Az Configuration Manager szerepköralapú felügyeletének alapjai
A következőre vonatkozik: Configuration Manager (aktuális ág)
A Configuration Manager szerepköralapú felügyelettel biztosíthatja a hozzáférést, amelyet a rendszergazdáknak Configuration Manager kell használniuk. Emellett biztonságos hozzáférést biztosít a felügyelt objektumokhoz, például gyűjteményekhez, üzemelő példányokhoz és helyekhez.
A szerepköralapú felügyeleti modell központilag határozza meg és kezeli a hierarchiaszintű biztonsági hozzáférést. Ez a modell az összes webhelyre és webhelybeállításra vonatkozóan az alábbi elemeket használja:
A biztonsági szerepkörök rendszergazda felhasználókhoz vannak rendelve, hogy engedélyt adjanak nekik az objektumok Configuration Manager. Például az ügyfélbeállítások létrehozására vagy módosítására vonatkozó engedély.
A biztonsági hatókörök olyan objektumok adott példányainak csoportosítására szolgálnak, amelyeket a rendszergazda felhasználó felügyel. Például egy olyan alkalmazás, amely telepíti a Configuration Manager-konzolt.
A gyűjtemények azon felhasználók és eszközök csoportjainak megadására szolgálnak, amelyeket a rendszergazda felhasználó felügyelhet Configuration Manager.
A szerepkörök, hatókörök és gyűjtemények kombinációjával elkülönítheti a szervezet igényeinek megfelelő felügyeleti hozzárendeléseket. Együtt definiálják a felhasználók felügyeleti hatókörét . Ez a felügyeleti hatókör szabályozza azokat az objektumokat, amelyeket a rendszergazda felhasználó megtekint a Configuration Manager-konzolon, és szabályozza azokat az engedélyeket, amelyekkel a felhasználó rendelkezik az adott objektumokon.
Előnyök
Az alábbi elemek a szerepköralapú felügyelet előnyeit ismertetik Configuration Manager:
A helyek nem használnak rendszergazdai határokat. Más szóval ne bontsa ki az önálló elsődleges helyeket egy központi adminisztrációs helyet tartalmazó hierarchiára a rendszergazdai felhasználók elkülönítéséhez.
Rendszergazda felhasználókat hozhat létre egy hierarchiához, és csak egyszer kell hozzájuk rendelnie a biztonságot.
Az összes biztonsági hozzárendelés replikálva van, és a teljes hierarchiában elérhető. A szerepköralapú felügyeleti konfigurációk globális adatokként replikálódnak a hierarchia minden helyére, majd az összes felügyeleti kapcsolatra alkalmazva lesznek.
Fontos
A helyek közötti replikáció késése megakadályozhatja, hogy egy hely módosításokat kapjon a szerepköralapú felügyelethez. A helyek közötti adatbázis-replikáció monitorozásáról további információt a Helyek közötti adatátvitel című témakörben talál.
Vannak beépített biztonsági szerepkörök, amelyek a tipikus felügyeleti feladatok hozzárendelésére szolgálnak. Saját egyéni biztonsági szerepkörök létrehozása az adott üzleti követelmények támogatásához.
A rendszergazda felhasználók csak azokat az objektumokat látják, amelyek kezeléséhez engedéllyel rendelkeznek.
Naplózhatja a felügyeleti biztonsági műveleteket.
Biztonsági szerepkörök
Biztonsági szerepkörök használata biztonsági engedélyek megadásához a rendszergazda felhasználók számára. A biztonsági szerepkörök olyan biztonsági engedélyek csoportjai, amelyeket a rendszergazda felhasználókhoz rendelhet, hogy elvégezhessék a felügyeleti feladataikat. Ezek a biztonsági engedélyek határozzák meg a rendszergazda felhasználó által elvégezhető műveleteket, valamint az adott objektumtípusokhoz megadott engedélyeket. Ajánlott biztonsági gyakorlatként rendelje hozzá azokat a biztonsági szerepköröket, amelyek a feladathoz minimálisan szükséges engedélyeket biztosítják.
Configuration Manager számos beépített biztonsági szerepkört biztosít a felügyeleti feladatok jellemző csoportosításának támogatásához. Saját egyéni biztonsági szerepköröket hozhat létre az adott üzleti követelmények támogatására.
