Mengonfigurasi Kontrol dan Izin Akses Pengguna

  • Artikel

Berlaku untuk: Pusat Admin Windows, Pratinjau Pusat Admin Windows

Jika Anda belum melakukannya, biasakan diri Anda dengan opsi kontrol akses pengguna di Pusat Admin Windows.

Catatan

Akses berbasis grup di Pusat Admin Windows tidak didukung di lingkungan grup kerja atau di seluruh domain yang tidak tepercaya.

Definisi peran akses gateway

Ada dua peran untuk akses ke layanan gateway Pusat Admin Windows:

Pengguna gateway dapat tersambung ke layanan gateway Pusat Admin Windows untuk mengelola server melalui gateway tersebut, tetapi mereka tidak dapat mengubah izin akses atau mekanisme autentikasi yang digunakan untuk mengautentikasi ke gateway.

Administrator gateway dapat mengonfigurasi siapa yang mendapatkan akses serta cara pengguna mengautentikasi ke gateway. Hanya administrator gateway yang dapat menampilkan dan mengonfigurasi pengaturan Akses di Pusat Admin Windows. Administrator lokal pada komputer gateway selalu menjadi administrator layanan gateway Pusat Admin Windows.

Ada juga peran tambahan khusus untuk manajemen CredSSP:

Administrator CredSSP Pusat Admin Windows terdaftar dengan titik akhir Windows Admin Center CredSSP dan memiliki izin untuk melakukan operasi CredSSP yang telah ditentukan sebelumnya. Grup ini sangat berguna untuk penginstalan Pusat Admin Windows dalam mode desktop, di mana hanya akun pengguna yang menginstal Pusat Admin Windows yang diberikan izin ini secara default.

Catatan

Akses ke gateway tidak menyiratkan akses ke server terkelola yang terlihat oleh gateway. Untuk mengelola server target, pengguna yang tersambung harus menggunakan kredensial (baik melalui kredensial Windows yang diteruskan atau melalui kredensial yang disediakan dalam sesi Pusat Admin Windows menggunakan kelola sebagai tindakan) yang memiliki akses administratif ke server target tersebut. Ini karena sebagian besar alat Pusat Admin Windows memerlukan izin administratif untuk digunakan.

Direktori Aktif atau grup komputer lokal

Secara default, Direktori Aktif atau grup komputer lokal digunakan untuk mengontrol akses gateway. Jika Anda memiliki domain Direktori Aktif, Anda dapat mengelola akses pengguna dan administrator gateway dari dalam antarmuka Pusat Admin Windows.

Pada tab Pengguna , Anda bisa mengontrol siapa yang bisa mengakses Pusat Admin Windows sebagai pengguna gateway. Secara default, dan jika Anda tidak menentukan grup keamanan, setiap pengguna yang mengakses URL gateway memiliki akses. Setelah Anda menambahkan satu atau beberapa grup keamanan ke daftar pengguna, akses dibatasi untuk anggota grup tersebut.

Jika Anda tidak menggunakan domain Direktori Aktif di lingkungan Anda, akses dikontrol oleh grup lokal Pengguna dan Administrator di komputer gateway Pusat Admin Windows.

Autentikasi kartu pintar

Anda dapat menerapkan autentikasi kartu pintar dengan menentukan grup tambahan yang diperlukan untuk grup keamanan berbasis kartu pintar. Setelah Anda menambahkan grup keamanan berbasis kartu pintar, pengguna hanya dapat mengakses layanan Pusat Admin Windows jika mereka adalah anggota grup keamanan dan grup kartu pintar yang disertakan dalam daftar pengguna.

Pada tab Administrator , Anda bisa mengontrol siapa yang bisa mengakses Pusat Admin Windows sebagai administrator gateway. Grup administrator lokal pada komputer akan selalu memiliki akses administrator penuh dan tidak dapat dihapus dari daftar. Dengan menambahkan grup keamanan, Anda memberi anggota hak istimewa grup tersebut untuk mengubah pengaturan gateway Pusat Admin Windows. Daftar administrator mendukung autentikasi kartu pintar dengan cara yang sama seperti daftar pengguna: dengan kondisi AND untuk grup keamanan dan grup kartu pintar.

Microsoft Entra ID

Jika organisasi Anda menggunakan ID Microsoft Entra, Anda dapat memilih untuk menambahkan lapisan keamanan tambahan ke Pusat Admin Windows dengan mengharuskan autentikasi Microsoft Entra untuk mengakses gateway. Untuk mengakses Pusat Admin Windows, akun Windows pengguna juga harus memiliki akses ke server gateway (bahkan jika autentikasi Microsoft Entra digunakan). Saat menggunakan ID Microsoft Entra, Anda akan mengelola izin akses pengguna dan administrator Pusat Admin Windows dari portal Azure, bukan dari dalam UI Pusat Admin Windows.

