基于角色的设备访问和用户管理
作为管理员,您可能很多时候会觉得单调的日常工作占用了您对网络中关键任务的关注。Mobile Device Manager Plus MSP 允许管理员通过其用户与角色管理模块,将具有特定权限的不同角色分配给其他技术人员。
角色管理
一些最常用的角色被归类在预定义角色下。但是,您也可以根据需求在用户定义角色中定义最适合的角色并赋予相应的权限。以下是预定义角色和用户定义角色的简要介绍:
用户定义角色
您可以使用 Mobile Device Manager Plus MSP 定制任意数量的角色,并根据个人需求赋予所需权限。此类自定义角色归属于用户定义类别。通过此功能,管理员可以为技术人员提供其管理客户的访问权限,使技术人员能够查看和管理其管理范围内客户的设备,并限制访问其他客户的设备。
为了更好地理解,下面快速介绍如何创建一个用户定义角色。请按照以下步骤创建新的用户定义角色:
- 在网络控制台上,选择 管理员 选项卡并点击 用户管理。这将打开用户管理页面。
- 选择 角色 选项卡,点击 添加角色 按钮。
- 指定 角色名称 及其简短描述。
- 您可以在选择控制部分为该角色定义模块级别的权限。
权限级别大致分为:
完全控制 - 对特定客户执行所有操作,如管理员一样
只读 - 仅查看客户设备的详细信息
写入 - 执行诸如关联和分发等操作,但无权在模块中创建或修改任何设置
无访问权限 - 将客户对用户隐藏 - 点击 添加 按钮。
您已成功创建新角色。
- 您刚创建的角色现在将在用户创建模块的角色列表中可见。如果该角色已关联至少一个用户,则无法删除该角色。但您可以修改所有用户定义角色的权限级别。
- 只有管理员才有权限修改用户详情、创建或删除用户。
预定义角色
您将在预定义类别中找到以下角色:
管理员角色代表超级管理员,对所有客户拥有完全控制权。管理员选项卡下的操作包括:
- 添加新用户和创建新角色。
- 更改邮件服务器设置。
- 更改代理设置。
- 个性化选项,如更换主题、设置会话过期等。
- 查看 Mobile Device Manager Plus MSP 的操作日志。
- 备份数据库。
- 对库存模块拥有完全控制权限。
- 对报告模块拥有完全控制权限。
- 对配置文件模块拥有完全控制权限。
- 对应用模块拥有完全控制权限。
严禁修改此角色。
此角色拥有与管理员角色相同的所有权限和特权,但只能对管理员分配的特定客户执行这些操作。
技术员角色具备执行特定操作的明确权限。此角色用户被限制执行管理员选项卡下的所有操作,也无法使用 Mobile Device Manager Plus MSP 设置。
技术员角色用户可执行的操作包括:
- 可执行扫描操作。
- 在设备管理中拥有库存、报告、配置文件和应用的写入权限。
访客角色对所有模块仅保留只读权限,用于查看 MDM MSP 库存详情、报告、配置文件和移动设备应用。关联访客角色的用户拥有扫描和查看 IT 资产信息的权限。严禁修改此角色。
审计员角色专为审计目的设计。此角色允许审计员查看软件库存详情,检查许可证合规性等。
IT资产管理员拥有资产管理模块的完全访问权限。可查看所有移动设备的库存详情,其他功能不可访问。
用户管理
创建用户并关联角色
创建新用户时,可关联用户与角色。创建用户请按以下步骤操作:
- 登录到 Mobile Device Manager Plus 客户端,作为 管理员
- 点击 用户管理 )链接,位于 全局设置 分类下
- 点击 添加用户。
- 指定 用户名、密码并确认密码
- 指定 角色, 从下拉菜单中选择。您可以看到所有预定义角色以及您创建的角色均会列出
- 指定 用户的电子邮件地址 和 联系电话, 该项可选。
- 您还可以为特定技术员关联语言。控制台界面仅为所选用户翻译成选定语言。
- 接着您需要定义该用户的管理范围。在此选择该用户应被分配角色的所有客户。
您已成功创建用户并关联角色。
双因素认证
除了设置密码策略外,您还可以通过配置双因素认证(TFA)来保护访问 Mobile Device Manager Plus MSP 服务器。TFA 在访问服务器前提供额外的身份验证层。Mobile Device Manager Plus MSP 提供两种认证方式:
电子邮件认证
输入密码后,系统会向用户之前提供的电子邮件地址发送验证码。您可通过导航至 管理员 -> 用户管理 并选择 用户 选项卡,点击 操作列下的省略号图标,针对要添加电子邮件地址的用户,点击 修改 并输入电子邮件地址。完成后,点击 修改 保存更改。
Google 验证器
您需要在 iOS / Android 设备上安装 Google 验证器应用以完成认证。在策略生效后首次输入验证码时,屏幕上会显示使用 Google 验证器认证的说明。您需要扫描提供的二维码或手动输入密钥。完成后,Google 验证器会定期生成验证代码,用于认证。
您可以按以下说明配置 TFA:
- 在 MDM MSP 服务器上,点击顶部菜单的 管理员 选项卡,选择 用户管理,位于 全局设置.
