使用 RBAC 配置角色

每个基于角色的访问控制 (RBAC) 预定义角色都具有某些关联的访问权限和功能权限。本文描述其中的每个权限可以执行的操作。要获取每个内置角色的默认权限的完整列表,请下载基于角色的访问控制的默认设置

应用权限时,您将定义 RBAC 角色有权管理的用户组。默认管理员无法更改应用的权限设置。默认情况下,所应用的权限适用于所有用户组。

进行分配时,要向组分配 RBAC 角色,以便用户组拥有 RBAC 管理员权限。

管理角色

具有预定义管理员角色的用户具有或不具有 Endpoint Management 中以下功能的访问权限。默认情况下,启用授权访问(自助服务门户除外)、控制台功能以及应用权限

面向管理员的授权访问

   
管理控制台访问 管理员有权访问 Endpoint Management 控制台上的所有功能。
自助门户访问 默认情况下,管理员不具有自助门户访问权限。
共享的设备注册程序 默认情况下,管理员不具有“共享设备注册人员”访问权限。此功能适用于需要注册共享设备权限的用户。
远程支持访问 管理员有权访问远程支持功能。
公共 API 访问 管理员有权访问公共 API,以便以编程方式执行可以在 Endpoint Management 控制台上执行的操作。这些操作包括管理证书、应用程序、设备、交付组和本地用户。
COSU 设备注册器 默认情况下, 管理员无权 Android Enterprise 专用设备 (也称为 COSU 设备) 注册到 Endpoint Management 部署。此功能适用于需要授权注册专用 (COSU) 设备的用户。

面向管理员的控制台功能

管理员对 Endpoint Management 控制台具有不受限制的访问权限。

   
控制板 控制板是管理员在登录 Endpoint Management 控制台后看到的第一个页面。控制板显示有关通知和设备的基本信息。
报告 分析 > 报告页面提供预定义的报告,您可以利用这些报告分析应用程序和设备部署情况。
设备 管理 > 设备页面中,可以管理用户设备。可以在此页面上逐个添加设备,也可以通过导入设备预配文件一次添加多个设备。
本地用户和组 管理 > 用户页面中,可以添加、编辑或删除本地用户和本地用户组。
注册 管理 > 注册邀请页面中,可以管理如何邀请用户在 Endpoint Management 中注册其设备。
策略 配置 > 设备策略页面中,可以管理 VPN 和 WiFi 等设备策略。
应用程序 配置 > 应用程序页面中,可以管理用户能够在其设备上安装的各种应用程序。
媒体 配置 > 媒体页面中,可以管理用户能够在其设备上安装的各种媒体。
智能操作 配置 > 操作页面中,可以管理触发事件的响应。
交付组 配置 > 交付组页面中,可以管理交付组以及与其关联的资源。
注册配置文件 配置 > 注册配置文件页面中,可以配置注册配置文件(模式)以允许用户注册其设备。
Alexa for Business 设置页面上, 可以管理您的 Alexa for Business 配置文件。
设置 设置页面中,可以管理系统设置,例如,客户端和服务器属性、证书和凭据提供程序。
支持 故障排除和支持页面中,可以执行运行诊断和生成日志等故障排除活动。