Az alábbi táblázat összefoglalja az összes beépített szerepkört:
| Name (Név) | Leírás |
|---|---|
| Alkalmazásadminisztrátor | Egyesíti az Alkalmazástelepítés-kezelő és az Alkalmazáskészítő szerepkörök engedélyeit. Ebben a szerepkörben a rendszergazda felhasználók kezelhetik a lekérdezéseket, megtekinthetik a webhelybeállításokat, kezelhetik a gyűjteményeket, szerkeszthetik a felhasználói eszköz kapcsolatának beállításait, és kezelhetik az App-V virtuális környezeteket. |
| Alkalmazás szerzője | Létrehozhat, módosíthat és kivonhat alkalmazásokat. Ebben a szerepkörben a rendszergazda felhasználók az alkalmazásokat, a csomagokat és az App-V virtuális környezeteket is kezelhetik. |
| Alkalmazástelepítés-kezelő | Alkalmazásokat telepíthet. Ebben a szerepkörben a rendszergazda felhasználók megtekinthetik az alkalmazások listáját. Kezelhetik az alkalmazások, riasztások és csomagok üzemelő példányait. Megtekinthetik a gyűjteményeket és tagjaikat, az állapotüzeneteket, a lekérdezéseket, a feltételes kézbesítési szabályokat és az App-V virtuális környezeteket. |
| Eszközkezelő | Engedélyeket ad az Eszközintelligencia szinkronizálási pontjának, az Eszközintelligencia jelentési osztályainak, a szoftverleltárnak, a hardverleltárnak és a mérési szabályoknak a kezeléséhez. |
| Vállalati erőforrás-hozzáférés-kezelő | Engedélyeket ad a vállalati erőforrás-hozzáférési profilok létrehozásához, kezeléséhez és üzembe helyezéséhez. Például Wi-Fi, VPN, Exchange ActiveSync protokoll e-mail és tanúsítványprofilok. |
| Megfelelőségi beállítások kezelője | Engedélyeket ad a megfelelőségi beállítások meghatározásához és figyeléséhez. Ebben a szerepkörben a rendszergazda felhasználók konfigurációelemeket és alapterveket hozhatnak létre, módosíthatnak és törölhetnek. A konfigurációs alapkonfigurációkat gyűjteményekben is üzembe helyezhetik, megkezdhetik a megfelelőség kiértékelését, és megkezdhetik a nem megfelelő számítógépek szervizelését. |
| Endpoint Protection Manager | Engedélyeket ad a végpontvédelmi szabályzatok létrehozásához, módosításához és törléséhez. Ezeket a szabályzatokat gyűjteményekben helyezhetik üzembe, riasztásokat hozhatnak létre és módosíthatnak, valamint figyelhetik a végpontvédelmi állapotot. |
| Teljes körű rendszergazda | A Configuration Manager összes engedélyét megadja. A Configuration Manager telepítő rendszergazda automatikusan megkapja ezt a biztonsági szerepkört, az összes hatókört és gyűjteményt. |
| Infrastruktúra-rendszergazda | Engedélyeket ad a Configuration Manager kiszolgálói infrastruktúra létrehozásához, törléséhez és módosításához, valamint az áttelepítési feladatok futtatásához. |
| Operációs rendszer központi telepítéskezelője | Engedélyt ad operációsrendszer-lemezképek létrehozására és számítógépeken való üzembe helyezésére, az operációs rendszer frissítési csomagjainak és lemezképeinek, feladatütemezéseinek, illesztőprogramjainak, rendszerindító lemezképeinek és állapotáttelepítési beállításainak kezelésére. |
| Műveleti rendszergazda | Engedélyeket ad Configuration Manager összes műveletéhez, kivéve a biztonság kezelésére vonatkozó engedélyeket. Ez a szerepkör nem tudja kezelni a rendszergazda felhasználókat, a biztonsági szerepköröket és a biztonsági hatóköröket. |
| Írásvédett elemző | Engedélyeket ad az összes Configuration Manager objektum megtekintéséhez. |
| Távoli eszközök operátora | Engedélyeket ad a távoli felügyeleti eszközök futtatásához és naplózásához, amelyek segítenek a felhasználóknak megoldani a számítógéppel kapcsolatos problémákat. Ebben a szerepkörben a rendszergazda felhasználók távvezérlést, távsegítséget és távoli asztalt futtathatnak a Configuration Manager konzolról. |
| Biztonsági rendszergazda | Engedélyeket ad a rendszergazda felhasználók hozzáadásához és eltávolításához, valamint a rendszergazda felhasználók biztonsági szerepkörökhöz, gyűjteményekhez és biztonsági hatókörökhöz való társításához. Az ebben a szerepkörben lévő rendszergazda felhasználók biztonsági szerepköröket és hozzájuk rendelt biztonsági hatóköröket és gyűjteményeket is létrehozhatnak, módosíthatnak és törölhetnek. |
| Szoftverfrissítés-kezelő | Engedélyeket ad a szoftverfrissítések meghatározásához és telepítéséhez. Ebben a szerepkörben a rendszergazda felhasználók kezelhetik a szoftverfrissítési csoportokat, a központi telepítéseket és a központi telepítési sablonokat. |
Tipp
Ha rendelkezik engedélyekkel, megtekintheti az összes biztonsági szerepkör listáját az Configuration Manager konzolon. A szerepkörök megtekintéséhez lépjen az Adminisztráció munkaterületre, bontsa ki a Biztonság csomópontot, majd válassza a Biztonsági szerepkörök csomópontot .
