身份式的存取權
您可以建立身份,授與對由 AirWatch 提供支援的 Workspace ONE UEM 的特定存取權限。您可以根據有用的 UEM 主控台存取層級,為個別使用者和群組定義身分。
舉例來說,您企業中的服務台管理員可能在主控台中具有受限的存取權,而 IT 主管則具有更廣泛的權限範圍。有關此範例的詳細資訊,請參閱使用案例您該如何建立有限制的服務台管理員及新增給予特定功能的身份。
要啟用身份式的存取權之控管,您必須在 UEM 主控台中設定管理員和使用者身份。特定的資源 (也就是權限) 可對這些身份定義出何者應啟用或停用 UEM console 內各種功能的存取權。您可以建立使用者身份,授予對自助入口網站的存取權限。
由於身分 (特別是資源或權限) 決定了使用者和管理員在 UEM 主控台可執行/不可執行的操作,因此請務必授與正確的資源或權限。例如,如果您要求管理員在對裝置執行企業抹除之前先輸入備註,則該身分不僅必須擁有對裝置執行企業抹除的權限,也必須擁有新增備註的權限。
身份對於維護裝置機群的安全十分重要,例如建立註冊預備使用者,這是一種提升等級的管理員權限。請以和處理管理員權限相同的方式處理註冊預備使用者認證,並請勿揭露使用者認證。
預設和自訂身份
由 AirWatch 提供支援的 Workspace ONE UEM 提供數種預設身份可供您選擇。您可以在每次升級時使用這些預設身份,它們可以協助您快速地將身份指派給新的使用者。如果需要更多自訂,您可以進一步量身設定使用者權限和權限。
與預設身份不同的是,這些自訂身份必須隨著每次 Workspace ONE UEM 的升級手動進行更新。
每種身份的類型都包含繼承到的優點和缺點。預設身份可為您省下替品牌重新配置新身份的時間,理論上可以用在各種不同的管理特權,並且可以自動與新功能和設定一同更新。但是「預設身份」可能無法精確地符合企業或 MDM 部署,這就是為何需要建立「自訂身份」。
預設的終端使用者身份
根據預設,裝置使用者可在統一端點管理主控台使用的身份。
- 完整存取權身份 – 提供對自助入口網站的完全存取權限。
- 基本存取身份 – 提供在自助入口網站中,除了 MDM 指令之外都可使用的權限。
自訂身份讓您可以隨心所欲地自訂多種特殊身份,並且在不同的使用者和管理員中做各種大大小小的變更。但是,必須每隔一段時間手動維護一次自訂身份,並使用新功能更新這些身份。
編輯預設的終端使用者身份來建立自訂的使用者身份
如果沒有任何預設身份可以確切地滿足貴公司,請考慮修改現有的使用者身份來建立自訂的使用者身份。
編輯 UEM console 附帶的預設身份,以建立自訂終端使用者身份。
- 先確認您目前所在企業群組,就是要與新身份建立關聯的企業群組。
- 瀏覽至帳戶 > 使用者 > 身份。
- 決定清單中的哪個身份最符合您所要建立的身份,選取最右邊的編輯圖示 (
) 即可編輯該角色。新增/編輯身份頁面即會出現。 - 依需要來編輯名稱、描述和初始登陸頁面文字方塊。審查每個勾選方格。這些選項代表各種權限,請依需要來選取或取消這些選項。
- 選取儲存。
預設管理員身份
管理員可以在 Workspace ONE UEM 主控台中使用以下的預設身份:
使用管理員身份比較工具,比較兩個管理員身份的特定權限。有關更多資訊,請參閱此頁面上標題為建立管理員角色一節。
| 身份 | 描述 |
|---|---|
| 系統管理員 | 系統管理員身份可完整存取 Workspace ONE UEM 環境。其中包括下列項目的存取權限:密碼和安全性設定、工作階段管理,以及位在系統配置下之管理標籤的 UEM 主控台稽查訊息。 該身份僅限為環境管理員,例如由 VMware 代管之所有 SaaS 環境的 SaaS 作業團隊。 |
