Sdílet prostřednictvím


Základy správy na základě rolí pro Configuration Manager

Platí pro: Configuration Manager (Current Branch)

S Configuration Manager můžete použít správu na základě rolí k zabezpečení přístupu, který správci potřebují používat Configuration Manager. Zabezpečíte také přístup k objektům, které spravujete, jako jsou kolekce, nasazení a weby.

Model správy na základě rolí centrálně definuje a spravuje přístup k zabezpečení v celé hierarchii. Tento model je určený pro všechny weby a nastavení webu pomocí následujících položek:

  • Role zabezpečení se přiřazují uživatelům s oprávněním k Configuration Manager objektů. Například oprávnění k vytvoření nebo změně nastavení klienta.

  • Obory zabezpečení se používají k seskupení konkrétních instancí objektů, které je správce zodpovědný za správu. Například aplikace, která nainstaluje konzolu Configuration Manager.

  • Kolekce slouží k určení skupin uživatelů a zařízení, které může správce spravovat v Configuration Manager.

Kombinací rolí, oborů a kolekcí oddělíte přiřazení správy, která splňují požadavky vaší organizace. Společně definují obor správy uživatele. Tento obor správy řídí objekty, které správce zobrazí v konzole Configuration Manager, a řídí oprávnění, která má uživatel k těmto objektům.

Výhody

Následující položky jsou výhody správy na základě rolí v Configuration Manager:

  • Weby se nepoužívají jako hranice správy. Jinými slovy, nerozbalujte samostatnou primární lokalitu na hierarchii s lokalitou centrální správy pro oddělení správců.

  • Administrativní uživatele vytvoříte pro hierarchii a zabezpečení jim stačí přiřadit jenom jednou.

  • Všechna přiřazení zabezpečení se replikují a jsou k dispozici v celé hierarchii. Konfigurace správy na základě rolí se replikují do každé lokality v hierarchii jako globální data a pak se použijí pro všechna připojení pro správu.

    Důležité

    Prodlevy replikace mezi lokalitami můžou zabránit tomu, aby lokalita přijímala změny pro správu na základě rolí. Další informace o monitorování replikace databází mezi lokalitami najdete v tématu Přenosy dat mezi lokalitami.

  • Existují předdefinované role zabezpečení, které se používají k přiřazení typických úloh správy. Vytvořte vlastní role zabezpečení pro podporu konkrétních obchodních požadavků.

  • Správci uvidí jenom objekty, ke kterým mají oprávnění ke správě.

  • Můžete auditovat akce zabezpečení správy.

Role zabezpečení

Pomocí rolí zabezpečení udělte oprávnění zabezpečení správcům. Role zabezpečení jsou skupiny oprávnění zabezpečení, které přiřadíte správcům, aby mohli provádět své úlohy správy. Tato oprávnění zabezpečení definují akce, které může správce provádět, a oprávnění, která jsou udělena pro konkrétní typy objektů. Jako osvědčený postup zabezpečení přiřaďte role zabezpečení, které poskytují nejmenší oprávnění, která jsou pro úlohu nutná.

Configuration Manager má několik předdefinovaných rolí zabezpečení, které podporují typická seskupení úloh správy. Můžete si vytvořit vlastní role zabezpečení, které budou podporovat vaše konkrétní obchodní požadavky.

Následující tabulka shrnuje všechny předdefinované role:

