Zu den Funktionen zur Benutzerverwaltung in VMware Workspace ONE Intelligence gehören die rollenbasierte Zugriffssteuerung (Roles Based Access Control, RBAC), Datenzugriffsrichtlinien (Tech Preview) und die Einrichtung von Microsoft Azure Active Directory.

Was ist RBAC?

RBAC verfügt über vordefinierte Rollen, die Sie Administratoren zuweisen können, um ihnen den Zugriff auf die von ihnen verwendeten Ressourcen zuzuweisen. Weisen Sie eine einzelne Rolle zu oder kombinieren Sie Rollen für Administratoren, die Berechtigungen für Ihre gesamte Umgebung benötigen.

Basis- und Verzeichniskonten in Workspace ONE UEM

Eines der Systeme, aus denen Workspace ONE Intelligence Benutzerdaten empfangen kann, ist Workspace ONE UEM. RBAC unterstützt das Hinzufügen von Administratoren aus Workspace ONE UEM sowohl aus Standard- als auch aus verzeichnisbasierten Benutzern.

  • Standardbenutzer sind einzelne Konten, die nicht über einen Identitätsdienst verwaltet werden. Sie benötigen keine Unternehmensinfrastruktur. Diese Anmeldedaten sind nur in Workspace ONE UEM vorhanden und weisen keine Verbundsicherheit auf.
  • Verzeichnisbasierte Benutzer werden in einem Identitätsdienst verwaltet und werden in Workspace ONE UEM hineingezogen. Diese Benutzer greifen mit ihren Verzeichnisdaten auf Ressourcen zu, und alle Änderungen an deren Konten werden mit Workspace ONE UEM synchronisiert.

Azure Active Directory (AD) für die Verwendung von Administratorgruppen

Um Ihre Azure AD-Administratorgruppen mit RBAC zu verwenden, müssen Sie Workspace ONE Intelligence autorisieren, mithilfe von Microsoft Graph-APIs auf Ihre öffentliche Azure AD-Umgebung zuzugreifen.

Workspace ONE Intelligence speichert minimale Informationen aus Azure, etwa Vor- und Nachname des Benutzers, seine Kontakt-E-Mail-Adresse oder seine verbundenen Gruppen. Die Integration umfasst keinen regulären Synchronisierungszeitplan oder Abfragevorgang, sondern validiert Informationen, wenn der Benutzer auf Workspace ONE Intelligence zugreift.

Vorhandene Benutzer und RBAC-Super-Admins

Allen aktuellen Benutzern von Workspace ONE Intelligence, die vor der Einführung von RBAC Zugriff hatten, werden Rollen zugewiesen. Ein Administrator, dem alle Rollen zugewiesen werden, wird als Super-Admin bezeichnet. RBAC umfasst keine separate Rolle für einen Super-Admin.

Einrichtungsprozess

Konfigurieren Sie zum Einrichten von RBAC mehrere Komponenten unter Einstellungen > Administratoren.

  • Autorisieren Sie Workspace ONE Intelligence, um mithilfe des Einrichtungsassistenten eine Verbindung zu Ihrem Azure AD-System herzustellen.
  • Fügen Sie Administratoren hinzu und bearbeiten Sie sie.

Bearbeiten von RBAC-Berechtigungen

Wenn Sie RBAC-Berechtigungen in Workspace ONE Intelligence ändern, sendet das System eine E-Mail mit dem Inhalt Rolle für Konto festgelegt an den RBAC-Benutzer. Die Benachrichtigung informiert darüber, wer die Berechtigungen geändert hat und welche Berechtigungen geändert wurden.

Übertragen der Zuständigkeit für Dashboards und Berichte

Sie können den Bereich Meine Dashboards und Berichte mit anderen Workspace ONE Intelligence-Benutzern gemeinsam nutzen. Der Besitzer des Objekts (Dashboard oder Bericht) hat vollen Zugriff, während die Benutzer, mit denen er das Objekt gemeinsam nutzt, Lesezugriff oder Lese-/Schreibzugriff erhalten. Als Erweiterung der Funktion zur gemeinsamen Nutzung können Administratoren mit der Rolle Administrator auch die Zuständigkeit für Dashboards und Berichte übertragen. Diese Funktion ist hilfreich, wenn Administratoren Ihre Organisation verlassen, weil ihren Workspace ONE Intelligence-Objekten dann kein aktiver Administrator für die Verwaltung mehr zugewiesen ist. Um diese Objekte einem aktiven Administrator zuzuweisen, können Administratoren nach nicht zugewiesenen Objekten suchen und diese neu zuweisen.

