Puede hacer que las funciones otorguen tipos de acceso específicos a Workspace ONE UEM basado en AirWatch. Defina roles para usuarios y grupos individuales en función de los niveles de acceso de la consola de UEM que encuentre útiles.
Por ejemplo, los administradores del servicio de asistencia de la empresa pueden tener acceso limitado dentro de la consola, mientras que el administrador de TI tiene acceso a más permisos. Para obtener más información sobre este ejemplo, consulte el caso práctico Cómo se crea un administrador del servicio de asistencia restrictivo y se agrega una función que le otorgue permisos específicos.
Para habilitar el control de acceso basado en funciones, primero tiene que configurar las funciones de administradores y usuarios en la consola de UEM. Los recursos específicos, también conocidos como permisos, definen estos roles, que habilitan y desactivan el acceso a varias funciones dentro de la consola de UEM. Puede crear funciones de usuario que concedan acceso al portal de autoservicio.
Ya que las funciones (y específicamente los recursos o los permisos) determinan qué pueden y no pueden hacer los usuarios y administradores en la consola de UEM, se debe tener cuidado a la hora de otorgar los permisos o recursos correctos. Por ejemplo, si necesita que los administradores introduzcan una nota antes de que se pueda realizar una eliminación empresarial en un dispositivo, el rol no solo debe tener los permisos para realizar la eliminación empresarial en el dispositivo, también debe tener los permisos para agregar una nota.
Las funciones son importantes para mantener la seguridad de su flota de dispositivos, por ejemplo, la creación de usuarios provisionales, que es un privilegio de administrador de nivel elevado. Deberá tratar las credenciales de usuarios provisionales como privilegios de administrador y no divulgar las credenciales de usuario.
Workspace ONE UEM basado en AirWatch ofrece varias funciones predeterminadas que puede seleccionar. Estos roles predeterminados están disponibles con cada actualización y permiten asignar roles de manera rápida a los usuarios nuevos. Puede personalizar aún más los privilegios y los permisos de usuario si necesita más personalización.
A diferencia de los roles predeterminados, los roles personalizados requieren actualizaciones manuales con cada actualización de la versión de Workspace ONE UEM.
Todos los tipos de rol tienen ventajas y desventajas inherentes. Los Roles predeterminados ahorran tiempo en la configuración de un rol completamente nuevo, se adaptan lógicamente a varios privilegios administrativos y se actualizan automáticamente con nuevas funciones y ajustes. Sin embargo, es posible que las funciones predeterminadas no sean adecuadas para su organización o implementación de MDM, razón por la cual las funciones personalizadas están disponibles.
Las funciones están disponibles de forma predeterminada para los usuarios de dispositivos en la consola de administración de extremos unificada.
Los Roles personalizados permiten personalizar todos los roles únicos que se desee y ajustar cambios grandes o pequeños para los diferentes usuarios y administradores. Sin embargo, debe mantener manualmente las funciones personalizadas a lo largo del tiempo y actualizarlas con nuevas funciones.
Si ninguno de los roles predeterminados disponibles cumplen con los requisitos para su organización, considere modificar un rol predeterminado que ya exista y crear un rol personalizado.
Cree un rol de usuario final personalizado editando un rol predeterminado incluido en la consola de UEM.
Los siguientes roles están disponibles de forma predeterminada para los administradores en Workspace ONE UEM Console.
Utilice la herramienta para comparar roles administrativos para comparar los permisos específicos de dos roles administrativos. Para obtener más información, consulte la sección de esta página titulada Cómo crear una función de administrador.
