企業檔案伺服器
內容管理解決方案支援與企業檔案伺服器 (CFS) 整合。企業檔案伺服器是指組織的內部網路中現有的存放庫。
功能
企業檔案伺服器整合支援下列功能:
- 安全整合
- 保護企業內部網路的存取權限
- 使用 Content Gateway 的進階整合選項
安全
內容管理解決方案提供下列安全性功能:
- SSL 加密,可用於資料傳輸
- 控制 Workspace ONE UEM 管理員的存取權和下載權限
- 在企業網路內儲存的內容
- 只有儲存在 Workspace ONE UEM 資料庫中的中繼資料。支援所儲存之中繼資料的檢閱和管理。
部署
根據組織結構的不同,Workspace ONE UEM 管理員可能已擁有 CFS 的管理權限,也可能沒有。內容管理解決方案與 CFS 整合之後,終端使用者裝置即可使用 VMware Workspace ONE Content 從伺服器同步內容。
支援企業檔案伺服器
Workspace ONE UEM 支援與各種企業檔案伺服器進行整合。所支援的同步方法以及 Content Gateway 元件的各種需求均因存放庫的類型而異。
可用的同步方法
請檢閱各存放庫可用的同步方法:
- 管理員 – 已由管理員在 UEM 主控台中完全配置且同步的存放庫。每個指派的使用者會接收到檔案存放庫的相同靜態連結。
- 自動 – 已由管理員在 UEM Console 中設定的存放庫,但允許管理員使用動態查閱值。該存放庫由終端使用者在其裝置上進行同步。每個指派的使用者會收到檔案存放庫的唯一或半唯一連結。這是連結到使用者主目錄的實用選擇。
- 手動 – 已在 UEM Console 中設定的存放庫,但允許管理員設定連結的靜態和萬用字元部分。每位終端使用者可以手動新增符合管理員所設定格式的存放庫連結,並將其裝置上的存放庫同步。
注意: 無論存放庫資料夾中有多少檔案,只有在任何資料夾中按字母排序的一千個檔案會同步至裝置。
企業檔案伺服器矩陣
使用此矩陣以判斷各存放庫類型所支援的同步方法與 Content Gateway 需求:
| 可用的存放庫 | 管理員 | 自動 | 手動 |
|---|---|---|---|
| Box | ✓ | ✓ | ✓ |
| CMIS | ✓ | ✓ | ✓ |
| Google 雲端硬碟 | ✓ | – | – |
| 網路共享 | ✓ | ✓ | ✓ |
| OneDrive | ✓ | – | – |
| 商務用 OneDrive | ✓ | – | – |
| ADFS 商務用 OneDrive | ✓ | – | – |
| 業務用 OneDrive OAuth | ✓ | – | – |
| SharePoint | ✓ | ✓ | ✓ |
| SharePoint ADFS | ✓ | ✓ | ✓ |
| SharePoint O365 | ✓ | ✓ | ✓ |
| SharePoint O365 ADFS | ✓ | ✓ | ✓ |
| SharePoint O365 OAuth | ✓ | – | – |
| SharePoint - 個人 (我的網站) | ✓ | – | – |
| SharePoint WebDAV | ✓ | – | – |
| SharePoint Windows 驗證 | ✓ | ✓ | ✓ |
| WebDAV | ✓ | ✓ | ✓ |
| 透過 Content Gateway 存取 | |||
| Box | – | – | – |
| CMIS | ✓+ | ✓+ | ✓+ |
| Google 雲端硬碟 | – | – | – |
| 網路共享 | ✓+ | ✓+ | ✓+ |
| OneDrive | – | – | – |
| 商務用 OneDrive | ✓ | – | – |
| ADFS 商務用 OneDrive | ✓ | – | – |
| SharePoint | ✓ | ✓ | ✓ |
| SharePoint ADFS | ✓ | ✓ | ✓ |
| SharePoint O365 | ✓ | ✓ | ✓ |
| SharePoint O365 ADFS | ✓ | ✓ | ✓ |
| SharePoint - 個人 (我的網站) | ✓ | – | – |
| SharePoint WebDAV | ✓ | – | – |
