Корпоративные файловые серверы

Решение Content Management поддерживает интеграцию с корпоративными файловыми серверами (CFS). Корпоративные файловые серверы относятся к существующим хранилищам, которые находятся во внутренней сети организации.

Возможности

Интеграция с корпоративными файловыми серверами поддерживает следующие возможности.

• Безопасная интеграция
• Защита доступа во внутреннюю сеть организации
• Расширенные возможности интеграции с помощью Content Gateway

Безопасность

Решение Content Management предлагает следующие параметры безопасности.

• Шифрование SSL для передачи данных
• Управление правами доступа и загрузки администраторов Workspace ONE UEM
• Контент, хранящийся в сети организации
• Только метаданные, хранящиеся в базе данных Workspace ONE UEM. Поддержка просмотра и управления хранимыми метаданными

Развертывание

В зависимости от структуры организации администратор Workspace ONE UEM может иметь или не иметь разрешения администратора для CFS. После интеграции решения Content Management с корпоративными файловыми серверами устройства конечных пользователей могут синхронизировать контент с серверов с помощью VMware Workspace ONE Content.

Поддержка корпоративных файловых серверов

Workspace ONE UEM поддерживает интеграцию с различными корпоративными файловыми серверами. Поддержка метода синхронизации и требования компонента Content Gateway различаются в зависимости от типа репозитория.

Доступные методы синхронизации

Ознакомьтесь с доступными методами синхронизации репозиториев.

• Административный — относится к хранилищу, которое полностью настраивается и синхронизируется администратором на консоли UEM. Каждый назначенный пользователь получает одну и ту же статическую ссылку на репозиторий файлов.
• Автоматически — указывает на репозиторий, который настроен администратором в консоли UEM, но дает администратору возможность использовать значения динамической подстановки. Репозиторий синхронизируется конечными пользователями на их устройствах Каждый назначенный пользователь получает уникальную или частично уникальную ссылку на репозиторий файлов. Этот параметр полезен для ссылок на домашние каталоги пользователей.
• Вручную — указывает на репозиторий, который настраивается в консоли UEM, но дает администратору возможность задать статическую и подстановочную часть ссылки. Каждый конечный пользователь может вручную добавить ссылку на репозиторий, которая соответствует формату, заданному администратором, и синхронизировать репозиторий на устройстве.

Примечание. Независимо от количества файлов в папках репозитория, в любой папке синхронизируются с устройством только 1 тыс. файлов, отсортированных в алфавитном порядке.

Матрица корпоративных файловых серверов

Используйте матрицу для определения поддерживаемых методов синхронизации и требований Content Gateway по типу репозитория.

Разрешение доступа пользователя к контенту корпоративного файлового сервера

Синхронизируйте существующие корпоративные файловые серверы вашей сети с Workspace ONE UEM, настроив репозиторий администратора, автоматически созданный пользовательский репозиторий или пользовательский репозиторий, добавленный вручную. Доступные конфигурации воздействуют на триггер, который инициирует синхронизацию контента с устройствами.

Используйте этот обзор конфигурации на макроуровне, чтобы получить представление о сквозном процессе предоставления доступа пользователям к содержимому корпоративного файлового сервера.

1. Настройте хранилище в консоли UEM.
2. Загрузите и запустите сконфигурированный установщик Content Gateway.
3. Проверьте подключение между консолью UEM и Content Gateway.

4. Оцените потребность вашей организации в нескольких узлах Content Gateway.

   Мировые организации, опасающиеся задержек, вызванных географическим разделением, могут использовать эту функцию.

5. Настройте хранилище администратора или синхронизируйте корпоративные файловые серверы (CFS) в консоли UEM.

   При настройке репозитория администратора выберите Проверить соединение, чтобы обеспечить возможность подключения.

6. Настройте VMware Workspace ONE Content в консоли UEM.

7. Выполните развертывание приложения Workspace ONE UEM в вашем парке устройств.

