Можно считать организационные группы отдельными ветвями генеалогического древа, где каждый лист является пользователем устройства. Workspace ONE UEM идентифицирует каждый лист и указывает его положение в генеалогическом древе с помощью организационных групп (ОГ). Заказчики могут создавать древа организационных групп, выглядящие как их корпоративная иерархия: Руководители, управление, операции, продажи и т. д.
Также можно создать организационные группы на основе функций и контента Workspace ONE UEM.
Организационные группы доступны в разделе Группы и настройки > Группы > Организационные группы > Список или в раскрывающемся меню организационных групп.
Примечание. Представление списка организационных групп определяет «Активные устройства» как устройства, которые сообщили Workspace ONE UEM Console о своем состоянии в течение предыдущих 8 часов.
Организационные группы включают в себя функциональные, географические и организационные структуры и позволяют реализовать мультитенантные решения.
Используя пример раскрывающегося меню организационных групп, можно настроить профили, функции, приложения и другие настройки MDM на уровне «Глобальные предприятия».
Настройки наследуются сверху вниз дочерними организационными группами (например, Азиатско-тихоокеанский регион и EMEA) или еще дальше — дочерними элементами дочерних групп (Азиатско-тихоокеанский регион > Производство), и даже еще дальше (Азиатско-тихоокеанский регион > Операции > Корпоративный).
Настройки одноранговых организационных групп (например, Азиатско-Тихоокеанский регион и EMEA) используют преимущества мультитенантной природы организационных групп (ОГ), которая позволяет хранить эти настройки отдельно друг от друга. В то же время эти две одноранговые ОГ наследуют настройки от родительской ОГ (World Wide Enterprises).
Кроме того, можно переопределять настройки на нижнем уровне и изменять или сохранять только необходимые. Эти настройки можно изменять и передавать на любой из уровней ниже.
Прежде чем создавать иерархию организационных групп (ОГ) в консоли Workspace ONE UEM Console, определите структуру групп. Это оптимизирует использование настроек, приложений и ресурсов.
Организационные группы можно изменить, выбрав индикатор организационной группы в правом верхнем углу экрана.
Если параметр выбран, в раскрывающемся меню отображается иерархия организационной группы, которая позволяет перейти в другую организационную группу.
Можно сравнить настройки двух организационных групп, чтобы уменьшить риски, связанные с переходом на новую версию. Функция сравнения организационных групп доступна только для локальных пользователей.
При сравнении настроек организационной группы можно выполнить следующие задачи.
Пример сценария перехода на новую версию: после обновления, настройки и тестирования сервера приемочного пользовательского тестирования (UAT) можно напрямую сравнить полученные параметры UAT с рабочими параметрами.
Откройте раздел Группы и настройки > Все настройки > Администратор > Управление настройками > Сравнение настроек.
Выберите организационную группу в своей среде из раскрывающегося меню слева (отмечено цифрой 1) или отправьте XML-файл настроек (нажмите кнопку Отправить и выберите XML-файл экспортированных настроек организационной группы).
Организационные группы (ОГ) необходимо создать для каждого бизнес-подразделения, где развернуты мобильные устройства. Обратите внимание: ОГ, к которой вы на данный момент принадлежите, является родительской для дочерней ОГ, которую вы будете создавать.
Откройте раздел Группы и настройки > Группы > Организационные группы > Подробности.
Откройте вкладку Добавить дочернюю орг. группу и задайте следующие настройки.
Настройка | Описание |
---|---|
Имя | Позволяет задать имя дочерней организационной группы (ОГ) для отображения. Можно использовать только буквенно-цифровые символы. Другие символы использовать нельзя. |
ID группы | Этот обязательный идентификатор ОГ используется конечными пользователями во время входа в систему устройства и во время регистрации устройств группы в соответствующей ОГ. Убедитесь, что пользователи общих устройств получили ID группы, так как этот идентификатор может потребоваться при входе в устройство (в зависимости от настройки общего устройства). Если вы не находитесь в локальной среде, идентификатор группы определяет организационную группу во всей общей среде SaaS. Для этого все идентификаторы группы должны иметь уникальные имена. |
Тип | Позволяет выбрать предварительно настроенный тип ОГ, который отражает категорию дочерней ОГ. |
Страна | Позволяет выбрать страну, в которой находится ОГ. |
Локаль | Позволяет задать язык для выбранной страны. |
Отрасль клиента | Эта настройка доступна только для типа «Клиент». Позволяет выбрать значение из списка «Отрасли клиентов». |
Часовой пояс | Выберите часовой пояс для местоположения организационной группы. |
Нажмите Сохранить.
Можно удалить организационную группу, если она не содержит дочерних элементов организационной группы, а также устройств, которые входят в нее.
Перейдите к организационной группе, которую нужно удалить, выбрав ее в раскрывающемся меню организационной группы.
Откройте раздел Группы и настройки > Группы > Организационные группы > Подробности.
