Configurer des rôles avec RBAC

July 24, 2020

Contribution de: C G

Chaque rôle RBAC prédéfini dispose de certains accès et de certaines autorisations associés. Cet article explique chacune de ces autorisations. Pour obtenir une liste complète des autorisations par défaut pour chaque rôle intégré, téléchargez Paramètres par défaut du contrôle d’accès basé sur les rôles.

Lorsque vous appliquez des autorisations, vous définissez les groupes d’utilisateurs que le rôle RBAC est autorisé à gérer. L’administrateur par défaut ne peut pas modifier les paramètres d’autorisation appliqués. Par défaut, les autorisations appliquées s’appliquent à tous les groupes d’utilisateurs.

Lorsque vous procédez à une attribution, vous attribuez le rôle RBAC à un groupe d’utilisateurs local, afin que le groupe d’utilisateurs disposent des droits d’administrateur RBAC.

Pour plus d’informations sur les comptes utilisateur Endpoint Management, reportez-vous à la section À propos des comptes utilisateur.

Rôle d’administrateur

Cette section indique les fonctionnalités auxquelles les utilisateurs disposant du rôle Admin prédéfini peuvent ou ne peuvent pas accéder dans Endpoint Management. Par défaut, Accès autorisé (sauf Portail en libre-service), Fonctionnalités de la console et Appliquer des autorisations sont activés.

Accès autorisé pour les administrateurs


Accès à la console d’admin	Les administrateurs ont accès à toutes les fonctions de la console Endpoint Management.
Accès au portail en libre-service	Par défaut, les administrateurs ne peuvent pas accéder au portail en libre-service.
Assistant d’inscription d’appareils partagés	Par défaut, les administrateurs ne peuvent pas accéder à l’assistant d’inscription d’appareils partagés. Cette fonctionnalité est conçue pour les utilisateurs qui ont besoin d’autorisations pour inscrire des appareils partagés.
Accès à l’assistance à distance	Les administrateurs ont accès à la fonctionnalité d’assistance à distance.
Accès à l’API publique	Les administrateurs ont accès à l’API publique pour réaliser via un programme des actions qui sont disponibles sur la console Endpoint Management. Ces actions comprennent l’administration des certificats, des applications, des appareils, des groupes de mise à disposition et des utilisateurs locaux.
Inscription d’appareils COSU	Propose aux administrateurs une autre façon d’inscrire des appareils Android Enterprise dédiés (également appelés appareils COSU). Vous pouvez utiliser cette autre méthode si la fonctionnalité n’est pas configurée via un profil d’inscription.

Fonctionnalités de la console pour les administrateurs

Les administrateurs ont un accès illimité à la console Endpoint Management.


Tableau de bord	Le tableau de bord est la première page que les administrateurs voient s’afficher après une ouverture de session sur la console Endpoint Management. Le tableau de bord contient des informations de base sur les notifications et les appareils.
Rapports	La page Analyser > Rapports propose des rapports prédéfinis qui vous permettent d’analyser les déploiements d’applications et d’appareils.
Devices	La page Gérer > Appareils vous permet de gérer les appareils des utilisateurs. Vous pouvez ajouter des appareils un par un sur la page, ou importer un fichier de provisioning pour ajouter plusieurs appareils à la fois.
Utilisateurs et groupes locaux	La page Gérer > Utilisateurs vous permet d’ajouter, de modifier ou de supprimer des utilisateurs locaux et des groupes d’utilisateurs locaux.
Inscription	La page Gérer > Invitations d’inscription vous permet de gérer la manière dont les utilisateurs sont invités à inscrire leurs appareils dans Endpoint Management.
Stratégies	La page Configurer > Stratégies d’appareil est la page à partir de laquelle vous gérez les stratégies telles que VPN et Wi-Fi.
Application	La page Configurer > Applications vous permet de gérer les applications que les utilisateurs peuvent installer sur leurs appareils.
Média	La page Configurer > Média vous permet de gérer le contenu multimédia que les utilisateurs peuvent installer sur leurs appareils.
Action	La page Configurer > Actions vous permet de gérer les réponses pour déclencher des événements.
Groupe de mise à disposition	La page Configurer > Groupes de mise à disposition vous permet de gérer les groupes de mise à disposition et les ressources associées.
Profil d’inscription	La page Configurer > Profils d’inscription indique comment les utilisateurs peuvent inscrire leurs appareils.
Alexa for Business	La page Paramètres vous permet de gérer vos profils Alexa for Business.
Paramètres	La page Paramètres vous permet de gérer les paramètres du système, tels que les propriétés client et serveur, les certificats et les fournisseurs d’identités.
Assistance	La page Dépannage et support vous permet de réaliser des tâches de résolution des problèmes tels qu’effectuer des diagnostics et générer des journaux.

