Konfigurera användaråtkomstkontroll och behörigheter

Om du inte redan har gjort det kan du bekanta dig med alternativen för användaråtkomstkontroll i Administrationscenter för Windows.

Rolldefinitioner för gatewayåtkomst

Det finns två roller för åtkomst till Windows Admin Center-gatewaytjänsten:

Gatewayanvändare kan ansluta till Windows Admin Center-gatewaytjänsten för att hantera servrar via den gatewayen, men de kan inte ändra åtkomstbehörigheter eller den autentiseringsmekanism som används för att autentisera till gatewayen.

Gatewayadministratörer kan konfigurera vem som får åtkomst samt hur användare autentiserar till gatewayen. Endast gatewayadministratörer kan visa och konfigurera åtkomstinställningarna i Administrationscenter för Windows. Lokala administratörer på gatewaydatorn är alltid administratörer för Windows Admin Center-gatewaytjänsten.

Det finns också en ytterligare roll som är specifik för hanteringen av CredSSP:

CredSSP-administratörer i Windows Admin Center är registrerade med CredSSP-slutpunkten för Windows Admin Center och har behörighet att utföra fördefinierade CredSSP-åtgärder. Den här gruppen är särskilt användbar för installationer av Windows Admin Center i skrivbordsläge, där endast användarkontot som installerade Windows Admin Center ges dessa behörigheter som standard.

Active Directory- eller lokala datorgrupper

Som standard används Active Directory- eller lokala datorgrupper för att styra gatewayåtkomsten. Om du har en Active Directory-domän kan du hantera gatewayanvändare och administratörsåtkomst inifrån gränssnittet i Windows Administrationscenter.

På fliken Användare kan du styra vem som kan komma åt Windows Administrationscenter som gatewayanvändare. Som standard, och om du inte anger någon säkerhetsgrupp, har alla användare som har åtkomst till gateway-URL:en åtkomst. När du har lagt till en eller flera säkerhetsgrupper i användarlistan begränsas åtkomsten till medlemmarna i dessa grupper.

Om du inte använder en Active Directory-domän i din miljö styrs åtkomsten av de lokala grupperna Användare och administratörer på Windows Admin Center-gatewaydatorn.

Smartkortsautentisering

Du kan framtvinga smartkortsautentisering genom att ange ytterligare en obligatorisk grupp för smartkortsbaserade säkerhetsgrupper. När du har lagt till en smartkortsbaserad säkerhetsgrupp kan en användare bara komma åt Windows Admin Center-tjänsten om de är medlemmar i någon säkerhetsgrupp OCH en smartkortsgrupp som ingår i användarlistan.

På fliken Administratörer kan du styra vem som kan komma åt Windows Admin Center som gatewayadministratör. Den lokala administratörsgruppen på datorn har alltid fullständig administratörsåtkomst och kan inte tas bort från listan. Genom att lägga till säkerhetsgrupper ger du medlemmar i dessa grupper behörighet att ändra gatewayinställningarna för Windows Admin Center. Listan administratörer stöder smartkortsautentisering på samma sätt som användarlistan: med villkoret AND för en säkerhetsgrupp och en smartkortsgrupp.

Microsoft Entra-ID

Om din organisation använder Microsoft Entra-ID kan du välja att lägga till ytterligare ett säkerhetslager i Windows Admin Center genom att kräva Microsoft Entra-autentisering för åtkomst till gatewayen. För att få åtkomst till Windows Admin Center måste användarens Windows-konto också ha åtkomst till gateway-servern (även om Microsoft Entra-autentisering används). När du använder Microsoft Entra-ID hanterar du användar- och administratörsbehörigheter för Windows Admin Center från Azure-portalen i stället för från användargränssnittet för Windows Admin Center.

Åtkomst till Windows Admin Center när Microsoft Entra-autentisering är aktiverat

Beroende på vilken webbläsare som används får vissa användare som har åtkomst till Windows Admin Center med Microsoft Entra-autentisering konfigurerade ytterligare en uppmaning från webbläsaren där de behöver ange sina autentiseringsuppgifter för Windows-kontot för den dator där Windows Admin Center är installerat. När du har angett den informationen får användarna ytterligare Microsoft Entra-autentiseringsprompt, som kräver autentiseringsuppgifterna för ett Azure-konto som har beviljats åtkomst i Microsoft Entra-programmet i Azure.

Konfigurera Microsoft Entra-autentisering för förhandsversionen av Windows Admin Center

Gå till Windows Admin Center-inställningar>Åtkomst och använd växlingsknappen för att aktivera "Använd Microsoft Entra-ID för att lägga till ett säkerhetslager i gatewayen". Om du inte har registrerat gatewayen till Azure får du vägledning att göra det just nu.

