Megosztás a következőn keresztül:


Az Configuration Manager szerepköralapú felügyeletének alapjai

A következőre vonatkozik: Configuration Manager (aktuális ág)

A Configuration Manager szerepköralapú felügyelettel biztosíthatja a hozzáférést, amelyet a rendszergazdáknak Configuration Manager kell használniuk. Emellett biztonságos hozzáférést biztosít a felügyelt objektumokhoz, például gyűjteményekhez, üzemelő példányokhoz és helyekhez.

A szerepköralapú felügyeleti modell központilag határozza meg és kezeli a hierarchiaszintű biztonsági hozzáférést. Ez a modell az összes webhelyre és webhelybeállításra vonatkozóan az alábbi elemeket használja:

  • A biztonsági szerepkörök rendszergazda felhasználókhoz vannak rendelve, hogy engedélyt adjanak nekik az objektumok Configuration Manager. Például az ügyfélbeállítások létrehozására vagy módosítására vonatkozó engedély.

  • A biztonsági hatókörök olyan objektumok adott példányainak csoportosítására szolgálnak, amelyeket a rendszergazda felhasználó felügyel. Például egy olyan alkalmazás, amely telepíti a Configuration Manager-konzolt.

  • A gyűjtemények azon felhasználók és eszközök csoportjainak megadására szolgálnak, amelyeket a rendszergazda felhasználó felügyelhet Configuration Manager.

A szerepkörök, hatókörök és gyűjtemények kombinációjával elkülönítheti a szervezet igényeinek megfelelő felügyeleti hozzárendeléseket. Együtt definiálják a felhasználók felügyeleti hatókörét . Ez a felügyeleti hatókör szabályozza azokat az objektumokat, amelyeket a rendszergazda felhasználó megtekint a Configuration Manager-konzolon, és szabályozza azokat az engedélyeket, amelyekkel a felhasználó rendelkezik az adott objektumokon.

Előnyök

Az alábbi elemek a szerepköralapú felügyelet előnyeit ismertetik Configuration Manager:

  • A helyek nem használnak rendszergazdai határokat. Más szóval ne bontsa ki az önálló elsődleges helyeket egy központi adminisztrációs helyet tartalmazó hierarchiára a rendszergazdai felhasználók elkülönítéséhez.

  • Rendszergazda felhasználókat hozhat létre egy hierarchiához, és csak egyszer kell hozzájuk rendelnie a biztonságot.

  • Az összes biztonsági hozzárendelés replikálva van, és a teljes hierarchiában elérhető. A szerepköralapú felügyeleti konfigurációk globális adatokként replikálódnak a hierarchia minden helyére, majd az összes felügyeleti kapcsolatra alkalmazva lesznek.

    Fontos

    A helyek közötti replikáció késése megakadályozhatja, hogy egy hely módosításokat kapjon a szerepköralapú felügyelethez. A helyek közötti adatbázis-replikáció monitorozásáról további információt a Helyek közötti adatátvitel című témakörben talál.

  • Vannak beépített biztonsági szerepkörök, amelyek a tipikus felügyeleti feladatok hozzárendelésére szolgálnak. Saját egyéni biztonsági szerepkörök létrehozása az adott üzleti követelmények támogatásához.

  • A rendszergazda felhasználók csak azokat az objektumokat látják, amelyek kezeléséhez engedéllyel rendelkeznek.

  • Naplózhatja a felügyeleti biztonsági műveleteket.

Biztonsági szerepkörök

Biztonsági szerepkörök használata biztonsági engedélyek megadásához a rendszergazda felhasználók számára. A biztonsági szerepkörök olyan biztonsági engedélyek csoportjai, amelyeket a rendszergazda felhasználókhoz rendelhet, hogy elvégezhessék a felügyeleti feladataikat. Ezek a biztonsági engedélyek határozzák meg a rendszergazda felhasználó által elvégezhető műveleteket, valamint az adott objektumtípusokhoz megadott engedélyeket. Ajánlott biztonsági gyakorlatként rendelje hozzá azokat a biztonsági szerepköröket, amelyek a feladathoz minimálisan szükséges engedélyeket biztosítják.

Configuration Manager számos beépített biztonsági szerepkört biztosít a felügyeleti feladatok jellemző csoportosításának támogatásához. Saját egyéni biztonsági szerepköröket hozhat létre az adott üzleti követelmények támogatására.

