Configurer les rôles avec le contrôle d’accès basé sur les rôles (RBAC)
Chaque rôle prédéfini de contrôle d’accès basé sur les rôles (RBAC) dispose de certaines autorisations d’accès et de fonctionnalités associées. Cet article décrit la fonction de chacune de ces autorisations. Pour obtenir la liste complète des autorisations par défaut pour chaque rôle intégré, téléchargez le document Autorisations par défaut du contrôle d’accès basé sur les rôles.
Lorsque vous appliquez des autorisations, vous définissez les groupes d’utilisateurs que le rôle RBAC est autorisé à gérer. L’administrateur par défaut ne peut pas modifier les paramètres d’autorisation appliqués. Par défaut, les autorisations appliquées s’appliquent à tous les groupes d’utilisateurs.
Lorsque vous effectuez une affectation, vous attribuez le rôle RBAC à un groupe, de sorte que le groupe d’utilisateurs possède les droits d’administrateur RBAC.
Important :
Dans l’autorisation Paramètres, l’autorisation RBAC donne aux utilisateurs administrateurs un accès complet, y compris la possibilité d’attribuer leurs propres autorisations. N’accordez cet accès qu’aux utilisateurs auxquels vous souhaitez donner la possibilité de manipuler tous les éléments du système Endpoint Management.
Cet article contient les sections suivantes :
Rôle d’administrateur
Les utilisateurs dotés du rôle prédéfini d’administrateur ont accès ou n’ont pas accès aux fonctionnalités suivantes dans XenMobile. Par défaut, les options Accès autorisé (à l’exception du portail d’auto-assistance), Fonctionnalités de la console et Appliquer les autorisations sont activées.
Accès autorisé
| Accès à la console d’administration | Les administrateurs ont accès à toutes les fonctionnalités de la console XenMobile. |
| Accès au portail d’auto-assistance | Les administrateurs n’ont pas accès au portail d’auto-assistance. |
| Enregistreur de périphériques partagés | Les administrateurs n’ont pas accès à l’enregistreur de périphériques partagés. Cette fonctionnalité est destinée aux utilisateurs qui doivent enregistrer des périphériques partagés. |
| Accès au support à distance | Les administrateurs possèdent l’accès au support à distance.* |
| Accès à l’API publique | Les administrateurs ont accès à l’API publique pour effectuer des actions par programme qui sont disponibles sur la console XenMobile. Les actions incluent l’administration des certificats, des applications, des périphériques, des groupes de mise à disposition et des utilisateurs locaux. |
| Enregistreur de périphériques COSU | Permet aux administrateurs d’enregistrer des périphériques Android Enterprise dédiés (également appelés périphériques COSU) si cette fonctionnalité n’est pas configurée à l’aide d’un profil d’enregistrement. |
* Le support à distance permet aux représentants de votre service d’assistance de prendre le contrôle à distance des périphériques mobiles Android gérés. La diffusion d’écran n’est prise en charge que sur les périphériques Samsung Knox. Le support à distance n’est pas disponible pour les déploiements de XenMobile Server sur site en cluster. Le support à distance n’est plus disponible pour les nouveaux clients à compter du 1er janvier 2019. Les clients existants peuvent continuer à utiliser le produit, mais Citrix ne fournit pas d’améliorations ni de correctifs.
Fonctionnalités de la console
Les administrateurs ont un accès illimité à la console XenMobile.