Restrictions d’appareil pour les administrateurs

Les administrateurs accèdent aux fonctionnalités des appareils depuis la console par la définition de restrictions d’appareil, la configuration et l’envoi de notifications aux appareils, l’administration des applications sur les appareils, et ainsi de suite.


Effacer un appareil	Permet d’effacer toutes les données et applications d’un appareil, y compris des cartes mémoire si l’appareil en est doté.
Effacer la restriction	Permet de supprimer une ou plusieurs restrictions.
Effacer les données d’entreprise d’un appareil	Permet d’effacer toutes les données et applications d’entreprise d’un appareil, sans toucher aux données et applications personnelles.
Afficher la localisation	Permet d’afficher l’emplacement géographique et définir des restrictions sur un appareil. Inclut : Localiser l’appareil, Suivre l’appareil.
Verrouiller un appareil	Permet de verrouiller à distance un appareil de façon à ce que les utilisateurs ne puissent pas utiliser l’appareil.
Déverrouiller un appareil	Permet de déverrouiller à distance un appareil de façon à ce que les utilisateurs puissent utiliser l’appareil.
Verrouiller le conteneur	Permet de verrouiller à distance le conteneur d’entreprise sur un appareil.
Déverrouiller le conteneur	Permet de déverrouiller à distance le conteneur d’entreprise sur un appareil.
Réinitialiser le mot de passe du conteneur	Permet de réinitialiser le mot de passe du conteneur d’entreprise.
Activer contournement du verrouillage d’activation ASM	Stocke un code de contournement sur un appareil iOS supervisé lorsque le verrouillage d’activation est activé. Pour effacer l’appareil, utilisez ce code pour annuler automatiquement le verrouillage d’activation.
Obtenir utilisateurs résidents	Répertorie les utilisateurs qui ont des comptes actifs sur l’appareil actuel. Cette action force une synchronisation entre l’appareil et la console Endpoint Management.
Déconnecter utilisateur résident	Force une déconnexion de l’utilisateur actuel.
Supprimer utilisateur résident	Supprime la session en cours pour un utilisateur spécifique. L’utilisateur peut se reconnecter.
Appeler l’appareil	Permet d’appeler à distance un appareil Windows à plein volume pendant 5 minutes.
Redémarrer l’appareil	Permet de redémarrer les appareils Windows à partir de la console Endpoint Management.
Déployer vers un appareil	Permet d’envoyer des applications, des notifications, des restrictions, et d’autres ressources à un appareil.
Modifier un appareil	Permet de modifier les paramètres sur l’appareil.
Notification vers un appareil	Permet d’envoyer une notification à un appareil.
Ajouter/Supprimer un appareil	Permet d’ajouter ou de supprimer des appareils dans Endpoint Management.
Importer des appareils	Permet d’importer un groupe d’appareils depuis un fichier vers Endpoint Management.
Exporter la liste des appareils	Permet de collecter des informations sur les appareils à partir de la page Appareil et de les exporter vers un fichier .csv.
Révoquer un appareil	Permet d’empêcher un appareil de se connecter à Endpoint Management.
Mode kiosque	Permet de refuser l’accès à toutes les applications sur un appareil. Sur Android, cette restriction empêche les utilisateurs de se connecter à Endpoint Management. Sur iOS, les utilisateurs peuvent se connecter, mais ils ne peuvent pas accéder aux applications.
Effacement des applications	Sur Android, cette restriction supprime le compte Endpoint Management de l’utilisateur. Sur iOS, cette restriction supprime les clés de cryptage dont les utilisateurs ont besoin pour pouvoir accéder aux fonctionnalités de Endpoint Management.
Voir l’inventaire logiciel	Permet de voir quels logiciels sont installés sur un appareil.
Demander la mise en miroir AirPlay	Permet de démarrer le streaming AirPlay.
Arrêter la mise en miroir AirPlay	Permet d’arrêter le streaming AirPlay.
Activer le mode perdu	Sur la page Gérer > Appareils, vous pouvez placer un appareil supervisé en mode perdu pour le bloquer sur l’écran de verrouillage. Vous pouvez ensuite localiser l’appareil en cas de perte ou de vol.
Désactiver le mode perdu	Sur la page Gérer > Appareils, vous pouvez désactiver le mode perdu pour un appareil.
Mise à jour de l’OS de l’appareil	Vous pouvez déployer une stratégie de mise à jour d’OS sur les appareils.
Arrêter l’appareil	Permet d’arrêter les appareils iOS à partir de la console Endpoint Management.
Redémarrer l’appareil	Permet de redémarrer les appareils iOS à partir de la console Endpoint Management.
Renouveler le certificat d’inscription d’appareil	Permet de renouveler le certificat CA de l’appareil.

Utilisateurs et groupes locaux

Les administrateurs gèrent les utilisateurs locaux et les groupes d’utilisateurs locaux sur la page Gérer > Utilisateurs dans Endpoint Management.


Ajouter des utilisateurs locaux
Supprimer des utilisateurs locaux
Modifier un utilisateur local
Importer des utilisateurs locaux
Exporter un utilisateur local
Groupes d’utilisateurs locaux
Obtenir l’ID de verrouillage de l’utilisateur local
Supprimer verrouillage de l’utilisateur local

Inscription

Les administrateurs peuvent ajouter et supprimer des invitations d’inscription, envoyer des notifications aux utilisateurs et exporter la table d’inscription vers un fichier .csv.


Ajouter/supprimer inscription	Permet d’ajouter ou de supprimer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs.
Notifier un utilisateur	Permet d’envoyer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs.
Exporter la table d’invitation d’inscription	Permet de collecter des informations d’inscription à partir de la page Inscription et de les exporter vers un fichier .csv.

Stratégies


Ajouter/Supprimer une stratégie	Permet d’ajouter ou de supprimer une stratégie d’appareil ou d’application.
Modifier une stratégie	Permet de modifier une stratégie d’appareil ou d’application.
Charger la stratégie	Permet de charger une stratégie d’appareil ou d’application.
Cloner la stratégie	Permet de copier une stratégie d’appareil ou d’application.
Désactiver la stratégie	Permet de désactiver une stratégie d’application existante.
Exporter la stratégie	Permet de collecter des informations sur une stratégie à partir de la page Stratégies d’appareil et de les exporter vers un fichier .csv.
Attribuer la stratégie	Permet d’attribuer une stratégie d’appareil à un ou plusieurs groupes de mise à disposition.

Application

Les administrateurs gèrent les applications sur la page Configurer > Applications dans Endpoint Management.


Ajouter/supprimer un magasin d’applications ou une application d’entreprise	Permet d’ajouter ou de supprimer une application de magasin d’applications public ou une application non encapsulée avec MDX.
Modifier un magasin d’applications ou une application d’entreprise	Permet de modifier une application de magasin d’applications public ou une application non encapsulée avec MDX.
Ajouter/supprimer une application MDX, Web et SaaS	Permet d’ajouter ou de supprimer des applications. Une application Web est une application provenant de votre réseau interne. Une application SaaS est une application provenant d’un réseau public (SaaS).
Modifier une application MDX, Web et SaaS	Permet de modifier les applications.
Ajouter/supprimer une catégorie	Permet d’ajouter ou de supprimer une catégorie dans laquelle les applications peuvent s’afficher dans le magasin d’applications.
Attribuer une application publique/d’entreprise à un groupe de mise à disposition	Permet d’attribuer une application de magasin d’applications public ou une application non encapsulée avec MDX à un groupe de mise à disposition pour déploiement.
Attribuer une application MDX/WebLink/SaaS à un groupe de mise à disposition	Permet d’attribuer des applications à un groupe de mise à disposition pour le déploiement sur les appareils d’utilisateurs. Une application WebLink est une application qui ne nécessite pas d’authentification unique.
Exporter la liste des applications	Permet de collecter des informations sur les applications à partir de la page Application et de les exporter vers un fichier .csv.

Média

Permet de gérer le contenu multimédia obtenu à partir d’un magasin d’applications public ou via une licence d’achat en volume.


