企業群組

企業群組可視為系統樹的個別分支,每個分葉為一個裝置使用者。Workspace ONE UEM 使用企業群組 (OG) 識別每個分支並建立其在樹狀結構中的位置。大多數客戶使 OG 樹狀結構圖看起來像他們的企業階層架構:高階主管、管理層、運營、銷售等。

您也可以根據 Workspace ONE UEM 功能與內容來建立 OG。

您可以透過以下導覽途徑群組 & 設定 > 群組 > 企業群組 > 清單檢視,或從企業群組下拉式功能表來存取企業群組。

  • 為組織內的實體建置群組 (管理、支薪、計時、業務、零售、人力資源、主管等等)。
  • 具有父層和子層的自訂階層 (例如「支薪」和「計時」是「管理」階層之下的子層)。
  • 在階層上與數種內部基礎結構作整合。
  • 按照多租用戶架構來委派以身份為基礎的存取權限與管理方式。

注意: 企業群組清單檢視將「作用中裝置」定義為只有過去 8 小時內向 Workspace ONE UEM Console 報告的所有裝置。

企業群組的特性

企業群組能夠適應功能性、地理性和組織性的實體,並且能夠啟用多重租用解決方案。

  • 延展性 – 彈性支援指數性成長。
  • 多重租用 – 建立用來作為獨立環境的群組。
  • 繼承 – 透過設定子群組繼承父群組之配置,來簡化設置過程。

圖中顯示了一個實施地理和企業元素的 OG 階層結構範例。此螢幕擷取畫面反映了與流程圖樣式相同的階層結構,但它在 Workspace ONE UEM 中顯示方式不同。

以企業群組下拉式功能表為例,任何設定檔、功能、應用程式和其他 MDM 設定都可設在「環球企業 (World Wide Enterprises)」的層級上。

這些設定值可由下層的子群組企業群組來繼承,比如亞太地區EMEA,或甚至可細分成亞太地區 > 製造部門或旗下的亞太地區 > 營運部分 > 公司

亞太地區EMEA 等同層級企業群組間的設定,則可透過保持這些設定單獨的限制來利用 OG 的多租用戶本質。然而,這兩個同層級 OG 都承襲了其父級 OG 的設定,也就是環球企業 (World Wide Enterprises)。

此外,您也可以選擇覆寫較低層級的設定,只變更您想改變或保留的設定。您也可在任何層級上變更或承襲這些設定。

設定企業群組時需考量的項目

在 Workspace ONE UEM 主控台上設定企業群組 (OG) 階層架構之前,請先決定群組結構。群組結構可讓您妥善運用設定、應用程式與資源。

  • 委託管理 – 您可將子群組的管理工作委派給較低層的管理員,並將他們的可見度設在較低層的企業群組。

此圖顯示了具有典型零售父子 OG 的範例 OG 階層結構。

  • 企業管理員可以存取和檢視環境中的所有內容。
  • LA 地區經理擁有 LA OG 存取權,且僅可管理該處的裝置。
  • NY 地區經理擁有 NY OG 存取權,且僅可管理該處的裝置。
  • 系統設定 – 設定可套用在樹狀企業群組中的不同階層,並且向下傳承。您也可在任何階層中覆寫這些設定。設定內容包括裝置註冊選項、驗證方式、隱私權設定和品牌化等。

此圖顯示了具有典型出貨父子 OG 的範例 OG 階層結構。

  • 整體公司可針對該公司的 Active Directory 伺服器建立註冊程序。
  • 驅動程式裝置可覆寫父級驗證並允許 Token 型註冊。
  • 倉庫用裝置可從父群組繼承 AD 的設定。
  • 裝置使用範例 – 您可將同一個設定檔指派到一個或數個企業群組。在那些群組中的裝置即可接收到該設定檔。想取得更多資訊,請參閱「設定檔」章節內容。在建立企業群組之前,請根據屬性 (例如:裝置製造商和型號、擁有權類型,或是使用者群組等),使用設定檔、應用程式和內容設定來考量如何配置裝置。

