Konfigurieren von Rollen mit RBAC

Jeder vordefinierten Rolle für die rollenbasierte Zugriffssteuerung (RBAC) sind bestimmte Zugriffs- und Featureberechtigungen zugewiesen. In diesem Artikel werden die einzelnen Berechtigungen erläutert. Eine vollständige Liste der Standardberechtigungen für jede integrierte Rolle finden Sie unter Role-Based Access Control Defaults.

Wenn Sie Berechtigungen anwenden, definieren Sie die Benutzergruppen, die mit der RBAC-Rolle verwaltet werden dürfen. Der Standardadministrator kann die angewendeten Berechtigungseinstellungen nicht ändern. Die angewendeten Berechtigungen gelten standardmäßig für alle Benutzergruppen.

Wenn Sie eine Zuweisung durchführen, weisen Sie die RBAC-Rolle einer Gruppe zu, sodass diese Benutzergruppe die RBAC-Administratorrechte erhält.

Administratorrolle

Benutzer mit der vordefinierten Administratorrolle haben Zugriff oder haben keinen Zugriff auf die folgenden Features in Endpoint Management. Standardmäßig sind Autorisierter Zugriff (außer Selbsthilfeportal), Konsolenfeatures und Berechtigungen anwenden aktiviert.

Autorisierter Zugriff für Administratoren

   
Konsolenzugriff für Administratoren Administratoren haben Zugriff auf alle Features der Endpoint Management-Konsole.
Zugriff auf das Selbsthilfeportal Standardmäßig haben Administratoren keinen Zugriff auf das Selbsthilfeportal.
Registrierung für gemeinsam genutzte Geräte Standardmäßig haben Administratoren nicht die Berechtigung “Registrierung für gemeinsam genutzte Geräte”. Dieses Feature ist für Benutzer gedacht, die die Berechtigung brauchen, gemeinsam genutzte Geräte zu registrieren.
Zugriff auf die öffentliche API Mit der öffentlichen API für Administratoren können Aktionen, die in der Endpoint Management-Konsole verfügbar sind, programmatisch durchgeführt werden. Ein Beispiel für solche Aktionen ist das Verwalten von Zertifikaten, Apps, Geräten, Bereitstellungsgruppen und lokalen Benutzern.
Registrierung für COSU-Geräte Standardmäßig haben Administratoren keinen Zugriff, um COSU-Geräte für Ihre Endpoint Management-Bereitstellung zu registrieren. Dieses Feature ist für Benutzer gedacht, die die Berechtigung brauchen, COSU-Geräte zu registrieren.

Konsolenfeatures für Administratoren

Administratoren haben uneingeschränkten Zugriff auf die Endpoint Management-Konsole.

   
Dashboard Das Dashboard ist die erste Seite, die Administratoren nach der Anmeldung an der Endpoint Management-Konsole angezeigt wird. Das Dashboard enthält grundlegende Informationen zu Benachrichtigungen und Geräten.
Berichterstellung Die Seite Analyse > Berichterstellung bietet vordefinierte Berichte für die Analyse von App- und Gerätebereitstellungen.
Geräte Die Seite Verwalten > Geräte dient zum Verwalten der Benutzergeräte. Sie können einzelne Geräte auf der Seite hinzufügen oder eine Provisioningdatei zum Hinzufügen mehrerer Geräte in einem Arbeitsgang importieren.
Lokale Benutzer und Gruppen Auf der Seite Verwalten > Benutzer können Sie lokale Benutzer und Gruppen hinzufügen, bearbeiten und löschen.
Registrierung Auf der Seite Verwalten > Registrierungseinladungen geben Sie vor, wie Benutzer zur Registrierung ihrer Geräte bei Endpoint Management eingeladen werden.
Richtlinien Die Seite Verwalten > Geräterichtlinien dient zur Verwaltung von Geräterichtlinien wie VPN und Wi-Fi.
App Auf der Seite Konfigurieren > Apps verwalten Sie die Apps, die die Benutzer auf ihren Geräten installieren können.
Medien Auf der Seite Konfigurieren > Medien verwalten Sie die Medien, die die Benutzer auf ihren Geräten installieren können.
Smartaktion Auf der Seite Konfigurieren > Aktionen verwalten Sie Antworten auf Auslöser.
Registrierungsprofil Auf der Seite Konfigurieren > Registrierungsprofile, konfigurieren Sie Registrierungsprofile (Modi) für die Geräteregistrierung durch die Benutzer.
Bereitstellungsgruppe Auf der Seite Konfigurieren > Bereitstellungsgruppen verwalten Sie Bereitstellungsgruppen und die ihnen zugeordneten Ressourcen.
Einstellungen Die Seite Einstellungen dient zur Verwaltung der Systemeinstellungen, z. B. von Client- und Servereigenschaften, Zertifikaten und Anmeldeinformationsanbietern.
Support Die Seite Problembehandlung und Support ermöglicht die Behandlung von Problemen, z. B. die Ausführung einer Diagnose und das Generieren von Protokollen.

