VMware Workspace ONE Intelligence 中的用户管理功能包括基于角色的访问控制 (RBAC)、数据访问策略、设置 Microsoft Azure Active Directory 以及管理分配给管理员的系统限制。在控制台的设置区域中找到这些功能。

什么是 RBAC?

基于角色的访问控制 (RBAC) 具有预定义的角色,您可以将其分配给管理员以访问他们使用的资源。为需要对整个环境拥有权限的管理员分配单个角色或角色组合。

Workspace ONE UEM 中的基本帐户和目录帐户

Workspace ONE Intelligence 可从多个系统获取用户数据,Workspace ONE UEM 便是其中一个。RBAC 支持从 Workspace ONE UEM 为基本用户和基于目录的用户添加管理员。

  • 基本用户是不通过身份服务进行管理的单个帐户。这些用户不需要企业基础架构。这些凭据仅存在于 Workspace ONE UEM 中,且不具有联合安全性。
  • 基于目录的用户在身份服务中进行管理,并被提取到 Workspace ONE UEM 中。这些用户使用其目录凭据来访问资源,对其帐户所做的任何更改都将与 Workspace ONE UEM 同步。

使用管理员组的 Azure Active Directory (AD)

要将 Azure AD 管理员组与 RBAC 结合使用,您必须授权 Workspace ONE Intelligence 使用 Microsoft Graph API 访问公共 Azure AD 环境。

Workspace ONE Intelligence 存储来自 Azure 的最少信息,例如用户的名字和姓氏、用户的联系电子邮件地址或其附属组。集成不包括定期同步计划或轮询操作,而是在用户访问 Workspace ONE Intelligence 时验证信息。

现有用户和 RBAC 超级管理员

系统将为引入 RBAC 之前具有访问权限的当前 Workspace ONE Intelligence 用户分配所有角色。分配了所有角色的管理员称为超级管理员。RBAC 不为超级管理员提供单个角色。

设置过程

要设置 RBAC,请在设置 > 管理员中配置多个组件。

  • 授权 Workspace ONE Intelligence 使用设置向导连接到 Azure AD 系统。
  • 添加和编辑管理员。

编辑 RBAC 权限

当您在 Workspace ONE Intelligence 中修改 RBAC 权限时,系统会向 RBAC 用户发送帐户角色已修改电子邮件。通知列出了更改权限的人员以及更改的权限。

转移仪表板和报告的所有权

您可以与其他 Workspace ONE Intelligence 用户共享我的仪表板报告。对象的所有者(仪表板或报告)指定为具有完全访问权限,而共享该对象的用户指定为具有可以查看(只读)或可以编辑访问权限(读写)。作为共享功能的扩展,具有管理员角色的管理员也可以转移仪表板和报告的所有权。管理员离开您的组织后,此功能非常有用,因为其 Workspace ONE Intelligence 对象不再具有活动管理员来管理这些对象。要将这些对象分配给活动管理员,管理员可以找到无所有者对象并对其进行重新分配。

从 Workspace ONE UEM 添加管理员

要在 Workspace ONE Intelligence 中为基于角色的访问控制 (RBAC) 添加在 Workspace ONE UEM 中管理的基本管理员和基于目录的管理员,请将设置配置为允许管理员从 Workspace ONE UEM 访问 Workspace ONE Intelligence。

此过程包括在 Workspace ONE UEM 和 Workspace ONE Intelligence 中进行配置。您可以在 Workspace ONE UEM 中添加或编辑管理员,并为其分配 Intelligence Admin 角色。然后,在 Workspace ONE Intelligence 中授予权限并配置 RBAC 帐户。

如果未在 Workspace ONE Intelligence 中分配管理员角色,新的 RBAC 管理员必须登录到 Workspace ONE Intelligence 控制台,以使用请求访问通知过程来请求访问权限。系统会通过电子邮件向您发送他们的请求,电子邮件将提示您在 Workspace ONE Intelligence 中授予权限并配置 RBAC 帐户。

