Можно считать организационные группы отдельными ветвями генеалогического древа, где каждый лист является пользователем устройства. Workspace ONE UEM powered by AirWatch идентифицирует каждый лист и устанавливает его положение в генеалогическом древе с помощью организационных групп. Большинство заказчиков создают организационные группы в соответствии с корпоративной иерархией: руководители, администрация, операционный отдел, отдел продаж и т. д.

Также можно создать организационные группы на основе функций и контента Workspace ONE UEM.

Организационные группы доступны в разделе Группы и настройки > Группы > Организационные группы > Список или в раскрывающемся меню организационных групп.

  • Создавайте группы для объектов организации («Управление», «Оклад», «Почасовая оплата», «Продажи», «Розничная торговля», «Отдел кадров», «Дирекция» и т. д.)
  • Настраивайте иерархии с помощью родительских и дочерних уровней (например, «Оклад» и «Почасовая оплата» могут являться дочерними элементами группы «Управление»).
  • Выполняйте интеграцию с несколькими внутренними инфраструктурами на соответствующем уровне.
  • Делегируйте доступ и управление на основе ролей в соответствии с мультитенантной структурой.
Примечание: Представление списка организационных групп определяет «Активные устройства» как устройства, которые сообщили Workspace ONE UEM Console о своем состоянии в течение предыдущих 8 часов.

Характеристики организационных групп

Организационные группы включают в себя функциональные, географические и организационные структуры и позволяют реализовать мультитенантные решения.

  • Масштабируемость: обеспечивает гибкую поддержку для экспоненциального роста.
  • Мультитенантность: позволяет создавать группы, которые работают как отдельные среды.
  • Наследование: упрощает процесс установки, задавая дочерние группы, наследующие конфигурации родительских.

Используя пример раскрывающегося меню организационных групп, можно настроить профили, функции, приложения и другие настройки MDM на уровне глобального предприятия.

Настройки передаются сверху вниз к дочерним организационным группам, например к группам Азиатско-Тихоокеанский регион и EMEA и далее могут быть спущены к элементам третьего порядка: Азиатско-Тихоокеанский регион > Производственный отдел, или еще ниже — к элементам четвертого порядка: Азиатско-Тихоокеанский регион > Отдел операций > Корпоративный департамент.

Настройки одноранговых организационных групп (например, Азиатско-Тихоокеанский регион и EMEA) используют преимущества мультитенантной природы организационных групп (ОГ), которая позволяет хранить эти настройки отдельно друг от друга. В то же время эти две одноранговые ОГ наследуют настройки от родительской ОГ (World Wide Enterprises).

Кроме того, можно переопределять настройки на нижнем уровне и изменять или сохранять только необходимые. Эти настройки можно изменять и передавать на любой из уровней ниже.

Настройка организационных групп

Прежде чем создавать иерархию организационных групп (ОГ) в Workspace ONE UEM Console, определите структуру групп. Это оптимизирует использование настроек, приложений и ресурсов.

  • Делегированное администрирование. Управление подгруппами можно передавать администраторам нижнего уровня, ограничивая их доступ только нужной организационной группой.
  • Корпоративные администраторы могут просматривать всю среду.
  • У менеджера в Москве есть доступ к своей группе и только тем устройствам, которые входят в нее.
  • У менеджера в Санкт-Петербурге есть доступ к своей группе и только тем устройствам, которые входят в нее.
  • Системные настройки. Настройки могут применяться к различным уровням дерева организационных групп и наследоваться нижними уровнями. Кроме того, настройки могут быть переопределены на любом уровне. Настройки включают в себя варианты регистрации, способы аутентификации, настройки конфиденциальности и брендинг.
  • Все устройства регистрируются на сервере Active Directory компании.
  • Устройства водителей переопределяют основные настройки аутентификации, разрешая регистрацию с помощью маркеров.
  • Складские устройства наследуют настройки AD от родительской группы.
  • Использование устройств. Профиль можно назначить одной или нескольким организационным группам. Устройства в этих группах могут получить данный профиль. Подробнее см. в разделе «Профили». Прежде чем создавать организационные группы, рекомендуем настроить профили, приложения и контент для таких атрибутов устройства, как модель устройства, тип принадлежности и группы пользователей.
  • На устройствах руководства нельзя устанавливать приложения, и у них нет доступа к сетям Wi-Fi отдела продаж.
  • На устройствах отдела продаж можно устанавливать приложения, и у них есть доступ к VPN.