Ajouter/supprimer livres App Store ou d’entreprise
Attribuer des livres publics/d’entreprise à un groupe de mise à disposition
Modifier livres App Store ou d’entreprise

Action


Ajouter/supprimer une action	Ajouter ou supprimer une action définie par un déclencheur et une réponse associée. Un déclencheur est un événement, une propriété d’appareil ou d’utilisateur, ou un nom d’application installée.
Modifier action	Modifier une action définie par un déclencheur et une réponse associée. Un déclencheur est un événement, une propriété d’appareil ou d’utilisateur, ou un nom d’application installée.
Attribuer une action à un groupe de mise à disposition	Permet d’attribuer une action à un groupe de mise à disposition pour le déploiement vers les appareils d’utilisateurs.
Exporter action	Permet de collecter des informations sur une action à partir de la page Actions et de les exporter vers un fichier .csv.

Groupe de mise à disposition

Les administrateurs gèrent les groupes de mise à disposition à partir de la page Configurer > Groupes de mise à disposition.


Ajouter/supprimer un groupe de mise à disposition	Permet de créer ou de supprimer un groupe de mise à disposition, ce qui ajoute les utilisateurs spécifiés et les stratégies, les applications et les actions facultatives.
Modifier un groupe de mise à disposition	Permet de modifier un groupe de mise à disposition, ce qui modifie les utilisateurs et les stratégies, les applications et les actions facultatives.
Déployer un groupe de mise à disposition	Permet de distribuer un groupe de mise à disposition.
Exporter un groupe de mise à disposition	Permet de collecter des informations sur un groupe de mise à disposition à partir de la page Groupe de mise à disposition et de les exporter vers un fichier .csv.

Profil d’inscription

Permet de gérer les profils d’inscription.


Ajouter/supprimer profil d’inscription
Modifier le profil d’inscription
Attribuer profil d’inscription à un groupe de mise à disposition

Alexa for Business

Permet de gérer les profils Alexa for Business.


Ajouter/Supprimer/Modifier des pièces
Ajouter/Supprimer/Modifier des profils de pièces
Ajouter/Supprimer/Modifier des groupes de Skills

Paramètres des administrateurs

Les administrateurs configurent divers paramètres sur les pages Paramètres.


RBAC	Attribution d’un rôle RBAC
LDAP	Permet de gérer un ou plusieurs annuaires compatibles LDAP, tels que Active Directory, pour importer des groupes, comptes d’utilisateurs et propriétés associées.
Inscription	Permet d’activer des modes d’inscription pour les utilisateurs ainsi que le portail en libre-service.
Gestion des versions	Permet d’afficher la version installée. Inclut : Mise à jour de la gestion des versions
Certificats	Modifier le certificat APNs
Modèles de notification	Permet de créer des modèles de notification à utiliser dans les actions automatisées, l’inscription et la remise de messages de notification standard aux utilisateurs.
Workflows	Permet de gérer la création, l’approbation et la suppression des comptes d’utilisateur à utiliser avec les configurations d’application.
Fournisseurs d’informations d’identification	Permet d’ajouter un ou plusieurs fournisseurs d’informations d’identification autorisés à émettre des certificats d’appareil. Les fournisseurs d’informations d’identification contrôlent le format du certificat et les conditions de renouvellement ou de révocation du certificat.
Entités PKI	Permet de gérer les entités d’infrastructure de clé publique (générique, Services de certificats Microsoft ou autorité de certification discrétionnaire).
Tester la connexion PKI	Permet d’utiliser le bouton Tester la connexion sur la page Paramètres > Entités PKI pour vous assurer que le serveur est accessible.
Propriétés du client	Permet de gérer les différentes propriétés sur les appareils d’utilisateur, telles que le type de code secret, le niveau de sécurité et la date d’expiration.
Support client	Permet de définir la méthode utilisée par les utilisateurs pour contacter votre service d’assistance (messagerie, téléphone ou ticket d’assistance).
Personnalisation du client	Permet de personnaliser le nom du magasin et les vues de magasin par défaut dans le magasin d’applications. Permet d’ajouter un logo personnalisé qui s’affiche sur le magasin d’applications ou Secure Hub.
Passerelle SMS opérateur	Permet de configurer des passerelles SMS d’opérateur pour configurer les notifications que Endpoint Management envoie via les passerelles SMS d’opérateur.
Serveur de notification	Permet de définir un serveur de passerelle SMTP pour envoyer des e-mails aux utilisateurs.
ActiveSync Gateway	Permet de gérer l’accès des utilisateurs à des utilisateurs et à des appareils à l’aide de règles et de propriétés.
Google Chrome	Permet de configurer Endpoint Management pour communiquer avec votre compte G Suite.
Programme de déploiement d’Apple	Permet d’ajouter un compte de programme de déploiement d’Apple à Endpoint Management.
Inscription d’appareils dans Apple Configurator	Permet de configurer les paramètres d’Apple Configurator dans Endpoint Management.
Paramètres d’achat en volume/iOS	Permet d’ajouter des comptes d’achat en volume d’Apple.
Fournisseur de services mobiles	Permet d’utiliser l’interface du fournisseur de services mobiles pour interroger des appareils BlackBerry et d’autres appareils Exchange ActiveSync et d’effectuer des opérations d’émission.
NetScaler Gateway	Permet de configurer les paramètres de NetScaler Gateway (maintenant renommé Citrix Gateway) dans Endpoint Management.
Contrôle d’accès réseau	Permet de définir les conditions qui déterminent si un appareil est non compatible et par conséquent s’il n’a pas accès au réseau.
Samsung Knox	Permet d’activer ou de désactiver l’interrogation par Endpoint Management des API REST du serveur d’attestation Samsung Knox.
Propriétés du serveur	Permet d’ajouter ou de modifier des propriétés de serveur. Requiert le redémarrage de Endpoint Management sur tous les nœuds.
Virtual Apps and Desktops	Autorise les utilisateurs à ajouter Citrix Virtual Apps and Desktops via Citrix Workspace.
Citrix Files	Lors de l’utilisation de Endpoint Management avec des comptes Enterprise : configurez les paramètres pour la connexion au compte Content Collaboration et au compte de service d’administrateur afin de gérer les comptes utilisateur. Requiert des informations d’identification d’administrateur et de domaine Citrix Files. Lors de l’utilisation de Endpoint Management avec des connecteurs StorageZone : permet de configurer Endpoint Management pour pointer vers les partages réseau et les emplacements SharePoint définis dans les connecteurs StorageZone.
Android Entreprise	Permet de configurer les paramètres de serveur Android Entreprise.
Fournisseur d’identité (IdP)	Permet de configurer un fournisseur d’identité.
Informations d’identification dérivées	Permet de configurer les informations d’identification dérivées pour l’inscription d’appareils iOS.
Microsoft Store pour Entreprises	Permet de configurer les paramètres Microsoft Store pour Entreprises dans Endpoint Management.
Endpoint Management Tools	Permet d’accéder à la page Endpoint Management Tools.
Inscription en bloc de Windows	Permet de configurer les paramètres d’inscription en bloc de Windows.