Hinzufügen von Administratoren aus Workspace ONE UEM

Um Standard- und verzeichnisbasierte Administratoren hinzuzufügen, die in Workspace ONE UEM für die rollenbasierte Zugriffssteuerung (RBAC) in Workspace ONE Intelligence verwaltet werden, konfigurieren Sie die Einstellungen, damit Administratoren von Workspace ONE UEM aus auf Workspace ONE Intelligence zugreifen können.

Dieser Vorgang umfasst Konfigurationen sowohl in Workspace ONE UEM als auch in Workspace ONE Intelligence. Sie fügen Administratoren in Workspace ONE UEM hinzu oder bearbeiten sie und weisen Ihnen eine Intelligence Admin-Rolle zu. Erteilen Sie anschließend Berechtigungen und konfigurieren Sie RBAC-Konten in Workspace ONE Intelligence.

Wenn Sie die Administratorrollen in Workspace ONE Intelligence nicht zuweisen, müssen sich die neuen RBAC-Administratoren bei der Workspace ONE Intelligence-Konsole anmelden, um den Zugriff mithilfe des Benachrichtigungsprozesses Zugriff anfordern anfordern zu können. Das System sendet Ihnen die entsprechende Anforderung per E-Mail. Mit der E-Mail können Sie Berechtigungen erteilen und RBAC-Konten in Workspace ONE Intelligence konfigurieren.

Verfahren

  1. Fügen Sie in der Workspace ONE UEM console eine Rolle für Administratoren hinzu, um auf Workspace ONE Intelligence zuzugreifen.
    1. Wählen Sie die Organisationsgruppe aus.
    2. Navigieren Sie zu Konten > Administratoren > Rollen > Rolle hinzufügen.
    3. Geben Sie einen Namen und eine Beschreibung ein, damit Sie die Rolle in der Listenansicht finden können. Intelligence Admin - Grants basic admins access to the WS1 Intelligence console.
    4. Geben Sie in das Textfeld Ressourcen durchsuchen „Intelligence“ ein, um die Rolle „Intelligence“ anzuzeigen. Diese Rolle befindet sich unter Kategorien > Monitor > Intelligence.
    5. Geben Sie Administratoren Lese- und Schreibberechtigungen. Die Rolle Intelligence Admin ist jetzt verfügbar, um Administratoren in Workspace ONE UEM zuzuweisen.
  2. Fügen Sie in der Workspace ONE UEM console Administratoren hinzu und weisen Sie Ihnen die Rolle Intelligence zu.
    • Navigieren Sie zu Konten > Administratoren > Listenansicht > Hinzufügen > Administrator hinzufügen.
    • Wählen Sie auf der Registerkarte Standard für die Einstellung Benutzertyp entweder Standard oder Verzeichnis.
      • Standard: Geben Sie auf der Registerkarte Standard die erforderlichen Einstellungen ein, einschließlich Benutzername, Kennwort, Vor- und Nachname. Sie können die 2-Faktor-Authentifizierung aktivieren, bei der Sie zwischen E-Mail und SMS als Übermittlungsmethode und die Ablaufzeit für Token in Minuten wählen. Sie können auch zwischen „Keine“, „E-Mail“ und „SMS“ als Option für die Benachrichtigung wählen. Administratoren erhalten eine automatisch generierte Antwort.
      • Verzeichnis: Geben Sie den Domänen- und Benutzernamen für die Verzeichnisdaten des Administrators ein.
    • Wählen Sie die Registerkarte Rollen und dann die Organisationsgruppe aus. Geben Sie die zuvor hinzugefügte Rolle Intelligence Admin ein.
  3. Dieser Schritt ist erforderlich, wenn Sie die in Workspace ONE Intelligence zugewiesenen Rollen nicht zuweisen. Administratoren können sich bei Workspace ONE Intelligence anmelden und den Vorgang Zugriff anfordern abschließen. Wenn Sie auf der Seite Beschränkter Zugriff die Schaltfläche Zugriff anfordern auswählen, sendet das System eine E-Mail-Benachrichtigung an zehn aktive Administratoren, die in der Konsole über die Rolle Administrator verfügen, um den Eintrag zu genehmigen. Wenn Benutzer bereits den Zugriff angefordert haben und Zugriff anfordern auswählen, werden sie von der Konsole zur Eingabe Ihrer vorherigen Anforderung aufgefordert, lässt sie aber auch eine andere Anforderung senden.
    • Überprüfen Sie Ihre E-Mail auf Benachrichtigungen mit dem Inhalt Anforderung auf Administratorzugriff. Mit der Schaltfläche Benutzer verwalten können Sie zur Workspace ONE Intelligence-Konsole navigieren.
  4. Gewähren Sie in Workspace ONE Intelligence Zugriff und konfigurieren Sie Administratorberechtigungen.
    • Navigieren Sie zu Einstellungen > Administratoren > Admin, wählen Sie den Administrator aus der Liste aus und klicken Sie auf Bearbeiten.
    • Wählen Sie die entsprechenden Berechtigungen aus und speichern Sie das Administratorkonto. Workspace ONE UEM-Administratoren können jetzt auf Workspace ONE Intelligence zugreifen.