| Tableau de bord | Le Tableau de bord est la première page que les administrateurs voient après s’être connectés à la console XenMobile. Le Tableau de bord affiche des informations de base sur les notifications et les périphériques. | |
| Rapports | La page Analyser > Rapports fournit des rapports prédéfinis qui vous permettent d’analyser vos déploiements d’applications et de périphériques. | |
| Périphériques | La page Gérer > Périphériques est l’endroit où vous gérez les périphériques des utilisateurs. Vous pouvez ajouter des périphériques individuels sur la page ou importer un fichier de provisionnement de périphériques pour ajouter plusieurs périphériques à la fois. | |
| Utilisateurs et groupes locaux | La page Gérer > Utilisateurs est l’endroit où vous pouvez ajouter, modifier ou supprimer des utilisateurs locaux et des groupes d’utilisateurs locaux. | |
| Enregistrement | La page Gérer > Invitations d’enregistrement est l’endroit où vous gérez la manière dont les utilisateurs sont invités à enregistrer leurs périphériques dans XenMobile. | |
| Stratégies | La page Configurer > Stratégies de périphérique est l’endroit où vous gérez les stratégies de périphérique, telles que VPN et Wi-Fi. | |
| Applications | La page Configurer > Applications est l’endroit où vous gérez les différentes applications que les utilisateurs peuvent installer sur leurs périphériques. | |
| Média | La page Configurer > Média est l’endroit où vous gérez les différents médias que les utilisateurs peuvent installer sur leurs périphériques. | |
| Action | La page Configurer > Actions est l’endroit où vous gérez les réponses aux événements déclencheurs. | |
| Profils d’enregistrement | La page Configurer > Profils d’enregistrement est l’endroit où vous configurez les profils d’enregistrement (modes) pour permettre aux utilisateurs d’enregistrer leurs périphériques. | |
| Groupes de mise à disposition | La page Configurer > Groupes de mise à disposition est l’endroit où vous gérez les groupes de mise à disposition et les ressources qui leur sont associées. | |
| Paramètres | La page Paramètres est l’endroit où vous gérez les paramètres système, tels que les propriétés du client et du serveur, les certificats et les fournisseurs d’informations d’identification. Important : Ces paramètres incluent l’autorisation RBAC. L’autorisation RBAC donne aux administrateurs un accès complet, y compris la possibilité d’attribuer leurs propres autorisations. N’accordez cet accès qu’aux utilisateurs auxquels vous souhaitez donner la possibilité de manipuler tous les éléments du système Endpoint Management. | |
| Support | La page Dépannage et support est l’endroit où vous effectuez des activités de dépannage telles que l’exécution de diagnostics et la génération de journaux. |
Périphériques
Les administrateurs accèdent aux fonctionnalités des périphériques via la console en définissant des restrictions de périphérique, en configurant et en envoyant des notifications aux périphériques, en administrant des applications sur les périphériques, etc.
| Effacer entièrement le périphérique | Efface toutes les données et applications d’un périphérique, y compris les cartes mémoire si le périphérique en possède une. |
| Effacer la restriction | Supprime une ou plusieurs restrictions de périphérique. |
| Effacer sélectivement le périphérique | Efface toutes les données et applications d’entreprise d’un périphérique, en laissant les données et applications personnelles en place. |
| Afficher les emplacements | Affiche l’emplacement d’un périphérique et définit des restrictions géographiques sur celui-ci. Inclut : Localiser le périphérique, Afficher l’emplacement d’un périphérique, Suivre le périphérique, Suivre l’emplacement d’un périphérique au fil du temps. |
| Verrouiller le périphérique | Verrouille à distance un périphérique afin que les utilisateurs ne puissent pas l’utiliser. |
| Déverrouiller le périphérique | Déverrouille à distance un périphérique afin que les utilisateurs puissent l’utiliser. |
| Verrouiller le conteneur | Verrouille à distance le conteneur d’entreprise sur un périphérique. |
| Déverrouiller le conteneur | Déverrouille à distance le conteneur d’entreprise sur un périphérique. |
| Réinitialiser le mot de passe du conteneur | Réinitialise le mot de passe du conteneur d’entreprise. |
