Las funciones de Administración de cuentas en VMware Workspace ONE Intelligence incluyen el control de acceso basado en funciones (Roles Based Access Control, RBAC) para administradores, las directivas de acceso a datos, la configuración de Microsoft Azure Active Directory y la administración de los límites del sistema asignados a los administradores. Estas funciones están disponibles en el área Cuentas de la consola.
El control de acceso basado en funciones (RBAC) tiene funciones predefinidas que puede asignar a los administradores para acceder a los recursos que usan. Asigne una única función o combine funciones para los administradores que requieran permisos para todo el entorno.
Uno de los sistemas de los que Workspace ONE Intelligence puede obtener datos de usuario es Workspace ONE UEM. RBAC permite agregar administradores desde Workspace ONE UEM tanto de usuarios básicos como de usuarios basados en directorios.
Para usar los grupos administrativos de Azure AD con RBAC, debe autorizar a Workspace ONE Intelligence para que acceda al entorno público de Azure AD mediante las API de Microsoft Graph.
Workspace ONE Intelligence almacena la información mínima de Azure, como el nombre y apellidos del usuario, el correo electrónico de contacto o sus grupos afiliados. La integración no incluye una programación de sincronización regular ni una operación de sondeo, sino que valida la información cuando el usuario accede a Workspace ONE Intelligence.
A los usuarios actuales de Workspace ONE Intelligence con acceso antes de la introducción de RBAC se les asignarán todas las funciones. Un administrador con todas las funciones asignadas es un superadministrador. RBAC no tiene una función única para un superadministrador.
Para instalar RBAC, configure varios componentes en Cuentas > Administradores.
Cuando se modifican los permisos de RBAC en Workspace ONE Intelligence, el sistema envía un correo electrónico de Función de cuenta modificada al usuario de RBAC. La notificación indica quién ha cambiado los permisos y qué permisos se han cambiado.
Puede compartir paneles de control e informes con otros usuarios de Workspace ONE Intelligence. El propietario del objeto (panel de control o informe) está designado con acceso completo, mientras que los usuarios que comparten el objeto están designados con acceso de visualización (solo lectura) o edición (lectura y escritura). Como extensión de la funcionalidad de uso compartido, los administradores que tienen la función de administrador también pueden transferir la propiedad de los paneles de control y los informes. Esta función es útil una vez que los administradores abandonan la organización porque sus objetos de Workspace ONE Intelligence ya no tienen un administrador activo para administrarlos. Para asignar estos objetos a un administrador activo, los administradores pueden buscar objetos sin propietario y reasignarlos.
Para agregar administradores basados en directorios y básicos administrados en Workspace ONE UEM para el control de acceso basado en funciones (RBAC) en Workspace ONE Intelligence, deberá configurar los ajustes para permitir que los administradores accedan a Workspace ONE Intelligence desde Workspace ONE UEM.
Este proceso incluye configuraciones en Workspace ONE UEM. Puede agregar o editar administradores en Workspace ONE UEM y asignarles una función Intelligence Admin
. Los permisos y las funciones de administrador se gestionan en VMware Cloud Services.
Los administradores de RBAC nuevos deben iniciar sesión en la consola de Workspace ONE Intelligence para solicitar acceso mediante el proceso de notificación Solicitar acceso. El sistema le enviará su solicitud por correo electrónico y el correo electrónico será el que le indique que debe conceder permisos y configurar cuentas de RBAC en Workspace ONE Intelligence.
Aviso: Puede editar los permisos y las funciones de administrador de Workspace ONE Intelligence a través de VMware Cloud Services. Para obtener más información, consulte Administración de identidades y acceso.
Intelligence Admin - Grants basic admins access to the WS1 Intelligence console.
Intelligence Admin
ahora está disponible para asignarla a los administradores en Workspace ONE UEM.Intelligence Admin
.Para agregar administradores y grupos de administrador basados desde Azure Active Directory (AC) para el control de acceso basado en funciones (RBAC) en Workspace ONE Intelligence, deberá configurar los ajustes para permitir que los administradores accedan a Workspace ONE Intelligence desde Workspace ONE UEM.
Debe autorizar la conexión de Workspace ONE Intelligence con su entorno de Azure AD.
El control de acceso basado en funciones (RBAC) incluye los títulos de administrador de Analista, Auditor, Administrador y Automatizador. Cada función tiene permisos específicos para ofrecer una asignación rápida con acceso adecuado a las funciones de Workspace ONE Intelligence.
Para crear un superadministrador, asigne todas las funciones a la cuenta de administrador. Workspace ONE Intelligence no tiene una función única independiente para el superadministrador.
Las políticas de acceso a datos en Workspace ONE Intelligence controlan los datos que sus usuarios, específicamente los analistas, pueden ver en los paneles de control y los informes. Para controlar el acceso, Workspace ONE Intelligence utiliza grupos organizativos configurados en VMware Workspace ONE UEM.
Puede restringir el acceso de un usuario a los datos de Workspace ONE UEM asignándolos a una directiva de acceso a datos restrictiva. Workspace ONE Intelligence controla los datos mediante los grupos organizativos de Workspace ONE UEM. Para restringir el conjunto de datos de un usuario, asígnelos a la directiva de acceso a datos configurada con el grupo organizativo correspondiente. Para obtener más información sobre los grupos organizativos en Workspace ONE UEM, acceda al tema Grupos organizativos.
