基于角色的设备访问和用户管理

概述

Mobile Device Manager Plus基于角色的设备访问和用户管理功能,使管理员能够为技术员分配不同的角色,技术员根据角色特定的权限,为管理员分担繁琐的日常任务,使管理员有精力解决网络中的关键问题。

基于角色的设备访问(RBDA)

预定义角色下定义了一些最常用的角色,您还可以根据需求,在用户定义角色下灵活定义角色,并授予适当权限。下面简单介绍了预定义角色和用户定义角色:

用户定义角色

Mobile Device Manager Plus自定义角色没有数量限制,并可根据需求授予个性化权限,属于用户定义类别。管理员通过这种方式,仅授予技术员所需模块的访问权限,通过仅授予特定组和设备访问权限,定义管理范围。例如,一个组织在各地设立了多个办公室,管理员可以仅允许技术员查看和管理各自办公室的设备。

为加深理解,下面介绍了如何创建用户定义角色:

  1. 打开Web控制台,登记管理选项卡,点击用户管理,打开用户管理页面。

  2. 选择角色选项卡,点击“添加角色”按钮。

  3. 指定角色名称并添加简短描述。

  4. 您可以在“选择控制部分”为角色定义各模块权限级别。
    权限级别大致分为:
    完全控制 - 像管理员一样对特定模块执行所有操作
    只读 - 只能查看该模块的信息
    写入 - 在该模块执行关联和分发等操作。没有权限创建或修改模块中的任何设置。
    无权访问 - 对用户隐藏该模块。

  5. 点击添加按钮。

角色创建成功。

  • 您刚刚创建的角色将添加到角色列表中,打开管理选项卡,点击用户管理 即可查看。只要角色关联了用户就无法删除,但您可以为所有用户定义的角色修改权限级别。
  • 只有管理员有权修改用户的详细信息,创建或删除用户。

预定义角色

预定义角色包括:

  1. 管理员
  2. 技术员
  3. 来宾
  4. 审计员
  5. IT资产管理者

用户角色和权限的完整列表,请参阅这里

管理员角色

管理员角色意味着对所有模块具有完全控制权限的超级管理员。管理员权限包括:

该角色严禁更改。

技术员角色:

技术员角色操作权限广泛。技术员无法执行管理员权限下的所有操作,也无法使用MDM设置。

技术员权限包括:

管理组的独立角色:

MDM允许技术员对组执行某些操作。技术人员可以根据组织的需要,通过添加、修改或删除组,访问服务器上的不同组。

来宾角色:

来宾角色保留了所有模块的只读权限——只能查看,MDM资产清单信息、报表、配置文件和移动设备上的应用。与来宾角色关联的用户具有查看IT资产信息的权限。该角色严禁更改。

审计员角色:

审计员角色是专门为审计目的而创建的。此角色将授予审计员查看软件资产清单、许可证合规性等的权限。

IT资产管理者:

IT资产管理者具有资产管理模块的完全访问权限,能够查看所有移动设备的资产清单信息,但无法使用所有其他功能。

用户管理

创建用户并关联角色

您可以在创建新用户时为用户关联角色,创建用户的步骤如下:

  1. 管理员身份登录 Mobile Device Manager Plus客户端。
  2. 点击全局设置类别下的用户管理
  3. 指定身份验证类型为 Active Directory/Azure AuthenticationLocal Authentication
  4. 指定 用户名、密码并确认密码
  5. 从下拉列表指定 角色。这里列出了所有预定义的角色和您创建的角色。
  6. 指定用户的 电子邮件地址电话号码,此为可选填。

如果您想为不同的设备组设置不同的控制级别,步骤如下:

  1. 管理范围下,要管理的设备选择选定组
  2. 指定所选用户应该具有上述控制权限的组。
  3. 点击添加用户,添加具有所选角色的用户。

您已成功创建用户,并为用户关联了角色。

如果选择通过Active Directory/Azure对用户进行身份验证,用户应该具有从安装了Mobile Device Manager Plus服务器的计算机登录域的权限。

双因素身份验证

除了配置密码策略外,还可以配置双因素身份验证(TFA)来保护MDM服务器的访问安全。TFA在访问MDM服务器之前,增加了额外的身份验证层。MDM提供了两种身份验证方法:

电子邮件身份验证

用户输入密码后,之前提供的电子邮件地址将收到验证码。添加邮件地址请导航到管理 -> 用户管理,选择用户选项卡,找到要添加电子邮件地址的用户,点击对应动作下的省略号图标,点击修改并提供电子邮件地址。完成后,点击修改,保存更改。

Google Authenticator

使用这种身份验证方式,需要安装Google Authenticator应用(iOS/安卓)。应用策略后,首次提供密码时,将提示使用Google Authenticator进行身份验证。您需要使用Google Authenticator扫描给定的二维码或手动添加给定的密钥。完成后,Google Authenticator将定期生成验证码,用于身份验证。

配置TFA步骤如下:

如果您在使用Google Authenticator进行身份验证时遇到问题,
  • 如果是iPhone,导航到设置 -> 常规 -> 日期和时间并启用自动打开
  • 如果是安卓设备,打开Google Authenticator应用,点击设置,选择代码时间校正,点击立即同步

用户密码策略

强烈建议为MDM服务器登录应用密码策略,阻止未经授权登录。密码策略根据组织的安全标准,定义了各种参数,如密码复杂度、密码长度,确保用户使用强密码。配置密码策略的步骤如下:

特性 描述
密码类型 指定登录密码的复杂度。如果选择复杂,则登录密码必须至少包含一个特殊字符、一个大写字符和一个小写字符
最小密码长度 指定登录密码应该包含的最小字符数。
保存的历史密码个数 指定修改密码时用户不能使用的旧密码数量。例如:设置为4,则用户不能使用最近4个旧密码。
超过设定的最大登录次数后,锁定用户帐户 指定在超过失败登录尝试的最大次数时是否应该限制用户登录。
允许的失败登录尝试次数 指定失败尝试次数,超过后,在锁定时间结束之前,用户不能登录,或者由管理员修改锁定时间解锁。
锁定持续时间 指定用户超过最大登录失败次数后,不能登录MDM服务器的持续时间。

策略配置完成后,点击保存,应用策略。

修改用户信息

Mobile Device Manager Plus可以灵活修改用户角色,适应组织不断变化的需求。您可以根据需要,随时执行更改用户角色和重置用户密码等操作。

活动会话信息和会话终止

在某些场景中,您可能想知道活动会话的数量、来自特定IP/位置的会话数量等,MDM除了能够终止所有其他活动会话,还为您提供了所有这些信息。

要查看特定用户的登录会话信息,

要了解其他详细信息,请点击服务器右上角的用户图标,从下拉列表中,可以看到当前活动会话的数量,点击可查看最近10个登录活动,以及终止其他活动会话。

删除用户

当用户不再有工作需要时,可以从用户列表中将其删除。删除用户步骤如下:

另请参阅: 配置代理服务器配置NAT设置配置邮件服务器配置服务器设置配置远程数据库访问导入SSL证书个性化数据备份与恢复
版权所有 © 2023, 卓豪(中国)技术有限公司。保留一切权利。
ManageEngine卓豪 - IT管理 新体验