| SharePoint Windows 身份驗證 (Linux 專用 Content Gateway) | – | – | – |
| SharePoint Windows 身份驗證 (Windows 專用 Content Gateway) | ✓ | ✓ | ✓ |
| WebDAV | ✓ | ✓ | ✓ |
| 文件副檔名 | |||
| Box | ✓ | ✓ | ✓ |
| CMIS | ✓ | ✓ | ✓ |
| Google 雲端硬碟 | ✓ | – | – |
| 網路共享 | ✓* | ✓* | ✓* |
| OneDrive | ✓ | – | – |
| 商務用 OneDrive | ✓ | – | – |
| ADFS 商務用 OneDrive | ✓ | – | – |
| 業務用 OneDrive OAuth | ✓ | – | – |
| SharePoint | ✓** | ✓** | ✓** |
| SharePoint ADFS | ✓** | ✓** | ✓** |
| SharePoint O365 | ✓** | ✓** | ✓** |
| SharePoint O365 ADFS | ✓** | ✓** | ✓** |
| SharePoint O365 OAuth | ✓ | – | – |
| SharePoint - 個人 (我的網站) | ✓** | – | – |
| SharePoint WebDAV | ✓** | – | – |
| SharePoint Windows 驗證 | ✓** | ✓** | ✓** |
| WebDAV | ✓* | ✓* | ✓* |
| 圖例: | |||
| ¥ = Linux 伺服器上的 VMware Content Gateway 僅支援 SMB v2.0 和 SMB v3.0。預設支援的版本為 SMB v2.0。 ✓+ = 必要 ✓ = 已支援 – = 不支援 ✓* = 有限支援。僅限於存取先前已於 VMware Workspace ONE Content 中開啟過的存放庫中的檔案。 ✓** = 有限支援。僅限於存取先前已於 Workspace ONE Content 中下載過的檔案。 |
允許終端使用者存取企業檔案伺服器的內容
藉由配置管理員存放庫、自動使用者新增存放庫,或者手動使用者新增存放庫,將您網路的現有企業檔案伺服器與 Workspace ONE UEM 同步。可用配置會影響將內容同步至裝置的觸發程序。
使用此巨集層級的配置概覽,以深入瞭解允許終端使用者存取企業檔案伺服器內容的整個過程。
- 在 UEM 主控台中配置存放庫。
- 下載並執行已配置的 Content Gateway 安裝程式。
- 驗證 UEM 主控台與 Content Gateway 之間的連線能力。
-
為您的組織評估是否需要使用多個內容閘道節點。
全域企業如需考量地域分隔所造成的延遲,可使用此功能。
-
在 UEM 主控台中配置管理員存放庫或同步企業檔案伺服器 (CFS)。
若要配置管理員存放庫,請選取測試連線以確保連線能力。
-
在 UEM 主控台中設定 VMware Workspace ONE Content。
- 將 Workspace ONE UEM 應用程式部署至您的裝置團隊。
配置管理員存放庫
配置管理員存放庫以將您網路上現有的企業檔案伺服器與 Workspace ONE UEM 同步。同步之後,終端使用者可以從其裝置存取「企業檔案伺服器」內容。
- 導覽至 UEM console 中的內容 > 存放庫 > 管理員存放庫。
- 選取新增。
-
為出現的設定進行設定。
設定 描述 名稱 標記內容目錄 類型 從下拉式功能表中選取企業檔案伺服器。 連結 不是只提供根網域,而是提供整個目錄位置的路徑。
範例:http://SharePoint/Corporate/Documents 直接使用從 Web 瀏覽器中複製下來的 URL,可能不具特定存放庫類型的伺服器存取權限。
備註:如果選定的存放庫是 OAuth 存放庫,則存放庫 URL 必須包含「/personal」。
例如,如果您的存放庫 URL 為 xyz.abc.com,就必須將 URL 新增為 xyz.abc.com/personal。企業群組 將企業檔案伺服器的存取權限指派給選取的使用者群組。 使用 PIV-D 衍生認證 僅在將 SharePoint 選取為存放庫類型時,才能使用此設定。選取核取方塊以使用 PIV-D 憑證驗證來驗證使用者,而不使用使用者名稱和密碼進行驗證。PIV-D 憑證驗證,適用於驗證要從其裝置存取內部部署 SharePoint 存放庫的使用者。
