Stel u organisatiegroepen voor als de afzonderlijke takken aan een boom, waaraan elk blad een toestelgebruiker representeert. Workspace ONE UEM powered by AirWatch identificeert elk blad en bepaalt zijn positie in de boomstructuur met behulp van organisatiegroepen (OG). De meeste klanten maken OG-structuren die hun bedrijfshiërarchie weerspiegelen: bestuurders, leidinggevenden, operationele medewerkers, verkoopmedewerkers, enzovoort.

U kunt er ook voor kiezen om organisatiegroepen te maken die overkomen met Workspace ONE UEM-functies en -inhoud.

Organisatiegroepen kunt u bekijken door te navigeren naar Groepen en instellingen > Groepen > Organisatiegroepen > Lijstweergave of via het meerkeuzemenu voor organisatieniveaus.

  • Creëer groepen voor entiteiten binnen uw organisatie (management, vaste salaris, salaris per uur, verkoop, detailhandel, personeelszaken, directie enzovoort).
  • Pas hiërarchieën aan met bovenliggende en onderliggende niveaus (bijvoorbeeld 'Vaste salaris' en 'Salaris per uur' als onderliggende niveaus onder 'Beheer').
  • Integreren met verschillende interne infrastructuren op verschillende niveaus.
  • Delegeer toegang en beheer op basis van rollen in een structuur met meerdere gebruikers.
Opmerking: De lijstweergave Organisatiegroepen definieert "Actieve toestellen" als alleen de toestellen die zich in de voorgaande periode van 8 uur hebben gemeld bij de Workspace ONE UEM console.

Kenmerken van organisatiegroepen

Organisatiegroepen kunnen entiteiten omvatten die op basis van functie, geografische locatie en organisatievorm zijn gegroepeerd bieden en een multi-tenancy-oplossing mogelijk maken.

  • Schaalvergroting – Flexibele ondersteuning voor exponentiële groei.
  • Multitenancy (meerdere secundaire omgevingen) – Maak groepen die als onafhankelijke omgevingen functioneren.
  • Overname – Stroomlijn het installatieproces door onderliggende groepen zodanig in te stellen dat ze de configuraties van bovenliggende groepen overnemen.

In het voorbeeld van de meerkeuzelijst voor organisatiegroepen kunnen alle profielen, functies, applicaties en andere MDM-instellingen ingesteld worden vanuit het hoogste niveau van uw 'Wereldwijd BV'.

Vervolgens kunnen instellingen worden overgenomen door onderliggende organisatiegroepen, zoals AsiaPacific en EMEA of op een daaronder liggend niveau, zoals AsiaPacific > Manufacturing of op nog lager niveau, zoals AsiaPacific > Operations > Corporate.

Instellingen tussen zusterorganisatiegroepen zoals AsiaPacific en EMEA maken gebruik van de structuur met meerdere gebruikers van organisatiegroepen door deze instellingen van elkaar gescheiden te houden. Maar deze twee zusterorganisatiegroepen nemen de instellingen wél over van hun bovenliggende organisatiegroep, World Wide Enterpise.

Als alternatief kunt u ervoor kiezen om instellingen te overschrijven op een lager niveau en alleen de instellingen aan te passen die u wilt veranderen of juist wilt houden. Deze instellingen kunnen gewijzigd worden en naar ieder niveau overgedragen worden.

Overwegingen bij het opzetten van organisatiegroepen

Voordat u de hiërarchie van uw organisatiegroepen (OG's) in de Workspace ONE UEM console instelt, moet u eerst een beslissing nemen over de groepsstructuur. Dankzij de groepsstructuur kunt u de instellingen, applicaties en resources volledig benutten.

