Группы пользователей

Пользователей можно объединять в группы, которые наподобие организационных групп выступают в качестве фильтров для назначения профилей и приложений. При настройке среды в Workspace ONE UEM согласуйте группы пользователей с группами безопасности и бизнес-ролями в организации.

Используйте группы пользователей, чтобы назначать пользователям и устройствам профили, политики соответствия, контент и приложения. Можно добавлять существующие группы служб каталогов в Workspace ONE UEM или создавать группы пользователей с нуля.

В качестве альтернативы группам пользователей можно управлять контентом, назначая устройства согласно заранее настроенным диапазонам IP-адресов сети или настраиваемым атрибутам.

Список групп пользователей

На странице «Список групп пользователей» представлены полезные средства для общего обслуживания и поддержки групп пользователей, в том числе средства просмотра, объединения и удаления таких групп, добавления отсутствующих пользователей и синхронизации групп пользователей.

На этой странице можно быстро создавать списки групп пользователей, используя необходимые критерии. Кроме того, можно добавлять новые группы пользователей индивидуально или пакетами.

Откройте раздел Аккаунты > Группы пользователей > Список.

Действие	Описание
Фильтры	Позволяет просматривать только необходимые группы пользователей с помощью следующих фильтров. * Тип группы пользователей * Статус синхронизации * Статус объединения
Добавить
Добавить группу пользователей.	Единичное добавление группы пользователей на основе каталога или настраиваемой группы пользователей.
Пакетный импорт	Импорт нескольких новых групп пользователей при помощи CSV-файлов (файлов с разделителями-запятыми). Можно сразу организовать несколько групп пользователей, введя уникальное имя и описание.
Сортировка и изменение размера столбцов	Столбцы в режиме просмотра «Список», которые можно сортировать: «Имя группы», «Последняя синхронизация», «Пользователи» и «Статус объединения». Столбцы «Имя группы» и «Последняя синхронизация» можно изменять в размере.
Просмотр подробностей	Позволяет просматривать сведения о базовых группах пользователей в списке «Просмотр подробностей», если выбрана ссылка в столбце Имя группы. Сведения включают имя и тип группы, внешний тип, менеджера и число пользователей. Этот список также содержит ссылку на настройки сопоставления групп в разделе Все настройки > Устройства и пользователи > Общие > Регистрация на вкладке Группирование.
Экспорт ()	Сохранение всего фильтрованного или нефильтрованного списка в виде файла CSV. Этот файл можно просматривать и анализировать в MS Excel.

На странице Список групп пользователей слева от каждой группы расположен флажок выбора и значок Изменить. Значок Изменить () позволяет выполнять базовые изменения в группе пользователей. Если выбрать одну или несколько групп, будут доступны кнопки действий для списка и можно будет совершать пакетные действия с группами пользователей.

Дополнительные действия для групп пользователей

Вы можете выбрать несколько групп пользователей, установив флажок возле каждой из них. Это изменяет доступные управляющие кнопки, а также позволяет применять доступные действия к нескольким группам и соответствующим пользователям.

Добавление пользователей в группы

При необходимости можно добавлять пользователей в группы пользователей. Если не требуется дожидаться синхронизации Active Directory для групп пользователей, которая должна автоматически выполняться в соответствии с расписанием, можно синхронизировать группы пользователей вручную.

Если необходимо добавить нового пользователя в одну или несколько групп, выполните следующие шаги.

1. Откройте раздел Аккаунты > Пользователи > Список.
2. Выберите одного или нескольких пользователей из списка, установив флажок в поле слева.
3. Нажмите кнопку Дополнительные действия и выберите Добавить в группу пользователей. Отобразится страница Добавить выбранных пользователей в настраиваемую группу пользователей.
4. Можно добавить пользователей в существующую группу или создать новую группу пользователей.
5. Выберите имя группы.
6. Нажмите Сохранить.

7. Откройте раздел Аккаунты > Группы пользователей > Список.

