企業群組可視為系統樹的個別分支,每個分葉為一個裝置使用者。Workspace ONE UEM powered by AirWatch 可識別每個分葉並使用企業群組 (OG) 在系統樹中建立其地位。大多數客戶會將企業群組系統樹設為與其公司階層類似:高階主管、管理、營運、銷售等。

您也可以根據 Workspace ONE UEM 功能與內容來建立 OG。

您可以導覽至群組 & 設定 > 群組 > 組織群組 > 清單檢視,或從組織群組下拉式功能表來存取組織群組。

  • 為組織內的實體建置群組 (管理、支薪、計時、業務、零售、人力資源、主管等等)。
  • 具有父層和子層的自訂階層 (例如「支薪」和「計時」是「管理」階層之下的子層)。
  • 在階層上與數種內部基礎結構作整合。
  • 按照多租用戶架構來委派以身份為基礎的存取權限與管理方式。

企業群組的特性

企業群組能夠適應功能性、地理性和組織性的實體,並且能夠啟用多重租用解決方案。

  • 延展性 – 彈性支援指數性成長。
  • 多重租用 – 建立用來作為獨立環境的群組。
  • 繼承 – 透過設定子群組繼承父群組之配置,來簡化設置過程。

以企業群組下拉式功能表為例,任何設定檔、功能、應用程式和其他 MDM 設定都可設在「環球企業 (World Wide Enterprises)」的層級上。

然後,這些設定值可由下層的子群組企業群組來繼承,比如亞太地區EMEA,或甚至可細分成亞太地區 > 製造部門,或旗下的亞太地區 > 作業部門 > 公司

亞太地區EMEA 等同層級企業群組間的設定,則可透過保持這些設定單獨的限制來利用 OG 的多租用戶本質。然而,這兩個同層級 OG 都承襲了其父級 OG 的設定,也就是環球企業 (World Wide Enterprises)。

此外,您也可以選擇覆寫較低層級的設定,只變更您想改變或保留的設定。您也可在任何層級上變更或承襲這些設定。

設定企業群組時需考量的項目

Workspace ONE UEM Console 上設定企業群組 (OG) 階層架構之前,請先決定群組結構。群組結構可讓您妥善運用設定、應用程式與資源。

  • 委託管理 – 您可將子群組的管理工作委派給較低層的管理員,並將他們的可見度設在較低層的企業群組。
  • 企業管理員可以存取和檢視環境中的所有內容。
  • LA 地區經理擁有 LA OG 存取權,且僅可管理該處的裝置。
  • NY 地區經理擁有 NY OG 存取權,且僅可管理該處的裝置。
  • 系統設定 – 設定可套用在樹狀企業群組中的不同階層,並且向下傳承。您也可在任何階層中覆寫這些設定。設定內容包括裝置註冊選項、驗證方式、隱私權設定和品牌化等。
  • 整體公司可針對該公司的 Active Directory 伺服器建立註冊程序。
  • 驅動程式裝置可覆寫父級驗證並允許 Token 型註冊。
  • 倉庫用裝置可從父群組繼承 AD 的設定。
  • 裝置使用範例 – 您可將同一個設定檔指派到一個或數個企業群組。在那些群組中的裝置即可接收到該設定檔。想取得更多資訊,請參閱「設定檔」章節內容。在建立企業群組之前,請根據屬性 (例如:裝置製造商和型號、擁有權類型,或是使用者群組等),使用設定檔、應用程式和內容設定來考量如何配置裝置。
  • 高階主管的裝置無法安裝應用程式與存取 Wi-Fi 銷售網路。
  • 業務的裝置可安裝應用程式並具 VPN 存取權。

比較兩個企業群組

您可以將某個企業群組的設定拿去與另一個比較,從而減少版本移轉的問題。此企業群組的比較功能只適用於內部部署的客戶。

比較企業群組設定時,您可以執行下列工作。

  • 從不同的 Workspace ONE UEM 軟體版本上傳包含 OG 設定的 XML 檔案。
  • 減低在版本移轉時因配置的不同而造成問題的可能性。
  • 篩選比較的結果,讓您能夠只顯示有興趣比較的設定。
  • 利用搜尋功能,透過名稱來搜尋單一設定。

