Существует возможность создания ролей, предоставляющих специальные виды доступа к Workspace ONE UEM powered by AirWatch. Роли определяются для отдельных пользователей и групп на основе выбранных уровней доступа к консоли UEM.
Например, администраторы службы поддержки на предприятии могут иметь ограниченный доступ к консоли, а руководителю ИТ-отдела может быть предоставлен более широкий диапазон разрешений. Дополнительные сведения об этом примере см. в примере использования Как создать администратора службы поддержки с ограничениями и добавить роль, предоставляющую специальные функции.
Чтобы включить управление доступом на основе ролей, необходимо сначала установить роли пользователей и администраторов в консоли UEM. Специальные ресурсы, называемые разрешениями, определяют эти роли, которые включают и деактивируют доступ к различным функциям в UEM Console. Можно создать роли пользователей, предоставляющие доступ к порталу самообслуживания.
Так как роли (и в частности ресурсы или разрешения) определяют, что именно пользователи и администраторы могут и не могут делать в консоли UEM, предоставляйте соответствующие ресурсы или разрешения очень внимательно. Например, если администраторы перед очисткой корпоративных данных на устройстве должны вводить заметки, роль должна иметь разрешения не только на очистку корпоративных данных устройства, но также и на добавление заметок.
Роли важны для обеспечения безопасности всего парка устройств, например для создания пользователей предпроизводственного тестирования, что является привилегией администратора повышенного уровня. Следует обращаться с учетными данными временных пользователей так же, как и с любыми другими привилегиями администратора, и не следует раскрывать учетные данные пользователей.
Настраиваемые роли и роли по умолчанию
Существует несколько ролей по умолчанию, предоставляемых Workspace ONE UEM powered by AirWatch, из которых можно выбирать требуемый вариант. Роли по умолчанию доступны с каждым обновлением, и их можно быстро назначать новым пользователям. Если требуется дополнительная настройка, можно адаптировать пользовательские привилегии и разрешения.
В отличие от ролей по умолчанию настраиваемые роли требуют ручного обновления при каждом обновлении Workspace ONE UEM.
Оба типа ролей имеют свои преимущества и недостатки. Роли по умолчанию экономят время при настройке новой роли с нуля, логически соответствуют различным административным правам доступа и автоматически обновляются вместе с компонентами и настройками. Однако роли по умолчанию не всегда подходят для конкретной организации и MDM-развертывания. В таком случае лучше использовать настраиваемые роли.
Роли пользователей по умолчанию
Ниже приведен список всех ролей доступных пользователям устройств по умолчанию, доступных в консоли Unified Endpoint Management.
- Роль с полным доступом обеспечивает полный доступ к порталу самообслуживания.
- Роль с базовым доступом предоставляет все разрешения, кроме выполнения MDM-команд на портале самообслуживания.
Настраиваемые роли позволяют создавать любое число уникальных ролей и выполнять крупные и мелкие изменения для разных пользователей и администраторов. Однако необходимо вручную поддерживать настраиваемые роли в течение времени и обновлять их новыми компонентами.
Изменение роли пользователя по умолчанию для создания настраиваемой роли пользователя
Если ни одна их предлагаемых ролей по умолчанию не соответствует требованиям вашей организации, попробуйте преобразовать существующую роль пользователя в настраиваемую роль пользователя.
Создайте настраиваемую роль конечного пользователя путем редактирования роли по умолчанию, имеющейся в UEM console.
- Убедитесь, что находитесь в организационной группе, c которой будет ассоциироваться новая роль.
- Перейдите в раздел .
- Определите, какая роль из списка больше всего соответствует роли, которую вы хотите создать. Затем отредактируйте эту роль, выбрав значок редактирования () справа. Появится страница Добавить или изменить роль.
- При необходимости измените поля Имя, Описание и Начальная страница. Просмотрите флажки — они представляют собой различные разрешения. Можно устанавливать и снимать их по мере необходимости.
- Нажмите Сохранить.
Роли администраторов по умолчанию
По умолчанию администраторам в Workspace ONE UEM Console доступны следующие роли.
Можно использовать средство сравнения ролей администраторов, чтобы сравнивать определенные разрешения двух соответствующих ролей. Дополнительные сведения см. в разделе Создание роли администратора.