| AirWatch 管理員 | AirWatch 管理員身份擁有 Workspace ONE UEM 環境的全面存取權。但是,這不包括在系統配置下之管理標籤的存取權限,因為該標籤負責管理 UEM 主控台的最高層設定。 該身份僅限為可存取環境來進行疑難排解、安裝和設定的 VMware 員工。 |
| 主控台管理員 | 主控台管理員身份是共用 SaaS 環境的預設管理員身份。該身份的功能有限,與合規原則屬性、報告撰寫及企業群組選擇相關。 |
| 裝置管理員 | 裝置管理員身份授予使用者存取 UEM 主控台的重要權限。但是,此身份不是用於配置大多數系統配置。這些組態包括 Active Directory (AD) /輕量型目錄存取通訊協定 (LDAP)、簡易郵件傳輸通訊協定傳輸通訊、裝置 UEM 介面 Hub(如 Intelligent Hub 等)。對於這些工作,請使用最上層的身份,比如 AirWatch 管理員或系統管理員。 |
| 報告檢視器 | 「報告檢視器」身份允許檢視透過行動裝置管理 (MDM) 所擷取的資料。此身份限制使用者從 UEM 主控台上產生、檢視、匯出和訂閱報告的能力。 |
| 內容管理 | 內容管理身份僅有 VMware Content Locker 管理的存取權。使用此身份讓專門負責上傳和管理裝置內容的管理員來使用此身份。 |
| 應用程式管理 | 擁有應用程式管理身份存取權的管理員,可以部署和管理裝置團隊之內部用和公用的應用程式。此身份適用於執行應用程式管理的管理員。 |
| 服務台 | 「服務台」身份提供了大部分處理第一層 IT 服務台功能所需的各種工具。此身份可以使用的主要工具就是透過遠端動作來查看並回覆裝置訊息。然而,此身份也包含了報告檢視和裝置搜尋的能力。 |
| 僅限 APP 目錄的管理員 | 僅限 APP 目錄的管理員身份與應用程式管理擁有的權限大致相同。新增的權限是能夠新增和維護管理員和使用者帳戶、管理員和使用者群組、裝置詳細資訊和標籤。 |
| 唯讀 | 唯讀身份提供 UEM 主控台大部分的存取權,但是僅限於唯讀狀態。使用此身份可稽查或記錄 Workspace ONE UEM 環境中的設定。此身份不適用於系統操作員或管理員。 |
| Horizon Administrator | Horizon Administrator 身份是特別設計的權限集合,針對與 VMware Horizon View 整合的 Workspace ONE UEM 配置加以補強。 |
| NSX 管理員 | NSX 管理員身份是特別設計的權限集合,目的在於補強與 Workspace ONE UEM 整合的 VMware NSX。此身份提供完整的系統和憑證管理權限,允許管理員橋接端點安全性與資料中心安全性。 |
| 隱私權核證者 | 隱私權核證者身分提供監控總覽、裝置清單檢視、檢視系統設定的讀取權限,以及隱私權設定的完整編輯權限。 |
編輯預設管理員身份來建立自訂管理員身份
如果可用的預設角色無法確切地符合貴公司的管理員資源,請考慮修改現有的預設角色來建立自訂管理員身份。
編輯 UEM console 附帶的預設角色以建立自訂管理員角色。
- 先確認您目前所在企業群組,就是要與新身份建立關聯的企業群組。
- 瀏覽至帳戶 > 管理員 > 身份。
- 決定清單中的哪個身份最符合您所要建立的身份,勾選此身份的方格。
- 從動作功能表中選擇複製。複製身份的頁面即會出現。
