Configurar funções com RBAC
Cada função de controle de acesso baseado em função (RBAC) predefinida tem determinadas permissões de acesso e recursos associadas. Este artigo descreve o que cada uma dessas permissões faz. Para obter uma lista completa das permissões padrão para cada função integrada, baixe Padrões de Controle de Acesso Baseado em Função.
Ao aplicar permissões, você está definindo os grupos de usuários que a função RBAC tem permissão para gerenciar. O administrador padrão não pode alterar as configurações de permissão aplicadas. Por padrão, as permissões aplicadas se aplicam a todos os grupos de usuários.
Ao fazer uma atribuição, você está atribuindo a função RBAC a um grupo, para que o grupo de usuários possua os direitos de administrador RBAC.
Importante:
Na permissão Configurações, a permissão RBAC concede aos usuários Administradores acesso total, incluindo a capacidade de atribuir suas próprias permissões. Conceda este acesso apenas a usuários que você pretende dar a capacidade de manipular tudo no sistema Endpoint Management.
Este artigo tem as seguintes seções:
Função de Administrador
Usuários com a função de Administrador predefinida têm acesso ou não aos seguintes recursos no XenMobile. Por padrão, Acesso autorizado (exceto Portal de Autoatendimento), Recursos do console e Aplicar permissões estão habilitados.
Acesso autorizado
| Acesso ao console de administrador | Os administradores têm acesso a todos os recursos no console do XenMobile. |
| Acesso ao Portal de Autoatendimento | Os administradores não têm acesso ao Portal de Autoatendimento. |
| Registrador de dispositivos compartilhados | Os administradores não têm acesso ao registrador de dispositivos compartilhados. Este recurso é destinado a usuários que precisam registrar dispositivos compartilhados. |
| Acesso ao Suporte Remoto | Os administradores possuem acesso ao Suporte Remoto.* |
| Acesso à API pública | Os administradores têm acesso à API pública para realizar ações programaticamente que estão disponíveis no console do XenMobile. As ações incluem a administração de certificados, aplicativos, dispositivos, grupos de entrega e usuários locais. |
| Registrador de dispositivos COSU | Fornece uma maneira para os administradores registrarem dispositivos Android Enterprise dedicados (também conhecidos como dispositivos COSU) se essa capacidade não estiver configurada usando um perfil de registro. |
* O suporte remoto permite que os representantes do seu help desk assumam o controle remoto de dispositivos móveis Android gerenciados. A transmissão de tela é suportada apenas em dispositivos Samsung Knox. O suporte remoto não está disponível para implantações de servidor XenMobile no local em cluster. O Suporte Remoto não está mais disponível para novos clientes a partir de 1º de janeiro de 2019. Os clientes existentes podem continuar a usar o produto, no entanto, a Citrix não fornece aprimoramentos ou correções.
Recursos do console
Os administradores têm acesso irrestrito ao console do XenMobile.
| Painel | O Painel é a primeira página que os administradores veem após fazer login no console do XenMobile. O Painel mostra informações básicas sobre notificações e dispositivos. |
| Relatórios | A página Analisar > Relatórios fornece relatórios predefinidos que permitem analisar suas implantações de aplicativos e dispositivos. |
| Dispositivos | A página Gerenciar > Dispositivos é onde você gerencia os dispositivos dos usuários. Você pode adicionar dispositivos individuais na página ou importar um arquivo de provisionamento de dispositivo para adicionar vários dispositivos de uma só vez. |
| Usuários e Grupos Locais | A página Gerenciar > Usuários é onde você pode adicionar, editar ou excluir usuários locais e grupos de usuários locais. |
| Registro | A página Gerenciar > Convites de Registro é onde você gerencia como os usuários são convidados a registrar seus dispositivos no XenMobile. |
| Políticas | A página Configurar > Políticas de Dispositivo é onde você gerencia políticas de dispositivo, como VPN e Wi-Fi. |
| Aplicativos | A página Configurar > Aplicativos é onde você gerencia os vários aplicativos que os usuários podem instalar em seus dispositivos. |
| Mídia | A página Configurar > Mídia é onde você gerencia as várias mídias que os usuários podem instalar em seus dispositivos. |
| Ação | A página Configurar > Ações é onde você gerencia as respostas a eventos de gatilho. |
| Perfis de Registro | A página Configurar > Perfis de Registro é onde você configura perfis de registro (modos) para permitir que os usuários registrem seus dispositivos. |
| Grupos de Entrega | A página Configurar > Grupos de Entrega é onde você gerencia grupos de entrega e os recursos associados a eles. |
| Configurações | A página Configurações é onde você gerencia as configurações do sistema, como propriedades de cliente e servidor, certificados e provedores de credenciais. Importante: Essas configurações incluem a permissão RBAC. A permissão RBAC concede aos administradores acesso total, incluindo a capacidade de atribuir suas próprias permissões. Conceda este acesso apenas a usuários que você pretende dar a capacidade de manipular tudo no sistema Endpoint Management. |
| Suporte | A página Solução de Problemas e Suporte é onde você realiza atividades de solução de problemas, como executar diagnósticos e gerar logs. |
Dispositivos
Os administradores acessam os recursos do dispositivo em todo o console definindo restrições de dispositivo, configurando e enviando notificações para dispositivos, administrando aplicativos nos dispositivos e assim por diante.
