Пользователей можно объединять в группы, которые наподобие организационных групп выступают в качестве фильтров для назначения профилей и приложений. При настройке среды в Workspace ONE UEM согласуйте группы пользователей с группами безопасности и бизнес-ролями в организации.

Используйте группы пользователей, чтобы назначать пользователям и устройствам профили, политики соответствия, контент и приложения. Можно добавлять существующие группы служб каталогов в Workspace ONE UEM или создавать группы пользователей с нуля.

В качестве альтернативы группам пользователей можно управлять контентом, назначая устройства согласно заранее настроенным диапазонам IP-адресов сети или настраиваемым атрибутам.

Список групп пользователей

На странице «Список групп пользователей» представлены полезные средства для общего обслуживания и поддержки групп пользователей, в том числе средства просмотра, объединения и удаления таких групп, добавления отсутствующих пользователей и синхронизации групп пользователей.

На этой странице можно быстро создавать списки групп пользователей, используя необходимые критерии. Кроме того, можно добавлять новые группы пользователей индивидуально или пакетами.

Перейдите в раздел Аккаунты > Группы пользователей > Список.

Действие Описание

Фильтры

Позволяет просматривать только необходимые группы пользователей с помощью следующих фильтров.

  • Тип группы пользователей.
  • Статус синхронизации.
  • Статус объединения.
Добавить  

Добавить группу пользователей.

Единичное добавление группы пользователей на основе каталога или настраиваемой группы пользователей.

Пакетный импорт

Импорт нескольких новых групп пользователей при помощи CSV-файлов (файлов с разделителями-запятыми). Можно сразу организовать несколько групп пользователей, введя уникальное имя и описание.
Сортировка и изменение размера столбцов Столбцы в режиме просмотра «Список», которые можно сортировать: «Имя группы», «Последняя синхронизация», «Пользователи» и «Статус объединения». Столбцы «Имя группы» и «Последняя синхронизация» можно изменять в размере.
Просмотр подробностей Позволяет просматривать сведения о базовых группах пользователей в списке «Просмотр подробностей», если выбрана ссылка в столбце Имя группы. Сведения включают имя и тип группы, внешний тип, менеджера и число пользователей. В списке «Просмотр подробностей» также отображается ссылка на настройки сопоставления групп, которые выбраны в пункте Все настройки > Устройства и пользователи > Общие > Регистрация на вкладке Группирование.
Экспорт () Сохранение всего фильтрованного или нефильтрованного списка в виде файла XLSX или CSV. Файлы обоих этих форматов можно просматривать и анализировать в MS Excel.

На странице Список групп пользователей слева от каждой группы расположен флажок выбора и значок Изменить. Выберите значок Изменить (Значок «Изменить» выглядит как серый карандаш.), чтобы выполнить базовые изменения в группе пользователей. Если выбрать одну или несколько групп, будут доступны кнопки действий для списка и можно будет совершать пакетные действия с группами пользователей.

Дополнительные действия для групп пользователей

Вы можете выбрать несколько групп пользователей, установив флажок возле каждой из них. Это изменяет доступные управляющие кнопки, а также позволяет применять доступные действия к нескольким группам и соответствующим пользователям.

Действие Описание
Синхронизировать Позволяет вручную скопировать недавно добавленных пользователей группы во временную таблицу до выполнения запланированной автоматической синхронизации Active Directory в Workspace ONE UEM и Workspace ONE Express.
Примечание: Процесс синхронизации атрибутов пользователей продолжается даже в том случае, если обнаружен дублированный пользователь. При таком сбое синхронизации в журнал событий консоли добавляется запись DuplicateUserSyncFailure. Чтобы проверить эту и другие записи в журнале событий консоли, перейдите в раздел Отслеживание > Отчеты и аналитика > События > События консоли.
Просмотреть пользователей Отображает экран Члены группы пользователей, позволяя просматривать имена всех участников группы.
Дополнительные действия  

Просмотр и объединение

Просмотреть, добавить или удалить пользователей, недавно добавленных во временную таблицу пользователей. Пользователи группы, отображаемые в этой таблице, ожидают автоматической синхронизации групп пользователей в Workspace ONE UEM и Workspace ONE Express.

Добавить отсутствующих пользователей

Объединить временные таблицы групп пользователей с таблицами Active Directory, чтобы завершить формальное добавление этих администраторов в группу.

