Workspace ONE UEM 會使用組織群組 (OG) 來識別使用者及建立權限。Workspace ONE UEMVMware Identity Manager 整合時,將會在名為「客戶」的 Workspace ONE UEM 組織群組類型上設定管理員和註冊使用者 REST API 金鑰。

使用者從裝置登入 Workspace ONE 時,會在 VMware Identity Manager 內觸發裝置登錄事件。而要求會傳送至 Workspace ONE UEM,以提取使用者和裝置組合有權使用的任何應用程式。此要求會使用 REST API 傳送,以找出 Workspace ONE UEM 內的使用者,並將裝置放入適當的組織群組中。

若要管理組織群組,您可以在 VMware Identity Manager 中設定兩個選項。

  • 啟用 Workspace ONE UEM 自動探索。

  • Workspace ONE UEM 組織群組對應至 VMware Identity Manager 服務中的網域。

如果這兩個選項皆未設定,Workspace ONE 會嘗試在建立 REST API 金鑰的組織群組尋找使用者。那就是「客戶」群組。

使用 Workspace ONE UEM 自動探索

在客戶組織群組的子群組上設定了單一目錄時,或是在具有唯一電子郵件網域的客戶群組下設定了多個目錄時,請設定「自動探索」。

圖 1. 範例 1

在範例 1 中,系統會登錄組織的電子郵件網域以進行自動探索。使用者在 Workspace ONE 登入頁面中僅需輸入其電子郵件地址。

在此範例中,NorthAmerica 網域中的使用者在登入 Workspace ONE 時,需要輸入完整電子郵件地址 user1@domain1.com。應用程式會尋找該網域,並確認該使用者存在,或可透過目錄呼叫建立於 NorthAmerica 組織群組中。裝置即可進行登錄。

使用 Workspace ONE UEM 組織群組與 VMware Identity Manager 網域的對應

使用相同的電子郵件網域設定多個目錄時,請設定 VMware Identity Manager 服務與 Workspace ONE UEM 組織群組的對應。您可以在 VMware Identity Manager 主控台的 AirWatch 組態頁面中,啟用將網域對應至多個組織群組

當 [將網域對應至多個組織群組] 選項啟用時,在 VMware Identity Manager 中設定的網域可對應至 Workspace ONE UEM 組織群組識別碼。此時也需要管理員 REST API 金鑰。

在範例 2 中,有兩個網域對應至不同的組織群組。此時需要一個管理員 REST API 金鑰。兩個組織群組識別碼皆使用相同的管理員 REST API 金鑰。

圖 2. 範例 2

VMware Identity Manager 主控台的 AirWatch 組態頁面中,為每個網域設定特定的 Workspace ONE UEM 組織群組識別碼。

圖 3. 範例 2:組織群組組態

在此組態下,當使用者從其裝置登入 Workspace ONE 時,裝置登錄要求會嘗試在組織群組「歐洲」中尋找來自 Domain3 的使用者,並在組織群組「亞太地區」中尋找來自 Domain4 的使用者。

在範例 3 中,有一個網域對應至多個 Workspace ONE UEM 組織群組。兩個目錄會共用電子郵件網域。該網域指向相同的 Workspace ONE UEM 組織群組。

圖 4. 範例 3

在此組態中,當使用者登入 Workspace ONE 時,應用程式會提示使用者選取他們所要登錄的群組。在此範例中,使用者可選取「工程」或「會計」。

圖 5. 多個目錄共用相同網域的組織群組

將裝置放入正確的組織群組中

成功找到使用者記錄時,裝置即會新增至適當的組織群組中。Workspace ONE UEM 註冊設定群組識別碼指派模式會決定要將裝置放入哪個組織群組中。此設定位於 Workspace ONE UEM Console 中的 [系統設定] > [裝置和使用者] > [一般] > [註冊] > [群組] 頁面。

圖 6. 裝置的 Workspace ONE UEM 群組註冊

在範例 4 中,所有使用者皆位於「公司」組織群組層級。

圖 7. 範例 4

裝置會放入哪個群組,取決於為「公司」組織群組選取的「群組識別碼指派模式」組態。

  • 如果選取 [預設值],則會將裝置放入使用者所在的相同群組中。就範例 4 而言,裝置會放入「公司」群組中。

  • 如果選取 [提示使用者選取群組識別碼],則系統會提示使用者選取要將其裝置登錄至哪個群組中。就範例 4 而言,使用者會在 Workspace ONE 應用程式中看見具有「工程」和「會計」選項的下拉式功能表。

  • 如果選取 [根據使用者群組自動選取],將會根據裝置的使用者群組指派和 Workspace ONE UEM 主控台中的相關對應,將裝置放入「工程」或「會計」中。

瞭解隱藏群組的概念

在範例 4 中,當系統提示使用者選取要用於登錄的組織群組時,使用者也可以輸入 Workspace ONE 應用程式清單中未提供的群組識別碼值。這就是隱藏群組的概念。

在範例 5 的「公司」組織群組結構中,「北美洲」和「Beta」會設定為「公司」下的群組。

圖 8. 範例 5

在範例 5 中,使用者需要將其電子郵件地址輸入至 Workspace ONE 中。通過驗證後,使用者會看見顯示可供選擇「工程」和「會計」的清單。Beta 不會顯示為選項。如果使用者知道組織群組識別碼,他們可以手動在群組選取文字方塊中輸入 Beta,並成功將其裝置登錄至 Beta 中。