Организационные группы

Можно считать организационные группы отдельными ветвями генеалогического древа, где каждый лист является пользователем устройства. Workspace ONE UEM идентифицирует каждый лист и указывает его положение в генеалогическом древе с помощью организационных групп (ОГ). Заказчики могут создавать древа организационных групп, выглядящие как их корпоративная иерархия: Руководители, управление, операции, продажи и т. д.

Также можно создать организационные группы на основе функций и контента Workspace ONE UEM.

Организационные группы доступны в разделе Группы и настройки > Группы > Организационные группы > Список или в раскрывающемся меню организационных групп.

  • Создавайте группы для объектов организации («Управление», «Оклад», «Почасовая оплата», «Продажи», «Розничная торговля», «Отдел кадров», «Дирекция» и т. д.)
  • Настраивайте иерархии с помощью родительских и дочерних уровней (например, «Оклад» и «Почасовая оплата» могут являться дочерними элементами группы «Управление»).
  • Выполняйте интеграцию с несколькими внутренними инфраструктурами на соответствующем уровне.
  • Делегируйте доступ и управление на основе ролей в соответствии с мультитенантной структурой.

Примечание. Представление списка организационных групп определяет «Активные устройства» как устройства, которые сообщили Workspace ONE UEM Console о своем состоянии в течение предыдущих 8 часов.

Характеристики организационных групп

Организационные группы включают в себя функциональные, географические и организационные структуры и позволяют реализовать мультитенантные решения.

  • Масштабируемость: обеспечивает гибкую поддержку для экспоненциального роста.
  • Мультитенантность: позволяет создавать группы, которые работают как отдельные среды.
  • Наследование: упрощает процесс установки, задавая дочерние группы, наследующие конфигурации родительских.

На этой иллюстрации показан пример иерархической структуры ОГ, где реализованы географические и корпоративные элементы.На этом снимке экрана отображается такая же иерархия, как и в примере стиля блок-схемы, но в Workspace ONE UEM.

Используя пример раскрывающегося меню организационных групп, можно настроить профили, функции, приложения и другие настройки MDM на уровне «Глобальные предприятия».

Настройки наследуются сверху вниз дочерними организационными группами (например, Азиатско-тихоокеанский регион и EMEA) или еще дальше — дочерними элементами дочерних групп (Азиатско-тихоокеанский регион > Производство), и даже еще дальше (Азиатско-тихоокеанский регион > Операции > Корпоративный).

Настройки одноранговых организационных групп (например, Азиатско-Тихоокеанский регион и EMEA) используют преимущества мультитенантной природы организационных групп (ОГ), которая позволяет хранить эти настройки отдельно друг от друга. В то же время эти две одноранговые ОГ наследуют настройки от родительской ОГ (World Wide Enterprises).

Кроме того, можно переопределять настройки на нижнем уровне и изменять или сохранять только необходимые. Эти настройки можно изменять и передавать на любой из уровней ниже.

Настройка организационных групп

Прежде чем создавать иерархию организационных групп (ОГ) в консоли Workspace ONE UEM Console, определите структуру групп. Это оптимизирует использование настроек, приложений и ресурсов.

  • Делегированное администрирование. Управление подгруппами можно передавать администраторам нижнего уровня, ограничивая их доступ только нужной организационной группой.

На этой иллюстрации показан пример иерархии ОГ с типичными родительскими и дочерними ОГ для розничной торговли.

  • Корпоративные администраторы могут просматривать всю среду.
  • У менеджера в Москве есть доступ к своей группе и только тем устройствам, которые входят в нее.
  • У менеджера в Санкт-Петербурге есть доступ к своей группе и только тем устройствам, которые входят в нее.
  • Системные настройки: настройки применяются к различным уровням дерева организационных групп и наследоваться нижними уровнями. Кроме того, настройки могут быть переопределены на любом уровне. Настройки включают в себя варианты регистрации, способы аутентификации, настройки конфиденциальности и брендинг.

На этой иллюстрации показан пример иерархии организационной группы с типичными родительскими и дочерними ОГ для доставки.

