Fundamentos da administração baseada em função para Configuration Manager

Aplica-se a: Gerenciador de Configurações (branch atual)

Com Configuration Manager, você usa a administração baseada em função para proteger o acesso que os usuários administrativos precisam usar Configuration Manager. Você também garante acesso aos objetos que gerencia, como coleções, implantações e sites.

O modelo de administração baseado em função define e gerencia centralmente o acesso à segurança em toda a hierarquia. Esse modelo é para todos os sites e configurações do site usando os seguintes itens:

  • Funções de segurança são atribuídas a usuários administrativos para dar-lhes permissão para Configuration Manager objetos. Por exemplo, permissão para criar ou alterar as configurações do cliente.

  • Os escopos de segurança são usados para agrupar instâncias específicas de objetos que um usuário administrativo é responsável por gerenciar. Por exemplo, um aplicativo que instala o console Configuration Manager.

  • As coleções são usadas para especificar grupos de usuários e dispositivos que o usuário administrativo pode gerenciar em Configuration Manager.

Com a combinação de funções, escopos e coleções, você segrega as atribuições administrativas que atendem aos requisitos da sua organização. Usados juntos, eles definem o escopo administrativo de um usuário. Esse escopo administrativo controla os objetos que um usuário administrativo exibe no console Configuration Manager e controla as permissões que um usuário tem nesses objetos.

Benefícios

Os seguintes itens são benefícios da administração baseada em função em Configuration Manager:

  • Os sites não são usados como limites administrativos. Em outras palavras, não expanda um site primário autônomo para uma hierarquia com um site de administração central para separar usuários administrativos.

  • Você cria usuários administrativos para uma hierarquia e só precisa atribuir segurança a eles uma vez.

  • Todas as atribuições de segurança são replicadas e disponíveis em toda a hierarquia. As configurações de administração baseadas em função são replicadas para cada site na hierarquia como dados globais e, em seguida, são aplicadas a todas as conexões administrativas.

    Importante

    Atrasos de replicação entre sites podem impedir que um site receba alterações para administração baseada em função. Para obter mais informações sobre como monitorar a replicação de banco de dados intersite, consulte Transferências de dados entre sites.

  • Há funções de segurança internas que são usadas para atribuir as tarefas de administração típicas. Crie suas próprias funções de segurança personalizadas para dar suporte a seus requisitos comerciais específicos.

  • Os usuários administrativos veem apenas os objetos que têm permissões para gerenciar.

  • Você pode auditar ações de segurança administrativa.

Funções de segurança

Use funções de segurança para conceder permissões de segurança a usuários administrativos. Funções de segurança são grupos de permissões de segurança que você atribui aos usuários administrativos para que eles possam executar suas tarefas administrativas. Essas permissões de segurança definem as ações que um usuário administrativo pode fazer e as permissões concedidas para determinados tipos de objeto. Como uma prática recomendada de segurança, atribua as funções de segurança que fornecem as permissões mínimas necessárias para a tarefa.

Configuration Manager tem várias funções de segurança internas para dar suporte a agrupamentos típicos de tarefas administrativas. Você pode criar suas próprias funções de segurança personalizadas para dar suporte a seus requisitos de negócios específicos.

A tabela a seguir resume todas as funções internas:

Nome Descrição
Administrador de aplicativos Combina as permissões do gerenciador de implantação de aplicativo e as funções de autor do aplicativo . Os usuários administrativos nessa função também podem gerenciar consultas, exibir configurações do site, gerenciar coleções, editar configurações para afinidade de dispositivo de usuário e gerenciar ambientes virtuais do App-V.
Autor do aplicativo Pode criar, modificar e aposentar aplicativos. Os usuários administrativos nessa função também podem gerenciar aplicativos, pacotes e ambientes virtuais do App-V.
Gerenciador de implantação de aplicativos Pode implantar aplicativos. Os usuários administrativos nessa função podem exibir uma lista de aplicativos. Eles podem gerenciar implantações para aplicativos, alertas e pacotes. Eles podem exibir coleções e seus membros, mensagens de status, consultas, regras de entrega condicional e ambientes virtuais do App-V.
Gerenciador de ativos Concede permissões para gerenciar o ponto de sincronização do Asset Intelligence, classes de relatórios do Asset Intelligence, inventário de software, inventário de hardware e regras de medição.
Gerenciador de acesso de recursos da empresa Concede permissões para criar, gerenciar e implantar perfis de acesso a recursos da empresa. Por exemplo, Wi-Fi, VPN, Exchange ActiveSync perfis de email e certificado.
Gerenciador de configurações de conformidade Concede permissões para definir e monitorar as configurações de conformidade. Os usuários administrativos nessa função podem criar, modificar e excluir itens de configuração e linhas de base. Eles também podem implantar linhas de base de configuração em coleções, iniciar a avaliação de conformidade e iniciar a correção para computadores não compatíveis.
Gerenciador de proteção de ponto de extremidade Concede permissões para criar, modificar e excluir políticas de proteção de ponto de extremidade. Eles podem implantar essas políticas em coleções, criar e modificar alertas e monitorar o status de proteção de ponto de extremidade.
Administrador completo Concede todas as permissões em Configuration Manager. O usuário administrativo que instala Configuration Manager recebe automaticamente essa função de segurança, todos os escopos e todas as coleções.
Administrador de infraestrutura Concede permissões para criar, excluir e modificar a infraestrutura do servidor Configuration Manager e executar tarefas de migração.
Gerenciador de implantação do sistema operacional Concede permissões para criar imagens do sistema operacional e implantá-las em computadores, gerenciar pacotes e imagens de atualização do sistema operacional, sequências de tarefas, drivers, imagens de inicialização e configurações de migração de estado.
Administrador de operações Concede permissões para todas as ações em Configuration Manager exceto para as permissões para gerenciar a segurança. Essa função não pode gerenciar usuários administrativos, funções de segurança e escopos de segurança.
Analista somente leitura Concede permissões para exibir todos os objetos Configuration Manager.
Operador de ferramentas remotas Concede permissões para executar e auditar as ferramentas de administração remota que ajudam os usuários a resolver problemas de computador. Os usuários administrativos nessa função podem executar controle remoto, assistência remota e área de trabalho remota do console Configuration Manager.
Administrador de segurança Concede permissões para adicionar e remover usuários administrativos e associar usuários administrativos a funções de segurança, coleções e escopos de segurança. Os usuários administrativos nessa função também podem criar, modificar e excluir funções de segurança e seus escopos e coleções de segurança atribuídos.
Gerenciador de atualizações de software Concede permissões para definir e implantar atualizações de software. Os usuários administrativos nessa função podem gerenciar grupos de atualização de software, implantações e modelos de implantação.

Dica

Se você tiver permissões, poderá exibir a lista de todas as funções de segurança no console Configuration Manager. Para exibir as funções, acesse o workspace Administração , expanda Segurança e selecione o nó Funções de Segurança .

Você não pode modificar as funções de segurança internas, além de adicionar usuários administrativos. Você pode copiar a função, fazer alterações e salvar essas alterações como uma nova função de segurança personalizada. Você também pode importar funções de segurança que você exportou de outra hierarquia, como um ambiente de laboratório. Para obter mais informações, consulte Configurar administração baseada em função.

Examine as funções de segurança e suas permissões para determinar se você usará as funções de segurança internas ou se precisa criar suas próprias funções de segurança personalizadas.

Permissões de função

Cada função de segurança tem permissões específicas para diferentes tipos de objeto. Por exemplo, a função de autor do aplicativo tem as seguintes permissões para aplicativos:

  • Aprovar
  • Criar
  • Excluir
  • Modificar
  • Modificar pasta
  • Mover objeto
  • Ler
  • Executar relatório
  • Definir escopo de segurança

Essa função também tem permissões para outros objetos.

Guia Permissões para a função interna do autor do aplicativo

Para obter mais informações sobre como exibir as permissões de uma função ou alterar as permissões para uma função personalizada, consulte Configurar administração baseada em função.

Planejar funções de segurança

Use esse processo para planejar Configuration Manager funções de segurança em seu ambiente:

  1. Identifique as tarefas que os usuários administrativos precisam fazer em Configuration Manager. Essas tarefas podem estar relacionadas a um ou mais grupos de tarefas de gerenciamento. Por exemplo, implantando sistemas operacionais e configurações para conformidade.

  2. Mapeie essas tarefas administrativas para uma ou mais funções internas.

  3. Se alguns dos usuários administrativos fizerem as tarefas de várias funções, atribua os usuários às várias funções. Não crie uma função personalizada que combine as permissões.

  4. Se as tarefas identificadas não forem mapeadas para as funções de segurança internas, crie e teste funções personalizadas.

Para obter mais informações, consulte Criar funções de segurança personalizadas e Configurar funções de segurança.

Coleções

As coleções especificam os usuários e dispositivos que um usuário administrativo pode exibir ou gerenciar. Por exemplo, para implantar um aplicativo em um dispositivo, o usuário administrativo precisa estar em uma função de segurança que conceda acesso a uma coleção que contém o dispositivo.