| Activer ASM DEP/Ignorer le verrouillage d’activation | Stocke un code de contournement sur un périphérique iOS supervisé lorsque le verrouillage d’activation est activé. Si vous devez effacer le périphérique, utilisez ce code pour effacer automatiquement le verrouillage d’activation. |
| Faire sonner le périphérique | Fait sonner à distance un périphérique Windows à plein volume pendant 5 minutes. |
| Redémarrer le périphérique | Redémarre les périphériques Windows depuis la console XenMobile. |
| Déployer sur le périphérique | Envoie des applications, des notifications, des restrictions, etc. à un périphérique. |
| Modifier le périphérique | Modifie les paramètres du périphérique. |
| Notification au périphérique | Envoie une notification à un périphérique. |
| Ajouter/Supprimer le périphérique | Ajoute ou supprime des périphériques de XenMobile. |
| Importation de périphériques | Importe un groupe de périphériques d’un fichier dans XenMobile. |
| Exporter la table des périphériques | Collecte les informations sur les périphériques de la page Périphérique et les exporte dans un fichier .csv. |
| Révoquer le périphérique | Interdit à un périphérique de se connecter à XenMobile. |
| Verrouillage d’application | Refuse l’accès à toutes les applications sur un périphérique. Sur Android, les utilisateurs ne peuvent pas se connecter à XenMobile. Sur iOS, les utilisateurs peuvent se connecter, mais ils ne peuvent pas accéder aux applications. |
| Effacement d’application | Sur Android, cette action supprime le compte XenMobile de l’utilisateur. Sur iOS, cette action supprime la clé de chiffrement dont les utilisateurs ont besoin pour accéder aux fonctionnalités de XenMobile. |
| Afficher l’inventaire logiciel | Affiche les logiciels installés sur un périphérique. |
| Demander la mise en miroir AirPlay | Demande le démarrage du streaming AirPlay. |
| Arrêter la mise en miroir AirPlay | Arrête le streaming AirPlay. |
| Activer le mode Perdu | Sur Gérer > Périphériques, vous pouvez mettre un périphérique supervisé en mode perdu pour bloquer un périphérique supervisé sur l’écran de verrouillage. Le mode perdu vous permet également de localiser le périphérique lorsqu’il est perdu ou volé. |
| Désactiver le mode Perdu | Sur Gérer > Périphériques, vous pouvez désactiver le mode perdu pour un périphérique qui est défini en mode perdu. |
| Mettre à jour l’OS du périphérique | Vous pouvez déployer une stratégie de périphérique de contrôle des mises à jour du système d’exploitation sur les périphériques. |
| Arrêter le périphérique | Arrête les périphériques iOS depuis la console XenMobile. |
| Redémarrer le périphérique | Redémarre les périphériques iOS depuis la console XenMobile. |
Utilisateurs et groupes locaux
Les administrateurs gèrent les utilisateurs locaux et les groupes d’utilisateurs locaux sur la page Gérer > Utilisateurs dans XenMobile.
| Ajouter des utilisateurs locaux |
| Supprimer des utilisateurs locaux |
| Modifier des utilisateurs locaux |
| Importer des utilisateurs locaux |
| Exporter des utilisateurs locaux |
| Groupes d’utilisateurs locaux |
| Obtenir l’ID de verrouillage d’utilisateur local |
| Supprimer le verrouillage d’utilisateur local |
Inscription
Les administrateurs peuvent ajouter et supprimer des invitations d’inscription, envoyer des notifications aux utilisateurs et exporter le tableau d’inscription vers un fichier .csv.
| Ajouter/Supprimer une inscription | Ajouter ou supprimer une invitation d’inscription pour un utilisateur ou un groupe d’utilisateurs. |
| Notifier l’utilisateur | Envoyer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs. |
| Exporter le tableau d’invitations d’inscription | Recueillir les informations d’inscription de la page Inscription et les exporter vers un fichier .csv. |
Stratégies
| Ajouter/Supprimer une stratégie | Ajouter ou supprimer une stratégie d’appareil ou d’application. |
| Modifier une stratégie | Modifier une stratégie d’appareil ou d’application. |
| Charger une stratégie | Charger une stratégie d’appareil ou d’application. |
| Cloner une stratégie | Copier une stratégie d’appareil ou d’application. |
| Désactiver une stratégie | Désactiver une stratégie d’application existante. |
| Exporter une stratégie | Recueillir les informations de stratégie d’appareil de la page Stratégies d’appareil et les exporter vers un fichier .csv. |
| Attribuer une stratégie | Attribuer une stratégie d’appareil à un ou plusieurs groupes de mise à disposition. |
Application
Les administrateurs gèrent les applications sur la page Configurer > Applications dans XenMobile.
