Configurare le autorizzazioni e il controllo di accesso utente
Si applica a: Windows Admin Center, Anteprima Windows Admin Center
Se non lo si ha già fatto, acquisire familiarità con le opzioni di controllo di accesso utente in Windows Admin Center.
Nota
L'accesso basato sui gruppi in Windows Admin Center non è supportato negli ambienti di gruppo di lavoro o nei domini non attendibili.
Definizioni dei ruoli di accesso al gateway
Per l'accesso al servizio gateway di Windows Admin Center sono disponibili due ruoli:
Gli utenti del gateway possono connettersi al servizio gateway di Windows Admin Center per gestire i server attraverso tale gateway, ma non possono modificare le autorizzazioni di accesso e il meccanismo usato per l'autenticazione al gateway.
Gli amministratori del gateway possono configurare gli utenti autorizzati ad accedere al servizio gateway e la relativa modalità di autenticazione. Solo gli amministratori del gateway possono visualizzare e configurare le impostazioni di accesso in Windows Admin Center. Gli amministratori locali del computer gateway sono sempre amministratori del servizio gateway di Windows Admin Center.
Esiste anche un ruolo aggiuntivo specifico per la gestione di CredSSP:
Gli amministratori CredSSP di Windows Admin Center vengono registrati con l'endpoint CredSSP di Windows Admin Center e dispongono delle autorizzazioni per eseguire operazioni CredSSP predefinite. Questo gruppo è particolarmente utile per le installazioni di Windows Admin Center in modalità desktop, in cui solo l'account utente che ha installato Windows Admin Center ha queste autorizzazioni per impostazione predefinita.
Nota
L'accesso al gateway non implica l'accesso ai server gestiti visibili dal gateway. Per gestire un server di destinazione, l'utente che si connette deve usare credenziali con accesso amministrativo al server di destinazione (le relative credenziali pass-through di Windows o quelle fornite nella sessione di Windows Admin Center tramite il comando Account di gestione). Questo perché la maggior parte degli strumenti di Windows Admin Center richiede autorizzazioni amministrative da usare.
Active Directory o gruppi di computer locali
Per impostazione predefinita, per controllare l'accesso al gateway vengono usati i gruppi di computer locali o Active Directory. Se disponi di un dominio di Active Directory, puoi gestire l'accesso di utenti e amministratori del gateway dall'interfaccia di Windows Admin Center.
Nella scheda Utenti, è possibile controllare gli utenti autorizzati ad accedere a Windows Admin Center come utenti del gateway. Per impostazione predefinita, e se non specifichi un gruppo di sicurezza, possono eseguire l'accesso tutti gli utenti autorizzati ad accedere all'URL del gateway. Dopo che hai aggiunto uno o più gruppi di sicurezza all'elenco degli utenti, l'accesso sarà limitato ai membri di tali gruppi.
Se non si utilizza un dominio di Active Directory, l'accesso viene controllato dai gruppi locali Utenti e Amministratori nel computer gateway di Windows Admin Center.
Autenticazione tramite smart card
Puoi imporre l'autenticazione tramite smart card specificando un gruppo obbligatorio aggiuntivo per i gruppi di sicurezza basati su smart card. Dopo che hai aggiunto un gruppo di sicurezza basato su smart card, un utente potrà accedere al servizio di Windows Admin Center solo se è membro di un gruppo di sicurezza E di un gruppo basato su smart card incluso nell'elenco degli utenti.
Nella scheda Amministratori, è possibile controllare gli utenti autorizzati ad accedere a Windows Admin Center come amministratori del gateway. Il gruppo Administrators locale nel computer disporrà sempre dell'accesso amministratore completo e non potrà essere rimosso dall'elenco. Aggiungendo gruppi di sicurezza, assegni ai membri di tali gruppi i privilegi necessari per modificare le impostazioni del gateway di Windows Admin Center. L'elenco degli amministratori supporta l'autenticazione tramite smart card in modo analogo all'elenco degli utenti, ovvero con la condizione AND per un gruppo di sicurezza e un gruppo basato su smart card.
Microsoft Entra ID
Se, nell'organizzazione, viene usato Microsoft Entra ID, è possibile introdurre un livello di sicurezza aggiuntivo per Windows Admin Center richiedendo l'autenticazione di Microsoft Entra per l'accesso al gateway. Per accedere a Windows Admin Center, l'account Windows dell'utente deve anche avere accesso al server gateway, sebbene venga usata l'autenticazione di Microsoft Entra. Quando viene usato Microsoft Entra ID, le autorizzazioni di accesso di utenti e amministratori di Windows Admin Center vengono gestite dal portale di Azure anziché dall'interfaccia utente di Windows Admin Center.
