基于角色的访问
您可以创建为其授予对由 AirWatch 提供支持的 Workspace ONE UEM 具有特定类型访问权限的角色。根据您认为有用的 UEM Console 访问级别,为各个用户和组定义角色。
例如,您的企业中的帮助台管理员可能在控制台中具有有限的访问权限,而 IT 经理则拥有更大范围的权限。有关此示例的详细信息,请参见用例如何创建限制性技术支持管理员并添加一个角色来授予其特定功能。
要启用基于角色的访问控制,您必须首先在 UEM Console 内设置管理员和用户角色。这些角色是按照特定资源(也称为权限)来定义的,它们可以启用和停用 UEM console 内的各种功能的访问权。您可以创建用户角色,授予对自助门户的访问权限。
由于角色(和专门的资源或权限)会确定用户和管理员在 UEM Console 中可执行和不可执行的操作,因此必须格外小心授予正确的资源或权限。例如,如果您要求在对设备进行企业擦除之前由管理员输入备注,则该角色不仅必须具有执行企业擦除的权限,还必须具有添加备注的权限。
角色对于维护设备库的安全十分重要,例如创建注册预备用户,这是一种提升了级别的管理员特权。像对待管理员特权一样对待注册预备用户凭据,并且不会泄露用户凭据。
默认和自定义角色
由 AirWatch 提供支持的 Workspace ONE UEM 已为您预备了多种可选择的默认角色。每次升级时都会自动提供这些默认角色,以便快速向新用户分配角色。如果需要更多自定义,您可以进一步定制用户特权和权限。
与默认角色不同,自定义角色需要在每次 Workspace ONE UEM 升级后手动更新。
各种类型的角色均带有其先天优势,也各有缺陷。默认角色在从头开始配置一个全新角色时很省时,在逻辑上也可以搭配各种各样的管理特权,并且还可以随新功能和设置自动进行更新。但是,“默认角色”未必完全适用于您的组织和 MDM 部署,这也正是“自定义角色”可用的原因。
默认最终用户角色
Unified Endpoint Management Console 默认向最终用户提供角色。
- 完全访问角色 – 提供对自助门户的完全访问权限。
- 拥有基本访问权的角色 – 提供来自自助服务门户的除 MDM 命令以外的所有权限。
自定义角色使您能够根据需要自定义任何数量的独特角色,并针对不同用户和管理员进行大大小小的调整和更改。但是,必须每隔一段时间手动维护一次自定义角色,并使用新功能更新这些角色。
编辑默认最终用户角色来创建自定义用户角色
如果可用的默认角色与您所在组织不匹配,您可以考虑修改现有角色并创建自定义用户角色。
通过编辑 UEM console 包含的默认角色创建自定义最终用户角色。
- 请确保您现在所在的组织组是您想让新角色与其关联的组织组。
- 导航到账户 > 用户 > 角色。
- 确定列表中的哪个角色最适合您想要创建的角色。然后,通过选择最右侧的编辑图标 (
) 来编辑该角色。随即会显示添加/编辑角色页面。 - 根据需要编辑名称、描述和初始登陆页面文本框。查看每个复选框。这些选项代表各种不同的权限,可视情况选择或取消选择这些选项。
- 选择保存。
默认管理员角色
可以向 Workspace ONE UEM Console 的管理员默认提供下面的角色。
使用“管理员角色比较”工具来比较两个管理员角色的特定权限。有关更多信息,请参阅此页面上标题为创建管理员角色的部分。
| 角色 | 说明 |
|---|---|
| 系统管理员 | 系统管理员角色提供对 Workspace ONE UEM 环境的完整访问权限。此角色包括对系统配置下的管理标签页中包含的密码和安全设置、会话管理和 UEM 控制台审核信息的访问权。 此角色仅限于环境管理者,例如,VMware 托管的所有 SaaS 环境的 SaaS 运维团队。 |
| AirWatch 管理员 | AirWatch 管理员角色拥有对 Workspace ONE UEM 环境的全面访问权限。但是,此权限不包含对系统配置下管理标签页的访问权限,原因是该标签页负责管理 UEM Console 的最高级别设置。 此角色仅限于具有环境访问权限的 VMware 员工,用于故障排除、安装和配置目的。 |