Настройка административного репозитория

Настройте административный репозиторий, чтобы синхронизировать существующие корпоративные файловые серверы сети с Workspace ONE UEM. После синхронизации конечные пользователи могут получить доступ к контенту корпоративного файлового сервера со своих устройств.

1. Перейдите в раздел Контент > Репозитории > Административные репозитории в UEM Console.
2. Нажмите Добавить.

3. Настройте отображаемые параметры.

   Настройки	Описание
   Имя	Назовите каталог контента
   Тип	Из раскрывающегося списка выберите корпоративный файловый сервер.
   Ссылка	Введите полный путь к расположению каталога, а не только корневой домен. Пример. http://SharePoint/Corporate/Documents URL-адрес, скопированный непосредственно из веб-браузера, возможно, не будет иметь разрешения на доступ к серверу для определенных типов репозиториев. Примечание. Если выбран репозиторий OAuth, то URL-адрес репозитория должен содержать «/personal». Например, если URL-адрес вашего репозитория — «xyz.abc.com», необходимо добавить URL-адрес в виде «xyz.abc.com/personal».
   Организационная группа	Назначьте доступ к корпоративному файловому серверу выбранной группе пользователей.
   Использовать производные учетные данные PIV-D	Эта настройка доступна, только если в качестве типа репозитория выбран SharePoint. Установите флажок, чтобы использовать проверку подлинности с помощью сертификата PIV-D вместо имен пользователей и паролей. Проверка подлинности с помощью сертификата PIV-D помогает проверить подлинность пользователей, которые хотят получить доступ к локальным репозиториям SharePoint со своих устройств. Примечание. Для включения использования производных учетных данных PIV-D необходимо настроить конфигурацию Kerberos в параметрах Content Gateway. Дополнительные сведения о настройках проверки подлинности с помощью сертификата в Content Gateway см. в разделе Настройка Content Gateway в UEM Console в документации по Content Gateway.
   Доступ через Content Gateway	Используйте Content Gateway, в случае если домену сервера Workspace ONE UEM не удается получить доступ к корпоративному файловому серверу.
   Content Gateway	В раскрывающемся списке определите уникальное имя соответствующего узла Content Gateway.
   Разрешить наследование	Разрешите дочерним организационным группам наследовать те же разрешения на доступ, что и у родительской организационной группы.
   Разрешить запись	Разрешите конечным пользователям создавать и загружать файлы и папки, редактировать документы, получать или отправлять файлы на внешние хранилища на своих устройствах.
   Разрешить действия с файлами	Эта настройка доступна, только если в качестве типа репозитория выбраны SharePoint O365 OAuth или OneDrive for Business OAuth. Установите флажок, чтобы разрешить пользователям Workspace ONE Content переименовывать, перемещать, удалять файлы в облачных репозиториях.
   Разрешить удаление	Позволяет удаленно удалять контент в хранилище сетевой папки. Эта функция позволяет конечному пользователю окончательно удалить свой контент из репозитория сетевой папки с помощью приложения Workspace ONE Content.
   Тип проверки подлинности	Выберите уровень доступа к корпоративным файловым серверам, предоставляемый администраторам с консоли UEM. Отсутствует — запретите администраторам просматривать и загружать контент корпоративных файловых серверов из консоли UEM. Пользователь — разрешите навигацию по структуре файлов репозитория в UEM Console. Введите учетные данные в тестовые поля Имя пользователя и Пароль. Примечание. Если установлен флажок «Использовать производные учетные данные PIV-D», то текстовое поле пароля не появится. Введите основное имя пользователя в текстовом поле «Имя пользователя».
   Разрешить отправку только из камеры	Выберите эту опцию, чтобы разрешить пользователям отправлять изображения только с камеры устройства.

4. Нажмите Проверить подключение, чтобы подтвердить подключение. Успешный результат проверки означает, что корпоративный файловый сервер успешно интегрирован.