- 在所產生的複製身份頁面中,編輯特定之複製設定。為自訂的身份建立專屬的名稱和描述。
- 選取儲存。
下一步:有關更多資訊,請參閱此頁面上標題為建立管理員角色一節。
管理員身分
您可以為 由 AirWatch 提供支援的 Workspace ONE UEM 中的每個可用設定和資源啟用或停用權限。這些設定會為管理團隊的每位成員賦予或限制主控台功能,允許您針對自己的需求來形構出管理員的層次。
建立多個管理員身份可以節省時間,對不同企業群組設定全面的配置,代表您可隨時變更特定管理員的權限。
使管理員角色變更生效
如果您編輯管理員正在使用的角色,則在管理員登出並重新登入前,不會套用編輯。
管理員角色清單檢視
瀏覽至帳戶 > 管理員 > 身份。
您可以在管理員身份資料庫中刪除未使用的身份。您無法刪除指派的角色。選擇一個未指派的角色,然後選擇刪除按鈕。
您可以編輯角色的名稱、描述和特定權限。從清單中選取角色名稱左側的鉛筆圖示,即可顯示編輯身分畫面。
您還可以匯出包含整個管理員角色清單檢視的 CSV (逗號分隔值) 檔案。然後就可以透過 MS Excel 檢視並分析這個檔案。選擇匯出按鈕,然後導覽至監控 > 報告與分析 > 匯出以檢視和下載產生的報告。
建立管理員身份
-
導覽至帳戶 > 管理員 > 身份,然後在 UEM 主控台中點選新增身份。
-
在建立角色中輸入該身份的名稱與描述。
-
從類別清單選取項目。
此類別區段會統整最上層的類別,例如裝置管理,而其之下又細分為應用程式、瀏覽器和大量管理等其他項目。這種類別之細分方式,讓您可以輕鬆又快速地建立身份。在右方面板的每個子類別之設定都有讀取和編輯的勾選方格。
在類別區段中選擇時,子類別內容 (個別設定) 會在右方面板中填入資訊。每項個別的設定都有自己的讀取和編輯核取方塊,欄位標題上也有「全選」樣式的讀取和編輯核取方塊。這種排列方式可在建立身份時,能夠彈性控管與自訂。
使用搜尋資源文字方塊,可以縮減能從中選取的資源數量。資源本身的標註方式通常與在 UEM 主控台中參照該資源的方式相同。例如,如果您要將管理員身分限制成只能編輯 App 記錄,請在搜尋資源方塊中輸入「App 記錄」,畫面將出現一張清單,列出包含「App 記錄」字串的所有資源。
-
在對應的資源選項的讀取和編輯方格中做適當的選擇。您也可以選擇清除任何所選的資源。
-
若要做全面之類別的選擇,請直接從類別區塊中選取無、讀取或編輯,而無需在右方面板中填入資訊。選取類別標籤右側的圓圈圖示,即會出現下拉式功能表。當您確定要選擇「無」、僅供「讀取」或「編輯」功能作為整體類別的設定時,請採用此選擇方式。
- 點選儲存,來完成建立「自訂身份」的工作。您現在便可在身份頁面的清單中,檢視新增的身份。您也可在此處編輯身份的詳細資料或刪除身份。
下一步:每次 Workspace ONE UEM 版本更新後,您必須同時更新「自訂身份」,才能在最新版本中取得新的權限。
匯出管理員身份
管理員角色是可攜式資源。此可攜性可讓您在管理多個 Workspace ONE UEM 環境時節省時間。您可以將一個環境中的設定匯出為 XML 檔案,然後將該 XML 檔案匯入另一個環境中。此類活動可能會導致版本控制問題。
![此螢幕擷取畫面會顯示按鈕叢集,會在選取管理員角色時顯示,醒目提示 [匯出] 功能。](Images/images-GUID-AWI-MDM-ADMINROLES-IMPORTEXPORT-high.png)
- 瀏覽至帳戶 > 管理員 > 身份。
- 選取管理員角色旁邊的核取方塊,以匯出角色。如果您選取多個管理員身份,就無法使用匯出動作。