| 控制台管理员 | 控制台管理员角色是共享 SaaS 环境的默认管理员角色。该角色拥有与合规策略属性、报表创建和组织组选择有关的有限功能。 |
| 设备管理器 | 设备管理员角色赋予用户访问 UEM Console 的重要权限。但是,此角色并非旨在用来配置大部分的系统配置。这些配置包括 Active Directory (AD) /轻型目录访问协议 (LDAP)、简单邮件传输协议 (SMTP)、设备-UEM 接口 Hub(如 Intelligent Hub 等)。对于这些任务,使用一个顶级的角色,比如 AirWatch 管理员或系统管理员。 |
| 报表查看者 | 报表查看者角色允许查看通过移动设备管理 (MDM) 所捕获的数据。此角色将其用户的权限限制为只能生成、查看、导出和订阅来自 UEM Console 的报表。 |
| 内容管理 | 内容管理角色只有 VMware Content Locker 管理的访问权限。专门负责上载并管理设备内容的管理员可以使用这个角色。 |
| 应用程序管理 | 应用程序管理角色让拥有这个访问权的管理员来部署和管理设备群的内部及公共应用。将这个角色当应用程序管理的管理员使用。 |
| 帮助台 | 帮助台角色提供完成大部分初级 IT 帮助台 ( Level 1 IT Help Desk) 职责所需要的工具。此角色提供的主要工具能够通过远程操作查看和响应设备信息。但是,此角色也具备报表查看和设备搜索能力。 |
| 仅负责应用目录的管理员 | “仅负责应用目录的管理员”角色具有与“应用程序管理”非常相似的权限。向这些权限新增了添加和维护管理员和用户帐户、管理员和用户组、设备详细信息和标记的能力。 |
| 只读 | 只读角色提供对 UEM Console 大部分功能的访问权限,但仅限于只读状态。使用此角色可审核或记录 Workspace ONE UEM 环境中的设置。这个角色对系统操作人员或管理员来说并不那么有用。 |
| Horizon 管理员 | “Horizon 管理员”角色是一个专门设计的权限组,用于补充与 VMware Horizon View 集成的 Workspace ONE UEM 配置。 |
| NSX 管理员 | “NSX 管理员”角色是一个专门设计的权限组,用于补充与 Workspace ONE UEM 集成的 VMware NSX。此角色可完全补充系统和证书管理权限,使管理员能够确保端点安全性和数据中心安全性。 |
| 隐私保护主管 | “隐私保护主管”角色提供对“监控概览”、“设备列表视图”、“查看系统设置”的读取权限,以及对隐私设置的完全编辑权限。 |
编辑默认管理员角色以创建自定义管理员角色
如果可用的默认角色与您所在组织的管理员资源不匹配,您可以考虑将现有的默认角色改为自定义管理员角色。
通过编辑 UEM console 包含的默认角色创建自定义管理员角色。
- 请确保您现在所在的组织组是您想让新角色与其关联的组织组。
- 导航到账户 > 管理员 > 角色。
- 确定列表中的哪个角色最适合您想要创建的角色。选择那个角色的复选框。
- 从操作菜单中选择复制。此时会出现复制角色页面。
- 在所生成的复制角色页面编辑特定的复制设置。为自定义角色创建一个独特的名称和描述。
- 选择保存。
后续操作:有关更多信息,请参阅此页面上标题为创建管理员角色的部分。
管理员角色
您可以为由 AirWatch 提供支持的 Workspace ONE UEM 中的每个可用设置和资源启用或停用权限。这些设置将授予或限制管理员组内每个成员在控制台上的能力,使您能够精心设置可满足您的具体需求的管理员层次结构。
创建多个管理员角色是一种省时之举。跨不同的组织组进行全面配置,意味着您可以随时更改特定管理员的权限。
使管理员角色更改生效
如果您编辑管理员正在使用的角色,则在管理员注销并重新登录之后,编辑才会生效。
管理员角色列表视图
导航到账户 > 管理员 > 角色。
您可以从管理员角色库中删除闲置无用的角色。无法删除分配的角色。选择一个未分配的角色,然后选择删除按钮。
您可以编辑角色的名称、描述和特定权限。从列表中选择角色名称左侧的铅笔图标,系统将会显示编辑角色屏幕。
您还可以导出包含整个管理员角色列表视图的 CSV(逗号分隔值)文件。然后,您可以使用 MS Excel 查看和分析此文件。选择导出按钮,然后导航到监控 > 报告与分析 > 导出以查看和下载生成的报告。