Name (Název) Popis
Správce aplikace Kombinuje oprávnění správce nasazení aplikací a rolí autora aplikace . Správci v této roli můžou také spravovat dotazy, zobrazovat nastavení webu, spravovat kolekce, upravovat nastavení pro spřažení uživatelských zařízení a spravovat virtuální prostředí App-V.
Autor aplikace Může vytvářet, upravovat a vyřazovat aplikace. Správci v této roli můžou také spravovat aplikace, balíčky a virtuální prostředí App-V.
Správce nasazení aplikací Může nasazovat aplikace. Správci v této roli můžou zobrazit seznam aplikací. Můžou spravovat nasazení aplikací, výstrah a balíčků. Můžou zobrazit kolekce a jejich členy, stavové zprávy, dotazy, pravidla podmíněného doručování a virtuální prostředí App-V.
Správce prostředků Uděluje oprávnění ke správě bodu synchronizace funkce Asset Intelligence, tříd generování sestav funkce Asset Intelligence, inventáře softwaru, inventáře hardwaru a pravidel měření.
Správce přístupu k prostředkům společnosti Uděluje oprávnění k vytváření, správě a nasazování profilů přístupu k prostředkům společnosti. Například Wi-Fi, VPN, protokol Exchange ActiveSync e-mail a profily certifikátů.
Správce nastavení dodržování předpisů Uděluje oprávnění k definování a monitorování nastavení dodržování předpisů. Administrativní uživatelé v této roli můžou vytvářet, upravovat a odstraňovat položky konfigurace a směrné plány. Můžou také nasadit standardní hodnoty konfigurace do kolekcí, spustit vyhodnocení dodržování předpisů a spustit nápravu pro počítače, které nedodržují předpisy.
Správce ochrany koncových bodů Uděluje oprávnění k vytváření, úpravám a odstraňování zásad ochrany koncových bodů. Tyto zásady můžou nasadit do kolekcí, vytvářet a upravovat výstrahy a monitorovat stav ochrany koncových bodů.
Úplný správce Uděluje všechna oprávnění v Configuration Manager. Administrativnímu uživateli, který nainstaluje Configuration Manager, se automaticky udělí tato role zabezpečení, všechny obory a všechny kolekce.
Správce infrastruktury Uděluje oprávnění k vytváření, odstraňování a úpravě infrastruktury Configuration Manager serveru a ke spouštění úloh migrace.
Správce nasazení operačního systému Uděluje oprávnění k vytváření imagí operačního systému a jejich nasazení do počítačů, správě balíčků a imagí pro upgrade operačního systému, pořadí úkolů, ovladačů, spouštěcích imagí a nastavení migrace stavu.
Provozní správce Uděluje oprávnění pro všechny akce v Configuration Manager s výjimkou oprávnění ke správě zabezpečení. Tato role nemůže spravovat uživatele pro správu, role zabezpečení a obory zabezpečení.
Analytik jen pro čtení Uděluje oprávnění k zobrazení všech Configuration Manager objektů.
Operátor vzdálených nástrojů Uděluje oprávnění ke spouštění a auditování nástrojů pro vzdálenou správu, které uživatelům pomáhají řešit problémy s počítačem. Správci v této roli můžou z konzoly Configuration Manager spustit vzdálené řízení, vzdálenou pomoc a vzdálenou plochu.
Správce zabezpečení Uděluje oprávnění k přidávání a odebírání správců a k přidružení správců k rolím zabezpečení, kolekcem a oborům zabezpečení. Správci v této roli můžou také vytvářet, upravovat a odstraňovat role zabezpečení a přiřazené obory zabezpečení a kolekce.
Správce aktualizací softwaru Uděluje oprávnění k definování a nasazení aktualizací softwaru. Správci v této roli můžou spravovat skupiny aktualizací softwaru, nasazení a šablony nasazení.

Tip

Pokud máte oprávnění, můžete zobrazit seznam všech rolí zabezpečení v konzole Configuration Manager. Pokud chcete zobrazit role, přejděte do pracovního prostoru Správa , rozbalte zabezpečení a pak vyberte uzel Role zabezpečení .

Předdefinované role zabezpečení nemůžete upravovat kromě přidávání správců. Roli můžete zkopírovat, provést změny a pak tyto změny uložit jako novou vlastní roli zabezpečení. Můžete také importovat role zabezpečení, které jste exportovali z jiné hierarchie, jako je testovací prostředí. Další informace najdete v tématu Konfigurace správy na základě rolí.

Zkontrolujte role zabezpečení a jejich oprávnění a zjistěte, jestli budete používat předdefinované role zabezpečení, nebo jestli musíte vytvořit vlastní role zabezpečení.

Oprávnění role

Každá role zabezpečení má specifická oprávnění pro různé typy objektů. Role autora aplikace má například následující oprávnění pro aplikace:

  • Schválit
  • Vytvoření
  • Vymazání
  • Upravit
  • Upravit složku
  • Přesunout objekt
  • Číst
  • Spustit sestavu
  • Nastavení rozsahu zabezpečení

Tato role má také oprávnění pro jiné objekty.

Karta Oprávnění pro předdefinované role autora aplikace

Další informace o tom, jak zobrazit oprávnění pro roli nebo změnit oprávnění pro vlastní roli, najdete v tématu Konfigurace správy na základě rolí.

Plánování rolí zabezpečení

Tento postup použijte k plánování Configuration Manager rolí zabezpečení ve vašem prostředí:

  1. Identifikujte úlohy, které musí správci provádět v Configuration Manager. Tyto úlohy můžou souviset s jednou nebo více skupinami úloh správy. Například nasazení operačních systémů a nastavení pro dodržování předpisů.

  2. Tyto úlohy správy namapujte na jednu nebo více předdefinovaných rolí.

  3. Pokud někteří správci dělají úlohy více rolí, přiřaďte je k několika rolím. Nevytvovávejte vlastní roli, která kombinuje oprávnění.

  4. Pokud se úlohy, které jste identifikovali, nemapovat na předdefinované role zabezpečení, vytvořte a otestujte vlastní role.

Další informace najdete v tématech Vytvoření vlastních rolí zabezpečení a Konfigurace rolí zabezpečení.

Sbírky

Kolekce určují uživatele a zařízení, které může správce zobrazit nebo spravovat. Pokud například chcete nasadit aplikaci do zařízení, musí být administrativní uživatel v roli zabezpečení, která uděluje přístup ke kolekci obsahující zařízení.

Další informace o kolekcích najdete v tématu Úvod do kolekcí.