Assistance

Les administrateurs peuvent effectuer diverses tâches de support.


Test de la connectivité NetScaler Gateway	Permet de tester la connectivité de NetScaler Gateway par adresse IP. Requiert un nom d’utilisateur et un mot de passe.
Tests de la connectivité de Endpoint Management	Permet de tester la connectivité de certaines fonctionnalités Endpoint Management, telles que la base de données, DNS et Google Plan.
Documentation Produit Citrix	Permet d’accéder au site de documentation Citrix Endpoint Management public.
Centre de connaissances de Citrix	Permet d’accéder au site d’assistance de Citrix pour rechercher des articles de la base de connaissances.
Journaux	Permet d’afficher et de télécharger des fichiers journaux.
Macros	Permet de remplir les données de propriété d’appareil ou d’utilisateur dans le champ textuel d’un profil, d’une stratégie, d’une notification ou d’un modèle d’inscription. Configurez une stratégie et déployez-la auprès d’un grand nombre d’utilisateurs et de manière à ce que des valeurs spécifiques à l’utilisateur s’affichent pour chaque utilisateur ciblé.
Configuration PKI	Permet d’importer et d’exporter des informations de configuration d’infrastructure de clé publique (PKI).
Utilitaire de signature APNs	Permet d’envoyer une demande de certificats APNS ou de télécharger un certificat APNS Secure Mail pour iOS.
Citrix Insight Services	Permet de charger des journaux sur Citrix Insight Services (CIS) pour obtenir de l’aide avec divers problèmes.
État d’un appareil envoyé à Citrix Gateway Connector pour Exchange ActiveSync	Permet d’effectuer une requête auprès de Endpoint Management pour connaître l’état d’un appareil tel qu’envoyé au connecteur pour Exchange ActiveSync en fonction de l’ID ActiveSync de l’appareil.

Restreindre l’accès aux groupes

Les utilisateurs de niveau administrateur peuvent appliquer des autorisations à tous les groupes d’utilisateurs.