Az alábbi táblázat összefoglalja az összes beépített szerepkört:

Name (Név) Leírás
Alkalmazásadminisztrátor Egyesíti az Alkalmazástelepítés-kezelő és az Alkalmazáskészítő szerepkörök engedélyeit. Ebben a szerepkörben a rendszergazda felhasználók kezelhetik a lekérdezéseket, megtekinthetik a webhelybeállításokat, kezelhetik a gyűjteményeket, szerkeszthetik a felhasználói eszköz kapcsolatának beállításait, és kezelhetik az App-V virtuális környezeteket.
Alkalmazás szerzője Létrehozhat, módosíthat és kivonhat alkalmazásokat. Ebben a szerepkörben a rendszergazda felhasználók az alkalmazásokat, a csomagokat és az App-V virtuális környezeteket is kezelhetik.
Alkalmazástelepítés-kezelő Alkalmazásokat telepíthet. Ebben a szerepkörben a rendszergazda felhasználók megtekinthetik az alkalmazások listáját. Kezelhetik az alkalmazások, riasztások és csomagok üzemelő példányait. Megtekinthetik a gyűjteményeket és tagjaikat, az állapotüzeneteket, a lekérdezéseket, a feltételes kézbesítési szabályokat és az App-V virtuális környezeteket.
Eszközkezelő Engedélyeket ad az Eszközintelligencia szinkronizálási pontjának, az Eszközintelligencia jelentési osztályainak, a szoftverleltárnak, a hardverleltárnak és a mérési szabályoknak a kezeléséhez.
Vállalati erőforrás-hozzáférés-kezelő Engedélyeket ad a vállalati erőforrás-hozzáférési profilok létrehozásához, kezeléséhez és üzembe helyezéséhez. Például Wi-Fi, VPN, Exchange ActiveSync protokoll e-mail és tanúsítványprofilok.
Megfelelőségi beállítások kezelője Engedélyeket ad a megfelelőségi beállítások meghatározásához és figyeléséhez. Ebben a szerepkörben a rendszergazda felhasználók konfigurációelemeket és alapterveket hozhatnak létre, módosíthatnak és törölhetnek. A konfigurációs alapkonfigurációkat gyűjteményekben is üzembe helyezhetik, megkezdhetik a megfelelőség kiértékelését, és megkezdhetik a nem megfelelő számítógépek szervizelését.
Endpoint Protection Manager Engedélyeket ad a végpontvédelmi szabályzatok létrehozásához, módosításához és törléséhez. Ezeket a szabályzatokat gyűjteményekben helyezhetik üzembe, riasztásokat hozhatnak létre és módosíthatnak, valamint figyelhetik a végpontvédelmi állapotot.
Teljes körű rendszergazda A Configuration Manager összes engedélyét megadja. A Configuration Manager telepítő rendszergazda automatikusan megkapja ezt a biztonsági szerepkört, az összes hatókört és gyűjteményt.
Infrastruktúra-rendszergazda Engedélyeket ad a Configuration Manager kiszolgálói infrastruktúra létrehozásához, törléséhez és módosításához, valamint az áttelepítési feladatok futtatásához.
Operációs rendszer központi telepítéskezelője Engedélyt ad operációsrendszer-lemezképek létrehozására és számítógépeken való üzembe helyezésére, az operációs rendszer frissítési csomagjainak és lemezképeinek, feladatütemezéseinek, illesztőprogramjainak, rendszerindító lemezképeinek és állapotáttelepítési beállításainak kezelésére.
Műveleti rendszergazda Engedélyeket ad Configuration Manager összes műveletéhez, kivéve a biztonság kezelésére vonatkozó engedélyeket. Ez a szerepkör nem tudja kezelni a rendszergazda felhasználókat, a biztonsági szerepköröket és a biztonsági hatóköröket.
Írásvédett elemző Engedélyeket ad az összes Configuration Manager objektum megtekintéséhez.
Távoli eszközök operátora Engedélyeket ad a távoli felügyeleti eszközök futtatásához és naplózásához, amelyek segítenek a felhasználóknak megoldani a számítógéppel kapcsolatos problémákat. Ebben a szerepkörben a rendszergazda felhasználók távvezérlést, távsegítséget és távoli asztalt futtathatnak a Configuration Manager konzolról.
Biztonsági rendszergazda Engedélyeket ad a rendszergazda felhasználók hozzáadásához és eltávolításához, valamint a rendszergazda felhasználók biztonsági szerepkörökhöz, gyűjteményekhez és biztonsági hatókörökhöz való társításához. Az ebben a szerepkörben lévő rendszergazda felhasználók biztonsági szerepköröket és hozzájuk rendelt biztonsági hatóköröket és gyűjteményeket is létrehozhatnak, módosíthatnak és törölhetnek.
Szoftverfrissítés-kezelő Engedélyeket ad a szoftverfrissítések meghatározásához és telepítéséhez. Ebben a szerepkörben a rendszergazda felhasználók kezelhetik a szoftverfrissítési csoportokat, a központi telepítéseket és a központi telepítési sablonokat.