  • Все устройства регистрируются на сервере Active Directory компании.
  • Устройства водителей переопределяют основные настройки аутентификации, разрешая регистрацию с помощью маркеров.
  • Складские устройства наследуют настройки AD от родительской группы.
  • Использование устройств. Профиль можно назначить одной или нескольким организационным группам. Устройства в этих группах могут получить данный профиль. Подробнее см. в разделе «Профили». Прежде чем создавать организационные группы, рекомендуем настроить профили, приложения и контент для таких атрибутов устройства, как модель устройства, тип принадлежности и группы пользователей.

На этой иллюстрации показан пример иерархии организационной группы с типичными корпоративными родительскими и дочерними ОГ.

  • На устройствах руководства нельзя устанавливать приложения, и у них нет доступа к сетям Wi-Fi отдела продаж.
  • На устройствах отдела продаж можно устанавливать приложения, и у них есть доступ к VPN.

Изменение организационных групп

Организационные группы можно изменить, выбрав индикатор организационной группы в правом верхнем углу экрана.

На этом снимке экрана показано расположение средства выбора организационной группы.

Если параметр выбран, в раскрывающемся меню отображается иерархия организационной группы, которая позволяет перейти в другую организационную группу.

Сравнение двух организационных групп

Можно сравнить настройки двух организационных групп, чтобы уменьшить риски, связанные с переходом на новую версию. Функция сравнения организационных групп доступна только для локальных пользователей.

При сравнении настроек организационной группы можно выполнить следующие задачи.

  • Отправлять XML-файлы, содержащие параметры организационной группы, из разных версий программного обеспечения Workspace ONE UEM.
  • Устранять возможные различия в конфигурации, чтобы предотвратить проблемы при миграции версий.
  • Фильтровать результаты сравнения и отображать только те настройки, сравнение которых представляет интерес.
  • Искать определенную настройку по имени с помощью функции поиска.

Пример сценария перехода на новую версию: после обновления, настройки и тестирования сервера приемочного пользовательского тестирования (UAT) можно напрямую сравнить полученные параметры UAT с рабочими параметрами.

  1. Откройте раздел Группы и настройки > Все настройки > Администратор > Управление настройками > Сравнение настроек.

    На этом снимке экрана показана страница системных настроек «Сравнение организационных групп».

  2. Выберите организационную группу в своей среде из раскрывающегося меню слева (отмечено цифрой 1) или отправьте XML-файл настроек (нажмите кнопку Отправить и выберите XML-файл экспортированных настроек организационной группы).

  3. Из раскрывающегося меню выберите организационную группу для сравнения (отмечено цифрой 2).
  4. Чтобы отобразить список всех настроек для обеих выбранных организационных групп, нажмите кнопку Обновить.
    • Различия между двумя наборами настроек организационных групп будут выделены.
    • При желании можно установить флажок Показать только отличия, тогда будут показаны настройки, которые применены только к одной организационной группе.
    • Индивидуальные настройки, которые не заполнены (или не указаны) в списке сравнения, будут отмечены как «NULL».

Создание организационных групп

Организационные группы (ОГ) необходимо создать для каждого бизнес-подразделения, где развернуты мобильные устройства. Обратите внимание: ОГ, к которой вы на данный момент принадлежите, является родительской для дочерней ОГ, которую вы будете создавать.

  1. Откройте раздел Группы и настройки > Группы > Организационные группы > Подробности.

    На этом снимке экрана показано окно «Подробности» на странице «Организационные группы» для добавления дочерних ОГ.

  2. Откройте вкладку Добавить дочернюю орг. группу и задайте следующие настройки.

    Настройка Описание
    Имя Позволяет задать имя дочерней организационной группы (ОГ) для отображения. Можно использовать только буквенно-цифровые символы. Другие символы использовать нельзя.
    ID группы Этот обязательный идентификатор ОГ используется конечными пользователями во время входа в систему устройства и во время регистрации устройств группы в соответствующей ОГ.