注意:需要在 Content Gateway 設定中使用 Kerberos 組態,才能啟用 PIV-D 衍生認證的使用。
如需 Content Gateway 憑證驗證設定的相關資訊,請參閱 Content Gateway 說明文件中的〈在 UEM Console 上設定 Content Gateway〉主題。透過 Content Gateway 存取 如果 Workspace ONE UEM 伺服器的網域無法存取「企業檔案伺服器」,請使用「內容閘道」來存取。 Content Gateway 從下拉式功能表中識別出合適 Content Gateway 節點的獨特名稱。 允許繼承 允許子組織群組繼承與其父組織群組相同的存取權限。 允許寫入 允許終端使用者建立並上傳檔案和資料夾、編輯文件,以及將檔案簽入或簽出至其裝置上的外部存放庫。 允許檔案動作 需要先將 SharePoint O365 OAuth 或 OneDrive for Business OAuth 選取為存放庫類型,才能使用此設定。選取此核取方塊,可允許 Workspace ONE Content 應用程式使用者重新命名、移動和刪除雲端存放庫上的檔案。 允許刪除 允許網路共享存放庫進行遠端內容刪除。使用此功能時,終端使用者可使用 Workspace ONE Content 應用程式,將其內容從網路共用存放庫永久刪除。 驗證類型 在 UEM 主控台中,選取管理員對於企業檔案伺服器所擁有的存取層級。
無 – 禁止管理員從 UEM console 檢視和下載企業檔案伺服器的內容。
使用者 – 允許在 UEM console 中瀏覽存放庫檔案結構。在所出現的使用者名稱與密碼文字方塊中輸入憑證。
注意: 如果已選取使用 PIV-D 衍生認證核取方塊,則不會顯示密碼文字方塊。在使用者名稱文字方塊中,為使用者提供使用者主體名稱。僅允許從相機上傳 選擇此選項可允許使用者僅從裝置相機上傳影像。 -
選擇測試連線以確認連線狀況。測試結果成功表示企業檔案伺服器已成功整合。
-
填妥 [安全性]、[指派] 和 [部署] 索引標籤下的詳細資料。
a. 在 [安全性] 索引標籤上填妥文字方塊,以控制終端使用者共用機密文件並將其移出公司媒體的方式。
自 Workspace ONE UEM console 9.5 版起已移除「強制加密」設定。依預設,不論是否可使用該設定,VMware Workspace ONE Content 應用程式都會加密所有檔案。
設定 描述 存取控制 設為允許離線檢視時,可以讓終端使用者擁有最高度自由來檢視文件。配置僅允許線上檢視,以確保所有存取內容的裝置都合規,因爲 Workspace ONE UEM 無法離線掃描裝置的合規性。 允許在 Email 中開啟 允許在 Email 中開啟內容。使用者無法開啟大於 10 MB 的檔案。若要允許使用者開啟大於 10 MB 的檔案,您必須在 UEM Console 上編輯此類檔案,並啟用此選項。無法編輯使用者存放庫中的檔案。 允許在第三方 APP 中開啟 給予可在其他應用程式中開啟此內容的權限。您可以在 SDK 設定檔中設定一份已被核准的 APP 清單。停用此選項,也會停用終端使用者從 iOS VMware Workspace ONE Content 中列印 PDF 文件的權限。 允許儲存到其他的存放庫 選擇此項,允許終端使用者將檔案儲存到「個人內容」中。 啟用浮水印 選擇此項,將「浮水印重疊」加印在檔案上。設置浮水印之「重疊文字」作爲 SDK 設定檔的一部分。 允許列印 授權終端使用者利用 AirPrint 伺服器,從 iOS VMware Workspace ONE Content 中列印 PDF 文件。列印完畢後,內容即不再受 Workspace ONE UEM 管理員的控制。只有在啟用「允許在第三方 APP 中開啟」時,才支援列印。 允許編輯 此設定僅可用於「已啟用寫入」的存放庫中。 b. 在 [指派] 索引標籤上,配置設定以控制哪些使用者可以存取內容。此功能可確保只有獲授權的員工才能存取機密或敏感的資料,並可讓您設定內容存取的分層階層。