5. Укажите сведения на вкладках «Безопасность», «Назначение» и «Развертывание».

   a. На вкладке «Безопасность» заполните текстовые поля, чтобы контролировать, как конечные пользователи делятся конфиденциальными документами и перемещают их за пределами корпоративных пространств.

   Параметр принудительного шифрования был удален в Workspace ONE UEM Console версии 9.5 и более поздних версиях. Приложение VMware Workspace ONE Content шифрует все файлы по умолчанию независимо от того, доступен данный параметр или нет.

   Настройка	Описание
   Контроль доступа	Установите значение параметра Разрешить автономный просмотр, чтобы дать пользователям возможность свободного просмотра своих документов. Установите Разрешить просмотр только в сети, чтобы обеспечить соответствие всех устройств, имеющих доступ к контенту, так как Workspace ONE UEM не может проверить на соответствие устройства вне сети.
   Разрешить открывать в эл. почте	Разрешить открывать контент в эл. почте. Пользователи не могут открывать файлы размером свыше 10 МБ. Чтобы пользователи могли открывать файлы размером свыше 10 МБ, необходимо изменить такие файлы в UEM Console и включить этот параметр. Файлы в репозиториях пользователя изменить нельзя.
   Разрешить открывать в сторонних приложениях	Разрешить открывать личный контент в других приложениях. Вы можете настроить список разрешенных приложений в профиле SDK. При отключении этого параметра также отключается разрешение конечного пользователя на печать документов PDF из VMware Workspace ONE Content для iOS.
   Разрешить сохранение в других репозиториях	Выберите, чтобы разрешить пользователям сохранять этот файл в Личном контенте.
   Включить водяной знак	Выберите, чтобы добавить наложение водяного знака к файлу. Настройте Наложение текста для водяного знака как часть Профиля SDK.
   Разрешить печать	Предоставить конечным пользователям разрешение на печать документов PDF из VMware Workspace ONE Content для iOS можно с помощью сервера AirPrint. После печати контент выходит из-под контроля администратора Workspace ONE UEM. Печать поддерживается только при включенном параметре «Разрешить открывать в сторонних приложениях».
   Разрешить редактирование	Эта настройка применима только к репозиториям, где включена возможность записи.

   b. На вкладке «Назначение» настройте параметры управления доступом пользователей к контенту. Эта функция гарантирует, что только авторизованные сотрудники имеют доступ к конфиденциальным или частным материалам, и позволяет настроить многоуровневую иерархию доступа к контенту.

   Настройки	Описание
   Тип владения устройством	Установите тип владения как Любой, Корпоративно-личный, Корпоративно-общий, Собственное устройство или Не определен.
   Организационные группы	Чтобы назначить контент новой группе, начните печатать в текстовом поле.
   Группы пользователей	Назначьте группы, если происходит интеграция со Службой каталогов или создание кастомизируемых групп пользователей.

   c. На вкладке Развертывание настройте параметры управления способом и временем доступа конечных пользователей к контенту.

   Настройки	Описание
   Метод переноса	Укажите Любой метод или Только Wi-Fi в раскрывающемся меню. Запрет переносов в Wi-Fi принуждает устройства сверяться с Workspace ONE UEM, чтобы обеспечить соответствие.
   Загружать в роуминге	Разрешить пользователям загружать контент, находясь в роуминге.
   Тип загрузки	Выберите для развертывания контента один из двух способов: Автоматически — устанавливает контент на устройствах, когда он становится доступным. По требованию — устанавливает контент на устройство, только по запросу конечного пользователя.
   Приоритет загрузки	Укажите приоритет загрузки контента, чтобы ваши конечные пользователи знали, является ли он Обычным, Высоким или Низким.
   Обязательные	Выберите этот параметр, чтобы отметить контент как обязательный в VMware Workspace ONE Content. Конечные пользователи должны загружать и просматривать контент для того, чтобы их устройства соответствовали требованиям Workspace ONE UEM.
   Дата вступления в силу	Укажите, чтобы настроить ограниченный диапазон доступного контента.
   Дата окончания срока действия	Укажите, чтобы настроить ограниченный диапазон доступного контента.