Mengakses Pusat Admin Windows saat autentikasi Microsoft Entra diaktifkan

Bergantung pada browser yang digunakan, beberapa pengguna yang mengakses Pusat Admin Windows dengan autentikasi Microsoft Entra yang dikonfigurasi akan menerima perintah tambahan dari browser tempat mereka perlu memberikan kredensial akun Windows mereka untuk mesin tempat Pusat Admin Windows diinstal. Setelah memasukkan informasi tersebut, pengguna akan mendapatkan permintaan autentikasi Microsoft Entra tambahan, yang memerlukan kredensial akun Azure yang telah diberikan akses di aplikasi Microsoft Entra di Azure.

Catatan

Pengguna yang akun Windows-nya memiliki hak Administrator pada komputer gateway tidak akan dimintai autentikasi Microsoft Entra.

Mengonfigurasi autentikasi Microsoft Entra untuk Pratinjau Pusat Admin Windows

Buka Pusat Admin Windows Pengaturan> Akscess dan gunakan sakelar pengalih untuk mengaktifkan "Gunakan ID Microsoft Entra untuk menambahkan lapisan keamanan ke gateway". Jika Anda belum mendaftarkan gateway ke Azure, Anda akan dipandu untuk melakukannya saat ini.

Secara default, semua anggota penyewa Microsoft Entra memiliki akses pengguna ke layanan gateway Pusat Admin Windows. Hanya administrator lokal pada komputer gateway yang memiliki akses administrator ke gateway Pusat Admin Windows. Perhatikan bahwa hak administrator lokal pada komputer gateway tidak dapat dibatasi - admin lokal dapat melakukan apa pun terlepas dari apakah ID Microsoft Entra digunakan untuk autentikasi.

Jika Anda ingin memberi pengguna Microsoft Entra atau pengguna gateway grup tertentu atau akses administrator gateway ke layanan Pusat Admin Windows, Anda harus melakukan hal berikut:

  1. Buka aplikasi Microsoft Entra Pusat Admin Windows Anda di portal Azure dengan menggunakan hyperlink yang disediakan di Access Pengaturan. Perhatikan bahwa hyperlink ini hanya tersedia saat autentikasi Microsoft Entra diaktifkan.
    • Anda juga dapat menemukan aplikasi Anda di portal Azure dengan masuk ke aplikasi Microsoft Entra ID>Enterprise Semua aplikasi> dan mencari WindowsAdminCenter (aplikasi Microsoft Entra akan diberi nama WindowsAdminCenter-gateway).<> Jika Anda tidak mendapatkan hasil pencarian apa pun, pastikan Tampilkan diatur ke semua aplikasi, status aplikasi diatur ke apa pun dan pilih Terapkan, lalu coba pencarian Anda. Setelah Anda menemukan aplikasi, buka Pengguna dan grup
  2. Di tab Properti, atur Penetapan pengguna yang diperlukan ke Ya. Setelah Anda melakukan ini, hanya anggota yang tercantum di tab Pengguna dan grup yang dapat mengakses gateway Pusat Admin Windows.
  3. Di tab Pengguna dan grup, pilih Tambahkan pengguna. Anda harus menetapkan peran administrator pengguna gateway atau gateway untuk setiap pengguna/grup yang ditambahkan.

Setelah Mengaktifkan autentikasi Microsoft Entra, layanan gateway dimulai ulang dan Anda harus me-refresh browser Anda. Anda dapat memperbarui akses pengguna untuk aplikasi Microsoft Entra UKM di portal Azure kapan saja.

Pengguna akan diminta untuk masuk menggunakan identitas Microsoft Entra mereka saat mereka mencoba mengakses URL gateway Pusat Admin Windows. Ingat bahwa pengguna juga harus menjadi anggota Pengguna lokal di server gateway untuk mengakses Pusat Admin Windows.

Pengguna dan administrator dapat melihat akun mereka yang saat ini masuk dan serta keluar dari akun Microsoft Entra ini dari tab Akun di Pengaturan Pusat Admin Windows.

Mengonfigurasi autentikasi Microsoft Entra untuk Pusat Admin Windows

Untuk menyiapkan autentikasi Microsoft Entra, Anda harus terlebih dahulu mendaftarkan gateway Anda dengan Azure (Anda hanya perlu melakukan ini sekali untuk gateway Pusat Admin Windows Anda). Langkah ini membuat aplikasi Microsoft Entra tempat Anda dapat mengelola akses pengguna gateway dan administrator gateway.