创建管理员角色
-
在 UEM Console 中导航到帐户 > 管理员 > 角色,然后选择添加角色。
-
在创建角色中,输入角色的名称和描述。
-
从类别列表中进行选择。
类别部分首先按设备管理等顶级类别组织排列,其下则为子类别,包括应用程序、浏览器和批量管理等等。这一类别细分实现了简单而快速的角色创建流程。右边面板中的每个子类别设置都有一个读取和编辑复选框。
在类别部分进行选择后,其子类别内容(单项设置)就会填充到右侧面板中。每项设置分别都有自己的读取和编辑复选框和列标题中的“全选”式读取和编辑复选框。这项安排可以让您在创建角色的过程中灵活地进行控制和自定义。
使用搜索资源文本框可以减少可从中进行选择的资源数量。资源的标记方式通常与其在 UEM Console 中的引用方式相同。例如,如果您要将某个管理员角色限制为编辑应用日志,则在搜索资源框中输入“应用日志”,然后,系统会显示包含“应用日志”字符串的所有资源的列表。
-
在相应的资源选项中勾选合适的读取和编辑复选框。您也可以选择清除任何选中的资源。
-
要选择总体类别,可直接从类别部分选择无、读取或编辑,而无需逐一填充右侧的面板。选择“类别”标签右侧的圆形图标,然后从出现的下拉菜单中作出选择即可。这种选择方法适于在您非常确定自己要为整个类别的设置选取“无”、“只读”或“编辑”功能的情况下采用。
- 选择保存以完成创建自定义角色。您随即就可以在角色页面查看所添加的角色。您也可在此处编辑角色详细信息或删除角色。
后续操作:每次 Workspace ONE UEM 版本更新后,您都必须更新自定义角色,以使帐户获得最新版本中的新权限。
导出管理员角色
管理员角色是一种可移植资源。如果您管理多个 Workspace ONE UEM 环境,此可移植性可以节省时间。您可将一个环境中的设置导出成 XML 文件,再将该 XML 文件导入到另一个环境。此类活动可能会导致版本控制问题。
- 导航到账户 > 管理员 > 角色。
- 通过选中管理员角色旁边的复选框导出角色。如果您选择多个管理员角色,则“导出”操作不可用。
- 选择导出按钮并将 XML 文件保存到您设备上的某一位置。
导入管理员角色
-
导航到账户 > 管理员 > 角色,然后选择导入角色。
-
在“导入角色”页面中,选择浏览并找到之前保存的 XML 文件。通过选择上载,将管理员角色上载到类别列表以进行验证。
- Workspace ONE UEM 会执行一系列验证检查,包括 XML 文件检查、导入角色权限检查、重复角色名称检查以及空白名称和描述检查。
- 检查资源设置,并通过在左侧窗格中选择特定类别来验证其已导入角色规范。
- 您可以编辑资源,也可以根据需要对已导入角色的名称和描述进行编辑。如果您想要保存现有角色和已导入的角色,则需要在导入新角色前重命名现有管理员角色。
- 如果您要导入的角色的名称与环境中现有角色的名称相同,则系统会显示一条消息。“此环境中已经存在使用该名称的角色。您是否想要覆盖现有角色?”
- 如果选择“否”,则环境中的现有角色会保持不变,而角色导入操作会被取消。
- 如果选择“是”,则系统会提示您输入安全 PIN 码,如果输入正确,系统就会用导入的角色替换现有角色。
- 选择保存,将已导入角色应用到新环境中。
导入和导出管理员角色时的版本控制问题
有可能出现导出的角色被导入运行 Workspace ONE UEM 早期版本的环境这种情况。旧版本可能不具有构成所导入角色所需的资源和权限。
在这些情况下,Workspace ONE UEM 会通过以下信息通知您:
此环境中的部分权限没有在您导入的文件中找到。在保存前审查并更正重点标注的权限。
使用类别列表页面取消重点权限的选择。此操作允许您将角色保存到新的环境中。
复制角色
您可以通过创建现有角色的副本来节约时间。您还可以更改副本的权限,并以不同的名称保存。
- 导航到账户 > 管理员 > 角色。
- 选中您要复制的角色旁边的复选框。
- 选择复制按钮。此时会出现复制角色页面。
- 更改类别、名称和说明。
- 完成后选择保存。
重命名管理员角色
如果您要导入某个管理员角色,而该角色的名称与现有管理员角色的名称相同,则您可能会发现先重命名现有角色非常有用。重命名角色可以让旧角色和新角色在同一环境中共存。