- 選擇匯出按鈕,並將該 XML 檔案儲存在您裝置上的某個位置。
匯入管理員身份
-
瀏覽至帳戶 > 管理員 > 身份,然後選擇匯入身份。
-
在「匯入身份」的畫面中,選擇瀏覽,並找出先前所儲存的 XML 檔。選擇上傳,將管理員角色上傳到類別清單以進行驗證。
- Workspace ONE UEM 會執行一系列的驗證檢查,包括 XML 檔案檢查、匯入身份權限檢查、重複身份名稱檢查,以及空白名稱和描述的檢查。
- 若要檢查資源設定,並確認其匯入角色規格,請在左方面板中選取特定類別。
- 您也可依據需要,為匯入的身分編輯資源、名稱和描述。若您想要同時保留現有身份與匯入的身份,請在匯入新身份之前,先將現有的管理身份重新命名。
- 如果要導入的角色名稱與環境中現有的角色相同,則會顯示一則訊息。「已有相同名稱的角色存在於此環境。是否要覆寫現有角色?」
- 若選擇「否」,則環境中的現有角色就會保持不變,同時取消身份匯入。
- 若選擇「是」,系統會提示您提供安全 PIN 碼。如能正確輸入,系統便會以匯入的角色來取代現有角色。
- 選擇儲存,將匯入的身份套用到新的環境中。
匯入匯出管理員身份時發生版本設定問題
在某些情況下,匯出的身分可能會匯入到一個執行舊版 Workspace ONE UEM 的環境中。此先前的版本和所匯入的身分,或許沒有一樣的資源和權限。
在這種情況下,Workspace ONE UEM 會透過下列訊息通知您。
此環境中有些權限在您匯入的檔案裡找不到。在儲存之前,請先審查並修正所強調的權限。
使用類別清單畫面來取消選取所強調的權限。此動作讓您能夠將身份儲存至新的環境中。
複製身份
複製現有的身份可以省下時間。您也可以變更副本的權限,並另存為不同名稱。
- 瀏覽至帳戶 > 管理員 > 身份。
- 在要複製的身份旁邊,勾選方格。
- 選取複製按鈕。複製身份的頁面即會出現。
- 變更類別、名稱和描述。
- 完成後,請選擇儲存。
將管理員身份重新命名
如果您要匯入的管理員身分,名稱與現有管理員身分相同,那麼先將現有的管理員身分重新命名應該十分有用。重新命名可讓您在相同的環境中同時保留新舊身分。
- 瀏覽至帳戶 > 管理員 > 角色,然後針對您要重新命名的角色選取編輯圖示 (
)。編輯身份的頁面即會出現。 - 編輯該身份的名稱,也可編輯描述。
- 選取儲存。
讀取/編輯管理員身份類別中的指示器
類別區塊中有一個明顯的指標,可以反映出目前對僅供「讀取」、「編輯」或兩者的組合。您無需開啟和檢驗個別之子類別的設定,此指標即可呈報相關的設定。
此指標位在「類別」清單的右方以圓圈圖形顯示,呈報內容如下。
| 圖示 | 描述 |
|---|---|
 |
此類別的所有選項都有編輯的功能 (照理說也都有僅供讀取功能)。 |
 |
大部分的類別設定都會啟用編輯功能,但至少有一個子類別的編輯功能被停用。 |
 |
所有類別設定皆啟用為唯讀 (停用編輯功能)。 |
 |
大部分的類別設定都是唯讀,但至少啟用了一個子類別的編輯功能。 |
指派角色或編輯管理員的角色負載量
您可以指派角色,允許其在 Workspace ONE UEM Console 中擴展管理員的功能。您也可以編輯現有的角色負載量,可限制或擴充管理員的功能。
如果您編輯管理員正在使用的角色負載量,則在管理員登出並重新登入前,編輯不會生效。
- 導覽至帳戶 > 管理員 > 清單檢視,找到要變更其角色組合的管理員帳戶,選取管理員帳戶使用者名稱左側的三點圖示 (
),然後選擇編輯。新增/編輯管理員頁面即會顯示。 -