A beépített biztonsági szerepköröket csak rendszergazda felhasználók hozzáadásával módosíthatja. A szerepkört átmásolhatja, módosíthatja, majd új egyéni biztonsági szerepkörként mentheti. Importálhat olyan biztonsági szerepköröket is, amelyeket egy másik hierarchiából, például tesztkörnyezetből exportált. További információ: Szerepköralapú felügyelet konfigurálása.
Tekintse át a biztonsági szerepköröket és azok engedélyeit annak megállapításához, hogy a beépített biztonsági szerepköröket fogja-e használni, vagy saját egyéni biztonsági szerepköröket kell létrehoznia.
Szerepkör-engedélyek
Minden biztonsági szerepkör külön engedélyekkel rendelkezik a különböző objektumtípusokhoz. Az alkalmazáskészítő szerepkör például a következő engedélyekkel rendelkezik az alkalmazásokhoz:
- Jóváhagyja
- Létrehozás
- Törlés
- Módosítani
- Mappa módosítása
- Objektum áthelyezése
- Olvasni
- Jelentés futtatása
- Biztonsági hatókör beállítása
Ez a szerepkör más objektumokhoz is rendelkezik engedélyekkel.
További információ a szerepkörök engedélyeinek megtekintéséről vagy az egyéni szerepkörök engedélyeinek módosításáról: Szerepköralapú felügyelet konfigurálása.
Biztonsági szerepkörök tervezése
Ezzel a folyamatgal megtervezheti Configuration Manager biztonsági szerepköröket a környezetében:
Azonosítsa azokat a feladatokat, amelyeket a rendszergazdáknak el kell végeznie a Configuration Manager. Ezek a feladatok egy vagy több felügyeleti feladatcsoporthoz kapcsolódhatnak. Például az operációs rendszerek és a megfelelőségi beállítások telepítése.
Rendelje hozzá ezeket a felügyeleti feladatokat egy vagy több beépített szerepkörhöz.
Ha egyes rendszergazda felhasználók több szerepkör feladatait hajtják végre, rendelje hozzá a felhasználókat a több szerepkörhöz. Ne hozzon létre olyan egyéni szerepkört, amely egyesíti az engedélyeket.
Ha az azonosított feladatok nem képeznek le a beépített biztonsági szerepkörökre, hozzon létre és teszteljen egyéni szerepköröket.
További információ: Egyéni biztonsági szerepkörök létrehozása és Biztonsági szerepkörök konfigurálása.
Gyűjtemények
A gyűjtemények határozzák meg azokat a felhasználókat és eszközöket, amelyeket egy rendszergazda felhasználó megtekinthet vagy kezelhet. Ha például egy alkalmazást szeretne üzembe helyezni egy eszközön, a rendszergazda felhasználónak olyan biztonsági szerepkörrel kell rendelkeznie, amely hozzáférést biztosít az eszközt tartalmazó gyűjteményhez.
További információ a gyűjteményekről: Bevezetés a gyűjtemények használatába.
A szerepköralapú felügyelet konfigurálása előtt döntse el, hogy létre kell-e hoznia új gyűjteményeket az alábbi okok valamelyike miatt:
- Funkcionális szervezés. Például kiszolgálók és munkaállomások különálló gyűjteményei.
- Földrajzi igazítás. Külön gyűjtemények például Észak-Amerika és Európa számára.
- Biztonsági követelmények és üzleti folyamatok. Külön gyűjtemények például az éles és a tesztszámítógépekhez.
- A szervezet igazítása. Például külön gyűjtemények minden egyes üzleti egységhez.
További információ: Gyűjtemények konfigurálása a biztonság kezeléséhez.
