Product Documentation

Configurer des rôles avec RBAC

Chaque rôle RBAC prédéfini dispose de certains accès et de certaines autorisations associés. Cet article explique chacune de ces autorisations. Pour obtenir une liste complète des autorisations par défaut pour chaque rôle intégré, téléchargez le PDF Role-Based Access Control Defaults.

Lorsque vous appliquez des autorisations, vous définissez les groupes d’utilisateurs que le rôle RBAC est autorisé à gérer. L’administrateur par défaut ne peut pas modifier les paramètres d’autorisation appliqués. Par défaut, les autorisations appliquées s’appliquent à tous les groupes d’utilisateurs.

Lorsque vous procédez à une attribution, vous attribuez le rôle RBAC à un groupe, afin que le groupe d’utilisateurs disposent des droits d’administrateur RBAC.

Rôle d’administrateur

Les utilisateurs avec le rôle administrateur prédéfini ont accès ou n’ont pas accès aux fonctionnalités suivantes dans XenMobile. Par défaut, Accès autorisé (sauf Portail en libre-service), Fonctionnalités de la console et Appliquer des autorisations sont activés.

Accès autorisé pour les administrateurs

   
Accès à la console d’admin Les administrateurs ont accès à toutes les fonctions de la console XenMobile.
Accès au portail en libre-service Par défaut, les administrateurs n’ont pas accès au portail en libre-service.
Assistant d’inscription d’appareils partagés Par défaut, les administrateurs n’ont pas accès à l’assistant d’inscription d’appareils partagés. Cette fonctionnalité est conçue pour les utilisateurs qui ont besoin d’autorisations pour inscrire des appareils partagés.
Accès à l’API publique Les administrateurs ont accès à l’API publique pour réaliser via un programme des actions qui sont disponibles sur la console XenMobile. Ces actions comprennent l’administration des certificats, des applications, des appareils, des groupes de mise à disposition et des utilisateurs locaux.
Inscription d’appareils COSU Par défaut, les administrateurs ne sont pas autorisés à inscrire des appareils COSU auprès de votre déploiement XenMobile. Cette fonctionnalité est conçue pour les utilisateurs qui ont besoin d’autorisations pour inscrire des appareils COSU.

Fonctionnalités de la console pour les administrateurs

Les administrateurs ont un accès illimité à la console XenMobile.

   
Tableau de bord Le tableau de bord est la première page que les administrateurs voient s’afficher après une ouverture de session sur la console XenMobile. Le tableau de bord contient des informations de base sur les notifications et les appareils.
Rapports La page Analyser > Rapports propose des rapports prédéfinis qui vous permettent d’analyser les déploiements d’applications et d’appareils.
Appareils La page Gérer > Appareils vous permet de gérer les appareils des utilisateurs. Vous pouvez ajouter des appareils un par un sur la page, ou importer un fichier de provisioning pour ajouter plusieurs appareils à la fois.
Utilisateurs et groupes locaux La page Gérer > Utilisateurs vous permet d’ajouter, de modifier ou de supprimer des utilisateurs locaux et des groupes d’utilisateurs locaux.
Inscription La page Gérer > Invitations d’inscription vous permet de gérer la manière dont les utilisateurs sont invités à inscrire leurs appareils dans XenMobile.
Stratégies La page Configurer > Stratégies d’appareil est la page à partir de laquelle vous gérez les stratégies telles que VPN et Wi-Fi.
Application La page Configurer > Applications vous permet de gérer les applications que les utilisateurs peuvent installer sur leurs appareils.
Média La page Configurer > Média vous permet de gérer le contenu multimédia que les utilisateurs peuvent installer sur leurs appareils.
Action intelligente La page Configurer > Actions vous permet de gérer les réponses pour déclencher des événements.
Profil d’inscription La page Configurer > Profils d’inscription vous permet de configurer des profils d’inscription (modes) pour permettre aux utilisateurs d’inscrire leurs appareils.
Groupe de mise à disposition La page Configurer > Groupes de mise à disposition vous permet de gérer les groupes de mise à disposition et les ressources associées.
Paramètres La page Paramètres vous permet de gérer les paramètres du système, tels que les propriétés client et serveur, les certificats et les fournisseurs d’identités.
Support La page Dépannage et support vous permet de réaliser des tâches de résolution des problèmes tels qu’effectuer des diagnostics et générer des journaux.

Restrictions d’appareil pour les administrateurs

Les administrateurs accèdent aux fonctionnalités des appareils depuis la console par la définition de restrictions d’appareil, la configuration et l’envoi de notifications aux appareils, l’administration des applications sur les appareils, et ainsi de suite.