- 导航到账户 > 管理员 > 角色,然后选择您要重命名的角色的编辑图标 (
)。随即会显示编辑角色页面。 - 编辑角色的名称和描述(可选)。
- 选择保存。
管理员角色类别中的读取/编辑标记
类别部分中有一个可视标记,用来反映当前的选择是只读、编辑、还是两者。该标记让您不必打开检查个别子类别设置就能知道设置状态。
该标记是一个位于“类别”列表右侧的圆形图标,向您报告以下设置情况。
| 图标 | 说明 |
|---|---|
 |
此类别中的所有选项都具有编辑功能 (即按照定义它们同时还具有只读功能) 。 |
 |
大多数类别设置已启用编辑功能,但至少有一个子类别的编辑功能仍被停用。 |
 |
所有类别设置都已启用只读功能(编辑被停用)。 |
 |
大多数类别设置属于只读类别,但至少有一个子类别启用了编辑功能。 |
分配角色或编辑管理员的角色介绍
您可以分配在 Workspace ONE UEM Console 中扩展管理员能力的角色。您还可以编辑现有角色介绍,从而可能限制或扩展管理员的能力。
如果您编辑管理员正在使用的角色介绍,则在管理员注销并重新登录之后,编辑才会生效。
- 导航到帐户 > 管理员 > 列表视图,找到要更改其角色介绍的管理员帐户,然后选择管理员帐户用户名左侧的串图标(
),然后选择编辑。随即会显示添加/编辑管理员页面。 -
选择角色标签页,然后从以下各项中选择:a、b 或者两者的组合:
a. 如果要将新角色添加到管理员帐户,请选择添加角色按钮,然后输入添加的每个角色的组织组和角色详细信息。
b. 如果要从管理员帐户中删除现有角色,请选择该角色,然后单击删除按钮。
-
选择保存。
查看管理员角色的资源
您可以查看任何管理员角色的所有资源或权限,包括自定义角色和默认角色。此视图可帮助您确定管理员在 UEM Console 中可以执行和不可执行的操作。
角色由数以百计的资源(也称为权限)组成,其允许访问(只读或编辑)UEM console 中的特定功能。
查看角色和编辑角色屏幕相同,只是编辑角色屏幕允许您进行更改并使用保存按钮保存更改。
要查看或编辑管理员角色的资源,请执行以下步骤。
- 导航到账户 > 管理员 > 角色。
- 找到要查看其权限的管理员角色。如果您的管理员角色库较为庞大,请使用右上角的搜索列表栏来缩小列表范围。
-
从以下选项中进行选择:a 或 b:
a. 要查看角色,请选择角色名称(即一个链接),系统会显示查看角色屏幕,其中包含与角色关联的所有权限。审核完管理员角色后,选择关闭。
b. 要编辑角色,请选择角色名称左侧的“编辑”图标 (
),此时将显示编辑角色屏幕。通过添加或移除读取和编辑复选标记来编辑角色。编辑角色完成后,选择保存。
有关列表的一些事实,无论您选择“查看”还是“编辑”。
- 角色类别在左侧面板中显示。选择“>”指示器以展开类别并查看角色子类别。
- 有关此屏幕上显示的橙色读取/编辑可视化标记的更多信息,请参阅此页面上标题为管理员角色类别中的读取/编辑标记的部分。
- 在左侧面板中选择特定类别,每个资源的类别、名称和描述将显示在右侧面板上。
- 最右侧的详细信息链接会显示 UEM Console 中的每个特定的只读和编辑功能。
-
您可以使用搜索资源文本框来按名称查找特定功能。此搜索功能便于轻松查找特定的标记相关功能并将其分配给角色。
-
例如,如果您想要创建仅可向设备添加标记的管理员角色,可在搜索资源文本框中输入词语“tag”,然后按 Enter 键。类别、名称、说明或说明详细信息中包含字符串“tag”的每个资源都将显示在右侧面板中。
注意:请记住,Staging Devices 中的“Staging”也包含“tag”字符串。
-
后续操作:后续操作:您可以通过访问此页面上标题为创建管理员角色的部分来执行这些步骤,从而创建自己的角色。
比较两个角色
创建管理员角色时,修改现有角色往往比从头开始创建角色更容易。为了保证准确性或者确认您有意实现的设置差异,您可以利用“比较角色”工具比较任意两个管理员角色的权限设置。
- 导航到账户 > 管理员 > 角色。
- 查找任何两种列出的角色,包括在不同页面上显示的角色,然后选择这些角色。
-