Accesso a Windows Admin Center con l'autenticazione di Microsoft Entra abilitato
A seconda del browser usato, alcuni utenti che accedono a Windows Admin Center con l'autenticazione di Microsoft Entra configurata riceveranno un messaggio aggiuntivo dal browser in cui verrà chiesto di specificare le credenziali dell'account Windows per il computer in cui è installato Windows Admin Center. Dopo aver immesso queste informazioni, gli utenti riceveranno una richiesta di autenticazione aggiuntiva di Microsoft Entra, per cui dovranno specificare le credenziali di un account Azure autorizzato ad accedere all'applicazione di Microsoft Entra in Azure.
Nota
Gli utenti che dispongono di un account Windows con diritti di amministratore nel computer gateway non riceveranno la richiesta di autenticazione di Microsoft Entra.
Configurazione dell'autenticazione di Microsoft Entra per Windows Admin Center Preview
In Windows Admin Center, andare su Impostazioni>Accesso e usare l'interruttore per abilitare "Usa Microsoft Entra ID per aggiungere un livello di sicurezza al gateway". Se non hai registrato il gateway in Azure, ti verrà indicato come eseguire l'operazione in questo momento.
Per impostazione predefinita, tutti i membri del tenant di Microsoft Entra dispongono dell'accesso utente al servizio gateway di Windows Admin Center. Solo gli amministratori locali del computer gateway dispongono dell'accesso amministratore a tale servizio. Si noti che i diritti degli amministratori locali nel computer gateway non possono essere limitati. Gli amministratori locali possono eseguire qualsiasi operazione indipendentemente dall'uso di Microsoft Entra ID per l'autenticazione.
Se si desidera assegnare a utenti o gruppi specifici di Microsoft Entra l'accesso come utente o amministratore del servizio gateway di Windows Admin Center, eseguire le operazioni seguenti:
- Andare all'applicazione Windows Admin Center Microsoft Entra nel portale di Azure usando il collegamento ipertestuale visualizzato in Impostazioni di accesso. Si noti che questo collegamento è disponibile solo quando è abilitata l'autenticazione di Microsoft Entra.
- Inoltre, è possibile trovare l'applicazione nel portale di Azure selezionando Microsoft Entra ID>Applicazioni aziendali>Tutte le applicazioni e cercando WindowsAdminCenter (l'app Microsoft Entra sarà nominata WindowsAdminCenter-<nome gateway>). Se non viene restituito alcun risultato, verificare che Mostra sia impostato su Tutte le applicazioni e che Stato applicazione sia impostato su Qualsiasi, quindi selezionare Applica e ripetere la ricerca. Dopo aver trovato l'applicazione, vai a Utenti e gruppi.
- Nella scheda Proprietà imposta Assegnazione di utenti obbligatoria su Sì. Al termine di questa operazione, solo i membri elencati nella scheda Utenti e gruppi saranno in grado di accedere al gateway di Windows Admin Center.
- Nella scheda Utenti e gruppi seleziona Aggiungi utente. Devi assegnare un ruolo di utente o amministratore del gateway per ogni utente o gruppo aggiunto.
Una volta abilitata l'autenticazione di Microsoft Entra, il servizio gateway viene riavviato ed è necessario aggiornare il browser. Puoi aggiornare l'accesso utente per l'applicazione SME di Microsoft Entra nel portale di Azure in qualsiasi momento.
Durante il tentativo di accesso all'URL del gateway di Windows Admin Center, gli utenti dovranno eseguire l'accesso con la propria identità di Microsoft Entra. Tieni presente che, per accedere a Windows Admin Center, gli utenti devono essere anche membri del gruppo Utenti locale nel server gateway.
Gli utenti e gli amministratori possono visualizzare il proprio account connesso e anche disconnettersi dall'account Microsoft Entra usando la scheda Account nelle impostazioni di Windows Admin Center.
Configurazione dell'autenticazione di Microsoft Entra per Windows Admin Center
Per configurare l'autenticazione di Microsoft Entra, è necessario prima registrare il gateway con Azure. Questa operazione deve essere eseguita una sola volta per il gateway di Windows Admin Center. Questo passaggio consente di creare un'applicazione di Microsoft Entra da cui è possibile gestire l'accesso per gli utenti e gli amministratori del gateway.