此圖顯示了具有典型企業父子 OG 的範例 OG 階層結構。

  • 高階主管的裝置無法安裝應用程式與存取 Wi-Fi 銷售網路。
  • 業務的裝置可安裝應用程式並具 VPN 存取權。

變更企業群組

您可以選取畫面右上方的 OG 標記來變更企業群組。

此螢幕擷取畫面顯示了 OG 選擇器的位置。

選取後,下拉式功能表會顯示您的 OG 階層,允許您變更為另一個企業群組。

比較兩個企業群組

您可以將某個企業群組的設定拿去與另一個比較,從而減少版本移轉的問題。此企業群組的比較功能只適用於內部部署的客戶。

比較企業群組設定時,您可以執行下列工作。

  • 從不同的 Workspace ONE UEM 軟體版本上傳包含 OG 設定的 XML 檔案。
  • 減低在版本移轉時因配置的不同而造成問題的可能性。
  • 篩選比較的結果,讓您能夠只顯示有興趣比較的設定。
  • 利用搜尋功能,透過名稱來搜尋單一設定。

試舉版本移轉的功能之一:使用者接受度測試 (UAT) 伺服器經過升級、配置和測試後,您可直接比較 UAT 設定與生產設定。

  1. 瀏覽至群組 & 設定 > 所有設定 > 管理員 > 設定管理 > 設定比較

    此螢幕截圖顯示了「比較企業群組」系統設定頁面。

  2. 從左方的下拉式功能表中選擇您環境內的OG (以數字 1 標示)。或者您也可透過選取上傳按鈕來上傳 XML 設定檔,並選取一個匯出的 OG 設定 XML 檔。

  3. 在右方的下拉式功能表中選擇您要比較的OG (以數字 2 標示)。
  4. 選取升級按鈕,顯示兩個所選企業群組的所有設定清單。
    • 兩企業群組 (OG) 設定間的差異會反白。
    • 您可以選擇是否要勾選僅顯示不同的部分勾選方格。此勾選方格只會顯示那些適用於某個企業群組,卻不適用於另一個企業群組的設定。
    • 空白 (或尚未指定) 的個別設定會以「NULL」顯示在比較清單中。

建立企業群組

您必須為每個執行裝置部署的公司實體,建立一個企業群組。請注意,您目前所在的 OG 正是您即將建立的子 OG 的父代。

  1. 導覽至群組與設定 > 群組 > 企業群組 > 詳細資料

    此螢幕截圖顯示了「企業群組」頁面的「詳細資訊」檢視,您可以使用該檢視新增子 OG。

  2. 選取新增子企業群組標籤並完成下列設定。

    設定 描述
    名稱 請為子企業群組 (OG) 輸入要顯示的名稱。只能使用英數字元。請勿使用奇怪的字元。
    群組 ID 使用者在裝置登入期間以及將群組裝置註冊到適當的 OG 期間使用此要求的 OG 識別碼。

    請確定共用裝置的使用者都收到該群組 ID,因為依據您「共用裝置」的配置,系統可能會要求裝置必須透過該群組 ID 才能登入。

    若您未處於內部部署環境,則群組 ID 會在整個共用的 SaaS 環境中識別您的組織群組。因此,所有群組 ID 皆必須使用唯一的名稱。
    類型 選擇預先配置的 OG 類型,以反映其子 OG 的類別。
    國家 選擇 OG 所在國家。
    地區設定 為所選國家選擇語言分類。
    客戶產業 僅當類型為客戶時才能使用此設定。從客戶產業清單中加以選取。
    時區 選擇 OG 的時區。