| Ajouter/Supprimer une application de magasin d’applications ou d’entreprise | Ajouter ou supprimer une application de magasin public ou une application d’entreprise (non compatible MDX). |
| Modifier une application de magasin d’applications ou d’entreprise | Modifier une application de magasin public ou une application d’entreprise (non compatible MDX). |
| Ajouter/Supprimer une application MDX, Web et SaaS | Ajouter ou supprimer une application compatible MDX, une application de votre réseau interne (application Web) ou une application d’un réseau public (SaaS) à XenMobile. |
| Modifier une application MDX, Web et SaaS | Modifier une application compatible MDX, une application de votre réseau interne (application Web) ou une application d’un réseau public (SaaS) dans XenMobile. |
| Ajouter/Supprimer une catégorie | Ajouter ou supprimer une catégorie dans laquelle les applications peuvent apparaître dans le XenMobile Store. |
| Attribuer une application publique/d’entreprise à un groupe de mise à disposition | Attribuer une application de magasin public ou une application compatible MDX à un groupe de mise à disposition pour le déploiement. |
| Attribuer une application MDX/WebLink/SaaS à un groupe de mise à disposition | Attribuer à un groupe de mise à disposition une application compatible MDX, ne nécessitant pas d’authentification unique (WebLink) ou provenant d’un réseau public (SaaS). |
| Exporter le tableau des applications | Recueillir les informations sur les applications de la page Application et les exporter vers un fichier .csv. |
Remarque :
Lorsque vous sélectionnez Fonctionnalités de la console > Application, le point de terminaison d’API
GET <https://XMS_IP:4443/controlpoint/rest/ad>renvoie les informations LDAP par conception.
Média
Gérer les médias obtenus à partir d’un magasin d’applications public ou via une licence d’achat en volume.
| Ajouter/Supprimer des livres de magasin d’applications ou d’entreprise |
| Attribuer des livres publics/d’entreprise à un groupe de mise à disposition |
| Modifier des livres de magasin d’applications ou d’entreprise |
Action
| Ajouter/supprimer une action | Ajouter ou supprimer une action définie par un déclencheur (événement, propriété d’appareil ou d’utilisateur, ou nom d’application installée) et la réponse associée. |
| Modifier une action | Modifier une action définie par un déclencheur (événement, propriété d’appareil ou d’utilisateur, ou nom d’application installée) et la réponse associée. |
| Attribuer une action à un groupe de mise à disposition | Attribuer une action à un groupe de mise à disposition pour le déploiement sur les appareils des utilisateurs. |
| Exporter une action | Recueillir les informations sur les actions de la page Actions et les exporter vers un fichier .csv. |
Groupe de mise à disposition
Les administrateurs gèrent les groupes de mise à disposition depuis la page Configurer > Groupes de mise à disposition.
| Ajouter/supprimer un groupe de mise à disposition | Créer ou supprimer un groupe de mise à disposition, ce qui ajoute des utilisateurs spécifiés et des stratégies, applications et actions facultatives. |
| Modifier un groupe de mise à disposition | Modifier un groupe de mise à disposition existant, ce qui modifie les utilisateurs et les stratégies, applications et actions facultatives. |
| Déployer un groupe de mise à disposition | Rendre un groupe de mise à disposition disponible à l’utilisation. |
| Exporter un groupe de mise à disposition | Recueillir les informations sur les groupes de mise à disposition de la page Groupe de mise à disposition et les exporter vers un fichier .csv. |
Profil d’inscription
Gérer les profils d’inscription.
| Ajouter/supprimer un profil d’inscription |
| Modifier le profil d’inscription |
| Attribuer un profil d’inscription à un groupe de mise à disposition |
Paramètres
Les administrateurs configurent divers paramètres sur les pages Paramètres.
| RBAC | Attribution RBAC, Attribuer des rôles. Important : Cette autorisation donne aux administrateurs un accès complet, y compris la possibilité d’attribuer leurs propres autorisations. N’accordez cet accès qu’aux utilisateurs que vous souhaitez autoriser à manipuler tous les éléments du système Endpoint Management. |
| LDAP | Administrer un ou plusieurs annuaires compatibles LDAP, tels qu’Active Directory, pour importer des groupes, des comptes d’utilisateur et des propriétés associées. |
| Licence | Pour XenMobile Server sur site. Administrez vos licences Citrix®. |
| Inscription | Activer les modes de sécurité d’inscription pour les utilisateurs et le portail d’auto-assistance. |
| Gestion des versions | Afficher la version installée actuelle. Inclut : Mise à jour de la gestion des versions |