Роль | Описание |
---|---|
Системный администратор | Роль системного администратора предоставляет полный доступ к среде Workspace ONE UEM. Она включает доступ к настройкам «Пароль и безопасность», «Управление сеансами» и данным аудита консоли UEM, расположенным на вкладке Администрирование в разделе Системные настройки. Эта роль доступна только диспетчерам среды, например, групп SaaS Operations для всех сред SaaS, размещенных VMware. |
Администратор AirWatch | Роль администратора AirWatch предоставляет полный доступ к среде Workspace ONE UEM. Однако данная роль не включает доступ к вкладке Администрирование в Системных настройках, поскольку эта вкладка управляет настройками консоли UEM верхнего уровня. Эта роль доступна только сотрудникам VMware с доступом к средам для устранения неполадок, установки и настройки. |
Администратор консоли | Администратор консоли — это роль администратора по умолчанию для общих сред SaaS. Эта роль имеет ограниченные функциональные возможности, связанные с атрибутами политики соответствия, созданием отчетов и выбором организационных групп. |
Диспетчер устройств | Роль диспетчера устройств предоставляет пользователям доступ к большинству функций консоли UEM. Однако мы не рекомендуем использовать эту роль, чтобы задавать системные настройки: Active Directory (AD) / протокол LDAP, протокол SMTP, агенты и т. д. Для этих задач лучше использовать роль более высокого уровня, например администратор AirWatch или системный администратор. |
Просмотр отчетов | Роль «Просмотр отчетов» позволяет просматривать данные, собранные системой Mobile Device Management (MDM). Эта роль ограничивает возможности пользователей созданием отчетов, их просмотром, экспортом и подпиской в консоли UEM. |
Управление контентом | Роль управления контентом ограничена только управлением VMware Content Locker. Используйте эту роль для специализированных администраторов, ответственных за отправку контента устройств и управление им. |
Управление приложениями | Эта роль позволяет администраторам развертывать закрытые и общедоступные приложения парка устройств и управлять ими. Используйте эту роль для администратора, управляющего приложениями. |
Служба поддержки | Роль службы поддержки предоставляет необходимые средства для большинства функций 1-го уровня службы ИТ-поддержки. Основное средство данной роли позволяет дистанционно просматривать информацию на устройствах и предпринимать необходимые меры. Эта роль также позволяет просматривать отчеты и искать устройства. |
Администратор только для App Catalog | Роль «Администратор только для App Catalog» имеет почти те же разрешения, что и «Управление приложениями». Кроме того, пользователь с этой ролью может добавлять и обслуживать аккаунты администраторов и пользователей, их группы, сведения об устройстве и теги. |
Только для чтения | Роль «Только для чтения» предоставляет доступ к большинству страниц консоли UEM, но в варианте исключительно для чтения. Используйте эту роль для аудита или записи настроек в среде Workspace ONE UEM. Эта роль не рекомендуется для системных операторов или администраторов. |
Администратор Horizon | Роль администратора Horizon представляет собой специально разработанный набор разрешений для дополнения конфигурации Workspace ONE UEM, интегрированной с VMware Horizon View. |
Администратор NSX | Роль администратора NSX представляет собой специально разработанный набор разрешений для дополнения решения VMware NSX, интегрированного с Workspace ONE UEM. Она предоставляет полный набор разрешений на настройку системы и управление сертификатами, позволяя администраторам защитить конечные точки средствами для безопасности ЦОД. |
Специалист по конфиденциальности | Эта роль предоставляет доступ только для чтения к настройкам на страницах «Обзор монитора», «Список устройств», «Просмотр системных настроек», а также полные разрешения на изменение настроек конфиденциальности. |
Изменение роли администратора по умолчанию для создания настраиваемой роли администратора
Если ни одна из предлагаемых ролей по умолчанию не соответствует административным требованиям вашей организации, попробуйте преобразовать существующую роль по умолчанию в настраиваемую роль администратора.
Создайте настраиваемую роль администратора путем редактирования роли по умолчанию, имеющейся в UEM console.
- Убедитесь, что вы находитесь в организационной группе, c которой будет ассоциироваться новая роль.
- Перейдите в раздел .
- Определите, какая роль из списка больше всего соответствует роли, которую вы хотите создать. Установите флажок для этой роли.
