Gilt für: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR,WatchGuard EDR Core, WatchGuard EPP
Um die mehrmandantenfähige Verwaltungsoberfläche für Endpoint Security zu öffnen, muss das Inventar Ihres Service-Provider-Kontos eine aktive WatchGuard Endpoint Security-Lizenz besitzen.
In der Endpoint Security-Verwaltungsoberfläche können Subscriber-Konten Sicherheitseinstellungsprofile erstellen und den von ihnen verwalteten Computern und Geräten zuweisen. Sie könnten ebenfalls Einstellungen erhalten, die von einem Service-Provider erstellt und ihnen zugewiesen wurden. Dieses Thema beschreibt die Einstellungsvererbung, wenn ein Service-Provider einem verwalteten Subscriber-Konto Einstellungen zuweist.
Informationen zum Zuweisen von Einstellungen an verwaltete Service-Provider-Konten finden Sie unter Mehrmandantenfähige Verwaltung — Einstellungsvererbung für Service-Provider-Konten.
Service-Provider können in der mehrmandantenfähigen Verwaltungsoberfläche delegierten Konten keine Sicherheitseinstellungen zuweisen.
Einstellungsprofile, die Service-Provider einem verwalteten Subscriber-Konto zugewiesen haben, sind im Subscriber-Konto schreibgeschützt. Zum Einstellungsprofil gehört ein grünes Label Service-Provider (
), damit es von Profilen unterschieden werden kann, die manuell auf Kontoebene erstellt wurden.
Die Eigentümerschaft dieser Einstellungsprofile (das heißt, wer sie bearbeiten und löschen kann) basiert darauf, wer das Einstellungsprofil erstellt hat (Service-Provider oder Subscriber). Beachten Sie den relevanten Abschnitt:
- Vom Service-Provider erstelltes und zugewiesenes Einstellungsprofil
- In WatchGuard Endpoint Security erstelltes und zugewiesenes Einstellungsprofil
- In der mehrmandantenfähigen Verwaltungsoberfläche erstelltes und von dort gesendetes Einstellungsprofil
Übernommene bearbeitbare Einstellungen
Standardmäßig können die verwalteten Konten, denen Sie ein Einstellungsprofil zuweisen, die Konfiguration weder bearbeiten noch löschen. Sie können einige Einstellungsprofile so konfigurieren, dass das verwaltete Konto Hinzufügungen machen kann. Sie können es dem Konto erlauben, bei folgenden Einstellungen Hinzufügungen vorzunehmen:
- Scanausschlüsse
- Autorisierte Software
- Zugelassene IP-Adressen für Kontrolle des Endgerätezugriffs
Wenn Sie Änderungen erlauben, zeigt das Einstellungsprofil ein Label Bearbeitbare Ausschlüsse, Bearbeitbare Einstellungen oder Bearbeitbare Protokolle in der Verwaltungsoberfläche des Empfängerkontos. Das verwaltete Konto kann Hinzufügungen machen, aber kann die von Ihnen definierte Liste nicht löschen oder bearbeiten.
Wenn Sie die Option neu auf nicht bearbeitbar konfigurieren, gelten alle Ergänzungen, die das verwaltete Konto vorgenommen hat, nicht länger. Es gelten dann nur noch die Ausschlüsse Ihres Service-Provider-Kontos. Falls Sie die Option wieder auf bearbeitbar ändern, dann werden die vom verwalteten Konto hinzugefügten Ausschlüsse, autorisierten Softwareprogramme oder zugelassenen IP-Adressen wiederhergestellt und angewendet.
Wenn Service-Provider einem oder mehreren Mandantenkonten Einstellungen zuweisen, dann sind sie die Eigentümer der Einstellungen. Diese Einstellungen werden automatisch der Alle-Gruppe im Endpoint Security-Verwaltungsoberfläche zugewiesen. Wenn Service-Provider diese Einstellungsprofile in der mehrmandantenfähigen Verwaltungsoberfläche löschen, wird das Profil in der Endpoint Security-Verwaltungsoberfläche nicht mehr angezeigt. Die Gruppe erbt dann die Einstellungen von einer übergeordneten Gruppe oder von der Gruppe Alle.