| Certificats | Modifier le certificat APNS, Certificats d’écoute SSL |
| Modèles de notification | Créer des modèles de notification à utiliser dans les actions automatisées, l’inscription et la distribution de messages de notification standard aux utilisateurs. |
| Workflows | Gérer la création, l’approbation et la suppression de comptes d’utilisateur à utiliser avec les configurations d’application. |
| Fournisseurs d’informations d’identification | Ajouter un ou plusieurs fournisseurs d’informations d’identification autorisés à émettre des certificats d’appareil. Les fournisseurs d’informations d’identification contrôlent le format du certificat et les conditions de renouvellement ou de révocation du certificat. |
| Entités PKI | Gérer les entités d’infrastructure à clé publique (générique, services de certificats Microsoft ou autorité de certification discrétionnaire). |
| Tester la connexion PKI | Utilisez le bouton Tester la connexion sur la page Paramètres > Entités PKI pour vous assurer que le serveur est accessible. |
| Propriétés du client | Gérer diverses propriétés sur les appareils des utilisateurs, telles que le type de code d’accès, la force ou l’expiration. |
| Support client | Définir les moyens par lesquels les utilisateurs peuvent contacter vos services de support (e-mail, téléphone ou e-mail de ticket de support). |
| Personnalisation du client | Créer un nom de magasin personnalisé et des vues de magasin par défaut pour le magasin XenMobile. Ajouter un logo personnalisé qui apparaît dans un magasin XenMobile ou Secure Hub. |
| Passerelle SMS de l’opérateur | Configurer les passerelles SMS de l’opérateur pour configurer les notifications que XenMobile envoie via les passerelles SMS de l’opérateur. |
| Serveur de notification | Configurer un serveur de passerelle SMTP pour envoyer un e-mail aux utilisateurs. |
| Passerelle ActiveSync | Gérer l’accès des utilisateurs aux utilisateurs et aux appareils via des règles et des propriétés. |
| Programme de déploiement Apple | Ajouter un compte de programme de déploiement Apple à XenMobile. |
| Inscription d’appareil Apple Configurator | Configurer les paramètres d’Apple Configurator dans XenMobile. |
| Paramètres d’achat en volume/iOS | Ajouter des comptes d’achat en volume Apple. |
| Fournisseur de services mobiles | Utiliser l’interface du fournisseur de services mobiles pour interroger les appareils BlackBerry et autres appareils Exchange ActiveSync et pour émettre des opérations. |
| Citrix Gateway | Pour XenMobile Server sur site. Ajouter une Citrix Gateway. Choisissez d’activer l’authentification et de pousser un certificat utilisateur pour l’authentification. Choisissez un fournisseur d’informations d’identification. |
| Contrôle d’accès réseau | Définir les conditions qui déterminent qu’un appareil n’est pas conforme et se voit donc refuser l’accès au réseau. |
| Samsung Knox | Activer ou désactiver XenMobile pour interroger les API REST du serveur d’attestation Samsung Knox. |
| Propriétés du serveur | Ajouter ou modifier les propriétés du serveur. Nécessite le redémarrage de XenMobile sur tous les nœuds. |
| Syslog | Pour XenMobile Server sur site. Envoyer les fichiers journaux à un serveur de journal système (syslog) en utilisant le nom d’hôte ou l’adresse IP du serveur. |
| XenApp et XenDesktop® | Permettre aux utilisateurs d’ajouter des applications et des bureaux virtuels via Secure Hub. |
| Citrix Files | Lors de l’utilisation de XenMobile avec des comptes d’entreprise : Configurez les paramètres pour vous connecter au compte ShareFile et au compte de service administrateur afin de gérer les comptes d’utilisateur. Nécessite un domaine Citrix Files existant et des informations d’identification d’administrateur. Lors de l’utilisation de XenMobile avec des connecteurs de zone de stockage : Configurez XenMobile pour qu’il pointe vers les partages réseau et les emplacements SharePoint définis dans les connecteurs de zone de stockage. |
| Programme d’amélioration de l’expérience | Pour XenMobile Server sur site. Participez ou non à l’envoi de statistiques anonymes et d’informations d’utilisation à Citrix. |
| Microsoft Azure | Pour XenMobile Server sur site. Intégrer XenMobile à Microsoft Azure. |
| Android Enterprise | Configurer les paramètres du serveur Android Enterprise. |
| Fournisseur d’identité (IdP) | Configurer un fournisseur d’identité. |
| Outils XenMobile | Accéder à la page Outils XenMobile. |
| Configuration SNMP | Activer SNMP pour les nœuds XenMobile Server. Modifier ou ajouter des utilisateurs de surveillance, configurer le gestionnaire SNMP où les notifications de trap apparaissent, et configurer les intervalles et les seuils de trap. |
Support
Les administrateurs peuvent effectuer diverses tâches de support.