  3. 選取儲存

刪除企業群組

只要企業群組 (OG) 並未包含子 OG,且其下線沒有任何裝置,您就可以刪除該企業群組。

  1. 從 OG 下拉式功能表中選擇要刪除的 OG,即可移動到該 OG。

    此螢幕擷取畫面顯示了 OG 選擇器的相對位置。

  2. 導覽至群組與設定 > 群組 > 企業群組 > 詳細資料

  3. 詳細資訊畫面的底部,檢查企業群組內裝置子企業群組的數量。如果任一項目的值不是零,您就無法刪除 OG,也無法使用刪除按鈕。

    您必須將所有裝置從這個 OG 移入另一個 OG。您要刪除之 OG 下線中的任何子 OG,在刪除前也不能包含任何裝置。

  4. 企業群組內裝置子企業群組的數量均為零後,您就可以繼續刪除 OG。

  5. 選擇刪除按鈕。
  6. 此時會顯示受限制的動作 - 刪除企業群組畫面並提供警告,說明您在刪除 OG 之前可能需要採取的準備工作。
  7. 在獲准繼續刪除之前,您必須輸入註冊為 UEM 管理員時選擇的 4 位數安全性 PIN 碼。選取忘記安全性 PIN 碼?連結。

識別任何組織群組的群組 ID

您可以採取下列步驟來識別任何企業群組 (OG) 的群組 ID。

  1. 從 OG 下拉式功能表中選取要識別的 OG,即可移動到該 OG。

    此螢幕擷取畫面顯示了 OG 選擇器的相對位置。

  2. 將游標暫留在 OG 標籤上。快顯視窗會顯示目前所選組織群組的名稱和群組 ID。

此螢幕擷取畫面顯示了將滑鼠指標懸停在 OG 選擇器上時如何顯示群組 ID。

繼承、多租戶和驗證

以個別企業群組為準而覆寫設定的概念在與企業群組 (OG) 特性 (如繼承和多租戶) 結合時,將可進一步與驗證結合。此一結合可讓配置更有彈性。

下列企業群組模型說明了這種彈性。

此圖顯示的企業群組階層模型由父系、子系和孫系組成。

在此模型中,管理員通常擁有較大的權限和功能,位於此 OG 分支的最高位置。這些管理員可使用管理員特有的 SAML 登入其 OG。

公司使用者從屬於管理員,因此其 OG 會安排為子系。身為使用者而非管理員,其 SAML 登入設定無法繼承管理員設定。因此,公司使用者的 SAML 設定會被覆寫。

BYOD 使用者不同於公司使用者。BYOD 使用者所使用的裝置屬於使用者本身,並且可能包含更多個人資訊。因此,這些裝置設定檔可能需要稍有不同的設定。BYOD 使用者可能會有不同的使用條款合約。BYOD 裝置可能需要不同的企業抹除參數。基於前述種種和其他原因,讓 BYOD 使用者登入個別的 OG,可能較為合理。

而且,儘管並非從屬於公司階層中的公司使用者,將 BYOD 使用者設置為公司使用者的子系,確有其好處。此安排意味著,BYOD 使用者可繼承適用於所有公司使用者裝置的設定,只要將這些設定套用至公司使用者 OG 即可。

繼承也適用於 SAML 驗證設定。由於 BYOD 使用者是公司使用者的子系,因此 BYOD 使用者在使用者驗證設定方面也會繼承其 SAML。

替代模式是使 BYOD 使用者層級與公司使用者層級相同。

此圖顯示的企業群組階層模型由父系和兩個子系組成。

在此替代模式中,會有以下情況。

  • 所有應全域套用至所有裝置的裝置設定檔 (包括合規原則),以及其他全域適用的裝置設定,都會套用至兩個企業群組,而不是一個。之所以需要此雙重性,是因為 BYOD 使用者對公司使用者的繼承已非此模式中的要素。公司使用者與 BYOD 使用者現在是對等項,因此沒有繼承關係。
  • 必須對 BYOD 使用者套用另一個 SAML 覆寫。此覆寫是必要的,因為系統會假設這些使用者會從其父系 (也就是管理員) 繼承 SAML 設定。此類假設是錯誤的,因為 BYOD 使用者並不是管理員,也沒有相同的存取權和權限。
  • BYOD 使用者會繼續與公司使用者分開處理。此替代模型意味著,他們將繼續享有其本身的裝置設定檔設定。