Geräteeinschränkungen für Administratoren

Administratoren greifen in jedem Bereich der Konsole auf Gerätefeatures zu, indem sie Geräteeinschränkungen festlegen, Benachrichtigungen für Geräte einrichten und senden, Apps auf den Geräten verwalten usw.

   
Gerät vollständig löschen Löschen aller Daten und Apps von einem Gerät und, sofern vorhanden, dessen Speicherkarten.
Einschränkungen deaktivieren Entfernen einer oder mehrerer Geräteeinschränkungen.
Gerät selektiv löschen Löschen aller Unternehmensdaten und -Apps von einem Gerät, private Daten und Apps bleiben erhalten.
Standorte anzeigen Anzeigen des Standorts eines Geräts und Festlegen geografischer Einschränkungen. Einschließlich: Gerät orten, Gerätetracking.
Gerät sperren Sperren eines Geräts, sodass es nicht verwendet werden kann.
Gerät entsperren Entsperren eines Geräts, sodass Benutzer es nicht verwenden können.
Container sperren Remotesperren des Unternehmenscontainers auf einem Gerät.
Container entsperren Remoteentsperren des Unternehmenscontainers auf einem Gerät.
Containerkennwort zurücksetzen Zurücksetzen des Containerkennworts.
Umgehung der Aktivierungssperre für ASM DEP aktivieren Speichern eines Umgehungscodes auf einem betreuten iOS-Gerät bei aktivierter Aktivierungssperre. Zum Löschen der Daten auf dem Gerät verwenden Sie diesen Code, um die Aktivierungssperre automatisch aufzuheben.
Residente Benutzer abrufen Liste der Benutzer, die auf dem aktuellen Gerät aktive Konten haben. Diese Aktion erzwingt eine Synchronisierung zwischen Gerät und Endpoint Management-Konsole.
Residenten Benutzer abmelden Abmelden des aktuellen Benutzers erzwingen.
Residenten Benutzer löschen Die aktuelle Sitzung für einen bestimmten Benutzer löschen. Der Benutzer kann sich erneut anmelden.
Gerät klingeln lassen Remoteauslösen des Klingeltons auf einem Windows-Gerät in voller Lautstärke für 5 Minuten.
Gerät neu starten Neustarten von Windows-Geräten über die Endpoint Management-Konsole.
Auf Gerät bereitstellen Senden von Apps, Benachrichtigungen, Einschränkungen und anderen Ressourcen an ein Gerät.
Gerät bearbeiten Ändern der Einstellungen auf dem Gerät.
Benachrichtigung an Gerät Senden von Benachrichtigungen an ein Gerät.
Gerät hinzufügen/löschen Hinzufügen oder Löschen von Geräten in Endpoint Management.
Geräte importieren Importieren einer Gerätegruppe aus einer Datei in Endpoint Management.
Gerätetabelle exportieren Sammeln von Geräteinformationen auf der Geräteseite und Exportieren in eine CSV-Datei.
Gerät widerrufen Verhindern der Verbindung zwischen einem Gerät und Endpoint Management.
App-Sperre Verhindern des Zugriffs auf alle Apps auf einem Gerät. Unter Android verhindert diese Einschränkung, dass sich Benutzer bei Endpoint Management anmelden können. Unter iOS können Benutzer sich anmelden, jedoch nicht auf Apps zugreifen.
App löschen Diese Einschränkung löscht auf Android-Geräten das Endpoint Management-Konto der Benutzer. Auf iOS-Geräten wird mit dieser Einschränkung der Verschlüsselungsschlüssel gelöscht, den Benutzer für den Zugriff auf Endpoint Management-Features benötigen.
Softwarebestand anzeigen Anzeigen einer Liste der auf einem Gerät installierten Software.
AirPlay-Synchronisierung anfordern Anforderung, AirPlay-Streaming zu starten.
AirPlay-Synchronisierung beenden AirPlay-Streaming beenden.
Modus “Verloren” aktivieren Auf der Seite Verwalten > Geräte können Sie betreute Geräte in den Modus “Verloren” versetzen, damit das betreute Gerät mit dem Sperrbildschirm gesperrt wird. Sie können das Gerät dann orten, wenn das Gerät verloren oder gestohlen wurde.
Modus ‘Verloren’ deaktivieren Auf der Seite Verwalten > Geräte können Sie den Modus “Verloren” für Geräte deaktivieren, die auf diesen Modus eingestellt sind.
OS-Update für Gerät Sie können die Geräterichtlinie “OS-Update” auf Geräten bereitstellen.
Gerät herunterfahren Herunterfahren von iOS-Geräten über die Endpoint Management-Konsole.
Gerät neu starten Neustarten von iOS-Geräten über die Endpoint Management-Konsole.
Geräteregistrierungszertifikat erneuern ZS-Zertifikat für Gerät erneuern