面向管理员的设备限制

管理员可以通过设置设备限制、设置并向设备发送通知、管理设备上的应用程序等操作,访问控制台各处的设备功能。

   
完全擦除设备 擦除设备上的所有数据和应用程序,包括内存卡(如果设备具有内存卡)。
清除限制 删除一项或多项设备限制。
选择性擦除设备 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。
查看位置 查看设备的位置以及在设备上设置地理区域限制。包括: 查找设备, 跟踪设备。
锁定设备 远程锁定设备,使用户无法使用设备。
解锁设备 远程解锁设备,使用户可以使用设备。
锁定容器 远程锁定设备上的企业容器。
解锁容器 远程解锁设备上的企业容器。
重置容器密码 重置企业容器密码。
启用 ASM DEP/绕过激活锁 启用激活锁时,在受监督的 iOS 设备上存储绕过码。要擦除该设备,请使用此代码自动清除激活锁。
获取常驻用户 列出在当前设备上具有活动帐户的用户。此操作将强制在设备与 Endpoint Management 控制台之间进行同步。
注销常驻用户 强制注销当前用户。
删除常驻用户 删除特定用户的当前会话。该用户可以重新登录。
使设备响铃 远程使 Windows 设备以最高音量响铃 5 分钟。
重新启动设备 从 Endpoint Management 控制台重新启动 Windows 设备。
部署到设备 向设备发送应用程序、通知、限制以及其他资源。
编辑设备 更改设备上的设置。
通知设备 向设备发送通知。
添加/删除设备 在 Endpoint Management 中添加或删除设备。
设备导入 通过文件向 Endpoint Management 导入一组设备。
导出设备表 从“设备”页面收集设备信息,并将其导出到 .csv 文件。
吊销设备 禁止设备连接到 Endpoint Management。
应用程序锁定 拒绝访问设备上的所有应用程序。在 Android 上, 此限制阻止用户登录到 Endpoint Management。在 iOS 中,用户可以登录,但无法访问应用程序。
应用程序擦除 在 Android 上, 此限制将删除用户的 Endpoint Management 帐户。在 iOS 上, 此限制将删除用户访问 Endpoint Management 功能所需的加密密钥。
查看软件清单 查看设备上安装的软件。
请求使用 AirPlay 镜像 请求启动 AirPlay 流。
停止使用 AirPlay 镜像 停止 AirPlay 流。
启用丢失模式 管理 > 设备页面上,可以将受监督的设备置于丢失模式以阻止锁屏界面上的受监督设备。然后, 您可以在设备丢失或被盗时找到设备。
禁用丢失模式 管理 > 设备页面上,可以禁用设置为丢失模式的设备的丢失模式。
操作系统更新设备 可以在设备中部署“操作系统更新”设备策略。
关闭设备 从 Endpoint Management 控制台关闭 iOS 设备。
重新启动设备 从 Endpoint Management 控制台重新启动 iOS 设备。
续订设备注册证书 续订设备 CA 证书。

本地用户和组

管理员在 Endpoint Management 中的管理 > 用户页面上管理本地用户和本地用户组。

 
添加本地用户
删除本地用户
编辑本地用户
导入本地用户
导出本地用户
本地用户组

注册

管理员可以添加和删除注册邀请、向用户发送通知以及将注册表导出到 .csv 文件。

   
添加/删除注册 添加或删除向一个或一组用户发送的注册邀请。
通知用户 向一个或一组用户发送注册邀请。
导出注册邀请表 从“注册”页收集注册信息并将其导出到 .csv 文件。

策略

   
添加/删除策略 添加或删除设备策略或应用程序策略。
编辑策略 更改设备策略或应用程序策略。
上载策略 上载设备策略或应用程序策略。
克隆策略 复制设备策略或应用程序策略。
禁用策略 禁用现有应用程序策略。
导出策略 从“设备策略”页面收集设备策略信息,并将其导出到 .csv 文件。
分配策略 将设备策略分配给一个或多个交付组。

应用程序

管理员在 Endpoint Management 中的配置 > 应用程序页面上管理应用程序。

   
添加/删除应用商店或企业应用程序 添加或删除公共应用商店应用程序或未使用 MDX 打包的应用程序。
编辑应用商店或企业应用程序 编辑公共应用商店应用程序或未使用 MDX 打包的应用程序。
添加/删除 MDX、Web 和 SaaS 应用程序 添加或删除应用程序。Web 应用程序是您的内部网络中的应用程序。SaaS 应用程序是公共网络中的应用程序 (SaaS)。
添加 MDX、Web 和 SaaS 应用程序 编辑应用程序。
添加/删除类别 添加或删除应用程序在应用商店中可以归属的类别。
将公共/企业应用程序分配给交付组 将公共应用商店应用程序或未使用 MDX 打包的应用程序分配给交付组以便部署。
将 MDX/WebLink/SaaS 应用程序分配给交付组 将应用程序分配给交付组以便部署到用户设备。WebLink 应用程序是指无需单点登录的应用程序。
导出应用程序表 从“应用程序”页收集应用程序信息并将其导出到 .csv 文件。

媒体

管理从公共应用商店或通过 VPP 许可证获取的媒体。

 
添加/删除应用商店或企业书籍
将公共/企业书籍分配给交付组
编辑应用商店或企业书籍

智能操作

   
添加/删除智能操作 添加或删除通过触发器(事件、设备或用户属性、已安装的应用程序名称)定义的操作及其关联响应。
编辑智能操作 更改通过触发器(事件、设备或用户属性、已安装的应用程序名称)定义的操作及其关联响应。
将智能操作分配给交付组 将操作分配给交付组以便部署到用户设备。
导出智能操作 从“操作”页收集操作信息并将其导出到 .csv 文件。

交付组

管理员在配置 > 交付组页面上管理交付组。

   
添加/删除交付组 创建或删除交付组,即添加指定用户和可选策略、应用程序和操作。
编辑交付组 更改现有交付组,即修改用户和可选策略、应用程序和操作。
部署交付组 使交付组可供使用。
导出交付组 从“交付组”页收集交付组信息并将其导出到 .csv 文件。

注册配置文件

管理注册配置文件。

 
添加/删除注册配置文件
编辑注册配置文件
将注册配置文件分配给交付组

Alexa for Business

管理 Alexa for Business 配置文件。

 
添加/删除/编辑聊天室
添加/删除/编辑文件室配置文件
添加/删除/编辑技能组

管理员设置

管理员在设置页面上配置各种设置。

   
RBAC RBAC 分配
LDAP 管理一个或多个 LDAP 兼容目录(例如 Active Directory),以导入组、用户帐户和相关属性。
注册 为用户和自助门户启用注册模式。
发布管理 查看当前安装的版本。包括:发布管理更新
证书 编辑 APNS 证书
通知模板 创建要在自动执行的操作、注册以及对用户的标准通知消息交付中使用的通知模板。
工作流 管理用于应用程序配置的用户帐户的创建、审批和删除。
凭据提供程序 添加一个或多个授权颁发设备证书的凭据提供程序。凭据提供程序控制证书格式以及续订或吊销证书的条件。
PKI 实体 管理公钥基础结构实体(通用、Microsoft Certificate Services 或任意 CA)。
测试 PKI 连接 使用设置 > PKI 实体页面上的“测试连接”按钮可确保服务器可访问。
客户端属性 管理用户设备上的各种属性,例如通行码类型、长度和过期时间。
客户端支持 设置用户联系支持服务的方式(电子邮件、电话或支持票证电子邮件)。
客户端外观方案 为应用商店创建自定义的应用商店名称和默认应用商店视图。添加在应用商店或 Secure Hub 中显示的自定义徽标。
运营商 SMS 网关 设置运营商 SMS 网关以配置 Endpoint Management 通过运营商 SMS 网关发送的通知。
通知服务器 设置用于向用户发送电子邮件的 SMTP 网关服务器。
ActiveSync Gateway 通过规则和属性,管理用户对用户和设备的访问权限。
Google Chrome 将 Endpoint Management 配置为与您的 G Suite 帐户通信。
Apple 设备注册计划(DEP) 将 Apple DEP 帐户添加到 Endpoint Management。
Apple Configurator 设备注册 在 Endpoint Management 中配置 Apple Configurator 设置。
iOS/VPP 设置 添加 Apple 批量购买计划帐户。
移动服务提供商 使用移动服务提供商界面查询 BlackBerry 及其他 Exchange ActiveSync 设备并发布操作。
NetScaler Gateway 在 Endpoint Management 中配置 NetScaler Gateway (现在已重命名 Citrix Gateway) 设置。
网络访问控制 设置确定设备不兼容并因此拒绝访问网络的条件。
Samsung Knox 启用或禁用 Endpoint Management 查询 Samsung Knox 认证服务器 REST API。
服务器属性 添加或修改服务器属性。需要在所有节点上重新启动 Endpoint Management。
Virtual Apps and Desktops 允许用户通过 Citrix Workspace 添加 Citrix Virtual Apps and Desktops。
Citrix Files 将 Endpoint Management 与 Citrix Files Enterprise 结合使用时:配置连接到 Citrix Files 帐户和管理员服务帐户以管理用户帐户的设置。需要使用现有 Citrix Files 域和管理员凭据。在 Endpoint Management 中使用 StorageZone 连接器时:将 Endpoint Management 配置为指向在 StorageZone 连接器中定义的网络共享和 SharePoint 位置。
Android Enterprise 配置 Android Enterprise 服务器设置
身份提供程序 (IdP) 配置身份提供程序。
派生凭据 配置适用于 iOS 设备注册的派生凭据。
适用于企业的 Microsoft 应用商店 在 Endpoint Management 中配置适用于企业的 Microsoft 应用商店设置。
Endpoint Management Tools “访问 Endpoint Management Tools” 页面。
Windows 批量注册 配置 Windows 批量注册设置。

