Opsi akses pengguna dengan Pusat Admin Windows
Jika disebarkan di Windows Server, Windows Admin Center menyediakan titik pengelolaan terpusat untuk lingkungan server Anda. Dengan mengontrol akses ke Windows Admin Center, Anda dapat meningkatkan keamanan lanskap pengelolaan Anda.
Catatan
Pusat Admin Windows sebagai aplikasi tergantung pada sistem operasi dan infrastruktur untuk keamanan. Pusat Admin Windows tidak menerapkan, memantau, atau menerapkan batas keamanan.
Peran akses gateway
Pusat Admin Windows menentukan dua peran untuk akses ke layanan gateway: pengguna gateway dan administrator gateway.
Catatan
Akses ke gateway tidak menyiratkan akses ke server target yang terlihat oleh gateway. Untuk mengelola server target, pengguna harus terhubung dengan kredensial yang memiliki hak istimewa administratif di server target.
Pengguna gateway dapat tersambung ke layanan gateway Pusat Admin Windows untuk mengelola server melalui gateway tersebut, tetapi mereka tidak dapat mengubah izin akses atau mekanisme autentikasi yang digunakan untuk mengautentikasi ke gateway.
Administrator gateway dapat mengonfigurasi siapa yang mendapatkan akses serta bagaimana pengguna akan mengautentikasi ke gateway.
Catatan
Jika tidak ada grup akses yang ditentukan di Pusat Admin Windows, peran akan mencerminkan akses akun Windows ke server gateway.
Mengonfigurasi akses pengguna dan administrator gateway di Pusat Admin Windows.
Opsi Penyedia Identitas
Administrator gateway dapat memilih salah satu hal berikut ini:
- Direktori Aktif/grup komputer lokal
- ID Microsoft Entra sebagai penyedia identitas untuk Pusat Admin Windows
Autentikasi kartu pintar
Saat menggunakan Direktori Aktif atau grup komputer lokal sebagai penyedia identitas, Anda dapat menerapkan autentikasi kartu pintar dengan mengharuskan pengguna yang mengakses Pusat Admin Windows untuk menjadi anggota grup keamanan berbasis kartu pintar tambahan. Mengonfigurasi autentikasi kartu pintar di Pusat Admin Windows.
Akses bersyarah dan autentikasi multifaktor
Dengan memerlukan autentikasi Microsoft Entra untuk gateway, Anda dapat memanfaatkan fitur keamanan tambahan seperti akses bersyarat dan autentikasi multifaktor yang disediakan oleh ID Microsoft Entra. Pelajari selengkapnya tentang mengonfigurasi akses bersyarah dengan MICROSOFT Entra ID.
Kontrol Akses Berbasis Peran
Secara default, pengguna memerlukan hak istimewa administrator lokal penuh pada komputer yang ingin mereka kelola menggunakan Pusat Admin Windows. Ini memungkinkan mereka untuk terhubung ke komputer dari jarak jauh dan memastikan mereka memiliki izin yang memadai untuk melihat dan mengubah pengaturan sistem. Namun, beberapa pengguna mungkin tidak memerlukan akses tak terbatas ke komputer untuk melakukan pekerjaan mereka. Anda dapat menggunakan kontrol akses berbasis peran di Pusat Admin Windows untuk memberi pengguna tersebut akses terbatas ke komputer alih-alih menjadikan mereka administrator lokal penuh.
Kontrol akses berbasis peran di Pusat Admin Windows berfungsi dengan mengonfigurasi setiap server terkelola dengan titik akhir Administrasi PowerShell Just Enough. Titik akhir ini mendefinisikan peran, termasuk aspek sistem apa yang diizinkan untuk dikelola oleh setiap peran dan pengguna mana yang ditetapkan ke peran tersebut. Saat pengguna tersambung ke titik akhir terbatas, akun administrator lokal sementara dibuat untuk mengelola sistem atas nama mereka. Ini memastikan bahwa bahkan alat yang tidak memiliki model delegasi mereka sendiri masih dapat dikelola dengan Pusat Admin Windows. Akun sementara secara otomatis dihapus ketika pengguna berhenti mengelola komputer melalui Pusat Admin Windows.
Saat pengguna tersambung ke komputer yang dikonfigurasi dengan kontrol akses berbasis peran, Pusat Admin Windows akan terlebih dahulu memeriksa apakah mereka adalah administrator lokal. Jika iya, mereka akan menerima pengalaman Penuh Pusat Admin Windows tanpa batasan. Jika tidak, Pusat Admin Windows akan memeriksa apakah pengguna termasuk dalam salah satu peran yang telah ditentukan sebelumnya. Pengguna dikatakan memiliki akses terbatas jika mereka termasuk dalam peran Pusat Admin Windows tetapi bukan administrator penuh. Akhirnya, jika pengguna bukan administrator atau anggota peran, mereka akan ditolak akses untuk mengelola komputer.
Kontrol akses berbasis peran tersedia untuk solusi Manajer Server dan Kluster Failover.
Peran yang tersedia
Pusat Admin Windows mendukung peran pengguna akhir berikut:
Nama peran | Penggunaan yang dimaksudkan |
---|---|
Administrator | Memungkinkan pengguna menggunakan sebagian besar fitur di Pusat Admin Windows tanpa memberi mereka akses ke Desktop Jauh atau PowerShell. Peran ini baik untuk skenario "jump server" di mana Anda ingin membatasi titik masuk manajemen pada komputer. |
Pembaca | Memungkinkan pengguna untuk melihat informasi dan pengaturan pada server, tetapi tidak membuat perubahan. |
Administrator Hyper-V | Memungkinkan pengguna untuk membuat perubahan pada komputer dan sakelar virtual Hyper-V, tetapi membatasi fitur lain untuk akses baca-saja. |
Ekstensi bawaan berikut ini telah mengurangi fungsionalitas saat pengguna terhubung dengan akses terbatas:
- File (tidak ada unggahan atau unduhan file)
- PowerShell (tidak tersedia)
- Desktop Jauh (tidak tersedia)
- Replika Penyimpanan (tidak tersedia)
Saat ini, Anda tidak dapat membuat peran kustom untuk organisasi Anda, tetapi Anda dapat memilih pengguna mana yang diberikan akses ke setiap peran.
Mempersiapkan kontrol akses berbasis peran
Untuk memanfaatkan akun lokal sementara, setiap komputer target perlu dikonfigurasi untuk mendukung kontrol akses berbasis peran di Pusat Admin Windows. Proses konfigurasi melibatkan penginstalan skrip PowerShell dan titik akhir Administrasi Just Enough pada komputer menggunakan Konfigurasi Status yang Diinginkan.
Jika Anda hanya memiliki beberapa komputer, Anda dapat dengan mudah menerapkan konfigurasi satu per satu ke setiap komputer menggunakan halaman kontrol akses berbasis peran di Pusat Admin Windows. Saat Anda menyiapkan kontrol akses berbasis peran pada komputer individual, grup keamanan lokal dibuat untuk mengontrol akses ke setiap peran. Anda dapat memberikan akses ke pengguna atau grup keamanan lainnya dengan menambahkannya sebagai anggota grup keamanan peran.
Untuk penyebaran di seluruh perusahaan di beberapa komputer, Anda dapat mengunduh skrip konfigurasi dari gateway dan mendistribusikannya ke komputer Anda menggunakan server penarikan Konfigurasi Status yang Diinginkan, Azure Automation, atau alat manajemen pilihan Anda.