共用方式為

設定使用者存取控制與權限

  • 適用於: ✅ Windows Admin Center, ✅ Windows Admin Center Preview

如果您還沒有這麼做,請熟悉 Windows Admin Center 中的使用者存取控制選項。

注意

在工作群組環境中或不受信任的網域之間,不支援使用 Windows Admin Center 中的群組型存取。

閘道存取角色定義

有兩個角色可存取 Windows Admin Center 閘道服務:

網關使用者可以 連線到 Windows Admin Center 閘道服務,以透過該閘道管理伺服器,但他們無法變更存取權,也無法變更用來向閘道驗證的驗證機制。

網關管理員可以 設定誰取得存取權,以及使用者如何向閘道進行驗證。 只有閘道系統管理員可以在 Windows Admin Center 中檢視和設定存取設定。 閘道機器上的本機系統管理員一律是 Windows Admin Center 閘道服務的系統管理員。

另外,CredSSP 管理還有一個額外的角色:

Windows Admin Center CredSSP 系統管理員會向 Windows Admin Center CredSSP 端點註冊,並具有執行預先定義 CredSSP 作業的許可權。 這個群組對於以桌面模式安裝 Windows Admin Center 特別有用,因為預設情況下,只有安裝 Windows Admin Center 的使用者帳戶會被授予這些權限。

注意

可存取閘道並不表示可以存取閘道可見的受管理伺服器。 若要管理目標伺服器,連線用戶必須使用具有管理權限的認證(透過其傳遞的 Windows 認證或在 Windows Admin Center 工作階段中使用 管理身分 動作提供的認證),才能存取該目標伺服器。 這是因為大部分的 Windows Admin Center 工具需要管理權限才能使用。

Active Directory 或本機機器群組

根據預設,Active Directory 或本機機器群組會用來控制閘道存取。 如果您有 Active Directory 網域,即可從 Windows Admin Center 介面中管理閘道使用者和系統管理員存取權。

在 [ 使用者] 索引標籤上,您可以控制誰可以以閘道使用者身分存取 Windows Admin Center。 根據預設,如果您未指定安全性群組,則任何可存取閘道 URL 的使用者都有存取權。 一旦您將一個或多個安全性群組新增至使用者清單,將僅有這些群組的成員具有存取權。

如果您沒有在環境中使用 Active Directory 網域,則存取權是由 Windows Admin Center 閘道電腦上的 使用者系統管理員 本地組所控制。

智慧卡驗證

您可以為智慧卡型安全組指定額外的必要群組,以強制執行智慧卡驗證。 當您新增智慧卡安全性群組之後,只有當使用者屬於任何安全性群組「和」包含在使用者清單中的智慧卡群組時,才能存取 Windows Admin Center 服務。

在 [ 系統管理員] 索引 標籤上,您可以控制誰可以以閘道系統管理員身分存取 Windows Admin Center。 電腦上的本機系統管理員群組一律具有完整的系統管理員存取權,而且無法從清單中移除。 藉由新增安全性群組,您可以將變更 Windows Admin Center 閘道設定的權限提供給這些群組的成員。 系統管理員清單支援智慧卡驗證,且方式與使用者清單相同:使用適用於安全性群組和智慧卡群組的 AND 條件。

Microsoft Entra 識別碼

如果您的組織使用 Microsoft Entra ID,您可以選擇藉由要求Microsoft Entra 驗證存取閘道,將 額外的 安全性層級新增至 Windows Admin Center。 若要存取 Windows Admin Center,使用者的 Windows 帳戶 也必須能夠存取閘道伺服器(即使使用Microsoft Entra 驗證也一樣)。 當您使用 Microsoft Entra ID 時,您會從 Azure 入口網站,而不是從 Windows Admin Center UI 管理 Windows Admin Center 使用者和管理員存取權限。

在啟用 Microsoft Entra 驗證時存取 Windows Admin Center

視所使用的瀏覽器而定,某些存取 Windows Admin Center 且已設定Microsoft Entra 驗證的使用者,將會 從瀏覽器 收到額外的提示,讓他們需要為安裝 Windows Admin Center 的電腦提供其 Windows 帳戶認證。 輸入該項資訊之後,使用者會收到額外的 Microsoft Entra 驗證提示,要求提供已在 Azure 的 Microsoft Entra 應用程式被授予存取權的 Azure 憑證。