   1. При синхронизации Active Directory (AD), которая является автоматическим, выполняющимся по расписанию процессом, ожидающие пользователи группы копируются во временную таблицу. После этого этих пользователей группы можно просмотреть, добавить или удалить.

   2. Чтобы не дожидаться автоматической синхронизации AD, можно выполнить синхронизацию вручную. Для этого выберите группу, в которую будут добавляться пользователи, а затем нажмите кнопку Синхронизация.

      Примечание. Процесс синхронизации атрибутов пользователей продолжается даже в том случае, если обнаружен дублированный пользователь. При таком сбое синхронизации в журнал событий консоли добавляется запись DuplicateUserSyncFailure. Чтобы проверить эту и другие записи в журнале событий консоли, перейдите в раздел Отслеживание > Отчеты и аналитика > События > События консоли.

8. Кроме того, можно выбрать Дополнительно > Просмотр и объединение, чтобы выполнить такие задачи обслуживания, как просмотр, добавление и удаление ожидающих пользователей группы.

9. Объедините ожидающих пользователей из временной таблицы с пользователями Active Directory, выбрав Дополнительно > Добавить отсутствующих пользователей.

Добавление настраиваемых групп пользователей без интеграции со службами каталогов

В любое время можно создать специализированные группы вне существующей структуры Active Directory. Настройте группы пользователей для развернутой среды, создав права доступа к функциям и содержимому. Выбор зависит от того, какой тип группы пользователей необходим.

Например, можно создать временную группу пользователей для конкретного проекта со специализированными приложениями, профилями устройств и политиками соответствия.

Дополнительные сведения о пакетном добавлении групп пользователей см. в разделе Пакетный импорт групп пользователей в Функция пакетного импорта.

Настраиваемые группы пользователей можно добавлять только в организационную группу клиентского уровня.

1. Пройдите в Аккаунты > Группы пользователей > Список и выберите Добавить, и затем Добавить группу пользователей.
2. Смените тип группы пользователей на Настраиваемый.
3. Укажите имя группы и описание, по которым можно определять группу пользователей в Workspace ONE UEM Console.
4. Подтвердите организационную группу, которая управляет группой пользователей и нажмите Сохранить.
5. Затем можно добавить пользователей в новую группу, открыв раздел Аккаунты > Пользователи > Список.

Чтобы добавить нескольких пользователей, необходимо установить флажки слева от каждого имени пользователя. Затем нужно нажать кнопку Управление над заголовками столбцов и выбрать Добавить в группу пользователей.

Добавление групп пользователей с интеграцией каталогов

Второй вариант работы с группами пользователей — это интеграция групп, при которой используется существующая структура Active Directory. Этот вариант предоставляет много преимуществ.

После импорта существующих групп службы каталогов в качестве групп пользователей Workspace ONE UEM можно выполнять следующие задачи.

• Управление пользователями. Позволяет использовать существующие группы службы каталогов (например, группы безопасности или списки рассылки), чтобы согласовывать управление пользователями в Workspace ONE UEM с существующими организационными системами.
• Профили и политики. Позволяет назначать профили, приложения и политики в развертывании Workspace ONE UEM для групп пользователей.
• Интегрированные обновления. Позволяет автоматически обновлять назначения групп пользователей на основе изменений членства в группе.
• Разрешения управления. Позволяет задавать разрешения управления, чтобы только утвержденные администраторы могли изменять назначения политик и профилей для определенных групп пользователей.
• Регистрация. Позволяет разрешать пользователям регистрироваться, используя существующие учетные данные, и автоматически назначать организационную группу.

Администратор должен назначить существующую организационную группу в качестве корневой, из которой будет осуществляться управление устройствами и пользователями. Службы каталогов должны быть включены в этой корневой организационной группе.

Существующие группы служб каталогов можно добавить в Workspace ONE UEM.. Хотя интеграция не создаст сразу же аккаунты пользователей AirWatch для аккаунтов служб каталогов, но она гарантирует, что Workspace ONE UEM. распознает эти группы как группы пользователей. Эту группу можно использовать для ограничения регистрации.