| Vérifications de connectivité Citrix Gateway | Effectuer diverses vérifications de connectivité pour Citrix Gateway par adresse IP. Nécessite un nom d’utilisateur et un mot de passe. |
| Vérifications de connectivité XenMobile | Effectuer des vérifications de connectivité pour les fonctionnalités XenMobile sélectionnées, telles que la base de données, le DNS ou Google Plan. |
| Créer des packs de support | Pour XenMobile Server sur site. Créer un fichier à envoyer au support Citrix pour le dépannage. Contient des informations système, des journaux, des informations de base de données, des informations de base, des fichiers de trace et les dernières informations de configuration pour XenMobile ou Citrix Gateway. |
| Documentation produit Citrix | Accéder au site de documentation publique de Citrix XenMobile. |
| Centre de connaissances Citrix | Accéder au site du support Citrix pour rechercher des articles de la base de connaissances. |
| Journaux | Accéder et analyser les détails des fichiers journaux pour le débogage, l’audit administrateur et l’audit utilisateur. |
| Informations sur le cluster | Pour XenMobile Server sur site. Accéder aux informations sur chacun des nœuds dans un environnement en cluster. |
| Collecte des éléments inutiles | Pour XenMobile Server sur site. Accéder aux informations sur les objets mémoire qui ne sont plus utilisés. |
| Propriétés de la mémoire Java | Pour XenMobile Server sur site. Accéder à un instantané de l’utilisation de la mémoire Java, aux détails de la mémoire et aux détails du pool de mémoire. |
| Macros | Remplir les données de propriété d’utilisateur ou d’appareil dans le champ de texte d’un profil, d’une stratégie, d’une notification ou d’un modèle d’inscription. Configurer une seule stratégie, la déployer sur une large base d’utilisateurs et afficher des valeurs spécifiques à l’utilisateur pour chaque utilisateur ciblé. |
| Configuration PKI | Importer et exporter les informations de configuration PKI. |
| Utilitaire de signature APNS | Soumettre une demande de certificats de signature Apple Push Network (APNs) ou télécharger un certificat APNs Secure Mail pour iOS. |
| Services Citrix Insight | Télécharger les journaux vers Citrix Insight Services (CIS) pour obtenir de l’aide sur divers problèmes. |
| État du connecteur Citrix Gateway™ d’appareil pour Exchange ActiveSync | Interroger XenMobile pour connaître l’état d’un appareil tel qu’envoyé au connecteur Citrix Gateway pour Exchange ActiveSync, basé sur l’ID ActiveSync de l’appareil. |
| Anonymisation et désanonymisation | Pour XenMobile Server sur site. Lorsque vous créez des packs de support dans XenMobile, les données sensibles des utilisateurs, des serveurs et du réseau sont anonymisées par défaut. Vous pouvez modifier ce comportement dans Support > Anonymisation et désanonymisation sous Avancé. |
| Paramètres des journaux | Personnaliser le niveau de journalisation ou ajouter un enregistreur personnalisé. |
Restreindre l’accès aux groupes
Les utilisateurs administrateurs peuvent appliquer des autorisations à tous les groupes d’utilisateurs.
Rôle de support
Les utilisateurs ayant le rôle de support ont accès au support à distance. Leurs autorisations s’appliquent à tous les utilisateurs par défaut et ils ne peuvent pas modifier ce paramètre.
Rôle d’utilisateur
Les utilisateurs ayant le rôle d’utilisateur ont l’accès limité suivant à XenMobile.
Accès autorisé
| Portail d’auto-assistance | Les utilisateurs ont accès uniquement au portail d’auto-assistance dans XenMobile. |
Fonctionnalités de la console
Les utilisateurs ont l’accès restreint suivant à la console XenMobile.
