Sie können Rollen erstellen, die bestimmte Arten von Zugriff auf Workspace ONE UEM powered by AirWatch gewähren. Sie definieren Rollen für einzelne Benutzer und Gruppen basierend auf den Zugriffsebenen der UEM-Konsole, die Sie als hilfreich erachten.
Helpdesk-Administratoren beispielsweise haben in Ihrem Unternehmen möglicherweise beschränkten Zugriff innerhalb der Konsole – der IT-Manager hingegen einen größeren Umfang an Berechtigungen. Weitere Informationen zu diesem Beispiel finden Sie im Anwendungsbeispiel Erstellen eines restriktiven Helpdesk-Administrators und Hinzufügen einer Rolle, die ihm bestimmte Funktionen erteilt.
Um die rollenbasierte Zugriffssteuerung zu aktivieren, müssen Sie zuerst die Administrator- und Anwenderrollen in der UEM-Konsole festlegen. Diese Rollen werden durch bestimmte Ressourcen definiert, auch als Berechtigungen bekannt, die den Zugriff auf verschiedene Funktionen in der UEM console aktivieren bzw. deaktivieren. Sie können Benutzerrollen erstellen, die Zugriff auf das Self-Service-Portal gewähren.
Da Rollen (und speziell Ressourcen oder Berechtigungen) bestimmen, welche Aufgaben von den Benutzern und Administratoren in der UEM-Konsole ausgeführt werden können, müssen die richtigen Ressourcen oder Berechtigungen mit Vorsicht gewährt werden. Wenn Sie beispielsweise verlangen möchten, dass Administratoren vor einer Enterprise-Löschung auf einem Gerät einen Hinweis eingeben sollen, muss die Rolle nicht nur über die Berechtigungen zur Enterprise-Löschung, sondern auch über die Berechtigung zum Hinzufügen einer Notiz verfügen.
Rollen sind wichtig, um die Sicherheit Ihrer Geräteflotte aufrechtzuerhalten, z. B. die Erstellung von Staging-Benutzern, die ein erhöhtes Administratorrecht darstellt. Behandeln Sie die Staging-Benutzer-Anmeldedaten genauso wie Administratorrechte, und geben Sie die Benutzer-Anmeldedaten nicht bekannt.
Workspace ONE UEM powered by AirWatch stellt Ihnen bereits mehrere Standardrollen zur Auswahl zur Verfügung. Diese Standardrollen sind bei jeder Aktualisierung verfügbar und helfen dabei, Rollen neuen Benutzern schnell zuzuweisen. Sie können die Benutzerrechte und Berechtigungen weiter anpassen, wenn Sie mehr Anpassung benötigen.
Anders als bei Standardrollen, erfordern benutzerdefinierte Rollen manuelle Aktualisierungen bei jedem Workspace ONE UEM-Upgrade.
Jede Art von Rolle hat ihre eigenen Vor- und Nachteile. Standardrollen sparen Zeit bei der Neukonfiguration einer völlig neuen Rolle. Sie eignen sich für eine Reihe von administrativen Berechtigungen und werden automatisch neben neuen Funktionen und Einstellungen aktualisiert. Standardrollen sind jedoch möglicherweise nicht für Ihre Organisation oder Ihre MDM-Bereitstellung geeignet. Deshalb sind benutzerdefinierte Rollen verfügbar.
Rollen sind standardmäßig für Endbenutzer in der Unified Endpoint Management-Konsole verfügbar.
Benutzerdefinierte Rollen ermöglichen es Ihnen, so viele eindeutige Rollen anzupassen, wie Sie möchten, und große und kleine Änderungen über verschiedene Benutzer und Administratoren hinweg zu justieren. Sie müssen jedoch benutzerdefinierte Rollen im Laufe der Zeit manuell verwalten und mit neuen Funktionen aktualisieren.
Sollten keine der verfügbaren Standardrollen eine für Ihre Organisation angemessene Rolle bieten, können Sie erwägen, eine vorhandene Benutzerrolle zu ändern und eine Benutzerdefinierte Benutzerrolle zu erstellen.
Erstellen Sie eine benutzerdefinierte Endbenutzerrolle, indem Sie eine in der UEM Console enthaltene Standardrolle bearbeiten.