Rol | Descripción |
---|---|
Administrador del sistema | El rol de administrador del sistema proporciona acceso completo a un entorno de Workspace ONE UEM. También incluye acceso a los ajustes de contraseña y seguridad, a la administración de sesiones y a información de auditoría de la consola de UEM que se encuentra en la pestaña Administración, en Configuración del sistema. Este rol está limitado a administradores de entorno, por ejemplo, equipos de operaciones de SaaS para todos los entornos de SaaS alojados por VMware. |
Administrador de AirWatch | El rol de administrador de AirWatch ofrece acceso completo al entorno de Workspace ONE UEM. Sin embargo, el acceso excluye la pestaña Administración en la Configuración del sistema, ya que esta pestaña administra los ajustes de nivel superior en la consola de UEM. Este rol se limita a los empleados de VMware con acceso a los entornos con fines de solución de problemas, instalación y configuración. |
Administrador de la consola | El rol de administrador de la consola es el rol administrativo predeterminado para los entornos de SaaS compartidos. El rol cuenta con una funcionalidad limitada en cuanto a atributos de política de conformidad, creación de informes y selección de grupos organizativos. |
Administrador del dispositivo | El rol de administrador de dispositivos brinda a los usuarios acceso significativo a la consola de UEM. Sin embargo, este rol no está diseñado para configurar la mayoría de las Configuraciones del sistema. Estas configuraciones incluyen Active Directory (AD)/Protocolo ligero de acceso a directorios (LDAP), Protocolo simple de transferencia de correo (SMTP), hubs de interfaz de dispositivo-UEM, como Intelligent Hub, etc. Para esas tareas importantes es más apropiado utilizar un rol de alto nivel como Administrador de AirWatch o Administrador del sistema. |
Visor de reportes | El rol del visor de reportes permite ver los datos recopilados a través de la administración de dispositivos móviles (MDM). Este rol solo otorga acceso a los usuarios para generar, ver y exportar informes de la consola de UEM, así como para suscribirse a ellos. |
Administración de contenido | El rol de administración de contenido solo otorga acceso a la administración de VMware AirWatch Content Locker. Utilice este rol para los administradores especializados encargados de cargar y administrar el contenido de la flota de dispositivos. |
Administración de aplicaciones | La función Administración de aplicaciones permite que los administradores que tengan este nivel de permisos implementen y administren las aplicaciones internas y públicas de la flota de dispositivos. Utilice este rol para los administradores de aplicaciones. |
Servicio de asistencia | El rol de servicio de asistencia proporciona las herramientas necesarias para la mayoría de las funciones del servicio de asistencia de TI del nivel 1. La utilidad principal de este rol es permitir a los administradores de AirWatch ver la información de los dispositivos y responder a través de acciones remotas. Sin embargo, este rol también permite las acciones de ver informes y buscar dispositivos. |
Administrador del catálogo de aplicaciones solamente | El rol administrativo Solo catálogo de aplicaciones tiene prácticamente los mismos permisos que Administración de aplicaciones. Además de estos permisos encontramos la capacidad de agregar y mantener cuentas de usuario y administrador, grupos de usuarios y administradores, detalles de dispositivos y etiquetas. |
Sólo lectura | El rol de solo lectura ofrece acceso a la mayor parte de la consola de UEM, pero limita el acceso al estado de solo lectura. Utilice este rol para auditar o registrar la configuración en un entorno de Workspace ONE UEM. Este rol no es útil para los administradores o los operadores del sistema. |
Administrador de Horizon | El rol Administrador de Horizon es un conjunto de permisos especialmente diseñado para complementar una configuración de Workspace ONE UEM integrada en la vista de VMware Horizon View. |
Administrador de NSX | El rol Administrador de NSX es un conjunto de permisos especialmente diseñado para complementar VMware NSX integrado en Workspace ONE UEM. Este rol ofrece el complemento completo de permisos de administración de certificados y sistema, lo que permite a los administradores complementar la seguridad de los extremos con la seguridad del centro de datos. |
Oficial de privacidad | El rol Oficial de privacidad ofrece acceso de lectura a Información general del Monitor, la Vista de lista de dispositivos, la opción Ver ajustes del sistema y permisos de edición completos para los ajustes de privacidad. |
Si los roles predeterminados disponibles no cumplen con los requisitos organizativos para los recursos administrativos, considere modificar un rol predeterminado que ya exista y utilícelo para crear un rol administrativo personalizado.
Cree un rol administrativo personalizado editando un rol predeterminado incluido en la consola de UEM.
