基于角色的设备访问和用户管理

总览

作为管理员,在很多时候,您会发觉例行的工作要比您网络中需要关注的事件要多。为应对此种情形,Mobile Device Manager Plus提供用户和基于角色设备管理模块,来帮助管理员为其他技术人员指定具有某些特权的各种角色。

基于角色的设备访问(RBDA)

一些最常用的角色是在预定义角色下指定的。但是,您还可以灵活地定义最适合您需求的角色,并在用户定义的角色下授予适当的权限。下面是关于预定义角色和用户定义角色的简介:

用户定义角色

您可以使用Mobile Device Manager Plus自定义任意数量的角色,并根据您的个性化需求赋予它们选择的权限。这些自定义角色属于自定义类别。使用此方法,管理员可以只向技术人员提供对所需模块的访问。因此,通过只提供对特定组和设备的访问来定义管理范围。例如,一个组织在不同的位置有办公室,管理员可以允许技术人员仅在他们各自的位置查看和管理设备。

为了更好地理解,让我们在下文中快速查看如何创建用户定义的角色。按照下面提到的步骤创建一个新的自定义角色:

  1. 在Web控制台中,选择 管理 选项卡并点击 用户管理。这将打开用户管理页面。

  2. 选择 角色 选项卡并点击“添加角色”按钮。

  3. 指定 角色名称 并提供一个简单描述。

  4. 您可以在选择控制部分为角色定义模块级别的权限。
    权限级别可以分为:
    完全控制 - 指定模块可以执行管理员角色的所有的操作
    只读 - 只能查看指定模块的明细
    写入 - 在该模块执行关联和分发等操作。没有权限创建或修改模块中的任何设置。
    不许访问 - 对用户隐藏指定模块。

  5. 点击 添加 按钮。

您已经成功创建了一个新角色。

  • 刚刚您创建的角色可以在 管理 选项卡下的 用户管理 模块的角色列表中找到。如果角色已关联到用户,那么此角色将不能够被删除。但是,您可以修改所有用户定义的角色的权限级别。
  • 只有管理员将有权限修改用户的信息,创建或删除用户。

预定义角色

预定义角色类别有:

  1. 管理员
  2. 技术人员
  3. 来宾
  4. 审计员
  5. IT资产管理者

管理员角色

管理员角色,表示对所有模块具有完全控制权限的“管理用户”。在“管理”选项卡下,可用的操作包括:

严禁对该角色进行修改。

技术人员角色:

技术人员角色有一组明确定义的权限来执行特定的操作。技术员角色下的用户被限制执行“管理”选项卡下列出的所有操作。技术人员也被限制使用MDM设置。

与技术员角色相关联的用户可执行的操作包括:

来宾角色:

来宾角色保留所有模块的只读权限——只能查看,MDM资产清单信息、报表、配置文件和移动设备的应用。与来宾角色关联的用户将具有查看IT资产信息的权限。严禁对该角色进行修改。

审计员角色:

审计员角色是专门为审计目的而设立的。此角色将授予审核员查看软件和硬件清单详细信息、许可证合规等的权限。

IT资产管理者:

IT资产管理者可以完全访问资产管理模块。IT资产管理者可以查看所有移动设备的资产清单信息。但无法访问所有其他功能。

用户管理

创建用户并关联角色

创建新用户时,可以将用户与角色关联。创建用户的步骤如下:

  1. 管理员 身份登录到 Mobile Device Manager Plus 客户端。
  2. 点击 全局设置类别 下的用户管理 链接
  3. 指定认证类型为 Active Directory/Azure认证 本地认证
  4. 指定 用户名、密码并确认密码
  5. 从下拉列表指定 角色。在这里列出了所有预定义的角色,和您创建的角色。
  6. 指定用户的 电子邮件地址 电话号码,可选填。

如果您想对不同的设备组提供不同级别的控制,步骤如下:

  1. 管理范围 下为 被管设备 选择 选择的组
  2. 指定所选用户应该拥有上述控制级别的组。
  3. 点击 添加用户 添加具有所选角色的用户。

您已成功创建用户并为其关联了角色。

当您选择通过Active Directory/Azure认证用户时,用户应该具有从安装了Mobile Device Manager Plus服务器的计算机登录到域的特权。

双因素认证

除了提供密码策略外,还可以通过配置双因素认证(TFA)来保护对MDM服务器的访问。在访问MDM服务器之前,TFA提供了额外的身份验证层。MDM提供了两种身份验证方法:

电子邮件认证

在提供密码后,先前用户提供的电子邮件地址将收到验证码。添加邮件地址:管理 -> 用户管理,并选择 用户 选项卡,点击要添加邮件的用户对应的 动作 下的省略号图标,点击 修改 并提供电子邮件地址。完成后,点击 修改 以保存更改。

Google Authenticator

使用这种认证方式,您需要安装Google Authenticator应用(iOS / 安卓)。在策略应用后第一次提供密码时,屏幕上将显示使用Google Authenticator进行身份验证的说明。您需要使用Google Authenticator扫描给定的二维码或手动添加给定的密钥。完成后,Google Authenticator会定期生成验证码,用于认证。

配置TFA步骤如下:

如果您在使用Google Authenticator进行身份验证时遇到问题,
  • 如果是iPhone,点击 设置 -> 常规 -> 日期和时间并启用自动打开
  • 如果是安卓设备,打开Google Authenticator应用,点击 设置 并选择 代码时间校正。点击 立即同步

用户密码策略

强烈建议使用密码策略登录到MDM服务器,因为这样可以防止未经授权的登录。密码策略根据组织的安全标准,定义了密码复杂度、密码长度等参数,以确保用户提供强密码。您可以按照如下说明配置密码策略:

特性 描述
密码类型 指定登录密码的复杂度。如果选择 复杂,则登录密码必须包含 一个特殊字符、一个大写字符和一个小写字符
最小密码长度 指定登录密码应该包含的最小字符数。
保存的历史密码个数 指定修改密码时用户不能使用的旧密码的数量。例如:设置为4,则用户不能使用之前使用过的最后4个密码。
超过设定的最大登录次数后,锁定用户帐户 指定在超过失败登录尝试的最大次数时是否应该限制用户登录。
允许的失败登录尝试次数 指定失败尝试次数,超过后,在锁定时间结束之前,用户不能登录,或者管理员通过修改锁定时间解锁。
锁定持续时间 请指定用户超过最大登录失败次数后不能登录MDM服务器的持续时间。

配置好策略后,点击 保存 以应用策略。

修改用户信息

Mobile Device Manager Plus提供了修改用户角色的灵活性,以满足您不断变化的需求。您可以随时根据需要执行更改用户角色和重置用户密码等操作。

活动会话信息和会话终止

在某些场景中,您可能想知道活动会话的数量、来自特定IP/位置的会话数量等,MDM除了让您可以终止所有其他活动会话之外,还可以获得所有这些信息。

要了解特定用户的登录会话信息,

要了解其他详细信息,请点击服务器右上角的用户图标,从下拉列表中,您将知道当前活动会话的数量。点击可以了解最近10个登录活动以及终止其他活动会话。

删除用户

当您发现某个用户不再需要时,可以从用户列表中将其删除。删除用户步骤如下:

另请参阅: 配置代理服务器配置NAT设置配置邮件服务器配置服务器设置配置远程数据库访问导入SSL证书个性化数据备份与恢复
版权所有 © 2021, 卓豪(中国)技术有限公司。保留一切权利。
ManageEngine卓豪 - IT管理 新体验