Изменение организационных групп

Организационные группы можно изменить, выбрав индикатор организационной группы в правом верхнем углу экрана.

Если параметр выбран, в раскрывающемся меню отображается иерархия организационной группы, которая позволяет перейти в другую организационную группу.

Сравнение двух организационных групп

Можно сравнить настройки двух организационных групп, чтобы уменьшить риски, связанные с переходом на новую версию. Функция сравнения организационных групп доступна только для локальных пользователей.

При сравнении настроек организационной группы можно выполнить следующие задачи.

  • Отправлять XML-файлы, содержащие настройки организационной группы, из разных версий программного обеспечения Workspace ONE UEM.
  • Устранять возможные различия в конфигурации, чтобы предотвратить проблемы при миграции версий.
  • Фильтровать результаты сравнения и отображать только те настройки, сравнение которых представляет интерес.
  • Искать определенную настройку по имени с помощью функции поиска.

Пример сценария перехода на новую версию: после обновления, настройки и тестирования сервера приемочного пользовательского тестирования (UAT) можно напрямую сравнить полученные параметры UAT с рабочими параметрами.

  1. Перейдите в раздел Группы и настройки > Все настройки > Администрирование > Управление настройками > Сравнение настроек.
  2. Выберите организационную группу в своей среде из раскрывающегося меню слева (отмечено цифрой 1) или отправьте XML-файл настроек (нажмите кнопку Отправить и выберите XML-файл экспортированных настроек организационной группы).
  3. Из раскрывающегося меню выберите организационную группу для сравнения (отмечено цифрой 2).
  4. Чтобы отобразить список всех настроек для обеих выбранных организационных групп, нажмите кнопку Обновить.
    • Различия между двумя наборами настроек организационных групп будут выделены автоматически.
    • При желании можно установить флажок Показать только отличия, тогда будут показаны настройки, которые применены только к одной организационной группе.
    • Индивидуальные настройки, которые не заполнены или не указаны в списке сравнения, будут отмечены как NULL.

Создание организационных групп

Организационные группы (ОГ) необходимо создать для каждого бизнес-подразделения, где развернуты мобильные устройства. Обратите внимание: ОГ, к которой вы на данный момент принадлежите, является родительской для дочерней ОГ, которую вы будете создавать.

  1. Перейдите в раздел Группы и настройки > Группы > Организационные группы > Сведения.
  2. Откройте вкладку Добавить дочернюю орг. группу и задайте следующие настройки.
    Настройка Описание
    Имя Позволяет задать имя дочерней организационной группы (ОГ) для отображения. Можно использовать только буквенно-цифровые символы. Другие символы использовать нельзя.
    ID группы

    Позволяет ввести код-идентификатор ОГ, который необходим пользователям для входа в устройство. ID группы используется во время регистрации для направления устройств в соответствующую ОГ.

    Убедитесь, что пользователи общих устройств получили ID группы, так как этот идентификатор может потребоваться при входе в устройство (в зависимости от настройки общего устройства).

    Если вы не находитесь в локальной среде, идентификатор группы определяет организационную группу во всей общей среде SaaS. Для этого все идентификаторы группы должны иметь уникальные имена.
    Тип Позволяет выбрать предварительно настроенный тип ОГ, который отражает категорию дочерней ОГ.
    Страна Позволяет выбрать страну, в которой находится ОГ.
    Локаль Позволяет задать язык для выбранной страны.
    Отрасль клиента Эта настройка доступна только для типа «Клиент». Позволяет выбрать значение из списка «Отрасли клиентов».
    Часовой пояс Выберите часовой пояс для местоположения организационной группы.
  3. Нажмите Сохранить.

Удаление организационной группы

Можно удалить организационную группу, если она не содержит дочерних элементов организационной группы, а также устройств, которые входят в нее.
  1. Перейдите к организационной группе, которую нужно удалить, выбрав ее в раскрывающемся меню организационной группы.