Jika Anda ingin memberi pengguna Microsoft Entra atau pengguna gateway grup tertentu atau akses administrator gateway ke layanan Pusat Admin Windows, Anda harus melakukan hal berikut:

  1. Buka aplikasi Microsoft Entra SME Anda di portal Azure.
    • Saat Anda memilih Ubah kontrol akses lalu pilih ID Microsoft Entra dari pengaturan Akses Pusat Admin Windows, Anda bisa menggunakan hyperlink yang disediakan di UI untuk mengakses aplikasi Microsoft Entra Anda di portal Azure. Hyperlink ini juga tersedia di pengaturan Akses setelah Anda memilih simpan dan telah memilih ID Microsoft Entra sebagai idP kontrol akses Anda.
    • Anda juga dapat menemukan aplikasi Anda di portal Azure dengan membuka Aplikasi Microsoft Entra ID>Enterprise Semua aplikasi> dan mencari SME (aplikasi Microsoft Entra akan diberi nama SME-gateway).<> Jika Anda tidak mendapatkan hasil pencarian apa pun, pastikan Tampilkan diatur ke semua aplikasi, status aplikasi diatur ke apa pun dan pilih Terapkan, lalu coba pencarian Anda. Setelah Anda menemukan aplikasi, buka Pengguna dan grup
  2. Di tab Properti, atur Penetapan pengguna yang diperlukan ke Ya. Setelah Anda melakukan ini, hanya anggota yang tercantum di tab Pengguna dan grup yang dapat mengakses gateway Pusat Admin Windows.
  3. Di tab Pengguna dan grup, pilih Tambahkan pengguna. Anda harus menetapkan peran administrator pengguna gateway atau gateway untuk setiap pengguna/grup yang ditambahkan.

Setelah Anda menyimpan kontrol akses Microsoft Entra di panel Ubah kontrol akses, layanan gateway dimulai ulang dan Anda harus me-refresh browser Anda. Anda dapat memperbarui akses pengguna untuk aplikasi Microsoft Entra Pusat Admin Windows di portal Azure kapan saja.

Pengguna akan diminta untuk masuk menggunakan identitas Microsoft Entra mereka saat mereka mencoba mengakses URL gateway Pusat Admin Windows. Ingat bahwa pengguna juga harus menjadi anggota Pengguna lokal di server gateway untuk mengakses Pusat Admin Windows.

Menggunakan tab Azure dari pengaturan umum Pusat Admin Windows, pengguna dan administrator dapat melihat akun mereka yang saat ini masuk dan serta keluar dari akun Microsoft Entra ini.

Akses bersyarah dan autentikasi multifaktor

Salah satu manfaat menggunakan MICROSOFT Entra ID sebagai lapisan keamanan tambahan untuk mengontrol akses ke gateway Pusat Admin Windows adalah Anda dapat memanfaatkan fitur keamanan canggih ID Microsoft Entra seperti akses bersyarah dan autentikasi multifaktor.

Pelajari selengkapnya tentang mengonfigurasi akses bersyarah dengan MICROSOFT Entra ID.

Mengonfigurasikan akses menyeluruh

Akses menyeluruh saat disebarkan sebagai Layanan di Windows Server

Saat Anda menginstal Windows Admin Center di Windows 10, Anda siap untuk menggunakan akses menyeluruh. Namun, jika Anda akan menggunakan Pusat Admin Windows di Windows Server, Anda perlu menyiapkan beberapa bentuk delegasi Kerberos di lingkungan Anda sebelum Anda dapat menggunakan akses menyeluruh. Delegasi mengonfigurasi komputer gateway sebagai dipercaya untuk mendelegasikan ke simpul target.

Untuk mengonfigurasi delegasi yang dibatasi berbasis Sumber Daya di lingkungan Anda, gunakan contoh PowerShell berikut. Contoh ini memperlihatkan bagaimana Anda akan mengonfigurasi Windows Server [node01.contoso.com] untuk menerima delegasi dari gateway Pusat Admin Windows Anda [wac.contoso.com] di domain contoso.com.

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)

Untuk menghapus hubungan ini, jalankan cmdlet berikut:

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null

Kontrol akses berbasis peran (RBAC)

Kontrol akses berbasis peran memungkinkan Anda memberi pengguna akses terbatas ke komputer alih-alih menjadikannya administrator lokal penuh. Baca selengkapnya tentang kontrol akses berbasis peran dan peran yang tersedia.

