Wraz z ostatnią aktualizacją 7.4 Admin By Request, dodana została nowa funkcja – Właściciel urządzenia. Dodatek ten przypisuje rolę właściciela danemu użytkownikowi do urządzenia. W praktyce oznacza to możliwość ustawienia konkretnego właściciela dla urządzenia oraz zarezerwowanie punktu końcowego wyłącznie dla niego. Jest to przełomowe usprawnienie, szczególnie dla większych organizacji, gdzie do sieci należy kilkaset a nawet tysiące komputerów. Dostęp do pojedynczego urządzenia może mieć wówczas nawet kilka osób. Dlatego tak ważne jest ograniczenie uprawnień uprzywilejowanych wyłącznie dla użytkownika głównego – „właściciela” danego komputera.
Spis treści
Jak działa funkcja „Właściciel urządzenia”?
Jak sama nazwa wskazuje, dzięki tej funkcji istnieje możliwość zdefiniowania pojedynczego pracownika jako właściciela danego urządzenia i tym samym rezerwacja możliwości poproszenia o uprawnienia administratora wyłącznie dla niego. Otwiera to szerokie możliwości w kwestii elastycznego i bezpiecznego zarządzania dostępem uprzywilejowanym. Wielu użytkowników firmowej sieci, szeregiem urządzeń, powoduje liczne obawy związane z bezpieczeństwem oraz zachowaniem poprawnych praktyk pracy w cyberprzestrzeni.
Przypisanie właściciela urządzenia
Wybranie właściciela urządzenia, za pierwszym razem, odbywa się poprzez logowanie na urządzenie. Po zainstalowaniu Admin By Request na punkcie końcowym, właścicielem urządzenia automatycznie stanie się pierwszy zalogowany użytkownik niebędący administratorem. Wybór ten zostanie jednak zatwierdzony dopiero po upływie 24 godzin. Przyczyną tego jest obecność tzw. „okresu otwartego”, który ma zapewnić uniknięcie ustawienia nieprawidłowego użytkownika jako właściciela (na przykład administratora IT pomagającego w konfiguracji po instalacji). Po upływie 24 godzin, rola właściciela urządzenia zostanie przypisana docelowemu pracownikowi, któremu sprzęt zostanie już ostatecznie przekazany. Zmiany właściciela wówczas można dokonać poprzez panel konfiguracyjny Admin By Request. O tym szerzej przeczytasz w kolejnym rozdziale artykułu.
Gdzie znaleźć informację o właścicielu urządzenia?
Gdy rola właściciela urządzenia zostanie już przypisana do konkretnego użytkownika, możesz odnaleźć informację o nim w panelu Admin By Request. Wystarczy, że zajrzysz do zakładki Inventory, oraz wybierzesz kartę Owner (Właściciel). W tym miejscu widnieją dane pracownika oraz nazwa konta.
Jeśli pojawi się tam więcej użytkowników, zwróć uwagę na informację przy wyrażeniu „Device Owner”. To tam znajduje się komunikat dotyczący właściciela urządzenia. Pamiętaj, że jeśli właścicielem urządzenia nie jest ten sam użytkownik, który jest aktualnie zalogowany na komputerze, w karcie Owner będzie wyświetlony zarówno właściciel, jak i osoba zalogowana.
Po bardziej szczegółowe informacje na temat użytkowników zalogowanych, a także właściciela danego urządzenia, możesz zajrzeć na stronę Reports -> User Reports -> Device Owners.
W tym miejscu wylistowanie są wszyscy właściciele urządzeń. Wybranie zakładki Non-Matching Users wyświetli natomiast wszystkich użytkowników, którzy zalogowali się na urządzeniu, ale nie są jego właścicielami.
Jak zmienić właściciela urządzenia?
Ze względu na rotację pracowników lub inne czynniki, czasami konieczna jest zmiana właściciela urządzenia. Możesz to zrobić poprzez panel konfiguracyjny Admin By Request. Przejdź do zakładki Inventory, a następnie Device -> Owner. W tym miejscu możesz zastąpić dotychczasowego właściciela urządzenia, użytkownikiem, który jest aktualnie zalogowany na komputerze.
Inną metodą jest całkowite wyczyszczenie konfiguracji opcji „Właściciel urządzenia” poprzez kliknięcie przycisku Release Ownership w sekcji Unlock Owner. Wybranie tej opcji spowoduje zresetowanie ustawień, dzięki czemu następny użytkownik niebędący administratorem, który zaloguje się do urządzenia, otrzyma status właściciela. Nie dotyczy to jednak użytkownika, do którego przypisana była uprzednio rola właściciela.
Blokada punktu końcowego dla właściciela urządzenia
Istotą funkcji “Właściciel urządzenia” jest zapewnienie, że o dostęp administratora na danym urządzeniu może poprosić wyłącznie osoba przypisana do niego.
W jaki sposób działa blokada?
Scenariuszy oraz przykładów użycia może być wiele. Wszystko zależy od potrzeb organizacji. Funkcja Właściciel urządzenia jest na tyle elastyczna, aby móc jak najlepiej dostosować konfiguracje i ustawienia.
Ustawienia ogólne – pierwsza metoda polega na nadaniu dostępu do pojedynczego urządzenia, dla danego właściciela urządzenia za pomocą ustawień globalnych (ustawienie to będzie dotyczyć wszystkich użytkowników w Twojej sieci).
Ustawienia podrzędne – uzupełniają one ustawienia globalne, pozwalając na zdefiniowanie „wyjątków od reguły”. Umożliwiają zastosowanie blokady dla określonych użytkowników i grup na podstawie tego, kto potrzebuje dostępu. Dzięki temu można uniknąć konfiguracji ustawień dla wszystkich użytkowników (tak jak w przypadku ustawień globalnych). W tym wypadku istnieje kilka możliwości użycia:
- Zablokowanie urządzeń zespołu zarządzającego, aby tylko oni mieli do nich dostęp. Inne urządzenia nie muszą być ograniczone, a dostęp do nich może mieć każdy użytkownik, niezależnie od tego, czy jest ich właścicielem.
- Chcesz, aby użytkownicy mieli dostęp wyłącznie do swoich urządzeń, z wyjątkiem zespołu wsparcia IT, który potrzebuje dostępu do wszystkich komputerów, w celu ewentualnego wsparcia technicznego.
Elastyczność oraz bezpieczeństwo
Możliwość uzyskania przez wielu użytkowników dostępu uprzywilejowanego do różnych urządzeń w Twojej firmie, stanowi poważne zagrożenia dla bezpieczeństwa IT. „Właściciel urządzenia” to nowa, elastyczna funkcja, która pomaga ograniczyć to ryzyko, uwzględniając jednocześnie specyfikę każdej organizacji.
Jeśli chcesz przetestować Admin By Request, możesz to zrobić za darmo! Dzięki temu zabezpieczysz do 10 serwerów oraz 25 urządzeń z systemem Windows i macOS. Wypełnij formularz, a otrzymasz dalsze instrukcje oraz dostęp do darmowego konta.
Jeśli chcesz znaleźć więcej informacji na temat programu i jego możliwości, zajrzyj na stronę Admin By Request.