Удалить

Удалить группу пользователей.

Добавление пользователей в группы

При необходимости можно добавлять пользователей в группы пользователей. Если не требуется дожидаться синхронизации Active Directory для групп пользователей, которая должна автоматически выполняться в соответствии с расписанием, можно синхронизировать группы пользователей вручную.

Если необходимо добавить нового пользователя в одну или несколько групп, выполните следующие шаги.

  1. Перейдите в раздел Учетные записи > Пользователи > Список.
  2. Выберите одного или нескольких пользователей из списка, установив флажок в поле слева.
  3. Нажмите кнопку Дополнительные действия и выберите Добавить в группу пользователей. Отобразится страница Добавить выбранных пользователей в настраиваемую группу пользователей.
  4. Можно добавить пользователей в существующую группу или создать новую группу пользователей.
  5. Выберите имя группы.
  6. Нажмите Сохранить.
  7. Перейдите в раздел Аккаунты > Группы пользователей > Список.
    1. а.При синхронизации Active Directory (AD), которая является автоматическим, выполняющимся по расписанию процессом, ожидающие пользователи группы копируются во временную таблицу. После этого этих пользователей группы можно просмотреть, добавить или удалить.
    2. б.Чтобы не дожидаться автоматической синхронизации AD, можно выполнить синхронизацию вручную. Для этого выберите группу, в которую будут добавляться пользователи, а затем нажмите кнопку Синхронизация.
      Примечание: Процесс синхронизации атрибутов пользователей продолжается даже в том случае, если обнаружен дублированный пользователь. При таком сбое синхронизации в журнал событий консоли добавляется запись DuplicateUserSyncFailure. Чтобы проверить эту и другие записи в журнале событий консоли, перейдите в раздел Отслеживание > Отчеты и аналитика > События > События консоли.
  8. При необходимости можно использовать функции раздела Дополнительно > Просмотр и объединение для выполнения таких задач по обслуживанию, как просмотр, добавление и удаление ожидающих пользователей группы.
  9. Объедините временную таблицу ожидающих пользователей в группе пользователей с пользователями в группе пользователей Active Directory, выбрав Дополнительно > Добавить отсутствующих пользователей.

Добавление настраиваемых групп пользователей без интеграции со службами каталогов

В любое время можно создать специализированные группы вне существующей структуры Active Directory. Настройте группы пользователей для развернутой среды, создав права доступа к функциям и содержимому. Выбор зависит от того, какой тип группы пользователей необходим.

Например, можно создать временную группу пользователей для конкретного проекта со специализированными приложениями, профилями устройств и политиками соответствия.

Подробнее о пакетном добавлении групп пользователей см. в разделе Пакетный импорт групп пользователей.

Настраиваемые группы пользователей можно добавлять только в организационную группу клиентского уровня.

  1. Перейдите в раздел Учетные записи > Группы пользователей > Список и выберите Добавить, затем выберите Добавить группу пользователей.
  2. Смените тип группы пользователей на Настраиваемый.
  3. Введите в поля Имя группы и Описание значения, которые используются для идентификации группы пользователей в Workspace ONE UEM Console.
  4. Подтвердите организационную группу, которая управляет группой пользователей и нажмите Сохранить.
  5. После этого вы можете добавлять пользователей в эту новую группу, для этого необходимо перейти в раздел Учетные записи > Пользователи > Представление списка.

Чтобы добавить нескольких пользователей, необходимо установить флажки слева от каждого имени пользователя. Затем нужно нажать кнопку Управление над заголовками столбцов и выбрать Добавить в группу пользователей.

Добавление групп пользователей с интеграцией каталогов

Второй вариант работы с группами пользователей — это интеграция групп, при которой используется существующая структура Active Directory. Этот вариант предоставляет много преимуществ.

После импорта существующих групп службы каталогов в качестве групп пользователей Workspace ONE UEM можно выполнять следующие задачи.

  • Управление пользователями. Используйте существующие группы службы каталогов (например, группы безопасности или списки рассылки) и совместите управление пользователями в Workspace ONE UEM с существующими организационными системами.
  • Профили и политики. Назначайте профили, приложения и политики через в развернутом экземпляре Workspace ONE UEM группам пользователей.
  • Интегрированные обновления. Позволяет автоматически обновлять назначения групп пользователей на основе изменений членства в группе.
  • Разрешения управления. Позволяет задавать разрешения управления, чтобы только утвержденные администраторы могли изменять назначения политик и профилей для определенных групп пользователей.
  • Регистрация. Позволяет разрешать пользователям регистрироваться, используя существующие учетные данные, и автоматически назначать организационную группу.

