cloud@softline.com 8 800 232-00-23 8 495 232-00-23 Обратный звонок
Сервисы Решения База знаний Сообщество Сообщество
  1. Главная
  2. База знаний
  3. Управление административным доступом панели управления
Оглавление

Управление административным доступом панели управления

В рамках публичного решения Виртуальный офис Multitenat администратор-владелец организации и прикрепленных к ней подписок может только один, это корневая сущность и она не может быть заменена на другого пользователя, но может быть отредактирована через запрос в Техническую поддержку, согласно политике безопасности сервиса.

Администратору-владельцу доступно создание контактов-пользователей, которым можно предоставить административный доступ к панели управления.

Для управления параметрами администратора-владельца, а так же для настройки дополнительных администраторов перейдите в раздел Contact Information, в который можно попасть как через основное меню, так и через Дашборд.

В открывшемся окне в разделе Primary Contact Вы можете увидеть отображение информации о текущем администраторе-владельце организации\подписки на сервисе, созданном на основе данных полученных при подключении сервиса.

Для создания дополнительного контакта, перейдите в раздел Contacts и нажмите Add Contact

В появившемся окне Вам потребуется выполнить процедуру оформления, заполнив обязательные поля с символом *, а также включить дополнительные функции.

1 Заполните контактную информацию нового контакта, поля с символом * обязательны к заполнению.

2 Заполните поле Email Address, в формате SMTP записи, в будущем так же будет использоваться в качестве логина для авторизации в панели управления, если у Вас присутствует необходимость использовать несуществующий адрес электронной почты, к примеру по политике безопасности, то это так же возможно, главное сохраните формат SMTP записи *@domain.ru.

3 Установите чекбокс напротив функции Allow Access to Control Panel – это включит доступ целевому пользователю к панели управления.

4 Установите пароль для дополнительного администратора, с учетом минимальной парольной политики (Минимальная длина — 8 и должна содержать как минимум 1 заглавную букву, 1 строчную букву и 1 цифру). Настоятельно рекомендуем использовать сложные пароли.

5 Функция Authenticate via AD account опциональна, позволяет осуществить привязку к существующему пользователю сервисной AD в Вашей организации, к примеру у дополнительного администратора уже есть почтовый ящик на сервисе, а следовательно и User AD, что позволит ему авторизоваться не только под заданными на предыдущих этапах учетными данными, но и под UPN\Паролем привязанного пользователя.

6 В разделе Access Template Вы можете выбрать шаблон доступа к панели управления, по умолчанию используется автоматически созданный шаблон Default Template

По завершению настройки сохраните изменения Save, после чего новый контакт отобразится в разделе Contacts, где Вы всегда сможете его удалить или отредактировать нажав выбрав соответствующие функции напротив целевого контакта.

Работа с шаблонами доступа для дополнительных администраторов

Для создания новых или редактирования существующих шаблонов доступа, перейдите во вкладку Access Template.

Шаблон по умолчанию имеет ряд ограничений по сравнению с доступами администратора владельца.

Важно! Администратор-владелец может назначить доступы шаблона не превышающие его собственные доступы. При полном доступе, пользователь которому будет назначен такой шаблон, будет отличаться от администратора-владельца только возможностью создавать\удалять другие контакты – данная опция является привилегией администратора-владельца.

Для создания нового шаблона нажмите Add Template. В поле Access Template Name укажите наименование нового шаблона.

В разделе Access Permissions представлено 5 разделов доступа:

General – Основной, отвечающий за сам доступ к панели и общее администрирование.

Active Directory – отвечает за доступы управления пользователями организации в сервисной AD

Exchange Hosting – отвечает за доступы управления почтовыми ящиками

Skype4B Hosting – отвечает за доступы управления SIP пользователями (Актуально если у Вас приобретен тарифный план включающий подписку Skype for Business)

При раскрытии одного из раздела Вы увидите, что ни одна опция не включена, активируйте чекбокс (Select All/Clear All), тогда значения целевого модуля примут состояние доступов доступных администратору-владельцу, при необходимости Вы можете исключить требуемые опции.

После того как доступы будут настроены, сохраните изменения, и новый шаблон появится в общем списке шаблонов доступный к использованию.

Теперь если Вы вернетесь в настройки одного из контактов\дополнительных администраторов, то в списке доступных шаблонов отобразится так же новый шаблон.

Если Вы осуществляли изменение существующего шаблона доступов, который уже был назначен контакту\дополнительному администратору, то изменения доступов применятся автоматически, а целевым контактам потребуется реавторизоваться в панели управления для того что бы изменения корректно отобразились.

Настройка доступа в панель управления с 2FA через TOTP-аутентификатор

Двухфакторная аутентификация (2FA — Two-Factor Authentication) — это метод проверки подлинности пользователя, требующий предоставления двух различных факторов подтверждения личности при входе в систему:

  1. Первый фактор — то, что вы знаете (логин и пароль)
  2. Второй фактор — то, что у вас есть (TOTP-аутентификатор на смартфоне)

TOTP (Time-based One-Time Password) — это алгоритм генерации одноразовых паролей, которые меняются каждые 30 секунд. Это тот же механизм, который используется в приложениях вроде Google Authenticator, Microsoft Authenticator, Authy и других.