- 点击 安全认证 下,选择 双因素认证 选项卡。
- 配置 TFA 时,首先启用该功能,然后选择认证模式为电子邮件或 Google 验证器。您还可以允许浏览器记住验证码,指定天数内若以前提供过验证码则不再提示。
- 设置完成后,点击 保存 应用策略。
- iPhone 用户请前往 设置 -> 通用 -> 日期与时间,开启“自动设置”.
- 安卓设备用户请打开 Google 验证器应用,点击 设置 并选择 时间校正代码,点击 立即同步.
如遇使用 Google 验证器认证问题,
用户密码策略
建议对登录 MDM MSP 服务器制定密码策略,以防止未经授权登录。密码策略定义了密码复杂度、密码长度等多种参数,确保用户依据组织安全标准设置强密码。您可按以下说明配置密码策略:
- 在 MDM MSP 服务器上,点击顶部菜单的 管理员 选项卡,选择 用户管理,位于 全局设置.
- 点击 安全认证 下,选择 密码策略 选项卡。
- 按以下策略描述配置:
| 功能 | 描述 |
|---|---|
| 密码类型 | 指定登录密码的复杂度。若选择 复杂 ,则登录密码必须包含 一个特殊字符、一个大写字母和一个小写字母。. |
| 最小密码长度 | 指定登录密码应包含的最少字符数。 |
| 密码历史数量 | 指定用户更改密码时,不能使用的旧密码数量。例如,若设置为 4,用户在修改密码时不能使用过去 4 个密码。 |
| 超过指定的最大登录尝试次数时锁定用户账户 | 指定是否在超过最大无效登录尝试次数后限制用户登录 |
配置策略后,点击 保存 应用策略。
修改用户详情
Mobile Device Manager Plus MSP 提供了灵活性,可以修改用户角色,以更好地满足您不断变化的需求。您可以在任何您认为合适的时间执行更改用户角色和重置用户密码等操作。
活动会话详情和会话终止
有些情况下,您可能想了解活动会话数、来自特定 IP/位置的会话数等信息,Mobile Device Manager Plus MSP 允许您获取所有这些信息,并终止所有其他活动会话。
要了解特定用户的登录会话详情,
- 在 MDM MSP 服务器上,导航至 管理员 选项卡并选择 用户管理 (位于 全局设置).
- 点击位于 用户操作 旁的省略号图标,该用户是要被删除的用户。选择 登录详情选项,了解
- 用户是否有当前活动会话
- 用户登录的 IP/位置
- 会话时长
- 会话启动和终止的详细信息
若要了解其他详情,点击服务器右上角的用户图标,在下拉菜单中,您将看到当前活动会话数。点击它,即可查看最近10次登录活动并终止其他活动会话。
删除用户
有时当您发现某个用户的贡献已过时,您可以继续从用户列表中删除该用户。请按照以下步骤删除用户:
- 在 MDM MSP 服务器上,导航至 管理员 选项卡并选择 用户管理 (位于 全局设置).
- 点击位于 用户操作 旁的省略号图标,该用户是要被删除的用户。选择 删除用户 并确认继续删除用户。