Configurare le autorizzazioni e il controllo di accesso utente

Se non è già stato fatto, acquisire familiarità con le opzioni di controllo di accesso utente in Windows Admin Center.

Definizioni dei ruoli di accesso al gateway

Per l'accesso al servizio gateway di Windows Admin Center sono disponibili due ruoli:

Gli utenti del gateway possono connettersi al servizio gateway di Windows Admin Center per gestire i server tramite tale gateway, ma non possono modificare le autorizzazioni di accesso né il meccanismo di autenticazione usato per l'autenticazione al gateway.

Gli amministratori del gateway possono configurare chi ottiene l'accesso e come gli utenti eseguono l'autenticazione al gateway. Solo gli amministratori del gateway possono visualizzare e configurare le impostazioni di accesso in Windows Admin Center. Gli amministratori locali del computer gateway sono sempre amministratori del servizio gateway di Windows Admin Center.

Esiste anche un ruolo aggiuntivo specifico per la gestione di CredSSP:

Gli amministratori credSSP di Windows Admin Center vengono registrati con l'endpoint CredSSP di Windows Admin Center e dispongono delle autorizzazioni per eseguire operazioni CredSSP predefinite. Questo gruppo è particolarmente utile per le installazioni di Windows Admin Center in modalità desktop, in cui solo l'account utente che ha installato Windows Admin Center ha queste autorizzazioni per impostazione predefinita.

Active Directory o gruppi di computer locali

Per impostazione predefinita, per controllare l'accesso al gateway vengono usati i gruppi di computer locali o Active Directory. Se disponi di un dominio di Active Directory, puoi gestire l'accesso di utenti e amministratori del gateway dall'interfaccia di Windows Admin Center.

Nella scheda Utenti è possibile controllare chi può accedere a Windows Admin Center come utente del gateway. Per impostazione predefinita, e se non specifichi un gruppo di sicurezza, possono eseguire l'accesso tutti gli utenti autorizzati ad accedere all'URL del gateway. Dopo che hai aggiunto uno o più gruppi di sicurezza all'elenco degli utenti, l'accesso sarà limitato ai membri di tali gruppi.

Se non si usa un dominio di Active Directory nell'ambiente, l'accesso è controllato dai gruppi locali Utenti e Amministratori nel computer gateway di Windows Admin Center.

Autenticazione tramite smart card

È possibile applicare l'autenticazione tramite smart card specificando un gruppo aggiuntivo necessario per i gruppi di sicurezza basati su smart card. Dopo che hai aggiunto un gruppo di sicurezza basato su smart card, un utente potrà accedere al servizio di Windows Admin Center solo se è membro di un gruppo di sicurezza E di un gruppo basato su smart card incluso nell'elenco degli utenti.

Nella scheda Amministratori è possibile controllare chi può accedere a Windows Admin Center come amministratore del gateway. Il gruppo Administrators locale nel computer disporrà sempre dell'accesso amministratore completo e non potrà essere rimosso dall'elenco. Aggiungendo gruppi di sicurezza, assegni ai membri di tali gruppi i privilegi necessari per modificare le impostazioni del gateway di Windows Admin Center. L'elenco degli amministratori supporta l'autenticazione tramite smart card in modo analogo all'elenco degli utenti, ovvero con la condizione AND per un gruppo di sicurezza e un gruppo basato su smart card.

Microsoft Entra ID

Se l'organizzazione usa Microsoft Entra ID, è possibile scegliere di aggiungere un ulteriore livello di sicurezza a Windows Admin Center richiedendo l'autenticazione di Microsoft Entra per accedere al gateway. Per accedere a Windows Admin Center, l'account windows dell'utente deve avere accesso anche al server gateway (anche se viene usata l'autenticazione di Microsoft Entra). Quando viene usato Microsoft Entra ID, le autorizzazioni di accesso di utenti e amministratori di Windows Admin Center vengono gestite dal portale di Azure anziché dall'interfaccia utente di Windows Admin Center.