  2. Перейдите в раздел Группы и настройки > Группы > Организационные группы > Сведения.
  3. В нижней части экрана Сведения проверьте количество Устройств в организационной группе и Дочерних организационных групп. Если их количество не равно нулю, тогда удалить организационную группу будет невозможно, и кнопка Удалить будет недоступна.

    Необходимо переместить все устройства из этой организационной группы в другую. Кроме того, все дочерние организационные группы организационной группы, которую необходимо удалить, не должны содержать устройства перед удалением.

  4. Если количество Устройств в организационной группе и Дочерних организационных групп будет равно нулю, можно будет продолжить удаление организационной группы.
  5. Нажмите кнопку Удалить.
  6. Отображается экран Ограниченное действие — Удаление организационной группы, а также предупреждения о подготовительных действиях, которые могут потребоваться перед удалением организационной группы.
  7. Чтобы продолжить удаление, необходимо ввести 4-значный PIN-код безопасности, который был выбран во время вашей регистрации в качестве администратора UEM. Сбросьте этот PIN-код, выбрав Забыли PIN безопасности?Ссылка .

Определение идентификатора любой организационной группы

Можно определить идентификатор любой организационной группы, выполнив следующие действия.

  1. Перейдите к организационной группе, которую нужно определить, выбрав ее в раскрывающемся меню организационной группы.

  2. Наведите указатель мыши на метку ОГ. Во всплывающем окне отображается имя и идентификатор выбранной организационной группы.

Наследование, коллективная аренда и проверка подлинности

Понятие переопределения настроек в расчете на организационную группу в сочетании с такими характеристиками организационной группы, как наследование и коллективная аренда, может быть дополнено проверкой подлинности. Такое сочетание обеспечит гибкость конфигураций.

Следующая модель организационной группы показывает, какой гибкости можно добиться.

На этой схеме показана иерархическая модель организационной группы, состоящая из родительской, дочерней и внучатой группы.

В этой модели Администраторы обычно имеют больше разрешений и возможностей и расположены на верхнем уровне организационной группы. Администраторы входят в организационную группу с использованием SAML, который используется только для администраторов.

Корпоративные пользователя подчинены администраторам, и их ОГ является дочерней группой ОГ администраторов. Если вы пользователь и не являетесь администратором, ваша настройка входа SAML не может наследовать настройку администратора. Поэтому SAML корпоративных пользователей переопределяется.

Пользователи BYOD отличаются от корпоративных пользователей. Устройства, используемые такими пользователями, принадлежат им самим и могут содержать больше личной информации. Поэтому в профилях этих устройств могут применяться другие настройки. Условия использования для пользователей BYOD также могут отличаться. На устройствах BYOD могут применяться другие параметры очистки корпоративных данных. По вышеуказанным причинам рекомендуется настроить вход в систему пользователей BYOD как отдельной группы.

Хотя такие пользователи не являются подчиненными корпоративным пользователям в иерархии, их размещение как дочерних по отношению к корпоративным имеет свои преимущества. Пользователи BYOD смогут наследовать настройки, применимые ко всем устройствам корпоративных пользователей, путем их применения к организационной группе корпоративных пользователей.

Также могут наследоваться настройки аутентификации SAML. Так как пользователи личных устройств являются дочерними по отношению к корпоративным, они могут наследовать свои настройки SAML для настроек проверки подлинности пользователей.

Альтернативная модель состоит в том, чтобы сделать пользователей BYOD одноуровневыми по отношению к корпоративным пользователям.

На этой схеме показана иерархическая модель организационной группы, состоящая из родительской и двух дочерних групп.

В рамках этой модели верно следующее.