Администратор должен назначить существующую организационную группу в качестве корневой, из которой будет осуществляться управление устройствами и пользователями. Службы каталогов должны быть включены в этой корневой организационной группе.

Существующие группы служб каталогов можно добавить в Workspace ONE UEM. Хотя интеграция не создаст сразу же аккаунты пользователей AirWatch для аккаунтов служб каталогов, но она гарантирует, что Workspace ONE UEM распознает эти группы как группы пользователей. Эту группу можно использовать для ограничения регистрации.

Подробнее о пакетном добавлении групп пользователей каталогов см. в разделе Пакетный импорт групп пользователей.

Создание групп пользователей с интеграцией каталогов помогает упорядочить управление устройствами. Регистрация устройств и последующие обновления, администрирование и управление пользователями неразрывно связаны с вашими службами каталогов.

Сначала убедитесь, что для типа группы пользователей выбрано значение Каталог.

  1. Перейдите в раздел Учетные записи > Группы пользователей > Представление списка и выберите Добавить, после чего выберите Добавить группу пользователей.
    Настройка Описание
    Типы

    Позволяет выбрать тип группы пользователей.

    • Каталог: позволяет создать группу пользователей в соответствии с существующей структурой Active Directory.
    • Настраиваемый: позволяет создать группу пользователей вне существующей в организации структуры Active Directory. Этот тип группы пользователей предоставляет доступ к компонентам и контенту для базовых пользователей и пользователей каталога, чтобы настроить группы пользователей для конкретного развертывания. Настраиваемые группы пользователей можно добавлять только в организационную группу клиентского уровня.
    Внешний тип

    Позволяет выбрать внешний тип добавляемой группы.

    • Группа: позволяет указать класс объектов группы, на котором основывается группа пользователей. Класс можно настроить в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов > Группа.
    • Организационное подразделение: позволяет указать класс объектов организационного подразделения, на котором основывается группа пользователей. Класс можно настроить в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов > Группа.
    • Настраиваемый запрос: позволяет создать группу пользователей в результате выполнения настраиваемого запроса. Если выбрать этот внешний тип, функцию «Поиск текста» заменит раздел «Настраиваемый запрос».
    Поиск

    Чтобы найти группу пользователей в каталоге, необходимо ввести ее имя как критерий поиска и нажать Поиск. Отобразится список имен групп, в которых содержится искомый текст.

    Этот параметр недоступен, если для настройки Внешний тип задано значение Настраиваемый запрос.

    Название каталога Настройка, предназначенная только для чтения, которая показывает адрес сервера служб каталогов.

    Домен и Базовое DN группы

    Эта информация добавляется автоматически на основе данных сервера служб каталогов, которые вводятся на странице Службы каталогов (Группы и настройки > Система > Интеграция предприятий > Службы каталогов).

    Нажмите на знак «+» в пункте Извлечь DN рядом с настройкой Базовое DN группы, чтобы просмотреть список доступных различающихся имен.

    Настраиваемый класс объекта

    Позволяет определить класс объектов, для которых выполняется запрос. По умолчанию используется класс объектов person, но можно использовать настраиваемый класс объектов, чтобы точнее определить пользователей.

    Это параметр доступен, только если в качестве внешнего типа выбран настраиваемый запрос.

    Имя группы

    Необходимо выбрать имя группы в результатах поиска. Выбранное имя группы автоматически заменит значение для настройки «Различающееся имя».

    Этот параметр доступен только после успешного выполнения поиска с настройкой Поиск текста.

    Различающееся имя

    Настройка, предназначенная только для чтения, которая показывает полное различающееся имя создаваемой группы.

    Этот параметр доступен, только если в качестве внешнего типа выбраны группа или организационное подразделение.

    Настраиваемое базовое DN

    Позволяет определить базовое различающееся имя, которое служит отправной точкой запроса. Базовые различающиеся имена по умолчанию: AirWatchи и sso. Но можно использовать настраиваемое базовое различающееся имя, чтобы выполнить запрос из другой отправной точки.