| Limpar dispositivo completamente | Apaga todos os dados e aplicativos de um dispositivo, incluindo cartões de memória, se o dispositivo tiver um. |
| Remover Restrição | Remove uma ou mais restrições de dispositivo. |
| Limpar dispositivo seletivamente | Apaga todos os dados e aplicativos corporativos de um dispositivo, deixando os dados e aplicativos pessoais no lugar. |
| Ver locais | Ver a localização e definir restrições geográficas em um dispositivo. Inclui: Localizar dispositivo, Ver a localização de um dispositivo, Rastrear dispositivo, Rastrear a localização de um dispositivo ao longo do tempo. |
| Bloquear dispositivo | Bloqueia remotamente um dispositivo para que os usuários não possam usá-lo. |
| Desbloquear dispositivo | Desbloqueia remotamente um dispositivo para que os usuários possam usá-lo. |
| Bloquear contêiner | Bloqueia remotamente o contêiner corporativo em um dispositivo. |
| Desbloquear contêiner | Desbloqueia remotamente o contêiner corporativo em um dispositivo. |
| Redefinir senha do contêiner | Redefine a senha do contêiner corporativo. |
| Habilitar ASM DEP/Ignorar bloqueio de ativação | Armazena um código de bypass em um dispositivo iOS supervisionado quando o Bloqueio de Ativação está habilitado. Se você precisar apagar o dispositivo, use este código para limpar o Bloqueio de Ativação automaticamente. |
| Tocar o dispositivo | Toca remotamente um dispositivo Windows no volume máximo por 5 minutos. |
| Reiniciar o dispositivo | Reinicia dispositivos Windows a partir do console do XenMobile. |
| Implantar no dispositivo | Envia aplicativos, notificações, restrições e assim por diante para um dispositivo. |
| Editar dispositivo | Altera as configurações no dispositivo. |
| Notificação para o dispositivo | Envia uma notificação para um dispositivo. |
| Adicionar/Excluir dispositivo | Adiciona ou remove dispositivos do XenMobile. |
| Importar dispositivos | Importa um grupo de dispositivos de um arquivo para o XenMobile. |
| Exportar tabela de dispositivos | Coleta informações do dispositivo da página Dispositivo e as exporta para um arquivo .csv. |
| Revogar dispositivo | Proíbe um dispositivo de se conectar ao XenMobile. |
| Bloqueio de aplicativo | Nega o acesso a todos os aplicativos em um dispositivo. No Android, os usuários não podem fazer login no XenMobile. No iOS, os usuários podem fazer login, mas não podem acessar aplicativos. |
| Limpeza de aplicativo | No Android, esta ação exclui a conta XenMobile do usuário. No iOS, esta ação exclui a chave de criptografia que os usuários precisam para acessar os recursos do XenMobile. |
| Ver inventário de software | Ver qual software está instalado em um dispositivo. |
| Solicitar espelhamento AirPlay | Solicita o início do streaming AirPlay. |
| Parar espelhamento AirPlay | Para o streaming AirPlay. |
| Habilitar modo perdido | Em Gerenciar > Dispositivos, você pode colocar um dispositivo supervisionado no modo perdido para bloquear um dispositivo supervisionado na tela de bloqueio. O modo perdido também permite que você localize o dispositivo quando ele for perdido ou roubado. |
| Desabilitar modo perdido | Em Gerenciar > Dispositivos, você pode desabilitar o modo perdido para um dispositivo que está definido como modo perdido. |
| Atualizar dispositivo OS | Você pode implantar uma política de dispositivo de Controle de Atualizações de SO em dispositivos. |
| Desligar dispositivo | Desliga dispositivos iOS a partir do console do XenMobile. |
| Reiniciar dispositivo | Reinicia dispositivos iOS a partir do console do XenMobile. |
Usuários e Grupos Locais
Os administradores gerenciam usuários locais e grupos de usuários locais na página Gerenciar > Usuários no XenMobile.
