Opciones de acceso de usuario con Windows Admin CenterUser access options with Windows Admin Center

Se aplica a: Windows Admin Center, vista previa de Windows Admin CenterApplies To: Windows Admin Center, Windows Admin Center Preview

Cuando se implementa en Windows Server, Windows Admin Center proporciona un punto centralizado de administración para su entorno de servidor.When deployed on Windows Server, Windows Admin Center provides a centralized point of management for your server environment. Controlar el acceso a Windows Admin Center, puede mejorar la seguridad de su infraestructura de administración.By controlling access to Windows Admin Center, you can improve the security of your management landscape.

Roles de acceso de la puerta de enlaceGateway access roles

Windows Admin Center define dos roles para el acceso al servicio de puerta de enlace: los usuarios de la puerta de enlace y los administradores de la puerta de enlace.Windows Admin Center defines two roles for access to the gateway service: gateway users and gateway administrators.

Nota

Acceso a la puerta de enlace no implica el acceso a los servidores de destino visibles por la puerta de enlace.Access to the gateway does not imply access to the target servers visible by the gateway. Para administrar un servidor de destino, debe conectar un usuario con credenciales que tengan privilegios administrativos en el servidor de destino.To manage a target server, a user must connect with credentials that have administrative privileges on the target server.

Los usuarios de la puerta de enlace pueden conectarse al servicio de puerta de enlace de Windows Admin Center para administrar los servidores a través de esa puerta de enlace, pero no pueden cambiar los permisos de acceso ni el mecanismo de autenticación usada para autenticarse en la puerta de enlace.Gateway users can connect to the Windows Admin Center gateway service in order to manage servers through that gateway, but they cannot change access permissions nor the authentication mechanism used to authenticate to the gateway.

Los administradores de la puerta de enlace puede configurar quién tiene acceso también cómo se autenticarán los usuarios a la puerta de enlace.Gateway administrators can configure who gets access as well as how users will authenticate to the gateway.

Nota

Si no hay ningún grupo de acceso definido en Windows Admin Center, los roles reflejará el acceso a la cuenta de Windows en el servidor de puerta de enlace.If there are no access groups defined in Windows Admin Center, the roles will reflect the Windows account access to the gateway server.

Configurar el acceso de usuario y Administrador de puerta de enlace en Windows Admin Center.Configure gateway user and administrator access in Windows Admin Center.

Opciones de proveedor de identidadIdentity provider options

Los administradores de la puerta de enlace pueden elegir cualquiera de las siguientes acciones:Gateway administrators can choose either of the following:

Autenticación de tarjeta inteligenteSmartcard authentication

Al usar grupos de equipo local o de Active Directory como proveedor de identidades, puede exigir la autenticación de tarjeta inteligente al requerir que los usuarios que tienen acceso a Windows Admin Center para que sea miembro de grupos de seguridad adicional basada en tarjeta inteligente.When using Active Directory or local machine groups as the identity provider, you can enforce smartcard authentication by requiring users who access Windows Admin Center to be a member of additional smartcard-based security groups. Configurar la autenticación de tarjeta inteligente en Windows Admin Center.Configure smartcard authentication in Windows Admin Center.

Acceso condicional y Multi-factor authenticationConditional access and multi-factor authentication

Al requerir autenticación de Azure AD para la puerta de enlace, puede aprovechar las características de seguridad adicionales, como el acceso condicional y Multi-factor authentication proporcionada Azure AD.By requiring Azure AD authentication for the gateway, you can leverage additional security features like conditional access and multi-factor authentication provided by Azure AD. Más información sobre cómo configurar el acceso condicional con Azure Active Directory.Learn more about configuring conditional access with Azure Active Directory.

Control de acceso basado en rolesRole-based access control

De forma predeterminada, los usuarios necesitan privilegios completos de administrador local en los equipos que deseen administrar mediante Windows Admin Center.By default, users require full local administrator privileges on the machines they wish to manage using Windows Admin Center. Esto les permita conectarse remotamente a la máquina y se asegura de que tienen permisos suficientes para ver y modificar la configuración del sistema.This allows them to connect to the machine remotely and ensures they have sufficient permissions to view and modify system settings. Sin embargo, algunos usuarios no pueden necesitar acceso sin restricciones a la máquina para realizar sus trabajos.However, some users may not need unrestricted access to the machine to perform their jobs. Puede usar control de acceso basado en roles en Windows Admin Center para proporcionar estos usuarios con acceso limitado a la máquina en lugar de realizar los administradores locales completa de ellos.You can use role-based access control in Windows Admin Center to provide such users with limited access to the machine instead of making them full local administrators.