    Убедитесь, что пользователи общих устройств получили ID группы, так как этот идентификатор может потребоваться при входе в устройство (в зависимости от настройки общего устройства).

    Если вы не находитесь в локальной среде, идентификатор группы определяет организационную группу во всей общей среде SaaS. Для этого все идентификаторы группы должны иметь уникальные имена.
    Тип Позволяет выбрать предварительно настроенный тип ОГ, который отражает категорию дочерней ОГ.
    Страна Позволяет выбрать страну, в которой находится ОГ.
    Локаль Позволяет задать язык для выбранной страны.
    Отрасль клиента Эта настройка доступна только для типа «Клиент». Позволяет выбрать значение из списка «Отрасли клиентов».
    Часовой пояс Выберите часовой пояс для местоположения организационной группы.

  3. Нажмите Сохранить.

Удаление организационной группы

Можно удалить организационную группу, если она не содержит дочерних элементов организационной группы, а также устройств, которые входят в нее.

  1. Перейдите к организационной группе, которую нужно удалить, выбрав ее в раскрывающемся меню организационной группы.

    На этом снимке экрана показано относительное расположение средства выбора организационной группы.

  2. Откройте раздел Группы и настройки > Группы > Организационные группы > Подробности.

  3. В нижней части экрана Сведения просмотрите количество Устройств в организационной группе и Дочерних организационных групп. Если их количество не равно нулю, то удалить организационную группу будет невозможно, и кнопка Удалить будет недоступна.

    Необходимо переместить все устройства из этой организационной группы в другую. Кроме того, все дочерние организационные группы организационной группы, которую необходимо удалить, не должны содержать устройства перед тем, как их можно будет удалить.

  4. Если количество Устройств в организационной группе и Дочерних организационных групп будет равно нулю, можно будет продолжить удаление организационной группы.

  5. Нажмите кнопку Удалить.
  6. Отображается экран Ограниченное действие — Удаление организационной группы, а также предупреждения о подготовительных действиях, которые необходимы перед удалением организационной группы.
  7. Чтобы продолжить удаление, необходимо ввести четырехзначный PIN-код безопасности, который был выбран во время вашей регистрации в качестве администратора UEM. Сбросьте этот PIN-код, выбрав ссылку Забыли PIN безопасности?.

Определение идентификатора любой организационной группы

Можно определить идентификатор любой организационной группы, выполнив следующие действия.

  1. Перейдите к организационной группе, которую нужно определить, выбрав ее в раскрывающемся меню организационной группы.

    На этом снимке экрана показано относительное расположение средства выбора организационной группы.

  2. Наведите указатель мыши на метку ОГ. Во всплывающем окне отображается имя и идентификатор выбранной организационной группы.

На этом снимке экрана показано, как отображается идентификатор группы при наведении указателя мыши на средство выбора ОГ.

Наследование, коллективная аренда и проверка подлинности

Понятие переопределения настроек в расчете на организационную группу в сочетании с такими характеристиками организационной группы, как наследование и коллективная аренда, может быть дополнено проверкой подлинности. Такое сочетание обеспечит гибкость конфигураций.

Следующая модель организационной группы показывает, какой гибкости можно добиться.

На этой схеме показана иерархическая модель организационной группы, состоящая из родительской, дочерней и внучатой группы.

В этой модели Администраторы обычно имеют больше разрешений и возможностей и расположены на верхнем уровне организационной группы. Администраторы входят в организационную группу с использованием SAML, который используется только для администраторов.

Корпоративные пользователя подчинены администраторам, и их ОГ является дочерней группой ОГ администраторов. Если вы пользователь и не являетесь администратором, ваша настройка входа SAML не может наследовать настройку администратора. Поэтому SAML корпоративных пользователей переопределяется.

Пользователи BYOD отличаются от корпоративных пользователей. Устройства, используемые такими пользователями, принадлежат им самим и могут содержать больше личной информации. Поэтому в профилях этих устройств могут применяться другие настройки. Условия использования для пользователей BYOD также могут отличаться. На устройствах BYOD могут применяться другие параметры очистки корпоративных данных. По вышеуказанным причинам рекомендуется настроить вход в систему пользователей BYOD как отдельной группы.