試舉版本移轉的功能之一:使用者接受度測試 (UAT) 伺服器經過升級、配置和測試後,您可直接比較 UAT 設定與生產設定。

  1. 導覽至群組 & 設定 > 所有設定 > 管理員 > 設定管理 > 設定比較
  2. 從左方的下拉式功能表中選取您環境內的 OG (以數字 1 標示)。或者您也可透過選取上傳按鈕來上傳 XML 設定檔,並選取一個匯出的 OG 設定 XML 檔。
  3. 在右方的下拉式功能表中選擇您要比較的OG (以數字 2 標示)。
  4. 選取升級按鈕,顯示兩個所選企業群組的所有設定清單。
    • 兩企業群組 (OG) 設定間的差異會自動反白。
    • 您可以選擇是否要勾選僅顯示不同的部分勾選方格。此勾選方格只會顯示那些適用於某個企業群組,卻不適用於另一個企業群組的設定。
    • 空白 (或尚未指定) 的個別設定會以「NULL」顯示在比較清單中。

建立企業群組

您必須為每個執行裝置部署的公司實體,建立一個企業群組。請注意,您目前所在的 OG 正是您即將建立的子 OG 的父代。

  1. 導覽至群組 & 設定 > 群組 > 企業群組 > 詳細資料
  2. 選取新增子企業群組標籤並完成下列設定。
    設定 描述
    名稱 請為子企業群組 (OG) 輸入要顯示的名稱。只能使用英數字元。請勿使用奇怪的字元。
    群組 ID

    請為 OG 輸入識別碼,以供終端使用者在裝置登入期間使用。在註冊過程中,利用群組 ID 來將裝置分配到正確的 OG。

    請確定共用裝置的使用者都收到該群組 ID,因為依據您「共用裝置」的配置,系統可能會要求裝置必須透過該群組 ID 才能登入。

    若您未處於內部部署環境,則群組 ID 會在整個共用的 SaaS 環境中識別您的組織群組。因此,所有群組 ID 皆必須使用唯一的名稱。

    類型 選擇預先配置的 OG 類型,以反映其子 OG 的類別。
    國家 選擇 OG 所在國家。
    地區設定 為所選國家選擇語言分類。
    客戶產業 僅當類型為客戶時才能使用此設定。從客戶產業清單中加以選取。
    時區 選擇 OG 的時區。
  3. 選取儲存

識別任何組織群組的群組 ID

您可以採取下列步驟來識別任何組織群組的群組 ID。

  1. 從組織群組下拉式功能表中選取您要識別的組織群組,以移至該組織群組。
  2. 將游標暫留在 OG 標籤上。快顯視窗會顯示目前所選組織群組的名稱和群組 ID。

繼承、多租戶和驗證

以個別企業群組為準而覆寫設定的概念在與企業群組 (OG) 特性 (如繼承和多租戶) 結合時,將可進一步與驗證結合。此一結合可讓配置更有彈性。

下列企業群組模型說明了這種彈性。

此圖顯示的企業群組階層模型由父系、子系和孫系組成。

在此模型中,管理員通常擁有較大的權限和功能,位於此 OG 分支的最高位置。這些管理員可使用管理員特有的 SAML 登入其 OG。

公司使用者從屬於管理員,因此其 OG 會安排為子系。身為使用者而非管理員,其 SAML 登入設定無法繼承管理員設定。因此,公司使用者的 SAML 設定會被覆寫。

BYOD 使用者不同於公司使用者。BYOD 使用者所使用的裝置屬於使用者本身,並且可能包含更多個人資訊。因此,這些裝置設定檔可能需要稍有不同的設定。BYOD 使用者可能會有不同的使用條款合約。BYOD 裝置可能需要不同的企業抹除參數。基於前述種種和其他原因,讓 BYOD 使用者登入個別的 OG,可能較為合理。