- Выберите Копировать в меню действий. Появится страница Копировать роль.
- Измените специальные настройки копии на странице Копировать роль. Задайте уникальное имя и описание для настраиваемой роли.
- Нажмите Сохранить.
Что делать дальше: дополнительные сведения см. в разделе Создание роли администратора.
Роли администраторов
Можно включать или деактивировать разрешения для каждой доступной настройки и ресурса в Workspace ONE UEM powered by AirWatch. Эти настройки включают или отключают возможности консоли для каждого участника группы администраторов, позволяя создать иерархию администраторов в зависимости от требований.
Создание нескольких ролей администраторов экономит время. Создание комплексных конфигураций для различных организационных групп означает возможность изменения разрешений для конкретного администратора в любое время.
Повышение эффективности изменений роли администратора
При изменении роли, которая используется администратором, изменение не применяется, пока администратор не выйдет из системы, а затем снова не войдет в нее.
Список ролей администраторов
Перейдите в раздел
.Можно удалить неиспользуемую роль из библиотеки ролей администраторов. Нельзя удалить назначенную роль. Выберите неназначенные роли и нажмите кнопку Удалить.
Можно изменить имя, описание и определенные разрешения роли. Выберите значок карандаша рядом с именем роли из списка. Отобразится экран Изменить роль.
Кроме того, можно загрузить файл XLSX или CSV (с разделителями-запятыми), содержащий весь Список ролей администраторов. Этот файл можно просматривать и анализировать в MS Excel. Нажмите кнопку Экспорт и выберите расположение загрузки. Подробнее об экспорте ролей и последующем импорте см. в разделе Экспорт ролей администратора на этой странице.
Создание роли администратора
- В консоли UEM откройте раздел Добавить роль. и нажмите
- В окне Создать роль введите Имя и Описание роли.
- Выберите категорию из списка Категории.
В разделе Категории упорядочены категории верхнего уровня, такие как категория Управление устройствами, в которой расположены подкатегории, включая Приложения, Браузер, Массовое управление и другие. Такая структура категорий упрощает и ускоряет процесс создания роли. Рядом с каждой подкатегорией на панели справа есть флажки Только для чтения и Изменить.
Если в разделе Категории выбрана категория, ее индивидуальные настройки отображаются на панели справа. У каждой настройки есть флажки Только для чтения и Изменить в дополнение к общим флажкам Только для чтения и Изменить для всех настроек в заголовке столбца. Это обеспечивает гибкое управление и кастомизацию при создании роли.
Используйте текстовое поле Поиск ресурсов, чтобы ограничить количество ресурсов, из которых можно выбирать. Как правило, ресурсы имеют метки, соответствующие их названиям в самой консоли UEM. Например если требуется ограничить роль администратора для редактирования журналов приложений, введите «App Logs» (Журналы приложений) в поле Поиск ресурсов, и появится список всех ресурсов, содержащих строку «App Logs».
- Установите подходящий флажок (Только для чтения или Изменить) для соответствующих параметров ресурсов. Также можно выбрать очистку любого из выбранных ресурсов.
- Чтобы сделать выбор для всей категории, установите флажки Отсутствует, Только для чтения или Изменить непосредственно в разделе Категории, не переходя на панель справа. Нажмите круглый значок справа от категории — появится раскрывающееся меню. Используйте этот способ выбора, если уверены, что хотите установить данные флажки для настройки всей категории.
- Нажмите Сохранить, чтобы завершить создание настраиваемой роли. Добавленная роль появится в списке на странице Роли. Здесь можно изменить данные роли или удалить роль.
Что делать дальше: настраиваемую роль необходимо обновлять при каждом обновлении версии Workspace ONE UEM, чтобы применялись последние добавленные разрешения.
Экспорт ролей администратора
Роли администратора — портативный ресурс. Их портативность может сэкономить время при управлении несколькими средами Workspace ONE UEM. Можно экспортировать параметры из одной среды в виде XML-файла, а затем импортировать этот XML-файл в другую среду. Такое действие может привести к ошибкам управления версиями.
- Перейдите в раздел .
- Чтобы экспортировать роль, установите флажок рядом с ролью администратора. Если выбрано несколько ролей администратора, действие «Экспорт» будет недоступно.
- Нажмите Экспорт и сохраните XML-файл на местоположение в устройстве.
