A Configuration Manager szerepköralapú adminisztrációjának alapjaiFundamentals of role-based administration for Configuration Manager

A következőkre vonatkozik: Configuration Manager (aktuális ág)Applies to: Configuration Manager (current branch)

A Configuration Manager segítségével a szerepköralapú felügyelettel biztonságossá teheti a Configuration Manager felügyeletéhez szükséges hozzáférést.With Configuration Manager, you use role-based administration to secure the access that is needed to administer Configuration Manager. A felügyelt objektumokhoz (például gyűjtemények, központi telepítések és helyek) is biztonságossá teheti a hozzáférést.You also secure access to the objects that you manage, like collections, deployments, and sites. Miután megértette az ebben a cikkben bemutatott fogalmakat, konfigurálhat szerepköralapú adminisztrációt Configuration Managerhoz.After you understand the concepts introduced in this article, you can Configure role-based administration for Configuration Manager.

A szerepköralapú adminisztrációs modell központilag határozza meg és kezeli a teljes hierarchiára kiterjedő biztonsági hozzáférési beállításokat az összes hely és hely beállításaihoz a következő elemek használatával:The role-based administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings by using the following items:

  • A rendszergazda felhasználók számára biztonsági szerepkörök vannak hozzárendelve, hogy a felhasználók (vagy felhasználói csoportok) számára biztosítsák a különböző Configuration Manager objektumokhoz való hozzáférést.Security roles are assigned to administrative users to provide those users (or groups of users) permission to different Configuration Manager objects. Például az ügyfél beállításainak létrehozásához vagy módosításához szükséges engedély.For example, permission to create or change client settings.

  • A biztonsági hatókörök a rendszergazda felhasználó által felügyelt objektumok meghatározott példányainak csoportosítására szolgálnak, mint például egy Microsoft 365 alkalmazást telepítő alkalmazás.Security scopes are used to group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft 365 Apps.

  • A gyűjtemények segítségével megadhatók a rendszergazda felhasználó által kezelhető felhasználói és eszköz-erőforrások csoportjai.Collections are used to specify groups of user and device resources that the administrative user can manage.

    A biztonsági szerepkörök, biztonsági hatókörök és gyűjtemények kombinálásával elkülönítheti a szervezet követelményeinek megfelelő felügyeleti hozzárendeléseket.With the combination of security roles, security scopes, and collections, you segregate the administrative assignments that meet your organization's requirements. Együttesen használják a felhasználók felügyeleti hatókörét, és azt, hogy a felhasználó hogyan tekintheti meg és kezelheti a Configuration Manager üzemelő példányát.Used together, they define the administrative scope of a user, which is what that user can view and manage in your Configuration Manager deployment.

A Szerepköralapú felügyelet előnyeiBenefits of role-based administration

  • A helyek nem használhatók felügyeleti határként.Sites aren't used as administrative boundaries.
  • A rendszergazda felhasználókat egy hierarchiához kell létrehoznia, és csak egyszer kell kiosztania a biztonságot.You create administrative users for a hierarchy and only need to assign security to them one time.
  • Minden biztonsági hozzárendelés replikálódik, és elérhetővé válik a teljes hierarchiában.All security assignments are replicated and available throughout the hierarchy.
  • A szokásos felügyeleti feladatok hozzárendeléséhez beépített biztonsági szerepkörök tartoznak.There are built-in security roles that are used to assign the typical administration tasks. Hozzon létre saját egyéni biztonsági szerepköröket az adott üzleti követelmények támogatásához.Create your own custom security roles to support your specific business requirements.
  • A rendszergazda felhasználók csak azokat az objektumokat látják, amelyeknek a kezelése engedélyekkel rendelkezik.Administrative users see only the objects that they have permissions to manage.
  • A biztonsággal kapcsolatos rendszergazdai műveletek naplózhatók.You can audit administrative security actions.

A Configuration Manager felügyeleti biztonságának megtervezése és megvalósítása során a következő paranccsal hozhat létre felügyeleti hatókört a rendszergazda felhasználó számára:When you design and implement administrative security for Configuration Manager, you use the following to create an administrative scope for an administrative user:

A felügyeleti hatókör szabályozza azokat az objektumokat, amelyeket a rendszergazda felhasználó megtekint a Configuration Manager-konzolon, és azokat az engedélyeket vezérli, amelyeken a felhasználó rendelkezik az adott objektumokra vonatkozóan.The administrative scope controls the objects that an administrative user views in the Configuration Manager console, and it controls the permissions that a user has on those objects. A szerepköralapú adminisztrációs konfigurációkat globális adatokként a hierarchia összes helyére replikálja a rendszer, majd az összes felügyeleti kapcsolatra alkalmazza azokat.Role-based administration configurations replicate to each site in the hierarchy as global data, and then are applied to all administrative connections.

Fontos

A helyek közötti replikáció késései akadályozhatják a szerepköralapú adminisztráció változásainak fogadását az egyes helyeken.Intersite replication delays can prevent a site from receiving changes for role-based administration. A helyek közötti adatbázis-replikáció figyelésével kapcsolatos további információkért tekintse meg a helyek közötti adatátvitelt ismertető témakört.For information about how to monitor intersite database replication, see the Data transfers between sites topic.

Biztonsági szerepkörökSecurity roles

Használjon biztonsági szerepköröket a biztonsági engedélyek megadására a rendszergazda felhasználóknak.Use security roles to grant security permissions to administrative users. A biztonsági szerepkörök olyan biztonsági engedélyek csoportjai, amelyeket a rendszergazda a felhasználókhoz rendelhet, hogy azok elláthassák felügyeleti feladataikat.Security roles are groups of security permissions that you assign to administrative users so that they can perform their administrative tasks. Ezek a biztonsági engedélyek megadják a rendszergazda felhasználók által végrehajtható felügyeleti műveleteket, valamint az egyes objektumtípusokra vonatkozóan biztosított engedélyeket.These security permissions define the administrative actions that an administrative user can perform and the permissions that are granted for particular object types. A megfelelő biztonság érdekében célszerű a lehető legkevesebb engedélyt biztosító biztonsági szerepköröket hozzárendelni.As a security best practice, assign the security roles that provide the least permissions.

A Configuration Manager számos beépített biztonsági szerepkörrel rendelkezik, amelyek támogatják a felügyeleti feladatok szokásos csoportosítását, és létrehozhatja saját egyéni biztonsági szerepköreit is, amelyek támogatják az adott üzleti igényeket.Configuration Manager has several built-in security roles to support typical groupings of administrative tasks, and you can create your own custom security roles to support your specific business requirements. Beépített biztonsági szerepkörök többek között az alábbiak:Examples of the built-in security roles:

  • A teljes körű rendszergazda a Configuration Manager összes engedélyét megadja.Full Administrator grants all permissions in Configuration Manager.

  • Az Asset Manager engedélyt ad a Eszközintelligencia szinkronizációs pontjának kezelésére, Eszközintelligencia jelentési osztályokra, a szoftver leltárára, a hardverek leltározására és a mérési szabályokra.Asset Manager grants permissions to manage the Asset Intelligence Synchronization Point, Asset Intelligence reporting classes, software inventory, hardware inventory, and metering rules.

  • A szoftverfrissítés-kezelő engedélyt ad a szoftverfrissítések definiálására és központi telepítésére.Software Update Manager grants permissions to define and deploy software updates. A szerepkörhöz társított rendszergazda felhasználók gyűjteményeket, szoftverfrissítési csoportokat, központi telepítéseket és sablonokat hozhatnak létre.Administrative users who are associated with this role can create collections, software update groups, deployments, and templates.

  • A biztonsági rendszergazda engedélyt ad a rendszergazda felhasználók hozzáadására és eltávolítására, valamint a rendszergazda felhasználók biztonsági szerepkörökkel, gyűjteményekkel és biztonsági hatókörökkel való hozzárendelésére.Security Administrator grants permissions to add and remove administrative users and associate administrative users with security roles, collections, and security scopes. Az ehhez a szerepkörhöz társított rendszergazda felhasználók létrehozhatják, módosíthatják és törölhetik a biztonsági szerepköröket, valamint a hozzájuk rendelt biztonsági hatóköröket és gyűjteményeket.Administrative users who are associated with this role can also create, modify, and delete security roles and their assigned security scopes and collections.

Tipp

Megtekintheti a beépített biztonsági szerepkörök listáját és az Ön által létrehozott egyéni biztonsági szerepköröket, beleértve azok leírásait is a Configuration Manager-konzolon.You can view the list of built-in security roles and custom security roles you create, including their descriptions, in the Configuration Manager console. A szerepkörök megtekintéséhez az Adminisztráció munkaterületen bontsa ki a Biztonságcsomópontot, majd válassza a biztonsági szerepkörökelemet.To view the roles, in the Administration workspace, expand Security, and then select Security Roles.

Mindegyik biztonsági szerepkör a különböző objektumtípusokra vonatkozó konkrét engedélyeket tartalmaz.Each security role has specific permissions for different object types. Az alkalmazás szerzője biztonsági szerepkör például a következő engedélyekkel rendelkezik az alkalmazásokhoz: jóváhagyás, létrehozás, törlés, módosítás, mappa módosítása, objektum áthelyezése, olvasás, jelentés futtatása, biztonsági hatókör megadása.For example, the Application Author security role has the following permissions for applications: Approve, Create, Delete, Modify, Modify Folder, Move Object, Read, Run Report, and Set Security Scope.

A beépített biztonsági szerepkörök engedélyei nem módosíthatók, de a szerepkört átmásolhatja, módosíthatja, majd mentheti a módosításokat új egyéni biztonsági szerepkörként.You can't change the permissions for the built-in security roles, but you can copy the role, make changes, and then save these changes as a new custom security role. Más hierarchiából exportált biztonsági szerepköröket is importálhat, például egy tesztelési hálózatból.You can also import security roles that you've exported from another hierarchy, for example, from a test network. Tekintse át a biztonsági szerepköröket és azok engedélyeit annak megállapításához, hogy a beépített biztonsági szerepköröket használja-e, vagy hogy létre kell-e hoznia egy saját egyéni biztonsági szerepkört.Review the security roles and their permissions to determine whether you'll use the built-in security roles, or whether you have to create your own custom security roles.

A biztonsági szerepkörök tervezésének segítéseTo help you plan for security roles

  1. Azonosítsa azokat a feladatokat, amelyeket a rendszergazda felhasználók Configuration Managerban végeznek el.Identify the tasks that the administrative users perform in Configuration Manager. Ezek a feladatok a felügyeleti feladatok egy vagy több csoportjához, mint például az alkalmazások és csomagok központi telepítéséhez, az operációs rendszerek és a beállítások a megfelelőség érdekében történő központi telepítéséhez, a helyek és a biztonság konfigurálásához, a naplózáshoz, a számítógépek távvezérléséhez és a leltáradatok gyűjtéséhez kapcsolódhatnak.These tasks might relate to one or more groups of management tasks, such as deploying applications and packages, deploying operating systems and settings for compliance, configuring sites and security, auditing, remotely controlling computers, and collecting inventory data.

  2. Rendelje hozzá ezeket a felügyeleti feladatokat egy vagy több beépített biztonsági szerepkörhöz.Map these administrative tasks to one or more of the built-in security roles.

  3. Ha egyes rendszergazda felhasználók több biztonsági szerepkör feladatait végzik, akkor a feladatokat egyesítő új biztonsági szerepkör létrehozása helyett rendeljen hozzá több biztonsági szerepkört a rendszergazda felhasználókhoz.If some of the administrative users perform the tasks of multiple security roles, assign the multiple security roles to these administrative users instead of creating a new security role that combines the tasks.

  4. Ha az azonosított feladatok nem a beépített biztonsági szerepkörökhöz vannak rendelve, hozzon létre és tesztelje az új biztonsági szerepköröket.If the tasks that you identified don't map to the built-in security roles, create and test new security roles.

A szerepköralapú adminisztráció biztonsági szerepköreinek létrehozásáról és konfigurálásáról további információt a következő témakörben talál: egyéni biztonsági szerepkörök létrehozása és biztonsági szerepkörök konfigurálása a Configuration Manager a Szerepköralapú felügyelet konfigurálása című cikkben.For information about how to create and configure security roles for role-based administration, see Create custom security roles and Configure security roles in the Configure role-based administration for Configuration Manager article.

GyűjteményekCollections

A gyűjtemények a rendszergazda felhasználó által megtekinthető, illetve felügyelhető felhasználói és számítógép-erőforrásokat adják meg.Collections specify the user and computer resources that an administrative user can view or manage. Ahhoz például, hogy a rendszergazda felhasználók alkalmazásokat telepíthessenek vagy használhassák a távvezérlést, olyan biztonsági szerepkörhöz kell őket hozzárendelni, amely engedélyezi a hozzáférést egy ezen erőforrásokat tartalmazó gyűjteményhez.For example, for administrative users to deploy applications or to run remote control, they must be assigned to a security role that grants access to a collection that contains these resources. Ehhez felhasználókat vagy eszközöket tartalmazó gyűjteményeket jelölhet ki.You can select collections of users or devices.