Hinzufügen von Administratoren und Administratorgruppen aus Azure AD

Um Administratoren und Admin-Gruppen aus Azure Active Directory (AD) für die rollenbasierte Zugriffssteuerung (RBAC) in Workspace ONE Intelligence hinzuzufügen, konfigurieren Sie die Einstellungen, damit Administratoren von Workspace ONE Intelligence aus auf Workspace ONE UEM zugreifen können.

Voraussetzungen

Sie müssen Workspace ONE Intelligence autorisieren, eine Verbindung mit Ihrer Azure AD-Umgebung herzustellen.

Verfahren

  1. Navigieren Sie in der Workspace ONE Intelligence Konsole zu Einstellungen > Administratoren > Admin und wählen Sie Hinzufügen aus. Um Azure AD-Gruppen hinzuzufügen, wählen Sie die Registerkarte Admin-Gruppen aus. Der Menüeintrag Hinzufügen wird nur angezeigt, wenn Sie die Integration in Azure AD konfiguriert haben.
  2. Geben Sie auf der Seite Administrator hinzufügen den Namen des Administrators im Textfeld Benutzer ein und wählen Sie in der Liste den Namen aus. Wenn Sie Azure AD-Admin-Gruppen hinzufügen, navigiert das System zur Seite Administratorgruppe hinzufügen. Geben Sie den Namen der Admin-Gruppe in das Textfeld Gruppe ein.
  3. Wählen Sie die entsprechenden Berechtigungen aus und speichern Sie das Administratorkonto. Der hinzugefügte Administrator wird als Unbekannt (nicht angemeldet) angezeigt, da das System diese Daten nicht aus Azure abruft. Diese Anzeige wird behoben, wenn der Administrator sich bei Workspace ONE Intelligence anmeldet.
  4. Bewegen Sie Administratoren dazu, sich bei Workspace ONE Intelligence anzumelden. Mit diesem Anmeldevorgang wird der Benutzername des Administrators von Unbekannt (nicht angemeldet) in den konfigurierten Benutzernamen aufgelöst.

Beschreibung der RBAC-Rollen

Die rollenbasierte Zugriffssteuerung (RBAC) enthält die Administratortitel „Analytiker“, „Auditor“, „Administrator“ und „Automatisierer“. Jede Rolle verfügt über spezifische Berechtigungen, um mit dem entsprechenden Zugriff auf Workspace ONE Intelligence-Funktionen eine schnelle Zuweisung zu ermöglichen.

Um einen Super-Admin zu erstellen, weisen Sie dem Administratorkonto alle Rollen zu. Workspace ONE Intelligence beinhaltet keine separate Rolle für einen Super-Admin.