哪些因素可用來判斷最佳模式為何?比較全域適用的裝置設定數目,與群組特有的裝置設定數目。基本上,如果您想要以大致相同的方式來處理所有裝置,不妨考慮將 BYOD 使用者設為公司使用者的子系。如果維護個別設定較為重要,不妨考慮讓 BYOD 使用者層級與公司使用者層級相同。

企業群組限制

若您嘗試設定企業群組 (OG) 專用設定,群組與設定 > 所有設定下的設定頁面會通知您限制。

此設定僅可在企業群組類型為「客戶」的情況下啟用。

建立客戶層級的企業群組時可套用下列限制。

  • 不論您是在軟體即服務 (SaaS) 環境或內部環境中,皆無法建立巢狀的客戶 OG。

企業群組類型功能和自訂

企業群組的類型可能會影響管理員所能配置的設定。

  • 全域 – 最上層的企業群組。該群組通常稱為「全域」且類型為「全域」。
    • 對於代管的 SaaS 環境,您將無法存取此群組。
    • 內部部署客戶可在這個層級啟用「詳細資訊」記錄功能。
  • 客戶 – 每位客戶的上層企業群組。
    • 客戶企業群組擁有的子/父企業群組,不得屬於客戶類型。
    • 基本工作流程只能發生在客戶類型 OG 內或其階層內。這些工作流程包括增加裝置、登錄和註冊裝置、使用者群組對應、智慧群組建立和對應、變更設備上的 OG(或將裝置從一個 OG 移至另一個 OG),以及裝置簽出。
    • 某些設定只能在「客戶」群組配置。這些設定會向下篩選到較低的容器類型 OG。
      • 自動發現電子郵件網域
      • 裝置註冊計畫設定 (AirWatch 8.0 之前的版本)
      • 個人內容
      • 必須在父級客戶 OG 中啟用 Apple VPP (大量購買計畫),然後子容器類型 OG 功能才能使用 VPP 功能。
      • Samsung Enterprise FOTA
      • Hub 套件
      • 自訂屬性
      • 轉送伺服器
      • Intelligence
      • 感應器
      • 應用程式掃描和應用程式移除保護
      • 用於應用程式提供的 CDN (內容傳遞網路)
      • 用於內容管理的 NFS 儲存將變為可配置
      • Workspace ONE Hub 服務
      • 條件式存取
      • MAG (行動存取閘道)
      • LBUS (本機基本使用者同步)
      • Dynamic Environment Manager
      • Mobile Flows
  • 容器 – 預設企業群組類型。
    • 客戶企業群組下方的所有企業群組都必須為容器類型。您可以將容器設置在「合作夥伴」和「客戶」群組之間。
  • 合作夥伴 – 合作夥伴的上層企業群組 (Workspace ONE UEM 的第三方經銷商)。
  • 潛在客戶 – 潛在的客戶。與客戶組織組類似,其功能可能少於真正的客戶群組。

另有「部門」、「區域」之類的其他企業群組類型,以及自行定義企業群組類型的功能。

新增企業群組類型

您可以新增自訂企業群組類型。這些類型不具有任何與容器企業群組類型相同的特性和功能。

如要建立自己的 OG 類型…

  1. 導覽到群組與設定 > 群組 > 企業群組 > 類型,然後選取新增企業群組類型按鈕。
  2. 輸入您想要的 OG 類型名稱及其說明
  3. 選取儲存

不應在全域註冊裝置的原因

將裝置直接註冊到最上層企業群組 (OG) (通常稱為全域),並不是好做法,原因如下。多租戶、繼承和功能。

多租戶

您可根據需要盡可能建立子企業群組,並配置為可獨立於其他群組。套用至子 OG 的設定不影響其他同層級。

繼承

對父層級 OG 所做的變更會套用至子層級。相反的,對子層級 OG 所做的變更,不會套用至父層級或同層級。

功能

有些設定和功能只能在客戶類型企業群組中配置,包括抹除保護、電信和個人內容。直接新增至最上層全域 OG 的裝置,會從這些設定和功能中排除。

全域企業群組 (OG) 旨在為客戶和其他類型的 OG 提供服務。鑑於繼承原理,若將裝置新增到全域,並根據該裝置所屬的設定配置全域,則將另外影響到以下所有客戶 OG。此舉將削弱多租戶和繼承的優點。