Lokale Benutzer und Gruppen

Administratoren verwalten auf der Seite Verwalten > Benutzer in Endpoint Management lokale Benutzer und Gruppen.

 
Lokale Benutzer hinzufügen/löschen
Lokale Benutzer bearbeiten
Lokale Benutzer importieren
Lokalen Benutzer exportieren
Lokale Benutzergruppen

Registrierung

Administratoren können Registrierungseinladungen hinzufügen und löschen, Benachrichtigungen an Benutzer senden und die Registrierungstabelle in eine CSV-Datei exportieren.

   
Registrierung hinzufügen/löschen Hinzufügen und Entfernen einer Registrierungseinladung an einen Benutzer oder eine Gruppe.
Benutzer benachrichtigen Senden einer Registrierungseinladung an einen Benutzer oder eine Gruppe.
Registrierungseinladungstabelle exportieren Sammeln von Registrierungsinformationen auf der Seite “Registrierung” und Exportieren in eine CSV-Datei.

Richtlinien

   
Richtlinie hinzufügen/löschen Hinzufügen und Entfernen von Geräte- und App-Richtlinien.
Richtlinie bearbeiten Ändern einer Geräte- oder App-Richtlinie.
Richtlinie hochladen Hochladen einer Geräte- oder App-Richtlinie.
Richtlinie klonen Kopieren einer Geräte- oder App-Richtlinie.
Richtlinie deaktivieren Deaktivieren einer App-Richtlinie.
Richtlinie exportieren Sammeln von Richtlinieninformationen auf der Seite “Geräterichtlinien” und Exportieren in eine CSV-Datei.
Richtlinie zuweisen Zuweisen einer Richtlinie zu einer oder mehreren Bereitstellungsgruppen.

App

Administratoren verwalten Apps auf der Seite Konfigurieren > Apps in Endpoint Management.

   
App-Store- oder Unternehmensapp hinzufügen/löschen Hinzufügen oder Entfernen einer öffentlichen Store-App oder einer nicht mit MDX umschlossene App.
App-Store- oder Unternehmensapp bearbeiten Bearbeiten einer App aus einem öffentlichen App-Store oder nicht mit MDX umschlossene App.
MDX-, Web- und SaaS-App hinzufügen/löschen Apps hinzufügen oder entfernen. Eine Web-App ist eine App aus Ihrem internen Netzwerk. Eine SaaS-App ist eine App aus einem öffentlichen Netzwerk (SaaS).
MDX-, Web- und SaaS-App bearbeiten Apps bearbeiten.
Kategorie hinzufügen/löschen Hinzufügen oder Löschen einer Kategorie für die Anzeige von Apps im App-Store.
Öffentliche App/Unternehmensapp Bereitstellungsgruppe zuweisen Zuweisen einer App aus einem öffentlichen App-Store oder einer nicht mit MDX umschlossenen App zu einer Bereitstellungsgruppe für die Bereitstellung.
MDX-/Weblink-/SaaS-App einer Bereitstellungsgruppe zuweisen Zuweisen einer App zu einer Bereitstellungsgruppe für die Bereitstellung auf den Benutzergeräten. Eine WebLink-App ist eine App, die kein Single Sign-On erfordert.
App-Tabelle exportieren Sammeln von App-Informationen auf der App-Seite und Exportieren in eine CSV-Datei.