Som standard har alla medlemmar i Microsoft Entra-klientorganisationen användaråtkomst till Windows Admin Center-gatewaytjänsten. Endast lokala administratörer på gatewaydatorn har administratörsåtkomst till Windows Admin Center-gatewayen. Observera att de lokala administratörernas rättigheter på gatewaydatorn inte kan begränsas – lokala administratörer kan göra vad som helst oavsett om Microsoft Entra-ID används för autentisering.

Om du vill ge specifika Microsoft Entra-användare eller grupper gatewayanvändare eller gatewayadministratör åtkomst till Windows Admin Center-tjänsten måste du göra följande:

1. Gå till ditt Windows Admin Center Microsoft Entra-program i Azure-portalen med hjälp av hyperlänken i Åtkomstinställningar. Observera att den här hyperlänken endast är tillgänglig när Microsoft Entra-autentisering är aktiverat.
   • Du kan också hitta ditt program i Azure-portalen genom att gå till Microsoft Entra ID>Enterprise-program>Alla program och söka i WindowsAdminCenter (Microsoft Entra-appen får namnet WindowsAdminCenter-gateway< name>). Om du inte får några sökresultat kontrollerar du att Visa är inställt på alla program, programstatusen är inställd på valfri och väljer Tillämpa och provar sedan sökningen. När du har hittat programmet går du till Användare och grupper
2. På fliken Egenskaper anger du Användartilldelning som krävs till Ja. När du har gjort det kan endast medlemmar som anges på fliken Användare och grupper komma åt Windows Admin Center-gatewayen.
3. På fliken Användare och grupper väljer du Lägg till användare. Du måste tilldela en gateway-användar- eller gatewayadministratörsroll för varje användare/grupp som läggs till.

När du aktiverar Microsoft Entra-autentisering startas gatewaytjänsten om och du måste uppdatera webbläsaren. Du kan uppdatera användaråtkomsten för SME Microsoft Entra-programmet i Azure-portalen när som helst.

Användarna uppmanas att logga in med sin Microsoft Entra-identitet när de försöker komma åt gateway-URL:en för Windows Admin Center. Kom ihåg att användarna också måste vara medlemmar i de lokala användarna på gatewayservern för att få åtkomst till Windows Administrationscenter.

Användare och administratörer kan visa sitt inloggade konto och logga ut från det här Microsoft Entra-kontot på fliken Konto i Inställningar för Administrationscenter för Windows.

Konfigurera Microsoft Entra-autentisering för Windows Admin Center

Om du vill konfigurera Microsoft Entra-autentisering måste du först registrera din gateway med Azure (du behöver bara göra det en gång för din Windows Admin Center-gateway). Det här steget skapar ett Microsoft Entra-program som du kan hantera gatewayanvändare och gatewayadministratörsåtkomst från.

Om du vill ge specifika Microsoft Entra-användare eller grupper gatewayanvändare eller gatewayadministratör åtkomst till Windows Admin Center-tjänsten måste du göra följande:

1. Gå till ditt SME Microsoft Entra-program i Azure-portalen.
   • När du väljer Ändra åtkomstkontroll och sedan väljer Microsoft Entra-ID från åtkomstinställningarna för Windows Admin Center kan du använda hyperlänken som anges i användargränssnittet för att få åtkomst till ditt Microsoft Entra-program i Azure-portalen. Den här hyperlänken är också tillgänglig i åtkomstinställningarna när du har valt Spara och har valt Microsoft Entra-ID som identitetsprovider för åtkomstkontroll.
   • Du kan också hitta ditt program i Azure-portalen genom att gå till Microsoft Entra ID>Enterprise-program>Alla program och söka efter SME (Microsoft Entra-appen kommer att heta SME-gateway<>). Om du inte får några sökresultat kontrollerar du att Visa är inställt på alla program, programstatusen är inställd på valfri och väljer Tillämpa och provar sedan sökningen. När du har hittat programmet går du till Användare och grupper
2. På fliken Egenskaper anger du Användartilldelning som krävs till Ja. När du har gjort det kan endast medlemmar som anges på fliken Användare och grupper komma åt Windows Admin Center-gatewayen.
3. På fliken Användare och grupper väljer du Lägg till användare. Du måste tilldela en gateway-användar- eller gatewayadministratörsroll för varje användare/grupp som läggs till.

När du har sparat Microsoft Entra-åtkomstkontrollen i fönstret Ändra åtkomstkontroll startas gatewaytjänsten om och du måste uppdatera webbläsaren. Du kan uppdatera användaråtkomsten för Windows Admin Center Microsoft Entra-programmet i Azure-portalen när som helst.