注意

zh-TW: 具有閘道電腦上 Windows 帳戶 系統管理員許可權 的使用者將不會被要求進行 Microsoft Entra 驗證。

為 Windows Admin Center Preview 配置 Microsoft Entra 驗證

移至 [Windows Admin Center 設定>存取 ] 並使用切換開關來開啟 [使用 Microsoft Entra ID 將安全性層級新增至網關]。 如果您尚未向 Azure 註冊閘道,系統會引導您在此時執行此動作。

Microsoft Entra 租用戶的所有成員預設情況下都有 Windows Admin Center 閘道服務的使用者存取權。 僅閘道機器上的本機系統管理員具有 Windows Admin Center 閘道的系統管理員存取權。 請注意,閘道機器上的本機管理員權限不能受限 - 不管 Microsoft Entra ID 是否用於驗證,本機管理員都可做任何動作。

如果您想給特定的 Microsoft Entra 使用者或群組閘道使用者或閘道管理員對 Windows Admin Center 服務的存取權,必須執行下列動作:

  1. 使用存取設定提供的超連結,前往 Azure 入口網站裡的 Windows Admin Center Microsoft Entra 應用程式。 請注意,只有在啟用 Microsoft Entra 驗證時才能使用這個超連結。
    • 您也可以在 Azure 入口網站中尋找您的應用程式,方法是 移至 Microsoft Entra ID>Enterprise 應用程式>所有應用程式和 搜尋 WindowsAdminCenter (Microsoft Entra 應用程式將命名為 WindowsAdminCenter-gateway< 名稱>)。 如果您沒有取得任何搜尋結果,請確定 [顯示 ] 已設定為 所有應用程式應用程式狀態 會設定為 [任何 ],然後選取 [套用],然後嘗試您的搜尋。 找到應用程式之後,請移至 [使用者和群組]
  2. 在 [屬性] 索引標籤中,將 [需要使用者指派] 設定為 [是]。 完成此動作之後,將只有 [使用者和群組] 索引標籤中列出的成員,才能夠存取 Windows Admin Center 閘道。
  3. 在 [使用者和群組] 索引標籤中,選取 [新增使用者]。 您必須為每個新增的使用者/群組指派閘道使用者或閘道系統管理員角色。

一旦您開啟 Microsoft Entra 驗證,閘道器服務會重新啟動,而您必須重新整理瀏覽器。 您可以隨時在 Azure 入口網站更新 SME Microsoft Entra 應用程式的使用者存取權。

當使用者企圖存取 Windows Admin Center 閘道 URL 時,系統會提示他們使用自己的 Microsoft Entra 身分登入。 請記住,使用者也必須是閘道伺服器上的本機使用者成員,才能存取 Windows Admin Center。

用戶和系統管理員可以從 Windows Admin Center [設定] 的 [帳戶] 索引卷標,檢視他們目前登入的帳戶,以及註銷此Microsoft Entra 帳戶。

針對 Windows Admin Center 設定 Microsoft Entra 驗證

若要設定Microsoft Entra 驗證,您必須先向 Azure 註冊閘道 (您只需要針對 Windows Admin Center 閘道執行此動作一次)。 這一步會建立 Microsoft Entra 應用程式,您可以從中管理閘道使用者和閘道管理員存取權。

如果您想給特定的 Microsoft Entra 使用者或群組閘道使用者或閘道管理員對 Windows Admin Center 服務的存取權,必須執行下列動作:

  1. 在 Azure 門戶前往您的 Microsoft SME Entra 應用程式。
    • 當您選取 [變更存取控制 ],然後從 Windows Admin Center 存取設定中選取 [Microsoft Entra 標識符 ] 時,您可以使用 UI 中提供的超連結,在 Azure 入口網站中存取您的 Microsoft Entra 應用程式。 在您選取儲存並選取 Microsoft Entra 當作存取控制身分業者後,存取設定也會有這個超連結。
    • 您也可以在 Azure 入口網站中尋找您的應用程式,方法是移至 Microsoft Entra ID>Enterprise 應用程式>所有應用程式和搜尋 SME(Microsoft Entra 應用程式將會命名為 SME-gateway<>)。 如果您沒有取得任何搜尋結果,請確定 [顯示 ] 已設定為 所有應用程式應用程式狀態 會設定為 [任何 ],然後選取 [套用],然後嘗試您的搜尋。 找到應用程式之後,請移至 [使用者和群組]
  2. 在 [屬性] 索引標籤中,將 [需要使用者指派] 設定為 [是]。 完成此動作之後,將只有 [使用者和群組] 索引標籤中列出的成員,才能夠存取 Windows Admin Center 閘道。
  3. 在 [使用者和群組] 索引標籤中,選取 [新增使用者]。 您必須為每個新增的使用者/群組指派閘道使用者或閘道系統管理員角色。