Endpoint Security-Benutzer können die Einstellungen nicht bearbeiten oder die von Ihnen erstellten Profile löschen. Benutzer können nur die Empfänger bearbeiten. Falls ein Benutzer die Empfänger in der Endpoint Security-Verwaltungsoberfläche bearbeitet, wird das Einstellungsprofil zum Miteigentum. Weitere Informationen zur Miteigentümerschaft von Einstellungsprofilen finden Sie unter In der mehrmandantenfähigen Verwaltungsoberfläche erstelltes und von dort gesendetes Einstellungsprofil.
Wurden Untergruppen oder Computern in der Gruppe Alle in der Endpoint Security-Verwaltungsoberfläche manuell Einstellungen zugewiesen, werden diese von den Einstellungen, die der Service-Provider in der mehrmandantenfähigen Verwaltungsoberfläche zuweist, nicht überschrieben.
In der Endpoint Security-Verwaltungsoberfläche erstellte Einstellungen sind Eigentum des Erstellers. Der Service-Provider kann diese Einstellungen nicht anzeigen.
Wenn Service-Provider ein Einstellungsprofil in der mehrmandantenfähigen Verwaltungsoberfläche erstellen und an ein Mandantenkonto senden, wird es in der Endpoint Security-Verwaltungsoberfläche mit einem grünen Label Service-Provider () angezeigt, um es von Profilen zu unterscheiden, die in der Endpoint Security-Verwaltungsoberfläche erstellt wurden. Wenn der Endpoint Security-Benutzer dann die Empfänger des Profils bearbeitet, gehen die Einstellungen in den gemeinsamen Besitz über.
Endpoint Security-Benutzer können die Einstellungen nicht bearbeiten oder das Profil löschen. Die Empfänger, die sie hinzugefügt oder gelöscht haben, ändern sich nicht. Deshalb können Service-Provider ein Einstellungsprofil mit mehreren Eigentümern nicht löschen. Wenn Service-Provider die Einstellungen bearbeiten, werden die Einstellungen erneut gesendet und der Gruppe Alle erneut zugewiesen, ebenso wie allen anderen vom Benutzer in der Endpoint Security-Verwaltungsoberfläche hinzugefügten Empfängern.
Änderungen, die ein Service-Provider an den einem Mandantenkonto zugewiesenen Einstellungen vorgenommen hat, werden automatisch in der Endpoint Security-Verwaltungsoberfläche des Mandantenkontos wiedergegeben. Die Änderungen werden in Echtzeit bzw. innerhalb von 15 Minuten falls die Echtzeit-Kommunikation deaktiviert ist an die Zielgeräte weitergereicht. Weitere Informationen finden Sie unter Echtzeit-Kommunikationen deaktivieren.
Ausnahmen bei Einstellungen
Wenn die Kontogruppe Geräte mit Einstellungen hat, die direkt zugewiesen wurden, dann wird ein gelbes Warnsymbol neben dem Kontonamen in der Liste angezeigt. Sie werden aufgefordert, die direkt zugewiesenen Einstellungen beizubehalten oder die lokalen Einstellungen zu überschreiben und alle Einstellungen von der Kontogruppe zu übernehmen.
Wenn Service-Provider einem Konto oder einer Kontogruppe ein Sicherheitseinstellungsprofil zuweisen, werden die Einstellungen auf die Gruppe Alle angewendet und von allen Untergruppen geerbt. Falls Untergruppen, Computern oder Geräten manuell Einstellungen zugewiesen wurden, ist dies eine Ausnahme und WatchGuard Endpoint Security weist das Einstellungsprofil nicht zu.
Wenn Service-Provider Einstellungen in der mehrmandantenfähigen Verwaltungsoberfläche zuweisen, können sie Ausnahmen auf der Seite Einstellungen anzeigen. Falls in der Liste der Konten in der farbigen Zeile eine schwarze Zahl angezeigt wird, ist dieser Teil der Kontoliste zusammengeklappt und einige Konten weisen Ausnahmen zu dem von ihnen zugewiesenen Einstellungsprofil auf. Klicken Sie doppelt auf die Zahl, um die Konten mit Ausnahmen anzuzeigen.
Um manuell angewendete Einstellungen zu überprüfen, müssen Sie die Endpoint Security-Verwaltungsoberfläche des Kontos öffnen.
Mehrmandantenfähige Verwaltung von Einstellungsprofilen
Mehrmandantenfähige Verwaltung — Zuweisen von Endpoint Security-Einstellungen an verwaltete Konten