Se si desidera assegnare a utenti o gruppi specifici di Microsoft Entra l'accesso come utente o amministratore del servizio gateway di Windows Admin Center, eseguire le operazioni seguenti:
- Andare all'applicazione SME di Microsoft Entra nel portale di Azure.
- Quando si seleziona Modifica controllo di accesso e poi Microsoft Entra ID dalle impostazioni di accesso di Windows Admin Center, è possibile usare il collegamento ipertestuale visualizzato nell'interfaccia utente per accedere all'applicazione di Microsoft Entra nel portale di Azure. Questo collegamento ipertestuale è disponibile anche nelle impostazioni di accesso dopo aver selezionato Salva e Microsoft Entra ID come provider di identità del controllo di accesso.
- Inoltre, è possibile trovare l'applicazione nel portale di Azure selezionando Microsoft Entra ID>Applicazioni aziendali>Tutte le applicazioni e cercando SME (l'app Microsoft Entra viene nominata gateway<-SME>).Microsoft Entra IDApplicazioni aziendaliTutte le applicazioni e cercando SME (l'app Microsoft Entra sarà denominata gateway--SME). Se non viene restituito alcun risultato, verificare che Mostra sia impostato su Tutte le applicazioni e che Stato applicazione sia impostato su Qualsiasi, quindi selezionare Applica e ripetere la ricerca. Dopo aver trovato l'applicazione, vai a Utenti e gruppi.
- Nella scheda Proprietà imposta Assegnazione di utenti obbligatoria su Sì. Al termine di questa operazione, solo i membri elencati nella scheda Utenti e gruppi saranno in grado di accedere al gateway di Windows Admin Center.
- Nella scheda Utenti e gruppi seleziona Aggiungi utente. Devi assegnare un ruolo di utente o amministratore del gateway per ogni utente o gruppo aggiunto.
Dopo aver salvato il controllo di accesso di Microsoft Entra nel riquadro Modifica controllo di accesso, il servizio gateway viene riavviato e devi aggiornare il browser. È possibile aggiornare l'accesso utente per l'applicazione Windows Admin Center Microsoft Entra nel portale di Azure in qualsiasi momento.
Durante il tentativo di accesso all'URL del gateway di Windows Admin Center, gli utenti dovranno eseguire l'accesso con la propria identità di Microsoft Entra. Tieni presente che, per accedere a Windows Admin Center, gli utenti devono essere anche membri del gruppo Utenti locale nel server gateway.
Usando la scheda Azure nelle impostazioni generali di Windows Admin Center, gli utenti e gli amministratori possono visualizzare il proprio account connesso e anche disconnettersi da questo account Microsoft Entra.
Accesso condizionale e autenticazione a più fattori
Uno dei vantaggi offerti dall'uso di Microsoft Entra ID come livello di sicurezza aggiuntivo per controllare l'accesso al gateway di Windows Admin Center consiste nella possibilità di sfruttare le potenti funzionalità di sicurezza di Microsoft Entra ID, ad esempio l'accesso condizionale e l'autenticazione a più fattori.
Maggiori informazioni sulla configurazione dell'accesso condizionale con Microsoft Entra ID.
Configurare Single Sign-On
Accesso Single Sign-On distribuito come servizio in Windows Server
Quando installi Windows Admin Center in Windows 10, l'applicazione è pronta per l'uso dell'accesso Single Sign-On. Se tuttavia intendi usare Windows Admin Center in Windows Server, devi configurare una qualche forma di delega Kerberos nel tuo ambiente prima di poter usare l'accesso Single Sign-On. La delega configura il computer gateway come attendibile per la delega al nodo di destinazione.
Per configurare la delega vincolata basata sulle risorse nel tuo ambiente, usa l'esempio di PowerShell seguente. Questo esempio mostra come configurare un'istanza di Windows Server [node01.contoso.com] in modo da accettare la delega dal gateway Windows Admin Center [wac.contoso.com] nel dominio contoso.com.
Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)
Per rimuovere questa relazione, esegui il cmdlet seguente:
Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null
Controllo degli accessi in base al ruolo
Il controllo degli accessi in base al ruolo consente di fornire agli utenti l'accesso limitato al computer invece di concedere loro i privilegi completi di amministratore locale. Scopri di più sul controllo degli accessi in base al ruolo e sui ruoli disponibili.