  • Gedelegeerd beheer – U kunt het beheer van subgroepen delegeren aan beheerders op een lager niveau door hun zicht te beperken tot een lagere organisatiegroep.
  • Bedrijfsbeheerders kunnen alles in de omgeving benaderen en bekijken.
  • Beheerder Los Angeles heeft toegang tot de LA-organisatie en kan alleen deze toestellen beheren.
  • Beheerder New York heeft toegang tot de NY-organisatie en kan alleen deze toestellen beheren.
  • Systeeminstellingen – Instellingen kunnen worden toegepast op verschillende niveaus in de structuur van de organisatiegroep en van een hoger niveau worden overgenomen. Ze kunnen daarnaast ook overschreven worden op ieder niveau. Instellingen bevatten opties voor toestelinschrijving, verificatiemethoden, privacy-instellingen en huisstijl.
  • De overkoepelende organisatie brengt inschrijving tot stand met de Active Directory-server van het bedrijf.
  • Stuurprogrammatoestellen negeren de bovenliggende authenticatie en staan op tokens gebaseerde inschrijving toe.
  • Magazijntoestellen nemen de AD-instellingen over van de bovenliggende groep.
  • Voorbeeldscenario – Een profiel kan worden toegewezen aan één of meerdere organisatiegroepen. Toestellen in deze groepen kunnen vervolgens dat profiel ontvangen. Raadpleeg de sectie over profielen voor meer informatie. Overweeg om toestellen te configureren door gebruik te maken van profiel-, applicatie-, of inhoudsinstellingen op basis van kenmerken zoals toestelmodel, eigendomstype of type gebruikersgroep voordat u organisatiegroepen maakt.
  • Op toestellen van de directie kunnen geen applicaties worden geïnstalleerd. Deze toestellen hebben wel toegang tot het Wi-Fi-netwerk van de verkoopafdeling.
  • Op toestellen van de afdeling Verkoop mogen applicaties worden geïnstalleerd en deze toestellen hebben VPN-toegang.

Twee organisatiegroepen vergelijken

U kunt de instellingen van één organisatiegroep vergelijken met een andere om zo problemen bij migratie tussen die groepen te voorkomen. De functie Organisatiegroepen vergelijken is uitsluitend beschikbaar voor klanten met een implementatie op locatie.

U kunt de volgende taken uitvoeren wanneer u organisatiegroepsinstellingen vergelijkt.

  • XML-bestanden uploaden met de instellingen van de organisatiegroep van verschillende versies van Workspace ONE UEM-software.
  • Voorkomen dat er een verschil is in de configuratie, wat tot problemen kan leiden wanneer u tussen versies migreert.
  • U kunt een filter toepassen op de vergelijkingsresultaten waardoor uitsluitend de groepen of instellingen weergegeven worden die u wilt vergelijken.
  • Gebruik de zoekfunctie om een enkele instelling op naam te zoeken.

Een voorbeeld van een scenario voor migratie van versie: als een UAT-server (User Acceptance Testing) eenmaal is opgewaardeerd, geconfigureerd en getest, kunt u de UAT-instellingen direct vergelijken met de productie-instellingen.

  1. Navigeer naar Groepen en instellingen > Alle instellingen > Beheerder > Beheer van instellingen > Vergelijking van instellingen.
  2. Selecteer een organisatiegroep in uw omgeving in het vervolgkeuzemenu (met het nummer 1). U kunt ook de XML-instellingen uploaden door op de knop Uploaden te klikken en een XML-bestand met geëxporteerde instellingen voor organisatiegroepen te selecteren.
  3. Selecteer rechts in het vervolgkeuzemenu de organisatiegroep waarmee u wilt vergelijken (met het nummer 2).
  4. Selecteer Updaten om alle instellingen van beide geselecteerde organisatiegroepen in een lijst weer te geven.
    • Verschillen tussen de twee groepen instellingen worden automatisch gemarkeerd.
    • U kunt ook het selectievakje Alleen verschillen tonen inschakelen. Zodoende worden alleen de instellingen weergegeven die voor de ene organisatiegroep maar niet de andere gelden.
    • Individuele instellingen die leeg zijn (of niet gespecificeerd) verschijnen in de vergelijkingslijst als "leeg".

Organisatiegroepen creëren

U moet een organisatiegroep creëren voor ieder bedrijfsonderdeel waar toestellen geïmplementeerd zijn: Vergeet niet dat de organisatiegroep die u gaat maken onder de groep wordt geplaatst waar u zich momenteel bevindt.

  1. Navigeer naar Groepen en instellingen > Groepen > Organisatiegroepen > Informatie.
  2. Klik op het tabblad Onderliggende organisatiegroep toevoegen en voer de volgende instellingen in.
    Instelling Beschrijving
    Naam Voer een naam in voor de weer te geven onderliggende organisatiegroep. U kunt alleen alfanumerieke tekens gebruiken. Gebruik geen speciale tekens.
    Groeps-ID

    Voer een identificatie in voor de organisatiegroep die de eindgebruikers tijdens inloggen bij het toestel gebruiken. Groeps-ID’s worden gebruikt tijdens de inschrijving van groepstoestellen bij de juiste organisatiegroep.