企業群組設定的覆寫與繼承

您建立的企業群組 (OG) 結構的階層會決定哪些 OG 為子系,哪些是父系。子 OG 會繼承其父 OG 的設定,但您可以選擇覆寫此繼承。

每個系統設定頁面會根據企業群組階層相關的兩種繼承/覆寫選項類型,以套用其設定:1) [目前設定] 和 2) [子權限]。會套用其設定的 OG 為您目前所在的 OG。

換言之,如果您在 Employees\Warehouse OG 中,則您對設定所做的變更會套用至該 OG,以及 Warehouse OG 子系的所有 OG。

例如,導覽至群組與設定 > 所有設定 > 系統 > 品牌化可找到品牌化設定頁面,該頁面可針對顯示在企業群組下拉式功能表中的 OG,控制所有自訂背景影像、標誌和色彩配置。

套用我們先前的範例,您即可匯入新的背景影像、新標誌、不同色彩配置,全部以供該 Employees\Warehouse OG 專用。您也可以將設定設為套用至 Warehouse OG。在設定頁面上變更此 OG 的繼承,以啟用此選項。

子權限

將子權限設定視為父 OG 對子 OG 的態度。子權限有三種不同的設定:繼承或覆寫僅繼承僅覆寫

繼承或覆寫設定僅代表父系不具子權限的偏好設定。當父系的子權限設定為繼承或覆寫時,子 OG 的目前設定會決定其是否要覆寫或繼承設定。根據預設,子權限會設定為繼承或覆寫

在父系上僅限繼承的子權限設定會強制執行所有子系上的繼承。這設定表示所有子系與父系具有相同的設定。僅可覆寫的子權限設定會移除所有子 OG 上的繼承效果,要求您設定該子 OG 專用的設定。

子權限設定僅會影響下一層子系。此類設定不會影響到孫系或較低的 OG。

目前設定

如果子權限是父系對子系的態度,則 OG 的目前設定是子系對父系的態度。目前設定只能是繼承覆寫

[目前設定] 為繼承表示子 OG 接受父 OG 的所有設定。選取覆寫的目前設定,子系會拒絕父系,並自行獨立。覆寫選取項目表示您可以為子系建立新設定。

若父 OG 的子權限設定為繼承或覆寫,您只能變更 OG 的目前設定。

延續上方範例,如果您想要影響對 Warehouse OG 的品牌化設定,您可以將 Warehouse 每個子系 OG 的 [目前設定] 變更為覆寫,但前提是 Warehouse 的 [子權限] 為預設的繼承或覆寫。之後,您便可針對適合的所有 Warehouse 子系設定品牌化設定 (可與 Warehouse 不同或相同)。

變更權限設定

如果其父系的 [子權限] 設定並不允許此動作,您便無法變更子系的 [目前設定]。例如,如果 MomandDadOG 的子權限設定為僅可覆寫,您便無法將 JuniorOG 的目前設定變更為繼承。簡單來說,父 OG 的 [子權限] 設定會優先於子 OG 的 [目前設定]。

當您將子系的 [目前設定] 從覆寫變更為繼承時,將其父系的 [子權限] 設定變更為僅限繼承會鎖定子 OG 的 [子權限] 設定。在此情況下,您無法變更子權限設定。如果子 OG 設定從未遭覆寫,則不會套用此行為。

此行為的因應措施為您必須將父 OG 上的子權限設定變更回到繼承或覆寫,解除鎖定子 OG 的子權限設定。

更大的偏好策略會預先規劃,將繼承與覆寫設定加以設定為要使階層結構合理的 OG 層級。

check-circle-line exclamation-circle-line close-line
Scroll to top icon