Pasos siguientes: Para obtener más información, consulte la sección de esta página titulada Cómo crear una función de administrador.
Puede habilitar o desactivar los permisos para todos los ajustes y recursos disponibles en Workspace ONE UEM basado en AirWatch. Estos ajustes conceden o restringen capacidades de la consola para cada miembro del equipo administrativo, lo que permite crear una jerarquía de administradores que se adapte específicamente a sus necesidades.
La creación de múltiples roles administrativos es una medida que ahorra tiempo. Realizar configuraciones completas en diferentes grupos organizativos significa que puede cambiar los permisos para un administrador específico en cualquier momento.
Si edita una función que está utilizando un administrador, los cambios no se aplicarán hasta que el administrador cierre sesión y vuelva a iniciarla.
Acceda a Cuentas > Administradores > Roles.
Puede eliminar un rol no utilizado de la biblioteca de roles administrativos. No puede eliminar una función asignada. Seleccione una función sin asignar y seleccione el botón Eliminar.
Puede editar el nombre, la descripción y los permisos específicos de una función. Seleccione el icono del lápiz a la izquierda del nombre de la función de la lista y aparece la pantalla Editar función.
También puede exportar un archivo CSV (valores separados por comas) que contenga toda la Vista de lista de funciones de administrador. A continuación, puede ver y analizar este archivo con MS Excel. Seleccione el botón Exportar y acceda a Monitor > Informes y análisis > Exportaciones para ver y descargar el informe resultante.
Acceda a Cuentas > Administradores > Roles y seleccione Agregar rol en la consola de UEM.
En el campo Crear rol, introduzca el Nombre y la Descripción del rol.
Realice una selección en la lista de Categorías.
La sección Categorías organiza categorías de alto nivel, como Administración de dispositivos, que contiene las subcategorías Aplicaciones, Navegador y Administración en masa, entre otras. La subdivisión de esta categoría facilita un proceso de creación de roles sencillo y rápido. Los ajustes de cada subcategoría en el panel derecho tienen una casilla para Leer y Editar.
Cuando realiza una selección en la sección Categorías, el contenido de esa subcategoría (ajustes individuales) se rellenarán en el panel derecho. Cada ajuste individual tienen sus propias casillas Leer y Editar, aparte de las casillas con la opción "Seleccionar todo" para Leer y Editar, que puede elegir en cada encabezado de columna. Esas casillas le proporcionan un nivel de control y personalización flexibles a la hora de crear un rol.
Utilice el cuadro de texto Buscar recursos para reducir el número de recursos del cual puede seleccionar. Por lo general, los recursos están etiquetados del mismo modo en el que se hace referencia a ellos en la consola de UEM. Por ejemplo, si desea limitar una función administrativa para editar los registros de aplicaciones, introduzca "Registros de aplicaciones" en el cuadro Buscar recursos y aparecerá una lista de todos los recursos que contienen la cadena "Registros de aplicaciones".
Seleccione la casilla apropiada para Leer y Editar en las opciones de recursos correspondientes. También puede borrar cualquier recurso seleccionado.
Para realizar selecciones globales en las categorías, seleccione la opción Ninguno, Leer o Editar directamente desde la sección Categorías, sin necesidad de rellenar el panel derecho. Seleccione el icono circular a la derecha de la etiqueta Categoría, que es un menú desplegable. Utilice este método de selección cuando esté completamente seguro de que desea seleccionar Ninguno, Solo lectura o Editar para las capacidades de los ajustes de toda la categoría.
Pasos siguientes: Debe actualizar el rol personalizado después de cada actualización de Workspace ONE UEM para tener en cuenta todas las nuevas funcionalidades en la última versión.
Las funciones de administrador constituyen un recurso portátil. Esta portabilidad puede ahorrar tiempo si se gestionan varios entornos de Workspace ONE UEM. Puede exportar los ajustes desde un entorno como un archivo XML y, a continuación, importar ese archivo XML a otro entorno. Esta actividad puede causar problemas de control de versiones.
Acceda a Cuentas > Administradores > Roles y seleccione Importar rol.
