Понятие переопределения настроек в расчете на организационную группу в сочетании с такими характеристиками организационной группы, как наследование и коллективная аренда, может быть дополнено проверкой подлинности. Такое сочетание обеспечит гибкость конфигураций.

Следующая модель организационной группы показывает, какой гибкости можно добиться.

На этой схеме показана иерархическая модель организационной группы, состоящая из родительской, дочерней и внучатой группы.

В этой модели Администраторы обычно имеют больше разрешений и возможностей и расположены на верхнем уровне организационной группы. Администраторы входят в организационную группу с использованием SAML, который используется только для администраторов.

Корпоративные пользователя подчинены администраторам, и их ОГ является дочерней группой ОГ администраторов. Если вы пользователь и не являетесь администратором, ваша настройка входа SAML не может наследовать настройку администратора. Поэтому SAML корпоративных пользователей переопределяется.

Пользователи BYOD отличаются от корпоративных пользователей. Устройства, используемые такими пользователями, принадлежат им самим и могут содержать больше личной информации. Поэтому в профилях этих устройств могут применяться другие настройки. Условия использования для пользователей BYOD также могут отличаться. На устройствах BYOD могут применяться другие параметры очистки корпоративных данных. По вышеуказанным причинам рекомендуется настроить вход в систему пользователей BYOD как отдельной группы.

Хотя такие пользователи не являются подчиненными корпоративным пользователям в иерархии, их размещение как дочерних по отношению к корпоративным имеет свои преимущества. Пользователи BYOD смогут наследовать настройки, применимые ко всем устройствам корпоративных пользователей, путем их применения к организационной группе корпоративных пользователей.

Также могут наследоваться настройки аутентификации SAML. Так как пользователи личных устройств являются дочерними по отношению к корпоративным, они могут наследовать свои настройки SAML для настроек проверки подлинности пользователей.

Альтернативная модель состоит в том, чтобы сделать пользователей BYOD одноуровневыми по отношению к корпоративным пользователям.

На этой схеме показана иерархическая модель организационной группы, состоящая из родительской и двух дочерних групп.

В рамках этой модели верно следующее.

  • Все профили устройства применяются глобально для всех устройств, включая политики соответствия, а другие параметры устройства, применимые глобально, применяются к двум организационным группам вместо одной. Причина дублирования в том, что в этой модели наследование от корпоративных пользователей пользователям BYOD больше не актуально. Корпоративные пользователи и пользователи BYOD находятся на одном уровне, поэтому наследования нет.
  • К пользователям BYOD должно применяться другое переопределение SAML. Это переопределение необходимо, потому что система предполагает, что она наследует настройки SAML от родительского уровня, то есть от администраторов. Такое допущение является ошибочным, поскольку пользователи BYOD не являются администраторами и не имеют тех же разрешений и доступа.
  • Пользователи BYOD продолжают обрабатываться отдельно от корпоративных пользователей. Эта альтернативная модель означает, что они могут по-прежнему использовать свои собственные настройки профиля устройства.

Как определить, какая модель лучше? Сравните количество глобально применяемых параметров устройства с количеством настроек устройства для конкретной группы. Если нужно обрабатывать все устройства одинаково, вы можете сделать пользователей BYOD дочерними по отношению к корпоративным. Если же для вас важно использовать отдельные настройки, можно сделать пользователей BYOD одноуровневыми по отношению к корпоративным.

Дополнительные сведения см. в разделе Очистка корпоративных данных для устройств BYOD.

Подробный пример наследования организационной группы с регистрацией см. в разделе Интеграция службы каталогов и ограничения регистрации.