Biztonsági hatókörök
Biztonsági hatókörök használatával biztosíthatja a rendszergazda felhasználók számára a biztonságos objektumokhoz való hozzáférést. A biztonsági hatókör a rendszergazdai felhasználókhoz csoportként hozzárendelt biztonságos objektumok nevesített halmaza. Minden biztonságos objektum egy vagy több biztonsági hatókörhöz van hozzárendelve. Configuration Manager két beépített biztonsági hatókörrel rendelkezik:
Mind: Hozzáférést biztosít az összes hatókörhöz. Ehhez a biztonsági hatókörhöz nem rendelhet objektumokat.
Alapértelmezett: Ez a hatókör alapértelmezés szerint az összes objektumhoz használatos. A Configuration Manager telepítésekor az összes objektumot hozzárendeli ehhez a biztonsági hatókörhöz.
Ha korlátozni szeretné azokat az objektumokat, amelyeket a rendszergazda felhasználók láthatnak és kezelhetnek, hozzon létre saját egyéni biztonsági hatóköröket. A biztonsági hatókörök nem támogatják a hierarchikus struktúrát, és nem ágyazhatók be. A biztonsági hatókörök egy vagy több objektumtípust tartalmazhatnak, amelyek a következő elemeket tartalmazzák:
- Riasztási előfizetések
- Alkalmazások és alkalmazáscsoportok
- App-V virtuális környezetek
- Rendszerindító lemezképek
- Határcsoportok
- Konfigurációelemek és alapkonfigurációk
- Egyéni ügyfélbeállítások
- Terjesztési pontok és terjesztésipont-csoportok
- Illesztőprogram-csomagok
- Végpontvédelmi szabályzatok (mind)
- Mappák
- Globális feltételek
- Migrálási feladatok
- OneDrive Vállalati verzió profilok
- Operációsrendszer-rendszerképek
- Operációsrendszer-frissítési csomagok
- Csomagok
- Lekérdezések
- Távoli kapcsolati profilok
- Parancsfájlok
- Helyek
- Szoftverhasználat-mérési szabályok
- Szoftverfrissítési csoportok
- Szoftverfrissítési csomagok
- Feladatütemezések
- Felhasználói adatok és profilok konfigurációs elemei
- Windows Update Vállalati verzió szabályzatai
Vannak olyan objektumok is, amelyeket nem vehet fel a biztonsági hatókörökbe, mert csak biztonsági szerepkörök védik őket. Ezeknek az objektumoknak a rendszergazdai hozzáférése nem korlátozható az elérhető objektumok egy részhalmazára. Előfordulhat például, hogy van egy rendszergazda felhasználója, aki egy adott webhelyhez használt határcsoportokat hoz létre. Mivel a határobjektum nem támogatja a biztonsági hatóköröket, nem rendelhet hozzá olyan biztonsági hatókört a felhasználóhoz, amely csak az adott webhelyhez hozzárendelhető határokhoz biztosít hozzáférést. Mivel a határobjektumok nem társíthatók biztonsági hatókörhöz, ha olyan biztonsági szerepkört rendel hozzá egy felhasználóhoz, amely hozzáférést biztosít a határobjektumokhoz, az a felhasználó hozzáférhet a hierarchia minden határához.
A biztonsági hatóköröket nem támogató objektumok közé tartoznak, de nem korlátozódnak a következő elemekre:
- Active Directory-erdők
- Rendszergazda felhasználók
- Riasztások
- Határait
- Számítógép-társítások
- Alapértelmezett ügyfélbeállítások
- Üzembehelyezési sablonok
- Eszközillesztők
- Helyek közötti leképezések áttelepítése
- Biztonsági szerepkörök
- Biztonsági hatókörök
- Webhelycímek
- Helyrendszerszerepkörök
- Szoftverfrissítések
- Állapotüzenetek
- Felhasználói eszköz affinitásai
Biztonsági hatókörök létrehozása, ha a hozzáférést külön objektumpéldányokra kell korlátoznia. Például:
Rendszergazda felhasználók egy csoportja, akiknek éles alkalmazásokat kell látniuk, és nem tesztelni az alkalmazásokat. Hozzon létre egy biztonsági hatókört az éles alkalmazásokhoz, egy másikat pedig a tesztalkalmazásokhoz.
A rendszergazda felhasználók egy csoportjának olvasási engedélyre van szüksége adott szoftverfrissítési csoportokhoz. A rendszergazda felhasználók egy másik csoportjának módosítási és törlési engedélyre van szüksége más szoftverfrissítési csoportokhoz. Különböző biztonsági hatóköröket hozhat létre ezekhez a szoftverfrissítési csoportokhoz.
További információ: Objektum biztonsági hatóköreinek konfigurálása.
Következő lépések
Szerepköralapú felügyelet konfigurálása Configuration Manager
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: