Podstawowe informacje o administracji opartej na rolach dla Configuration ManagerFundamentals of role-based administration for Configuration Manager

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Za pomocą Configuration Manager administrowanie oparte na rolach służy do zabezpieczania dostępu, który jest wymagany do administrowania Configuration Manager.With Configuration Manager, you use role-based administration to secure the access that is needed to administer Configuration Manager. Możesz również zabezpieczyć dostęp do zarządzanych obiektów, takich jak kolekcje, wdrożenia i lokacje.You also secure access to the objects that you manage, like collections, deployments, and sites. Po zrozumieniu pojęć wprowadzonych w tym artykule można skonfigurować administrację opartą na rolach dla Configuration Manager.After you understand the concepts introduced in this article, you can Configure role-based administration for Configuration Manager.

Model administrowania opartego na rolach centralnie definiuje ustawienia dostępu zabezpieczeń w całej hierarchii dla wszystkich lokacji i ustawień lokacji oraz zarządza nimi przy użyciu następujących elementów:The role-based administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings by using the following items:

  • Role zabezpieczeń są przypisywane do użytkowników administracyjnych w celu zapewnienia użytkownikom (lub grupom użytkowników) uprawnień do różnych obiektów Configuration Manager.Security roles are assigned to administrative users to provide those users (or groups of users) permission to different Configuration Manager objects. Na przykład uprawnienia do tworzenia lub zmiany ustawień klienta.For example, permission to create or change client settings.

  • Zakresy zabezpieczeń służą do grupowania określonych wystąpień obiektów, którymi zarządza użytkownik administracyjny, takie jak aplikacja instalująca Microsoft 365 aplikacje.Security scopes are used to group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft 365 Apps.

  • Kolekcje służą do określania grup zasobów użytkowników i urządzeń, którymi może zarządzać użytkownik administracyjny.Collections are used to specify groups of user and device resources that the administrative user can manage.

    Za pomocą kombinacji ról zabezpieczeń, zakresów zabezpieczeń i kolekcji można oddzielić przypisania administracyjne spełniające wymagania organizacji.With the combination of security roles, security scopes, and collections, you segregate the administrative assignments that meet your organization's requirements. Używane razem definiują zakres administracyjny użytkownika, który użytkownik może wyświetlać i zarządzać w ramach wdrożenia Configuration Manager.Used together, they define the administrative scope of a user, which is what that user can view and manage in your Configuration Manager deployment.

Zalety administrowania opartego na rolachBenefits of role-based administration

  • Lokacje nie są używane jako granice administracyjne.Sites aren't used as administrative boundaries.
  • Tworzysz użytkowników administracyjnych dla hierarchii i musisz tylko raz przypisać do nich zabezpieczenia.You create administrative users for a hierarchy and only need to assign security to them one time.
  • Wszystkie przypisania zabezpieczeń są replikowane i dostępne w całej hierarchii.All security assignments are replicated and available throughout the hierarchy.
  • Istnieją wbudowane role zabezpieczeń, które są używane do przypisywania typowych zadań administracyjnych.There are built-in security roles that are used to assign the typical administration tasks. Utwórz własne niestandardowe role zabezpieczeń, aby zapewnić obsługę określonych wymagań firmy.Create your own custom security roles to support your specific business requirements.
  • Użytkownicy administracyjni widzą tylko te obiekty, do których mają uprawnienia do zarządzania.Administrative users see only the objects that they have permissions to manage.
  • Można przeprowadzić inspekcję administracyjnych akcji zabezpieczeń.You can audit administrative security actions.

Podczas projektowania i implementowania zabezpieczeń administracyjnych dla Configuration Manager można utworzyć Zakres administracyjny dla użytkownika administracyjnego przy użyciu następujących danych:When you design and implement administrative security for Configuration Manager, you use the following to create an administrative scope for an administrative user:

Zakres administracyjny kontroluje obiekty, które użytkownik administracyjny przegląda w konsoli Configuration Manager i kontroluje uprawnienia, które użytkownik ma dla tych obiektów.The administrative scope controls the objects that an administrative user views in the Configuration Manager console, and it controls the permissions that a user has on those objects. Konfiguracje administracji opartej na rolach są replikowane do wszystkich lokacji w hierarchii jako dane globalne, a następnie stosowane do wszystkich połączeń administracyjnych.Role-based administration configurations replicate to each site in the hierarchy as global data, and then are applied to all administrative connections.

Ważne

Opóźnienia w replikacji między lokacjami mogą utrudnić odebranie zmian przez lokację w zakresie administracji opartej na rolach.Intersite replication delays can prevent a site from receiving changes for role-based administration. Informacje o sposobach monitorowania replikacji bazy danych międzylokacyjnych znajdują się w temacie transfery danych między lokacjami .For information about how to monitor intersite database replication, see the Data transfers between sites topic.

Role zabezpieczeńSecurity roles

Używanie ról zabezpieczeń do przydzielania uprawnień bezpieczeństwa użytkownikom administracyjnym.Use security roles to grant security permissions to administrative users. Role zabezpieczeń to grupy uprawnień zabezpieczeń przypisywane do użytkowników administracyjnych i umożliwiające wykonywanie im zadań administracyjnych.Security roles are groups of security permissions that you assign to administrative users so that they can perform their administrative tasks. Te uprawnienia zabezpieczeń definiują działania administracyjne, które użytkownik administracyjny może wykonywać oraz uprawnienia przydzielane określonym typom obiektów.These security permissions define the administrative actions that an administrative user can perform and the permissions that are granted for particular object types. Najlepsze rozwiązanie w zakresie zabezpieczeń to przypisanie ról zabezpieczeń nadających jak najmniejsze uprawnienia.As a security best practice, assign the security roles that provide the least permissions.

Configuration Manager ma wbudowane role zabezpieczeń obsługujące typowe grupowania zadań administracyjnych. można też utworzyć własne niestandardowe role zabezpieczeń, aby zapewnić obsługę określonych wymagań firmy.Configuration Manager has several built-in security roles to support typical groupings of administrative tasks, and you can create your own custom security roles to support your specific business requirements. Przykłady wbudowanych ról zabezpieczeń:Examples of the built-in security roles:

  • Pełny administrator przyznaje wszystkie uprawnienia w Configuration Manager.Full Administrator grants all permissions in Configuration Manager.

  • Menedżer zasobów przyznaje uprawnienia do zarządzania punktem synchronizacji Analiza zasobów, analiza zasobówmi klasami raportowania, spisem oprogramowania, spisem sprzętu i regułami pomiarów.Asset Manager grants permissions to manage the Asset Intelligence Synchronization Point, Asset Intelligence reporting classes, software inventory, hardware inventory, and metering rules.

  • Menedżer aktualizacji oprogramowania przyznaje uprawnienia do definiowania i wdrażania aktualizacji oprogramowania.Software Update Manager grants permissions to define and deploy software updates. Użytkownicy administracyjni, którzy są powiązani z tą rolą, mogą tworzyć Kolekcje, grupy aktualizacji oprogramowania, wdrożenia i szablony.Administrative users who are associated with this role can create collections, software update groups, deployments, and templates.

  • Administrator zabezpieczeń przyznaje uprawnienia do dodawania i usuwania użytkowników administracyjnych oraz kojarzenia użytkowników administracyjnych z rolami zabezpieczeń, kolekcjami i zakresami zabezpieczeń.Security Administrator grants permissions to add and remove administrative users and associate administrative users with security roles, collections, and security scopes. Użytkownicy administracyjni, którzy są powiązani z tą rolą, mogą również tworzyć, modyfikować i usuwać role zabezpieczeń oraz przypisane do nich zakresy zabezpieczeń i kolekcje.Administrative users who are associated with this role can also create, modify, and delete security roles and their assigned security scopes and collections.

Porada

Możesz wyświetlić listę wbudowanych ról zabezpieczeń i utworzonych niestandardowych ról zabezpieczeń, w tym ich opisów, w konsoli Configuration Manager.You can view the list of built-in security roles and custom security roles you create, including their descriptions, in the Configuration Manager console. Aby wyświetlić role, w obszarze roboczym Administracja rozwiń węzeł zabezpieczenia, a następnie wybierz pozycję role zabezpieczeń.To view the roles, in the Administration workspace, expand Security, and then select Security Roles.

Każda rola zabezpieczeń ma specyficzne uprawnienia do różnych typów obiektów.Each security role has specific permissions for different object types. Na przykład rola zabezpieczeń autor aplikacji ma następujące uprawnienia do aplikacji: Zatwierdź, Utwórz, Usuń, Modyfikuj, Modyfikuj folder, Przenieś obiekt, Odczytaj, uruchom raport i Ustaw zakres zabezpieczeń.For example, the Application Author security role has the following permissions for applications: Approve, Create, Delete, Modify, Modify Folder, Move Object, Read, Run Report, and Set Security Scope.

Nie można zmienić uprawnień dla wbudowanych ról zabezpieczeń, ale można skopiować rolę, wprowadzić zmiany, a następnie zapisać te zmiany jako nową niestandardową rolę zabezpieczeń.You can't change the permissions for the built-in security roles, but you can copy the role, make changes, and then save these changes as a new custom security role. Można również zaimportować role zabezpieczeń, które zostały wyeksportowane z innej hierarchii, na przykład z sieci testowej.You can also import security roles that you've exported from another hierarchy, for example, from a test network. Przejrzyj role zabezpieczeń i ich uprawnienia, aby określić, czy będziesz używać wbudowanych ról zabezpieczeń, czy też chcesz utworzyć własne, niestandardowe role zabezpieczeń.Review the security roles and their permissions to determine whether you'll use the built-in security roles, or whether you have to create your own custom security roles.

Aby ułatwić Planowanie ról zabezpieczeńTo help you plan for security roles

  1. Zidentyfikuj zadania, które użytkownicy administracyjni wykonują w Configuration Manager.Identify the tasks that the administrative users perform in Configuration Manager. Zadania te mogą być powiązane z przynajmniej jedną grupą zadań zarządzania, taką jak wdrażanie aplikacji i pakietów, wdrażanie systemów operacyjnych i ustawień zgodności, konfiguracja lokacji i zabezpieczeń, inspekcje, zdalne kontrolowanie komputerów oraz zbieranie danych spisu.These tasks might relate to one or more groups of management tasks, such as deploying applications and packages, deploying operating systems and settings for compliance, configuring sites and security, auditing, remotely controlling computers, and collecting inventory data.

  2. Zamapuj te zadania administracyjne do przynajmniej jednej wbudowanej roli zabezpieczeń.Map these administrative tasks to one or more of the built-in security roles.

  3. Jeśli niektórzy użytkownicy administracyjni wykonują zadania z wielu ról zabezpieczeń, przypisz wiele ról zabezpieczeń do tych użytkowników administracyjnych zamiast tworzyć nową rolę zabezpieczeń, która łączy te zadania.If some of the administrative users perform the tasks of multiple security roles, assign the multiple security roles to these administrative users instead of creating a new security role that combines the tasks.

  4. Jeśli zidentyfikowane zadania nie mapują na wbudowane role zabezpieczeń, Utwórz i przetestuj nowe role zabezpieczeń.If the tasks that you identified don't map to the built-in security roles, create and test new security roles.

Informacje o sposobie tworzenia i konfigurowania ról zabezpieczeń na potrzeby administrowania opartego na rolach znajdują się w sekcji Tworzenie niestandardowych ról zabezpieczeń i Konfigurowanie ról zabezpieczeń w artykule Konfigurowanie administracji opartej na rolach dla Configuration Manager .For information about how to create and configure security roles for role-based administration, see Create custom security roles and Configure security roles in the Configure role-based administration for Configuration Manager article.

KolekcjeCollections

Kolekcje określają zasoby u użytkownika i komputera, które użytkownik administracyjny może wyświetlać lub którymi może zarządzać.Collections specify the user and computer resources that an administrative user can view or manage. Przykładowo aby użytkownicy administracyjni mogli wdrażać aplikacje lub realizować zdalne sterowanie, należy do nich przypisać rolę zabezpieczeń przydzielającą dostęp do kolekcji zawierającej dane zasoby.For example, for administrative users to deploy applications or to run remote control, they must be assigned to a security role that grants access to a collection that contains these resources. Istnieje możliwość wybrania kolekcji użytkowników lub urządzeń.You can select collections of users or devices.

Aby uzyskać więcej informacji na temat kolekcji, zobacz wprowadzenie do kolekcji.For more information about collections, see Introduction to collections.

Przed skonfigurowaniem administracji oparta na rolach sprawdź, czy konieczne jest utworzenie nowej kolekcji z któregokolwiek z następujących powodów:Before you configure role-based administration, check whether you have to create new collections for any of the following reasons:

  • Podział funkcjonalny.Functional organization. Przykładowo oddzielne kolekcje dla serwerów i stacji roboczych.For example, separate collections of servers and workstations.
  • Podział geograficzny.Geographic alignment. Przykładowo oddzielne kolekcje dla Ameryki Północnej i Europy.For example, separate collections for North America and Europe.
  • Wymagania dotyczące zabezpieczeń i procesów biznesowych.Security requirements and business processes. Przykładowo oddzielne kolekcje dla komputerów produkcyjnych i testowych.For example, separate collections for production and test computers.
  • Podział organizacyjny.Organization alignment. Przykładowo oddzielne kolekcje dla poszczególnych jednostek biznesowych.For example, separate collections for each business unit.

Informacje o sposobie konfigurowania kolekcji dla administracji opartej na rolach znajdują się w temacie Konfigurowanie kolekcji w celu zarządzania zabezpieczeniami w artykule Konfigurowanie administrowania opartego na rolach dla Configuration Manager .For information about how to configure collections for role-based administration, see Configure collections to manage security in the Configure role-based administration for Configuration Manager article.

Zakresy zabezpieczeńSecurity scopes

Zakresy zabezpieczeń umożliwiają zapewnienie użytkownikom administracyjnym dostępu do zabezpieczanych obiektów.Use security scopes to provide administrative users with access to securable objects. Zakres zabezpieczeń to nazwany zestaw obiektów zabezpieczanych, które są przypisane do użytkowników administratorów jako Grupa.A security scope is a named set of securable objects that are assigned to administrator users as a group. Wszystkie zabezpieczane obiekty muszą być przypisane do przynajmniej jednego zakresu zabezpieczeń.All securable objects must be assigned to one or more security scopes. Configuration Manager ma dwa wbudowane zakresy zabezpieczeń:Configuration Manager has two built-in security scopes:

  • Wszystkie wbudowane zakres zabezpieczeń przyznaje dostęp do wszystkich zakresów.The All built-in security scope grants access to all scopes. Nie można przypisywać obiektów do tego zakresu zabezpieczeń.You can't assign objects to this security scope.

  • Domyślny wbudowany zakres zabezpieczeń jest używany domyślnie dla wszystkich obiektów.The Default built-in security scope is used for all objects, by default. Podczas pierwszej instalacji Configuration Manager wszystkie obiekty są przypisywane do tego zakresu zabezpieczeń.When you first install Configuration Manager, all objects are assigned to this security scope.

Jeśli chcesz ograniczyć obiekty wyświetlane i zarządzane przez użytkowników administracyjnych musisz utworzyć własne, niestandardowe zakresy zabezpieczeń i używać ich.If you want to restrict the objects that administrative users can see and manage, you must create and use your own custom security scopes. Zakresy zabezpieczeń nie obsługują struktury hierarchicznej i nie mogą być zagnieżdżone.Security scopes don't support a hierarchical structure and can't be nested. Zakresy zabezpieczeń mogą zawierać jeden lub więcej typów obiektów, które obejmują następujące elementy:Security scopes can contain one or more object types, which include the following items:

  • Subskrypcje alertówAlert subscriptions
  • AplikacjeApplications
  • Obrazy rozruchoweBoot images
  • Grupy granicBoundary groups
  • Elementy konfiguracjiConfiguration items
  • Niestandardowe ustawienia klientaCustom client settings
  • Punkty dystrybucji i grupy punktów dystrybucjiDistribution points and distribution point groups
  • Pakiety sterownikówDriver packages
  • Foldery (począwszy od wersji 1906)Folders (starting in version 1906)
  • Warunki globalneGlobal conditions
  • Zadania migracjiMigration jobs
  • Obrazy systemu operacyjnegoOperating system images
  • Pakiety instalacyjne systemu operacyjnegoOperating system installation packages
  • PakietyPackages
  • ZapytaniaQueries
  • WitrynySites
  • Zasady pomiaru użytkowania oprogramowaniaSoftware metering rules
  • Grupy aktualizacji oprogramowaniaSoftware update groups
  • Pakiety aktualizacji oprogramowaniaSoftware updates packages
  • Pakiety sekwencji zadańTask sequence packages
  • Pakiety i pozycje ustawień urządzeń z systemem Windows CEWindows CE device setting items and packages

Istnieją także obiekty, których nie można uwzględnić w zakresach zabezpieczeń, ponieważ są one zabezpieczone tylko przez role zabezpieczeń.There are also some objects that you can't include in security scopes because they're only secured by security roles. Dostęp administracyjny do tych obiektów nie może być ograniczony do podzbioru dostępnych obiektów.Administrative access to these objects can't be limited to a subset of the available objects. Przykładowo może istnieć użytkownik administracyjny, który tworzy grupy granic używane w określonej lokacji.For example, you might have an administrative user who creates boundary groups that are used for a specific site. Ponieważ obiekt granicy nie obsługuje zakresów zabezpieczeń, nie można przypisać temu użytkownikowi zakresu zabezpieczeń, który zapewnia dostęp tylko do granic, które mogą być skojarzone z tą lokacją.Because the boundary object doesn't support security scopes, you can't assign this user a security scope that provides access to only the boundaries that might be associated with that site. Ponieważ nie można skojarzyć obiektu granicy z zakresem zabezpieczeń, podczas przypisywania roli zabezpieczeń, która obejmuje dostęp do obiektów granic, użytkownik może uzyskać dostęp do każdej granicy w hierarchii.Because a boundary object can't be associated to a security scope, when you assign a security role that includes access to boundary objects to a user, that user can access every boundary in the hierarchy.

Obiekty, które nie są ograniczone przez zakresy zabezpieczeń, obejmują następujące elementy:Objects that aren't limited by security scopes include the following items:

  • Lasy usługi Active DirectoryActive Directory forests
  • Użytkownicy administracyjniAdministrative users
  • AlertyAlerts
  • Zasady ochrony przed złośliwym kodemAntimalware policies
  • GraniceBoundaries
  • Skojarzenia komputerówComputer associations
  • Ustawienia domyślne klientaDefault client settings
  • Szablony wdrażaniaDeployment templates
  • Sterowniki urządzeńDevice drivers
  • Łącznik serwera ExchangeExchange Server connector
  • Mapowanie lokacji przy migracjiMigration site-to-site mappings
  • Profile rejestracji urządzeń przenośnychMobile device enrollment profiles
  • Role zabezpieczeńSecurity roles
  • Zakresy zabezpieczeńSecurity scopes
  • Adresy lokacjiSite addresses
  • Role systemu lokacjiSite system roles
  • Tytuły oprogramowaniaSoftware titles
  • Aktualizacje oprogramowaniaSoftware updates
  • Komunikaty o stanieStatus messages
  • Koligacje urządzeń użytkownikaUser device affinities

Zakresy zabezpieczeń należy tworzyć, gdy konieczne jest ograniczenie dostępu do oddzielnych wystąpień obiektów.Create security scopes when you have to limit access to separate instances of objects. Na przykład:For example:

  • Grupa użytkowników administracyjnych musi mieć możliwość wyświetlenia aplikacji produkcyjnych, lecz nie powinna mieć dostępu do aplikacji testowych.You have a group of administrative users who must be able to see production applications and not test applications. Utwórz dwa zakresy zabezpieczeń — dla aplikacji produkcyjnych i aplikacji testowych.Create one security scope for production applications and another for the test applications.

  • Różni użytkownicy administracyjni muszą mieć zróżnicowany dostęp do niektórych wystąpień obiektów określonego typu.Different administrative users require different access for some instances of an object type. Przykładowo jedna grupa użytkowników administracyjnych wymaga uprawnienia do odczytu do określonych grup aktualizacji oprogramowania, a inna — modyfikacji i usuwania innych grup aktualizacji oprogramowania.For example, one group of administrative users requires Read permission to specific software update groups, and another group of administrative users requires Modify and Delete permissions for other software update groups. Utwórz różne zakresy zabezpieczeń dla tych grup aktualizacji oprogramowania.Create different security scopes for these software update groups.

Informacje o sposobie konfigurowania zakresów zabezpieczeń na potrzeby administrowania opartego na rolach znajdują się w temacie Konfigurowanie zakresów zabezpieczeń dla obiektu w artykule Konfigurowanie administrowania opartego na rolach dla Configuration Manager .For information about how to configure security scopes for role-based administration, see the Configure security scopes for an object in the Configure role-based administration for Configuration Manager article.

Następne krokiNext steps

Konfigurowanie administracji opartej na rolach dla Configuration ManagerConfigure role-based administration for Configuration Manager