Compartilhar via

Noções básicas da administração baseada em funções para Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Com Configuration Manager, utiliza a administração baseada em funções para proteger o acesso que os utilizadores administrativos precisam de utilizar Configuration Manager. Também protege o acesso aos objetos que gere, como coleções, implementações e sites.

O modelo de administração baseada em funções define e gere centralmente o acesso de segurança ao nível da hierarquia. Este modelo destina-se a todos os sites e definições de site através dos seguintes itens:

  • As funções de segurança são atribuídas a utilizadores administrativos para lhes conceder permissão para Configuration Manager objetos. Por exemplo, permissão para criar ou alterar definições de cliente.

  • Os âmbitos de segurança são utilizados para agrupar instâncias específicas de objetos que um utilizador administrativo é responsável por gerir. Por exemplo, uma aplicação que instala a consola Configuration Manager.

  • As coleções são utilizadas para especificar grupos de utilizadores e dispositivos que o utilizador administrativo pode gerir no Configuration Manager.

Com a combinação de funções, âmbitos e coleções, segrega as atribuições administrativas que cumprem os requisitos da sua organização. Utilizados em conjunto, definem o âmbito administrativo de um utilizador. Este âmbito administrativo controla os objetos que um utilizador administrativo vê na consola do Configuration Manager e controla as permissões que um utilizador tem nesses objetos.

Benefícios

Os seguintes itens são vantagens da administração baseada em funções no Configuration Manager:

  • Os sites não são utilizados como limites administrativos. Por outras palavras, não expanda um site primário autónomo para uma hierarquia com um site de administração central para separar utilizadores administrativos.

  • Cria utilizadores administrativos para uma hierarquia e só precisa de lhes atribuir segurança uma vez.

  • Todas as atribuições de segurança são replicadas e estão disponíveis em toda a hierarquia. As configurações de administração baseada em funções são replicadas para cada site na hierarquia como dados globais e, em seguida, são aplicadas a todas as ligações administrativas.

    Importante

    Os atrasos na replicação entre sites podem impedir que um site receba alterações para a administração baseada em funções. Para obter mais informações sobre como monitorizar a replicação de bases de dados entre sites, veja Transferências de dados entre sites.

  • Existem funções de segurança incorporadas que são utilizadas para atribuir as tarefas de administração típicas. Crie as suas próprias funções de segurança personalizadas para suportar os seus requisitos empresariais específicos.

  • Os utilizadores administrativos veem apenas os objetos que têm permissões para gerir.

  • Pode auditar ações de segurança administrativas.

Funções de segurança

Utilize funções de segurança para conceder permissões de segurança a utilizadores administrativos. As funções de segurança são grupos de permissões de segurança que atribui aos utilizadores administrativos para que possam realizar as respetivas tarefas administrativas. Estas permissões de segurança definem as ações que um utilizador administrativo pode realizar e as permissões concedidas para tipos de objeto específicos. Como melhor prática de segurança, atribua as funções de segurança que fornecem as permissões menos necessárias para a tarefa.

Configuration Manager tem várias funções de segurança incorporadas para suportar agrupamentos típicos de tarefas administrativas. Pode criar as suas próprias funções de segurança personalizadas para suportar os seus requisitos empresariais específicos.

A tabela seguinte resume todas as funções incorporadas:

Nome Descrição
Administrador do aplicativo Combina as permissões do Gestor de implementação de aplicações e as funções de Autor da aplicação . Os utilizadores administrativos nesta função também podem gerir consultas, ver definições de site, gerir coleções, editar definições para a afinidade de dispositivo do utilizador e gerir ambientes virtuais app-V.
Autor da aplicação Pode criar, modificar e extinguir aplicações. Os utilizadores administrativos nesta função também podem gerir aplicações, pacotes e ambientes virtuais do App-V.
Gestor de implementação de aplicações Pode implementar aplicações. Os utilizadores administrativos nesta função podem ver uma lista de aplicações. Podem gerir implementações para aplicações, alertas e pacotes. Podem ver coleções e respetivos membros, status mensagens, consultas, regras de entrega condicional e ambientes virtuais do App-V.
Gestor de recursos Concede permissões para gerir o ponto de sincronização do Asset Intelligence, as classes de relatórios do Asset Intelligence, o inventário de software, o inventário de hardware e as regras de medição.
Gestor de acesso a recursos da empresa Concede permissões para criar, gerir e implementar perfis de acesso a recursos da empresa. Por exemplo, Wi-Fi, VPN, Exchange ActiveSync e-mail e perfis de certificado.
Gestor de definições de compatibilidade Concede permissões para definir e monitorizar as definições de compatibilidade. Os utilizadores administrativos nesta função podem criar, modificar e eliminar itens de configuração e linhas de base. Também podem implementar linhas de base de configuração em coleções, iniciar a avaliação de compatibilidade e iniciar a remediação para computadores não conformes.
Gestor do Endpoint Protection Concede permissões para criar, modificar e eliminar políticas de proteção de pontos finais. Podem implementar estas políticas em coleções, criar e modificar alertas e monitorizar status de proteção de pontos finais.
Administrador completo Concede todas as permissões no Configuration Manager. O utilizador administrativo que instala Configuration Manager recebe automaticamente esta função de segurança, todos os âmbitos e todas as coleções.
Administrador de infraestrutura Concede permissões para criar, eliminar e modificar a infraestrutura do servidor Configuration Manager e para executar tarefas de migração.
Gestor de implementação do sistema operativo Concede permissões para criar imagens do SO e implementá-las em computadores, gerir pacotes e imagens de atualização do SO, sequências de tarefas, controladores, imagens de arranque e definições de migração de estado.
Administrador de operações Concede permissões para todas as ações no Configuration Manager, exceto as permissões para gerir a segurança. Esta função não consegue gerir utilizadores administrativos, funções de segurança e âmbitos de segurança.
Analista só de leitura Concede permissões para ver todos os objetos Configuration Manager.
Operador de ferramentas remotas Concede permissões para executar e auditar as ferramentas de administração remota que ajudam os utilizadores a resolve problemas do computador. Os utilizadores administrativos nesta função podem executar o controlo remoto, a assistência remota e o ambiente de trabalho remoto a partir da consola do Configuration Manager.
Administrador de segurança Concede permissões para adicionar e remover utilizadores administrativos e associar utilizadores administrativos a funções de segurança, coleções e âmbitos de segurança. Os utilizadores administrativos nesta função também podem criar, modificar e eliminar funções de segurança e os respetivos âmbitos e coleções de segurança atribuídos.
Gestor de atualizações de software Concede permissões para definir e implementar atualizações de software. Os utilizadores administrativos nesta função podem gerir grupos de atualização de software, implementações e modelos de implementação.

Dica

Se tiver permissões, pode ver a lista de todas as funções de segurança na consola do Configuration Manager. Para ver as funções, aceda à área de trabalho Administração , expanda Segurança e, em seguida, selecione o nó Funções de Segurança .

Não pode modificar as funções de segurança incorporadas, além de adicionar utilizadores administrativos. Pode copiar a função, fazer alterações e, em seguida, guardar estas alterações como uma nova função de segurança personalizada. Também pode importar funções de segurança que exportou de outra hierarquia, como um ambiente de laboratório. Para obter mais informações, veja Configurar a administração baseada em funções.

Reveja as funções de segurança e as respetivas permissões para determinar se irá utilizar as funções de segurança incorporadas ou se tem de criar as suas próprias funções de segurança personalizadas.

Permissões de função

Cada função de segurança tem permissões específicas para diferentes tipos de objetos. Por exemplo, a função de autor da aplicação tem as seguintes permissões para aplicações:

  • Aprovar
  • Criar
  • Excluir
  • Modificar
  • Modificar pasta
  • Mover objeto
  • Leitura
  • Executar relatório
  • Definir âmbito de segurança

Esta função também tem permissões para outros objetos.

Separador Permissões para a função incorporada do autor da aplicação

Para obter mais informações sobre como ver as permissões de uma função ou alterar as permissões de uma função personalizada, veja Configurar a administração baseada em funções.

Planejar funções de segurança

Utilize este processo para planear Configuration Manager funções de segurança no seu ambiente:

  1. Identifique as tarefas que os utilizadores administrativos precisam de realizar no Configuration Manager. Estas tarefas podem estar relacionadas com um ou mais grupos de tarefas de gestão. Por exemplo, implementar sistemas operativos e definições de conformidade.

  2. Mapeie estas tarefas administrativas para uma ou mais das funções incorporadas.

  3. Se alguns dos utilizadores administrativos realizarem as tarefas de várias funções, atribua os utilizadores às múltiplas funções. Não crie uma função personalizada que combine as permissões.

  4. Se as tarefas que identificou não mapearem para as funções de segurança incorporadas, crie e teste funções personalizadas.

Para obter mais informações, veja Criar funções de segurança personalizadas e Configurar funções de segurança.

Coleções

As coleções especificam os utilizadores e dispositivos que um utilizador administrativo pode ver ou gerir. Por exemplo, para implementar uma aplicação num dispositivo, o utilizador administrativo tem de estar numa função de segurança que conceda acesso a uma coleção que contenha o dispositivo.