Tipp

Ha rendelkezik engedélyekkel, megtekintheti az összes biztonsági szerepkör listáját az Configuration Manager konzolon. A szerepkörök megtekintéséhez lépjen az Adminisztráció munkaterületre, bontsa ki a Biztonság csomópontot, majd válassza a Biztonsági szerepkörök csomópontot .

A beépített biztonsági szerepköröket csak rendszergazda felhasználók hozzáadásával módosíthatja. A szerepkört átmásolhatja, módosíthatja, majd új egyéni biztonsági szerepkörként mentheti. Importálhat olyan biztonsági szerepköröket is, amelyeket egy másik hierarchiából, például tesztkörnyezetből exportált. További információ: Szerepköralapú felügyelet konfigurálása.

Tekintse át a biztonsági szerepköröket és azok engedélyeit annak megállapításához, hogy a beépített biztonsági szerepköröket fogja-e használni, vagy saját egyéni biztonsági szerepköröket kell létrehoznia.

Szerepkör-engedélyek

Minden biztonsági szerepkör külön engedélyekkel rendelkezik a különböző objektumtípusokhoz. Az alkalmazáskészítő szerepkör például a következő engedélyekkel rendelkezik az alkalmazásokhoz:

  • Jóváhagyja
  • Létrehozás
  • Törlés
  • Módosítani
  • Mappa módosítása
  • Objektum áthelyezése
  • Olvasni
  • Jelentés futtatása
  • Biztonsági hatókör beállítása

Ez a szerepkör más objektumokhoz is rendelkezik engedélyekkel.

Az alkalmazáskészítő beépített szerepkör engedélyek lapja

További információ a szerepkörök engedélyeinek megtekintéséről vagy az egyéni szerepkörök engedélyeinek módosításáról: Szerepköralapú felügyelet konfigurálása.

Biztonsági szerepkörök tervezése

Ezzel a folyamatgal megtervezheti Configuration Manager biztonsági szerepköröket a környezetében:

  1. Azonosítsa azokat a feladatokat, amelyeket a rendszergazdáknak el kell végeznie a Configuration Manager. Ezek a feladatok egy vagy több felügyeleti feladatcsoporthoz kapcsolódhatnak. Például az operációs rendszerek és a megfelelőségi beállítások telepítése.

  2. Rendelje hozzá ezeket a felügyeleti feladatokat egy vagy több beépített szerepkörhöz.

  3. Ha egyes rendszergazda felhasználók több szerepkör feladatait hajtják végre, rendelje hozzá a felhasználókat a több szerepkörhöz. Ne hozzon létre olyan egyéni szerepkört, amely egyesíti az engedélyeket.

  4. Ha az azonosított feladatok nem képeznek le a beépített biztonsági szerepkörökre, hozzon létre és teszteljen egyéni szerepköröket.

További információ: Egyéni biztonsági szerepkörök létrehozása és Biztonsági szerepkörök konfigurálása.

Gyűjtemények

A gyűjtemények határozzák meg azokat a felhasználókat és eszközöket, amelyeket egy rendszergazda felhasználó megtekinthet vagy kezelhet. Ha például egy alkalmazást szeretne üzembe helyezni egy eszközön, a rendszergazda felhasználónak olyan biztonsági szerepkörrel kell rendelkeznie, amely hozzáférést biztosít az eszközt tartalmazó gyűjteményhez.

További információ a gyűjteményekről: Bevezetés a gyűjtemények használatába.

A szerepköralapú felügyelet konfigurálása előtt döntse el, hogy létre kell-e hoznia új gyűjteményeket az alábbi okok valamelyike miatt:

  • Funkcionális szervezés. Például kiszolgálók és munkaállomások különálló gyűjteményei.
  • Földrajzi igazítás. Külön gyűjtemények például Észak-Amerika és Európa számára.
  • Biztonsági követelmények és üzleti folyamatok. Külön gyűjtemények például az éles és a tesztszámítógépekhez.
  • A szervezet igazítása. Például külön gyűjtemények minden egyes üzleti egységhez.

További információ: Gyűjtemények konfigurálása a biztonság kezeléséhez.

Biztonsági hatókörök

Biztonsági hatókörök használatával biztosíthatja a rendszergazda felhasználók számára a biztonságos objektumokhoz való hozzáférést. A biztonsági hatókör a rendszergazdai felhasználókhoz csoportként hozzárendelt biztonságos objektumok nevesített halmaza. Minden biztonságos objektum egy vagy több biztonsági hatókörhöz van hozzárendelve. Configuration Manager két beépített biztonsági hatókörrel rendelkezik:

  • Mind: Hozzáférést biztosít az összes hatókörhöz. Ehhez a biztonsági hatókörhöz nem rendelhet objektumokat.