Beschreibung der RBAC-Administratoren

  • Administrator: Der Administrator kann Identitäts- und Zugriffsverwaltung, Administratoren und Integrationen erstellen.
    • Erkenntnis Berechtigung – Lesen
    • Einstellungen Berechtigungen – Erstellen, aktualisieren und löschen
  • Analytiker: Analytiker können eigene Objekte erstellen, bearbeiten und löschen und in Abhängigkeit von ihren Berechtigungen andere Objekte bearbeiten. Sie können jedoch keine Einstellungen oder Automatisierungen bearbeiten.
    • Erkenntnis Berechtigung – Lesen
    • Dashboards Berechtigungen – Erstellen, aktualisieren und löschen
    • Berichte Berechtigungen – Erstellen, aktualisieren und löschen
  • Auditor: Auditoren können zu Prüfzwecken einsehen, welche Inhalte andere Administratoren erstellen. Sie haben Lesezugriff auf alle erstellten Inhalte. Wenn Sie über einen Auditor verfügen, der auch Objekte bearbeitet, fügen Sie dem Konto eine der anderen Rollen hinzu.
    • Erkenntnis Berechtigung – Lesen
    • Dashboards Berechtigung – Lesen
    • Berichte Berechtigung – Lesen
    • Automatisierungen Berechtigung – Lesen
    • Einstellungen Berechtigung – Lesen
  • Automatisierer: Automatisierer können Automatisierungen erstellen, bearbeiten und löschen. Sie können auch Integrationen in den Einstellungen konfigurieren, die in Automatisierungen verwendet werden. Indem Sie andere Administratoren am Erstellen von Automatisierungen hindern, können Sie die starken Auswirkungen der Automatisierungen auf die Endpoints besser steuern. Dies hilft auch, die Erstellung von sich überschneidenden oder in Konflikt stehenden Automatisierungen zu verringern.
    • Erkenntnis Berechtigung – Lesen
    • Automatisierungen Berechtigungen – Erstellen, aktualisieren und löschen
    • Integrationen Berechtigungen – Erstellen, aktualisieren und löschen

Tech Preview: Was sind Datenzugriffsrichtlinien?

Datenzugriffsrichtlinien in Workspace ONE Intelligence steuern, welche Daten Ihre Benutzer, insbesondere Analytiker, in Dashboards und Berichten sehen. Zur Steuerung des Zugriffs verwendet Workspace ONE Intelligence Organisationsgruppen, die in VMware Workspace ONE UEM konfiguriert sind.

Tech Previews

Workspace ONE Intelligence bietet Datenzugriffsrichtlinien als Tech Preview an. Tech Preview-Funktionen sind nicht vollständig getestet und einige Funktionen funktionieren möglicherweise nicht wie erwartet. Allerdings helfen diese Previews Workspace ONE Intelligence, die aktuelle Funktionalität zu verbessern und zukünftige Verbesserungen zu entwickeln.

Steuern des Zugriffs nach Organisationsgruppe oder Erteilen aller Zugriffsrechte

Sie können den Zugriff eines Benutzers auf Workspace ONE UEM-Daten einschränken, indem Sie diesen einer restriktiven Datenzugriffsrichtlinie zuweisen. Workspace ONE Intelligence steuert Daten mithilfe von Organisationsgruppen für Workspace ONE UEM. Wenn Sie den Datensatz eines Benutzers einschränken möchten, weisen Sie diesen der Datenzugriffsrichtlinie zu, die mit der entsprechenden Organisationsgruppe konfiguriert ist. Weitere Informationen zu Organisationsgruppen in Workspace ONE UEM finden Sie unter Organisationsgruppen.

Wenn Sie den Zugriff eines Benutzers auf Daten nicht einschränken möchten, weisen Sie diesen der Datenzugriffsrichtlinie zu, die so konfiguriert ist, dass sämtliche Zugriffsrechte erteilt werden.