選取角色索引標籤,然後從以下進行選擇:a、b 或兩者的組合:
如果您想要新增角色至管理員帳戶,請選取新增角色按鈕,然後為您新增的每個角色輸入企業群組和角色詳細資料。
如果您想要從管理員帳戶刪除現有的角色,請選取該角色,然後按一下刪除按鈕。
-
選取儲存。
查看管理員身分的資源
您可以檢視任何管理員身分 (包括自訂身分和預設身分) 的所有資源或權限。此視圖可協助您判斷管理員可以 (或不可以) 在 UEM 主控台中執行哪些工作。
角色是由數百種資源 (又稱為權限) 組成,可用於在 UEM console 內存取特定功能 (唯讀或編輯)。
檢視角色和編輯角色的畫面相同,不同之處在於編輯角色畫面允許您使用儲存按鈕進行變更並加以儲存。
若要檢視或編輯管理員角色的資源,請執行以下步驟。
- 瀏覽至帳戶 > 管理員 > 身份。
- 找到要查看其權限的管理員角色。如果您有一個相當大的管理員身分庫,請使用右上角的搜尋清單列,縮小清單範圍。
-
從以下進行選擇,a 或 b:
a. 若要檢視角色,選擇角色的名稱 (即連結),此時會顯示檢視角色畫面,內含所有與角色相關聯的權限。稽核管理員身分後,請選取關閉。
b. 若要編輯角色,請選取角色名稱左側的編輯圖示 (
),編輯角色畫面隨即顯示。透過新增或移除讀取和編輯核取記號來編輯角色。完成編輯角色後,選取儲存。
一些清單相關資訊,無論您選取 [檢視] 或 [編輯]。
- 角色類別將列於左側面板。選擇「>」標記以展開類別並檢視角色子類別。
- 如需深入瞭解此畫面上出現的橙色讀取/編輯視覺指示器,請參閱此頁面中標題為管理員身分類別中的讀取/編輯指示器的區段。
- 在左側面板中選擇特定類別,則每個資源的類別、名稱和描述會顯示在右側面板上。
- 最右側的詳細資料連結會顯示 UEM 主控台內每個特定的唯讀和編輯功能。
-
您可以使用搜尋資源文字方塊,依名稱尋找特定功能。此搜尋功能讓您能輕鬆找出特定的標籤相關功能,並指派給某個角色。
-
例如,如果要建立只能為裝置新增標籤的管理員角色,請在搜尋資源文字方塊中輸入「tag」(標籤) 一字,然後按下 Enter 鍵。在類別、名稱、說明或說明詳細資料中包含字串「tag」的每個資源均會出現在右面板中。
注意: 請記住,「Staging Devices」(註冊預備裝置) 中的「Staging」一字也包含「tag」字串。
-
下一步:若要套用這些步驟,以建立自己的角色,請參閱此頁面中標題為建立管理員角色的區段。
比較兩個身份
建立管理員角色時,修改現有角色通常比從頭建立一個容易得多。「比較角色」工具可讓您比較任兩個管理員角色的權限設定,藉此確保設定準確無誤或確認您刻意設定的差異。
- 瀏覽至帳戶 > 管理員 > 身份。
- 找到任兩個已列出的角色,包括出現在不同畫面的角色,並選擇那些角色。
-
選擇比較。具有類別清單的比較身份的畫面即會出現。在左方選取特定的類別,便會將該類別的所有詳細資料填入右方。
- 不管選取的角色是比兩個少,還是比兩個多,都不會顯示比較按鈕。
- 選擇最右側的詳細資訊連結以檢視角色子類別。選取隱藏的連結可以摺疊身份的子類別。
- 當選取左方面板上「全部」的類別時,比較身份頁面上便會顯示所有的父類別。當您在搜尋資源列中輸入搜尋參數時,右方的面板僅會顯示相符的類別和資源 (也就是權限) 清單。
- 搜尋功能具持續性。此持續性表示如果您在搜尋資源列中留有參數,即使選取全部類別也只會顯示相符的類別與資源而已。在您選取特定的資源並選取了讀取與編輯之後,搜尋的功能一就是持續的。