Accesso a Windows Admin Center con l'autenticazione di Microsoft Entra abilitato

A seconda del browser usato, alcuni utenti che accedono a Windows Admin Center con l'autenticazione di Microsoft Entra configurata riceveranno un prompt aggiuntivo dal browser in cui devono fornire le credenziali dell'account Di Windows per il computer in cui è installato Windows Admin Center. Dopo aver immesso queste informazioni, gli utenti riceveranno una richiesta di autenticazione aggiuntiva di Microsoft Entra, per cui dovranno specificare le credenziali di un account Azure autorizzato ad accedere all'applicazione di Microsoft Entra in Azure.

Configurazione dell'autenticazione di Microsoft Entra per Windows Admin Center Preview

Passare a Impostazioni> di Windows Admin CenterAccesso e usare l'interruttore per attivare "Usa Microsoft Entra ID per aggiungere un livello di sicurezza al gateway". Se non hai registrato il gateway in Azure, ti verrà indicato come eseguire l'operazione in questo momento.

Per impostazione predefinita, tutti i membri del tenant di Microsoft Entra dispongono dell'accesso utente al servizio gateway di Windows Admin Center. Solo gli amministratori locali del computer gateway dispongono dell'accesso amministratore a tale servizio. Si noti che i diritti degli amministratori locali nel computer gateway non possono essere limitati. Gli amministratori locali possono eseguire qualsiasi operazione indipendentemente dall'uso di Microsoft Entra ID per l'autenticazione.

Se si desidera assegnare a utenti o gruppi specifici di Microsoft Entra l'accesso come utente o amministratore del servizio gateway di Windows Admin Center, eseguire le operazioni seguenti:

1. Andare all'applicazione Windows Admin Center Microsoft Entra nel portale di Azure usando il collegamento ipertestuale visualizzato in Impostazioni di accesso. Si noti che questo collegamento è disponibile solo quando è abilitata l'autenticazione di Microsoft Entra.
   • È anche possibile trovare l'applicazione nel portale di Azure andando a Microsoft Entra ID>Applicazioni aziendali>Tutte le applicazioni ed eseguendo una ricerca di WindowsAdminCenter (l'app Microsoft Entra sarà denominata WindowsAdminCenter-<nome> gateway). Se non si ottengono risultati di ricerca, assicurarsi che Show sia impostato su tutte le applicazioni, lo stato dell'applicazione è impostato su qualsiasi e selezionare Applica, quindi provare la ricerca. Dopo aver trovato l'applicazione, passare a Utenti e gruppi
2. Nella scheda Proprietà impostare Assegnazione utente obbligatoria su Sì. Al termine, solo i membri elencati nella scheda Utenti e gruppi potranno accedere al gateway di Windows Admin Center.
3. Nella scheda Utenti e gruppi selezionare Aggiungi utente. Devi assegnare un ruolo di utente o amministratore del gateway per ogni utente o gruppo aggiunto.

Una volta abilitata l'autenticazione di Microsoft Entra, il servizio gateway viene riavviato ed è necessario aggiornare il browser. Puoi aggiornare l'accesso utente per l'applicazione SME di Microsoft Entra nel portale di Azure in qualsiasi momento.

Durante il tentativo di accesso all'URL del gateway di Windows Admin Center, gli utenti dovranno eseguire l'accesso con la propria identità di Microsoft Entra. Tieni presente che, per accedere a Windows Admin Center, gli utenti devono essere anche membri del gruppo Utenti locale nel server gateway.

Gli utenti e gli amministratori possono visualizzare l'account attualmente connesso e disconnettersi dall'account Microsoft Entra dalla scheda Account delle impostazioni di Windows Admin Center.

Configurazione dell'autenticazione di Microsoft Entra per Windows Admin Center

Per configurare l'autenticazione di Microsoft Entra, è prima necessario registrare il gateway con Azure (è necessario eseguire questa operazione una sola volta per il gateway di Windows Admin Center). Questo passaggio consente di creare un'applicazione di Microsoft Entra da cui è possibile gestire l'accesso per gli utenti e gli amministratori del gateway.

