Control de acceso basado en roles y asistencia de Endpoint Management

Endpoint Management utiliza el control de acceso basado en roles (RBAC) para restringir el acceso de grupos y usuarios a las funciones del sistema de Endpoint Management, como la consola de Endpoint Management, Self Help Portal y la API pública. En este artículo, se describen los roles integrados en Endpoint Management y se incluyen aspectos a tener en cuenta para elegir un modelo de asistencia para un Endpoint Management que utilice RBAC.

Roles integrados

Puede agregar roles y cambiar el acceso concedido a los siguientes roles integrados. Para conocer el conjunto completo de los permisos de funciones y acceso asociados a cada rol y su configuración predeterminada, descargue Role-Based Access Control Defaults. Para una definición de cada función, consulte Configurar roles con RBAC.

Rol de administrador

Acceso predeterminado concedido:

  • Acceso completo al sistema, excepto a Self Help Portal.
  • De forma predeterminada, los administradores pueden realizar algunas tareas de asistencia, (por ejemplo, comprobar la conectividad y crear paquetes de asistencia).

Consideraciones:

  • ¿Algunos o todos los administradores necesitan acceso a Self Help Portal? Si es así, puede modificar el rol Admin o agregar roles de administrador.
  • Para restringir más el acceso de algunos administradores o grupos de administradores, agregue roles basados en la plantilla de administrador y modifique los permisos.

Aprovisionamiento de dispositivos

Acceso predeterminado concedido:

  • Acceder a la consola de Endpoint Management para realizar una administración básica en dispositivos Windows CE: agregar, cambiar y quitar dispositivos; utilice la página “Parámetros”.

Consideraciones:

  • Se aplica solo a dispositivos con Windows CE.

Usuario

Acceso predeterminado concedido:

  • Acceder a Self Help Portal, que permite a los usuarios autenticados generar enlaces de inscripción. Los enlaces les permiten inscribir sus dispositivos o enviarse una invitación de inscripción.
  • Acceso restringido a la consola de Endpoint Management: funciones del dispositivo (como borrar, bloquear o desbloquear el dispositivo, bloquear o desbloquear el contenedor, ver la ubicación y establecer restricciones geográficas, hacer sonar el dispositivo, restablecer la contraseña del contenedor); agregar, eliminar y enviar invitaciones de inscripción.

Consideraciones:

  • El rol Usuario permite habilitar usuarios para que se ayuden a sí mismos.
  • Para dar respaldo a dispositivos compartidos, cree un rol de usuario para la inscripción de dispositivos compartidos.

Consideraciones para un modelo de asistencia de Endpoint Management

Los modelos de asistencia que puede adoptar varían ampliamente y pueden implicar a terceros que gestionen la asistencia de nivel 1 y 2, mientras que los empleados gestionan la asistencia de nivel 3 y 4. Independientemente de cómo distribuya la carga de la asistencia, tenga en cuenta las consideraciones de esta sección que sean específicas a su implementación de Endpoint Management y su base de usuarios.

¿Los usuarios tienen dispositivos propiedad de la empresa o BYOD? La pregunta principal que influye en la asistencia es a quién pertenece el dispositivo de usuario en su entorno de Endpoint Management. Si sus usuarios tienen dispositivos propiedad de la empresa, puede ofrecer un nivel de asistencia más bajo, como una forma de bloquear completamente los dispositivos. En ese caso, puede proporcionar un servicio de asistencia que ayude a los usuarios con los problemas de los dispositivos y les guíe para saber cómo usarlos. Según los tipos de dispositivo para los que vaya a ofrecer asistencia, plantéese cómo usar los roles de RBAC “Aprovisionamiento de dispositivos” y “Asistencia” para el servicio de asistencia.

Si los usuarios tienen dispositivos BYOD, puede que la organización espere que busquen sus propias fuentes de ayuda con el dispositivo. En ese caso, la asistencia que ofrezca la organización es más bien un rol administrativo centrado en los problemas específicos de Endpoint Management.

¿Cuál es su modelo de asistencia para los escritorios? Plantéese si el modelo de asistencia para los escritorios se puede aplicar a otros dispositivos propiedad de la empresa. ¿Puede usar la misma organización de asistencia? ¿Qué formación adicional necesitará?

¿Quiere dar a los usuarios acceso a Self Help Portal de Endpoint Management? Aunque algunas empresas prefieren no conceder a los usuarios acceso a Endpoint Management, ofrecerles la capacidad de ayudarse a sí mismos puede aligerar la carga de la asistencia en su organización. Si el rol “Usuario” predeterminado de RBAC contiene permisos que no quiere conceder, considere la posibilidad de crear un nuevo rol que contenga solamente los permisos que quiera incluir. Puede crear tantos roles como sea necesario para cumplir los requisitos.

Control de acceso basado en roles y asistencia de Endpoint Management