    Это параметр доступен, только если в качестве внешнего типа выбран настраиваемый запрос.

    Назначение организационных групп

    Эта необязательная настройка позволяет назначить созданную группу пользователей определенной организационной группе (ОГ).

    • Этот параметр доступен, только если в качестве внешнего типа выбраны группа или организационное подразделение.
    • Необходимо выбрать ОГ «клиентского» типа. Невозможно назначить группу пользователей для организационной группы неклиентского типа.
    Настройки группы пользователей

    Доступны варианты: Установить настройки по умолчанию или Использовать настраиваемые параметры для данной группы пользователей. Подробное описание настройки см. в разделе Настраиваемые параметры. Этот параметр можно задать в настройках разрешений после создания группы.

    Этот параметр доступен, только если в качестве внешнего типа выбраны группа или организационное подразделение.

    Настраиваемый запрос — запрос Эта настройка отображает только что загруженный запрос. Чтобы выполнить его, необходимо нажать кнопки Пробный запрос и Продолжить. Здесь отображаются все изменения настроек Настраиваемая логика и Настраиваемый класс объектов.
    Настраиваемая логика Позволяет задать настраиваемую логику запроса, например имя пользователя. Пример: "cn=jsmith". В запрос можно включить любую часть различающегося имени. Кнопка Пробный запрос позволяет проверить результаты запроса перед нажатием кнопки Продолжить.
    Настраиваемые параметры — разрешения на управление Позволяет разрешить или запретить администраторам управлять созданной группой пользователей.
    Роль по умолчанию Позволяет выбрать роль по умолчанию для группы пользователей в раскрывающемся меню.
    Политика регистрации по умолчанию Позволяет выбрать политику регистрации по умолчанию в раскрывающемся меню.
    Автосинхронизация с каталогом

    Позволяет включить синхронизацию каталогов, которая определяет членство пользователя на сервере каталогов и сохраняет информацию во временную таблицу. Администраторы утверждают все изменения в console, если не включена функция «Автоматическое объединение».

    Чтобы предотвратить автоматическую запланированную синхронизацию групп пользователей, необходимо деактивировать эту настройку.

    Автоматическое объединение изменений Позволяет автоматически применять изменения при синхронизации из базы данных без утверждения администратором.
    Максимально допустимое число изменений

    Позволяет задать максимальное количество автоматических изменений при синхронизации групп пользователей, для которого не требуется утверждения.

    Когда количество изменений превысит это пороговое значение, потребуется утверждение администратора и будет отправлено соответствующее уведомление.

    Этот параметр доступен, только если включено автоматическое объединение изменений.

    Автоматическое добавление членов группы

    Позволяет автоматически добавлять пользователей в группу.

    Чтобы предотвратить автоматическую запланированную синхронизацию групп пользователей, необходимо деактивировать эту настройку.

    Отправлять электронное сообщение пользователю при добавлении отсутствующих пользователей Позволяет отправлять электронное сообщение пользователям, когда в группу пользователей добавляются отсутствующие пользователи. Добавление отсутствующих пользователей — это объединение временной таблицы групп пользователей с таблицей Active Directory.
    Шаблон сообщения

    Этот параметр доступен, только если включен параметр Отправление писем пользователю при добавлении отсутствующих пользователей.

    Позволяет выбрать шаблон сообщения для уведомления по электронной почте при добавлении отсутствующих пользователей в группу.

    Когда в Workspace ONE UEM Console добавляются новые пользователи Active Directory, доступность шаблона сообщения зависит от режима регистрации, настроенного в пункте Группы и настройки > Все настройки > Устройства и пользователи > Общие > Регистрация при выборе пункта Проверка подлинности, а также от варианта, выбранного в пункте Режим регистрации устройств.

    Если для параметра Режим регистрации устройств выбран вариант Открытая регистрация, в раскрывающемся списке Шаблон сообщения отображается шаблон электронного сообщения об активации пользователя. Это электронное сообщение позволяет новому пользователю AD выполнить регистрацию.

    Если для параметра Режим регистрации устройств выбран вариант Только зарегистрированные устройства, в раскрывающемся списке Шаблон сообщения отображается шаблон сообщения об активации устройства. Это электронное сообщение позволяет новому пользователю AD зарегистрировать свои устройства. Если включен параметр Необходим маркер регистрации, устройство можно зарегистрировать с использованием маркера, встроенного в сообщение.