En la página Importar rol, seleccione Examinar y busque el archivo XML que haya guardado. Cargue la función de administrador en la lista de categorías para su validación seleccionando Cargar.
Puede haber casos en que una función exportada se importe a un entorno que ejecute una versión anterior de Workspace ONE UEM. La versión anterior no tiene necesariamente los mismos recursos y permisos que componen el rol importado.
En estos casos, Workspace ONE UEM notifica el siguiente mensaje:
No se encuentran ciertos permisos de este entorno en el archivo importado. Revise y corrija los permisos resaltados antes de guardar.
Utilice la página de lista de categorías para anular la selección de los permisos resaltados. Esta acción permite guardar el rol en el nuevo entorno.
Puede crear una copia de un rol existente para ahorrar tiempo. También puede cambiar los permisos de la copia y guardarla con un nombre diferente.
Si va a importar un rol administrativo con el mismo nombre que otro rol administrativo ya existente, es posible que le resulte útil cambiar primero el nombre de este último. Al cambia el nombre de un rol, podrá mantener tanto el rol nuevo como el antiguo dentro del mismo entorno.
En la sección Categorías, existe un indicador visual que refleja la selección actual de Solo lectura, Editar o una combinación de ambas. Este indicador indica cuál es el ajuste sin que tenga que abrir y examinar los ajustes de cada subcategoría.
El indicador tiene un icono circular ubicado a la derecha de la lista de categorías que proporciona información sobre lo siguiente.
Icono | Descripción |
---|---|
Todas las opciones de esta categoría cuentan con capacidad de edición (lo que significa que también cuentan con la capacidad de solo lectura). | |
La mayoría de los ajustes de categoría tienen la capacidad de edición habilitada, pero hay al menos una subcategoría que la tiene desactivada. | |
Todos los ajustes de la categoría tienen la capacidad de solo lectura (la edición está desactivada). | |
La mayoría de los ajustes de categoría son de solo lectura, pero hay al menos una subcategoría que tiene la función de editar habilitada. |
Puede asignarle funciones a un administrador para ampliar sus capacidades en Workspace ONE UEM Console. También puede editar la carga existente de la función, lo que puede limitar o ampliar las capacidades de un administrador.
Si edita una carga de una función que está utilizando un administrador, los cambios no tendrán efecto hasta que el administrador cierre sesión y vuelva a iniciarla.
Seleccione la pestaña Funciones y, a continuación, elija entre las siguientes, a, b o una combinación de ambas:
a. Si desea agregar una nueva función a la cuenta administrativa, seleccione el botón Agregar función y, a continuación, introduzca los detalles de Grupo organizativo y Función de cada función que agregue.
b. Si desea eliminar una función existente de la cuenta administrativa, seleccione la función y, a continuación, haga clic en el botón Eliminar.
Seleccione Guardar.
Puede ver todos los recursos o permisos de cualquier rol administrativo, incluidos los roles personalizados o predeterminados. Esta vista puede ayudarle a determinar qué puede, y no puede, hacer un administrador en la consola de UEM.
Las funciones están formadas por cientos de recursos, o permisos, que sirven de acceso (de solo lectura o edición) a una función específica dentro de UEM Console.
Las pantalla Ver función y Editar función son las mismas, con la excepción de que la pantalla Editar función le permite realizar y guardar cambios con el botón Guardar.
Para ver o editar los recursos de una función administrativa, realice los siguientes pasos.
Seleccione entre las siguientes opciones, a o b:
a. Para ver la función, seleccione el nombre de la función, que es un enlace, y se mostrará la pantalla Ver función, que contiene todos los permisos asociados con la función. Cuando finalice la auditoría de los roles administrativos, seleccione Cerrar.
b. Para editar la función, seleccione el icono Editar () a la izquierda del nombre de la función y se mostrará la pantalla Editar función. Edite la función agregando o eliminando las marcas de verificación Lectura y Editar. Cuando termine de editar la función, seleccione Guardar.
Algunos aspectos sobre la lista, si selecciona Ver o Editar.