  • Alapértelmezett: Ez a hatókör alapértelmezés szerint az összes objektumhoz használatos. A Configuration Manager telepítésekor az összes objektumot hozzárendeli ehhez a biztonsági hatókörhöz.

Ha korlátozni szeretné azokat az objektumokat, amelyeket a rendszergazda felhasználók láthatnak és kezelhetnek, hozzon létre saját egyéni biztonsági hatóköröket. A biztonsági hatókörök nem támogatják a hierarchikus struktúrát, és nem ágyazhatók be. A biztonsági hatókörök egy vagy több objektumtípust tartalmazhatnak, amelyek a következő elemeket tartalmazzák:

  • Riasztási előfizetések
  • Alkalmazások és alkalmazáscsoportok
  • App-V virtuális környezetek
  • Rendszerindító lemezképek
  • Határcsoportok
  • Konfigurációelemek és alapkonfigurációk
  • Egyéni ügyfélbeállítások
  • Terjesztési pontok és terjesztésipont-csoportok
  • Illesztőprogram-csomagok
  • Végpontvédelmi szabályzatok (mind)
  • Mappák
  • Globális feltételek
  • Migrálási feladatok
  • OneDrive Vállalati verzió profilok
  • Operációsrendszer-rendszerképek
  • Operációsrendszer-frissítési csomagok
  • Csomagok
  • Lekérdezések
  • Távoli kapcsolati profilok
  • Parancsfájlok
  • Helyek
  • Szoftverhasználat-mérési szabályok
  • Szoftverfrissítési csoportok
  • Szoftverfrissítési csomagok
  • Feladatütemezések
  • Felhasználói adatok és profilok konfigurációs elemei
  • Windows Update Vállalati verzió szabályzatai

Vannak olyan objektumok is, amelyeket nem vehet fel a biztonsági hatókörökbe, mert csak biztonsági szerepkörök védik őket. Ezeknek az objektumoknak a rendszergazdai hozzáférése nem korlátozható az elérhető objektumok egy részhalmazára. Előfordulhat például, hogy van egy rendszergazda felhasználója, aki egy adott webhelyhez használt határcsoportokat hoz létre. Mivel a határobjektum nem támogatja a biztonsági hatóköröket, nem rendelhet hozzá olyan biztonsági hatókört a felhasználóhoz, amely csak az adott webhelyhez hozzárendelhető határokhoz biztosít hozzáférést. Mivel a határobjektumok nem társíthatók biztonsági hatókörhöz, ha olyan biztonsági szerepkört rendel hozzá egy felhasználóhoz, amely hozzáférést biztosít a határobjektumokhoz, az a felhasználó hozzáférhet a hierarchia minden határához.

A biztonsági hatóköröket nem támogató objektumok közé tartoznak, de nem korlátozódnak a következő elemekre:

  • Active Directory-erdők
  • Rendszergazda felhasználók
  • Riasztások
  • Határait
  • Számítógép-társítások
  • Alapértelmezett ügyfélbeállítások
  • Üzembehelyezési sablonok
  • Eszközillesztők
  • Helyek közötti leképezések áttelepítése
  • Biztonsági szerepkörök
  • Biztonsági hatókörök
  • Webhelycímek
  • Helyrendszerszerepkörök
  • Szoftverfrissítések
  • Állapotüzenetek
  • Felhasználói eszköz affinitásai

Biztonsági hatókörök létrehozása, ha a hozzáférést külön objektumpéldányokra kell korlátoznia. Például:

  • Rendszergazda felhasználók egy csoportja, akiknek éles alkalmazásokat kell látniuk, és nem tesztelni az alkalmazásokat. Hozzon létre egy biztonsági hatókört az éles alkalmazásokhoz, egy másikat pedig a tesztalkalmazásokhoz.

  • A rendszergazda felhasználók egy csoportjának olvasási engedélyre van szüksége adott szoftverfrissítési csoportokhoz. A rendszergazda felhasználók egy másik csoportjának módosítási és törlési engedélyre van szüksége más szoftverfrissítési csoportokhoz. Különböző biztonsági hatóköröket hozhat létre ezekhez a szoftverfrissítési csoportokhoz.

További információ: Objektum biztonsági hatóköreinek konfigurálása.

Következő lépések

Szerepköralapú felügyelet konfigurálása Configuration Manager