В нижней части экрана Сведения просмотрите количество Устройств в организационной группе и Дочерних организационных групп. Если их количество не равно нулю, то удалить организационную группу будет невозможно, и кнопка Удалить будет недоступна.
Необходимо переместить все устройства из этой организационной группы в другую. Кроме того, все дочерние организационные группы организационной группы, которую необходимо удалить, не должны содержать устройства перед тем, как их можно будет удалить.
Если количество Устройств в организационной группе и Дочерних организационных групп будет равно нулю, можно будет продолжить удаление организационной группы.
Можно определить идентификатор любой организационной группы, выполнив следующие действия.
Перейдите к организационной группе, которую нужно определить, выбрав ее в раскрывающемся меню организационной группы.
Наведите указатель мыши на метку ОГ. Во всплывающем окне отображается имя и идентификатор выбранной организационной группы.
Понятие переопределения настроек в расчете на организационную группу в сочетании с такими характеристиками организационной группы, как наследование и коллективная аренда, может быть дополнено проверкой подлинности. Такое сочетание обеспечит гибкость конфигураций.
Следующая модель организационной группы показывает, какой гибкости можно добиться.
В этой модели Администраторы обычно имеют больше разрешений и возможностей и расположены на верхнем уровне организационной группы. Администраторы входят в организационную группу с использованием SAML, который используется только для администраторов.
Корпоративные пользователя подчинены администраторам, и их ОГ является дочерней группой ОГ администраторов. Если вы пользователь и не являетесь администратором, ваша настройка входа SAML не может наследовать настройку администратора. Поэтому SAML корпоративных пользователей переопределяется.
Пользователи BYOD отличаются от корпоративных пользователей. Устройства, используемые такими пользователями, принадлежат им самим и могут содержать больше личной информации. Поэтому в профилях этих устройств могут применяться другие настройки. Условия использования для пользователей BYOD также могут отличаться. На устройствах BYOD могут применяться другие параметры очистки корпоративных данных. По вышеуказанным причинам рекомендуется настроить вход в систему пользователей BYOD как отдельной группы.
Хотя такие пользователи не являются подчиненными корпоративным пользователям в иерархии, их размещение как дочерних по отношению к корпоративным имеет свои преимущества. Пользователи BYOD смогут наследовать настройки, применимые ко всем устройствам корпоративных пользователей, путем их применения к организационной группе корпоративных пользователей.
Также могут наследоваться настройки аутентификации SAML. Так как пользователи BYOD являются дочерними по отношению к корпоративным, они могут наследовать свои настройки SAML для настроек проверки подлинности пользователей.
Альтернативная модель состоит в том, чтобы сделать пользователей BYOD одноуровневыми по отношению к корпоративным пользователям.
В рамках этой модели верно следующее.
Как определить, какая модель лучше? Сравните количество глобально применяемых параметров устройства с количеством настроек устройства для конкретной группы. Если нужно обрабатывать все устройства одинаково, вы можете сделать пользователей BYOD дочерними по отношению к корпоративным. Если же для вас важно использовать отдельные настройки, можно сделать пользователей BYOD одноуровневыми по отношению к корпоративным.
При попытке настроить параметры, ограниченные организационной группой (ОГ), на страницах настроек в разделе Группы и настройки > Все настройки появится сообщение об этом ограничении.
При создании организационных групп клиентского уровня применяются следующие ограничения.
Тип организационной группы может определять, какие настройки может выполнять администратор.
Существуют дополнительные типы организационных групп, например «Отдел», «Регион». Также пользователи могут создавать собственные определения для типов организационной группы.
Добавить тип организационной группы
Можно добавлять настраиваемые типы организационных групп. Эти типы обычно не обладают особыми характеристиками и используются как организационные группы контейнерного типа.
Чтобы создать собственный тип организационной группы…
Существует несколько причин не регистрировать устройства непосредственно в организационных группах (ОГ) высшего уровня (глобальных ОГ). Эти причины: мультитенантность, наследование и функциональность.
Мультитенантность
Можно создать необходимое число дочерних организационных групп и настроить каждую в отдельности. Настройки дочерней ОГ не распространяются на другие группы этого уровня.
Наследование
Изменения на уровне родительской ОГ применяются ко всем дочерним. Но изменения дочерней ОГ не влияют на одноуровневые или родительские группы.
Функциональность
Есть настройки и функции, которые применяются только для организационных групп клиентского типа, например защита от очистки, мобильная связь и личный контент. К устройствам, добавленным непосредственно в глобальные организационные группы высшего уровня, эти настройки и функции не применяются.
В глобальной организационной группе размещается клиентская и другие типы ОГ. Если добавить устройства в глобальную группу и соответствующим образом настроить ее, это также повлияет на устройства в клиентских ОГ более низкого уровня — сработает принцип наследования. Это нивелирует преимущества мультитенантности и наследования.
Иерархия структуры организационной группы, которую вы создаете, определяет, какие организационные группы являются дочерними, а какие — родительскими. Дочерние организационные группы (ОГ) наследуют настройки от родительских ОГ, однако это наследование можно переопределить.