支持

管理员可以执行各种支持任务。

   
NetScaler Gateway 连接检查 通过 IP 地址执行 NetScaler Gateway 的各种连接检查。需要用户名和密码。
Endpoint Management 连接检查 为选定的 Endpoint Management 功能(如数据库、DNS 和 Google Plan)执行连接检查。
Citrix 产品文档 访问公共 Citrix Endpoint Management 文档站点。
Citrix 知识中心 访问 Citrix 支持站点以搜索知识库文章。
日志 查看和下载日志文件。
在配置文件、策略、通知或注册模板的文本字段内填充用户或设备属性数据。配置一个策略并将其部署到较大的用户群,并为每个目标用户显示特定于用户的值。
PKI 配置 导入和导出 PKI 配置信息。
APNS 签名实用程序 提交 Apple 推送网络签名 (Apple Push Network signing, APNs) 证书请求,或上载适用于 iOS 的 Secure Mail APNs 证书。
Citrix Insight Services 将日志上载到 Citrix Insight Services (CIS),以帮助解决各种问题。
发送到适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的设备状态 根据设备 ActiveSync ID 向 Endpoint Management 查询发送到适用于 Exchange ActiveSync 的连接器的设备状态。

限制组访问

管理员用户可以应用所有用户组的权限。

设备预配角色

重要:

“设备预配角色”仅适用于 Windows CE 设备。

具有预定义设备预配角色的用户对控制台功能具有有限的访问权限。默认情况下, 其权限设置为 “所有用户组”, 并且无法更改此设置。

用于设备预配的控制台功能

设备预配用户具有 Endpoint Management 控制台的以下有限访问权限。默认情况下,以下各功能均处于启用状态。

设备限制

   
编辑设备 更改设备上的设置。
添加/删除设备 在 Endpoint Management 中添加或删除设备。

设备预配的设置

设备预配用户可以访问设置页面,但无权配置功能。

用户角色

具有用户角色的用户具有 Endpoint Management 的以下有限访问权限。

用户的授权访问

   
自助服务门户 在 Endpoint Management 中, 仅为用户提供对自助服务门户的访问权限。

面向用户的控制台功能

用户具有 Endpoint Management 控制台的以下有限访问权限。

用户的设备受限访问权限

   
完全擦除设备 擦除设备上的所有数据和应用程序,包括内存卡(如果设备具有内存卡)。
选择性擦除设备 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。
查看位置 查看设备的位置以及在设备上设置地理区域限制。包括:定位设备、查看设备的位置、跟踪设备、跟踪设备位置随时间的变化。
锁定设备 远程锁定设备,使其无法使用。
解锁设备 远程解锁设备,使其可以使用。
锁定容器 远程锁定设备上的企业容器。
解锁容器 远程解锁设备上的企业容器。
重置容器密码 重置企业容器密码。
启用 ASM DEP/绕过激活锁 启用激活锁时,在受监督的 iOS 设备上存储绕过码。要擦除该设备,请使用此代码自动清除激活锁。
获取常驻用户 列出在当前设备上具有活动帐户的用户。此操作将强制在设备与 Endpoint Management 控制台之间进行同步。
注销常驻用户 强制注销当前用户。
删除常驻用户 删除特定用户的当前会话。该用户可以重新登录。
使设备响铃 远程使 Windows 设备以最高音量响铃 5 分钟。
重新启动设备 重新启动 Windows 设备。
应用程序锁定 拒绝访问设备上的所有应用程序。在 Android 上, 用户无法登录到 Endpoint Management。在 iOS 中,用户可以登录,但无法访问应用程序。
应用程序擦除 在 Android 上, 此限制将删除用户的 Endpoint Management 帐户。在 iOS 上, 此限制将删除用户访问 Endpoint Management 功能所需的加密密钥。
查看软件清单 查看设备上安装的软件。

面向用户的注册限制

   
添加/删除注册 添加或删除向一个或一组用户发送的注册邀请。
通知用户 向一个或一组用户发送注册邀请。

限制所有角色的组访问权限

对于所有默认角色,此权限在默认情况下设置,并且可应用于所有用户组。您无法编辑此角色。

使用 RBAC 功能

通过 Endpoint Management 中基于角色的访问控制 (RBAC) 功能,可以向用户和组分配预定义的角色(或称权限集)。这些权限控制用户对系统功能的访问级别。