Rôle de provisioning d’appareils

Important :

Le rôle Provisioning d’appareils s’applique uniquement aux appareils Windows CE.

Les utilisateurs disposant du rôle Provisioning d’appareils prédéfini ont un accès limité aux fonctionnalités de la console. Par défaut, leur autorisation est définie pour tous les groupes d’utilisateurs et ils ne peuvent pas modifier ce paramètre.

Fonctionnalités de la console pour le provisioning d’appareils

Les utilisateurs avec le rôle Provisioning d’appareils ont l’accès limité suivant à la console Endpoint Management. Par défaut, les fonctionnalités suivantes sont activées.

Restrictions d’appareil


Modifier un appareil	Permet de modifier les paramètres sur l’appareil.
Ajouter/Supprimer un appareil	Permet d’ajouter ou de supprimer des appareils dans Endpoint Management.

Paramètres pour le provisioning d’appareils

Les utilisateurs du provisioning d’appareils peuvent accéder à la page Paramètres, mais ils ne sont pas autorisés à configurer les fonctionnalités.

Rôle Utilisateur

Les utilisateurs avec le rôle Utilisateur disposent de l’accès limité suivant à Endpoint Management.

Accès autorisé pour les utilisateurs


Portail en libre-service	Fournit un accès utilisateur uniquement au portail d’assistance (en libre-service) dans Endpoint Management.

Fonctionnalités de la console pour les utilisateurs

Les utilisateurs ont l’accès limité suivant à la console Endpoint Management.

Accès restreint pour les utilisateurs


Effacer un appareil	Permet d’effacer toutes les données et applications d’un appareil, y compris des cartes mémoire si l’appareil en est doté.
Effacer les données d’entreprise d’un appareil	Permet d’effacer toutes les données et applications d’entreprise d’un appareil, sans toucher aux données et applications personnelles.
Afficher la localisation	Permet d’afficher l’emplacement géographique et définir des restrictions sur un appareil. Inclut : Localiser un appareil, Voir l’emplacement d’un appareil, Suivre un appareil, Suivre l’emplacement d’un appareil au fil du temps.
Verrouiller un appareil	Permet de verrouiller à distance un appareil de façon à ce qu’il ne puisse pas être utilisé.
Déverrouiller un appareil	Permet de déverrouiller à distance un appareil de façon à ce qu’il puisse être utilisé.
Verrouiller le conteneur	Permet de verrouiller à distance le conteneur d’entreprise sur un appareil.
Déverrouiller le conteneur	Permet de déverrouiller à distance le conteneur d’entreprise sur un appareil.
Réinitialiser le mot de passe du conteneur	Permet de réinitialiser le mot de passe du conteneur d’entreprise.
Activer contournement du verrouillage d’activation ASM	Stocke un code de contournement sur un appareil iOS supervisé lorsque le verrouillage d’activation est activé. Pour effacer l’appareil, utilisez ce code pour annuler automatiquement le verrouillage d’activation.
Obtenir utilisateurs résidents	Répertorie les utilisateurs qui ont des comptes actifs sur l’appareil actuel. Cette action force une synchronisation entre l’appareil et la console Endpoint Management.
Déconnecter utilisateur résident	Force une déconnexion de l’utilisateur actuel.
Supprimer utilisateur résident	Supprime la session en cours pour un utilisateur spécifique. L’utilisateur peut se reconnecter.
Appeler l’appareil	Permet d’appeler à distance un appareil Windows à plein volume pendant 5 minutes.
Redémarrer l’appareil	Permet de redémarrer un appareil Windows.
Mode kiosque	Permet de refuser l’accès à toutes les applications sur un appareil. Sur Android, les utilisateurs ne peuvent pas se connecter à Endpoint Management. Sur iOS, les utilisateurs peuvent se connecter, mais ils ne peuvent pas accéder aux applications.
Effacement des applications	Sur Android, cette restriction supprime le compte Endpoint Management de l’utilisateur. Sur iOS, cette restriction supprime les clés de cryptage dont les utilisateurs ont besoin pour pouvoir accéder aux fonctionnalités de Endpoint Management.
Voir l’inventaire logiciel	Permet de voir quels logiciels sont installés sur un appareil.

Restrictions d’inscription pour les utilisateurs


Ajouter/supprimer inscription	Permet d’ajouter ou de supprimer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs.
Notifier un utilisateur	Permet d’envoyer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs.