在 [ 變更存取控制 ] 窗格中儲存Microsoft Entra 訪問控制之後,閘道服務就會重新啟動,您必須重新整理瀏覽器。 您可以隨時在 Azure 入口網站中更新 Windows Admin Center Microsoft Entra 應用程式的使用者存取權。

當使用者企圖存取 Windows Admin Center 閘道 URL 時,系統會提示他們使用自己的 Microsoft Entra 身分登入。 請記住,使用者也必須是閘道伺服器上的本機使用者成員,才能存取 Windows Admin Center。

使用 Windows Admin Center 一般設定的 [Azure ] 索引卷標,使用者和系統管理員可以檢視他們目前登入的帳戶,以及註銷此Microsoft Entra 帳戶。

條件式存取和多重要素驗證

把 Microsoft Entra 當作另一個資安層控制對 Windows Admin Center 閘道存取權的其中一項優點是,您可以善用 Microsoft Entra ID 的強大資安功能像是條件式存取和多重因子驗證。

深入瞭解如何使用 Microsoft Entra ID 來設定條件式存取。

設定單一登入

在 Windows Server 上部署為服務時單一登錄

當您在 Windows 10 上安裝 Windows Admin Center 時,您便可以使用單一登入。 不過,如果您要在 Windows Server 上使用 Windows Admin Center,您必須在您的環境中設定某種形式的 Kerberos 委派,才能使用單一登入。 代表團將閘道電腦設定為信任的,以便將其委派給目標節點。

若要在您的環境中設定 以資源為基礎的限制委派 ,請使用下列 PowerShell 範例。 此範例會示範如何設定 Windows Server [node01.contoso.com],以接受 contoso.com 網域中 Windows Admin Center 閘道 [wac.contoso.com] 的委派。

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)

若要移除此關聯性,請執行下列 Cmdlet:

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null

角色型存取控制 (RBAC)

角色型存取控制可讓您為使用者提供有限的機器存取權,而不是讓他們成為權限完整的本機系統管理員。 深入瞭解角色型訪問控制和可用的角色。

設定 RBAC 包含兩個步驟:在標的電腦上啟用支援,並將使用者指派給相關角色。

提示

請確定您在要設定角色型存取控制支援的機器上具有本機系統管理員權限。

將角色型存取控制套用至單一機器

單一機器部署模型非常適合只需管理少數電腦的簡單環境。 對機器設定角色型存取控制支援將會產生下列變更:

  • 具有 Windows Admin Center 所需功能的 PowerShell 模組,將會安裝在您系統磁碟機的 C:\Program Files\WindowsPowerShell\Modules 底下。 所有模組都會從 Microsoft.Sme 開始
  • Desired State Configuration 會執行一次性設定,以在名為 Microsoft.Sme.PowerShell 的計算機上設定 Just Enough Administration 端點。 這個端點定義 Windows Admin Center 使用的三個角色,並在使用者連接成功時,以臨時本機管理員身分執行。
  • 將建立三個新的本機群組,以控制哪些使用者被指派哪些角色的存取權。
    • Windows Admin Center 系統管理員
    • Windows Admin Center Hyper-V 系統管理員
    • Windows Admin Center 讀取者

注意

角色為基礎的存取控制並不支援叢集管理功能,也就是說,CredSSP 等依賴 RBAC 的功能將無法運作。

若要在單一機器上啟用角色型存取控制的支援,請遵循下列步驟:

  1. 開啟 Windows Admin Center,並使用在目標機器上具有本機系統管理員權限的帳戶,連線到您想要設定角色型存取控制的機器。
  2. 在 [ 概觀 ] 工具上,選取 [ 設定>角色型訪問控制]。
  3. 選取頁面底部的 [套用 ],以在目標計算機上啟用角色型訪問控制的支援。 應用程式程序包含複製 PowerShell 指令碼,以及叫用目標機器上的設定 (使用 PowerShell 預期狀態設定)。 此程序最多可能需要 10 分鐘的時間才能完成,並且會導致 WinRM 重新開機。 這會暫時中斷 Windows Admin Center、PowerShell 和 WMI 使用者的連線。
  4. 請重新整理頁面,以檢查角色型存取控制的狀態。 當它可供使用時,狀態會變更為 [已套用]。

套用設定之後,您可以將使用者指派給角色:

  1. 開啟 [本機使用者和群組] 工具,然後瀏覽至 [群組] 索引標籤。
  2. 選取 [Windows Admin Center 讀者] 群組。
  3. 在底部的 [ 詳細數據 ] 窗格中,選取 [ 新增使用者 ],然後輸入應該透過 Windows Admin Center 存取伺服器的使用者或安全組名稱。 使用者和群組可以來自本機機器或您的 Active Directory 網域。
  4. 針對 Windows Admin Center Hyper-V AdministratorsWindows Admin Center Administrators 群組重複步驟 2-3。

您也可以使用 限制的組策略設定來設定組策略物件,以一致的方式在整個網域中填入這些群組。

將角色型存取控制套用至多部機器

在大型企業部署中,您可以藉由從 Windows Admin Center 閘道下載設定套件,使用現有的自動化工具將角色型存取控制功能推送至您的電腦。 設定套件的主要訴求是搭配 PowerShell 預期狀態設定使用,但您也可以使用該套件來搭配您慣用的自動化解決方案。

下載角色型存取控制設定

若要下載角色型存取控制設定套件,您必須能夠存取 Windows Admin Center 和 PowerShell 提示字元。

如果您是在 Windows Server 上的服務模式中執行 Windows Admin Cente 閘道,請使用下列命令來下載設定套件。 請務必將系統設定中的閘道位址更新為適合您環境的正確位址。

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

如果您是在 Windows 10 機器上執行 Windows Admin Cente 閘道,請改為執行下列命令:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

當您展開 zip 封存時,您會看到下列資料夾結構:

  • InstallJeaFeatures.ps1
  • JustEnoughAdministration (目錄)
  • 模組 (目錄)
    • Microsoft.SME.* (目錄)

若要在節點上設定角色型存取控制的支援,您需要執行下列動作:

  1. JustEnoughAdministrationMicrosoft.SME.* 模組複製到目標電腦上的 PowerShell 模組目錄。 此目錄通常位於 C:\Program Files\WindowsPowerShell\Modules
  2. 更新 InstallJeaFeature.ps1 檔案,以符合您所需的 RBAC 端點組態。
  3. 執行InstallJeaFeature.ps1編譯 DSC 資源。
  4. 將 DSC 設定部署到所有機器以套用設定。

下一節將說明如何使用 PowerShell 遠端來執行這項操作。

在多部機器上部署

若要將下載的設定部署至多部計算機,您必須更新 InstallJeaFeatures.ps1 腳本,以包含您環境的適當安全組、將檔案複製到每部計算機,以及叫用組態腳本。 您可以使用慣用的自動化工具來完成這項操作,但本文將著重於純粹以 PowerShell 為基礎的方法。

根據預設,設定指令碼會在機器上建立本機安全性群組,以控制每個角色的存取權。 這適用於工作群組和加入網域的機器,但如果您要在僅限網域的環境中進行部署,您可以讓網域安全性群組直接與每個角色產生關聯。 若要更新組態以使用網域安全組,請開啟 InstallJeaFeatures.ps1 並進行下列變更:

  1. 從檔案中移除 3 個群組 資源:
    1. 群組 MS-Readers-Group
    2. Group MS-Hyper-V-Administrators-Group (管理員組)
    3. 群組 MS-Administrators-Group
  2. 從 JeaEndpoint DependsOn 屬性中移除 3 個群組資源
    1. “[Group]MS-Readers-Group”
    2. [群組]MS-Hyper-V-管理員-群組
    3. "[Group]MS-管理員群組"
  3. 將 JeaEndpoint RoleDefinitions 屬性中的組名變更為您想要的安全組。 例如,如果您有一個安全性群組:CONTOSO\MyTrustedAdmins,而該群組應獲派 Windows Admin Center 系統管理員角色的存取權,請將 '$env:COMPUTERNAME\Windows Admin Center Administrators' 變更為 'CONTOSO\MyTrustedAdmins'。 您需要更新的三個字串:
    1. '$env:COMPUTERNAME\Windows Admin Center Administrators'
    2. '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
    3. '$env:COMPUTERNAME\Windows Admin Center 讀者'

注意

請務必針對每個角色使用唯一的安全性群組。 如果將相同的安全性群組指派給多個角色,則設定會失敗。

接下來,在 InstallJeaFeatures.ps1 檔案結尾處,將下列幾行 PowerShell 新增至腳本底部:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

最後,您可以將包含模組、DSC 資源和組態的資料夾複製到每個目標節點,並執行 InstallJeaFeature.ps1 腳本。 若要從系統管理工作站遠端執行此動作,您可以執行下列命令:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}