| Adicionar Usuários Locais |
| Excluir Usuários Locais |
| Editar Usuários Locais |
| Importar Usuários Locais |
| Exportar Usuários Locais |
| Grupos de Usuários Locais |
| Obter ID de Bloqueio de Usuário Local |
| Excluir Bloqueio de Usuário Local |
Registro
Os administradores podem adicionar e excluir convites de registro, enviar notificações aos usuários e exportar a tabela de registro para um arquivo .csv.
| Adicionar/Excluir registro | Adicionar ou remover um convite de registro para um usuário ou um grupo de usuários. |
| Notificar usuário | Enviar um convite de registro para um usuário ou grupo de usuários. |
| Exportar tabela de convites de registro | Coletar informações de registro da página de Registro e exportá-las para um arquivo .csv. |
Políticas
| Adicionar/Excluir política | Adicionar ou remover uma política de dispositivo ou aplicativo. |
| Editar política | Alterar uma política de dispositivo ou aplicativo. |
| Carregar Política | Carregar uma política de dispositivo ou aplicativo. |
| Clonar Política | Copiar uma política de dispositivo ou aplicativo. |
| Desabilitar Política | Desabilitar uma política de aplicativo existente. |
| Exportar Política | Coletar informações de política de dispositivo da página Políticas de Dispositivo e exportá-las para um arquivo .csv. |
| Atribuir Política | Atribuir uma política de dispositivo a um ou mais grupos de entrega. |
Aplicativo
Os administradores gerenciam aplicativos na página “Configurar > Aplicativos” no XenMobile.
| Adicionar/Excluir loja de aplicativos ou aplicativo corporativo | Adicionar ou remover um aplicativo de loja de aplicativos pública ou um aplicativo corporativo (não habilitado para MDX). |
| Editar loja de aplicativos ou aplicativo corporativo | Alterar um aplicativo de loja de aplicativos pública ou um aplicativo corporativo (não habilitado para MDX). |
| Adicionar/Excluir aplicativo MDX, Web e SaaS | Adicionar ou remover um aplicativo habilitado para MDX, um aplicativo da sua rede interna (aplicativo Web) ou um aplicativo de uma rede pública (SaaS) ao XenMobile. |
| Editar aplicativo MDX, Web e SaaS | Alterar um aplicativo habilitado para MDX, um aplicativo da sua rede interna (aplicativo Web) ou um aplicativo de uma rede pública (SaaS) para o XenMobile. |
| Adicionar/Excluir categoria | Adicionar ou excluir uma categoria na qual os aplicativos podem aparecer na Loja XenMobile. |
| Atribuir aplicativo público/corporativo a grupo de entrega | Atribuir um aplicativo de loja de aplicativos pública ou um aplicativo habilitado para MDX a um grupo de entrega para implantação. |
| Atribuir aplicativo MDX/WebLink/SaaS a grupo de entrega | Atribuir a um grupo de entrega um aplicativo habilitado para MDX, que não requer logon único (WebLink) ou que seja de uma rede pública (SaaS). |
| Exportar tabela de aplicativos | Coletar informações de aplicativos da página Aplicativo e exportá-las para um arquivo .csv. |
Observação:
Ao selecionar “Recursos do console > Aplicativo”, o endpoint da API
GET <https://XMS_IP:4443/controlpoint/rest/ad>retorna as informações LDAP por padrão.