設定 描述 裝置所有權 定義爲:任何、公司專用、公司共用、員工自有或是未分類。 企業群組 若要將內容指派至新的群組,請在文字方塊中開始輸入。 使用者群組 若與「目錄服務」或「自訂使用者群組」整合,請在此指明所要委派的群組。 c. 在部署索引標籤上,配置設定以掌控終端使用者存取內容的方式和時間。
設定 描述 傳輸方式 從下拉式功能表指定任何方式或僅限 Wi-Fi 方式。對 Wi-Fi 傳輸設立限制,強制裝置必須使用 Workspace ONE UEM 簽入,以確保裝置的合規性。 漫遊時下載 啟用此項,允許您的終端使用者在漫遊時下載內容。 下載類型 設定以兩種方式的其中之一來部署內容:
自動 – 在內容可供使用時安裝到裝置上。
隨選 – 只有在終端使用者要求時,才會安裝在裝置上。下載優先順序 將此下載內容定義爲中、高或低,以使終端使用者明瞭其優先順序。 必要 在 VMware Workspace ONE Content 中選取此項,將內容標記爲「必要」。終端使用者必須下載並檢閱必要內容,才能確保其裝置持續符合 Workspace ONE UEM 的合規性。 生效日 指明此項來配置內容的有效期間。 到期日 指明此項來配置內容的有效期間。 -
選取儲存。
存取正確的連結
確保以正確連結設定 Content Gateway。這些特殊規則適用於 SharePoint 2013、Office 365 及更新版本。有些 URL 無法使用應用程式與服務來存取,而只能使用 Web 瀏覽器。配置內容閘道時,如果在連結中輸入了「僅限使用瀏覽器」的 URL,連線就會失敗。
- 在瀏覽器中輸入 URL。
- 導覽至頁面 > 編輯屬性 > 檢視屬性。
- 按一下右鍵並複製連結位址。
- 在 UEM 主控台的連結文字方塊中貼上該位址。
注意: 您必須在 DS 和主控台伺服器上為 Oauth 存放庫啟用 https://login.microsoftonline.com/、*.sharepoint.com 以及任何 ADFS URL。當 URL 被封鎖時,還會禁止進行身份驗證。允許在主控台和 ADFS 存放庫的 DS 方塊中使用 ADFS 連結。
允許使用者將企業檔案伺服器功能
配置終端使用者可從其裝置進行同步的自動或手動範本,來將 Workspace ONE UEM 與現有的內容存放庫整合。同步之後,終端使用者可以從其裝置存取「企業檔案伺服器」內容。將 Content Gateway 與企業檔案伺服器搭配使用,可讓終端使用者安全地新增、編輯和上傳內容至企業檔案伺服器。
這些步驟在配置自動與手動範本時會有不同。
-
導覽至 UEM Console 中的合適頁面。
企業檔案伺服器類型 位置 自動範本 內容 > 存放庫 > 範本 > 自動 手動範本 內容 > 存放庫 > 範本 > 手動 -
選取新增。
-
填妥出現的文字方塊。這些文字方塊在配置「管理員存放庫」、「自動範本」與「手動範本」時會有不同。
設定 描述 名稱 標記內容目錄。 使用者存放庫名稱 (僅限自動範本) 使用查閱值,以 VMware Workspace ONE Content 中終端使用者的名稱來命名存放庫。 類型 從下拉式功能表中選取企業檔案伺服器。 連結 直接使用從 Web 瀏覽器中複製下來的 URL,可能不具特定存放庫類型的伺服器存取權限。 連結 (僅限自動範本) 使用查閱值,在終端使用者存取 VMware Workspace ONE Content 時建立存放庫。
範例:https://sharepoint.acme.com/share/{EnrollmentUser}連結 (僅限手動範本) 使用 * 作為網域連結的萬用字元,提供目錄位置的路徑。
範例:http://*.sharepoint.com
您可以新增連結至現有的手動範本,但無法編輯或刪除現有連結。在封鎖清單中新增新連結時請務必小心,因為如果有任何錯誤,則無法編輯或刪除這些連結。要針對連結進行任何修正都需要刪除整個範本。已遭拒的連結 在檔案路徑中指定萬用字元 (*) 的值。在檔案路徑的開頭與結尾指定的 * 值能夠阻止您的使用者使用手動範本建立手動存放庫與子資料夾。 企業群組 將企業檔案伺服器的存取權限指派給特定群組的使用者。 使用衍生認證 僅在將 SharePoint 選取為存放庫類型時,才能使用此設定。選取核取方塊以使用 PIV-D 憑證驗證來驗證使用者,而不使用使用者名稱和密碼進行驗證。PIV-D 憑證驗證,適用於驗證要從其裝置存取內部部署 SharePoint 存放庫的使用者。