Medien

Verwalten von aus einem öffentlichen App-Store oder über eine VPP-Lizenz erhaltene Medien.

 
App-Store- oder Unternehmensbücher hinzufügen/löschen
Öffentliche bzw. Unternehmensbücher Bereitstellungsgruppe zuweisen
App-Store- oder Unternehmensbücher bearbeiten

Smartaktion

   
Smartaktion hinzufügen/löschen Hinzufügen oder Löschen einer Aktion, die über einen Auslöser (Ereignis, Geräte oder Benutzereigenschaft oder Name der installierten App) und die zugehörigen Antwort definiert wird.
Smartaktion bearbeiten Ändern einer Aktion, die über einen Auslöser (Ereignis, Geräte oder Benutzereigenschaft oder Name der installierten App) und die zugehörigen Antwort definiert wird.
Smartaktion Bereitstellungsgruppe zuweisen Zuweisen einer Aktion zu einer Bereitstellungsgruppe für die Bereitstellung auf den Benutzergeräten.
Smartaktion exportieren Sammeln von Aktionsinformationen auf der Aktionen-Seite und Exportieren in eine CSV-Datei.

Bereitstellungsgruppe

Administratoren verwalten Bereitstellungsgruppen auf der Seite Konfigurieren > Bereitstellungsgruppen.

   
Bereitstellungsgruppe hinzufügen/löschen Erstellen oder Löschen einer Bereitstellungsgruppe zum Hinzufügen bzw. Löschen der angegebenen Benutzer und optional von Richtlinien, Apps und Aktionen.
Bereitstellungsgruppe bearbeiten Ändern einer Bereitstellungsgruppe zum Ändern der angegebenen Benutzer und optional von Richtlinien, Apps und Aktionen.
Bereitstellungsgruppe bereitstellen Verfügbarmachen einer Bereitstellungsgruppe.
Bereitstellungsgruppe exportieren Sammeln von Informationen zu einer Bereitstellungsgruppe auf der Seite mit den Bereitstellungsgruppen und Exportieren in eine CSV-Datei.

Registrierungsprofil

Verwalten von Registrierungsprofilen.

 
Registrierungsprofil hinzufügen/löschen
Registrierungsprofil bearbeiten
Registrierungsprofil der Bereitstellungsgruppe zuweisen

Einstellungen für Administratoren

Administratoren konfigurieren diverse Einstellungen auf der Seite Einstellungen.

