ActiveDirectory или группы локальных компьютеров

По умолчанию для управления доступом к шлюзу используются ActiveDirectory или группы локальных компьютеров. При наличии домена ActiveDirectory доступом пользователей и администраторов шлюза можно управлять из интерфейса WindowsAdminCenter.

На вкладке Пользователи можно указать пользователя, которому нужно предоставить доступ к WindowsAdminCenter в качестве пользователя шлюза. По умолчанию, и если не указать группу безопасности, доступ будет иметь любой пользователь, обращающийся к URL-адресу шлюза. После добавления одной или нескольких групп безопасности в список пользователей доступ будет ограничен членами этих групп.

Если в вашей среде не используется домен ActiveDirectory, доступ контролируется локальными группами Users и Administrators на компьютере шлюза WindowsAdminCenter.

Проверка подлинности смарт-карты

Вы можете принудительно применить проверку подлинности смарт-карты, указав дополнительную необходимую группу для групп безопасности на основе смарт-карты. После добавления группы безопасности на основе смарт-карты пользователь может получить доступ к службе WindowsAdminCenter, только если он является членом любой группы безопасности и группы смарт-карты, включенной в список пользователей.

На вкладке Администраторы можно указать пользователя, которому нужно предоставить доступ к WindowsAdminCenter в качестве администратора шлюза. Локальная группа администраторов на компьютере всегда будет иметь полный доступ администратора и ее не можно удалить из списка. Добавляя группы безопасности, вы даете членам этих групп разрешения на изменение параметров шлюза WindowsAdminCenter. Список администраторов поддерживает проверку подлинности смарт-карты такую же, как и для списка пользователей: с условием AND и для группы безопасности и для группы смарт-карт.

AzureActiveDirectory

Если ваша организация использует AzureActiveDirectory (Azure AD), вы можете добавить дополнительный уровень безопасности в WindowsAdminCenter, требуя для доступа к шлюзу проверку подлинности Azure AD. Чтобы обеспечить доступ к WindowsAdminCenter, учетной записи Windows пользователя также следует предоставить доступ к серверу шлюза (даже при использовании проверки подлинности Azure AD). При использовании Azure AD управление правами доступа пользователя и администратора WindowsAdminCenter осуществляется на портале Azure, а не из пользовательского интерфейса WindowsAdminCenter.

Доступ к WindowsAdminCenter при включенной проверке подлинности Azure AD

В зависимости от используемого браузера некоторые пользователи, обращающиеся к WindowsAdminCenter с настроенной проверкой подлинности Azure AD, получат дополнительный запрос из браузера, в котором нужно будет указать данные учетной записи Windows для компьютера, на котором установлен WindowsAdminCenter. После ввода этих данных пользователи увидят дополнительный запрос на проверку подлинности AzureActiveDirectory, для которого требуются учетные данные учетной записи Azure, которой предоставлен доступ к приложению Azure AD в Azure.

Примечание

Пользователи, учетная запись Windows которых имеет права администратора на компьютере шлюза, не будут получать запрос на проверку подлинности Azure AD.

Настройка проверки подлинности AzureActiveDirectory для WindowsAdminCenter (Предварительная версия)

В WindowsAdminCenter последовательно выберите Параметры > Доступ и используйте выключатель, чтобы включить параметр "UseAzureActiveDirectorytoadd a layerofsecuritytothegateway" (Использовать AzureActiveDirectory для добавления уровня безопасности в шлюз). Если вы не зарегистрировали шлюз в Azure, вам будет предложено сделать это в данный момент.

По умолчанию все участники клиента Azure AD имеют доступ пользователей к службе шлюза WindowsAdminCenter. Доступ администратора к шлюзу WindowsAdminCenter имеют только локальные администраторы на компьютере шлюза. Обратите внимание, что права локальных администраторов на компьютере шлюза нельзя ограничить. Локальные администраторы могут выполнять любые действия независимо от того, используется ли Azure AD для проверки подлинности или нет.

Если вы хотите предоставить доступ к службе WindowsAdminCenter определенным пользователям Azure AD, группам пользователей шлюза или администраторам шлюза, необходимо выполнить следующие действия.

1. Перейдите в приложение Azure AD WindowsAdminCenter на портале Azure, используя гиперссылку, указанную в Параметрах доступа. Примечание. Эта гиперссылка доступна, только если включена проверка подлинности AzureActiveDirectory.

o Приложение также можно найти на портале Azure, перейдя в AzureActiveDirectory > Корпоративные приложения > Все приложения и выполнив поиск по фразе WindowsAdminCenter (приложение Azure AD будет называться WindowsAdminCenter-). Если поиск не дает результатов, убедитесь, что для Показать задано значение Все приложения, а для Состояние приложения, а — Любой и нажмите кнопку "Применить", а затем повторите поиск. Найдя приложение, перейдите в раздел Пользователи и группы

2. На вкладке "Свойства" задайте для параметра Требуется назначение пользователей значение "Да". После этого доступ к шлюзу WindowsAdminCenter смогут получить только участники, перечисленные на вкладке Пользователи и группы.

3. На вкладке "Пользователи и группы" выберите Добавить пользователя. Для каждого добавляемого пользователя или группы необходимо назначить роль пользователя или администратора шлюза.

После включения проверки подлинности Azure AD служба шлюза перезапустится и вам потребуется обновить браузер. Вы можете в любое время обновить доступ пользователя к приложению SME Azure AD на портале Azure.

При попытке доступа к URL-адресу шлюза WindowsAdminCenter пользователям будет предложено войти, используя удостоверение AzureActiveDirectory. Помните, что пользователи также должны быть членами локальных "Пользователей" на сервере шлюза для доступа к центру администрирования WindowsAdminCenter.

Пользователи и администраторы могут просматривать текущую учетную запись, с которой они совершили вход, а также выйти из этой учетной записи Azure AD с вкладки Учетная запись в параметрах WindowsAdminCenter.