Mídia
Gerenciar mídias obtidas de uma loja de aplicativos pública ou por meio de uma licença de Compra por Volume.
| Adicionar/Excluir livros de loja de aplicativos ou corporativos |
| Atribuir livros públicos/corporativos a grupo de entrega |
| Editar livros de loja de aplicativos ou corporativos |
Ação
| Adicionar/excluir ação | Adicionar ou remover uma ação definida por um gatilho (evento, propriedade de dispositivo ou usuário, ou nome de aplicativo instalado) e sua resposta associada. |
| Editar ação | Alterar uma ação definida por um gatilho (evento, propriedade de dispositivo ou usuário, ou nome de aplicativo instalado) e sua resposta associada. |
| Atribuir ação a grupo de entrega | Atribuir uma ação a um grupo de entrega para implantação em dispositivos de usuário. |
| Exportar ação | Coletar informações de ação da página Ações e exportá-las para um arquivo .csv. |
Grupo de entrega
Os administradores gerenciam grupos de entrega na página “Configurar > Grupos de Entrega”.
| Adicionar/excluir grupo de entrega | Criar ou remover um grupo de entrega, que adiciona usuários especificados e políticas, aplicativos e ações opcionais. |
| Editar grupo de entrega | Alterar um grupo de entrega existente, que modifica usuários e políticas, aplicativos e ações opcionais. |
| Implantar grupo de entrega | Disponibilizar um grupo de entrega para uso. |
| Exportar grupo de entrega | Coletar informações do grupo de entrega da página Grupo de entrega e exportá-las para um arquivo .csv. |
Perfil de registro
Gerenciar perfis de registro.
| Adicionar/excluir perfil de registro |
| Editar perfil de registro |
| Atribuir perfil de registro ao grupo de entrega |
Configurações
Os administradores configuram várias definições nas páginas de “Configurações”.
| RBAC | Atribuição de RBAC, Atribuir funções. Importante: Esta permissão concede aos administradores acesso total, incluindo a capacidade de atribuir as próprias permissões. Conceda este acesso apenas a usuários aos quais você pretende dar a capacidade de gerenciar tudo no sistema Endpoint Management. |
| LDAP | Administre um ou mais diretórios compatíveis com LDAP, como o Active Directory, para importar grupos, contas de usuário e propriedades relacionadas. |
| Licença | Para o XenMobile Server local. Administre suas licenças Citrix®. |
| Registro | Habilite os modos de segurança de registro para usuários e para o “Portal de Autoatendimento”. |
| Gerenciamento de Versões | Visualize a versão instalada atual. Inclui: Atualização do Gerenciamento de Versões |
| Certificados | Edite o certificado APNS, Ouvinte SSL de Certificados |
| Modelos de Notificação | Crie modelos de notificação para usar em ações automatizadas, registro e entrega de mensagens de notificação padrão para usuários. |
| Fluxos de Trabalho | Gerencie a criação, aprovação e remoção de contas de usuário para uso com configurações de aplicativo. |
| Provedores de Credenciais | Adicione um ou mais provedores de credenciais autorizados a emitir certificados de dispositivo. Os provedores de credenciais controlam o formato do certificado e as condições para renovar ou revogar o certificado. |
| Entidades PKI | Gerencie entidades de infraestrutura de chave pública (genéricas, Microsoft Certificate Services ou CA discricionária). |
| Testar Conexão PKI | Use o botão “Testar Conexão” na página “Configurações > Entidades PKI” para garantir que o servidor esteja acessível. |
| Propriedades do Cliente | Gerencie várias propriedades em dispositivos de usuário, como tipo de senha, força ou expiração. |
| Suporte ao Cliente | Defina as formas pelas quais os usuários podem entrar em contato com seus serviços de suporte (e-mail, telefone ou e-mail de tíquete de suporte). |
| Marca do Cliente | Crie um nome de loja personalizado e exibições de loja padrão para a XenMobile Store. Adicione um logotipo personalizado que aparece em uma XenMobile Store ou Secure Hub. |
| Gateway SMS da Operadora | Configure gateways SMS de operadora para configurar notificações que o XenMobile envia através de gateways SMS de operadora. |
| Servidor de Notificação | Configure um servidor de gateway SMTP para enviar um e-mail aos usuários. |
| Gateway ActiveSync | Gerencie o acesso de usuários a dispositivos por meio de regras e propriedades. |
| Apple Deployment Program | Adicione uma conta do Apple Deployment Program ao XenMobile. |
| Registro de Dispositivo Apple Configurator | Configure as definições do Apple Configurator no XenMobile. |
| Definições de compra de volume/iOS | Adicione contas do Apple Volume Purchase. |
| Provedor de Serviços Móveis | Use a interface do Mobile Service Provider para consultar dispositivos BlackBerry e outros dispositivos Exchange ActiveSync e para emitir operações. |
| Citrix Gateway | Para o XenMobile Server local. Adicione um Citrix Gateway. Escolha se deseja habilitar a autenticação e se deseja enviar um certificado de usuário para autenticação. Escolha um provedor de credenciais. |