过程

  1. 在 Workspace ONE UEM console 中,为管理员添加用于访问 Workspace ONE Intelligence 的角色。
    1. 选择组织组。
    2. 转到帐户 > 管理员 > 角色 > 添加角色
    3. 输入名称和说明,以便可以在列表视图中找到该角色。Intelligence Admin - Grants basic admins access to the WS1 Intelligence console.
    4. 搜索资源文本框中,输入“Intelligence”以显示 Intelligence 角色。此角色位于类别 > 监控 > Intelligence 中。
    5. 向管理员授予读取和编辑权限。现在可以在 Workspace ONE UEM 中将 Intelligence Admin 角色分配给管理员。
  2. 在 Workspace ONE UEM console 中,添加管理员并为其分配 Intelligence 角色。
    • 转到帐户 > 管理员 > 列表视图 > 添加 > 添加管理员
    • 选择基本选项卡,为用户类型设置选择基本目录
      • 基本 - 在基本选项卡上输入所需的设置,包括用户名、密码、名字和姓氏。您可以启用双因素身份验证,然后可以在电子邮件和短信传递方式和以分钟为单位的令牌到期时间之间进行选择。您还可以选择通知选项,在“无”、“电子邮件”和“短信”之间进行选择。管理员会收到自动生成的回复。
      • 目录 - 输入管理员的目录凭据的域和用户名。
    • 选择角色选项卡,选择“组织组”,然后输入之前添加的角色 Intelligence Admin
  3. 如果未分配在 Workspace ONE Intelligence 中分配的角色,则此步骤是必需的。让管理员登录到 Workspace ONE Intelligence 并完成请求访问过程。通过在受限访问页面上选择请求访问按钮,系统会向处于活动状态并且在控制台中具有管理员角色的 10 个管理员发送电子邮件通知,以批准进入。如果用户已请求访问并选择请求访问,则控制台会提示他们以前的请求,但允许他们发送另一个请求。
    • 请检查您的电子邮件中是否有管理员访问请求通知。您可以使用管理用户按钮导航到 Workspace ONE Intelligence 控制台。
  4. 在 Workspace ONE Intelligence 中,授予访问权限并配置管理员权限。
    • 转到设置 > 管理员 > 管理员,从列表中选择管理员,然后选择编辑
    • 选择适用的权限并保存管理员帐户。Workspace ONE UEM 管理员现在可以访问 Workspace ONE Intelligence。

从 Azure AD 添加管理员和管理员组

要在 Workspace ONE Intelligence 中为基于角色的访问控制 (RBAC) 添加来自 Azure Active Directory (AC) 的管理员和管理员组,请将设置配置为允许管理员从 Workspace ONE UEM 访问 Workspace ONE Intelligence。

必备条件

您必须授权 Workspace ONE Intelligence 与您的 Azure AD 环境连接。

过程

  1. 在 Workspace ONE Intelligence 控制台中,转到设置 > 管理员 > 管理员,然后选择添加。要添加 Azure AD 组,请选择管理员组选项卡。除非您已配置与 Azure AD 的集成,否则不会显示添加菜单项。
  2. 添加管理员页面上,在用户文本框中输入管理员的名称,然后从列表中选择该名称。如果要添加 Azure AD 管理员组,系统将导航到添加管理员组页面。在文本框中输入管理员组的名称。
  3. 选择适用的权限并保存管理员帐户。添加的管理员显示为未知(未登录),因为系统不会从 Azure 中提取此数据。管理员登录到 Workspace ONE Intelligence 后,此显示将得以解析。
  4. 让管理员登录 Workspace ONE Intelligence。此登录步骤可将管理员的用户名从**未知(未登录)**解析为已配置的用户名。

RBAC 角色描述

基于角色的访问控制 (RBAC) 包括职衔为分析员、审核员、管理员和自动化人员的管理员。每个角色都有特定权限,可以快速分配对 Workspace ONE Intelligence 功能的访问权限。

要创建超级管理员,请将所有角色分配给管理员帐户。Workspace ONE Intelligence 不为超级管理员提供单独的单个角色。

  • 管理员 - 管理员可以创建身份和访问管理、管理员和集成。
    • 见解权限 - 读取
    • 设置权限 - 创建、更新和删除
  • 分析师 - 分析师可以创建、处理和删除自己的对象,还可以处理其他对象,具体取决于其权限。他们无法在设置自动化中工作。
    • 见解权限 - 读取
    • 仪表板权限 - 创建、更新和删除
    • 报告权限 - 创建、更新和删除
  • 审核员 - 审核员可以查看出于审核目的而创建的其他管理员。他们对所有内容以及创建的所有内容具有读取访问权限。如果您的审核员也需要编辑对象,请向该帐户添加其他角色之一。
    • 见解权限 - 读取
    • 仪表板权限 - 读取
    • 报告权限 - 读取
    • 自动化权限 - 读取
    • 设置权限 - 读取
  • 自动化人员 - 自动化人员可以创建、处理和删除自动化。他们还可以在设置中配置自动化中使用的集成。限制其他管理员创建自动化有助于控制自动化对端点产生的重大影响。它还有助于避免创建的自动化重叠或相冲突。
    • 见解权限 - 读取
    • 自动化权限 - 创建、更新和删除
    • 集成权限 - 创建、更新和删除

什么是数据访问策略?