Para obter mais informações sobre coleções, consulte Introdução às coleções.

Antes de configurar a administração baseada em função, decida se você precisa criar novas coleções por algum dos seguintes motivos:

  • Organização funcional. Por exemplo, coleções separadas de servidores e estações de trabalho.
  • Alinhamento geográfico. Por exemplo, coleções separadas para América do Norte e Europa.
  • Requisitos de segurança e processos empresariais. Por exemplo, coleções separadas para computadores de produção e teste.
  • Alinhamento da organização. Por exemplo, coleções separadas para cada unidade de negócios.

Para obter mais informações, consulte Configurar coleções para gerenciar a segurança.

Escopos de segurança

Use escopos de segurança para fornecer aos usuários administrativos acesso a objetos protegíveis. Um escopo de segurança é um conjunto nomeado de objetos protegíveis atribuídos aos usuários administradores como um grupo. Todos os objetos protegíveis são atribuídos a um ou mais escopos de segurança. Configuration Manager tem dois escopos de segurança internos:

  • Tudo: concede acesso a todos os escopos. Você não pode atribuir objetos a esse escopo de segurança.

  • Padrão: esse escopo é usado para todos os objetos por padrão. Quando você instala Configuration Manager, ela atribui todos os objetos a esse escopo de segurança.

Se você quiser restringir os objetos que os usuários administrativos podem ver e gerenciar, crie seus próprios escopos de segurança personalizados. Os escopos de segurança não dão suporte a uma estrutura hierárquica e não podem ser aninhados. Os escopos de segurança podem conter um ou mais tipos de objeto, que incluem os seguintes itens:

  • Assinaturas de alerta
  • Aplicativos e grupos de aplicativos
  • Ambientes virtuais App-V
  • Imagens de inicialização
  • Grupos de limites
  • Itens de configuração e linhas de base
  • Configurações personalizadas do cliente
  • Pontos de distribuição e grupos de pontos de distribuição
  • Pacotes de driver
  • Políticas de proteção de ponto de extremidade (todas)
  • Pastas
  • Condições globais
  • Trabalhos de migração
  • OneDrive for Business perfis
  • Imagens do SO
  • Pacotes de atualização do sistema operacional
  • Pacotes
  • Consultas
  • Perfis de conexão remota
  • Scripts
  • Sites
  • Regras de medição de software
  • Grupos de atualização de software
  • Pacotes de atualizações de software
  • Sequências de tarefas
  • Itens de configuração de dados e perfis de usuário
  • políticas do Windows Update for Business

Há também alguns objetos que você não pode incluir em escopos de segurança porque eles são protegidos apenas por funções de segurança. O acesso administrativo a esses objetos não pode ser limitado a um subconjunto dos objetos disponíveis. Por exemplo, você pode ter um usuário administrativo que cria grupos de limites que são usados para um site específico. Como o objeto de limite não dá suporte a escopos de segurança, você não pode atribuir a esse usuário um escopo de segurança que forneça acesso apenas aos limites que podem estar associados a esse site. Como um objeto de limite não pode ser associado a um escopo de segurança, quando você atribui uma função de segurança que inclui acesso a objetos de limite a um usuário, esse usuário pode acessar todos os limites na hierarquia.

Objetos que não dão suporte a escopos de segurança incluem, mas não se limitam aos seguintes itens:

  • Florestas do Active Directory
  • Usuários administrativos
  • Alertas
  • Limites
  • Associações de computador
  • Configurações padrão do cliente
  • Modelos de implantação
  • Drivers de dispositivo
  • Mapeamentos site a site de migração
  • Funções de segurança
  • Escopos de segurança
  • Endereços do site
  • Funções do sistema de sites
  • Atualizações de software
  • Mensagens de status
  • Afinidades de dispositivo de usuário

Crie escopos de segurança quando precisar limitar o acesso a instâncias separadas de objetos. Por exemplo:

  • Você tem um grupo de usuários administrativos que precisam ver aplicativos de produção e não testar aplicativos. Crie um escopo de segurança para aplicativos de produção e outro para aplicativos de teste.

  • Um grupo de usuários administrativos requer permissão de leitura para grupos específicos de atualização de software. Outro grupo de usuários administrativos requer permissões modificar e excluir para outros grupos de atualização de software. Crie diferentes escopos de segurança para esses grupos de atualização de software.

Para obter mais informações, consulte Configurar escopos de segurança para um objeto.

Próximas etapas

Configurar a administração baseada em função para Configuration Manager