   
RBAC RBAC-Zuweisung
LDAP Verwalten LDAP-kompatibler Verzeichnisse, z. B. von Active Directory, zum Importieren von Gruppen, Benutzerkonten und zugehörigen Eigenschaften.
Registrierung Aktivieren von Registrierungsmodi für Benutzer und das Selbsthilfeportal.
Releasemanagement Anzeigen des aktuell installierten Release. Inklusive Releasemanagementupdate.
Zertifikate APNs-Zertifikat bearbeiten
Benachrichtigungsvorlagen Erstellen von Benachrichtigungsvorlagen zur Verwendung für automatisierte Aktionen, die Registrierung und Standardbenachrichtigungen an Benutzer.
Workflows Verwalten von Erstellen, Genehmigen und Entfernen von Benutzerkonten für die Verwendung mit App-Konfigurationen.
Anmeldeinformationsanbieter Hinzufügen von Anmeldeinformationsanbietern mit Berechtigung zum Ausstellen von Gerätezertifikaten. Die Anmeldeinformationsanbieter steuern das Zertifikatformat und die Bedingungen für die Verlängerung und Sperrung von Zertifikaten.
PKI-Entitäten Verwalten von Public Key-Infrastrukturentitäten (allgemeine, Microsoft Zertifikatdienste oder eigenverwaltete ZS).
PKI-Verbindung testen Verwenden Sie die Schaltfläche “Verbindung testen” auf der Seite Einstellungen > PKI-Entitäten, um sicherzustellen, dass der Server erreichbar ist.
Clienteigenschaften Verwalten diverser Eigenschaften auf den Benutzergeräten, z. B. Passcodetyp, -sicherheit, und -ablauf.
Clientsupport Festlegen der Methoden, mit denen Benutzer sich an den hauseigenen Support wenden können (E-Mail, Telefon oder Supportticket per E-Mail).
Clientbranding Erstellen eines benutzerdefinierten Storenamens und von Standardansichten für den App-Store. Hinzufügen eines benutzerdefinierten Logos für den App-Store oder Secure Hub.
SMS-Gateway des Netzbetreibers Einrichten von Netzbetreiber-SMS-Gateways zum Konfigurieren von Benachrichtigungen, die Endpoint Management durch SMS-Gateways sendet.
Benachrichtigungsserver Einrichten eines SMTP-Gatewayservers zum Senden von E-Mail an Benutzer.
ActiveSync-Gateway Verwalten des Benutzerzugriffs für Benutzer und Geräte über Regeln und Eigenschaften.
Google Play-Anmeldeinformationen Einrichten von Benutzernamen, Kennwörtern und Geräte-IDs für den Zugriff auf Google Play.
Google Chrome Konfigurieren von Endpoint Management für die Kommunikation mit Ihrem G Suite-Konto.
Apple Device Enrollment Program (DEP) Hinzufügen eines Apple DEP-Kontos zu Endpoint Management.
Apple Configurator-Geräteregistrierung Konfigurieren von Apple Configurator-Einstellungen in Endpoint Management.
iOS/VPP-Einstellungen Hinzufügen von Konten für das Programm für Volumenlizenzen von Apple.
Mobilfunkanbieter Verwenden der Mobilfunkanbieterschnittstelle zum Abfragen von BlackBerry- und anderen Exchange ActiveSync-Geräten und zum Auslösen von Vorgängen.
NetScaler Gateway Konfigurieren der NetScaler Gateway-Einstellungen (jetzt Citrix Gateway) in Endpoint Management.
Netzwerkzugriffssteuerung (NAC) Festlegen der Bedingungen zum Einordnen von Geräten als nicht richtlinientreu und entsprechendem Entzug des Zugriffs auf das Netzwerk.
Samsung KNOX Aktivieren und Deaktivieren von Endpoint Management für die Abfrage der REST-APIs des Samsung KNOX-Nachweisservers.
Servereigenschaften Hinzufügen und Ändern von Servereigenschaften. Erfordert einen Neustart von Endpoint Management auf allen Knoten.
XenApp und XenDesktop Zulassen, dass Benutzer Citrix Virtual Apps and Desktops (früher XenApp und XenDesktop) über Citrix Workspace hinzuzufügen.
Citrix Files Endpoint Management mit Citrix Files Enterprise: Konfigurieren Sie Einstellungen für Verbindungen mit dem Citrix Files-Konto und dem Administratordienstkonto, um Benutzerkonten zu verwalten. Eine Citrix Files-Domäne und Administratoranmeldeinformationen sind erforderlich. Bei Verwendung von Endpoint Management mit StorageZone Connectors: Konfigurieren Sie Endpoint Management zum Verweisen auf Netzwerkfreigaben und SharePoint-Speicherorte, die in StorageZones Connectors definiert sind.
Android Enterprise Konfigurieren der Android Enterprise-Servereinstellungen.
Identitätsanbieter (IdP) Konfigurieren eines Identitätsanbieters.
Abgeleitete Anmeldeinformationen Konfigurieren abgeleiteter Anmeldeinformationen für die Registrierung von iOS-Geräten.
Microsoft Store für Unternehmen Konfigurieren Sie die Microsoft Store for Business-Einstellungen in Endpoint Management.
Endpoint Management Tools Zugriff auf die Endpoint Management Tools-Seite.
Windows-Massenregistrierung Einstellungen für Windows-Massenregistrierung konfigurieren

Support

Administratoren können verschiedene Supportaufgaben erledigen.