   
Effacer un appareil Permet d’effacer toutes les données et applications d’un appareil, y compris des cartes mémoire si l’appareil en est doté.
Effacer la restriction Permet de supprimer une ou plusieurs restrictions.
Effacer les données d’entreprise d’un appareil Permet d’effacer toutes les données et applications d’entreprise d’un appareil, sans toucher aux données et applications personnelles.
Afficher la localisation Permet d’afficher l’emplacement géographique et de définir des restrictions sur un appareil. Inclut : Localiser l’appareil, Suivre l’appareil.
Verrouiller un appareil Permet de verrouiller à distance un appareil de façon à ce que les utilisateurs ne puissent pas utiliser l’appareil.
Déverrouiller un appareil Permet de déverrouiller à distance un appareil de façon à ce que les utilisateurs puissent utiliser l’appareil.
Verrouiller le conteneur Permet de verrouiller à distance le conteneur d’entreprise sur un appareil.
Déverrouiller le conteneur Permet de déverrouiller à distance le conteneur d’entreprise sur un appareil.
Réinitialiser le mot de passe du conteneur Permet de réinitialiser le mot de passe du conteneur d’entreprise.
Activer contournement du verrouillage d’activation DEP ASM Stocke un code de contournement sur un appareil iOS supervisé lorsque le verrouillage d’activation est activé. Pour effacer l’appareil, utilisez ce code pour annuler automatiquement le verrouillage d’activation.
Obtenir utilisateurs résidents Répertorie les utilisateurs qui ont des comptes actifs sur l’appareil actuel. Cette action force une synchronisation entre l’appareil et la console XenMobile.
Déconnecter utilisateur résident Force une déconnexion de l’utilisateur actuel.
Supprimer utilisateur résident Supprime la session en cours pour un utilisateur spécifique. L’utilisateur peut se reconnecter.
Appelle l’appareil Permet d’appeler à distance un appareil Windows à plein volume pendant 5 minutes.
Redémarrer l’appareil Permet de redémarrer les appareils Windows à partir de la console XenMobile.
Déployer vers un appareil Permet d’envoyer des applications, des notifications, des restrictions, et d’autres ressources à un appareil.
Modifier un appareil Permet de modifier les paramètres sur l’appareil.
Notification vers un appareil Permet d’envoyer une notification à un appareil.
Ajouter/Supprimer un appareil Permet d’ajouter ou de supprimer des appareils dans XenMobile.
Importer des appareils Permet d’importer un groupe d’appareils depuis un fichier vers XenMobile.
Exporter la liste des appareils Permet de collecter des informations sur les appareils à partir de la page Appareil et de les exporter vers un fichier .csv.
Révoquer un appareil Permet d’empêcher un appareil de se connecter à XenMobile.
Mode kiosque Permet de refuser l’accès à toutes les applications sur un appareil. Sur Android, cette restriction empêche les utilisateurs de se connecter à XenMobile. Sur iOS, les utilisateurs peuvent se connecter, mais ils ne peuvent pas accéder aux applications.
Effacement des applications Sur Android, cette restriction supprime le compte XenMobile de l’utilisateur. Sur iOS, cette restriction supprime les clés de cryptage dont les utilisateurs ont besoin pour pouvoir accéder aux fonctionnalités de XenMobile.
Voir l’inventaire logiciel Permet de voir quels logiciels sont installés sur un appareil.
Demander la mise en miroir AirPlay Permet de démarrer le streaming AirPlay.
Arrêter la mise en miroir AirPlay Permet d’arrêter le streaming AirPlay.
Activer le mode perdu Sur la page Gérer > Appareils, vous pouvez placer un appareil supervisé en mode perdu pour le bloquer sur l’écran de verrouillage. Vous pouvez ensuite localiser l’appareil en cas de perte ou de vol.
Désactiver le mode perdu Sur la page Gérer > Appareils, vous pouvez désactiver le mode perdu pour un appareil.
Mise à jour de l’OS de l’appareil Vous pouvez déployer une stratégie Contrôler mise à jour d’OS sur les appareils.
Arrêter l’appareil Permet d’arrêter les appareils Windows à partir de la console XenMobile.
Redémarrer l’appareil Permet de redémarrer les appareils iOS à partir de la console XenMobile.

Utilisateurs et groupes locaux

Les administrateurs gèrent les utilisateurs locaux et les groupes d’utilisateurs locaux sur la page Gérer > Utilisateurs dans XenMobile.

 
Ajouter/supprimer des utilisateurs locaux
Modifier un utilisateur local
Importer des utilisateurs locaux
Exporter un utilisateur local
Groupes d’utilisateurs locaux

Inscription

Les administrateurs peuvent ajouter et supprimer des invitations d’inscription, envoyer des notifications aux utilisateurs et exporter la table d’inscription vers un fichier .csv.

   
Ajouter/supprimer inscription Permet d’ajouter ou de supprimer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs.
Notifier un utilisateur Permet d’envoyer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs.
Exporter la table d’invitation d’inscription Permet de collecter des informations d’inscription à partir de la page Inscription et de les exporter vers un fichier .csv.