选择比较。该比较角色页面届时将显示一份类别列表。在左边选择一个特定的类别会在右边填充该类别的所有详细信息。
- 如果您选择的角色少于或多于两个,将不会显示比较按钮。
- 选择指向最右侧的详细信息链接以查看角色子类别。选择隐藏链接,折叠角色的子类别。
- 左边的面板中有一个所有类别,选择这个类别之后,会在比较角色页面上显示所有父级类别。当您在搜索资源栏中输入搜索参数时,右边的面板将只显示匹配的类别和资源(也称为权限)列表。
- 该搜索功能为持久功能。此持续性意味着,如果在搜索资源栏中输入参数并选择所有类别,系统就会仅显示匹配的类别和资源。即使您选择了具体的资源并选择了读取或编辑,仍可使用搜索功能。
- 默认情况下,系统仅显示具有不同设置的类别和子类别。通过启用显示所有权限复选框,您可以显示所有权限,包括那些在两个选定角色之间完全相同的设置。
- 如果您选择了两种具备相同权限的角色,控制台将在比较角色页面的顶部显示下列消息。
“两个角色之间没有任何差异”。
后续操作:您可以选择导出,创建一个可通过 Excel 查看的 XLSX 或 CSV 文件(逗号分隔值)。导出文件包含角色 1 和角色 2 的所有设置,让您能够分析它们之间的差别。
用户角色
由 AirWatch 提供支持的 Workspace ONE UEM 中用户角色允许您启用或停用用户可以执行的特定操作。这些操作包括控制对设备擦除、设备查询的访问,以及管理个人内容。用户角色还可以自定义初始登录页面,限制对自助门户的访问。
创建多个用户角色是一种省时之举。您可以将综合配置部署到不同的组织组,也可以随时更改特定用户的用户角色。
创建新用户角色
除了预设的“基本访问权”和“完全访问权”角色之外,您还可以创建自定义角色。拥有多个可用的用户角色有助于提高灵活性,并且可以在向新用户分配角色时节省大量的时间。
- 导航到账户 > 用户 > 角色,然后点击添加角色。随即会显示添加/编辑角色页面。
-
输入一个名称和描述,然后为使用此新角色的用户选择 SSP 的初始登陆页面。
对于现有用户角色,默认的初始登陆页面为我的设备页面。
-
从选项列表中选择分配到此角色的最终用户在 SSP 所具备的访问和控制级别。
- 单击全不选以清除页面上的所有复选框。
- 勾选全选即可勾选页面上的所有复选框。
- 保存对角色的更改。添加的用户角色现在会显示在角色页面的列表中。
后续操作:您可以从“角色”页面查看、编辑或删除角色。
配置默认角色
默认角色是所有用户最初拥有的基础角色。您可以通过配置默认角色来设定用户在注册后自动获得的权限和特权。
- 导航到设备 > 设备设置 > 设备与用户 > 常规 > 注册,然后选择分组标签页。
-
选择“默认角色”,以配置最终用户在自助服务门户 (SSP) 中的默认访问权限级别。
这些角色设置可按照组织组进行自定义。从以下选项中选择。
- 完全访问权 - 授予用户对更高级的 SSP 功能的访问权限,例如安装/移除配置文件和应用、重置密码、发送设备消息、写入内容。
- 基本访问权 - 授予用户影响较低的访问权限。他们可以登记自己的设备、仅查看(但不安装)配置文件和应用程序、查看自己的帐户以及查询和查找自己的设备。
- 外部访问 - 具有外部访问权限的用户,除了具有基本访问权限用户所具有的全部权限之外,还对 SSP 上明确共享给他们的内容具有只读访问权限。
- 选择保存。
分配或编辑现有用户的角色
您可以编辑特定用户的角色,比如授予或限制对 Workspace ONE UEM 功能的访问权限。
如果您编辑用户正在使用的角色,则在用户注销并重新登录之后,编辑才会生效。
- 选择适当的组织组。
- 导航到账户 > 用户 > 列表视图。
- 从列表中搜索您想要编辑的特定用户。识别用户之后,选择复选框下面的编辑图标。随即会显示添加/编辑用户屏幕。
- 在常规标签页上,滚动到注册部分,并从此下拉菜单中选择用户角色,以更改该特定用户的角色。
- 选择保存。
另请参见:如何创建限制性技术支持管理员并添加一个角色来授予其特定功能。
您可以创建一个自定义角色,以允许技术支持管理员仅在由 AirWatch 提供支持的 Workspace ONE UEM 中执行您允许的操作。了解帐户、角色和可编程权限如何协同工作,以使您能够到达需要的目标。