Импорт ролей администратора
- Откройте раздел Импортировать роль. и выберите
- На странице «Импортировать роль» нажмите кнопку Найти и найдите ранее сохраненный XML-файл. Отправьте роль администратора в список «Категории» для проверки, выбрав Отправить.
- Workspace ONE UEM выполняет серию проверок, включая проверку XML-файла, разрешений импортируемой роли, дублирования имени роли и пустых имени и описания.
- Проверьте настройки ресурса и соответствующие характеристики импортированной роли, выбрав нужные Категории на левой панели.
- При необходимости можно изменить не только ресурсы, но также имя и описание импортированной роли. Чтобы сохранить и существующую, и импортированную роли, переименуйте существующую роль администратора, прежде чем импортировать новую.
- а.Если имя импортируемой роли совпадает с именем роли, имеющейся в среде, отображается сообщение «Роль с таким именем уже существует в данной среде. Вы хотите переопределить эту роль?»
- б.Если выбрать «Нет», роль, имеющаяся в среде, не будет перезаписана, а импорт роли будет отменен.
- в.Если выбрать «Да», появится запрос на ввод PIN-кода безопасности. Если ввести правильный код, импортированная роль заменит существующую.
- Нажмите Сохранить, чтобы применить импортированную роль к новой среде.
Управление версиями при импорте и экспорте ролей администраторов
Бывают случаи, когда роль импортируется в среду с более ранней версией Workspace ONE UEM. В более ранней версии может не быть ресурсов и разрешений, которые соответствуют импортируемой роли.
В таком случае Workspace ONE UEM отправит следующее сообщение.
Некоторые разрешения этой среды не найдены в вашем импортированном файле. Просмотрите и исправьте выделенные разрешения перед сохранением.
Используйте страницу списка категорий, чтобы отменить выбранные разрешения. Это позволит сохранить роль в новой среде.
Копировать роль
Можно сэкономить время, скопировав существующую роль. Кроме того, можно изменить разрешения для копии и сохранить ее под другим именем.
- Установите флажок рядом с ролью, которую необходимо скопировать.
- Нажмите кнопку Копировать. Появится страница Копировать роль.
- Измените разделы Категории, Имя и Описание.
- По завершении нажмите Сохранить.
Переименование роли администратора
При импорте роли администратора, имя которой совпадает с именем существующей роли администратора, сначала необходимо переименовать существующую роль. Это позволит сохранить в одной среде обе роли (старую и новую).
- Откройте раздел Изменить () для роли, которую хотите переименовать. Появится страница Изменить роль. и нажмите значок
- Измените имя роли и описание (не обязательно).
- Нажмите Сохранить.
Индикатор чтения/изменения в категориях для администраторов
В разделе Категории используется визуальный индикатор, который показывает текущие настройки: только для чтения, изменение или их комбинацию. Этот индикатор показывает настройки без необходимости открывать и проверять определенные настройки подкатегорий.
Он представляет собой круглый значок, расположенный справа от списка категорий, который обозначает следующее.
Все настройки в этой категории доступны для изменения (что по умолчанию также означает возможность чтения). | |
Для большинства настроек категорий включена возможность редактирования, но хотя бы в одной подкатегории редактирование деактивировано. | |
Все настройки категории доступны только для чтения (редактирование деактивировано). | |
Большинство настроек категорий доступны только для чтения, но хотя бы в одной подкатегории включено редактирование. |
Назначение роли или изменение ее загрузки администратором
Можно назначить роли, которые расширяют возможности администратора в Workspace ONE UEM Console. Кроме того, можно изменить существующую загрузку роли, ограничив или расширив возможности администратора.
При изменении загрузки роли, которая используется администратором, изменение не применяется, пока администратор не выполнит выход и повторный вход.
- Перейдите в раздел Добавление или изменение администратора. , найдите учетную запись администратора, для которой необходимо изменить загрузку роли, и слева от имени пользователя учетной записи администратора выберите значок «Изменить» (). Откроется страница
- На вкладке Роли выберите a, b или комбинацию обоих вариантов:
- а.Чтобы добавить новую роль в учетную запись администратора, нажмите кнопку Добавить роль, а затем введите сведения Организационной группы и Роли для каждой добавляемой роли.