La configurazione del controllo degli accessi in base al ruolo consiste in due passaggi: abilitazione del supporto in uno o più computer di destinazione e assegnazione di utenti ai ruoli pertinenti.
Suggerimento
Verifica di disporre dei privilegi di amministratore locale sui computer in cui stai configurando il supporto per il controllo degli accessi in base al ruolo.
Applicare il controllo degli accessi in base al ruolo a un singolo computer
Il modello di distribuzione su singolo computer è ideale per gli ambienti semplici con solo pochi computer da gestire. La configurazione di un computer con il supporto per il controllo degli accessi in base al ruolo ha come risultato le modifiche seguenti:
- Nell'unità di sistema, in
C:\Program Files\WindowsPowerShell\Modules, verranno installati i moduli di PowerShell con le funzioni richieste da Windows Admin Center. Tutti i moduli inizieranno con Microsoft.Sme - Desired State Configuration eseguirà una singola configurazione per impostare un endpoint JEA (Just Enough Administration), denominato Microsoft.Sme.PowerShell, nel computer. Questo endpoint definisce i tre ruoli usati da Windows Admin Center e verrà eseguito come amministratore locale temporaneo al momento della connessione da parte di un utente.
- Verranno creati tre nuovi gruppi locali per controllare gli utenti a cui viene assegnato l'accesso a determinati ruoli:
- Windows Admin Center Administrators
- Windows Admin Center Hyper-V Administrators
- Windows Admin Center Readers
Nota
Il controllo degli accessi in base al ruolo non è supportato per la gestione del cluster (ad esempio, le funzionalità dipendenti dal controllo degli accessi in base al ruolo, come CredSSP, avranno esito negativo).
Per abilitare il supporto per il controllo degli accessi in base al ruolo in un singolo computer, segui questa procedura:
- Apri Windows Admin Center ed esegui la connessione al computer che vuoi configurare con il controllo degli accessi in base al ruolo usando un account con privilegi di amministratore locale sul computer di destinazione.
- Nello strumento Panoramica, selezionare Impostazioni>Controllo degli accessi in base al ruolo.
- Selezionare Applica nella parte inferiore della pagina per abilitare il supporto per il controllo degli accessi in base al ruolo nel computer di destinazione. Con il processo di applicazione vengono copiati gli script di PowerShell e viene richiamata una configurazione (tramite Desired State Configuration di PowerShell) nel computer di destinazione. Il completamento del processo può richiedere al massimo 10 minuti e ha come risultato il riavvio di WinRM. Per effetto di questa operazione, gli utenti di Windows Admin Center, PowerShell e WMI verranno temporaneamente disconnessi.
- Aggiorna la pagina per verificare lo stato del controllo degli accessi in base al ruolo. Quando la configurazione è pronta per l'uso, lo stato diventerà Applicato.
Una volta applicata la configurazione, puoi assegnare gli utenti ai ruoli:
- Apri lo strumento Utenti e gruppi locali e passa alla scheda Gruppi.
- Seleziona il gruppo Windows Admin Center Readers.
- Nel riquadro Dettagli visualizzato nella parte inferiore della schermata, selezionare Aggiungi utente e immettere il nome di un utente o di un gruppo di sicurezza che deve avere accesso in sola lettura al server tramite Windows Admin Center. Gli utenti e i gruppi possono provenire dal computer locale o dal dominio di Active Directory.
- Ripeti i passaggi 2-3 per i gruppi Windows Admin Center Hyper-V Administrators e Windows Admin Center Administrators.
Puoi anche impostare questi gruppi in modo coerente nel dominio configurando un oggetto Criteri di gruppo con l'impostazione Gruppi con restrizioni.
Applicare il controllo degli accessi in base al ruolo a più computer
In una distribuzione in un'azienda di grandi dimensioni, puoi usare gli strumenti di automazione esistenti per eseguire il push della funzionalità di controllo degli accessi in base al ruolo nei computer scaricando il pacchetto di configurazione dal gateway di Windows Admin Center. Il pacchetto di configurazione è stato progettato per Desired State Configuration di PowerShell, ma puoi adattarlo per l'uso con la soluzione di automazione preferita.
Scaricare la configurazione del controllo degli accessi in base al ruolo
Per scaricare il pacchetto di configurazione del controllo degli accessi in base al ruolo, devi avere accesso a Windows Admin Center e a un prompt di PowerShell.
