Workspace ONE UEM maakt gebruik van organisatiegroepen (OG) om gebruikers te identificeren en rechten te verlenen. Wanneer Workspace ONE UEM is geïntegreerd met Workspace ONE Access, worden de REST API-sleutels voor beheerders en geregistreerde gebruikers geconfigureerd in een Workspace ONE UEM-organisatiegroep Customer (klant).

Wanneer een gebruiker zich via een apparaat aanmeldt bij de Intelligent Hub-app, wordt in Workspace ONE Access een apparaatregistratiegebeurtenis geactiveerd. Er wordt een aanvraag naar Workspace ONE UEM verzonden om alle applicaties waarop die combinatie van gebruiker en apparaat recht heeft, op te halen. Met deze aanvraag via de REST API wordt de gebruiker in Workspace ONE UEM opgezocht en het apparaat in de bijbehorende organisatiegroep geplaatst.

Voor het beheer van organisatiegroepen kunt u twee opties configureren in Workspace ONE Access.

  • U kunt de automatische detectie van Workspace ONE UEM inschakelen.
  • U kunt Workspace ONE UEM-organisatiegroepen toewijzen aan domeinen in de Workspace ONE Access-service.

Als u geen van beide opties instelt, probeert Intelligent Hub de gebruiker te zoeken in de organisatiegroep waar de REST API-sleutel is gemaakt. Dat is de groep Customer.

Automatische detectie van Workspace ONE UEM gebruiken

Stel een automatische detectie in wanneer voor de onderliggende groep van de organisatiegroep Customer een afzonderlijke directory is geconfigureerd, of wanneer er onder de groep Customer meerdere directory's met unieke e-maildomeinen zijn geconfigureerd. Zie E-maildomeinen registreren voor automatische detectie.

Figuur 1. Voorbeeld 1

In voorbeeld 1 is automatische detectie ingesteld voor de registratie van het e-maildomein van de organisatie. Gebruikers hoeven alleen hun e-mailadres in te voeren op de aanmeldingspagina van Intelligent Hub.

Gebruikers uit het domein NorthAmerica die zich aanmelden bij de Intelligent Hub-app, moeten in dat geval hun volledige e-mailadres opgeven in de notatie user1@domain1.com. Vervolgens wordt het domein opgezocht en gecontroleerd of de gebruiker bestaat of kan worden aangemaakt in een directory in de organisatiegroep NorthAmerica. Het apparaat kan worden geregistreerd.

Toewijzing van Workspace ONE UEM-organisatiegroepen aan Workspace ONE Access-domeinen gebruiken

Configureer de Workspace ONE Access-service voor de toewijzing van Workspace ONE UEM-organisatiegroepen wanneer er meerdere directory's met hetzelfde e-maildomein worden geconfigureerd. U schakelt Domeinen toewijzen aan meerdere organisatiegroepen in op de AirWatch-configuratiepagina van de Workspace ONE Access-console.

Wanneer de optie Domeinen toewijzen aan meerdere organisatiegroepen is ingeschakeld, kunt u domeinen die in Workspace ONE Access zijn geconfigureerd, aan Workspace ONE UEM-organisatiegroeps-ID's toewijzen. Hiervoor is tevens de REST API-beheersleutel vereist.

In voorbeeld 2 zijn twee domeinen aan verschillende organisatiegroepen toegewezen. Er is een REST API-beheersleutel vereist. U kunt dezelfde REST API-beheersleutel gebruiken voor beide organisatiegroep-id's.

Figuur 2. Voorbeeld 2

Configureer op de AirWatch-configuratiepagina van de Workspace ONE Access-console een specifieke Workspace ONE UEM-organisatiegroeps-ID voor elk domein.

Figuur 3. Voorbeeld 2 Configuratie van organisatiegroepen

Wanneer gebruikers zich in deze configuratie met hun apparaat aanmelden bij Intelligent Hub, wordt een aanvraag voor een apparaatregistratie verstuurd waarmee gebruikers uit Domain3 worden opgezocht in de organisatiegroep Europe en gebruikers uit Domain4 in de organisatiegroep AsiaPacific.

In voorbeeld 3 is één domein toegewezen aan verschillende Workspace ONE UEM-organisatiegroepen. Beide directory's hebben hetzelfde e-maildomein. Het domein verwijst naar dezelfde Workspace ONE UEM-organisatiegroep.

Figuur 4. Voorbeeld 3

Wanneer gebruikers zich in deze configuratie aanmelden bij de Intelligent Hub-app, verschijnt een melding waarin ze worden gevraagd bij welke groep ze zich willen registreren. In dit voorbeeld hebben de gebruikers de keuze uit de groepen Engineering en Accounting.

Figuur 5. Organisatiegroepen waarin directory's hetzelfde domein delen

Apparaten in de juiste organisatiegroep plaatsen

Wanneer een gebruikersrecord wordt gevonden, wordt het apparaat toegevoegd aan de bijbehorende organisatiegroep. De inschrijvingsinstelling Toewijzing groeps-ID van Workspace ONE UEM bepaalt in welke organisatiegroep het apparaat wordt geplaatst. U vindt deze instelling op de pagina Systeeminstellingen > Toestellen & Gebruikers > Algemeen > Inschrijving > Groepen in de Workspace ONE UEM Console.

Figuur 6. Workspace ONE UEM-groepsregistratie voor apparaten

In voorbeeld 4 behoren alle gebruikers tot de organisatiegroep Corporate.

Figuur 7. Voorbeeld 4

De plaatsing van apparaten is afhankelijk van de toewijzingsmodus met groeps-id's die is ingesteld voor de organisatiegroep Corporate.

  • Als de standaardtoewijzing is ingesteld, wordt het apparaat in dezelfde groep geplaatst als de gebruiker. In voorbeeld 4 wordt het apparaat in de groep Corporate geplaatst.
  • Als u 'Gebruiker vragen om groeps-id te selecteren' heeft gekozen, wordt gebruikers gevraagd de groep te selecteren waarin ze hun apparaat willen registreren. In voorbeeld 4 zien gebruikers in de Intelligent Hub-app een vervolgkeuzemenu met de opties Engineering en Accounting.
  • Als u 'Automatisch selecteren op basis van gebruikersgroep' heeft gekozen, bepalen de gebruikersgroep en de bijbehorende toewijzing in de Workspace ONE UEM Console of de apparaten in de groep Engineering dan wel de groep Accounting worden geplaatst.

Een verborgen groep gebruiken

Wanneer gebruikers in voorbeeld 4 moeten aangeven bij welke organisatiegroep ze zich willen registreren, kunnen ze ook een groeps-ID opgeven die niet in de lijst van de Intelligent Hub-app wordt weergegeven. Dit wordt een verborgen groep genoemd.

In voorbeeld 5 zijn onder de organisatiegroep Corporate de groepen North America en Beta ondergebracht.

Figuur 8. Voorbeeld 5

In voorbeeld 5 voeren gebruikers hun e-mailadres in de Intelligent Hub-app in. Na de verificatie zien gebruikers een lijst waarin ze kunnen kiezen uit Engineering en Accounting. De groep Beta wordt niet als optie weergegeven. Als gebruikers de bijbehorende id van deze organisatiegroep kennen, kunnen ze die handmatig invoeren in het tekstvak groepsselectie en hun apparaat zo registreren bij de groep Beta.