Användarna uppmanas att logga in med sin Microsoft Entra-identitet när de försöker komma åt gateway-URL:en för Windows Admin Center. Kom ihåg att användarna också måste vara medlemmar i de lokala användarna på gatewayservern för att få åtkomst till Windows Administrationscenter.

På fliken Azure i allmänna inställningar för Windows Admin Center kan användare och administratörer visa sitt inloggade konto och logga ut från det här Microsoft Entra-kontot.

Villkorlig åtkomst och multifaktorautentisering

En av fördelarna med att använda Microsoft Entra-ID som ytterligare ett säkerhetslager för att styra åtkomsten till Windows Admin Center-gatewayen är att du kan använda Microsoft Entra ID:s kraftfulla säkerhetsfunktioner som villkorlig åtkomst och multifaktorautentisering.

Läs mer om att konfigurera villkorlig åtkomst med Microsoft Entra-ID.

Konfigurera enkel inloggning

Enkel inloggning när den distribueras som en tjänst på Windows Server

När du installerar Windows Admin Center på Windows 10 är det redo att använda enkel inloggning. Om du ska använda Windows Admin Center på Windows Server måste du dock konfigurera någon form av Kerberos-delegering i din miljö innan du kan använda enkel inloggning. Delegeringen konfigurerar gatewaydatorn som pålitlig att delegera till målnoden.

Om du vill konfigurera resursbaserad begränsad delegering i din miljö använder du följande PowerShell-exempel. Det här exemplet visar hur du konfigurerar en Windows Server [node01.contoso.com] för att acceptera delegering från din Windows Admin Center-gateway [wac.contoso.com] i domänen contoso.com.

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)

Om du vill ta bort den här relationen kör du följande cmdlet:

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null

Rollbaserad åtkomstkontroll (RBAC)

Med rollbaserad åtkomstkontroll kan du ge användarna begränsad åtkomst till datorn i stället för att göra dem till fullständiga lokala administratörer. Läs mer om rollbaserad åtkomstkontroll och tillgängliga roller.

Konfigurationen av RBAC består av två steg: att aktivera stöd på måldatorerna och tilldela användare till relevanta roller.

Tillämpa rollbaserad åtkomstkontroll på en enda dator

Distributionsmodellen för en enskild dator är perfekt för enkla miljöer med bara ett fåtal datorer att hantera. Om du konfigurerar en dator med stöd för rollbaserad åtkomstkontroll resulterar det i följande ändringar:

• PowerShell-moduler med funktioner som krävs av Windows Admin Center installeras på systemenheten under C:\Program Files\WindowsPowerShell\Modules. Alla moduler börjar med Microsoft.Sme
• Desired State Configuration kör en engångskonfiguration för att konfigurera en slutpunkt för just enough-administration på datorn med namnet Microsoft.Sme.PowerShell. Den här slutpunkten definierar de tre roller som används av Administrationscenter för Windows och körs som tillfällig lokal administratör när en användare ansluter till den.
• Tre nya lokala grupper skapas för att styra vilka användare som tilldelas åtkomst till vilka roller:
  • Administratörer för Windows Admin Center
  • Administratörer för Windows Admin Center Hyper-V
  • Windows Admin Center-läsare

Följ dessa steg för att aktivera stöd för rollbaserad åtkomstkontroll på en enda dator:

1. Öppna Administrationscenter för Windows och anslut till den dator som du vill konfigurera med rollbaserad åtkomstkontroll med hjälp av ett konto med lokal administratörsbehörighet på måldatorn.
2. I översiktsverktyget väljer du Inställningar>Rollbaserad åtkomstkontroll.
3. Välj Använd längst ned på sidan för att aktivera stöd för rollbaserad åtkomstkontroll på måldatorn. Programprocessen omfattar kopiering av PowerShell-skript och anropa en konfiguration (med PowerShell Desired State Configuration) på måldatorn. Det kan ta upp till 10 minuter att slutföra och resulterar i att WinRM startas om. Tillfälligt kopplas användare av Windows Admin Center, PowerShell och WMI bort.
4. Uppdatera sidan för att kontrollera statusen för rollbaserad åtkomstkontroll. När den är klar för användning ändras statusen till Tillämpad.

När konfigurationen har tillämpats kan du tilldela användare till rollerna:

1. Öppna verktyget Lokala användare och grupper och gå till fliken Grupper .
2. Välj gruppen Windows Admin Center-läsare .
3. I fönstret Information längst ned väljer du Lägg till användare och anger namnet på en användare eller säkerhetsgrupp som ska ha skrivskyddad åtkomst till servern via Windows Administrationscenter. Användare och grupper kan komma från den lokala datorn eller din Active Directory-domän.
4. Upprepa steg 2–3 för grupperna Windows Admin Center Hyper-V Administratörer och Windows Admin Center-administratörer .

