Unterstützung für die rollenbasierte Zugriffssteuerung in Endpoint Management

In Endpoint Management wird der Benutzer- und Gruppenzugriff auf Endpoint Management-Systemfunktionen (z. B. Endpoint Management-Konsole, Selbsthilfeportal, öffentliche API) über die rollenbasierte Zugriffssteuerung (RBAC) beschränkt. In diesem Artikel werden die in Endpoint Management integrierten Rollen und Überlegungen zur Wahl eines Endpoint Management-Supportmodells, für das RBAC verwendet wird, beschrieben.

Integrierte Rollen

Sie können den Zugriff für die folgenden integrierten Rollen ändern und Rollen hinzufügen. Informationen zum vollständigen Satz von Zugriffs- und Featureberechtigungen der Rollen und zu deren Standardeinstellung enthält die Datei Role-Based Access Control Defaults. Eine Definition der einzelnen Features finden Sie unter Konfigurieren von Rollen mit RBAC.

Administratorrolle

Standardzugriff:

  • Vollzugriff auf das System mit Ausnahme des Selbsthilfeportals.
  • Standardmäßig können Administratoren einige Supportaufgaben ausführen, z. B. Verbindungsprüfungen oder Supportpaketerstellung.

Überlegungen:

  • Benötigen einige oder alle Administratoren Zugriff auf das Selbsthilfeportal? Wenn dies der Fall ist, können Sie die Administratorrolle bearbeiten oder Administratorrollen hinzufügen.
  • Zum weiteren Einschränken des Zugriffs für einige Administratoren oder Administratorgruppen fügen Sie Rollen basierend auf Admin-Vorlage hinzu und bearbeiten Sie die Berechtigungen.

Geräteprovisioning

Standardzugriff:

  • Zugriff auf die Endpoint Management-Konsole für die grundlegende Verwaltung von Windows CE-Geräten: Hinzufügen, Ändern und Entfernen von Geräten, Verwenden der Seite “Einstellungen”.

Überlegungen:

  • Gilt nur für Windows CE-Geräte.

Benutzer

Standardzugriff:

  • Zugriff auf das Selbsthilfeportal, über das authentifizierte Benutzer Registrierungslinks generieren können. Über solche Links können sie ihre Geräte registrieren oder sich selbst eine Registrierungseinladung senden.
  • Eingeschränkter Zugriff auf die Endpoint Management-Konsole: Gerätefunktionen (z. B. Löschen, Sperren/Entsperren von Geräten, Sperren/Entsperren von Containern, Ortung und Festlegen geografischer Einschränkungen, Anrufen von Geräten, Zurücksetzen des Containerkennworts), Hinzufügen, Entfernen und Senden von Registrierungseinladungen.

Überlegungen:

  • Mit der Benutzerrolle können Sie Benutzern die Selbsthilfe ermöglichen.
  • Um gemeinsam genutzte Geräte zu unterstützen, erstellen Sie eine Benutzerrolle für die Registrierung gemeinsam genutzter Geräte.

Überlegungen zum Endpoint Management-Supportmodell

Sie können sehr unterschiedliche Supportmodelle verwenden und bei Bedarf Level 1 und 2 an Drittanbieter übergeben, während Ihre Mitarbeiter Level 3 und 4 handhaben. Unabhängig von der Verteilung der Supportaufgaben sollten Sie die in diesem Abschnitt für Ihre spezifische Endpoint Management-Bereitstellung und Ihren spezifischen Benutzerstamm aufgeführten Überlegungen berücksichtigen.

Haben Benutzer unternehmenseigene oder BYO-Geräte? Die wichtigste Frage für den Support ist die, wem die Benutzergeräte in der Endpoint Management-Umgebung gehören. Wenn die Benutzer firmeneigene Geräte verwenden, können Sie sich evtl. durch Angebot einer niedrigeren Supportstufe eine Möglichkeit der Gerätesperrung schaffen. In diesem Fall helfen Sie den Benutzern möglicherweise über einen Helpdesk bei der Verwendung der Geräte und bei Problemen. Überlegen Sie abhängig von der Art der betreuten Geräte, wie Sie die Rollen zum RBAC-Geräteprovisioning und für den Support für Ihren Helpdesk verwenden.

Wenn die Benutzer BYOD-Geräte verwenden, wird von ihnen möglicherweise erwartet, dass sie eigene Supportquellen finden. In diesem Fall hat Ihr Support eher administrative, auf Endpoint Management-spezifische Probleme konzentrierte Aufgaben.

Was ist Ihr Supportmodell für Desktops? Überlegen Sie, ob Ihr Desktop-Supportmodell für andere unternehmenseigene Geräte geeignet ist. Können Sie dieselbe Supportorganisation nutzen? Welche zusätzliche Schulung ist erforderlich?

Sollen die Benutzer Zugriff auf das Endpoint Management-Selbsthilfeportal erhalten? Manche Unternehmen möchten Benutzern zwar keinen Zugriff auf Endpoint Management gewähren, die Bereitstellung einer Selbsthilfefunktion kann den Support jedoch entlasten. Wenn die RBAC-Standardbenutzerrolle Berechtigungen enthält, die Sie nicht gewähren möchten, können Sie ggf. eine neue Rolle mit den gewünschten Berechtigungen erstellen. Sie können so viele Rollen erstellen, wie Sie benötigen.

Unterstützung für die rollenbasierte Zugriffssteuerung in Endpoint Management