Stratégies

   
Ajouter/Supprimer une stratégie Permet d’ajouter ou de supprimer une stratégie d’appareil ou d’application.
Modifier une stratégie Permet de modifier une stratégie d’appareil ou d’application.
Charger la stratégie Permet de charger une stratégie d’appareil ou d’application.
Cloner la stratégie Permet de copier une stratégie d’appareil ou d’application.
Désactiver la stratégie Permet de désactiver une stratégie d’application existante.
Exporter la stratégie Permet de collecter des informations sur une stratégie à partir de la page Stratégies d’appareil et de les exporter vers un fichier .csv.
Attribuer la stratégie Permet d’attribuer une stratégie d’appareil à un ou plusieurs groupes de mise à disposition.

Application

Les administrateurs gèrent plusieurs applications sur la page Configurer > Applications dans XenMobile.

   
Ajouter/supprimer un magasin d’applications ou une application d’entreprise Permet d’ajouter ou de supprimer une application de magasin d’applications public ou une application non wrappée avec MDX.
Modifier un magasin d’applications ou une application d’entreprise Permet de modifier une application de magasin d’applications public ou une application non encapsulée avec MDX.
Ajouter/supprimer une application MDX, Web et SaaS Permet d’ajouter ou de supprimer des applications. Une application Web est une application provenant de votre réseau interne. Une application SaaS est une application provenant d’un réseau public (SaaS).
Modifier une application MDX, Web et SaaS Permet de modifier les applications.
Ajouter/supprimer une catégorie Permet d’ajouter ou de supprimer une catégorie dans laquelle les applications peuvent s’afficher dans le XenMobile Store.
Attribuer une application publique/d’entreprise à un groupe de mise à disposition Permet d’attribuer une application de magasin d’applications public ou une application non wrappée avec MDX à un groupe de mise à disposition pour déploiement.
Attribuer une application MDX/WebLink/SaaS à un groupe de mise à disposition Permet d’attribuer des applications à un groupe de mise à disposition pour le déploiement sur les appareils d’utilisateurs. Une application WebLink est une application qui ne nécessite pas d’authentification unique.
Exporter la liste des applications Permet de collecter des informations sur les applications à partir de la page Application et de les exporter vers un fichier .csv.

Média

Permet de gérer le contenu multimédia obtenu à partir d’un magasin d’applications public ou au travers d’une licence VPP.

 
Ajouter/supprimer livres App Store ou d’entreprise
Attribuer des livres publics/d’entreprise à un groupe de mise à disposition
Modifier livres App Store ou d’entreprise

Action intelligente

   
Ajouter/supprimer une action intelligente Permet d’ajouter ou de supprimer une action qui est définie par un déclencheur (événement, appareil ou propriété utilisateur, ou nom de l’application installée) et la réponse associée.
Modifier une action intelligente Permet de modifier une action qui est définie par un déclencheur (événement, appareil ou propriété utilisateur, ou nom de l’application installée) et la réponse associée.
Attribuer une action intelligente à un groupe de mise à disposition Permet d’attribuer une action à un groupe de mise à disposition pour le déploiement vers les appareils d’utilisateurs.
Exporter une action intelligente Permet de collecter des informations sur une action à partir de la page Actions et de les exporter vers un fichier .csv.

Groupe de mise à disposition

Les administrateurs gèrent les groupes de mise à disposition à partir de la page Configurer > Groupes de mise à disposition.

   
Ajouter/supprimer un groupe de mise à disposition Permet de créer ou de supprimer un groupe de mise à disposition, ce qui ajoute les utilisateurs spécifiés et les stratégies, les applications et les actions facultatives.
Modifier un groupe de mise à disposition Permet de modifier un groupe de mise à disposition, ce qui modifie les utilisateurs et les stratégies, les applications et les actions facultatives.
Déployer un groupe de mise à disposition Permet de distribuer un groupe de mise à disposition.
Exporter un groupe de mise à disposition Permet de collecter des informations sur un groupe de mise à disposition à partir de la page Groupe de mise à disposition et de les exporter vers un fichier .csv.

Profil d’inscription

Permet de gérer les profils d’inscription.

 
Ajouter/supprimer profil d’inscription
Modifier le profil d’inscription
Attribuer profil d’inscription à un groupe de mise à disposition

Paramètres des administrateurs

Les administrateurs configurent divers paramètres sur les pages Paramètres.