    Подробнее о различающемся имени см. в статье Microsoft TechNet "Object Naming" на странице https://technet.microsoft.com/.

  2. Нажмите Сохранить.

Изменение разрешений для группы пользователей

Настройка разрешений для групп пользователей позволяет установить, кто в организации может изменять определенные группы. Например, если в организации есть группа пользователей для руководителей, возможно, администраторы более низкого уровня не должны обладать разрешениями для управления данной группой.

Используйте страницу Разрешения, чтобы определять, кто может управлять определенными группами пользователей и кто может назначать профили, политики соответствия и приложения группам пользователей.

  1. Перейдите в раздел Аккаунты > Группы пользователей > Список.
  2. Нажмите значок Изменить в строке существующей группы пользователей.
  3. Откройте вкладку Разрешения и нажмите Добавить.
  4. Выберите организационную группу, для которой определяете разрешения. Необходимо выбрать организационную группу (ОГ), которая находится в иерархии корневой ОГ группы пользователей. Выбранная ОГ должна также быть клиентского типа. Подробнее см. в разделе Функции типов и настройки организационных групп.
  5. Выберите разрешения, которые хотите включить.
    • Управлять группой (изменять/удалять): позволяет изменять и удалять группы пользователей.
    • Управлять пользователями в группе и разрешать регистрацию: позволяет управлять пользователями в группе и разрешать регистрацию устройств в организационной группе. Эта настройка доступна, только если включена настройка «Управлять группой (изменять/удалять)». Эта настройка деактивируется, если настройка «Управлять группой (изменять/удалять)» деактивирована.
    • Назначать группе: позволяет использовать группу, чтобы назначать устройствам политики безопасности и корпоративные ресурсы. Эта настройка доступна для изменения, только если деактивирована настройка «Управлять группой (изменять/удалять)». Эта настройка блокируется и становится недоступной для изменения, если включена настройка «Управлять группой (изменять/удалять)».
      • Эта настройка деактивирована, если группа пользователей управляется родительской организационной группой и нужно назначить группу из одной из ее дочерних организационных групп.
  6. Выберите сферу действия этих разрешений, то есть группы администраторов, которые могут управлять данной группой пользователей. Будет активен только один из следующих параметров.
    • Только администратор: разрешения затронут только администраторов родительской организационной группы.
    • Все администраторы данной орг. группы и ниже: разрешения затронут администраторов родительской ОГ и всех администраторов дочерних групп.

Доступ к сведениям о пользователях

После того как пользователи и группы пользователей будут определены, вы сможете просматривать всю информацию о пользователях, в том числе сведения о пользователе, связанные устройства и взаимодействия.

Доступ к сведениям о пользователе можно получить из любого местоположения в Workspace ONE UEM Console, где отображается имя пользователя, включая каждую из следующих страниц в консоли.

  • Участники группы пользователей (Учетные записи > Группы пользователей > Просмотр сведений > Дополнительно > Просмотр пользователей)
  • Список пользователей (Учетные записи > Пользователи > Список)
  • Список администраторов (Учетные записи > Администраторы > Список).

Страница сведений о пользователе отображается в одностраничном режиме.

  • Все связанные группы пользователей.
  • Все устройства, связанные с пользователем за все время, и ссылка на все зарегистрированные устройства.
  • Все устройства, которые пользователь вернул в среду общих устройств, а также ссылка на полный журнал выданных и возвращенных устройств.
  • Все журналы событий для устройства или пользователя.
  • Все назначенные, принятые и отклоненные условия использования.

Шифрование личных данных

Личные данные, включая имя, фамилию, электронный адрес и номер телефона, можно зашифровать.

  1. Перейдите в Группы и настройки > Все настройки > Система > Безопасность > Безопасность данных в орг. группе глобального уровня или орг. группе клиентского типа, в которой вы хотите настроить шифрование.
  2. Включите настройку Шифрование пользовательских данных и выберите настройки данных отдельных пользователей, чтобы приступить к шифрованию. При этом возможности поиска, сортировки и фильтрации будут деактивированы.
  3. Щелкните Сохранить, чтобы зашифровать данные пользователя. Теперь они недоступны в базе данных. Применение шифрования ограничивает часть функций в Workspace ONE UEM Console, например поиск, сортировку и фильтрацию.