Workspace ONE Intelligence 中的数据访问策略控制用户(尤其是分析师)在仪表板和报告中查看的数据。为了控制访问,Workspace ONE Intelligence 使用在 VMware Workspace ONE UEM 中配置的组织组。

按组织组控制访问或允许所有访问

您可以通过将用户的访问权限分配给限制性数据访问策略来限制用户对 Workspace ONE UEM 数据的访问。Workspace ONE Intelligence 使用 Workspace ONE UEM 组织组控制数据。要限制用户的数据集,请将其分配给使用适用组织组配置的数据访问策略。有关 Workspace ONE UEM 中组织组的详细信息,请访问主题组织组

如果您不希望限制用户对数据的访问权限,请将其分配给配置为允许所有访问的数据访问策略。

立即激活

激活第一个数据访问策略后,仅具有分析师权限且未分配给数据访问策略的用户在 Workspace ONE Intelligence 中无法看到 Workspace ONE UEM 数据。要确保您的分析师继续查看数据,请将其分配给策略。

仅适用于分析师

要分配给数据访问策略的用户必须具有 RBAC 分析师权限,并且仅具有该权限。这些用户不能具有其他 RBAC 权限。

分配给单个策略

为避免意外限制或允许访问数据,请将用户分配给单个策略。请勿将用户分配给多个数据访问策略。

共享对象和对象预览

数据访问策略将应用于对象中的查询,当您共享对象时,您将共享这些查询。共享对象时,请考虑此行为。您可能会与分配有数据访问策略的用户共享对象,该策略限制他们无法在仪表板或报告预览中查看所有数据。此行为适用于预览版,而不适用于实际生成用户对数据的访问权限。

其他注意事项

  • 数据访问策略需要与 Workspace ONE UEM 集成。您可以使用 Workspace ONE UEM 组织组层次结构来配置数据访问策略和控制数据访问。
  • 数据访问策略适用于有限的一组数据,而不适用于 Workspace ONE UEM 中的所有数据集。
  • 数据访问策略控制仪表板和报告中显示的数据。
  • 您必须具有 RBAC 管理员权限才能创建和分配数据访问策略。

导航到数据访问策略

创建并激活第一个策略后,您可以在控制台的设置 > 数据访问策略中编辑或添加更多数据访问策略。

如何创建第一个数据访问策略?

要开始使用数据访问策略,请转到 Workspace ONE Intelligence 的入门区域。

  1. 入门 > 用户管理 > 限制对数据的访问中查找功能对应的卡。
  2. 选择限制对数据的访问卡。您必须至少添加一个策略才能开始使用该功能。
  3. 选择添加
  4. 添加数据访问策略窗口中选择数据类别
    • 所有访问:分配了此策略的用户可以查看所有 Workspace ONE UEM 数据。
    • Workspace ONE UEM 组织组:分配了此策略的用户可以在所选组织组级别查看在 Workspace ONE UEM 中管理的数据。在组织组层次结构菜单项中选择组。
  5. 分配用户区域中选择用户。这些用户只能具有分析师角色,以便查看仪表板报告中显示的适用数据。
  6. 查看摘要并保存您的策略。Workspace ONE Intelligence 会在数据访问策略列表视图中列出策略。
  7. 当您准备好控制已分配用户的数据访问权限时,请选择激活

如何将策略分配给未分配的分析师?