  • Все профили устройства применяются глобально для всех устройств, включая политики соответствия, а другие параметры устройства, применимые глобально, применяются к двум организационным группам вместо одной. Причина дублирования в том, что в этой модели наследование от корпоративных пользователей пользователям BYOD больше не актуально. Корпоративные пользователи и пользователи BYOD находятся на одном уровне, поэтому наследования нет.
  • К пользователям BYOD должно применяться другое переопределение SAML. Это переопределение необходимо, потому что система предполагает, что она наследует настройки SAML от родительского уровня, то есть от администраторов. Такое допущение является ошибочным, поскольку пользователи BYOD не являются администраторами и не имеют тех же разрешений и доступа.
  • Пользователи BYOD продолжают обрабатываться отдельно от корпоративных пользователей. Эта альтернативная модель означает, что они могут по-прежнему использовать свои собственные настройки профиля устройства.

Как определить, какая модель лучше? Сравните количество глобально применяемых параметров устройства с количеством настроек устройства для конкретной группы. Если нужно обрабатывать все устройства одинаково, вы можете сделать пользователей BYOD дочерними по отношению к корпоративным. Если же для вас важно использовать отдельные настройки, можно сделать пользователей BYOD одноуровневыми по отношению к корпоративным.

Ограничения организационных групп

При попытке настроить параметры, ограниченные организационной группой (ОГ), на страницах настроек в разделе Группы и настройки > Настройки появится сообщение об этом ограничении.

Эту настройку можно включить только для организационной группы типа «Клиент».

При создании организационных групп клиентского уровня применяются следующие ограничения.

  • В среде, использующей концепцию «программное обеспечение как услуга» (SaaS), или в локальной среде, нельзя создавать вложенные организационные группы клиентского уровня.

Функции типов и настройки организационных групп

Тип организационной группы может определять, какие настройки может выполнять администратор.

  • Глобальная. Организационная группа самого высшего уровня. Обычно группа имеет название «Глобальная» и имеет тип «Глобальный».
    • Глобальные группы размещенных сред SaaS недоступны пользователям.
    • Локальные клиенты могут использовать вход в систему со сбором дополнительных данных для этого уровня.
  • Клиентская. Организационная группа верхнего уровня для всех клиентов.
    • Организационная группа клиента не может иметь дочерние/родительские организационные группы типа «клиент».
    • Важные рабочие процессы могут выполняться только в организационной группе клиентского типа или в пределах иерархии. Рабочие процессы включают добавление устройства, регистрацию устройства, сопоставление групп пользователей, создание и сопоставление смарт-групп, изменение организационной группы на устройстве (или перемещение устройства из одной ОГ в другую) и возврат устройства.
    • Некоторые параметры можно настроить только в группе типа «Клиент». Эти параметры применяются к ОГ низшего уровня. Примерами являются домены электронной почты с автоматическим обнаружением, параметры программы Volume Purchase Program, параметры программы регистрации устройств (до версии AirWatch 8.0) и личный контент.
  • Контейнер. Тип организационной группы по умолчанию.
    • Все организационные группы ниже уровня клиентской организационной группы должны иметь тип «Контейнер». Контейнеры могут находиться между группами «Партнер» и «Клиент».
  • Партнер — организационная группа верхнего уровня для партнеров (сторонних торговых посредников Workspace ONE UEM).
  • Перспективный клиент. Потенциальные заказчики. Аналогично организационной группе клиентского типа. Возможности могут быть значительно ограничены по сравнению с полноценной клиентской группой.

Существуют дополнительные типы организационных групп, например «Отдел», «Регион». Также пользователи могут создавать собственные определения для типов организационной группы.

Добавить тип организационной группы

Можно добавлять настраиваемые типы организационных групп. Эти типы обычно не обладают особыми характеристиками и используются как организационные группы контейнерного типа.

Чтобы создать собственный тип организационной группы...
  1. Откройте Группы и настройки > Группы > Организационные группы > Типы, а затем нажмите Добавить тип организационной группы.
  2. Введите Имя для типа организационной группы и его Описание.
  3. Нажмите Сохранить.

Добавление устройств в глобальную ОГ

В глобальной организационной группе размещается клиентская и другие типы ОГ. Если добавить устройства в глобальную группу и соответствующим образом настроить ее, это также повлияет на устройства в клиентских ОГ более низкого уровня — сработает принцип наследования. Это нивелирует преимущества мультитенантности и наследования.

Подробнее см. в разделе Причины не регистрировать устройства в глобальной организационной группе.