Folgende Rollen sind standardmäßig für Administratoren in der Workspace ONE UEM-Konsole verfügbar:
Vergleichen Sie mit dem Administratorrollen-Vergleichstool bestimmte Berechtigungen von zwei Administratorrollen. Weitere Informationen finden Sie im Abschnitt mit dem Titel Erstellen von Administratorrollen auf dieser Seite.
Rolle | Beschreibung |
---|---|
Systemadministrator | Die Rolle „Systemadministrator“ bietet vollständigen Zugriff auf die Workspace ONE UEM-Umgebung. Diese Rolle umfasst Zugriff auf Kennwort- und Sicherheitseinstellungen, Sitzungsverwaltung, und Überwachungsinformationen der UEM-Konsole im Tab Administration unter Systemkonfiguration. Diese Rolle ist auf Umgebungsmanager beschränkt, z. B. auf Teams für SaaS-Operationen, die für alle von VMware gehosteten SaaS-Umgebungen zuständig sind. |
AirWatch Administrator | Die Rolle „AirWatch Administrator“ ermöglicht umfangreichen Zugriff auf die Workspace ONE UEM-Umgebung. Sie schließt die Registerkarte Administration unter Systemkonfiguration jedoch nicht mit ein, da diese Registerkarte Einstellungen der UEM-Konsole oberster Ebene verwaltet. Diese Rolle ist auf VMware-Mitarbeiter beschränkt, die zu Fehlerbehebungs-, Installations- und Konfigurationszwecken auf Umgebungen zugreifen können. |
Konsolenadministrator | Die Rolle des Konsolenadministrators ist die Standard-Admin-Rolle für gemeinsam genutzte SaaS-Umgebungen. Dieser Rolle ist eine eingeschränkte Funktionalität rund um Konformitätsrichtlinienattribute, die Berichterstellung und die Organisationsgruppenauswahl zugewiesen. |
Gerätemanager | Die Rolle „Gerätemanager“ gewährt Benutzern umfassenden Zugriff auf die UEM-Konsole. Diese Rolle ist jedoch nicht zur Konfiguration der meisten Systemkonfigurationen gedacht. Zu diesen Konfigurationen gehören Active Directory (AD) / Lightweight Directory Access Protocol (LDAP), Simple Mail Transfer Protocol (SMTP), Geräte-UEM-Schnittstellen-Hubs wie Intelligent Hub usw. Verwenden Sie für diese Aufgaben eine hochrangige Rolle, wie AirWatch Administrator oder Systemadministrator. |
Berichtsbetrachter | Die Rolle „Berichtsbetrachter“ ermöglicht es, dass die über MDM (Mobile Device Management) erfassten Daten eingesehen werden. Diese Rolle beschränkt den Benutzer darin, Berichte von der UEM-Konsole aus zu generieren, einzusehen, zu exportieren und zu abonnieren. |
Inhaltsverwaltung | Die Rolle „Inhaltsverwaltung“ beschränkt den Zugriff auf die Verwaltung von VMware Content Locker. Verwenden Sie diese Rolle für spezialisierte Administratoren zum Upload und zur Verwaltung von Inhalten eines Geräts. |
Anwendungsverwaltung | Die Rolle „App-Verwaltung“ ermöglicht Administratoren mit dieser Berechtigung die Bereitstellung und Verwaltung von internen und öffentlichen Apps einer Geräteflotte. Verwenden Sie diese Rolle für einen Administrator zur Anwendungsverwaltung. |
Helpdesk | Die Rolle „Helpdesk“ bietet Tools für die meisten IT-Helpdesk-Funktionen der Ebene 1. Das in dieser Rolle verfügbare, primäre Tool umfasst die Möglichkeit, mit Remoteaktionen Gerätedaten einzusehen und darauf entsprechend zu reagieren. Diese Rolle bietet auch die Möglichkeit, Berichte einzusehen und Geräte zu suchen. |
Reiner App-Katalog-Administrator | Die Rolle „Reiner App-Katalog-Administrator“ weist im Großen und Ganzen dieselben Berechtigungen auf wie die Rolle „App-Verwaltung“. Neben diesen Berechtigungen sind Funktionen zum Hinzufügen und Verwalten von Administrator- und Benutzerkonten, Administrator- und Benutzergruppen, Gerätedetails sowie Tags vorhanden. |