- 根據預設,系統只會顯示那些設定不同的類別與子類別。啟用顯示所有權限勾選方格即可顯示所有的權限,包括那些在兩種選定的角色中皆相同的設定。
- 如果您選取的兩個角色具有完全相同的權限,主控台會在比較角色頁面的最上方顯示此訊息。
「這兩個角色所具備的權限沒有任何差異」。
下一步:您也可以選取匯出以建立 Excel 可檢視的 XLSX 或 CSV 檔案 (逗點分隔值)。匯出的檔案包含了角色 1 和角色 2 的所有設定,讓您能夠分析兩者間的差異。
使用者身份
由 AirWatch 提供支援的 Workspace ONE UEM 中使用者角色允許您啟用或停用使用者可以執行的特定操作。這些動作包括控制對裝置抹除、裝置查詢的存取權,以及管理個人內容。使用者角色也可以自訂初始登陸頁面,並限制自助入口網站的存取權。
建立多使用者身份可以節省時間,還可跨越不同企業群組做全面性的配置,又或者隨時為特定使用者變更其使用者身份。
建立新的使用者身份
除了現有的「基本存取權」和「完整存取權」身份外,您還可以建立自訂的身份。擁有數個可用的使用者身份,除了可以保持彈性外,還可能省下為新使用者指派身分的時間。
- 導覽至帳戶 > 使用者 > 角色,然後選取新增角色。新增/編輯身份頁面即會出現。
-
輸入名稱和描述,並且為使用此新身份之使用者選擇 SSP 之初始登陸頁面。
對於現有的使用者身分,其預設初始登陸頁面為我的裝置頁面。
-
在選項清單中,選擇具有此指派身份的終端使用者在 SSP 中所擁有的存取和控管權限的等級。
- 按一下全不選來清除此頁面上所有的勾選方格。
- 選取全選來勾選此頁面上所有的方格。
- 儲存所有身份的變更。新增的使用者身份現將會出現在「身份」頁面的清單中。
下一步:您可以從「身份」頁面檢視、編輯或刪除身份。
配置預設身份
預設身份為所有使用者身份的基準身份。進行預設身份配置,讓您能夠設定使用者在註冊時會自動收到的權限和權力。
- 瀏覽至裝置 > 裝置設定 > 裝置 & 使用者 > 一般 > 註冊,然後點選分組標籤。
-
選取預設身份,以在自助入口網站中為終端使用者配置預設的存取層級。
您可以依企業群組來自訂這些身份設定。從以下項目中選擇。
- 完整存取權 – 授予使用者更高級 SSP 功能的存取權限,例如安裝/移除設定檔和 APP、重設密碼、傳送裝置訊息和內容寫入權限。
- 基本存取權 – 授予使用者影響較小的存取權限。使用者可登錄自己的裝置、單純檢視 (但不可安裝) 設定檔和 APP、檢視自己的帳戶,以及查詢及尋找自己的裝置。
- 外部存取權 – 擁有外部存取權的使用者可使用所有基本存取權使用者的功能。另外,若 SSP 內有明確與他們共用的內容,他們也會擁有這些內容的唯讀存取權限。
- 選取儲存。
指派或編輯現有之使用者的身份
您可以為特定使用者編輯身份,例如授予或限制 Workspace ONE UEM 功能的存取權。
如果您編輯使用者正在使用的角色,則在該使用者登出並重新登入前,編輯不會生效。
- 選擇適當的企業群組。
- 瀏覽至帳戶 > 使用者 > 清單檢視。
- 從清單中搜尋您要編輯的特定使用者。一旦您已辨識該使用者,請在勾選方格下方選取「編輯」圖示。就會顯示新增/編輯使用者的畫面。
- 在一般標籤中滑動至註冊區塊,然後從下拉式功能表中選擇使用者身份,以變更特定使用者之身份。
- 選取儲存。
另請參閱:您該如何建立有限制的服務台管理員及新增給予特定功能的角色。
您可以建立一個自訂角色,以允許服務台管理員僅在由 AirWatch 提供支援的 Workspace ONE UEM 中執行您允許的操作。瞭解帳戶、角色和可程式化權限如何協同運作,使您夠到達需要的目標。