   
NetScaler Gateway-Konnektivitätsprüfung Durchführen diverser Verbindungsprüfungen für NetScaler Gateway nach IP-Adresse. Erfordert Benutzernamen und Kennwort.
Endpoint Management-Konnektivitätsprüfung Durchführen von Konnektivitätsprüfungen für bestimmte Endpoint Management-Features, z. B. Datenbank, DNS und Google-Abonnement.
Citrix Produktdokumentation Zugriff auf die öffentliche Citrix Website mit der Dokumentation zu Endpoint Management.
Citrix Knowledge Center Zugriff auf die Citrix Support-Website für die Suche nach Wissensdatenbankartikeln.
Protokolle Protokolldateien anzeigen und herunterladen
Makros Auffüllen der Benutzer- oder Geräteeigenschaftsdaten im Textfeld von Profilen, einer Benachrichtigung oder einer Registrierungsvorlage. Konfigurieren einer einzelnen Richtlinie und Bereitstellen der Richtlinie für eine große Benutzergruppe, wobei für jeden Zielbenutzer benutzerspezifische Werte angezeigt werden.
Konfigurieren von PKI Importieren und Exportieren von PKI-Konfigurationsinformationen.
Hilfsprogramm für APNs-Signierung Senden einer Anforderung für ein APNs-Signaturzertifikat und Hochladen des Secure Mail-APNs-Zertifikats für iOS.
Citrix Insight Services Hochladen von Protokollen an Citrix Insight Services (CIS) für Hilfe bei verschiedenen Problemen.
Citrix Gateway-Connector für Exchange ActiveSync - Gerätestatus Fragen Sie den Status des Geräts in Endpoint Management ab. Der Status wird an den Connector für Exchange ActiveSync basierend auf der Geräte-ID in ActiveSync gesendet.

Gruppenzugriff einschränken

Administratoren können auf alle Benutzergruppen Berechtigungen anwenden.

Geräteprovisioningrolle

Wichtig:

Die Geräteprovisioningrolle gilt nur für Windows CE-Geräte.

Benutzer mit der vordefinierten Rolle “Geräteprovisioning” haben eingeschränkten Zugriff auf Konsolenfeatures. Standardmäßig ist ihre Berechtigung auf alle Benutzergruppen festgelegt und sie können diese Einstellung nicht ändern.

Konsolenfeatures für das Geräteprovisioning

Benutzer mit der Geräteprovisioningrolle haben den folgenden eingeschränkten Zugriff auf die Endpoint Management-Konsole. Standardmäßig sind die folgenden Features aktiviert.

Geräteeinschränkungen

   
Gerät bearbeiten Ändern der Einstellungen auf dem Gerät.
Gerät hinzufügen/löschen Hinzufügen oder Löschen von Geräten in Endpoint Management.

Einstellungen für das Geräteprovisioning

Geräteprovisioningbenutzer können auf die Seite Einstellungen zugreifen, jedoch keine Features konfigurieren.

Benutzerrolle

Benutzer mit der Benutzerrolle haben den folgenden eingeschränkten Zugriff auf Endpoint Management.

Autorisierter Zugriff für Benutzer

   
Selbsthilfeportal Benutzern nur Zugriff auf das Selbsthilfeportal in Endpoint Management geben.

Konsolenfeatures für Benutzer

Benutzer haben den folgenden eingeschränkten Zugriff auf die Endpoint Management-Konsole.

Beschränkter Zugriff für Benutzer auf dem Gerät

   
Gerät vollständig löschen Löschen aller Daten und Apps von einem Gerät und, sofern vorhanden, dessen Speicherkarten.
Gerät selektiv löschen Löschen aller Unternehmensdaten und -Apps von einem Gerät, private Daten und Apps bleiben erhalten.
Standorte anzeigen Anzeigen des Standorts eines Geräts und Festlegen geografischer Einschränkungen. Optionen: Gerät orten, Standort eines Geräts anzeigen, Gerätetracking, Standort eines Geräts verfolgen.
Gerät sperren Remotesperren eines Geräts, sodass es nicht verwendet werden kann.
Gerät entsperren Remoteentsperren eines Geräts, sodass es verwendet werden kann.
Container sperren Remotesperren des Unternehmenscontainers auf einem Gerät.
Container entsperren Remoteentsperren des Unternehmenscontainers auf einem Gerät.
Containerkennwort zurücksetzen Zurücksetzen des Containerkennworts.
Umgehung der Aktivierungssperre für ASM DEP aktivieren Speichern eines Umgehungscodes auf einem betreuten iOS-Gerät bei aktivierter Aktivierungssperre. Zum Löschen der Daten auf dem Gerät verwenden Sie diesen Code, um die Aktivierungssperre automatisch aufzuheben.
Residente Benutzer abrufen Liste der Benutzer, die auf dem aktuellen Gerät aktive Konten haben. Diese Aktion erzwingt eine Synchronisierung zwischen Gerät und Endpoint Management-Konsole.
Residenten Benutzer abmelden Abmelden des aktuellen Benutzers erzwingen.
Residenten Benutzer löschen Die aktuelle Sitzung für einen bestimmten Benutzer löschen. Der Benutzer kann sich erneut anmelden.
Gerät klingeln lassen Remoteauslösen des Klingeltons auf einem Windows-Gerät in voller Lautstärke für 5 Minuten.
Gerät neu starten Neustarten von Windows-Geräten.
App-Sperre Verhindern des Zugriffs auf alle Apps auf einem Gerät. Auf Android-Geräten können Benutzer sich nicht bei Endpoint Management anmelden. Unter iOS können Benutzer sich anmelden, jedoch nicht auf Apps zugreifen.
App löschen Diese Einschränkung löscht auf Android-Geräten das Endpoint Management-Konto der Benutzer. Auf iOS-Geräten wird mit dieser Einschränkung der Verschlüsselungsschlüssel gelöscht, den Benutzer für den Zugriff auf Endpoint Management-Features benötigen.
Softwarebestand anzeigen Anzeigen einer Liste der auf einem Gerät installierten Software.