Restreindre l’accès aux groupes pour tous les rôles

Pour les rôles par défaut, cette autorisation est définie par défaut et peut être appliquée à tous les groupes d’utilisateurs. Vous ne pouvez pas modifier le rôle.

Pour utiliser la fonctionnalité RBAC

La fonctionnalité de contrôle d’accès basé sur rôle (RBAC) de Endpoint Management vous permet d’attribuer des rôles prédéfinis ou un ensemble d’autorisations aux utilisateurs et aux groupes. Ces autorisations contrôlent le niveau d’accès des utilisateurs aux fonctions du système.

Endpoint Management implémente les rôles utilisateur par défaut suivants de façon à séparer logiquement l’accès aux fonctions système :

Administrateur : accorde un accès complet au système.
Provisioning d’appareils : accorde un accès à l’administration de base des appareils pour les appareils Windows CE.
Utilisateur : utilisé par les utilisateurs autorisés à inscrire des appareils et à accéder au portail en libre-service.

Vous pouvez attribuer des rôles à des utilisateurs locaux, des utilisateurs cloud ou des groupes Active Directory. Vous pouvez également utiliser les rôles par défaut en tant que modèles que vous personnalisez pour créer des rôles utilisateur. Vous pouvez attribuer à ces rôles d’utilisateur l’autorisation d’accéder à des fonctions système supplémentaires.

Utilisateurs locaux : vous ne pouvez attribuer qu’un seul rôle aux utilisateurs locaux. Pour modifier les rôles, vous pouvez modifier manuellement le compte d’utilisateur ou créer un groupe pour les utilisateurs locaux et ajouter le groupe à un rôle. Si vous attribuez un groupe de domaines au groupe d’utilisateurs local, le groupe de domaines doit exister dans Active Directory.
Utilisateurs cloud : un utilisateur de cloud est un compte d’utilisateur spécial créé et géré par Citrix Cloud sur le serveur Endpoint Management. Citrix Cloud crée un compte d’utilisateur cloud lorsqu’un administrateur est ajouté à votre compte client Citrix Cloud. Un compte d’utilisateur cloud utilise le même nom d’utilisateur que le compte d’administrateur sur Citrix Cloud. Par défaut, les nouveaux comptes d’utilisateur cloud sont affectés au rôle Admin dans Endpoint Management. Vous ne pouvez attribuer qu’un seul rôle aux utilisateurs cloud. Vous ne pouvez pas ajouter d’utilisateurs cloud à un groupe. Vous pouvez toutefois modifier les rôles et les autorisations des utilisateurs cloud via la console Endpoint Management.
Groupes Active Directory : tous les utilisateurs d’un groupe Active Directory disposent des mêmes autorisations. Si un utilisateur appartient à plusieurs groupes Active Directory, les autorisations sont fusionnées pour définir les autorisations de cet utilisateur. Par exemple, si les utilisateurs ADGroupA peuvent localiser les appareils appartenant à l’entreprise, et que les utilisateurs ADGroupB peuvent réinitialiser les appareils appartenant aux employés : un utilisateur qui appartient aux deux groupes peut localiser et réinitialiser les appareils appartenant à l’entreprise et aux employés. Toutefois, si un utilisateur appartient à des groupes dont les autorisations sont contradictoires, les autorisations attribuées l’emportent.

Pour de plus amples informations, consultez À propos des comptes utilisateur.

Vous pouvez utiliser la fonctionnalité RBAC dans Endpoint Management pour effectuer les opérations suivantes :

Créer un rôle.
Ajouter des groupes d’utilisateurs locaux à un rôle.
Attribuer des utilisateurs locaux et des utilisateurs cloud à des rôles.

Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.
Cliquez sur Contrôle d’accès basé sur rôle. La page Contrôle d’accès basé sur rôle qui apparaît affiche les quatre rôles utilisateur par défaut, ainsi que tout rôle que vous avez déjà ajouté.