Appareils
| Effacer complètement l’appareil | Effacer toutes les données et applications d’un appareil, y compris les cartes mémoire si l’appareil en possède une. |
| Effacer sélectivement l’appareil | Effacer toutes les données et applications d’entreprise d’un appareil, en laissant les données et applications personnelles en place. |
| Afficher les emplacements | Voir l’emplacement d’un appareil et définir des restrictions géographiques sur celui-ci. Inclus : Localiser l’appareil, Voir l’emplacement d’un appareil, Suivre l’appareil, Suivre l’emplacement de l’appareil au fil du temps |
| Verrouiller l’appareil | Verrouiller un appareil à distance afin qu’il ne puisse pas être utilisé. |
| Déverrouiller l’appareil | Déverrouiller un appareil à distance afin qu’il puisse être utilisé. |
| Verrouiller le conteneur | Verrouiller à distance le conteneur d’entreprise sur un appareil. |
| Déverrouiller le conteneur | Déverrouiller à distance le conteneur d’entreprise sur un appareil. |
| Réinitialiser le mot de passe du conteneur | Réinitialiser le mot de passe du conteneur d’entreprise. |
| Activer ASM DEP/Ignorer le verrouillage d’activation | Stocker un code de contournement sur un appareil iOS supervisé lorsque le verrouillage d’activation est activé. Si vous devez effacer l’appareil, utilisez ce code pour effacer automatiquement le verrouillage d’activation. |
| Faire sonner l’appareil | Faire sonner à distance un appareil Windows à plein volume pendant 5 minutes. |
| Redémarrer l’appareil | Redémarrer un appareil Windows. |
| Afficher l’inventaire logiciel | Voir quel logiciel est installé sur un appareil. |
Inscription
| Ajouter/Supprimer l’inscription | Ajoutez ou supprimez une invitation d’inscription pour un utilisateur ou un groupe d’utilisateurs. |
| Notifier l’utilisateur | Envoyez une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs. |
Restreindre l’accès aux groupes
Pour les quatre rôles par défaut, cette autorisation est définie par défaut et peut être appliquée à tous les groupes d’utilisateurs. Vous ne pouvez pas modifier le rôle.
Configurer les rôles avec le contrôle d’accès basé sur les rôles (RBAC)
La fonctionnalité de contrôle d’accès basé sur les rôles (RBAC) de XenMobile vous permet d’attribuer des rôles prédéfinis, ou des ensembles d’autorisations, aux utilisateurs et aux groupes. Ces autorisations contrôlent le niveau d’accès des utilisateurs aux fonctions du système.
XenMobile implémente quatre rôles d’utilisateur par défaut pour séparer logiquement l’accès aux fonctions du système :
- Administrateur : Accorde un accès complet au système.
- Support : Accorde l’accès au support à distance.
- Utilisateur : Utilisé par les utilisateurs qui peuvent inscrire des appareils et accéder au portail d’auto-assistance.
Vous pouvez également utiliser les rôles par défaut comme modèles que vous personnalisez pour créer des rôles d’utilisateur. Vous pouvez attribuer aux rôles des autorisations pour accéder à des fonctions système spécifiques au-delà des fonctions définies par les rôles par défaut.
Les rôles peuvent être attribués à des utilisateurs locaux (au niveau de l’utilisateur) ou à des groupes Active Directory (tous les utilisateurs de ce groupe ont les mêmes autorisations). Si un utilisateur appartient à plusieurs groupes Active Directory, toutes les autorisations sont fusionnées pour définir les autorisations de cet utilisateur. Par exemple, supposons que les utilisateurs d’ADGroupA puissent localiser les appareils des managers et que les utilisateurs d’ADGroupB puissent effacer les appareils des employés. Dans ce cas, un utilisateur appartenant aux deux groupes peut localiser et effacer les appareils des managers et des employés.
Remarque :
Les utilisateurs locaux ne peuvent avoir qu’un seul rôle attribué.
Vous pouvez utiliser la fonctionnalité RBAC dans XenMobile pour effectuer les opérations suivantes :
- Créer un rôle.
- Ajouter des groupes à un rôle.
- Associer des utilisateurs locaux à des rôles.
-
Dans la console XenMobile, accédez à Paramètres > Contrôle d’accès basé sur les rôles. La page Contrôle d’accès basé sur les rôles s’affiche, présentant les quatre rôles d’utilisateur par défaut, ainsi que tous les rôles que vous avez précédemment ajoutés.
Si vous cliquez sur le signe plus (+) à côté d’un rôle, le rôle se développe pour afficher toutes les autorisations de ce rôle, comme illustré dans la figure suivante.
-
Cliquez sur Ajouter pour ajouter un nouveau rôle d’utilisateur. Pour modifier le rôle, cliquez sur l’icône en forme de crayon à droite d’un rôle existant. Pour supprimer le rôle, cliquez sur l’icône de la corbeille à droite d’un rôle. Vous ne pouvez pas supprimer les rôles d’utilisateur par défaut.