| Controle de Acesso à Rede | Defina as condições que determinam que um dispositivo não está em conformidade e, portanto, tem o acesso à rede negado. |
| Samsung Knox | Habilite ou desabilite o XenMobile para consultar as APIs REST do servidor de atestado Samsung Knox. |
| Propriedades do Servidor | Adicione ou modifique as propriedades do servidor. Requer a reinicialização do XenMobile em todos os nós. |
| Syslog | Para o XenMobile Server local. Envie arquivos de log para um servidor de Log do Sistema (syslog) usando o nome do host ou endereço IP do servidor. |
| XenApp e XenDesktop® | Permita que os usuários adicionem Virtual Apps and Desktops através do Secure Hub. |
| Citrix Files | Ao usar o XenMobile com contas Enterprise: Configure as definições para se conectar à conta ShareFile e à conta de serviço do administrador para gerenciar contas de usuário. Requer domínio e credenciais de administrador do Citrix Files existentes. Ao usar o XenMobile com conectores de zona de armazenamento: Configure o XenMobile para apontar para compartilhamentos de rede e locais do SharePoint definidos nos conectores de zona de armazenamento. |
| Programa de Melhoria da Experiência | Para o XenMobile Server local. Opte por participar ou não do envio de estatísticas anônimas e informações de uso para a Citrix. |
| Microsoft Azure | Para o XenMobile Server local. Integre o XenMobile com o Microsoft Azure. |
| Android Enterprise | Configure as definições do servidor Android Enterprise. |
| Provedor de Identidade (IdP) | Configure um provedor de identidade. |
| Ferramentas XenMobile | Acesse a página “XenMobile Tools”. |
| Configuração SNMP | Habilite o SNMP para nós do XenMobile Server. Edite ou adicione usuários de monitoramento, configure o gerenciador SNMP onde as notificações de trap aparecem e configure intervalos e limites de trap. |
Suporte
Os administradores podem realizar várias tarefas de suporte.
| Verificações de Conectividade do Citrix Gateway | Realize várias verificações de conectividade para o Citrix Gateway por endereço IP. Requer um nome de usuário e senha. |
| Verificações de Conectividade do XenMobile | Realize verificações de conectividade para recursos selecionados do XenMobile, como banco de dados, DNS ou Google Plan. |
| Criar Pacotes de Suporte | Para o XenMobile Server local. Crie um arquivo para enviar ao Suporte Citrix para solução de problemas. Contém informações do sistema, logs, informações do banco de dados, informações principais, arquivos de rastreamento e as informações de configuração mais recentes para o XenMobile ou Citrix Gateway. |
| Documentação do Produto Citrix | Acesse o site de documentação pública do Citrix XenMobile. |
| Citrix Knowledge Center | Acesse o site de Suporte Citrix para pesquisar artigos da base de conhecimento. |
| Logs | Acesse e analise os detalhes do arquivo de log para depuração, auditoria de administrador e auditoria de usuário. |
| Informações do Cluster | Para o XenMobile Server local. Acesse informações sobre cada um dos nós em um ambiente em cluster. |
| Coleta de Lixo | Para o XenMobile Server local. Acesse informações sobre objetos de memória que não estão mais em uso. |
| Propriedades da Memória Java | Para o XenMobile Server local. Acesse um instantâneo do uso da memória Java, detalhes da memória e detalhes do pool de memória. |
| Macros | Preencha dados de propriedade de usuário ou dispositivo no campo de texto de um perfil, política, notificação ou modelo de registro. Configure uma única política, implante a política para uma grande base de usuários e faça com que valores específicos do usuário apareçam para cada usuário direcionado. |
| Configuração PKI | Importe e exporte informações de configuração PKI. |
| Utilitário de Assinatura APNS | Envie uma solicitação de certificados de assinatura da Apple Push Network (APNs) ou carregue um certificado APNs do Secure Mail para iOS. |
| Citrix Insight Services | Carregue logs para o Citrix Insight Services (CIS) para obter assistência com vários problemas. |
| Status do conector Citrix Gateway™ para Exchange ActiveSync do dispositivo | Consulte o XenMobile para obter o status de um dispositivo conforme enviado ao conector do Citrix Gateway para Exchange ActiveSync com base no ID do ActiveSync do dispositivo. |
| Anonimização e desanonimização | Para o XenMobile Server local. Ao criar pacotes de suporte no XenMobile, dados confidenciais de usuário, servidor e rede são anonimizados por padrão. Você pode alterar esse comportamento em “Suporte > Anonimização e Desanonimização” em “Avançado”. |
| Definições de Log | Personalize o nível de log ou adicione um logger personalizado. |
Restringir Acesso a Grupos
Usuários administradores podem aplicar permissões a todos os grupos de usuários.