Před konfigurací správy na základě rolí se rozhodněte, jestli je nutné vytvářet nové kolekce z některého z následujících důvodů:

  • Funkční organizace. Například samostatné kolekce serverů a pracovních stanic.
  • Zeměpisné zarovnání. Například samostatné kolekce pro Severní Amerika a Evropu.
  • Požadavky na zabezpečení a obchodní procesy. Například samostatné kolekce pro produkční a testovací počítače.
  • Sladění organizace. Například samostatné kolekce pro každou obchodní jednotku.

Další informace najdete v tématu Konfigurace kolekcí pro správu zabezpečení.

Rozsahy zabezpečení

Pomocí oborů zabezpečení můžete správcům poskytnout přístup k zabezpečitelným objektům. Obor zabezpečení je pojmenovaná sada zabezpečitelných objektů, které jsou uživatelům s oprávněním správce přiřazeny jako skupina. Všechny zabezpečitelné objekty jsou přiřazeny k jednomu nebo několika oborům zabezpečení. Configuration Manager má dva předdefinované obory zabezpečení:

  • Vše: Uděluje přístup ke všem oborům. K tomuto oboru zabezpečení nemůžete přiřadit objekty.

  • Výchozí: Tento obor se ve výchozím nastavení používá pro všechny objekty. Při instalaci Configuration Manager přiřadí k tomuto oboru zabezpečení všechny objekty.

Pokud chcete omezit objekty, které můžou správci zobrazit a spravovat, vytvořte vlastní obory zabezpečení. Obory zabezpečení nepodporují hierarchickou strukturu a nelze je vnořit. Obory zabezpečení můžou obsahovat jeden nebo více typů objektů, které zahrnují následující položky:

  • Odběry upozornění
  • Aplikace a skupiny aplikací
  • Virtuální prostředí App-V
  • Spouštěcí image
  • Skupiny hranic
  • Položky konfigurace a směrné plány
  • Vlastní nastavení klienta
  • Distribuční body a skupiny distribučních bodů
  • Balíčky ovladačů
  • Zásady ochrany koncových bodů (vše)
  • Složky
  • Globální podmínky
  • Úlohy migrace
  • profily OneDrive pro firmy
  • Image operačního systému
  • Balíčky upgradu operačního systému
  • Balíčky
  • Dotazy
  • Profily vzdáleného připojení
  • Skripty
  • Stránky
  • Pravidla monitorování míry využívání softwaru
  • Skupiny aktualizací softwaru
  • Balíčky aktualizací softwaru
  • Pořadí úkolů
  • Položky konfigurace uživatelských dat a profilů
  • zásady služba Windows Update pro firmy

Existují také některé objekty, které nemůžete zahrnout do oborů zabezpečení, protože jsou zabezpečené pouze rolemi zabezpečení. Přístup pro správu k těmto objektům nelze omezit na podmnožinu dostupných objektů. Můžete mít například administrativního uživatele, který vytváří skupiny hranic, které se používají pro konkrétní web. Vzhledem k tomu, že objekt hranice nepodporuje obory zabezpečení, nemůžete tomuto uživateli přiřadit obor zabezpečení, který poskytuje přístup pouze k hranicím, které mohou být přidruženy k dané lokalitě. Vzhledem k tomu, že objekt hranice nelze přidružit k oboru zabezpečení, přiřadíte-li uživateli roli zabezpečení, která zahrnuje přístup k objektům hranic, může tento uživatel přistupovat ke všem hranicím v hierarchii.

Mezi objekty, které nepodporují obory zabezpečení, patří mimo jiné následující položky:

  • Doménové struktury služby Active Directory
  • Administrativní uživatelé
  • Upozornění
  • Hranice
  • Přidružení počítačů
  • Výchozí nastavení klienta
  • Šablony nasazení
  • Ovladače zařízení
  • Migrace mapování site-to-site
  • Role zabezpečení
  • Rozsahy zabezpečení
  • Adresy webu
  • Role systému lokality
  • Aktualizace softwaru
  • Stavové zprávy
  • Spřažení uživatelských zařízení

Pokud potřebujete omezit přístup k samostatným instancím objektů, vytvořte obory zabezpečení. Příklad:

  • Máte skupinu administrativních uživatelů, kteří potřebují zobrazit produkční aplikace, a ne testovací aplikace. Vytvořte jeden obor zabezpečení pro produkční aplikace a druhý pro testovací aplikace.

  • Jedna skupina správců vyžaduje oprávnění ke čtení pro konkrétní skupiny aktualizací softwaru. Jiná skupina správců vyžaduje oprávnění k úpravě a odstranění pro jiné skupiny aktualizací softwaru. Vytvořte pro tyto skupiny aktualizací softwaru různé obory zabezpečení.

Další informace najdete v tématu Konfigurace oborů zabezpečení pro objekt.

Další kroky

Konfigurace správy na základě rolí pro Configuration Manager