Каждая страница системных настроек применяет настройки в соответствии с двумя типами параметров наследования/переопределения, учитывающих иерархию организационных групп: 1) «Текущая настройка» и 2) «Разрешение для дочерних элементов». ОГ, к которой применяются настройки — это та ОГ, в которой вы находитесь.
Другими словами, если вы находитесь в ОГ «Сотрудники\Склад», то изменения параметров применяются к этой ОГ и всем ОГ, которые являются дочерними по отношению к ОГ «Склад».
Например, страница настроек Брендинг (в разделе Группы и настройки > Все настройки > Система > Брендинг) управляет всеми настраиваемыми фоновыми изображениями, логотипами и цветовыми схемами для ОГ, отображаемой в раскрывающемся меню организационной группы.
Приведенным выше способом можно импортировать новое фоновое изображение, новый логотип и другую цветовую схему, которые будут уникальными для ОГ «Сотрудники\Склад». При необходимости можно также настроить параметры, которые будут применяться только к ОГ «Склад». Этот параметр включается путем изменения наследования этой организационной группы на странице настроек.
Разрешение для дочерних элементов
Настройка «Разрешение для дочерних элементов» описывает отношение родительской ОГ к дочерней ОГ. Существует три различных настройки для дочерних элементов: Наследовать или переопределить, Только наследовать и Только переопределить.
Параметр Наследовать или переопределить просто означает, что у родительского объекта нет предпочтений для разрешений дочерних элементов. Если для параметра «Разрешение для дочерних элементов» родительской ОГ задано значение Наследовать или переопределить, то текущая настройка дочерней ОГ определяет, будут настройки переопределяться или наследоваться. По умолчанию всем разрешениям для дочерних элементов задано значение Наследовать или переопределить.
Значение разрешений для дочерних элементов Только наследовать в родительской ОГ принуждает все дочерние ОГ наследовать настройки родительской. Это означает, что все дочерние элементы имеют те же настройки, что и родительский элемент. Значение разрешений для дочерних элементов Только переопределить удаляет наследование для всех дочерних ОГ и требует задать настройки специально для этой дочерней группы.
Настройки разрешений для дочерних элементов влияют только на дочерние группы одним уровнем ниже родительской. Такие настройки не влияют на внучатые ОГ или ОГ более низких уровней.
Текущая настройка
Если разрешение для дочерних элементов — это отношение родительской ОГ к дочерней, то «Текущая настройка» ОГ — это отношение дочерней ОГ к родительской. Текущая настройка ОГ может иметь только значения Наследовать или Переопределить.
Если для параметра «Текущая настройка» задано значение Наследовать, это означает, что дочерняя ОГ принимает все настройки родительской ОГ. При выборе для текущей настройки значения Переопределить дочерняя ОГ будет отклонять настройки родительской и работать самостоятельно. Значение «Переопределить» означает, что вы сможете установить новые настройки для дочерней группы.
Изменить текущую настройку ОГ можно только в том случае, если для параметра «Разрешение для дочерних элементов» родительской ОГ задано значение Наследовать или переопределить.
Используя пример выше, если нужно изменить настройку Брендинг только для ОГ «Склад», можно изменить параметр «Текущая настройка» для каждой дочерней группы ОГ «Склад» на Переопределять при условии, что для параметра «Разрешение для дочерних элементов» для группы «Склад» установлено значение по умолчанию Наследовать или переопределять. Затем можно настроить параметры Брендинг для дочерних элементов ОГ «Склад» на ваше усмотрение, то есть установить значения, совпадающие или отличные от значений в ОГ «Склад».
Изменение настроек разрешений
Невозможно изменить параметр «Текущая настройка» дочерней группы, если значение параметра «Разрешение для дочерних элементов» для родительской ОГ не позволяет этого. Например, если для параметра «Разрешение для дочерних элементов» ОГ MomandDadOG задано значение Только переопределить, невозможно изменить текущую настройку ОГ JuniorOG на Наследовать. Одним словом, значения «Разрешение для дочерних элементов» для родительской ОГ имеют приоритет над значением «Текущая настройка» для дочерней ОГ.
Если изменить параметр «Текущая настройка» для дочернего элемента с Переопределять на Наследовать, то при изменении параметра «Разрешение для дочерних элементов» на Только наследовать блокируется значение «Разрешение для дочерних элементов» для дочерней ОГ. В этом случае невозможно изменить настройку «Разрешение для дочерних элементов». Это поведение не применяется, если настройка дочерней ОГ никогда не переопределяется.
В качестве временного решения необходимо изменить настройки разрешений для дочерних элементов родительской ОГ обратно на Наследовать или переопределить, чтобы разблокировать настройки разрешений для дочерних элементов в дочерней ОГ.
Более масштабная предпочтительная стратегия заключается в заблаговременном планировании и настройке параметров наследования и переопределения на уровнях ОГ таким образом, чтобы получить нужную иерархическую структуру.