基于角色的设备访问和用户管理

用户定义角色

Mobile Device Manager Plus自定义角色没有数量限制，并可根据需求授予个性化权限，属于用户定义类别。管理员通过这种方式，仅授予技术员所需模块的访问权限，通过仅授予特定组和设备访问权限，定义管理范围。例如，一个组织在各地设立了多个办公室，管理员可以仅允许技术员查看和管理各自办公室的设备。

为加深理解，下面介绍了如何创建用户定义角色：

1. 打开Web控制台，登记管理选项卡，点击用户管理，打开用户管理页面。

2. 选择角色选项卡，点击“添加角色”按钮。

3. 指定角色名称并添加简短描述。

4. 您可以在“选择控制部分”为角色定义各模块权限级别。
   权限级别大致分为：
   完全控制 - 像管理员一样对特定模块执行所有操作
   只读 - 只能查看该模块的信息
   写入 - 在该模块执行关联和分发等操作。没有权限创建或修改模块中的任何设置。
   无权访问 - 对用户隐藏该模块。

5. 点击添加按钮。

角色创建成功。

您刚刚创建的角色将添加到角色列表中，打开管理选项卡，点击用户管理 即可查看。只要角色关联了用户就无法删除，但您可以为所有用户定义的角色修改权限级别。 只有管理员有权修改用户的详细信息，创建或删除用户。

预定义角色

预定义角色包括：

1. 管理员
2. 技术员
3. 来宾
4. 审计员
5. IT资产管理者

用户角色和权限的完整列表，请参阅这里

管理员角色

管理员角色意味着对所有模块具有完全控制权限的超级管理员。管理员权限包括：

• 添加新用户和创建新角色。
• 更改邮件服务器设置。
• 更改代理设置。
• 个性化选项，比如改变主题，设置会话有效期等。
• 查看Mobile Device Manager Plus操作日志。
• 备份数据库。
• “资产清单”模块的完全控制权限。
• “报表”模块的完全控制权限。
• “配置文件”模块的完全控制权限。
• “应用管理”模块的完全控制权限。

该角色严禁更改。

技术员角色：

技术员角色操作权限广泛。技术员无法执行管理员权限下的所有操作，也无法使用MDM设置。

技术员权限包括：

• 执行扫描操作。
• 以下模块的写入权限：移动设备管理中的资产清单、报表、配置文件和应用模块。

管理组的独立角色：

MDM允许技术员对组执行某些操作。技术人员可以根据组织的需要，通过添加、修改或删除组，访问服务器上的不同组。

注意事项

• 在应用管理、配置文件管理、内容管理、操作系统更新管理、远程控制和公告选项中，具有完全访问权限的其他角色，也将具有组的访问权限。
• 在应用管理、配置文件管理和内容管理中，具有写入权限的管理员，也将自动被授予组的读取权限。
• 在注册中，具有写入权限的管理员，也将自动被授予组的写入权限。

来宾角色：

来宾角色保留了所有模块的只读权限——只能查看，MDM资产清单信息、报表、配置文件和移动设备上的应用。与来宾角色关联的用户具有查看IT资产信息的权限。该角色严禁更改。

审计员角色：

审计员角色是专门为审计目的而创建的。此角色将授予审计员查看软件资产清单、许可证合规性等的权限。

IT资产管理者：

IT资产管理者具有资产管理模块的完全访问权限，能够查看所有移动设备的资产清单信息，但无法使用所有其他功能。

用户管理

创建用户并关联角色

您可以在创建新用户时为用户关联角色，创建用户的步骤如下：

1. 以管理员身份登录 Mobile Device Manager Plus客户端。
2. 点击全局设置类别下的用户管理。
3. 指定身份验证类型为 Active Directory/Azure Authentication或Local Authentication。
4. 指定 用户名、密码并确认密码。
5. 从下拉列表指定 角色。这里列出了所有预定义的角色和您创建的角色。
6. 指定用户的 电子邮件地址和电话号码，此为可选填。

如果您想为不同的设备组设置不同的控制级别，步骤如下：

1. 在管理范围下，要管理的设备选择选定组。
2. 指定所选用户应该具有上述控制权限的组。
3. 点击添加用户，添加具有所选角色的用户。

您已成功创建用户，并为用户关联了角色。

如果选择通过Active Directory/Azure对用户进行身份验证，用户应该具有从安装了Mobile Device Manager Plus服务器的计算机登录域的权限。

双因素身份验证

除了配置密码策略外，还可以配置双因素身份验证（TFA）来保护MDM服务器的访问安全。TFA在访问MDM服务器之前，增加了额外的身份验证层。MDM提供了两种身份验证方法：

• 电子邮件
• Google Authenticator

如果您在使用Google Authenticator进行身份验证时遇到问题， 如果是iPhone，导航到设置 -> 常规 -> 日期和时间并启用自动打开。 如果是安卓设备，打开Google Authenticator应用，点击设置，选择代码时间校正，点击立即同步。

用户密码策略

强烈建议为MDM服务器登录应用密码策略，阻止未经授权登录。密码策略根据组织的安全标准，定义了各种参数，如密码复杂度、密码长度，确保用户使用强密码。配置密码策略的步骤如下：

• 打开MDM服务器，从顶部菜单点击管理选项卡，选择全局设置下的用户管理。
• 点击安全身份验证，选择密码策略选项卡。
• 根据下面的策略描述配置策略：

特性	描述
密码类型	指定登录密码的复杂度。如果选择复杂，则登录密码必须至少包含一个特殊字符、一个大写字符和一个小写字符。
最小密码长度	指定登录密码应该包含的最小字符数。
保存的历史密码个数	指定修改密码时用户不能使用的旧密码数量。例如:设置为4，则用户不能使用最近4个旧密码。
超过设定的最大登录次数后，锁定用户帐户	指定在超过失败登录尝试的最大次数时是否应该限制用户登录。
允许的失败登录尝试次数	指定失败尝试次数，超过后，在锁定时间结束之前，用户不能登录，或者由管理员修改锁定时间解锁。
锁定持续时间	指定用户超过最大登录失败次数后，不能登录MDM服务器的持续时间。

策略配置完成后，点击保存，应用策略。

修改用户信息

Mobile Device Manager Plus可以灵活修改用户角色，适应组织不断变化的需求。您可以根据需要，随时执行更改用户角色和重置用户密码等操作。

活动会话信息和会话终止

在某些场景中，您可能想知道活动会话的数量、来自特定IP/位置的会话数量等，MDM除了能够终止所有其他活动会话，还为您提供了所有这些信息。

要查看特定用户的登录会话信息，

• 打开MDM服务器，点击管理选项卡，选择全局设置下的用户管理。
• 找到想要删除的用户，点击对应动作下的省略号图标，选择登录信息，可查看：
• 用户当前是否有活动会话
• 用户登录的IP/位置
• 会话持续时间
• 会话启动和终止时间的详细信息

要了解其他详细信息，请点击服务器右上角的用户图标，从下拉列表中，可以看到当前活动会话的数量，点击可查看最近10个登录活动，以及终止其他活动会话。

删除用户

当用户不再有工作需要时，可以从用户列表中将其删除。删除用户步骤如下：

• 打开MDM服务器，点击管理选项卡，选择全局设置下的用户管理。
• 找到想要删除的用户，点击对应动作下的省略号图标。选择 删除用户，再次确认删除用户。

另请参阅：

配置代理服务器、配置NAT设置、配置邮件服务器、配置服务器设置、配置远程数据库访问、导入SSL证书、个性化、数据备份与恢复