Registrierungsbeschränkungen für Benutzer

   
Registrierung hinzufügen/löschen Hinzufügen und Entfernen einer Registrierungseinladung an einen Benutzer oder eine Gruppe.
Benutzer benachrichtigen Senden einer Registrierungseinladung an einen Benutzer oder eine Gruppe.

Gruppenzugriff für alle Rollen einschränken

Für alle vier Standardrollen ist diese Berechtigung standardmäßig festgelegt. Sie kann auf alle Benutzergruppen angewendet werden. Sie können die Rolle nicht bearbeiten.

Verwenden der RBAC-Features

Mit der rollenbasierten Zugriffssteuerung (RBAC) in Endpoint Management können Sie Benutzern und Gruppen vordefinierte Rollen bzw. Berechtigungssätze zuweisen. Diese Berechtigungen steuern den Zugriff der Benutzer auf Systemfunktionen.

In Endpoint Management sind vier Standardbenutzerrollen für die logische Trennung des Zugriffs auf Systemfunktionen implementiert:

  • Administrator: gewährt vollen Zugriff auf das System.
  • Geräteprovisioning: gewährt Zugriff auf Grundfunktionen der Geräteverwaltung für Windows CE-Geräte.
  • Benutzer: Von Benutzern verwendete Rolle für die Registrierung von Geräten und den Zugriff auf das Selbsthilfeportal.

Sie können die Standardrollen auch als Vorlagen verwenden und anpassen, um ihre Benutzerrollen zu erstellen. Sie können diesen Benutzerrollen Zugriffsberechtigungen für weitere Systemfunktionen zuweisen.

Sie können Rollen lokalen Benutzern (auf Benutzerebene) oder Active Directory-Gruppen (alle Benutzer in der Gruppe haben dieselben Berechtigungen) zuweisen. Gehört ein Benutzer mehreren Active Directory-Gruppen an, werden alle entsprechenden Berechtigungen zu einem für diesen Benutzer spezifischen Satz zusammengeführt. Beispiel: Wenn Benutzer der Active Directory-Gruppe A Geräte von Managern suchen und Benutzer der Active Directory-Gruppe B eine Datenlöschung auf Mitarbeitergeräten durchführen können: Benutzer, die beiden Gruppen angehören, können Geräte von Managern und Mitarbeitern suchen und eine Datenlöschung darauf durchführen.

Hinweis:

Lokale Benutzer dürfen nur eine Rolle zugewiesen bekommen.

Mit dem RBAC-Feature in Endpoint Management ist Folgendes möglich:

  • Erstellen einer Rolle
  • Hinzufügen von Gruppen zu einer Rolle
  • Zuweisen von Rollen an lokale Benutzer
  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf Rollenbasierte Zugriffssteuerung. Die Seite Rollenbasierte Zugriffssteuerung wird angezeigt. Sie enthält die vier Standardbenutzerrollen sowie alle von Ihnen zuvor hinzugefügten Rollen.

    Wenn Sie auf das Pluszeichen (+) neben einer Rolle klicken, wird diese erweitert, sodass alle zugehörigen Berechtigungen zu sehen sind.