Schreibgeschützt | Die Rolle „Schreibgeschützt“ bietet Zugriff auf die meisten Funktionen der UEM-Konsole, beschränkt den Zugriff allerdings auf schreibgeschützten Status. Verwenden Sie diese Rolle, um die Einstellungen in einer Workspace ONE UEM-Umgebung zu prüfen und zu erfassen. Für Systembetreiber oder -administratoren ist diese Rolle nicht geeignet. |
Horizon-Administrator | Die Rolle „Horizon-Administrator“ verfügt über speziell konfigurierte Berechtigungen, die als Ergänzung einer in VMware Horizon View integrierten Workspace ONE UEM-Konfiguration dienen. |
NSX-Administrator | Die Rolle „NSX-Administrator“ verfügt über speziell konfigurierte Berechtigungen, die als Ergänzung einer in VMware NSX integrierten Workspace ONE UEM-Konfiguration dienen. Diese Rolle stellt die ideale Ergänzung für die System- und Zertifikatsverwaltungsberechtigungen dar, durch die Administratoren Endpunktsicherheit durch Rechenzentrumssicherheit erreichen können. |
Datenschutzadministrator | Die Rolle „Datenschutzadministrator“ ermöglicht schreibgeschützten Zugriff auf die Monitor-Übersicht, die Gerätelistenansicht, die Anzeige der Systemeinstellung und vollständige Bearbeitungsberechtigungen für Datenschutzeinstellungen. |
Sollten die verfügbaren Standardrollen keine für Administratorressourcen angemessene Rolle in Ihrer Organisation bieten, können Sie erwägen, eine vorhandene Standardrolle in eine Benutzerdefinierte Administratorrolle zu ändern.
Erstellen Sie eine benutzerdefinierte Administratorrolle, indem Sie eine in der UEM Console enthaltene Standardrolle bearbeiten.
Nächste Schritte: Weitere Informationen finden Sie im Abschnitt mit dem Titel Erstellen von Administratorrollen auf dieser Seite.
Sie können Berechtigungen für jede verfügbare Einstellung und Ressource in Workspace ONE UEM powered by AirWatch aktivieren oder deaktivieren. Diese Einstellungen gewähren oder beschränken Konsolenfunktionen für jedes Mitglied Ihres Administratorteams, wodurch Sie eine auf Ihre speziellen Bedürfnisse zugeschnittene Hierarchie an Administratoren schaffen können.
Bei der Erstellung von mehreren Administratorrollen handelt es sich um eine zeitsparende Maßnahme. Wenn Sie umfassende Konfigurationen über verschiedene Organisationsgruppen hinweg durchführen müssen, können Sie die Berechtigungen für einen bestimmten Administrator jederzeit ändern.
Wenn Sie eine Rolle bearbeiten, die von einem Administrator verwendet wird, gilt die Bearbeitung erst dann, wenn sich der Administrator abmeldet und sich dann wieder anmeldet.
Navigieren Sie zu Konten > Administratoren > Rollen.
Sie können nicht verwendete Rollen aus Ihrer Bibliothek von Administratorrollen löschen. Sie können eine zugewiesene Rolle nicht löschen. Wählen Sie eine nicht zugewiesene Rolle aus und klicken Sie auf die Schaltfläche Löschen.
Sie können den Namen, die Beschreibung und bestimmte Berechtigungen einer Rolle bearbeiten. Wählen Sie das Stiftsymbol links neben dem Rollennamen aus der Liste aus, um den Bildschirm Rolle bearbeiten anzuzeigen.
Sie können auch eine XLSX- oder CSV-Datei (Comma-Separated Values) herunterladen, die die gesamte Administratorrollen-Listenansicht enthält. Sie können diese Datei dann mit MS Excel anzeigen und analysieren. Klicken Sie auf die Schaltfläche Exportieren und wählen Sie einen Downloadspeicherort aus. Informationen zum Exportieren von Rollen für einen späteren Import finden Sie auf dieser Seite im Abschnitt Exportieren von Administratorrollen.
Navigieren Sie zu Konten > Administratoren > Rollen und wählen Sie in der UEM-Konsole Rolle hinzufügen aus.