si vous cliquez sur le signe plus (+) à côté d’un rôle, celui-ci se développe pour afficher toutes les autorisations pour ce rôle.
Cliquez sur Ajouter pour ajouter un rôle d’utilisateur. Cliquez sur l’icône de crayon à droite d’un rôle existant pour modifier le rôle. Ou, cliquez sur l’icône de la corbeille située à droite d’un rôle que vous avez défini pour supprimer le rôle. Vous ne pouvez pas supprimer les rôles utilisateur par défaut.
- Lorsque vous cliquez sur Ajouter ou l’icône de crayon, la page Ajouter un rôle ou Modifier le rôle s’affiche.
- Lorsque vous cliquez sur l’icône de corbeille, une boîte de dialogue de confirmation s’affiche. Cliquez sur Supprimer pour supprimer le rôle sélectionné.
Entrez les informations suivantes pour créer un rôle utilisateur ou pour modifier un rôle utilisateur :
- Nom RBAC : entrez un nom descriptif pour le nouveau rôle utilisateur. Vous ne pouvez pas modifier le nom d’un rôle existant.
- Modèle RBAC : si vous le souhaitez, cliquez sur un modèle en tant que point de départ pour le nouveau rôle. Vous ne pouvez pas sélectionner de modèle si vous modifiez un rôle existant.
Les modèles RBAC sont les rôles utilisateur par défaut. Ils définissent l’accès aux fonctions système dont disposent les utilisateurs associés à ce rôle. Lorsque vous sélectionnez un modèle RBAC, vous pouvez voir toutes les autorisations associées à ce rôle dans les champs Accès autorisé et Fonctionnalités de la console. L’utilisation d’un modèle est facultative ; vous pouvez sélectionner les options que vous voulez attribuer à un rôle directement dans les champs Accès autorisé et Fonctionnalités de la console.
Cliquez sur Appliquer à droite du champ Modèle RBAC pour renseigner les cases Accès autorisé et Fonctionnalités de la console. Endpoint Management remplit ces champs avec les autorisations d’accès et de fonctionnalités prédéfinies pour le modèle sélectionné.
Sélectionnez et décochez les cases à cocher appropriées dans Accès autorisé et Fonctionnalités de la console pour personnaliser le rôle.

si vous cliquez sur le triangle à côté de Fonctionnalités de la console, les autorisations spécifiques à cette fonctionnalité s’affichent de façon à ce que vous puissiez les sélectionner ou les désélectionner. Si vous cliquez sur la case à cocher de niveau supérieur, cela interdit l’accès à cette partie de la console. Sélectionnez les options individuelles sous le niveau supérieur pour activer ces options.
Appliquer les autorisations : sélectionnez un ou plusieurs groupes d’utilisateurs pour limiter les groupes que l’administrateur peut gérer. Si vous cliquez sur À des groupes d’utilisateurs spécifiques, une liste des groupes s’affiche à partir de laquelle vous pouvez sélectionner un ou plusieurs groupes.

Par exemple, si un administrateur RBAC dispose d’autorisations sur les groupes d’utilisateurs ActiveDirectory et MSP :
- L’administrateur ne peut accéder aux informations que pour les utilisateurs qui font partie du groupe ActiveDirectory, du groupe MSP ou des deux groupes.
- L’administrateur ne peut afficher aucun autre utilisateur local ou AD. L’administrateur peut afficher les utilisateurs qui sont membres de groupes enfants de l’un ou l’autre de ces groupes.
- L’administrateur peut envoyer des invitations :
  - aux groupes d’autorisations et à leurs groupes enfants
  - aux utilisateurs qui sont membres des groupes d’autorisations et de leurs groupes enfants
Cliquez sur Suivant. La page Attribution s’affiche.
Entrez les informations suivantes pour attribuer le rôle à des groupes d’utilisateurs.
- Sélectionner un domaine : cliquez sur un domaine dans la liste.
- Inclure des groupes d’utilisateurs : cliquez sur Rechercher pour afficher la liste de tous les groupes disponibles. Ou, tapez un nom de groupe complet ou partiel pour limiter la liste aux seuls groupes portant ce nom.
- Dans la liste qui s’affiche, sélectionnez les groupes d’utilisateurs auxquels vous souhaitez attribuer le rôle. Lorsque vous sélectionnez un groupe d’utilisateurs, le groupe apparaît dans la liste Groupes d’utilisateurs sélectionnés.
Remarque :

Pour supprimer un groupe d’utilisateurs de la liste Groupes d’utilisateurs sélectionnés, cliquez sur le X en regard du nom du groupe d’utilisateurs.
Cliquez sur Save.

La version officielle de ce document est en anglais. Certains contenus de la documentation Citrix ont été traduits de façon automatique à des fins pratiques uniquement. Citrix n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Citrix à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Citrix, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Citrix ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Configurer des rôles avec RBAC

July 24, 2020

Contribution de: C G

Éditer cette page