Дополнительные сведения о пакетном добавлении групп пользователей каталогов см. в разделе Пакетный импорт групп пользователей в Функция пакетного импорта.

Создание групп пользователей с интеграцией каталогов помогает упорядочить управление устройствами. Регистрация устройств и последующие обновления, администрирование и управление пользователями неразрывно связаны с вашими службами каталогов.

Перед этим необходимо выполнить следующие действия. Убедитесь, что в поле Тип группы пользователей выбран Каталог.

1. Откройте раздел Аккаунты > Группы пользователей > Список и выберите Добавить, а затем Добавить группу пользователей.

   Настройка	Описание
   Тип	Позволяет выбрать тип группы пользователей. * Каталог: позволяет создать группу пользователей в соответствии с существующей структурой Active Directory. * Настраиваемый: позволяет создать группу пользователей вне существующей в организации структуры Active Directory. Этот тип группы пользователей предоставляет доступ к компонентам и контенту для базовых пользователей и пользователей каталога, чтобы настроить группы пользователей для конкретного развертывания. Настраиваемые группы пользователей можно добавлять только в организационную группу клиентского уровня.
   Внешний тип	Позволяет выбрать внешний тип добавляемой группы. * Группа: позволяет указать класс объектов группы, на котором основывается группа пользователей. Класс можно настроить в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов > Группа. * Организационное подразделение: позволяет указать класс объектов организационного подразделения, на котором основывается группа пользователей. Класс можно настроить в разделе Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов > Группа. * Настраиваемый запрос: позволяет создать группу пользователей в результате выполнения настраиваемого запроса. Если выбрать этот внешний тип, функцию «Поиск текста» заменит раздел «Настраиваемый запрос».
   Поиск	Чтобы найти группу пользователей в каталоге, необходимо ввести ее имя как критерий поиска и нажать Поиск. Отобразится список имен групп, в которых содержится искомый текст. Этот параметр недоступен, если для настройки Внешний тип задано значение Настраиваемый запрос.
   Имя каталога	Настройка, предназначенная только для чтения, которая показывает адрес сервера служб каталогов.
   Домен и Базовое DN группы	Эта информация добавляется автоматически на основе данных сервера служб каталогов, которые вводятся на странице Службы каталогов (Группы и настройки > Система > Интеграция предприятий > Службы каталогов). Нажмите на знак «+» в пункте Извлечь DN рядом с настройкой Базовое DN группы, чтобы просмотреть список доступных различающихся имен.
   Настраиваемый класс объектов	Позволяет определить класс объектов, для которых выполняется запрос. По умолчанию используется класс объектов «person», но можно использовать настраиваемый класс объектов, чтобы точнее определить пользователей. Это параметр доступен, только если в качестве внешнего типа выбран настраиваемый запрос.
   Имя группы	Необходимо выбрать имя группы в результатах поиска. Выбранное имя группы автоматически заменит значение для настройки «Различающееся имя». Этот параметр доступен только после успешного выполнения поиска с настройкой Поиск текста.
   Различающееся имя	Настройка, предназначенная только для чтения, которая показывает полное различающееся имя создаваемой группы. Этот параметр доступен, только если в качестве внешнего типа выбраны группа или организационное подразделение.
   Настраиваемое базовое DN	Позволяет определить базовое различающееся имя, которое служит отправной точкой запроса. Базовые различающиеся имена по умолчанию: «AirWatch» и «sso». Но можно использовать настраиваемое базовое различающееся имя, чтобы выполнить запрос из другой отправной точки. Это параметр доступен, только если в качестве внешнего типа выбран настраиваемый запрос.
   Назначение организационных групп	Эта необязательная настройка позволяет назначить созданную группу пользователей определенной организационной группе (ОГ). * Этот параметр доступен, только если в качестве параметра Внешний тип выбраны Группа или Организационное подразделение. * Необходимо выбрать ОГ «клиентского» типа. Невозможно назначить группу пользователей для организационной группы неклиентского типа.