További információ a gyűjteményekről: a gyűjtemények bemutatása.For more information about collections, see Introduction to collections.

A szerepköralapú adminisztráció konfigurálása előtt ellenőrizze, hogy valamely alábbi okból szükség van-e új gyűjtemények létrehozására:Before you configure role-based administration, check whether you have to create new collections for any of the following reasons:

  • Funkcionális szervezés,Functional organization. például külön gyűjtemények kialakítása a kiszolgálók és a munkaállomások számára.For example, separate collections of servers and workstations.
  • Földrajzi elkülönítés,Geographic alignment. például külön gyűjtemények az észak-amerikai és az európai telephelyek számára.For example, separate collections for North America and Europe.
  • Biztonsági követelmények és üzleti folyamatok,Security requirements and business processes. például külön gyűjtemények az üzemi környezet és a tesztgépek számára.For example, separate collections for production and test computers.
  • Szervezeti elkülönítés,Organization alignment. például külön gyűjtemények mindegyik üzleti egység számára.For example, separate collections for each business unit.

További információ a gyűjteményeknek a szerepköralapú felügyelethez való konfigurálásáról: gyűjtemények konfigurálása a biztonság kezeléséhez a szerepköralapú felügyelet konfigurálása Configuration Manager cikkben.For information about how to configure collections for role-based administration, see Configure collections to manage security in the Configure role-based administration for Configuration Manager article.

Biztonsági hatókörökSecurity scopes

Biztonsági hatókörök használatával hozzáférést biztosíthat a rendszergazda felhasználóknak a biztonságos objektumokhoz.Use security scopes to provide administrative users with access to securable objects. A biztonsági hatókör a rendszergazda felhasználók számára csoportként hozzárendelt biztonságos objektumok elnevezett halmaza.A security scope is a named set of securable objects that are assigned to administrator users as a group. Minden biztonságos objektumot hozzá kell rendelni egy vagy több biztonsági hatókörhöz.All securable objects must be assigned to one or more security scopes. Configuration Manager két beépített biztonsági hatókörrel rendelkezik:Configuration Manager has two built-in security scopes:

  • A minden beépített biztonsági hatókör minden hatókörhöz biztosít hozzáférést.The All built-in security scope grants access to all scopes. Nem rendelhet hozzá objektumokat ehhez a biztonsági hatókörhöz.You can't assign objects to this security scope.

  • Alapértelmezés szerint az összes objektumhoz az alapértelmezett beépített biztonsági hatókört használja a rendszer.The Default built-in security scope is used for all objects, by default. A Configuration Manager első telepítésekor az összes objektum hozzá van rendelve ehhez a biztonsági hatókörhöz.When you first install Configuration Manager, all objects are assigned to this security scope.

Ha korlátozni szeretné a rendszergazda felhasználók számára látható és felügyelhető objektumok körét, egyéni biztonsági hatóköröket kell létrehoznia és használnia.If you want to restrict the objects that administrative users can see and manage, you must create and use your own custom security scopes. A biztonsági hatókörök nem támogatják a hierarchikus struktúrát, és nem ágyazhatók egymásba.Security scopes don't support a hierarchical structure and can't be nested. A biztonsági hatókörök egy vagy több objektumtípust tartalmazhatnak, amelyek a következő elemeket tartalmazzák:Security scopes can contain one or more object types, which include the following items:

  • Riasztási előfizetésekAlert subscriptions
  • AlkalmazásokApplications
  • Rendszerindító lemezképekBoot images
  • HatárcsoportokBoundary groups
  • KonfigurációelemekConfiguration items
  • Egyedi ügyfélbeállításokCustom client settings
  • Terjesztési pontok vagy terjesztésipont-csoportokDistribution points and distribution point groups
  • Illesztőprogram-csomagokDriver packages
  • Mappák (az 1906-es verziótól kezdődően)Folders (starting in version 1906)
  • Globális feltételekGlobal conditions
  • Áttelepítési feladatokMigration jobs
  • Operációsrendszer-lemezképekOperating system images
  • Operációs rendszer telepítőcsomagjaiOperating system installation packages
  • CsomagokPackages
  • LekérdezésekQueries
  • WebhelyekSites
  • Szoftverhasználat-mérési szabályokSoftware metering rules
  • Szoftverfrissítési csoportokSoftware update groups
  • Szoftverfrissítési csomagokSoftware updates packages
  • Feladatütemező csomagokTask sequence packages
  • Windows CE eszközbeállítás elemek és csomagokWindows CE device setting items and packages