Хотя такие пользователи не являются подчиненными корпоративным пользователям в иерархии, их размещение как дочерних по отношению к корпоративным имеет свои преимущества. Пользователи BYOD смогут наследовать настройки, применимые ко всем устройствам корпоративных пользователей, путем их применения к организационной группе корпоративных пользователей.

Также могут наследоваться настройки аутентификации SAML. Так как пользователи BYOD являются дочерними по отношению к корпоративным, они могут наследовать свои настройки SAML для настроек проверки подлинности пользователей.

Альтернативная модель состоит в том, чтобы сделать пользователей BYOD одноуровневыми по отношению к корпоративным пользователям.

На этой схеме показана иерархическая модель организационной группы, состоящая из родительской и двух дочерних групп.

В рамках этой модели верно следующее.

  • Все профили устройства применяются глобально для всех устройств, включая политики соответствия, а другие параметры устройства, применимые глобально, применяются к двум организационным группам вместо одной. Причина дублирования в том, что в этой модели наследование от корпоративных пользователей пользователям BYOD больше не актуально. Корпоративные пользователи и пользователи BYOD находятся на одном уровне, поэтому наследования нет.
  • К пользователям BYOD должно применяться другое переопределение SAML. Это переопределение необходимо, потому что система предполагает, что она наследует настройки SAML от родительского уровня, то есть от администраторов. Такое допущение является ошибочным, поскольку пользователи BYOD не являются администраторами и не имеют тех же разрешений и доступа.
  • Пользователи BYOD продолжают обрабатываться отдельно от корпоративных пользователей. Эта альтернативная модель означает, что они могут по-прежнему использовать свои собственные настройки профиля устройства.

Как определить, какая модель лучше? Сравните количество глобально применяемых параметров устройства с количеством настроек устройства для конкретной группы. Если нужно обрабатывать все устройства одинаково, вы можете сделать пользователей BYOD дочерними по отношению к корпоративным. Если же для вас важно использовать отдельные настройки, можно сделать пользователей BYOD одноуровневыми по отношению к корпоративным.

Ограничения организационных групп

При попытке настроить параметры, ограниченные организационной группой (ОГ), на страницах настроек в разделе Группы и настройки > Все настройки появится сообщение об этом ограничении.

Эту настройку можно включить только для организационной группы типа «Клиент».

При создании организационных групп клиентского уровня применяются следующие ограничения.

  • В среде, использующей концепцию «программное обеспечение как услуга» (SaaS), или в локальной среде, нельзя создавать вложенные организационные группы клиентского уровня.

Функции типов и настройки организационных групп

Тип организационной группы может определять, какие настройки может выполнять администратор.

  • Глобальная. Организационная группа самого высшего уровня. Обычно группа имеет название «Глобальная» и имеет тип «Глобальный».
    • Глобальные группы размещенных сред SaaS недоступны пользователям.
    • Локальные клиенты могут использовать вход в систему со сбором дополнительных данных для этого уровня.
  • Клиентская. Организационная группа верхнего уровня для всех клиентов.
    • Организационная группа клиента не может иметь дочерние/родительские организационные группы типа «клиент».
    • Важные рабочие процессы могут выполняться только в организационной группе клиентского типа или в пределах иерархии. Рабочие процессы включают добавление устройства, регистрацию устройства, сопоставление групп пользователей, создание и сопоставление смарт-групп, изменение организационной группы на устройстве (или перемещение устройства из одной ОГ в другую) и возврат устройства.
    • Некоторые параметры можно настроить только в группе типа «Клиент». Эти параметры осуществляют фильтрацию до организационных групп типа низшего контейнера.
      • Домены эл. почты для автообнаружения
      • Настройки программы регистрации устройств (до AirWatch 8.0)
      • Личный контент
      • Apple VPP (программа Volume Purchasing Program) должна быть включена в родительской ОГ заказчика и только после этого для дочерних организационных групп типа контейнера будут включены возможности VPP.
      • Samsung Enterprise FOTA
      • Пакеты Hub
      • Настраиваемые атрибуты
      • Сервер ретрансляции
      • Intelligence
      • Датчики
      • Защита от сканирования приложений и удаления приложений
      • CDN (сеть доставки контента) для доставки приложений
      • Хранилище NFS для управления контентом станет настраиваемым
      • Службы Workspace ONE Hub
      • Условный доступ
      • MAG (Mobile Access Gateway)
      • LBUS (синхронизация локальных базовых пользователей)
      • Dynamic Environment Manager
      • Mobile Flows
  • Контейнер. Тип организационной группы по умолчанию.
    • Все организационные группы ниже уровня клиентской организационной группы должны иметь тип «Контейнер». Контейнеры могут находиться между группами «Партнер» и «Клиент».
  • Партнерская. Организационная группа верхнего уровня для партнеров (сторонних посредников Workspace ONE UEM).
  • Перспективный клиент. Потенциальные заказчики. Аналогична организационной группе клиентского типа, и имеет функциональность ниже, чем у настоящей группы пользователей.