- Lorsque vous cliquez sur Ajouter ou sur l’icône en forme de crayon, la page Ajouter un rôle ou Modifier le rôle s’affiche.
- Lorsque vous cliquez sur l’icône de la corbeille, une boîte de dialogue de confirmation apparaît. Cliquez sur Supprimer pour retirer le rôle sélectionné.
-
Saisissez les informations suivantes pour créer ou modifier un rôle d’utilisateur :
- Nom RBAC : Saisissez un nom descriptif pour le nouveau rôle d’utilisateur. Vous ne pouvez pas modifier le nom d’un rôle existant.
- Modèle RBAC : Vous pouvez éventuellement cliquer sur un modèle comme point de départ pour le nouveau rôle. Vous ne pouvez pas sélectionner de modèle si vous modifiez un rôle existant.
Les modèles RBAC sont les rôles d’utilisateur par défaut. Ils définissent l’accès aux fonctions du système dont disposent les utilisateurs associés à ce rôle. Après avoir sélectionné un modèle RBAC, vous pouvez voir toutes les autorisations associées à ce rôle dans les champs Accès autorisé et Fonctionnalités de la console. L’utilisation d’un modèle est facultative. Vous pouvez sélectionner directement les options que vous souhaitez attribuer à un rôle dans les champs Accès autorisé et Fonctionnalités de la console.
-
Cliquez sur Appliquer à côté du champ Modèle RBAC sélectionné pour renseigner les champs Accès autorisé et Fonctionnalités de la console avec les autorisations d’accès et de fonctionnalités prédéfinies.
-
Cochez et décochez les cases dans Accès autorisé et Fonctionnalités de la console pour personnaliser le rôle.
Si vous cliquez sur le triangle à côté d’une fonctionnalité de la console, les autorisations spécifiques à cette fonctionnalité apparaissent et vous pouvez les cocher ou les décocher. Cocher la case de niveau supérieur interdit l’accès à cette zone de la console. Sélectionnez les options individuelles sous le niveau supérieur pour activer ces options. Par exemple, dans la figure suivante, les options Effacement complet de l’appareil et Effacer les restrictions n’apparaissent pas pour les utilisateurs affectés au rôle. Les options cochées apparaissent.
-
Appliquer les autorisations : Sélectionnez un ou plusieurs groupes d’utilisateurs pour limiter les groupes que l’administrateur peut gérer. Si vous cliquez sur À des groupes d’utilisateurs spécifiques, une liste de groupes apparaît à partir de laquelle vous pouvez sélectionner un ou plusieurs groupes.
Par exemple, si un administrateur RBAC dispose d’autorisations pour les groupes d’utilisateurs ActiveDirectory et MSP :
- L’administrateur peut accéder aux informations uniquement pour les utilisateurs qui font partie du groupe ActiveDirectory, du groupe MSP ou des deux groupes.
- L’administrateur ne peut pas afficher d’autres utilisateurs locaux ou AD. L’administrateur peut afficher les utilisateurs qui sont membres des groupes enfants de l’un ou l’autre de ces groupes.
- L’administrateur peut envoyer des invitations à :
- les groupes d’autorisations et leurs groupes enfants
- les utilisateurs qui sont membres des groupes d’autorisations et de leurs groupes enfants
-
Cliquez sur Suivant. La page Affectation apparaît.
-
Saisissez les informations suivantes pour affecter le rôle aux groupes d’utilisateurs.
- Sélectionner le domaine : Cliquez sur un domaine dans la liste déroulante.
- Inclure les groupes d’utilisateurs : Cliquez sur Rechercher pour afficher une liste de tous les groupes disponibles, ou saisissez un nom de groupe complet ou partiel pour limiter la liste aux seuls groupes portant ce nom.
- Dans la liste qui apparaît, sélectionnez les groupes d’utilisateurs auxquels vous souhaitez affecter le rôle. Lorsque vous sélectionnez un groupe d’utilisateurs, le groupe apparaît dans la liste Groupes d’utilisateurs sélectionnés.
Remarque :
Pour supprimer un groupe d’utilisateurs de la liste Groupes d’utilisateurs sélectionnés, cliquez sur le X à côté du nom du groupe d’utilisateurs.
-
Cliquez sur Enregistrer.