Control de acceso basado en roles en Windows Admin Center funciona mediante la configuración de cada servidor administrado con un PowerShell Just Enough Administration punto de conexión.Role-based access control in Windows Admin Center works by configuring each managed server with a PowerShell Just Enough Administration endpoint. Este punto de conexión define las funciones, incluyendo información sobre los aspectos del sistema de cada rol tiene permiso para administrar y qué usuarios están asignados al rol.This endpoint defines the roles, including what aspects of the system each role is allowed to manage and which users are assigned to the role. Cuando un usuario se conecta al punto de conexión restringido, se crea una cuenta de administrador local temporal para administrar el sistema en su nombre.When a user connects to the restricted endpoint, a temporary local administrator account is created to manage the system on their behalf. Esto garantiza que incluso las herramientas que no tienen su propio modelo de delegación todavía se pueden administrar con Windows Admin Center.This ensures that even tools which do not have their own delegation model can still be managed with Windows Admin Center. La cuenta temporal se quita automáticamente cuando el usuario deja de administrar la máquina a través de Windows Admin Center.The temporary account is automatically removed when the user stops managing the machine through Windows Admin Center.

Cuando un usuario se conecta a un equipo configurado con control de acceso basado en roles, Windows Admin Center comprobará primero si son un administrador local.When a user connects to a machine configured with role-based access control, Windows Admin Center will first check if they are a local administrator. Si lo son, recibirán la experiencia completa de Windows Admin Center sin restricciones.If they are, they will receive the full Windows Admin Center experience with no restrictions. En caso contrario, Windows Admin Center comprobará si el usuario pertenece a alguno de los roles predefinidos.Otherwise, Windows Admin Center will check if the user belongs to any of the pre-defined roles. Se dice que un usuario tiene acceso limitado si pertenecen a un rol de Windows Admin Center pero que no son de administrador total.A user is said to have limited access if they belong to a Windows Admin Center role but are not a full administrator. Por último, si el usuario no es administrador ni un miembro de un rol, se le denegará el acceso para administrar la máquina.Finally, if the user is neither an administrator nor a member of a role, they will be denied access to manage the machine.

Control de acceso basado en roles está disponible para las soluciones de clúster de conmutación por error y de administrador del servidor.Role-based access control is available for the Server Manager and Failover Cluster solutions.

Roles disponiblesAvailable roles

Windows Admin Center admite los siguientes roles de usuario final:Windows Admin Center supports the following end-user roles:

Nombre de funciónRole name Uso previstoIntended use
AdministradoresAdministrators Permite a los usuarios usar la mayoría de las características en Windows Admin Center sin concederles acceso a Escritorio remoto o PowerShell.Allows users to use most of the features in Windows Admin Center without granting them access to Remote Desktop or PowerShell. Este rol es adecuado para escenarios de "servidor de salto" donde desea limitar los puntos de entrada de administración en un equipo.This role is good for "jump server" scenarios where you want to limit the management entry points on a machine.
LectoresReaders Permite a los usuarios ver información y la configuración en el servidor, pero no realizar cambios.Allows users to view information and settings on the server, but not make changes.
Administradores de Hyper-VHyper-V Administrators Permite a los usuarios realizar cambios en las máquinas virtuales de Hyper-V y conmutadores, pero limita otras características de acceso de solo lectura.Allows users to make changes to Hyper-V virtual machines and switches, but limits other features to read-only access.

Las siguientes extensiones integradas tienen funcionalidad reducida cuando un usuario se conecta con acceso limitado:The following built-in extensions have reduced functionality when a user connects with limited access:

  • Archivos (sin carga de archivos o descarga)Files (no file upload or download)
  • PowerShell (no disponible)PowerShell (unavailable)
  • Escritorio remoto (no disponible)Remote Desktop (unavailable)
  • Réplica de almacenamiento (no disponible)Storage Replica (unavailable)

En este momento, no se puede crear roles personalizados para su organización, pero puede elegir qué usuarios se les concede acceso a cada rol.At this time, you cannot create custom roles for your organization, but you can choose which users are granted access to each role.

Preparación para el control de acceso basado en rolesPreparing for role-based access control

Para aprovechar las cuentas locales temporales, cada máquina de destino debe configurarse para admitir el control de acceso basado en roles en Windows Admin Center.To leverage the temporary local accounts, each target machine needs to be configured to support role-based access control in Windows Admin Center. El proceso de configuración incluye la instalación de los scripts de PowerShell y un punto de conexión de Just Enough Administration en la máquina con Desired State Configuration.The configuration process involves installing PowerShell scripts and a Just Enough Administration endpoint on the machine using Desired State Configuration.

Si solo tiene unos pocos equipos, se puede aplicar fácilmente la configuración individualmente a cada equipo mediante la página de control de acceso basado en roles de Windows Admin Center.If you only have a few computers, you can easily apply the configuration individually to each computer using the role-based access control page in Windows Admin Center. Al establecer el control de acceso basado en roles en un equipo individual, se crean grupos de seguridad locales para controlar el acceso a cada rol.When you set up role-based access control on an individual computer, local security groups are created to control access to each role. Puede conceder acceso a los usuarios u otros grupos de seguridad al agregarlas como miembros de los grupos de seguridad de rol.You can grant access to users or other security groups by adding them as members of the role security groups.

Para una implementación de toda la empresa en varios equipos, puede descargar el script de configuración de la puerta de enlace y distribuirla a los equipos con un servidor de extracción de Desired State Configuration, Azure Automation o las herramientas de administración preferido.For an enterprise-wide deployment on multiple machines, you can download the configuration script from the gateway and distribute it to your computers using a Desired State Configuration pull server, Azure Automation, or your preferred management tooling.