   Настройки группы пользователей	Доступны варианты: Установить настройки по умолчанию или Использовать настраиваемые параметры для данной группы пользователей. Дополнительные описания настройки см. в строке Настраиваемые параметры в этой таблице. Этот параметр можно задать в настройках разрешений после создания группы. Этот параметр доступен, только если в качестве внешнего типа выбраны группа или организационное подразделение.
   Настраиваемый запрос — запрос	Эта настройка отображает только что загруженный запрос. Чтобы выполнить его, необходимо нажать кнопки Пробный запрос и Продолжить. Здесь отображаются все изменения настроек Настраиваемая логика и Настраиваемый класс объектов.
   Настраиваемая логика	Позволяет задать настраиваемую логику запроса, например имя пользователя. Пример: «cn=jsmith». В запрос можно включить любую часть различающегося имени. Кнопка Пробный запрос позволяет проверить результаты запроса перед нажатием кнопки Продолжить.
   Настраиваемые параметры — разрешения на управление	Позволяет разрешить или запретить администраторам управлять созданной группой пользователей.
   Роль по умолчанию	Позволяет выбрать роль по умолчанию для группы пользователей в раскрывающемся меню.
   Политика регистрации по умолчанию	Позволяет выбрать политику регистрации по умолчанию в раскрывающемся меню.
   Автосинхронизация с каталогом	Позволяет включить синхронизацию каталогов, которая определяет членство пользователя на сервере каталогов и сохраняет информацию во временную таблицу. Администраторы утверждают все изменения в console, если не включена функция «Автоматическое объединение». Чтобы предотвратить автоматическую запланированную синхронизацию групп пользователей, необходимо деактивировать эту настройку.
   Автоматическое объединение изменений	Позволяет автоматически применять изменения при синхронизации из базы данных без утверждения администратором.
   Максимально разрешенные изменения	Позволяет задать максимальное количество автоматических изменений при синхронизации групп пользователей, для которого не требуется утверждения. Когда количество изменений превысит это пороговое значение, потребуется утверждение администратора и будет отправлено соответствующее уведомление. Этот параметр доступен, только если включено автоматическое объединение изменений.
   Автоматически добавить участников группы	Позволяет автоматически добавлять пользователей в группу. Чтобы предотвратить автоматическую запланированную синхронизацию групп пользователей, необходимо деактивировать эту настройку.
   Отправление писем пользователю при добавлении отсутствующих пользователей	Позволяет отправлять электронное сообщение пользователям, когда в группу пользователей добавляются отсутствующие пользователи. Добавление отсутствующих пользователей — это объединение временной таблицы групп пользователей с таблицей Active Directory.
   Шаблон сообщения	Этот параметр доступен, только если включен параметр Отправление писем пользователю при добавлении отсутствующих пользователей. Позволяет выбрать шаблон сообщения для уведомления по электронной почте при добавлении отсутствующих пользователей в группу. Когда в Workspace ONE UEM console добавляются новые пользователи Active Directory, доступность шаблона сообщения зависит от режима регистрации, настроенного в пункте Группы и настройки > Все настройки > Устройства и пользователи > Общие > Регистрация при выборе пункта Проверка подлинности, а также варианта, выбранного в пункте Режим регистрации устройств. Если для параметра Режим регистрации устройств выбран вариант Открытая регистрация, в раскрывающемся списке Шаблон сообщения отображается шаблон электронного сообщения об активации пользователя. Это электронное сообщение позволяет новому пользователю AD выполнить регистрацию. Если для параметра Режим регистрации устройств выбран вариант Только зарегистрированные устройства, в раскрывающемся списке Шаблон сообщения отображается шаблон сообщения об активации устройства. Это электронное сообщение позволяет новому пользователю AD зарегистрировать свои устройства. Если включен параметр Необходим маркер регистрации, устройство можно зарегистрировать с использованием маркера, встроенного в сообщение.

   Подробнее о различающемся имени см. в статье Microsoft TechNet «Object Naming» на странице https://technet.microsoft.com/.

2. Нажмите Сохранить.