Для чего это нужно

Защита от компрометации учётной записи: Даже если злоумышленник узнает или подберёт ваш пароль (через фишинг, утечку баз данных, кейлоггер), он не сможет войти в систему без второго фактора — кода из TOTP-аутентификатора на вашем смартфоне.

Соответствие требованиям безопасности: Многие стандарты и регуляторы (PCI DSS, ISO 27001, GDPR, требования ЦБ РФ для финансовых организаций) предписывают обязательное использование двухфакторной аутентификации для доступа к критическим системам, включая панели управления серверами, почтовыми сервисами и инфраструктурой.

Защита от брутфорс-атак: При включённой 2FA автоматический подбор паролей (брутфорс) становится бесполезным — даже при правильном пароле вход будет заблокирован без TOTP-кода.

Защита от повторного использования паролей: Многие пользователи используют один и тот же пароль на разных сервисах. Если пароль утек с одного ресурса, злоумышленники пытаются применить его на других. 2FA блокирует такие попытки даже при компрометации пароля.

Почему это важно для почтовых сервисов на базе Exchange

Панель управления почтовым сервисом содержит критически важную информацию и функции:

  • Доступ ко всем почтовым ящикам организации
  • Возможность чтения переписки сотрудников
  • Управление правами делегирования и доступом
  • Настройка адресной книги, политик безопасности, правил транспорта
  • Доступ к журналу аудита и логам

Компрометация панели управления означает полный контроль злоумышленника над почтовой инфраструктурой организации, что может привести к:

  • Утечке конфиденциальной информации
  • Фишинговым атакам от имени сотрудников
  • Блокировке доступа легитимных пользователей
  • Штрафам от регуляторов за нарушение защиты данных
  • Репутационным потерям

Как работает TOTP-аутентификация

  1. При первой настройке 2FA система генерирует секретный ключ (обычно в виде QR-кода)
  2. Вы сканируете QR-код приложением-аутентификатором на смартфоне
  3. Приложение и система синхронизируются по времени
  4. При каждом входе приложение генерирует 6-значный код, который меняется каждые 30 секунд
  5. Вы вводите код вместе с паролем при входе
  6. Система проверяет код с помощью того же секретного ключа и текущего времени
  7. Если код совпадает — вход разрешён

Важно: TOTP-коды работают без интернета — они генерируются локально на смартфоне на основе секретного ключа и времени.

Выполнение настройки

Что потребуется для настройки

  • Смартфон с iOS или Android
  • Приложение-аутентификатор, удовлетворяющее политике безопасности Вашей организации (Passwork 2FA, Google Authenticator, Microsoft Authenticator или другие)
  • Доступ к панели управления с включённой поддержкой 2FA
  • Резервные коды для восстановления доступа (выдаются при настройке 2FA, сохраните их в надёжном месте)

Для настройки параметров двухфакторной аутентификации авторизуйтесь под основным администратором подписки в https://panel.slcloud.ru. Далее перейдите Contact Information / Primary Contact и нажмите Edit.

Проставьте чекбокс напротив 2FA Enabled, как на скриншоте, сохраните и выполните реавторизацию.

Далее в поле профиля выберите Two Factor Authentication Settings / Настройки двухфакторной аутентификации.

Проставьте чекбокс Enable / Включено и сохраните.

После сохранения будет выполнен автоматический выход из профиля. При выполнении реавторизации отсканируйте с помощью смартфона сгенерированный системой QR-код. Для настройки Вам потребуется приложение Authenticator (Passwork 2FA, Google Authenticator, Microsoft Authenticator или другие). В приложении-аутентификации может потребоваться создать/добавить новую учетную запись. Введите полученный код.

Если все сделано правильно, теперь после ввода логина и пароля будет затребован код подтверждения из Вашего приложения-аутентификации.

2FA дополнительного администратора включается самим пользователем, после авторизации следует перейти в настройки профиля, проставьте чекбокс напротив 2FA Enabled, как на скриншоте, сохраните и выполните реавторизацию. Далее операция аналогична описанной выше.

Для отключения 2FA, на главной странице перейдите в настройки профиля и снимите чекбокс Enabled / Включено. Выполните реавторизацию.

Важно! Использование 2FA для учетной записи администратора панели управления, используемой для подключения ADSync, может негативно сказаться на подключении к панели управления. Для работы ADSync рекомендуем создать отдельного пользователя-администратора с усложненным паролем, установив шаблон доступа с ограниченным набором прав в панели управления. Для этого перейдите Home / Contact Information / Access Template и создайте дополнительный шаблон.

Права доступа рекомендуется выбрать только Active Directory, что при компрометации учетной записи, не позволит предпринимать деструктивные действия через панель управления.

Консультация Управление административным доступом панели управления

Не нашли инструкцию?

Заполните форму, и наш специалист свяжется с вами.

Мы дополним информацию и ответим на ваш вопрос.

Оставить заявку

Работа с Failover Plan Veeam

Подготовка плана восстановления с помощью Failover Plans

Редактирование почтового ящика

Для того, чтобы произвести редактирование почтового ящика, в подписке «Exchange» перейдите на вкладку «Почтовые ящики», далее найдите нужный почтовый ящик и в поле «Опции» выберите требуемое действие.

Подключение мобильных почтовых клиентов

Как связать корневую папку в SoftLine Drive с локальной папкой