为确保您的管理员能够继续访问数据,您可以通过活动用户筛选器在管理员页面上筛选用户,并为每个管理员仅分配数据访问策略的分析师权限。

  1. 在 Workspace ONE Intelligence 中,转到设置 > 管理员
  2. 选择活动用户筛选器。
  3. 查找仅具有分析师角色且未在数据访问策略列中列出任何策略的管理员。
  4. 选择用户,然后选择编辑
  5. 选择分配数据访问策略
  6. 选择要分配给分析师的数据访问策略,然后单击添加

Microsoft Azure Active Directory 设置

要在基于角色的访问控制 (RBAC) 功能中使用 Azure Active Directory (AD) 组,请授权 Workspace ONE Intelligence 与您的 Azure AD 环境连接。

Workspace ONE Intelligence 使用 Microsoft Graph API 与 Azure 环境进行通信。

必备条件

您必须具有配置公共 Azure AD 帐户的权限。使用 Azure AD 管理员帐户凭据进行注册。如果您没有设置 Azure AD 的管理员权限,请让 Azure AD 管理员向 Workspace ONE Intelligence 注册您的环境。

过程

  1. 在 Workspace ONE Intelligence 控制台中,转到设置 > 管理员 > 用户身份管理 > Microsoft Azure Active Directory > 设置。系统会将您定向到您组织的 Microsoft 区域。如果您具有 Azure AD 管理员权限,系统将提示您输入 Azure AD 凭据。
  2. 在 Microsoft 窗口中选择接受,向 Workspace ONE Intelligence 授予访问 Azure 中的数据的权限。如果系统接受权限,则 Microsoft Azure Active Directory 集成将显示为状态:已授权
    • 授予登录到 Azure 以及在其中读取用户配置文件的权限。
    • 授予读取 Azure 中所有组的权限。
    • 授予读取 Azure 中所有用户的完整配置文件的权限。

结果

在 Workspace ONE Intelligence 中添加管理员或组时,您可以从 Azure Active Directory 环境中的用户和组进行选择。

后续操作

设置 > 管理员中添加和编辑管理员。有关不同角色及其权限的信息,请访问“RBAC 角色说明”。

系统限制

Workspace ONE Intelligence限制管理员可以创建的对象数量。要了解您的环境是否即将达到这些限制,请使用系统限制页面。在此页面中,您可以查看管理员在环境中创建的对象数量,并且可以在其中更改设置的限制(如果需要)。

导航

在控制台的设置 > 系统限制中找到系统限制

页面上显示什么?

系统限制页面显示环境中最高组织组的衡量指标(客户租户级别),并显示部署中其他租户级别的各个用户的衡量指标。查找包含以下项目的已创建对象的衡量指标。

  • 自定义仪表板(数据可视化对象)
  • 自定义报告(报告对象)
  • 自定义自动化(面向操作的对象)

Workspace ONE Intelligence 中的“系统限制”页面,其中描述了自动化、自定义报告和自定义仪表板限制。

UI 顶部的卡片报告所有组织组(所有租户级别)的总值。

  • 自动化 - 此卡仅显示活动自动化的数据,不包括已创建且处于非活动状态的自动化。
  • 自定义报告 - 此卡显示所有已创建和已保存报告的数量。
  • 自定义仪表板 - 此卡显示所有已创建和已保存仪表板的数量。

对象是否受欢迎并与其他管理员共享?

客户租户级别卡下方的自动化自定义报告自定义仪表板标签页列出了特定于用户的数据。这些选项卡列出了所有管理员及其创建的自动化、自定义报告和自定义仪表板的相应计数。使用选项卡查看对象是否已共享以及与谁共享。了解某个对象是否已共享表明其很受欢迎。使用此数据决定是保留常用对象还是删除不常用的对象以便为其他对象腾出空间。

RBAC 权限指示可用操作

超级管理员、管理员和版主可以查看“系统限制”页面,但超级管理员可以在此页面上执行操作。

超级管理员(具有所有 RBAC 权限的管理员)可以在客户租户级别查看和设置限制。他们具有此可见性,因此可以监控数据访问、处理增加限制的请求以及更改限制值。在系统限制页面上,超级管理员可以执行各种操作来管理部署。

  • 超级管理员可以监控和控制哪些管理员可以创建对象。
  • 他们可以在租户级别为所有管理员使用设置默认用户限制功能。
    此菜单选项使超级管理员能够根据需要向每个管理员或管理员区域分配偶数个对象。
  • 他们可以处理增加任何对象限制的请求。
  • 他们可以查看各个管理对象。
    • 搜索离开公司的用户,以查看他们拥有多少个创建的对象。
    • 转让这些对象的所有权或将其删除,以允许将这些未使用的对象分配给其他管理员。
  • 他们可以使用已停用的用户筛选器筛选整个管理员列表,以查看哪些未完成的对象需要转让所有权。
check-circle-line exclamation-circle-line close-line
Scroll to top icon