Se si desidera assegnare a utenti o gruppi specifici di Microsoft Entra l'accesso come utente o amministratore del servizio gateway di Windows Admin Center, eseguire le operazioni seguenti:

1. Andare all'applicazione SME di Microsoft Entra nel portale di Azure.
   • Quando si seleziona Cambia controllo di accesso e quindi si seleziona Microsoft Entra ID dalle impostazioni di accesso di Windows Admin Center, è possibile usare il collegamento ipertestuale fornito nell'interfaccia utente per accedere all'applicazione Microsoft Entra nel portale di Azure. Questo collegamento ipertestuale è disponibile anche nelle impostazioni di accesso dopo aver selezionato Salva e Microsoft Entra ID come provider di identità del controllo di accesso.
   • È anche possibile trovare l'applicazione nel portale di Azure passando a Applicazioni Microsoft Entra ID>Enterprise>Tutte le applicazioni e cercando SME (l'app Microsoft Entra sarà denominata SME-gateway<>). Se non si ottengono risultati di ricerca, assicurarsi che Show sia impostato su tutte le applicazioni, lo stato dell'applicazione è impostato su qualsiasi e selezionare Applica, quindi provare la ricerca. Dopo aver trovato l'applicazione, passare a Utenti e gruppi
2. Nella scheda Proprietà impostare Assegnazione utente obbligatoria su Sì. Al termine, solo i membri elencati nella scheda Utenti e gruppi potranno accedere al gateway di Windows Admin Center.
3. Nella scheda Utenti e gruppi selezionare Aggiungi utente. Devi assegnare un ruolo di utente o amministratore del gateway per ogni utente o gruppo aggiunto.

Dopo aver salvato il controllo di accesso di Microsoft Entra nel riquadro Modifica controllo di accesso , il servizio gateway viene riavviato ed è necessario aggiornare il browser. È possibile aggiornare l'accesso utente per l'applicazione Windows Admin Center Microsoft Entra nel portale di Azure in qualsiasi momento.

Durante il tentativo di accesso all'URL del gateway di Windows Admin Center, gli utenti dovranno eseguire l'accesso con la propria identità di Microsoft Entra. Tieni presente che, per accedere a Windows Admin Center, gli utenti devono essere anche membri del gruppo Utenti locale nel server gateway.

Usando la scheda Azure delle impostazioni generali di Windows Admin Center, gli utenti e gli amministratori possono visualizzare l'account attualmente connesso e disconnettersi dall'account Microsoft Entra.

Accesso condizionale e autenticazione a più fattori

Uno dei vantaggi offerti dall'uso di Microsoft Entra ID come livello di sicurezza aggiuntivo per controllare l'accesso al gateway di Windows Admin Center consiste nella possibilità di sfruttare le potenti funzionalità di sicurezza di Microsoft Entra ID, ad esempio l'accesso condizionale e l'autenticazione a più fattori.

Altre informazioni sulla configurazione dell'accesso condizionale con Microsoft Entra ID.

Configurare Single Sign-On

Single Sign-On quando viene distribuito come servizio in Windows Server

Quando installi Windows Admin Center in Windows 10, l'applicazione è pronta per l'uso dell'accesso Single Sign-On. Se tuttavia intendi usare Windows Admin Center in Windows Server, devi configurare una qualche forma di delega Kerberos nel tuo ambiente prima di poter usare l'accesso Single Sign-On. La delega configura il computer gateway come attendibile per la delega al nodo di destinazione.

Per configurare la delega vincolata basata su risorse nell'ambiente in uso, usare l'esempio di PowerShell seguente. Questo esempio mostra come configurare un'istanza di Windows Server [node01.contoso.com] in modo da accettare la delega dal gateway Windows Admin Center [wac.contoso.com] nel dominio contoso.com.

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)

Per rimuovere questa relazione, esegui il cmdlet seguente:

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null

Controllo degli accessi in base al ruolo

Il controllo degli accessi in base al ruolo consente di fornire agli utenti l'accesso limitato al computer invece di concedere loro i privilegi completi di amministratore locale. Altre informazioni sul controllo degli accessi in base al ruolo e sui ruoli disponibili.