Vannak olyan objektumok is, amelyeket nem lehet a biztonsági hatókörökbe foglalni, mert azokat csak biztonsági szerepkörök biztosítják.There are also some objects that you can't include in security scopes because they're only secured by security roles. Ezeknek az objektumoknak a rendszergazdai hozzáférése nem korlátozható az elérhető objektumok egy részhalmazára.Administrative access to these objects can't be limited to a subset of the available objects. Például előfordulhat, hogy egy rendszergazda felhasználó egy adott helyhez használatos határcsoportokat hoz létre.For example, you might have an administrative user who creates boundary groups that are used for a specific site. Mivel a határ objektum nem támogatja a biztonsági hatóköröket, nem rendelheti hozzá ezt a felhasználót olyan biztonsági hatókörhöz, amely csak az adott helyhez társított határokhoz biztosít hozzáférést.Because the boundary object doesn't support security scopes, you can't assign this user a security scope that provides access to only the boundaries that might be associated with that site. Mivel a határ objektum nem rendelhető hozzá biztonsági hatókörhöz, ha olyan biztonsági szerepkört rendel hozzá, amely egy felhasználóhoz tartozó határ objektumokhoz való hozzáférést is tartalmaz, a felhasználó a hierarchia minden határához hozzáférhet.Because a boundary object can't be associated to a security scope, when you assign a security role that includes access to boundary objects to a user, that user can access every boundary in the hierarchy.

A biztonsági hatókörök által nem korlátozott objektumok az alábbi elemeket tartalmazzák:Objects that aren't limited by security scopes include the following items:

  • Active Directory-erdőkActive Directory forests
  • Rendszergazda felhasználókAdministrative users
  • RiasztásokAlerts
  • Antimalware-házirendekAntimalware policies
  • HatárokBoundaries
  • Számítógép-társításokComputer associations
  • Alapértelmezett ügyfélbeállításokDefault client settings
  • Üzembehelyezési sablonokDeployment templates
  • EszközillesztőkDevice drivers
  • Exchange Server-összekötőExchange Server connector
  • Helyek közti megfeleltetések áttelepítéseMigration site-to-site mappings
  • Mobileszköz-beléptetési profilokMobile device enrollment profiles
  • Biztonsági szerepkörökSecurity roles
  • Biztonsági hatókörökSecurity scopes
  • HelycímekSite addresses
  • HelyrendszerszerepkörökSite system roles
  • SzoftvercímekSoftware titles
  • SzoftverfrissítésekSoftware updates
  • ÁllapotüzenetekStatus messages
  • Felhasználó-eszköz kapcsolatokUser device affinities

Ha különálló objektumpéldányokhoz való hozzáférés korlátozására van szükség, készítsen biztonsági hatóköröket.Create security scopes when you have to limit access to separate instances of objects. Például:For example:

  • A rendszergazda felhasználók egy csoportjának az üzemi környezetben működő alkalmazásokat kell látnia, és nem a tesztalkalmazásokat.You have a group of administrative users who must be able to see production applications and not test applications. Létrehozhat egy biztonsági hatókört az üzemi környezetben működő alkalmazásokhoz, valamint egy másikat a tesztalkalmazásokhoz.Create one security scope for production applications and another for the test applications.

  • Különböző rendszergazda felhasználók eltérő hozzáférést igényelnek egy objektumtípus különböző példányaihoz,Different administrative users require different access for some instances of an object type. például az egyik csoportjuknak Olvasás engedélyre van szüksége adott szoftverfrissítési csoportokhoz, míg egy másiknak Módosítás és Törlés engedélyre más szoftverfrissítési csoportokhoz.For example, one group of administrative users requires Read permission to specific software update groups, and another group of administrative users requires Modify and Delete permissions for other software update groups. Ekkor létrehozhat az ezekhez a szoftverfrissítési csoportokhoz tartozó különböző biztonsági hatóköröket.Create different security scopes for these software update groups.

A szerepköralapú adminisztráció biztonsági hatókörök konfigurálásával kapcsolatos további információkért lásd: biztonsági hatókörök konfigurálása objektumhoz a szerepköralapú felügyelet konfigurálása Configuration Manager cikkben.For information about how to configure security scopes for role-based administration, see the Configure security scopes for an object in the Configure role-based administration for Configuration Manager article.

További lépésekNext steps

Szerepköralapú adminisztráció konfigurálása a Configuration ManagerhozConfigure role-based administration for Configuration Manager