基于角色的访问控制和端点管理支持
终端管理通过RBAC (role-based access control)来限制用户和组对终端管理系统功能的访问,如终端管理控制台、自助入口、公共API等。本文描述了端点管理的内建角色,并包括了决定使用RBAC的端点管理支持模型时的注意事项。
内置的角色
您可以更改授予以下内置角色的访问权限,并可以添加角色。要获得与每个角色及其默认设置相关联的完整访问和特性权限集,请下载基于角色访问控制默认值.有关每个特性的定义,请参见通过RBAC配置角色.
管理角色
默认访问授予:
- 除自助门户外的全系统访问。
- 默认情况下,管理员可以执行一些支持任务,比如检查连通性和创建支持包。
注意事项:
- 您的部分或所有管理员需要访问自助门户吗?如果是,可以编辑Admin角色或添加Admin角色。
- 如果需要进一步限制部分管理员或管理员组的访问权限,可以根据“Admin”模板添加角色,并对角色的权限进行修改。
用户
默认访问授予:
- 对自助门户的访问,它允许经过身份验证的用户生成注册链接。这些链接允许他们注册自己的设备或向自己发送注册邀请。
- 限制访问端点管理控制台:设备功能(如擦除,锁定/解锁设备;锁定/解锁容器;查看位置,设置地理限制;环装置;容器重置密码);添加、删除和发送注册邀请。
注意事项:
- 通过使用User角色,您可以允许用户自行帮助。
- 为了支持共享设备,请创建用于共享设备注册的用户角色。
端点管理支持模型的注意事项
您可以采用的支持模型变化很大,可能涉及处理1级和2级支持的第三方,而员工则处理3级和4级支持。无论您如何分发支持负载,请记住本节中针对端点管理部署和用户群的注意事项。
用户是否拥有企业拥有的设备或BYO设备?影响支持的主要问题是谁拥有端点管理环境中的用户设备。如果您的用户使用企业拥有的设备,您可能会提供较低级别的支持,以锁定设备。在这种情况下,您可以提供一个帮助台,帮助用户解决设备问题以及如何使用设备。根据需要支持的设备类型,考虑如何为帮助台使用RBAC设备配置和支持角色。
如果您的用户有BYO设备,您的组织可能希望用户找到他们自己的设备支持源。在这种情况下,组织提供的支持更多的是围绕端点管理特定问题的管理角色。
你对桌面的支持模式是什么?考虑您对桌面的支持模型是否适用于其他公司拥有的设备。你能使用同样的支持组织吗?他们还需要什么额外的培训?
您想让用户访问端点管理自助门户吗?尽管一些组织不愿意授予用户对端点管理的访问权,但为用户提供一些自我支持功能可以减轻支持组织的负担。如果RBAC的默认User角色包括您不想授予的权限,请考虑创建一个只具有您想要包括的权限的新角色。您可以根据需要创建任意数量的角色。
基于角色的访问控制和端点管理支持
在这篇文章中
复制!
失败了!