Изменение разрешений для группы пользователей

Настройка разрешений для групп пользователей позволяет установить, кто в организации может изменять определенные группы. Например, если в организации есть группа пользователей для руководителей, возможно, администраторы более низкого уровня не должны обладать разрешениями для управления данной группой.

Используйте страницу Разрешения, чтобы определять, кто может управлять определенными группами пользователей и кто может назначать профили, политики соответствия и приложения группам пользователей.

1. Откройте раздел Аккаунты > Группы пользователей > Список.
2. Нажмите значок Изменить в строке существующей группы пользователей.
3. Откройте вкладку Разрешения и нажмите Добавить.
4. Выберите организационную группу, для которой определяете разрешения. Необходимо выбрать организационную группу (ОГ), которая находится в иерархии корневой ОГ группы пользователей. Выбранная ОГ должна также быть «клиентского» типа. Дополнительные сведения см. в разделе Функции типов и настройки организационных групп в Организационные группы.
5. Выберите разрешения, которые хотите включить.
   • Управлять группой (изменять/удалять): позволяет изменять и удалять группы пользователей.
   • Управлять пользователями в группе и разрешать регистрацию: позволяет управлять пользователями в группе и разрешать регистрацию устройств в организационной группе. Эта настройка доступна, только если включена настройка «Управлять группой (изменять/удалять)». Эта настройка деактивируется, если настройка «Управлять группой (изменять/удалять)» деактивирована.
   • Назначать группе: позволяет использовать группу, чтобы назначать устройствам политики безопасности и корпоративные ресурсы. Эта настройка доступна для изменения, только если деактивирована настройка «Управлять группой (изменять/удалять)». Эта настройка блокируется и становится недоступной для изменения, если включена настройка «Управлять группой (изменять/удалять)».
     • Эта настройка деактивирована, если группа пользователей управляется родительской организационной группой и нужно назначить группу из одной из ее дочерних организационных групп.
6. Выберите сферу действия этих разрешений, то есть группы администраторов, которые могут управлять данной группой пользователей. Будет активен только один из следующих параметров.
   • Только администратор: разрешения затронут только администраторов родительской организационной группы.
   • Все администраторы данной орг. группы и ниже: разрешения затронут администраторов родительской ОГ и всех администраторов дочерних групп.

Доступ к сведениям о пользователях

После того как пользователи и группы пользователей будут определены, вы сможете просматривать всю информацию о пользователях, в том числе сведения о пользователе, связанные устройства и взаимодействия.

Сведения о пользователе доступны на любой странице консоли Workspace ONE UEM Console, где отображается имя пользователя (включая все приведенные ниже страницы).

• Члены группы пользователей (Аккаунты > Группы пользователей > Просмотр подробностей > Дополнительно > Просмотреть пользователей)
  • Можно отобразить окно «Просмотр подробностей», выбрав в списке имя группы пользователей.
• Список пользователей (Аккаунты > Пользователи > Список)
• Список администраторов (Аккаунты > Администраторы > Список)

Страница сведений о пользователе отображается в одностраничном режиме.

• Все связанные группы пользователей.
• Все устройства, связанные с пользователем за все время, и ссылка на все зарегистрированные устройства.
• Все устройства, которые пользователь вернул в среду общих устройств, а также ссылка на полный журнал выданных и возвращенных устройств.
• Все журналы событий для устройства или пользователя.
• Все назначенные, принятые и отклоненные условия использования.

Шифрование личных данных

Личные данные, включая имя, фамилию, электронный адрес и номер телефона, можно зашифровать.

1. Откройте раздел Группы и настройки > Все настройки > Система > Безопасность > Безопасность данных из организационной группы глобального или клиентского уровня, для которой хотите настроить шифрование.
2. Включите настройку Шифрование пользовательских данных и выберите настройки данных отдельных пользователей, чтобы приступить к шифрованию. При этом возможности поиска, сортировки и фильтрации будут деактивированы.
3. Щелкните Сохранить, чтобы зашифровать данные пользователя. Теперь они недоступны в базе данных. Применение шифрования ограничивает часть функций в консоли Workspace ONE UEM Console, например поиск, сортировку и фильтрацию.