6. Нажмите Сохранить.

Доступ к правильной ссылке

Убедитесь, что в Content Gateway настроена правильная ссылка. Данное правило применяется к SharePoint 2013, Office 365 и более поздним версиям. Некоторые URL-адреса не предназначены для доступа к ним с помощью приложений и служб, и доступ к ним возможен только через веб-браузер. Если URL-адрес (только через веб-браузер) будет задан в качестве ссылки при настройке конфигурации Content Gateway, произойдет сбой подключения.

1. Введите URL-адрес в поле браузера.
2. Перейдите в раздел СТРАНИЦА > Изменить свойства > Просмотреть свойства.
3. Нажмите правую кнопку мыши и скопируйте адрес ссылки.
4. Вставьте адрес в поле Ссылка на консоли UEM.

Примечание. Необходимо включить https://login.microsoftonline.com/, *.sharepoint.com и все URL-адреса ADFS на серверах DS и Console для репозитория OAuth. При блокировке URL-адреса также блокируется проверка подлинности. Нужно разрешить ссылку ADFS в полях Console и DS для репозиториев ADFS.

Разрешение выполнять синхронизацию корпоративных файловых серверов для пользователей

Интегрируйте Workspace ONE UEM с существующими хранилищами контента с помощью настройки Автоматического или Ручного шаблона, который конечные пользователи используют для синхронизации своих устройств. После синхронизации конечные пользователи могут получить доступ к контенту корпоративного файлового сервера со своих устройств. Использование Content Gateway с корпоративными файловыми серверами дает возможность пользователям безопасно добавлять, редактировать и передавать контент на корпоративный файловый сервер.

Шаги немного отличаются в зависимости от настройки автоматического или ручного шаблона.

1. Перейдите на соответствующую страницу в UEM Console.

   Тип корпоративного файлового сервера	Местоположение
   Автоматический шаблон	Контент > Репозитории > Шаблоны > Автоматически
   Шаблоны, настраиваемые вручную	Контент > Репозитории > Шаблоны > Вручную

2. Нажмите Добавить.

3. Заполните появившиеся текстовые поля. Они различаются в зависимости от настройки административного хранилища, автоматического шаблона или шаблона, настраиваемого вручную.

   Настройки	Описание
   Имя	Назовите каталог контента.
   Имя пользовательского репозитория (только автоматический шаблон)	Используйте подстановочные значения, чтобы выбрать название, которое увидит конечный пользователь в VMware Workspace ONE Content.
   Тип	Из раскрывающегося списка выберите корпоративный файловый сервер.
   Ссылка	URL-адрес, скопированный непосредственно из веб-браузера, возможно не будет иметь разрешения на доступ к серверу для определенных типов репозиториев.
   Ссылка (только автоматический шаблон)	Используйте подстановочные значения для создания репозитория, доступ к которому конечный пользователь получает через VMware Workspace ONE Content. Пример. https://sharepoint.acme.com/share/{EnrollmentUser}
   Ссылка (только ручной шаблон)	Укажите путь к расположению каталога, используя * в качестве подстановочного знака для ссылки домена. Пример. http://*.sharepoint.com Можно добавить новую ссылку к существующему ручному шаблону, но нельзя изменить или удалить существующую ссылку. Соблюдайте осторожность при добавлении новых ссылок, внесенных в запрещенный список, так как в случае возникновения ошибки ссылку нельзя изменить или удалить. Для исправления ссылки необходимо удалить весь шаблон.
   Ссылки в запрещенном списке	Укажите значения для подстановочного знака (*) в путях к файлам. Если указать значения для (*) в начале и конце пути к файлу, пользователи не смогут вручную создавать репозитории и вложенные папки с помощью ручного шаблона.
   Организационная группа	Назначьте доступ к корпоративному файловому серверу определенной группе пользователей.
   Использовать производные учетные данные	Эта настройка доступна, только если в качестве типа репозитория выбран SharePoint. Установите флажок, чтобы использовать проверку подлинности с помощью сертификата PIV-D вместо имен пользователей и паролей. Проверка подлинности с помощью сертификата PIV-D помогает проверить подлинность пользователей, которые хотят получить доступ к локальным репозиториям SharePoint со своих устройств. Примечание. Для включения использования производных учетных данных PIV-D необходимо настроить конфигурацию Kerberos в параметрах Content Gateway. Дополнительные сведения о настройках проверки подлинности с помощью сертификата в Content Gateway см. в разделе Настройка Content Gateway в UEM Console в документации по Content Gateway.
   Доступ через Content Gateway	Используйте Content Gateway, в случае если домену сервера Workspace ONE UEM не удается получить доступ к корпоративному файловому серверу.
   Разрешить наследование	Разрешите дочерним организационным группам наследовать те же разрешения на доступ, что и у родительской организационной группы.
   Разрешить запись	Доступ к записи позволяет конечным пользователям с помощью собственных устройств создавать и загружать файлы и папки, редактировать документы, а также брать или возвращать файлы на внешние репозитории.