Função de Suporte
Usuários com a função de Suporte têm acesso ao suporte remoto. As permissões deles se aplicam a todos os usuários por padrão e eles não podem editar esta configuração.
Função de Usuário
Usuários com a função de Usuário têm o seguinte acesso limitado ao XenMobile.
Acesso Autorizado
| “Portal de Autoatendimento” | Usuários têm acesso apenas ao “Portal de Autoatendimento” no XenMobile. |
Recursos do Console
Usuários têm o seguinte acesso restrito ao console do XenMobile.
Dispositivos
| Limpar dispositivo completamente | Apague todos os dados e aplicativos de um dispositivo, incluindo cartões de memória, se o dispositivo tiver um. |
| Limpar dispositivo seletivamente | Apague todos os dados e aplicativos corporativos de um dispositivo, deixando os dados e aplicativos pessoais no local. |
| Visualizar localizações | Veja a localização e defina restrições geográficas em um dispositivo. Incluído: Localizar dispositivo, Ver a localização de um dispositivo, Rastrear dispositivo, Rastrear localização do dispositivo ao longo do tempo |
| Bloquear dispositivo | Bloqueie um dispositivo remotamente para que ele não possa ser usado. |
| Desbloquear dispositivo | Desbloqueie um dispositivo remotamente para que ele possa ser usado. |
| Bloquear contêiner | Bloqueie remotamente o contêiner corporativo em um dispositivo. |
| Desbloquear contêiner | Desbloqueie remotamente o contêiner corporativo em um dispositivo. |
| Redefinir senha do contêiner | Redefina a senha do contêiner corporativo. |
| Habilitar Bloqueio de Ativação ASM DEP/Bypass | Armazene um código de bypass em um dispositivo iOS supervisionado quando o Bloqueio de Ativação estiver habilitado. Se precisar apagar o dispositivo, use este código para limpar o Bloqueio de Ativação automaticamente. |
| Tocar o dispositivo | Toque o dispositivo remotamente em um dispositivo Windows em volume máximo por 5 minutos. |
| Reiniciar o dispositivo | Reinicie um dispositivo Windows. |
| Visualizar inventário de software | Veja qual software está instalado em um dispositivo. |
Registro
| Adicionar/Excluir registro | Adicione ou remova um convite de registro para um usuário ou grupo de usuários. |
| Notificar usuário | Envie um convite de registro para um usuário ou grupo de usuários. |
Restringir Acesso a Grupos
Para todas as quatro funções padrão, esta permissão é definida por padrão e pode ser aplicada a todos os grupos de usuários. Não é possível editar a função.
Configurar funções com RBAC
O recurso de Controle de Acesso Baseado em Função (RBAC) no XenMobile permite atribuir funções predefinidas, ou conjuntos de permissões, a usuários e grupos. Essas permissões controlam o nível de acesso que os usuários têm às funções do sistema.
O XenMobile implementa quatro funções de usuário padrão para separar logicamente o acesso às funções do sistema:
- Administrador: Concede acesso total ao sistema.
- Suporte: Concede acesso ao suporte remoto.
- Usuário: Usado por usuários que podem registrar dispositivos e acessar o “Portal de Autoatendimento”.
Você também pode usar as funções padrão como modelos que você personaliza para criar funções de usuário. Você pode atribuir permissões às funções para acessar funções específicas do sistema além das funções definidas pelas funções padrão.
As funções podem ser atribuídas a usuários locais (no nível do usuário) ou a grupos do Active Directory (todos os usuários nesse grupo têm as mesmas permissões). Se um usuário pertencer a vários grupos do Active Directory, todas as permissões serão mescladas para definir as permissões para esse usuário. Por exemplo, suponha que os usuários do ADGroupA possam localizar dispositivos de gerentes e os usuários do ADGroupB possam apagar dispositivos de funcionários. Nesse caso, um usuário que pertence a ambos os grupos pode localizar e apagar os dispositivos de gerentes e funcionários.