而且,儘管並非從屬於公司階層中的公司使用者,將 BYOD 使用者設置為公司使用者的子系,確有其好處。此安排意味著,BYOD 使用者可繼承適用於所有公司使用者裝置的設定,只要將這些設定套用至公司使用者 OG 即可。

繼承也適用於 SAML 驗證設定。由於 BYOD 使用者是公司使用者的子系,因此 BYOD 使用者在使用者驗證設定方面也會繼承其 SAML。

替代模式是使 BYOD 使用者層級與公司使用者層級相同。

此圖顯示的企業群組階層模型由父系和兩個子系組成。

在此替代模式中,會有以下情況。

  • 所有應全域套用至所有裝置的裝置設定檔 (包括合規性原則),以及其他全域適用的裝置設定,都會套用至兩個企業群組,而不是一個。之所以需要此雙重性,是因為 BYOD 使用者對公司使用者的繼承已非此模式中的要素。公司使用者與 BYOD 使用者是對等項,因此沒有繼承關係。
  • 必須對 BYOD 使用者套用另一個 SAML 覆寫。此覆寫是必要的,因為系統會假設這些使用者會從其父系 (也就是管理員) 繼承 SAML 設定。此類假設是錯誤的,因為 BYOD 使用者並不是管理員,也沒有相同的存取權和權限。
  • BYOD 使用者會繼續與公司使用者分開處理。此替代模型意味著,他們將繼續享有其本身的裝置設定檔設定。

哪些因素可用來判斷最佳模式為何?比較全域適用的裝置設定數目,與群組特有的裝置設定數目。基本上,如果您想要以大致相同的方式來處理所有裝置,不妨考慮將 BYOD 使用者設為公司使用者的子系。如果維護個別設定較為重要,不妨考慮讓 BYOD 使用者層級與公司使用者層級相同。

企業群組限制

如果您嘗試配置組織群組 (OG) 專用設定,群組 & 設定 > 所有設定下的設定頁面會為您指出限制。

此設定僅可在企業群組類型為「客戶」的情況下啟用。

建立客戶層級的企業群組時可套用下列限制。

  • 不論您是在軟體即服務 (SaaS) 環境或內部環境中,皆無法建立巢狀的客戶 OG。

企業群組類型功能

企業群組的類型可能會影響管理員所能配置的設定。

  • 全域 – 最上層的企業群組。該群組通常稱為「全域」且類型為「全域」。
    • 對於代管的 SaaS 環境,您將無法存取此群組。
    • 內部部署客戶可在這個層級啟用「詳細資訊」記錄功能。
  • 合作夥伴 – 合作夥伴 (Workspace ONE UEM 的第三方經銷商) 的最上層組織群組。
  • 客戶 – 每位客戶的上層企業群組。
    • 客戶企業群組擁有的子/父企業群組,不得屬於客戶類型。
    • 某些設定只能在「客戶」群組配置。這些設定會向下篩選到較低的組織。列舉幾個此類設定範例如下:自動探索電子郵件網域、「大量採購方案」設定、「裝置註冊方案」設定 (AirWatch 8.0 之前的版本) 及個人內容。
  • 容器 – 預設企業群組類型。
    • 客戶企業群組下方的所有企業群組都必須為容器類型。您可以將容器設置在「合作夥伴」和「客戶」群組之間。
  • 潛在客戶 – 潛在的客戶。與客戶企業群組類似。功能可能會比真正的客戶群組少。

另有「部門」、「區域」之類的其他企業群組類型,以及自行定義企業群組類型的功能。這些類型不具有任何與容器企業群組類型相同的特性和功能。

在全域新增裝置

全域企業群組 (OG) 旨在為客戶和其他類型的 OG 提供服務。鑑於繼承原理,若將裝置新增到全域,並根據該裝置所屬的設定配置全域,則將另外影響到以下所有客戶 OG。此舉將削弱多租戶和繼承的優點。

如需進一步資訊,請參閱不應在全域註冊裝置的原因