    Zorg ervoor dat gebruikers die een toestel delen de Groeps-ID ontvangen, aangezien ze, afhankelijk van uw instellingen voor gedeelde toestellen, deze wellicht nodig hebben om hun toestel in te loggen.

    Als u zich niet in een omgeving op locatie bevindt, identificeert de groeps-ID uw organisatiegroep via de gehele gedeelde SaaS-omgeving. Daarom moeten alle groeps-ID's een unieke naam hebben.

    Type Selecteer het vooraf geconfigureerde organisatiegroeptype dat overeenkomt met de categorie van de onderliggende organisatiegroep.
    Land Selecteer het land waar de organisatiegroep zich bevindt.
    Landinstelling Kies de taalinstellingen voor het geselecteerde land.
    Sector van de klant Alleen beschikbaar als Type is ingesteld op Klant. Maak een selectie uit de lijst met verschillende sectoren.
    Tijdzone Selecteer de tijdzone voor deze organisatiegroep.
  3. Selecteer Opslaan.

De groeps-ID voor elke organisatie groep identificeren

U kunt de groeps-ID voor elke organisatie groep identificeren door de volgende stappen uit te voeren.

  1. Ga naar de organisatiegroep die u wilt identificeren door deze te selecteren in het vervolgkeuzemenu Organisatiegroep.
  2. Houd de muisaanwijzer op het OG-label. Een pop-up toont de naam en de groeps-ID voor de huidige geselecteerde organisatiegroep.

Overname, multitenancy en verificatie

Het concept van instellingen overschrijven per organisatiegroep in combinatie met kenmerken van de organisatiegroep (OG), zoals overname en multitenancy, kan verder worden gecombineerd met verificatie. Deze combinatie zorgt voor de flexibele configuraties.

Het volgende organisatiegroepmodel illustreert deze flexibiliteit.

Dit diagram toont een organisatiegroep-hiërarchiemodel dat bestaat uit een bovenliggende, een onderliggende en een dieper onderliggende organisatiegroep.

In dit model worden beheerders, die doorgaans beschikken over betere rechten en functionaliteiten, bovenaan deze organisatiegroepvertakking geplaatst. Deze beheerders loggen in bij hun OG door middel van een SAML voor beheerders.

Zakelijke gebruikers zijn ondergeschikt aan beheerders en daarom bevindt hun OG zich op onderliggend niveau. Aangezien ze gebruikers in plaats van beheerders zijn, kan hun SAML-instelling voor inloggen de instelling voor beheerders niet overnemen. Daarom wordt de SAML-instelling voor zakelijke gebruikers overschreven.

BYOD-gebruikers verschillen van zakelijke gebruikers. Toestellen die worden gebruikt door BYOD-gebruikers behoren toe aan de gebruikers zelf en bevatten waarschijnlijk meer persoonlijke informatie. Daarom vereisen deze toestelprofielen mogelijk enigszins andere instellingen. BYOD-gebruikers kunnen verschillende gebruiksvoorwaarden hebben. BYOD-toestellen vereisen mogelijk verschillende parameters voor het wissen van bedrijfsgegevens. Vanwege al deze redenen en nog veel meer kan het zinvol zijn voor BYOD-gebruikers om op een afzonderlijke OG in te loggen.

Ondanks dat ze niet ondergeschikt zijn aan zakelijke gebruikers in een bedrijfshiërarchie, heeft BYOD-gebruikers plaatsen als een onderliggende groep van zakelijke gebruikers wel voordelen. Deze indeling betekent dat BYOD-gebruikers instellingen overnemen die van toepassing zijn op ALLE toestellen van zakelijke gebruikers door ze simpelweg toe te passen op de OG van zakelijke gebruikers.

Overname geldt ook voor verificatie-instellingen voor SAML. Aangezien BYOD-gebruikers een onderliggende groep van zakelijke gebruikers zijn, nemen BYOD-gebruikers de SAML over voor de verificatie-instellingen van zakelijke gebruikers.

Een alternatief model is om BYOD-gebruikers op hetzelfde niveau als zakelijke gebruikers te plaatsen.

Dit diagram toont een organisatiegroep-hiërarchiemodel dat bestaat uit een bovenliggende en twee onderliggende organisatiegroepen.

Voor dit alternatieve model is het volgende van toepassing.

