Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Quando implantado no Windows Server, o Windows Admin Center fornece um ponto centralizado de gerenciamento para seu ambiente de servidor. Ao controlar o acesso ao Windows Admin Center, você pode melhorar a segurança do seu cenário de gerenciamento.
Note
O Windows Admin Center como um aplicativo depende do sistema operacional e da infraestrutura para segurança. O Windows Admin Center não implementa, monitora ou impõe um limite de segurança.
Funções de acesso ao gateway
O Windows Admin Center define duas funções para acesso ao serviço de gateway: usuários de gateway e administradores de gateway.
Note
O acesso ao gateway não implica acesso aos servidores de destino visíveis para o gateway. Para gerenciar um servidor de destino, um usuário deve se conectar com credenciais que tenham privilégios administrativos no servidor de destino.
usuários do Gateway podem se conectar ao serviço de gateway do Windows Admin Center para gerenciar servidores por meio desse gateway, mas não podem alterar as permissões de acesso nem o mecanismo de autenticação usado para autenticar o gateway.
Administradores de gateway podem configurar quem obtém acesso, bem como como os usuários se autenticarão no gateway.
Note
Se não houver grupos de acesso definidos no Windows Admin Center, as funções refletirão o acesso da conta do Windows ao servidor gateway.
Configure o acesso de usuário e administrador do gateway no Windows Admin Center.
Opções do provedor de identidade
Os administradores de gateway podem escolher uma das seguintes opções:
- Active Directory/grupos de máquinas locais
- Microsoft Entra ID como o provedor de identidade para o Windows Admin Center
Autenticação de cartão inteligente
Ao usar o Ative Directory ou grupos de máquinas locais como o provedor de identidade, você pode impor a autenticação de cartão inteligente exigindo que os usuários que acessam o Windows Admin Center sejam membros de grupos de segurança adicionais baseados em cartão inteligente. Configurar a autenticação de cartão inteligente no Windows Admin Center.
Acesso condicional e autenticação multifator
Ao exigir a autenticação do Microsoft Entra para o gateway, você pode aproveitar recursos de segurança adicionais, como acesso condicional e autenticação multifator fornecidos pelo Microsoft Entra ID. Saiba mais sobre como configurar o acesso condicional com o Microsoft Entra ID.
Controlo de acesso baseado em funções
Por padrão, os usuários precisam de privilégios completos de administrador local nas máquinas que desejam gerenciar usando o Windows Admin Center. Isso permite que eles se conectem à máquina remotamente e garante que eles tenham permissões suficientes para visualizar e modificar as configurações do sistema. No entanto, alguns usuários podem não precisar de acesso irrestrito à máquina para executar seus trabalhos. Você pode usar o controle de acesso baseado em função no Windows Admin Center para fornecer a esses usuários acesso limitado à máquina, em vez de torná-los administradores locais com todos os privilégios.
O controle de acesso baseado em função no Windows Admin Center funciona configurando cada servidor gerenciado com um ponto de extremidade do PowerShell Administração Apenas Suficiente. Esse ponto de extremidade define as funções, incluindo quais aspetos do sistema cada função tem permissão para gerenciar e quais usuários são atribuídos à função. Quando um usuário se conecta ao ponto de extremidade restrito, uma conta de administrador local temporária é criada para gerenciar o sistema em seu nome. Isso garante que mesmo as ferramentas que não têm seu próprio modelo de delegação ainda possam ser gerenciadas com o Windows Admin Center. A conta temporária é removida automaticamente quando o usuário para de gerenciar a máquina por meio do Windows Admin Center.
Quando um usuário se conecta a uma máquina configurada com controle de acesso baseado em função, o Windows Admin Center verificará primeiro se ele é um administrador local. Se estiverem, eles receberão a experiência completa do Windows Admin Center sem restrições. Caso contrário, o Windows Admin Center verificará se o usuário pertence a alguma das funções predefinidas. Diz-se que um usuário tem acesso limitado se pertencer a uma função do Windows Admin Center, mas não for um administrador completo. Finalmente, se o usuário não for administrador nem membro de uma função, será negado o acesso para gerenciar a máquina.
O controlo de acesso baseado em funções está disponível para as soluções Gestor de Servidores e Cluster de Falha.
Funções disponíveis
O Windows Admin Center suporta as seguintes funções de utilizador final:
| Nome da função | Utilização prevista |
|---|---|
| Administrators | Permite que os usuários usem a maioria dos recursos do Windows Admin Center sem conceder acesso à Área de Trabalho Remota ou ao PowerShell. Essa função é boa para cenários de "servidor de salto" em que você deseja limitar os pontos de entrada de gerenciamento em uma máquina. |
| Readers | Permite que os usuários visualizem informações e configurações no servidor, mas não façam alterações. |
| Administradores de Hyper-V | Permite que os utilizadores façam alterações em máquinas virtuais e comutadores Hyper-V, mas limita outros recursos ao acesso somente leitura. |
As seguintes extensões internas têm funcionalidade reduzida quando um usuário se conecta com acesso limitado:
- Arquivos (sem upload ou download de arquivos)
- PowerShell (indisponível)
- Área de Trabalho Remota (indisponível)
- Réplica de armazenamento (indisponível)
No momento, você não pode criar funções personalizadas para sua organização, mas pode escolher quais usuários terão acesso a cada função.
Preparando-se para o controle de acesso baseado em função
Para aproveitar as contas locais temporárias, cada máquina de destino precisa ser configurada para oferecer suporte ao controle de acesso baseado em função no Windows Admin Center. O processo de configuração envolve a instalação de scripts do PowerShell e de um ponto de extremidade de Administração Apenas Suficiente na máquina, utilizando a Configuração do Estado Desejado.
Se você tiver apenas alguns computadores, poderá facilmente aplicar a configuração individualmente a cada computador usando a página de controle de acesso baseado em função no Windows Admin Center. Quando você configura o controle de acesso baseado em função em um computador individual, grupos de segurança locais são criados para controlar o acesso a cada função. Você pode conceder acesso a usuários ou outros grupos de segurança adicionando-os como membros dos grupos de segurança de função.
Para uma implantação em toda a empresa em várias máquinas, você pode baixar o script de configuração do gateway e distribuí-lo para seus computadores usando um servidor pull de Configuração de Estado Desejado, Automação do Azure ou suas ferramentas de gerenciamento preferidas.