Se esegui il gateway di Windows Admin Center in modalità servizio in Windows Server, usa il comando seguente per scaricare il pacchetto di configurazione. Verifica di aggiornare l'indirizzo del gateway con quello corretto per il tuo ambiente.
$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"
Se esegui il gateway di Windows Admin Center nel computer Windows 10, esegui invece il comando seguente:
$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"
Quando espandi l'archivio con estensione zip, viene visualizzata la struttura di cartelle seguente:
- InstallJeaFeatures.ps1
- JustEnoughAdministration (directory)
- Moduli (directory)
- Microsoft.SME.* (directory)
Per configurare il supporto per il controllo degli accessi in base al ruolo su un nodo, devi eseguire queste operazioni:
- Copiare i moduli JustEnoughAdministration e Microsoft.SME.* nella directory dei moduli di PowerShell sul computer di destinazione. La directory si trova in genere nel percorso
C:\Program Files\WindowsPowerShell\Modules. - Aggiorna il file InstallJeaFeature.ps1 in modo che corrisponda alla configurazione desiderata per l'endpoint del controllo degli accessi in base al ruolo.
- Eseguire
InstallJeaFeature.ps1per compilare la risorsa DSC. - Distribuisci la configurazione di DSC in tutti i computer per applicare la configurazione.
La sezione seguente illustra come eseguire questa operazione usando la comunicazione remota di PowerShell.
Distribuire la configurazione in più computer
Per distribuire la configurazione scaricata in più computer, devi aggiornare lo script InstallJeaFeatures.ps1 in modo da includere i gruppi di sicurezza appropriati per il tuo ambiente, copiare i file in ogni computer e richiamare gli script di configurazione. Per ottenere questo risultato, puoi usare gli strumenti di automazione che preferisci, ma questo articolo illustrerà in particolare un approccio basato esclusivamente su PowerShell.
Per impostazione predefinita, lo script di configurazione creerà gruppi di sicurezza locali nel computer per controllare l'accesso a ogni ruolo. Questo approccio è adatto ai computer aggiunti a gruppi di lavoro e a domini, ma se esegui la distribuzione in un ambiente di solo dominio, può essere opportuno associare direttamente un gruppo di sicurezza di dominio a ogni ruolo. Per aggiornare la configurazione per l'uso dei gruppi di sicurezza di dominio, apri InstallJeaFeatures.ps1 ed esegui le modifiche seguenti:
- Rimuovi le tre risorse Group dal file:
- "Group MS-Readers-Group"
- "Group MS-Hyper-V-Administrators-Group"
- "Group MS-Administrators-Group"
- Rimuovi le tre risorse Group dalla proprietà DependsOn di JeaEndpoint
- "[Group]MS-Readers-Group"
- "[Group]MS-Hyper-V-Administrators-Group"
- "[Group]MS-Administrators-Group"
- Modifica i nomi dei gruppi nella proprietà RoleDefinitions di JeaEndpoint specificando i gruppi di sicurezza desiderati. Se, ad esempio, hai un gruppo di sicurezza CONTOSO\MyTrustedAdmins a cui deve essere assegnato l'accesso al ruolo Windows Admin Center Administrators, modifica
'$env:COMPUTERNAME\Windows Admin Center Administrators'in'CONTOSO\MyTrustedAdmins'. Le tre stringhe da aggiornare sono le seguenti:- '$env:COMPUTERNAME\Windows Admin Center Administrators'
- '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
- '$env:COMPUTERNAME\Windows Admin Center Readers'
Nota
Verifica di usare gruppi di sicurezza univoci per ogni ruolo. Se lo stesso gruppo di sicurezza viene assegnato a più ruoli, la configurazione avrà esito negativo.
Alla fine del file InstallJeaFeatures.ps1 aggiungi le righe di PowerShell seguenti in fondo allo script:
Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
AllNodes = @()
ModuleBasePath = @{
Source = "$PSScriptRoot\Modules"
Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
}
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force
Puoi infine copiare la cartella che contiene i moduli, la risorsa DSC e la configurazione in ogni nodo di destinazione ed eseguire lo script InstallJeaFeature.ps1. Per effettuare questa operazione in modalità remota dalla workstation di amministrazione, puoi eseguire questi comandi:
$ComputersToConfigure = 'MyServer01', 'MyServer02'
$ComputersToConfigure | ForEach-Object {
$session = New-PSSession -ComputerName $_ -ErrorAction Stop
Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
Disconnect-PSSession $session
}