注意: 需要在 Content Gateway 設定中使用 Kerberos 組態,才能啟用 PIV-D 衍生認證的使用。
如需 Content Gateway 憑證驗證設定的相關資訊,請參閱 Content Gateway 說明文件中的〈在 UEM Console 上設定 Content Gateway〉主題。透過 Content Gateway 存取 如果 Workspace ONE UEM 伺服器的網域無法存取「企業檔案伺服器」,請使用「內容閘道」來存取。 允許繼承 允許子組織群組繼承與其父組織群組相同的存取權限。 允許寫入 允許終端使用者建立並上傳檔案和資料夾、編輯文件,以及將檔案簽入/簽出至其裝置上的外部存放庫。
PIV-D 憑證驗證支援
在使用者使用 PIV-D 衍生認證進行驗證後,內部部署 SharePoint 存放庫和網路共用存放庫的存取權,即會授與 Workspace ONE Content 的應用程式使用者。以憑證為基礎的驗證可消除對使用者名稱和密碼的需求。
諸如 SharePoint 和網路共用的內部部署存放庫,可配置為使用 PIV-D 衍生認證進行驗證。將存放庫配置為使用 PIV-D 衍生認證時,需要在 VMware Content Gateway 設定中具備 Kerberos 組態。
若要設定 PIV-D 憑證驗證,則必須考慮下列必要條件:
-
必須使用適當的 SPN (服務主體名稱) 來設定 Kerberos Constrained Delegation (KCD) 伺服器。
-
Active Directory 必須以使用者主體名稱 (UPN) 做為屬性來與 Workspace ONE UEM 同步。
-
服務帳戶必須可同時用於 Workspace ONE UEM 和 VMware Content Gateway,以作為 Kerberos 驗證工作流程的一部分。
-
必須由發出使用者憑證的憑證授權機構 (CA),為 Content Gateway 提供可信賴的憑證。根據 CA 的驗證需求,這些憑證可能只是中繼憑證或整個憑證鏈結。
對於網路共用存放庫,請確保組態金鑰 jcifs 必須設為 false,並且 jcifsng 必須設為 true。
不支援 PIV-D 的憑證身份驗證
諸如 SharePoint 和網路共用的內部部署存放庫,可配置為使用衍生認證進行驗證。將存放庫配置為使用衍生認證時,需要在 VMware Content Gateway 設定中具備 Kerberos 組態。
若要設定憑證驗證,則必須考慮下列必要條件:
-
必須使用適當的 SPN (服務主體名稱) 來設定 Kerberos Constrained Delegation (KCD) 伺服器。
-
Active Directory 必須以使用者主體名稱 (UPN) 做為屬性來與 Workspace ONE UEM 同步。
-
服務帳戶必須可同時用於 Workspace ONE UEM 和 VMware Content Gateway,以作為 Kerberos 驗證工作流程的一部分。
-
必須由發出使用者憑證的憑證授權機構 (CA),為 Content Gateway 提供可信賴的憑證。根據 CA 的驗證需求,這些憑證可能只是中繼憑證或整個憑證鏈結。
對於網路共用存放庫,請確保組態金鑰 jcifs 必須設為 false,並且 jcifsng 必須設為 true。
快取效能
當整個企業存放庫已快取,裝置服務伺服器可能會由於內部記憶體不足而出現記憶體峰值情況。每次都必須停用快取,以解決裝置服務伺服器上的負載。
注意: 從 Workspace ONE UEM 1904 版開始,無法再使用資料庫指令碼來停用快取。可以在 API 將 ContentCacheFeatureFlag 切換為 false 以停用快取,https://
Just-in-Time 快取策略能夠僅快取使用者存取的資料夾和內容記錄,以解決記憶體不足的問題。不需要的資料夾和內容會從快取中移除。
使用 folderId 快取索引鍵快取個別資料夾,而非使用 RepoId 快取索引鍵快取整個存放庫。
當快取遺失時,裝置服務伺服器僅會從資料庫載入目前資料夾的中繼資料,然後將其儲存在快取。當快取命中時,裝置服務伺服器僅會從快取中讀取根層級的資料夾結構。
