RBAC 是一种在 Workspace ONE Intelligence 中分配和批准角色以及权限的快速方法。

什么是 RBAC?

RBAC 具有预定义的角色,您可以将其分配给管理员以访问他们使用的资源。为需要对整个环境拥有权限的管理员分配单个角色或角色组合。

Workspace ONE UEM 中的基本帐户和目录帐户

Workspace ONE Intelligence 可从多个系统获取用户数据,Workspace ONE UEM 便是其中一个。RBAC 支持从 Workspace ONE UEM 为基本用户和基于目录的用户添加管理员。

  • 基本用户是不通过身份服务进行管理的单个帐户。这些用户不需要企业基础架构。这些凭据仅存在于 Workspace ONE UEM 中,且不具有联合安全性。
  • 基于目录的用户在身份服务中进行管理,并被提取到 Workspace ONE UEM 中。这些用户使用其目录凭据来访问资源,对其帐户所做的任何更改都将与 Workspace ONE UEM 同步。

要使用管理员组的 Azure Active Directory (AD)

要将 Azure AD 管理员组与 RBAC 结合使用,您必须授权 Workspace ONE Intelligence 使用 Microsoft Graph API 访问公共 Azure AD 环境。

Workspace ONE Intelligence 存储来自 Azure 的最少信息,例如用户的名字和姓氏、用户的联系电子邮件地址或其附属组。集成不包括定期同步计划或轮询操作,而是在用户访问 Workspace ONE Intelligence 时验证信息。

现有用户和 RBAC 超级管理员

系统将为引入 RBAC 之前具有访问权限的当前 Workspace ONE Intelligence 用户分配所有角色。分配了所有角色的管理员称为超级管理员。RBAC 不为超级管理员提供单个角色。

设置过程

要设置 RBAC,请在设置 > 管理员中配置多个组件。

  • 授权 Workspace ONE Intelligence 使用设置向导连接到 Azure AD 系统。
  • 添加和编辑管理员。

编辑 RBAC 权限

当您在 Workspace ONE Intelligence 中修改 RBAC 权限时,系统会向 RBAC 用户发送帐户角色已修改电子邮件。通知列出了更改权限的人员、更改权限的时间以及更改的权限。

从 Workspace ONE UEM 添加管理员

要在 Workspace ONE Intelligence 中为基于角色的访问控制 (RBAC) 添加在 Workspace ONE UEM 中管理的基本管理员和基于目录的管理员,请将设置配置为允许管理员从 Workspace ONE UEM 访问 Workspace ONE Intelligence。

此过程包括在 Workspace ONE UEM 和 Workspace ONE Intelligence 中进行配置。您可以在 Workspace ONE UEM 中添加或编辑管理员,并为其分配 Intelligence Admin 角色。然后,在 Workspace ONE Intelligence 中授予权限并配置 RBAC 帐户。

如果未在 Workspace ONE Intelligence 中分配管理员角色,新的 RBAC 管理员必须登录到 Workspace ONE Intelligence 控制台,以使用请求访问通知过程来请求访问权限。系统会通过电子邮件向您发送他们的请求,电子邮件将提示您在 Workspace ONE Intelligence 中授予权限并配置 RBAC 帐户。