Sofortige Aktivierung

Nachdem Sie Ihre erste Datenzugriffsrichtlinie aktiviert haben, können Benutzer, die nur über Analytikerberechtigungen verfügen und denen keine Datenzugriffsrichtlinien zugewiesen sind, Workspace ONE UEM-Daten in Workspace ONE Intelligence nicht sehen. Um sicherzustellen, dass Ihre Analytiker weiterhin Daten abrufen können, weisen Sie sie einer Richtlinie zu.

Nur für Analytiker

Benutzer, die Sie Datenzugriffsrichtlinien zuweisen möchten, dürfen ausschließlich über die RBAC-Berechtigung Analytiker verfügen. Diese Benutzer dürfen nicht über andere RBAC-Berechtigungen verfügen.

Zuweisen zu einer einzelnen Richtlinie

Um zu verhindern, dass Datenzugriff versehentlich eingeschränkt oder zugelassen wird, sollten Sie einen Benutzer nur eine Richtlinie zuweisen. Weisen Sie einen Benutzer nicht mehreren Datenzugriffsrichtlinien zu.

Gemeinsame Nutzung von Objekten und Objektvorschau

Datenzugriffsrichtlinien gelten für Abfragen in Objekten. Wenn Sie Objekte gemeinsam nutzen, nutzen Sie auch diese Abfragen gemeinsam. Berücksichtigen Sie dieses Verhalten, wenn Sie Objekte gemeinsam nutzen. Sie können ein Objekt mit einem Benutzer gemeinsam nutzen, der einer Datenzugriffsrichtlinie zugewiesen ist, die verhindert, dass alle Daten in einem Dashboard oder in einer Berichtsvorschau angezeigt werden. Dieses Verhalten tritt bei der Vorschau und nicht bei der tatsächlichen Generierung des Datenzugriffs für Benutzer auf.

Sonstige Überlegungen

  • Datenzugriffsrichtlinien erfordern die Integration in Workspace ONE UEM. Verwenden Sie die Organisationsgruppenhierarchie für Workspace ONE UEM, um Datenzugriffsrichtlinien zu konfigurieren und den Datenzugriff zu steuern.
  • Datenzugriffsrichtlinien gelten für einen begrenzten Datensatz und nicht für alle Datensätze in Workspace ONE UEM.
  • Datenzugriffsrichtlinien steuern die Daten, die auf Dashboards und in Berichten angezeigt werden.
  • Sie müssen über die RBAC-Berechtigung Administrator verfügen, um Datenzugriffsrichtlinien zu erstellen und zuzuweisen.

Navigieren zu Datenzugriffsrichtlinien

Nachdem Sie Ihre ersten Richtlinien erstellt und aktiviert haben, können Sie in der Console unter Einstellungen > Datenzugriffsrichtlinie weitere Datenzugriffsrichtlinien bearbeiten oder hinzufügen.

Wie erstelle ich meine erste Datenzugriffsrichtlinie?

Wenn Sie Datenzugriffsrichtlinien erstellen möchten, navigieren Sie zum Bereich Erste Schritte von Workspace ONE Intelligence.

  1. Eine Karte für die Funktion finden Sie unter Erste Schritte > Benutzerverwaltung > Zugriff auf Daten einschränken.
  2. Wählen Sie die Karte Zugriff auf Daten einschränken aus. Sie müssen mindestens eine Richtlinie hinzufügen, um die Funktion verwenden zu können.
  3. Wählen Sie Hinzufügen.
  4. Wählen Sie im Fenster Datenzugriffsrichtlinie hinzufügen eine Datenkategorie aus.
    • Vollzugriff: Benutzern, denen diese Richtlinie zugewiesen ist, können alle Workspace ONE UEM-Daten abrufen.
    • Organisationsgruppen für Workspace ONE UEM: Benutzer, denen diese Richtlinie zugewiesen ist, können Daten abrufen, die in Workspace ONE UEM auf der ausgewählten Organisationsgruppenebene verwaltet werden. Wählen Sie die Gruppe im Menüelement Organisationsgruppenhierarchie aus.
  5. Wählen Sie im Bereich Benutzer zuweisen Benutzer aus. Diese Benutzer dürfen ausschließlich über die Rolle Analytiker verfügen, damit sie die entsprechenden Daten auf Dashboards und in Berichten abrufen können.
  6. Rufen Sie die Übersicht auf und speichern Sie Ihre Richtlinie. In Workspace ONE Intelligence ist die Richtlinie in der Listenansicht Datenzugriffsrichtlinie aufgeführt.
  7. Wählen Sie Aktivieren aus, wenn Sie bereit sind, den Datenzugriff für zugewiesene Benutzer zu steuern.