Endpoint Management 实现以下默认用户角色,用于在逻辑上区分系统功能的访问权限。

  • 管理员: 授予完整系统访问权限。
  • 设备预配: 授予访问针对 Windows CE 设备的基本设备管理的权限。
  • 用户: 供可以注册设备和访问自助服务门户的用户使用。

还可以使用默认角色作为模板, 您可以自定义这些模板来创建用户角色。您可以向这些用户角色分配权限, 以访问其他系统功能。

您可以将角色分配给本地用户(在用户级别)或 Active Directory 组(此组中的所有用户具有相同的权限)。如果用户属于多个 Active Directory 组,则所有权限合并起来,以定义该用户的权限。例如,如果 ADGroupA 可以查找管理员设备,ADGroupB 用户可以擦除员工设备:同时属于这两个组的用户可以查找和擦除管理员和员工的设备。

注意:

只能为本地用户分配一个角色。

可以使用 Endpoint Management 中的 RBAC 功能执行以下操作:

  • 创建角色。
  • 将组添加到角色。
  • 向本地用户分配角色。
  1. 在 Endpoint Management 控制台中, 单击控制台右上角的齿轮图标。此时将显示设置页面。

  2. 单击基于角色的访问控制。此时将显示基于角色的访问控制页面,其中显示了默认用户角色以及您之前添加的所有角色。

    如果单击某个角色旁边的加号 (+),角色将展开以显示此角色的所有权限。

    Endpoint Management RBAC 配置图

  3. 单击添加以添加用户角色。单击现有角色右侧的铅笔图标可编辑角色。或者, 单击您定义的角色右侧的垃圾桶图标以删除角色。无法删除默认用户角色。

    • 单击添加或铅笔图标时,将显示添加角色编辑角色页面。
    • 单击垃圾桶图标时,将显示一个确认对话框。单击删除可删除选定的角色。
  4. 要创建用户角色或编辑用户角色,请输入以下信息:

    • RBAC 名称: 输入新用户角色的描述性名称。无法更改现有角色的名称。
    • RBAC 模板: (可选)单击某个模板以将其作为新角色的起点。编辑现有角色时,不能选择模板。

    RBAC 模板是默认用户角色。它们定义与此角色关联的用户对系统功能的访问权限。选择某个 RBAC 模板后,可以在授权访问控制台功能字段看到与该角色关联的所有权限。使用模板为可选操作;您可以直接在授权访问控制台功能字段中选择要分配给角色的选项。

  5. 单击 RBAC 模板字段右侧的应用以填充授权访问控制台功能复选框。Endpoint Management 使用选定模板的预定义访问权限和功能权限填充这些字段。

    Endpoint Management RBAC 配置图

  6. 选中或取消选中授权访问控制台功能复选框可自定义角色。

    如果单击某项控制台功能旁边的三角形,将显示特定于此功能的权限,您可以选中或取消选中相应的权限。单击顶层复选框可禁止访问该控制台部分。选择顶层下面的各个选项可启用这些选项。

  7. 应用程序权限: 选择一个或多个用户组,以限制管理员可以管理的组。如果单击至特定用户组,将显示组列表,您可以从中选择一个或多个组。

    例如,如果 RBAC 管理员具有对 ActiveDirectory 和 MSP 用户组的权限:

    • 管理员只能访问 ActiveDirectory 组、MSP 组或这两个组中的用户的信息。
    • 管理员无法查看任何其他本地或 AD 用户。管理员可以查看属于这些组的子组成员的用户。
    • 管理员可以发送邀请至:

      • 权限组及其子组
      • 属于权限组及其子组的成员的用户

    Endpoint Management RBAC 配置图

  8. 单击下一步。此时将显示分配页面。

    Endpoint Management RBAC 配置图

  9. 输入下列信息,以将角色分配给用户组。

    • 选择域: 在列表中,单击某个域。
    • 包括用户组: 单击搜索可查看所有可用组的列表。或者,键入完整或部分组名称以将列表限制到仅使用该名称的组。
    • 在显示的列表中,选择要向其分配角色的用户组。选择某个用户组后,此组将显示在选定用户组列表中。

    Endpoint Management RBAC 配置图

    注意:

    要从选定用户组列表中删除用户组,请单击用户组名称旁边的 X。

  10. 单击保存

使用 RBAC 配置角色