La configurazione del controllo degli accessi in base al ruolo consiste in due passaggi: abilitazione del supporto in uno o più computer di destinazione e assegnazione di utenti ai ruoli pertinenti.

Applicare il controllo degli accessi in base al ruolo a un singolo computer

Il modello di distribuzione su singolo computer è ideale per gli ambienti semplici con solo pochi computer da gestire. La configurazione di un computer con il supporto per il controllo degli accessi in base al ruolo ha come risultato le modifiche seguenti:

• Nell'unità di sistema, in C:\Program Files\WindowsPowerShell\Modules, verranno installati i moduli di PowerShell con le funzioni richieste da Windows Admin Center. Tutti i moduli inizieranno con Microsoft.Sme
• Desired State Configuration eseguirà una configurazione una tantum per configurare un endpoint di amministrazione Just Enough nel computer, denominato Microsoft.Sme.PowerShell. Questo endpoint definisce i tre ruoli usati da Windows Admin Center e verrà eseguito come amministratore locale temporaneo al momento della connessione da parte di un utente.
• Verranno creati tre nuovi gruppi locali per controllare gli utenti a cui viene assegnato l'accesso a determinati ruoli:
  • Amministratori di Windows Admin Center
  • Amministratori del Windows Admin Center Hyper-V
  • Lettori di Windows Admin Center

Per abilitare il supporto per il controllo degli accessi in base al ruolo in un singolo computer, segui questa procedura:

1. Apri Windows Admin Center ed esegui la connessione al computer che vuoi configurare con il controllo degli accessi in base al ruolo usando un account con privilegi di amministratore locale sul computer di destinazione.
2. Nello strumento Panoramica selezionare Impostazioni>Controllo degli accessi in base al ruolo.
3. Selezionare Applica nella parte inferiore della pagina per abilitare il supporto per il controllo degli accessi in base al ruolo nel computer di destinazione. Con il processo di applicazione vengono copiati gli script di PowerShell e viene richiamata una configurazione (tramite Desired State Configuration di PowerShell) nel computer di destinazione. Il completamento del processo può richiedere al massimo 10 minuti e ha come risultato il riavvio di WinRM. Per effetto di questa operazione, gli utenti di Windows Admin Center, PowerShell e WMI verranno temporaneamente disconnessi.
4. Aggiorna la pagina per verificare lo stato del controllo degli accessi in base al ruolo. Quando è pronto per l'uso, lo stato cambierà in Applicato.

Una volta applicata la configurazione, puoi assegnare gli utenti ai ruoli:

1. Aprire lo strumento Utenti e gruppi locali e passare alla scheda Gruppi .
2. Selezionare il gruppo Lettori di Windows Admin Center .
3. Nel riquadro Dettagli nella parte inferiore selezionare Aggiungi utente e immettere il nome di un utente o di un gruppo di sicurezza che deve avere accesso in sola lettura al server tramite Windows Admin Center. Gli utenti e i gruppi possono provenire dal computer locale o dal dominio di Active Directory.
4. Ripetere i passaggi da 2 a 3 per i gruppi Amministratori di Windows Admin Center Hyper-V e Amministratori di Windows Admin Center.

È anche possibile riempire questi gruppi in modo coerente nel dominio configurando un oggetto Criteri di gruppo con l'impostazione dei criteri gruppi con restrizioni.

Applicare il controllo degli accessi in base al ruolo a più computer

In una distribuzione in un'azienda di grandi dimensioni, puoi usare gli strumenti di automazione esistenti per eseguire il push della funzionalità di controllo degli accessi in base al ruolo nei computer scaricando il pacchetto di configurazione dal gateway di Windows Admin Center. Il pacchetto di configurazione è stato progettato per Desired State Configuration di PowerShell, ma puoi adattarlo per l'uso con la soluzione di automazione preferita.

Scaricare la configurazione del controllo degli accessi in base al ruolo

Per scaricare il pacchetto di configurazione del controllo degli accessi in base al ruolo, devi avere accesso a Windows Admin Center e a un prompt di PowerShell.