- б.Чтобы удалить существующую роль из учетной записи администратора, выберите роль, а затем нажмите кнопку Удалить.
- Нажмите Сохранить.
Просмотр ресурсов роли администратора
Можно просматривать все ресурсы или разрешения любой роли администратора, включая настраиваемые роли и роли по умолчанию. Это представление помогает определить, что может и что не может делать администратор в UEM console.
Роли состоят из сотен ресурсов (разрешений), которые обеспечивают доступ (только на чтение или изменение) к конкретной функции в UEM Console.
Экраны Просмотр роли и Изменение роли идентичны, но на экране Изменение роли можно вносить и сохранять изменения с помощью кнопки Сохранить.
Чтобы просмотреть или изменить ресурсы роли администратора, выполните следующие действия.
- Перейдите в раздел .
- Найдите роль администратора, для которой необходимо просмотреть разрешения. При наличии большой библиотеки ролей администраторов используйте панель Поиск в списке в верхнем правом углу, чтобы сократить список.
- Выберите один из следующих вариантов — a или b:
- а.Для просмотра роли выберите имя роли, представляющее собой ссылку, и появится экран Просмотр роли, в котором содержатся все разрешения, связанные с ролью. Завершив проверку ролей администратора, нажмите кнопку Закрыть.
- б.Чтобы изменить роль, выберите значок «Изменить» () слева от имени роли, и появится экран Изменение роли. Измените роль, установив или убрав флажкиЧтение и Изменение. После изменения роли выберите Сохранить.
Некоторые факты о списке вне зависимости от того, выберете ли вы «Просмотр» или «Изменение».
- Категории роли отображаются в левой панели. Выберите индикатор «>», чтобы развернуть категорию и просмотреть подкатегории ролей.
- Дополнительные сведения об оранжевых визуальных индикаторах чтения/изменения на этом экране см. в разделе Индикатор чтения/изменения в категориях для ролей администраторов на этой странице.
- Выберите в левой панели определенную категорию, и в правой панели появятся категория, имя и описание каждого ресурса.
- Нажав ссылку Сведения справа в конце, можно просмотреть каждую конкретную функцию только для чтения или для изменения в консоли UEM.
- Чтобы найти определенную функцию по имени, можно использовать поле Поиск ресурсов. Функция поиска позволяет легко находить конкретные связанные с тегами функции и назначать их роли.
- Например, если нужно создать роль администратора, которая может только добавить тег для устройства, введите слово «tag» (тег) в поле Поиск ресурсов и нажмите ENTER. На правой панели появятся все ресурсы, содержащие последовательность «tag» в категории, имени, описании или сведениях.
Примечание: Обратите внимание, что слово «Staging» в «Staging Devices» также содержит последовательность «tag».
- Например, если нужно создать роль администратора, которая может только добавить тег для устройства, введите слово «tag» (тег) в поле Поиск ресурсов и нажмите ENTER. На правой панели появятся все ресурсы, содержащие последовательность «tag» в категории, имени, описании или сведениях.
Что делать дальше: эти действия можно выполнить для создания собственных ролей в разделе Создание роли администратора на этой странице.
Сравнить две роли
При создании роли администратора зачастую проще изменить существующую роль, чем создавать ее с нуля. Инструмент «Сравнить роли» позволяет сравнивать настройки разрешений для двух любых ролей администратора, чтобы проверить их точность или подтвердить отличия.
- Перейдите в раздел .
- Выберите две любые указанные роли, включая роли расположенные на разных страницах.
- Нажмите Сравнить. На странице Сравнения ролей появится предлагаемый список категорий. При выборе категории на панели слева справа отображаются все ее подробные сведения.
- Кнопка Сравнить не появится, если выбрано меньше или больше двух ролей.
- Выберите ссылку Сведения справа, чтобы просмотреть подкатегории ролей. Сверните подкатегорию роли, щелкнув ссылку Скрыть.
- На панели слева есть параметр Все, выбрав который можно увидеть все родительские категории на странице Сравнить роли. Если ввести параметр поиска в поле Поиск ресурсов, на панели справа отобразятся только соответствующие категории и ресурсы (также называемые разрешениями).