    Bild der RBAC-Konfiguration in Endpoint Management

  3. Klicken Sie auf Hinzufügen, um eine Benutzerrolle hinzuzufügen. Klicken Sie auf das Stiftsymbol rechts neben einer vorhandenen Rolle, um die Rolle zu bearbeiten. Oder klicken Sie auf das Papierkorbsymbol rechts neben einer Rolle, die Sie definiert haben, um sie zu löschen. Sie können die Standardbenutzerrollen nicht löschen.

    • Wenn Sie auf Hinzufügen oder das Stiftsymbol klicken, wird die Seite Rolle hinzufügen bzw. Rolle bearbeiten angezeigt.
    • Wenn Sie auf das Papierkorbsymbol klicken, wird ein Bestätigungsdialogfeld angezeigt. Klicken Sie auf Löschen, um die ausgewählte Rolle zu entfernen.
  4. Geben Sie die folgenden Informationen zum Erstellen oder Bearbeiten einer Benutzerrolle ein:

    • RBAC-Name: Geben Sie einen aussagekräftigen Namen für die neue Benutzerrolle ein. Sie können den Namen vorhandener Rollen nicht ändern.
    • RBAC-Vorlage: Klicken Sie optional auf eine Vorlage als Ausgangsbasis für die neue Rolle. Wenn Sie eine vorhandene Rolle bearbeiten, können Sie keine Vorlage auswählen.

    RBAC-Vorlagen sind die Standardbenutzerrollen. Sie definieren den Zugriff auf Systemfunktionen für Benutzer, denen die jeweiligen Rolle zugewiesen ist. Nach der Auswahl einer RBAC-Vorlage werden alle zu der Rolle gehörenden Berechtigungen in den Feldern Autorisierter Zugriff und Konsolenfeatures angezeigt. Die Verwendung von Vorlagen ist optional. Sie können die Berechtigungen auch direkt in den Feldern Autorisierter Zugriff und Konsolenfeatures auswählen.

  5. Klicken Sie auf Anwenden rechts neben dem Feld RBAC-Vorlage, um die Kontrollkästchen für Autorisierter Zugriff und Konsolenfeatures einzustellen. Endpoint Management füllt diese Felder mit den vordefinierten Zugriffs- und Featureberechtigungen für die ausgewählte Vorlage aus.

    Bild der RBAC-Konfiguration in Endpoint Management

  6. Aktivieren bzw. deaktivieren Sie die Kontrollkästchen unter Autorisierter Zugriff und Konsolenfeatures, um die Rolle anzupassen.

    Wenn Sie auf das Dreieck neben einem Konsolenfeature klicken, werden featurespezifische Berechtigungen angezeigt, die Sie aktivieren und deaktivieren können. Durch Klicken auf das oberste Kontrollkästchen wird der Zugriff auf diesen Konsolenteil verhindert. Wählen Sie einzelne Optionen unterhalb der obersten Ebene, um diese Optionen zu aktivieren.

  7. Berechtigungen anwenden: Wählen Sie die Gruppen aus, denen Sie die ausgewählten Berechtigungen erteilen möchten. Wenn Sie auf Auf bestimmte Benutzergruppen klicken, wird eine Liste mit Gruppen angezeigt, in der Sie eine oder mehrere Gruppen auswählen können.

    Bild der RBAC-Konfiguration in Endpoint Management

  8. Klicken Sie auf Weiter. Die Seite Zuweisung wird angezeigt.

    Bild der RBAC-Konfiguration in Endpoint Management

  9. Geben Sie die folgenden Informationen zum Zuweisen der Rolle zu Benutzergruppen ein.

    • Domäne auswählen: Klicken Sie in der Liste auf eine Domäne.
    • Benutzergruppen einschließen: Klicken Sie auf Suchen, um eine Liste aller verfügbaren Gruppen anzuzeigen. Geben Sie alternativ einen Gruppennamen vollständig oder teilweise ein, um die Liste auf entsprechende Gruppen beschränken.
    • Wählen Sie in der nun angezeigten Liste die Benutzergruppen aus, denen Sie die Rolle zuweisen möchten. Wenn Sie eine Benutzergruppe auswählen, wird die Gruppe in der Liste Ausgewählte Benutzergruppen angezeigt.

    Bild der RBAC-Konfiguration in Endpoint Management

    Hinweis:

    Zum Entfernen einer Benutzergruppe aus der Liste Ausgewählte Benutzergruppen klicken Sie auf das X neben ihrem Namen.

  10. Klicken Sie auf Speichern.

Konfigurieren von Rollen mit RBAC