Существуют дополнительные типы организационных групп, например «Отдел», «Регион». Также пользователи могут создавать собственные определения для типов организационной группы.

Добавить тип организационной группы

Можно добавлять настраиваемые типы организационных групп. Эти типы обычно не обладают особыми характеристиками и используются как организационные группы контейнерного типа.

Чтобы создать собственный тип организационной группы…

  1. Откройте Группы и настройки > Группы Организационные группы > Типы, а затем нажмите кнопку Добавить тип организационной группы.
  2. Введите Имя для типа организационной группы и его Описание.
  3. Нажмите Сохранить.

Причины не регистрировать устройства в глобальной организационной группе

Существует несколько причин не регистрировать устройства непосредственно в организационных группах (ОГ) высшего уровня (глобальных ОГ). Эти причины: мультитенантность, наследование и функциональность.

Мультитенантность

Можно создать необходимое число дочерних организационных групп и настроить каждую в отдельности. Настройки дочерней ОГ не распространяются на другие группы этого уровня.

Наследование

Изменения на уровне родительской ОГ применяются ко всем дочерним. Но изменения дочерней ОГ не влияют на одноуровневые или родительские группы.

Функциональность

Есть настройки и функции, которые применяются только для организационных групп клиентского типа, например защита от очистки, мобильная связь и личный контент. К устройствам, добавленным непосредственно в глобальные организационные группы высшего уровня, эти настройки и функции не применяются.

В глобальной организационной группе размещается клиентская и другие типы ОГ. Если добавить устройства в глобальную группу и соответствующим образом настроить ее, это также повлияет на устройства в клиентских ОГ более низкого уровня — сработает принцип наследования. Это нивелирует преимущества мультитенантности и наследования.

Переопределение или наследование настроек организационных групп

Иерархия структуры организационной группы, которую вы создаете, определяет, какие организационные группы являются дочерними, а какие — родительскими. Дочерние организационные группы (ОГ) наследуют настройки от родительских ОГ, однако это наследование можно переопределить.

Каждая страница системных настроек применяет настройки в соответствии с двумя типами параметров наследования/переопределения, учитывающих иерархию организационных групп: 1) «Текущая настройка» и 2) «Разрешение для дочерних элементов». ОГ, к которой применяются настройки — это та ОГ, в которой вы находитесь.

Другими словами, если вы находитесь в ОГ «Сотрудники\Склад», то изменения параметров применяются к этой ОГ и всем ОГ, которые являются дочерними по отношению к ОГ «Склад».

Например, страница настроек Брендинг (в разделе Группы и настройки > Все настройки > Система > Брендинг) управляет всеми настраиваемыми фоновыми изображениями, логотипами и цветовыми схемами для ОГ, отображаемой в раскрывающемся меню организационной группы.

Приведенным выше способом можно импортировать новое фоновое изображение, новый логотип и другую цветовую схему, которые будут уникальными для ОГ «Сотрудники\Склад». При необходимости можно также настроить параметры, которые будут применяться только к ОГ «Склад». Этот параметр включается путем изменения наследования этой организационной группы на странице настроек.