- Функция поиска является постоянной. Данное постоянство означает, что при наличии параметра на панели Ресурсы поиска и выборе категории Все отображаются только соответствующие категории и ресурсы. Функция поиска сохраняется, даже если выбрать определенные ресурсы и установить флажки Только для чтения и Изменить.
- По умолчанию отображаются только категории и подкатегории, которые имеют разные настройки. Выберите Отображать все разрешения, чтобы показать все разрешения, в том числе идентичные для обеих выбранных ролей.
- Если выбраны две роли с одинаковыми разрешениями, вверху страницы Сравнить роли консоли появится следующее сообщение:
"There are no differences in permissions between the two roles." (Различия в разрешениях между двумя ролями отсутствуют).
Что делать дальше: можно выбрать пункт Экспорт, чтобы создать файл XLSX или CSV, который можно просматривать в Excel. Файл экспорта содержит все настройки для Роли 1 и Роли 2, что позволяет анализировать различия между ними.
Роли пользователей
Роли пользователей в Workspace ONE UEM powered by AirWatch позволяют включать или деактивировать определенные действия для пользователей. Это может быть управление доступом к очистке устройства и запросами или управление личным контентом. Роли пользователей также могут настроить начальную страницу и ограничить доступ к порталу самообслуживания.
Создание нескольких ролей пользователей экономит время. Можно в любое время создать комплексные конфигурации в различных организационных группах или изменить роль для конкретного пользователя.
Создание новой роли пользователя
Помимо ролей для базового и полного доступа можно создавать настраиваемые роли. Наличие нескольких ролей пользователей повышает гибкость и может сэкономить время при назначении ролей для новых пользователей.
- Откройте Добавить роль. Появится страница Добавить или изменить роль. и выберите
- Введите имя и описание и выберите начальную страницу портала самообслуживания для пользователей с новой ролью.
Для существующих ролей пользователей начальной страницей по умолчанию будет страница Мои устройства.
- Выберите из списка вариантов уровень доступа и управления для пользователей с назначенной ролью на портале самообслуживания.
- Чтобы снять все флажки на странице, щелкните Снять выделение.
- Чтобы установить все флажки на странице, щелкните Выбрать все.
- Нажмите Сохранить, чтобы сохранить изменения роли. Добавленная роль пользователя появится на странице «Роли».
Что делать дальше: на странице «Роли» можно просматривать, изменять или удалять роли.
Настройка роли по умолчанию
Роль по умолчанию — это базовая роль, на которой основаны все роли пользователей. Настроив роль по умолчанию, вы сможете задавать разрешения и привилегии, которые пользователи будут автоматически получать при регистрации.
- Перейдите в раздел Группирование. и выберите вкладку
- Настройте уровень доступа по умолчанию для пользователей на портале самообслуживания, выбрав роль по умолчанию.
Эти настройки роли задает организационная группа. Выберите из указанных ниже.
- Полный доступ — предоставляет пользователям доступ к функциям портала самообслуживания более высокого уровня, такими как установка или удаление профилей и приложений, сброс секретных кодов, отправка сообщений на устройства и доступ на запись к контенту.
- Базовый доступ — предоставляет пользователям доступ к функциям низкого уровня. При этом пользователи могут регистрировать свои собственные устройства, просматривать (но не устанавливать) профили и приложения, просматривать информацию о своей собственной учетной записи, а также запрашивать свое устройство и выполнять его поиск.
- Внешний доступ — пользователи с внешним доступом имеют все привилегии пользователей с базовым доступом, однако при этом у них также есть доступ только на чтение к тому контенту на портале самообслуживания, к которому им явно предоставлен общий доступ.
- Нажмите Сохранить.
Назначение или изменение роли существующего пользователя
Можно изменить роль для конкретного пользователя, например, чтобы предоставить или ограничить ему доступ к функциям Workspace ONE UEM.
При изменении роли, которая используется пользователем, изменение не применяется, пока пользователь не выйдет из системы, а затем снова не войдет в нее.
- Выберите необходимую организационную группу.
- Перейдите в раздел .
- Найдите в списке пользователя, которого необходимо изменить. Выбрав пользователя, нажмите значок «Изменить» под флажком. Откроется окно Добавление или изменение пользователя.
- В нижней части вкладки Общее найдите раздел Регистрация и в раскрывающемся меню выберите роль пользователя, чтобы изменить ее.
- Нажмите Сохранить.