Unter Rolle erstellen geben Sie Name und Beschreibung der Rolle ein.
Treffen Sie Ihre Auswahl in der Liste der Kategorien.
Der Bereich Kategorien ordnet Kategorien der obersten Ebene, wie Geräteverwaltung; darunter finden Sie Unterkategorien, wie Anwendungen, Browser, Massenverwaltung usw. Diese Kategorieunterteilung ermöglicht einen schnellen und mühelosen Rollenerstellungsprozess. Neben allen Unterkategorieeinstellungen im rechten Fenster befinden sich die Kontrollkästchen Lesen und Bearbeiten.
Wenn Sie eine Auswahl im Abschnitt Kategorien treffen, wird der Bereich auf der rechten Seite mit den unterkategorisierten Inhalten (individuellen Einstellungen) aufgefüllt. Jede individuelle Einstellung verfügt über ihre eigenen Kontrollkästchen Lesen und Bearbeiten sowie über ein Kontrollkästchen für sowohl Lesen als auch Bearbeiten für die Gesamtauswahl in der Spaltenüberschrift. Durch diese Anordnung wird Ihnen eine flexible Steuerung und Anpassung beim Erstellen von Rollen ermöglicht.
Verwenden Sie das Textfeld Ressourcen durchsuchen, um die Anzahl der Ressourcen einzuschränken, aus denen Sie auswählen können. Ressourcen haben in der Regel dieselbe Bezeichnung wie in der UEM-Konsole selbst. Wenn Sie beispielsweise eine Admin-Rolle auf die Bearbeitung von Anwendungsprotokollen beschränken möchten, geben Sie „Anwendungsprotokolle“ im Feld Ressourcen durchsuchen ein. Daraufhin werden alle Ressourcen aufgelistet, die die Zeichenfolge „Anwendungsprotokolle“ enthalten.
Aktivieren Sie die entsprechenden Kontrollkästchen Lesen bzw. Bearbeiten in den entsprechenden Ressourcenoptionen. Sie können ausgewählte Ressourcen auch wieder deaktivieren.
Um eine generelle Kategorieauswahl zu treffen, wählen Sie Keine, Lesen oder Bearbeiten direkt im Abschnitt Kategorien, ohne das rechte Fenster je auszufüllen. Klicken Sie auf das runde Symbol rechts neben der Kategoriebezeichnung, welches ein Dropdown-Menü enthält. Verwenden Sie diese Auswahlmethode, wenn Sie sich absolut sicher sind, keine Funktionen, reine Lesefunktionen oder Bearbeitungsfunktionen für eine gesamte Kategorieeinstellung auswählen zu wollen.
Nächste Schritte: Sie müssen die benutzerdefinierte Rolle mit jeder neuen Workspace ONE UEM-Version aktualisieren, um die neuen Berechtigungen in der aktuellen Version mit einzubeziehen.
Administratorrollen sind eine übertragbare Ressource. Diese Übertragbarkeit kann Zeit sparen, wenn Sie mehr als eine Workspace ONE UEM-Umgebung verwalten. Sie können Einstellungen aus einer Umgebung als XML-Datei exportieren und dann diese XML-Datei in eine andere Umgebung importieren. Eine solche Aktivität kann zu Versionsproblemen führen.
Es kann vorkommen, dass eine exportierte Rolle in eine Umgebung mit einer früheren Workspace ONE UEM-Version importiert wird. Diese frühere Version verfügt dann möglicherweise nicht über dieselben Ressourcen und Berechtigungen, die die importierte Rolle aufweist.
In diesem Fall sendet Workspace ONE UEM Ihnen (sinngemäß) die folgende Nachricht:
Einige der Berechtigungen in dieser Umgebung können in Ihrer importierten Datei nicht gefunden werden. Prüfen und berichtigen Sie die hervorgehobenen Berechtigungen vor dem Speichern.
Nutzen Sie die Kategorielistenseite, um die Auswahl der hervorgehobenen Berechtigungen aufzuheben. Dadurch können Sie die Rolle in der neuen Umgebung speichern.
Durch Kopieren einer vorhandenen Rolle können Sie Zeit sparen. Außerdem können Sie die Berechtigungen zum Kopieren ändern und unter einem anderen Namen speichern.