Du kan också fylla dessa grupper konsekvent i domänen genom att konfigurera ett grupprincipobjekt med principinställningen Begränsade grupper.

Tillämpa rollbaserad åtkomstkontroll på flera datorer

I en stor företagsdistribution kan du använda dina befintliga automatiseringsverktyg för att push-överföra den rollbaserade åtkomstkontrollfunktionen till dina datorer genom att ladda ned konfigurationspaketet från Windows Admin Center-gatewayen. Konfigurationspaketet är utformat för att användas med PowerShell Desired State Configuration, men du kan anpassa det så att det fungerar med din önskade automatiseringslösning.

Ladda ned konfigurationen för rollbaserad åtkomstkontroll

Om du vill ladda ned konfigurationspaketet för rollbaserad åtkomstkontroll måste du ha åtkomst till Windows Admin Center och en PowerShell-prompt.

Om du kör Windows Admin Center-gatewayen i tjänstläge på Windows Server använder du följande kommando för att ladda ned konfigurationspaketet. Se till att uppdatera gatewayadressen med den korrekta för din specifika miljö.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Om du kör Windows Admin Center-gatewayen på din Windows 10-dator kör du följande kommando i stället:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

När du expanderar zip-arkivet visas följande mappstruktur:

• InstallJeaFeatures.ps1
• JustEnoughAdministration (katalog)
• Moduler (katalog)
  • Microsoft.SME.* (kataloger)

För att konfigurera stöd för rollbaserad åtkomstkontroll på en nod måste du utföra följande åtgärder:

1. Kopiera modulerna JustEnoughAdministration och Microsoft.SME.* till PowerShell-modulkatalogen på måldatorn. Detta finns vanligtvis på C:\Program Files\WindowsPowerShell\Modules.
2. Uppdatera InstallJeaFeature.ps1-filen så att den matchar önskad konfiguration för RBAC-slutpunkten.
3. Kör InstallJeaFeature.ps1 för att kompilera DSC-resursen.
4. Distribuera DSC-konfigurationen till alla dina datorer för att tillämpa konfigurationen.

I följande avsnitt beskrivs hur du gör detta med hjälp av PowerShell-fjärrkommunikation.

Distribuera på flera datorer

Om du vill distribuera konfigurationen som du laddade ned till flera datorer måste du uppdatera InstallJeaFeatures.ps1 skriptet så att de innehåller lämpliga säkerhetsgrupper för din miljö, kopiera filerna till var och en av dina datorer och anropa konfigurationsskripten. Du kan använda dina önskade automatiseringsverktyg för att åstadkomma detta, men den här artikeln fokuserar på en ren PowerShell-baserad metod.

Som standard skapar konfigurationsskriptet lokala säkerhetsgrupper på datorn för att styra åtkomsten till var och en av rollerna. Detta är lämpligt för arbetsgrupps- och domänanslutna datorer, men om du distribuerar i en domänbaserad miljö kanske du vill associera en domänsäkerhetsgrupp direkt med varje roll. Om du vill uppdatera konfigurationen för att använda domänsäkerhetsgrupper öppnar duInstallJeaFeatures.ps1 och gör följande ändringar:

1. Ta bort de tre gruppresurserna från filen:
   1. "Grupp ms-läsare-grupp"
   2. "Gruppera MS-Hyper-V-Administrators-Group"
   3. "Gruppera MS-administratörer-grupp"
2. Ta bort 3-gruppresurserna från egenskapen JeaEndpoint DependsOn
   1. "[Group]MS-Readers-Group"
   2. "[Group]MS-Hyper-V-Administrators-Group"
   3. "[Group]MS-Administrators-Group"
3. Ändra gruppnamnen i egenskapen JeaEndpoint RoleDefinitions till önskade säkerhetsgrupper. Om du till exempel har en säkerhetsgrupp CONTOSO\MyTrustedAdmins som ska tilldelas åtkomst till rollen Administratörer för Windows Admin Center ändrar du '$env:COMPUTERNAME\Windows Admin Center Administrators' till 'CONTOSO\MyTrustedAdmins'. De tre strängar som du behöver uppdatera är:
   1. $env:COMPUTERNAME\Windows Admin Center-administratörer
   2. "$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators"
   3. "$env:COMPUTERNAME\Windows Admin Center Readers"

Lägg sedan till följande rader i PowerShell längst ned i skriptet i slutet av filenInstallJeaFeatures.ps1 :

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

Slutligen kan du kopiera mappen som innehåller modulerna, DSC-resursen och konfigurationen till varje målnod och köra InstallJeaFeature.ps1 skriptet. Om du vill göra detta via fjärranslutning från din administratörsarbetsstation kan du köra följande kommandon:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}