dezelfde groep geplaatst als de gebruiker. In voorbeeld 4 wordt het apparaat in de groep Corporate geplaatst.
  • Als u 'Gebruiker vragen om groeps-id te selecteren' heeft gekozen, wordt gebruikers gevraagd de groep te selecteren waarin ze hun apparaat willen registreren. In voorbeeld 4 krijgen gebruikers dan een vervolgkeuzemenu met de opties Engineering en Accounting te zien in de Workspace ONE Intelligent Hub-app.
  • Als u 'Automatisch selecteren op basis van gebruikersgroep' heeft gekozen, bepalen de gebruikersgroep en de bijbehorende toewijzing in de Workspace ONE UEM Console of de apparaten in de groep Engineering dan wel de groep Accounting worden geplaatst.

Een verborgen groep gebruiken

Wanneer gebruikers in voorbeeld 4 moeten aangeven bij welke organisatiegroep ze zich willen registreren, kunnen ze ook een groeps-id opgeven die niet wordt weergegeven in de lijst van de Workspace ONE Intelligent Hub-app. Dit wordt een verborgen groep genoemd.

In voorbeeld 5 zijn onder de organisatiegroep Corporate de groepen North America en Beta ondergebracht.

Figuur 8. Voorbeeld 5

In voorbeeld 5 voeren gebruikers hun e-mailadres in de Workspace ONE Intelligent Hub-app in. Na de verificatie zien gebruikers een lijst waarin ze kunnen kiezen uit Engineering en Accounting. De groep Beta wordt niet als optie weergegeven. Als gebruikers de bijbehorende ID van deze organisatiegroep weten, kunnen ze Beta handmatig invoeren in het tekstvak voor groepsselectie en hun apparaat zo registreren bij de groep Beta.