Vor dem Import einer Administratorrolle, die denselben Namen wie eine bereits vorhandene Administratorrolle aufweist, empfiehlt es sich, die bestehende Administratorrolle zuerst umzubenennen. Durch die Umbenennung einer Rolle können Sie sowohl die vorhandene als auch die neue Rolle in derselben Umgebung behalten.
Im Abschnitt Kategorien gibt es einen visuellen Indikator, der die momentane Auswahl „Nur lesen“, „Bearbeiten“ oder eine Kombination der Kategorien anzeigt. Dieser Indikator zeigt die Einstellung an, ohne dass Sie die einzelnen Unterkategorieeinstellungen öffnen und prüfen müssen.
Der Indikator ist mit einem runden Symbol rechts neben der Kategorieauflistung versehen, das Folgendes anzeigt.
Symbol | Beschreibung |
---|---|
Alle Optionen dieser Kategorie verfügen über die Bearbeitungsfunktion (und daher definitionsgemäß auch über die reine Lesefunktion). | |
Bei der Mehrzahl der Kategorieeinstellungen ist die Bearbeitungsfunktion aktiviert, wobei aber bei mindestens einer Unterkategorie die Bearbeitungsfunktion deaktiviert ist. | |
Alle Kategorieeinstellungen sind schreibgeschützt (Bearbeitung deaktiviert). | |
Die Mehrzahl der Kategorieeinstellungen ist schreibgeschützt, wobei aber bei mindestens einer Unterkategorie die Bearbeitungsfunktion aktiviert ist. |
Sie können Rollen zuweisen, die die Funktionen eines Administrators in der Workspace ONE UEM -Konsole erweitern. Sie können auch die vorhandene Rolle bearbeiten, um die Funktionen eines Administrators möglicherweise zu begrenzen oder zu erweitern.
Wenn Sie eine Rolle bearbeiten, die von einem Administrator verwendet wird, wird die Bearbeitung erst wirksam, wenn der Administrator sich abmeldet und anschließend wieder anmeldet.
Sie können alle Ressourcen oder Berechtigungen jeder beliebigen Administratorrolle anzeigen, einschließlich benutzerdefinierter und Standardrollen. Diese Ansicht hilft Ihnen zu ermitteln, welche Aufgaben ein Administrator in der UEM-Konsole ausführen kann.
Rollen bestehen aus Hunderten von Ressourcen, auch Berechtigungen genannt, die Zugriff (Lese- oder Bearbeitungszugriff) auf eine bestimmte Funktion in der UEM-Konsole erlauben.
Die Anzeigen Rolle anzeigen und Rolle bearbeiten sind gleich, außer dass Sie bei Rolle bearbeiten Änderungen vornehmen und mit der Schaltfläche Speichern speichern können.
Führen Sie zum Anzeigen oder Bearbeiten der Ressourcen einer Admin-Rolle die folgenden Schritte aus.
Wählen Sie aus den folgenden Optionen, a oder b:
Einige Fakten zur Liste, unabhängig davon, ob Sie „Ansehen“ oder „Bearbeiten“ auswählen.
Sie können das Textfeld Ressourcen durchsuchen verwenden, um eine bestimmte Funktion nach ihrem Namen aufzurufen. Die Suchfunktion erleichtert die Suche nach einer speziellen Tag-bezogenen Funktion und deren Zuweisung zu einer Rolle.
Wenn Sie beispielsweise eine Administratorrolle anlegen möchten, die nur ein Tag zu einem Gerät hinzufügen kann, geben Sie im Textfeld Ressourcen durchsuchen das Wort „Tag“ ein, und drücken Sie die Eingabetaste. Jede Ressource mit der Zeichenfolge „Tag“ in der Kategorie, dem Namen, der Beschreibung oder den Details zur Beschreibung wird im rechten Fensterbereich angezeigt.
Hinweis: Beachten Sie, dass „Staging“ wie in „Geräte-Staging“ auch die Zeichenfolge „tag“ enthält.
Nächste Schritte: Sie können diese Schritte anwenden, um eigene Rollen zu erstellen. Informationen dazu finden Sie im Abschnitt Erstellen von Administratorrollen auf dieser Seite.