Menyiapkan RBAC terdiri dari dua langkah: mengaktifkan dukungan pada komputer target dan menetapkan pengguna ke peran yang relevan.

Tip

Pastikan Anda memiliki hak istimewa administrator lokal pada komputer tempat Anda mengonfigurasi dukungan untuk kontrol akses berbasis peran.

Menerapkan kontrol akses berbasis peran ke satu komputer

Model penyebaran mesin tunggal sangat ideal untuk lingkungan sederhana hanya dengan beberapa komputer yang dapat dikelola. Mengonfigurasi komputer dengan dukungan untuk kontrol akses berbasis peran akan mengakibatkan perubahan berikut:

  • Modul PowerShell dengan fungsi yang diperlukan oleh Pusat Admin Windows akan diinstal pada drive sistem Anda, di bawah C:\Program Files\WindowsPowerShell\Modules. Semua modul akan dimulai dengan Microsoft.Sme
  • Konfigurasi Status yang Diinginkan akan menjalankan konfigurasi satu kali untuk mengonfigurasi titik akhir Administrasi Just Enough pada komputer, bernama Microsoft.Sme.PowerShell. Titik akhir ini mendefinisikan tiga peran yang digunakan oleh Pusat Admin Windows dan akan berjalan sebagai administrator lokal sementara ketika pengguna terhubung ke dalamnya.
  • Tiga grup lokal baru akan dibuat untuk mengontrol pengguna mana yang diberi akses ke peran mana:
    • Administrator Pusat Admin Windows
    • Administrator Hyper-V Pusat Admin Windows
    • Pembaca Pusat Admin Windows

Catatan

Kontrol akses berbasis peran tidak didukung untuk manajemen kluster (yaitu fitur yang bergantung pada RBAC seperti CredSSP akan gagal).

Untuk mengaktifkan dukungan kontrol akses berbasis peran pada satu komputer, ikuti langkah-langkah berikut:

  1. Buka Pusat Admin Windows dan sambungkan ke komputer yang ingin Anda konfigurasi dengan kontrol akses berbasis peran menggunakan akun dengan hak istimewa administrator lokal pada komputer target.
  2. Pada alat Gambaran Umum, pilih Pengaturan> Kontrol akses berbasis Grup.
  3. Pilih Terapkan di bagian bawah halaman untuk mengaktifkan dukungan kontrol akses berbasis peran pada komputer target. Proses aplikasi melibatkan penyalinan skrip PowerShell dan memanggil konfigurasi (menggunakan Konfigurasi Status yang Diinginkan PowerShell) pada komputer target. Mungkin perlu waktu hingga 10 menit untuk diselesaikan, dan akan mengakibatkan WinRM memulai ulang. Ini akan memutuskan sambungan sementara pengguna Windows Admin Center, PowerShell, dan WMI.
  4. Refresh halaman untuk memeriksa status kontrol akses berbasis peran. Ketika siap digunakan, status akan berubah menjadi Diterapkan.

Setelah konfigurasi diterapkan, Anda dapat menetapkan pengguna ke peran:

  1. Buka alat Pengguna dan Grup Lokal dan navigasikan ke tab Grup.
  2. Pilih grup Pembaca Pusat Admin Windows.
  3. Di panel Detail di bagian bawah, pilih Tambahkan Pengguna dan masukkan nama pengguna atau grup keamanan yang seharusnya memiliki akses baca-saja ke server melalui Pusat Admin Windows. Pengguna dan grup dapat berasal dari komputer lokal atau domain Direktori Aktif Anda.
  4. Ulangi langkah 2-3 untuk Administrator Hyper-V Pusat Admin Windows dan grup Administrator Pusat Admin Windows.

Anda juga dapat mengisi grup ini secara konsisten di seluruh domain Anda dengan mengonfigurasi Objek Kebijakan Grup dengan Pengaturan Kebijakan Grup Terbatas.

Menerapkan kontrol akses berbasis peran ke beberapa komputer

Dalam penyebaran perusahaan besar, Anda dapat menggunakan alat otomatisasi yang ada untuk mendorong fitur kontrol akses berbasis peran ke komputer Anda dengan mengunduh paket konfigurasi dari gateway Pusat Admin Windows. Paket konfigurasi dirancang untuk digunakan dengan Konfigurasi Status yang Diinginkan PowerShell, tetapi Anda dapat menyesuaikannya untuk bekerja dengan solusi otomatisasi pilihan Anda.