Wie weise ich nicht zugewiesenen Analytikern Richtlinien zu?

Wenn Sie sicherstellen möchten, dass Ihre Administratoren weiterhin Zugriff auf Daten haben, können Sie Benutzer auf der Seite Administratoren nach Aktiven Benutzern filtern und alle Administratoren, die nur über Analytiker-Berechtigungen verfügen, einer Datenzugriffsrichtlinie zuweisen.

  1. Navigieren Sie in Workspace ONE Intelligence zu Einstellungen > Administratoren.
  2. Wählen Sie den Filter Aktive Benutzer aus.
  3. Suchen Sie nach Administratoren, die ausschließlich über die Rolle Analytiker verfügen und für die in der Spalte Datenzugriffsrichtlinie keine Richtlinie aufgeführt ist.
  4. Wählen Sie den Benutzer aus und klicken Sie auf Bearbeiten.
  5. Wählen Sie Datenzugriffsrichtlinie zuweisen aus.
  6. Wählen Sie die Datenzugriffsrichtlinie aus, die Sie dem Analytiker zuweisen möchten, und klicken Sie auf Hinzufügen.

Microsoft Azure Active Directory

Um Azure Active Directory(AD)-Gruppen in der Funktion „Rollenbasierte Zugriffssteuerung“ (RBAC) zu verwenden, autorisieren Sie Workspace ONE Intelligence, eine Verbindung mit Ihrer Azure AD-Umgebung herzustellen.

Workspace ONE Intelligence verwendet die Microsoft Graph-API, um mit Ihrer Azure-Umgebung zu kommunizieren.

Voraussetzungen

Sie müssen über die entsprechenden Berechtigungen verfügen, um ein öffentliches Azure AD-Konto zu konfigurieren. Verwenden Sie Ihre Azure AD-Administratoranmeldedaten für die Registrierung. Wenn Sie nicht über Administratorberechtigungen zum Einrichten von Azure AD verfügen, müssen Sie einen Azure AD-Admin bitten, Ihre Umgebung in Workspace ONE Intelligence zu registrieren.

Verfahren

  1. Navigieren Sie in der Workspace ONE Intelligence console zu Einstellungen > Administratoren > Benutzeridentitätsverwaltung > Microsoft Azure Active Directory > Einrichten. Das System leitet Sie an den Microsoft-Bereich Ihrer Organisation weiter. Wenn Sie über Azure AD-Administratorberechtigungen verfügen, werden Sie vom System aufgefordert, Ihre Azure AD-Anmeldedaten einzugeben.
  2. Klicken Sie im Microsoft-Fenster auf Akzeptieren, um Workspace ONE Intelligence Berechtigungen für den Zugriff auf Daten in Azure zu erteilen. Wenn das System die Berechtigungen akzeptiert, erscheint die Microsoft Azure Active Directory-Integration mit dem Status: Autorisiert.
    • Erteilen Sie die Berechtigung zum Anmelden und Lesen von Benutzerprofilen in Azure.
    • Erteilen Sie die Berechtigung zum Lesen aller Gruppen in Azure.
    • Erteilen Sie die Berechtigung zum Lesen der vollständigen Profile aller Benutzer in Azure.

Ergebnisse

Wenn Sie einen Administrator oder eine Gruppe in Workspace ONE Intelligence hinzufügen, können Sie in Ihrer Azure Active Directory-Umgebung unter Benutzern und Gruppen auswählen.

Nächste Schritte

Fügen Sie unter Einstellungen > Administratoren Administratoren hinzu und bearbeiten Sie sie. Informationen zu den verschiedenen Rollen und deren Berechtigungen finden Sie in „Beschreibung der RBAC-Rollen“.

check-circle-line exclamation-circle-line close-line
Scroll to top icon