Разрешение для дочерних элементов

Настройка «Разрешение для дочерних элементов» описывает отношение родительской ОГ к дочерней ОГ. Существует три различных настройки для дочерних элементов: Наследовать или переопределить, Только наследовать и Только переопределить.

Параметр Наследовать или переопределить просто означает, что у родительского объекта нет предпочтений для разрешений дочерних элементов. Если для параметра «Разрешение для дочерних элементов» родительской ОГ задано значение Наследовать или переопределить, то текущая настройка дочерней ОГ определяет, будут настройки переопределяться или наследоваться. По умолчанию всем разрешениям для дочерних элементов задано значение Наследовать или переопределить.

Значение разрешений для дочерних элементов Только наследовать в родительской ОГ принуждает все дочерние ОГ наследовать настройки родительской. Это означает, что все дочерние элементы имеют те же настройки, что и родительский элемент. Значение разрешений для дочерних элементов Только переопределить удаляет наследование для всех дочерних ОГ и требует задать настройки специально для этой дочерней группы.

Настройки разрешений для дочерних элементов влияют только на дочерние группы одним уровнем ниже родительской. Такие настройки не влияют на внучатые ОГ или ОГ более низких уровней.

Текущая настройка

Если разрешение для дочерних элементов — это отношение родительской ОГ к дочерней, то «Текущая настройка» ОГ — это отношение дочерней ОГ к родительской. Текущая настройка ОГ может иметь только значения Наследовать или Переопределить.

Если для параметра «Текущая настройка» задано значение Наследовать, это означает, что дочерняя ОГ принимает все настройки родительской ОГ. При выборе для текущей настройки значения Переопределить дочерняя ОГ будет отклонять настройки родительской и работать самостоятельно. Значение «Переопределить» означает, что вы сможете установить новые настройки для дочерней группы.

Изменить текущую настройку ОГ можно только в том случае, если для параметра «Разрешение для дочерних элементов» родительской ОГ задано значение Наследовать или переопределить.

Используя пример выше, если нужно изменить настройку Брендинг только для ОГ «Склад», можно изменить параметр «Текущая настройка» для каждой дочерней группы ОГ «Склад» на Переопределять при условии, что для параметра «Разрешение для дочерних элементов» для группы «Склад» установлено значение по умолчанию Наследовать или переопределять. Затем можно настроить параметры Брендинг для дочерних элементов ОГ «Склад» на ваше усмотрение, то есть установить значения, совпадающие или отличные от значений в ОГ «Склад».

Изменение настроек разрешений

Невозможно изменить параметр «Текущая настройка» дочерней группы, если значение параметра «Разрешение для дочерних элементов» для родительской ОГ не позволяет этого. Например, если для параметра «Разрешение для дочерних элементов» ОГ MomandDadOG задано значение Только переопределить, невозможно изменить текущую настройку ОГ JuniorOG на Наследовать. Одним словом, значения «Разрешение для дочерних элементов» для родительской ОГ имеют приоритет над значением «Текущая настройка» для дочерней ОГ.

Если изменить параметр «Текущая настройка» для дочернего элемента с Переопределять на Наследовать, то при изменении параметра «Разрешение для дочерних элементов» на Только наследовать блокируется значение «Разрешение для дочерних элементов» для дочерней ОГ. В этом случае невозможно изменить настройку «Разрешение для дочерних элементов». Это поведение не применяется, если настройка дочерней ОГ никогда не переопределяется.

В качестве временного решения необходимо изменить настройки разрешений для дочерних элементов родительской ОГ обратно на Наследовать или переопределить, чтобы разблокировать настройки разрешений для дочерних элементов в дочерней ОГ.

Более масштабная предпочтительная стратегия заключается в заблаговременном планировании и настройке параметров наследования и переопределения на уровнях ОГ таким образом, чтобы получить нужную иерархическую структуру.

check-circle-line exclamation-circle-line close-line
Scroll to top icon