  • Alle toestelprofielen die algemeen van toepassing zijn op alle toestellen, inclusief netwerkbeleid, en andere toestelinstellingen die algemeen van toepassing zijn, worden toegepast op twee organisatiegroepen in plaats van één. De reden voor deze duplicatie is omdat overname van zakelijke gebruikers aan BYOD-gebruikers niet langer een factor is in dit model. Zakelijke gebruikers en BYOD-gebruikers zijn collega's en dus er is geen overname.
  • Er moet een andere SAML-overschrijving worden toegepast op BYOD-gebruikers. Deze overschrijving is nodig, omdat het systeem ervan uitgaat dat het SAML-instellingen van de bovenliggende groep, de beheerders, overneemt. Een dergelijke aanname is fout omdat BYOD-gebruikers geen beheerders zijn en niet dezelfde toegang en rechten hebben.
  • BYOD-gebruikers blijven daarom afzonderlijk van zakelijke gebruikers worden behandeld. Dit alternatieve model betekent dat de profielinstellingen voor hun eigen toestel worden behouden.

Welke factoren bepalen welk model het beste is? Vergelijk het aantal algemeen toepasbare toestelinstellingen met het aantal groepsspecifieke toestelinstellingen. Als u alle toestellen over het algemeen hetzelfde wilt behandelen, kunt u BYOD-gebruikers inrichten als een onderliggende groep van zakelijke gebruikers. Als u het behoud van afzonderlijke instellingen belangrijker vindt, kunt u BYOD-gebruikers op hetzelfde niveau plaatsen als zakelijke gebruikers.

Organisatiegroepbeperkingen

Als u een instelling probeert te configureren die organisatiegroepbeperkingen heeft, wordt dit aangegeven op de pagina's onder Groepen en instellingen > Alle instellingen.

Deze instelling kan alleen op organisatiegroep van het type “klant” worden ingeschakeld.

De volgende beperkingen zijn van toepassing op organisatiegroepen van het type Klant:

  • Of u zich nu bevindt in een SaaS- of on-premises omgeving, u geen geneste klant-organisatiegroepen creëren.

Functies van verschillende organisatiegroeptypes

De keuze voor een bepaald type organisatiegroep kan invloed hebben op de instellingen die beschikbaar zijn voor configuratie door de beheerder.

  • Globaal – De organisatiegroep op het hoogste niveau. Meestal heet deze groep Globaal en heeft deze het type Globaal.
    • Voor gehoste SaaS-omgevingen hebt u geen toegang tot deze groep.
    • Klanten kunnen op locatie Gedetailleerde logboekregistratie inschakelen op dit niveau.
  • Partner – Organisatiegroep op het hoogste niveau voor partners (externe leveranciers van Workspace ONE UEM.
  • Klant - De organisatiegroep voor elke klant op het hoogste niveau.
    • Een klantorganisatiegroep kan geen onderliggende/bovenliggende organisatiegroepen van het type klant hebben.
    • Sommige instellingen kunnen alleen worden geconfigureerd in een klantgroep. Deze instellingen dringen door tot lagere organisaties. Een aantal voorbeelden van dergelijke instellingen zijn e-maildomeinen voor automatische ontdekking, instellingen voor het volume-aankoopprogramma, instellingen voor het Device Enrollment Program (vóór AirWatch 8.0) en persoonlijke inhoud.
  • Container - Het standaardtype organisatiegroep.
    • Alle groepen onder een klantorganisatiegroep moeten van het type container zijn. U kunt containers tussen partner- en klantgroepen hebben.
  • Prospect – Potentiële klanten. Vergelijkbaar met een klantorganisatiegroep. Heeft mogelijk minder functionaliteit dan een ware klantgroep.

Er zijn aanvullende organisatiegroeptypes zoals afdeling en regio en de mogelijkheid om uw eigen organisatiegroeptype te definiëren. Deze types hebben geen bijzondere kenmerken en functioneren hetzelfde als het Containerorganisatiegroeptype.

Toestel toevoegen aan Globaal

De organisatiegroep Globaal is ontworpen om klantorganisatiegroepen en andere organisatiegroepen erin te plaatsen. Vanwege de manier waarop overnemen werkt, zijn er ook gevolgen voor alle onderliggende klantorganisatiegroepen als u toestellen toevoegt aan Globaal, en Globaal configureert met instellingen die van invloed zijn op die toestellen. Hiermee worden de voordelen van multitenancy en overnemen ondermijnt.

Raadpleeg Redenen waarom u toestellen niet zou moeten inschrijven bij Globaal voor meer informatie.