Поддержка проверки подлинности с помощью сертификата PIV-D

Пользователям приложений Workspace ONE Content предоставляется доступ к локальным репозиториям SharePoint и Network Share после того, как пользователи проходят проверку подлинности с помощью производных учетных данных PIV-D. Для проверки подлинности на основе сертификата не требуется имя пользователя и пароль.

Локальные репозитории, например SharePoint и Network Share, можно настроить для использования производных учетных данных PIV-D для проверки подлинности. При настройке репозиториев для использования производных учетных данных PIV-D необходимо настроить конфигурацию Kerberos в параметрах VMware Content Gateway.

При настройке проверки подлинности с помощью сертификата PIV-D необходимо учитывать следующие предварительные условия:

• Сервер ограниченного делегирования Kerberos (KCD) должен быть настроен с соответствующими именами субъектов службы (SPN).

• Active Directory необходимо синхронизировать с Workspace ONE UEM, и в качестве атрибута должно быть указано основное имя пользователя (UPN).

• Учетная запись службы должна быть доступна как для Workspace ONE UEM, так и для VMware Content Gateway для использования в качестве части рабочего процесса проверки подлинности Kerberos.

• Для Content Gateway необходимо предоставить доверенный сертификат из центра сертификации (ЦС), выдающего пользовательские сертификаты. Эти сертификаты могут быть только промежуточными сертификатами или целой цепочкой сертификатов в зависимости от требований проверки в ЦС.

В случае репозитория Network Share убедитесь, что для ключей конфигурации Jcifs задано значение «ложь», а для Jcifsng задано значение «истина».

Эффективность кэширования

При кэшировании всего корпоративного репозитория на сервере служб устройства может возникать увеличение объема памяти из-за недостаточной внутренней памяти. Каждый раз необходимо отключать кэш, чтобы преодолеть нагрузку на сервер служб устройства.

Примечание. Сценарий базы данных, при котором кэш отключается, начиная с версии Workspace ONE UEM 1904 больше не используется. Кэш можно отключить, переключив ContentCacheFeatureFlag на значение «False» в интерфейсе API ():// /api/system/featureflag/ /<OG_GUID>/false.

Стратегия кэширования JIT (just-in-time) устраняет проблему нехватки памяти, так как кэширует только те папки и записи контента, к которым пользователю предоставлен доступ. Ненужные папки и контент будут удалены из кэша.

Папки кэшируются по отдельности с помощью ключа кэширования folderId, в отличие от кэширования всего репозитория с помощью ключа кэширования RepoId.

При отсутствии в кэше сервер служб устройства загружает только метаданные текущих папок из базы данных и сохраняет их в кэше. При попадании в кэш сервер служб устройств читает только структуру папок корневого уровня из кэша.