Para obter mais informações sobre coleções, consulte Introdução às coleções.

Antes de configurar a administração baseada em funções, decida se tem de criar novas coleções pelos seguintes motivos:

  • Organização funcional. Por exemplo, coleções separadas de servidores e estações de trabalho.
  • Alinhamento geográfico. Por exemplo, coleções separadas para América do Norte e Europa.
  • Requisitos de segurança e processos empresariais. Por exemplo, coleções separadas para computadores de produção e teste.
  • Alinhamento da organização. Por exemplo, coleções separadas para cada unidade de negócio.

Para obter mais informações, veja Configurar coleções para gerir a segurança.

Âmbitos de segurança

Utilize âmbitos de segurança para fornecer aos utilizadores administrativos acesso a objetos com segurança. Um âmbito de segurança é um conjunto nomeado de objetos com segurança atribuídos a utilizadores administradores como um grupo. Todos os objetos com segurança são atribuídos a um ou mais âmbitos de segurança. Configuration Manager tem dois âmbitos de segurança incorporados:

  • Todos: concede acesso a todos os âmbitos. Não pode atribuir objetos a este âmbito de segurança.

  • Predefinição: este âmbito é utilizado para todos os objetos por predefinição. Quando instala Configuration Manager, este atribui todos os objetos a este âmbito de segurança.

Se quiser restringir os objetos que os utilizadores administrativos podem ver e gerir, crie os seus próprios âmbitos de segurança personalizados. Os âmbitos de segurança não suportam uma estrutura hierárquica e não podem ser aninhados. Os âmbitos de segurança podem conter um ou mais tipos de objeto, que incluem os seguintes itens:

  • Subscrições de alertas
  • Aplicações e grupos de aplicações
  • Ambientes virtuais App-V
  • Imagens de inicialização
  • Grupos de limites
  • Itens de configuração e linhas de base
  • Definições personalizadas do cliente
  • Pontos de distribuição e grupos de pontos de distribuição
  • Pacotes de controladores
  • Políticas de proteção de pontos finais (todas)
  • Pastas
  • Condições globais
  • Tarefas de migração
  • perfis de OneDrive for Business
  • Imagens do SO
  • Pacotes de atualização do SO
  • Pacotes
  • Consultas
  • Perfis de conexão remota
  • Scripts
  • Sites
  • Regras de medição de software
  • Grupos de atualização de software
  • Pacotes de atualizações de software
  • Sequências de tarefas
  • Itens de configuração de perfis e dados de utilizador
  • políticas do Windows Update para Empresas

Também existem alguns objetos que não pode incluir nos âmbitos de segurança porque só estão protegidos por funções de segurança. O acesso administrativo a estes objetos não pode ser limitado a um subconjunto dos objetos disponíveis. Por exemplo, pode ter um utilizador administrativo que cria grupos de limites que são utilizados para um site específico. Uma vez que o objeto de limite não suporta âmbitos de segurança, não pode atribuir a este utilizador um âmbito de segurança que forneça acesso apenas aos limites que possam estar associados a esse site. Uma vez que um objeto de limite não pode ser associado a um âmbito de segurança, quando atribui uma função de segurança que inclui o acesso a objetos de limite a um utilizador, esse utilizador pode aceder a todos os limites da hierarquia.

Os objetos que não suportam âmbitos de segurança incluem, mas não se limitam aos seguintes itens:

  • Florestas do Active Directory
  • Utilizadores administrativos
  • Alertas
  • Limites
  • Associações de computadores
  • Predefinições de cliente
  • Modelos de implementação
  • Drivers de dispositivo
  • Mapeamentos de site a site de migração
  • Funções de segurança
  • Âmbitos de segurança
  • Endereços do site
  • Funções do sistema de sites
  • Atualizações de software
  • Mensagens de status
  • Afinidades de dispositivo do utilizador

Crie âmbitos de segurança quando tiver de limitar o acesso a instâncias separadas de objetos. Por exemplo:

  • Tem um grupo de utilizadores administrativos que precisam de ver aplicações de produção e não de testar aplicações. Crie um âmbito de segurança para aplicações de produção e outro para aplicações de teste.

  • Um grupo de utilizadores administrativos requer permissão de Ler a grupos de atualização de software específicos. Outro grupo de utilizadores administrativos requer permissões de Modificação e Eliminação para outros grupos de atualização de software. Crie diferentes âmbitos de segurança para estes grupos de atualização de software.

Para obter mais informações, veja Configurar âmbitos de segurança para um objeto.

Próximas etapas

Configurar a administração baseada em funções para Configuration Manager