Si no desea restringir el acceso de un usuario a los datos, asígnelos a la directiva de acceso a datos configurada para permitir el acceso a todos los niveles.
Después de activar su primera política de acceso a datos, los usuarios que solo tienen permisos de analista y que no están asignados a políticas de acceso a datos no pueden ver los datos de Workspace ONE UEM en Workspace ONE Intelligence. Para garantizar que sus analistas sigan visualizando los datos, asígnelos a una política.
Los usuarios que desea asignar a las políticas de acceso a datos deben tener el permiso de analista de RBAC y solo ese permiso. Estos usuarios no pueden tener otros permisos de RBAC.
Para evitar restringir o permitir accidentalmente el acceso a los datos, asigne un usuario a una sola política. No asigne un usuario a varias políticas de acceso a datos.
Las políticas de acceso a datos se aplican a las consultas de los objetos y, al compartir objetos, estas consultas se comparten. Tenga en cuenta este comportamiento al compartir objetos. Puede compartir un objeto con un usuario al cual se le haya asignado una política de acceso a datos que le impida poder ver todos los datos en un panel de control o una vista previa del informe. Este comportamiento se aplica a las vistas previas y no a la generación real del acceso del usuario a los datos.
Después de crear y activar las primeras directivas, puede editar o agregar más directivas de acceso a datos en la consola en Cuentas > Directiva de acceso a datos.
Para comenzar con las directivas de acceso a datos, utilice el área Cuentas.
Para garantizar que los administradores tengan acceso continuo a los datos, puede filtrar a los usuarios en la página Administradores a través del filtro Usuarios activos y asignar cada administrador que tenga solo el permiso de analista a una política de acceso a datos.
Para utilizar los grupos de Azure Active Directory (AD) en la función de control de acceso basado en funciones (RBAC), autorice a Workspace ONE Intelligence para que se conecte al entorno de Azure AD.
Workspace ONE Intelligence usa la API de Microsoft Graph para comunicarse con el entorno de Azure.
Debe contar con los permisos para configurar una cuenta pública de Azure AD. Utilice las credenciales de la cuenta de administrador de Azure AD para el registro. Si no cuenta con permisos de administrador para configurar Azure AD, haga que un administrador de Azure AD registre su entorno con Workspace ONE Intelligence.
Cuando se agrega un administrador o un grupo en Workspace ONE Intelligence, puede seleccionar los usuarios y los grupos del entorno de Azure Active Directory.
Workspace ONE Intelligence limita el número de objetos que los administradores pueden crear. Para saber si su entorno está a punto de alcanzar estos límites, utilice la página Límites del sistema. Esta página ofrece visibilidad sobre la cantidad de objetos que los administradores han creado en su entorno, y le permite cambiar los límites establecidos si es necesario.
Para acceder a Límites del sistema, vaya a Cuentas > Límites del sistema en la consola.
La página Límites del sistema muestra métricas para el grupo organizativo más alto de su entorno, el nivel de tenant del cliente y métricas para usuarios individuales en los otros niveles de tenant de la implementación. Busque métricas para los objetos creados que incluyan los siguientes elementos. - Paneles de control personalizados (objetos de visualización de datos) - Informes personalizados (objetos de generación de informes) - Automatizaciones personalizadas (objetos orientados a acciones)
Las tarjetas en la parte superior de la interfaz de usuario informan de los valores totales de todos los grupos organizativos (todos los niveles de tenant).
Las pestañas Automatizaciones, Informes personalizados y Paneles de control personalizados debajo de las tarjetas de nivel de tenant del cliente muestran datos específicos del usuario. Estas pestañas enumeran todos los administradores y sus correspondientes recuentos de automatizaciones, informes personalizados y paneles de control personalizados que ha creado. Utilice las pestañas para ver si se compartió un objeto y con quién. Saber si un objeto se compartió sugiere que era popular. Utilice estos datos para decidir si desea mantener un objeto popular o eliminar uno que no sea popular para dejar espacio para otros objetos.
Los superadministradores, administradores y moderadores pueden ver la página Límites del sistema, pero los superadministradores pueden realizar acciones en esta página.
Los superadministradores (administradores con todos los permisos de RBAC) pueden ver y establecer límites en el nivel de tenant del cliente. Tienen esta visibilidad para poder supervisar el acceso a los datos, procesar solicitudes de aumento de límites y cambiar los valores de los límites. En la página Límites del sistema, los superadministradores pueden realizar varias acciones para administrar la implementación. - Los superadministradores pueden supervisar y controlar qué administradores pueden crear objetos. - Pueden utilizar la función Establecer límites de usuario predeterminados en el nivel de tenant para todos los administradores.
Esta opción de menú ofrece a los superadministradores la capacidad de asignar el mismo número de objetos a cada administrador o región de administradores, si es necesario. - Pueden procesar solicitudes de aumento de los límites de cualquier objeto. - Pueden ver objetos administrativos individuales. - Busque usuarios que abandonaron la empresa para ver cuántos objetos creados tenían. - Transfiera la propiedad de esos objetos o elimínelos para poder asignar esos objetos no utilizados a otros administradores. - Pueden filtrar toda la lista de administradores mediante el filtro Usuarios desactivados para ver qué objetos pendientes requieren una transferencia de propiedad.