过程

  1. 在 Workspace ONE UEM console 中,为管理员添加用于访问 Workspace ONE Intelligence 的角色。
    1. 选择组织组。
    2. 转到帐户 > 管理员 > 角色 > 添加角色
    3. 输入名称和说明,以便可以在列表视图中找到该角色。Intelligence Admin - Grants basic admins access to the WS1 Intelligence console.
    4. 搜索资源文本框中,输入“Intelligence”以显示 Intelligence 角色。此角色位于类别 > 监控 > Intelligence 中。
    5. 向管理员授予读取和编辑权限。现在可以在 Workspace ONE UEM 中将 Intelligence Admin 角色分配给管理员。
  2. 在 Workspace ONE UEM console 中,添加管理员并为其分配 Intelligence 角色。
    • 转到帐户 > 管理员 > 列表视图 > 添加 > 添加管理员
    • 选择基本选项卡,为用户类型设置选择基本目录
      • 基本 - 在基本选项卡上输入所需的设置,包括用户名、密码、名字和姓氏。您可以启用双因素身份验证,然后可以在电子邮件和短信传递方式和以分钟为单位的令牌到期时间之间进行选择。您还可以选择通知选项,在“无”、“电子邮件”和“短信”之间进行选择。管理员会收到自动生成的回复。
      • 目录 - 输入管理员的目录凭据的域和用户名。
    • 选择角色选项卡,选择“组织组”,然后输入之前添加的角色 Intelligence Admin
  3. 如果未分配在 Workspace ONE Intelligence 中分配的角色,则此步骤是必需的。让管理员登录到 Workspace ONE Intelligence 并完成请求访问过程。通过在受限访问页面上选择请求访问按钮,系统会向处于活动状态并且在控制台中具有管理员角色的 10 个管理员发送电子邮件通知,以批准进入。如果用户已请求访问并选择请求访问,则控制台会提示他们以前的请求,但允许他们发送另一个请求。
    • 请检查您的电子邮件中是否有管理员访问请求通知。您可以使用管理用户按钮导航到 Workspace ONE Intelligence 控制台。
  4. 在 Workspace ONE Intelligence 中,授予访问权限并配置管理员权限。
    • 转到设置 > 管理员 > 管理员,从列表中选择管理员,然后选择编辑
    • 选择适用的权限并保存管理员帐户。Workspace ONE UEM 管理员现在可以访问 Workspace ONE Intelligence。

从 Azure AD 添加管理员和管理员组

要在 Workspace ONE Intelligence 中为基于角色的访问控制 (RBAC) 添加来自 Azure Active Directory (AC) 的管理员和管理员组,请将设置配置为允许管理员从 Workspace ONE UEM 访问 Workspace ONE Intelligence。

必备条件

您必须授权 Workspace ONE Intelligence 与您的 Azure AD 环境连接。

过程

  1. 在 Workspace ONE Intelligence 控制台中,转到设置 > 管理员 > 管理员,然后选择添加。要添加 Azure AD 组,请选择管理员组选项卡。除非您已配置与 Azure AD 的集成,否则不会显示添加菜单项。
  2. 添加管理员页面上,在用户文本框中输入管理员的名称,然后从列表中选择该名称。如果要添加 Azure AD 管理员组,系统将导航到添加管理员组页面。在文本框中输入管理员组的名称。
  3. 选择适用的权限并保存管理员帐户。添加的管理员显示为未知(未登录),因为系统不会从 Azure 中提取此数据。管理员登录到 Workspace ONE Intelligence 后,此显示将得以解析。
  4. 让管理员登录 Workspace ONE Intelligence。此登录步骤可将管理员的用户名从**未知(未登录)**解析为已配置的用户名。

RBAC 角色说明

基于角色的访问控制 (RBAC) 包括职衔为分析员、审核员、管理员和自动化人员的管理员。每个角色都有特定权限,可以快速分配对 Workspace ONE Intelligence 功能的访问权限。

要创建超级管理员,请将所有角色分配给管理员帐户。Workspace ONE Intelligence 不为超级管理员提供单独的单个角色。

RBAC 管理员说明

  • 管理员 - 管理员可以创建身份和访问管理、管理员和集成。
    • 见解权限 - 读取
    • 设置权限 - 创建、更新和删除
  • 分析师 - 分析师可以创建、处理和删除自己的对象,还可以处理其他对象,具体取决于其权限。他们无法在设置自动化中工作。
    • 见解权限 - 读取
    • 仪表板权限 - 创建、更新和删除
    • 报告权限 - 创建、更新和删除
  • 审核员 - 审核员可以查看出于审核目的而创建的其他管理员。他们对所有内容以及创建的所有内容具有读取访问权限。如果您的审核员也需要编辑对象,请向该帐户添加其他角色之一。
    • 见解权限 - 读取
    • 仪表板权限 - 读取
    • 报告权限 - 读取
    • 自动化权限 - 读取
    • 设置权限 - 读取
  • 自动化人员 - 自动化人员可以创建、处理和删除自动化。他们还可以在设置中配置自动化中使用的集成。限制其他管理员创建自动化有助于控制自动化对端点产生的重大影响。它还有助于避免创建的自动化重叠或相冲突。
    • 见解权限 - 读取
    • 自动化权限 - 创建、更新和删除
    • 集成权限 - 创建、更新和删除
check-circle-line exclamation-circle-line close-line
Scroll to top icon