Observação:
Usuários locais podem ter apenas uma função atribuída a eles.
Você pode usar o recurso RBAC no XenMobile para fazer o seguinte:
- Criar uma função.
- Adicionar grupos a uma função.
- Associar usuários locais a funções.
-
No console do XenMobile, vá para “Configurações” > “Controle de Acesso Baseado em Função”. A página “Controle de Acesso Baseado em Função” é exibida, mostrando as quatro funções de usuário padrão, além de quaisquer funções que você tenha adicionado anteriormente.
Se você clicar no sinal de adição (+) ao lado de uma função, a função se expandirá para mostrar todas as permissões para essa função, conforme mostrado na figura a seguir.
-
Clique em “Adicionar” para adicionar uma nova função de usuário. Para editar a função, clique no ícone de caneta à direita de uma função existente. Para excluir a função, clique no ícone de lixeira à direita de uma função. Não é possível excluir as funções de usuário padrão.
- Ao clicar em “Adicionar” ou no ícone de caneta, a página “Adicionar Função” ou “Editar Função” é exibida.
- Ao clicar no ícone de lixeira, uma caixa de diálogo de confirmação é exibida. Clique em “Excluir” para remover a função selecionada.
-
Insira as seguintes informações para criar ou editar uma função de usuário:
- Nome do RBAC: Insira um nome descritivo para a nova função de usuário. Não é possível alterar o nome de uma função existente.
- Modelo de RBAC: Opcionalmente, clique em um modelo como ponto de partida para a nova função. Não é possível selecionar um modelo se você estiver editando uma função existente.
Os modelos de RBAC são as funções de usuário padrão. Eles definem o acesso às funções do sistema que os usuários associados a essa função têm. Depois de selecionar um modelo de RBAC, você pode ver todas as permissões associadas a essa função nos campos “Acesso Autorizado” e “Recursos do Console”. O uso de um modelo é opcional. Você pode selecionar diretamente as opções que deseja atribuir a uma função nos campos “Acesso Autorizado” e “Recursos do Console”.
- Clique em “Aplicar” próximo ao campo “Modelo de RBAC” selecionado para preencher “Acesso autorizado” e “Recursos do console” com as permissões de acesso e recursos predefinidas.
-
Selecione e desmarque as caixas de seleção em “Acesso autorizado” e “Recursos do console” para personalizar a função.
Se você clicar no triângulo ao lado de um recurso do console, aparecerão permissões específicas para esse recurso que você pode selecionar e desmarcar. Clicar na caixa de seleção de nível superior proíbe o acesso a essa área do console. Selecione as opções individuais abaixo do nível superior para habilitá-las. Por exemplo, na figura a seguir, as opções “Limpar dispositivo completamente” e “Limpar restrições” não aparecem para os usuários atribuídos à função. As opções marcadas aparecem.
-
Aplicar permissões: Selecione um ou mais grupos de usuários para limitar quais grupos o administrador pode gerenciar. Se você clicar em “Para grupos de usuários específicos”, uma lista de grupos aparecerá, da qual você pode selecionar um ou mais grupos.
Por exemplo, se um administrador de RBAC tiver permissões para os grupos de usuários ActiveDirectory e MSP:
- O administrador pode acessar informações apenas para usuários que estão no grupo ActiveDirectory, no grupo MSP ou em ambos os grupos.
- O administrador não pode visualizar outros usuários locais ou do AD. O administrador pode visualizar usuários que são membros de grupos filhos de qualquer um desses grupos.
- O administrador pode enviar convites para:
- os grupos de permissão e seus grupos filhos
- os usuários que são membros de grupos de permissão e seus grupos filhos
- Clique em “Avançar”. A página “Atribuição” aparece.
-
Insira as seguintes informações para atribuir a função a grupos de usuários.
- Selecionar domínio: Clique em um domínio na lista suspensa.
- Incluir grupos de usuários: Clique em “Pesquisar” para ver uma lista de todos os grupos disponíveis, ou digite um nome de grupo completo ou parcial para limitar a lista apenas aos grupos com esse nome.
- Na lista que aparece, selecione os grupos de usuários aos quais você deseja atribuir a função. Quando você seleciona um grupo de usuários, o grupo aparece na lista “Grupos de usuários selecionados”.
Observação:
Para remover um grupo de usuários da lista “Grupos de usuários selecionados”, clique no X ao lado do nome do grupo de usuários.
- Clique em “Salvar”.