Mengunduh konfigurasi kontrol akses berbasis peran

Untuk mengunduh paket konfigurasi kontrol akses berbasis peran, Anda harus memiliki akses ke Pusat Admin Windows dan perintah PowerShell.

Jika Anda menjalankan gateway Pusat Admin Windows dalam mode layanan di Windows Server, gunakan perintah berikut untuk mengunduh paket konfigurasi. Pastikan untuk memperbarui alamat gateway dengan alamat yang benar untuk lingkungan Anda.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Jika Anda menjalankan gateway Pusat Admin Windows di komputer Windows 10 Anda, jalankan perintah berikut sebagai gantinya:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Saat memperluas arsip zip, Anda akan melihat struktur folder berikut:

  • InstalJeaFeatures.ps1
  • JustEnoughAdministration (direktori)
  • Modul (direktori)
    • Microsoft.SME.* (direktori)

Untuk mengonfigurasi dukungan untuk kontrol akses berbasis peran pada simpul, Anda perlu melakukan tindakan berikut:

  1. Salin modul JustEnoughAdministration dan Microsoft.SME.* ke direktori modul PowerShell pada komputer target. Biasanya, ini terletak di C:\Program Files\WindowsPowerShell\Modules.
  2. Perbarui file InstallJeaFeature.ps1 agar sesuai dengan konfigurasi yang Anda inginkan untuk titik akhir RBAC.
  3. Jalankan InstallJeaFeature.ps1 untuk mengkompilasi sumber daya DSC.
  4. Sebarkan konfigurasi DSC Anda ke semua komputer Anda untuk menerapkan konfigurasi.

Bagian berikut menjelaskan cara melakukan ini menggunakan PowerShell Remoting.

Menyebarkan pada beberapa komputer

Untuk menyebarkan konfigurasi yang Anda unduh ke beberapa komputer, Anda harus memperbarui skrip InstallJeaFeatures.ps1 untuk menyertakan grup keamanan yang sesuai untuk lingkungan Anda, menyalin file ke setiap komputer Anda, dan memanggil skrip konfigurasi. Anda dapat menggunakan alat otomatisasi pilihan Anda untuk mencapai hal ini, namun artikel ini akan berfokus pada pendekatan berbasis PowerShell murni.

Secara default, skrip konfigurasi akan membuat grup keamanan lokal pada komputer untuk mengontrol akses ke setiap peran. Ini cocok untuk grup kerja dan komputer yang bergabung dengan domain, tetapi jika Anda menyebarkan di lingkungan khusus domain, Anda mungkin ingin langsung mengaitkan grup keamanan domain dengan setiap peran. Untuk memperbarui konfigurasi untuk menggunakan grup keamanan domain, buka InstallJeaFeatures.ps1 dan buat perubahan berikut:

  1. Hapus 3 Sumber daya Grup dari file:
    1. "Grup MS-Readers-Group"
    2. "Grup MS-Hyper-V-Administrators-Group"
    3. "Grup MS-Administrators-Group"
  2. Menghapus 3 Sumber daya Grup dari properti JeaEndpoint DependsOn
    1. "[Grup]MS-Readers-Group"
    2. "[Grup]MS-Hyper-V-Administrators-Group"
    3. "[Grup]MS-Administrators-Group"
  3. Ubah nama grup di properti RoleDefinitions JeaEndpoint ke grup keamanan yang Anda inginkan. Misalnya, jika Anda memiliki grup keamanan CONTOSO\MyTrustedAdmins yang harus diberi akses ke peran Administrator Pusat Admin Windows, ubah '$env:COMPUTERNAME\Windows Admin Center Administrators' menjadi 'CONTOSO\MyTrustedAdmins'. Tiga string yang perlu Anda perbarui adalah:
    1. '$env:COMPUTERNAME\Administrator Pusat Admin Windows'
    2. '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
    3. '$env:COMPUTERNAME\Windows Admin Center Readers'

Catatan

Pastikan untuk menggunakan grup keamanan unik untuk setiap peran. Konfigurasi akan gagal jika grup keamanan yang sama ditetapkan ke beberapa peran.

Selanjutnya, di akhir file InstallJeaFeatures.ps1 , tambahkan baris PowerShell berikut ke bagian bawah skrip:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

Terakhir, Anda dapat menyalin folder yang berisi modul, sumber daya DSC, dan konfigurasi ke setiap simpul target dan menjalankan skrip InstallJeaFeature.ps1 . Untuk melakukan ini dari jarak jauh dari stasiun kerja admin, Anda bisa menjalankan perintah berikut:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}