Bei der Erstellung einer Administratorrolle ist es oft einfacher, eine vorhandene Rolle zu ändern, als eine Administratorrolle neu zu erstellen. Mit dem Tool „Vergleichen von Rollen“ können Sie Berechtigungseinstellungen zweier Administratorrollen zu Zwecken der Genauigkeit oder zur Bestätigung Ihrer beabsichtigten Einstellungsunterschiede vergleichen.
Wählen Sie Vergleichen. Die Seite Rollen vergleichen wird mit einer Liste an Kategorien angezeigt. Wählen Sie links eine bestimmte Kategorie, werden rechts alle Details zu dieser Kategorie angezeigt.
„Es bestehen keine Unterschiede in den Berechtigungen zwischen den beiden Rollen.“
Nächste Schritte: Sie können auch Exportieren auswählen, um eine XLSX- oder CSV-Datei (Comma-Separated Values) zu erstellen, die mit Excel angezeigt werden kann. Die Exportdatei enthält alle Einstellungen für die Rollen 1 und 2, womit Sie die Möglichkeit haben, die Unterschiede zwischen den Rollen zu analysieren.
Mit Benutzerrollen können Sie in Workspace ONE UEM powered by AirWatch bestimmte Aktionen aktivieren oder deaktivieren, die Benutzer ausführen können. Zu diesen Aktionen zählt die Steuerung des Zugriffs auf ein Geräte-Wipe oder eine Geräteabfrage sowie die Verwaltung privater Inhalte. Außerdem können Sie mit Benutzerrollen Startseiten anpassen und den Zugriff auf das Self-Service-Portal beschränken.
Bei der Erstellung von mehreren Benutzerrollen handelt es sich um eine zeitsparende Maßnahme. Sie können umfassende Konfigurationen über verschiedene Organisationsgruppen hinweg durchführen oder die Benutzerrolle für einen bestimmten Benutzer jederzeit ändern.
Neben den voreingestellten Standard- und Vollzugriffsrollen können Sie auch benutzerdefinierte Rollen erstellen. Die Verfügbarkeit mehrerer Benutzerrollen fördert die Flexibilität und kann sich unter Umständen als zeitsparend erweisen, wenn neuen Benutzern Rollen zugewiesen werden.
Geben Sie Name und Beschreibung ein und wählen Sie die erste Zielseite des SSP für Anwender mit dieser neuen Rolle.
Bei vorhandenen Benutzerrollen ist die erste Zielseite standardmäßig die Seite Eigene Geräte.
Wählen Sie aus einer Optionsliste die Zugriffs- und Steuerungsebene, über die Endbenutzer dieser zugewiesenen Rolle im SSP verfügen.
Nächste Schritte: Über die Seite „Rollen“ können Sie Rollen einsehen, bearbeiten oder löschen.
Eine Standardrolle ist die Basisrolle, auf der alle Benutzerrollen beruhen. Während der Konfiguration einer Standardrolle können Sie Berechtigungen festlegen, die die Benutzer dann automatisch beim Registrieren erhalten.
Konfigurieren Sie eine Standardebene für den Zugriff von Endbenutzern im Self-Service Portal (SSP), indem Sie eine Standardrolle auswählen.
Diese Rolleneinstellungen sind nach Organisationsgruppe anpassbar. Wählen Sie aus folgenden Optionen aus:
Sie können die Rolle für einen bestimmten Anwender bearbeiten, beispielsweise, um Zugriff auf Workspace ONE UEM-Funktionen zu gewähren oder zu beschränken.
Wenn Sie eine Rolle bearbeiten, die von einem Benutzer verwendet wird, wirken sich Änderungen erst dann aus, wenn sich der Administrator abmeldet und anschließend wieder anmeldet.
Wählen Sie Speichern.
Erstellen eines restriktiven Helpdesk-Administrators und Hinzufügen einer Rolle, die ihm bestimmte Funktionen erteilt
Sie können eine benutzerdefinierte Rolle erstellen, mit der ein Helpdesk-Administrator nur die Aufgaben in Workspace ONE UEM powered by AirWatch ausführen kann, die Sie ihm erlauben. Erfahren Sie, wie Konten, Rollen und programmierbare Berechtigungen funktionieren, um Sie dorthin zu bringen, wohin Sie müssen.