Puede utilizar el cuadro de texto Buscar recursos para localizar una función específica por su nombre. Esta función de búsqueda facilita la tarea de localizar la función relacionada con la etiqueta específica y asignarla a una función.
Por ejemplo, si desea que una función administrativa solo pueda agregar una etiqueta a un dispositivo, escriba la palabra "etiqueta" en el cuadro de texto Buscar recursos y pulse la tecla Intro. Todos los recursos que contengan la cadena "etiqueta" en la categoría, el nombre, la descripción o los detalles de la descripción aparecen en el panel derecho.
Aviso: Tenga en cuenta que "provisional" (como en los dispositivos provisionales) también incluye la cadena "etiqueta".
Pasos siguientes: Puede aplicar estos pasos para crear sus propias funciones; para ello, visite la sección de esta página con el título Cómo crear una función de administrador.
A la hora de crear una función administrativa, a menudo es más sencillo modificar una función rol existente que crear una desde cero. La herramienta Comparar funciones le permite comparar los ajustes de permisos de dos funciones administrativas para garantizar su precisión o confirmar las diferencias de los ajustes que estableció de forma deliberada.
Seleccione Comparar. La página Comparar roles muestra una lista de categorías. Al seleccionar una categoría específica a la izquierda, todos los detalles de esa categoría se rellenarán.
"No hay diferencias entre los permisos de estas dos funciones."
Pasos siguientes: También puede seleccionar Exportar para crear un archivo XLSX o CSV (valores separados por comas) que puede verse en Excel. El archivo de exportación contiene todos los ajustes del Rol 1 y el Rol 2 para que pueda analizar las diferencias entre ellos.
Las funciones de usuario en Workspace ONE UEM basado en AirWatch permiten habilitar o desactivar las acciones específicas que los usuarios pueden realizar. Entre estas acciones se incluye controlar el acceso a una eliminación total, consultar dispositivos y administrar contenido personal. Las funciones de usuario también pueden personalizar las páginas de destino iniciales y restringir el acceso al portal de autoservicio.
La creación de múltiples roles de usuario es una medida que ahorra tiempo. Puede realizar configuraciones completas en diferentes grupos organizativos o cambiar el rol del usuario para un usuario específico en cualquier momento.
Además de los roles de acceso básico y de acceso completo predeterminados, también puede crear roles personalizados. Tener varios roles disponibles fomenta la flexibilidad y puede ahorrar tiempo a la hora de asignar roles a usuarios nuevos.
Introduzca el Nombre y la Descripción y seleccione la Página de destino inicial del SSP para los usuarios que tengan este nuevo rol.
Para los roles de usuario existentes, la Página de destino inicial predeterminada es la página Mis dispositivos.
Seleccione, en la lista de opciones, el nivel de acceso y control que los usuarios finales de este rol asignado tienen en el SSP.
Pasos siguientes: En la página de roles puede ver, editar o eliminar roles.
Un rol predeterminado es un valor de referencia para todos los roles de usuario. Si configura un rol predeterminado, podrá establecer los permisos y privilegios que los usuarios reciben automáticamente durante la inscripción.
Configure un nivel de acceso predeterminado para los usuarios finales en el portal de autoservicio (SSP) mediante la selección de un rol predeterminado.
Estas configuraciones de los roles se pueden personalizar por grupo organizativo. Escoja una de las siguientes opciones.
Puede editar el rol de un usuario específico para, por ejemplo, otorgarle o restringirle el acceso a funciones de Workspace ONE UEM.
Si edita una función que está utilizando un usuario, los cambios no tendrán efecto hasta que el usuario cierre sesión y vuelva a iniciarla.
Consulte también: Cómo se crea un administrador del servicio de asistencia restrictivo y se agrega una función que le otorgue permisos específicos.
Puede crear una función personalizada que permita a un administrador del departamento de servicio de asistencia realizar solo aquellas acciones que usted le permita en Workspace ONE UEM basado en AirWatch. Descubra cómo las cuentas, las funciones y los permisos programables funcionan juntos para que pueda conseguir sus objetivos.