Se esegui il gateway di Windows Admin Center in modalità servizio in Windows Server, usa il comando seguente per scaricare il pacchetto di configurazione. Verifica di aggiornare l'indirizzo del gateway con quello corretto per il tuo ambiente.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Se esegui il gateway di Windows Admin Center nel computer Windows 10, esegui invece il comando seguente:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Quando espandi l'archivio con estensione zip, viene visualizzata la struttura di cartelle seguente:

• InstallJeaFeatures.ps1
• JustEnoughAdministration (directory)
• Moduli (directory)
  • Microsoft.SME.* (directory)

Per configurare il supporto per il controllo degli accessi in base al ruolo su un nodo, devi eseguire queste operazioni:

1. Copiare i moduli JustEnoughAdministration e Microsoft.SME.* nella directory del modulo di PowerShell nel computer di destinazione. La directory si trova in genere nel percorso C:\Program Files\WindowsPowerShell\Modules.
2. Aggiornare InstallJeaFeature.ps1 file per farlo corrispondere alla configurazione desiderata per l'endpoint RBAC.
3. Eseguire InstallJeaFeature.ps1 per compilare la risorsa DSC.
4. Distribuisci la configurazione di DSC in tutti i computer per applicare la configurazione.

La sezione seguente illustra come eseguire questa operazione usando la comunicazione remota di PowerShell.

Distribuire la configurazione in più computer

Per distribuire la configurazione scaricata in più computer, è necessario aggiornare lo script diInstallJeaFeatures.ps1 per includere i gruppi di sicurezza appropriati per l'ambiente, copiare i file in ognuno dei computer e richiamare gli script di configurazione. Per ottenere questo risultato, puoi usare gli strumenti di automazione che preferisci, ma questo articolo illustrerà in particolare un approccio basato esclusivamente su PowerShell.

Per impostazione predefinita, lo script di configurazione creerà gruppi di sicurezza locali nel computer per controllare l'accesso a ogni ruolo. Questo approccio è adatto ai computer aggiunti a gruppi di lavoro e a domini, ma se esegui la distribuzione in un ambiente di solo dominio, può essere opportuno associare direttamente un gruppo di sicurezza di dominio a ogni ruolo. Per aggiornare la configurazione per usare i gruppi di sicurezza di dominio, aprire InstallJeaFeatures.ps1 e apportare le modifiche seguenti:

1. Rimuovere le 3 risorse di gruppo dal file:
   1. Gruppo MS-Lettori-Gruppo
   2. Gruppo MS-Hyper-V-Administrators-Group
   3. Gruppo MS-Amministratori-Gruppo
2. Rimuovere le 3 risorse di gruppo dalla proprietà JeaEndpoint DependsOn
   1. "[Gruppo]MS-Gruppo-Lettori"
   2. "[Gruppo]MS-Hyper-V-Amministratori-Gruppo"
   3. "[Gruppo]MS-Amministratori-Gruppo"
3. Modificare i nomi dei gruppi nella proprietà JeaEndpoint RoleDefinitions con i gruppi di sicurezza desiderati. Ad esempio, se si dispone di un gruppo di sicurezza CONTOSO\MyTrustedAdmins a cui deve essere assegnato l'accesso al ruolo Amministratori di Windows Admin Center, passare '$env:COMPUTERNAME\Windows Admin Center Administrators' a 'CONTOSO\MyTrustedAdmins'. Le tre stringhe da aggiornare sono le seguenti:
   1. '$env:COMPUTERNAME\Amministratori di Windows Admin Center'
   2. '$env:COMPUTERNAME\Windows Admin Center Hyper-V Amministratori'
   3. $env:COMPUTERNAME\Lettori di Windows Admin Center

Successivamente, alla fine del file InstallJeaFeatures.ps1 aggiungere le righe di PowerShell seguenti alla fine dello script:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

Infine, è possibile copiare la cartella contenente i moduli, la risorsa DSC e la configurazione in ogni nodo di destinazione ed eseguire lo script InstallJeaFeature.ps1 . Per effettuare questa operazione in modalità remota dalla workstation di amministrazione, puoi eseguire questi comandi:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}