   
RBAC Attribution d’un rôle RBAC
LDAP Permet de gérer un ou plusieurs annuaires compatibles LDAP, tels que Active Directory, pour importer des groupes, comptes d’utilisateurs et propriétés associées.
Inscription Permet d’activer des modes d’inscription pour les utilisateurs ainsi que le portail utilisateur.
Gestion des versions Permet d’afficher la version installée. Inclut : Mise à jour de la gestion des versions
Certificats Modifier le certificat APNS
Modèles de notification Permet de créer des modèles de notification à utiliser dans les actions automatisées, l’inscription et la remise de messages de notification standard aux utilisateurs.
Workflows Permet de gérer la création, l’approbation et la suppression des comptes d’utilisateur à utiliser avec les configurations d’application.
Fournisseurs d’informations d’identification Permet d’ajouter un ou plusieurs fournisseurs d’informations d’identification autorisés à émettre des certificats d’appareil. Les fournisseurs d’informations d’identification contrôlent le format du certificat et les conditions de renouvellement ou de révocation du certificat.
Entités PKI Permet de gérer les entités d’infrastructure de clé publique (générique, Services de certificats Microsoft ou autorité de certification discrétionnaire).
Tester la connexion PKI Permet d’utiliser le bouton Tester la connexion sur la page Paramètres > Entités PKI pour vous assurer que le serveur est accessible.
Propriétés de client Permet de gérer les différentes propriétés sur les appareils d’utilisateur, telles que le type de code secret, le niveau de sécurité et la date d’expiration.
Support client Permet de définir la méthode utilisée par les utilisateurs pour contacter votre service d’assistance (messagerie, téléphone ou ticket d’assistance).
Personnalisation du client Personnalisez le nom du magasin et les vues de magasin par défaut du XenMobile Store. Permet d’ajouter un logo personnalisé qui s’affiche sur XenMobile Store ou Secure Hub.
Passerelle SMS opérateur Permet de configurer des passerelles SMS d’opérateur pour configurer les notifications que XenMobile envoie via les passerelles SMS d’opérateur.
Serveur de notification Permet de définir un serveur de passerelle SMTP pour envoyer des e-mails aux utilisateurs.
ActiveSync Gateway Permet de gérer l’accès des utilisateurs à des utilisateurs et à des appareils à l’aide de règles et de propriétés.
Informations d’identification Google Play Permet de définir un nom d’utilisateur, un mot de passe et un ID d’appareil pour autoriser l’accès à Google Play.
Google Chrome Permet de configurer XenMobile pour communiquer avec votre compte G Suite.
Programme d’inscription des appareils (DEP) Apple Permet d’ajouter un compte Apple DEP à XenMobile.
Inscription d’appareils dans Apple Configurator Permet de configurer les paramètres d’Apple Configurator dans XenMobile.
Paramètres iOS/VPP Permet d’ajouter des comptes pour le programme d’achats en volume Apple.
Fournisseur de services mobiles Permet d’utiliser l’interface du fournisseur de services mobiles pour interroger des appareils BlackBerry et d’autres appareils Exchange ActiveSync et d’effectuer des opérations d’émission.
NetScaler Gateway Configurez les paramètres de NetScaler Gateway dans XenMobile.
Contrôle d’accès réseau Permet de définir les conditions qui déterminent si un appareil est non compatible et par conséquent s’il n’a pas accès au réseau.
Samsung KNOX Permet d’activer ou de désactiver l’interrogation par XenMobile des API REST du serveur d’attestation Samsung KNOX.
Propriétés du serveur Permet d’ajouter ou de modifier des propriétés de serveur. Requiert le redémarrage de XenMobile sur tous les nœuds.
XenApp et XenDesktop Autorise les utilisateurs à ajouter XenApp et XenDesktop via Secure Hub.
ShareFile Lors de l’utilisation de XenMobile avec ShareFile Enterprise : permet de configurer les paramètres pour la connexion au compte ShareFile et au compte de service d’administrateur afin de gérer les comptes d’utilisateurs. Requiert des informations d’identification d’administrateur et de domaine ShareFile. Lors de l’utilisation de XenMobile avec des connecteurs StorageZone : permet de configurer XenMobile pour pointer vers les partages réseau et les emplacements SharePoint définis dans les connecteurs ShareFile StorageZones.
Android for Work Permet de configurer les paramètres de serveur Android for Work.
Fournisseur d’identité (IdP) Permet de configurer un fournisseur d’identité.
Informations d’identification dérivées Permet de configurer les informations d’identification dérivées pour l’inscription d’appareils iOS.
Microsoft Store pour Entreprises Permet de configurer les paramètres Microsoft Store pour Entreprises dans XenMobile.
XenMobile Tools Permet d’accéder à la page XenMobile Tools.
Inscription en bloc de Windows Permet de configurer les paramètres d’inscription en bloc de Windows.

Support

Les administrateurs peuvent effectuer diverses tâches de support.

   
Contrôles de connectivité dans NetScaler Gateway Permet de tester la connectivité de NetScaler Gateway par adresse IP. Requiert un nom d’utilisateur et un mot de passe.
Contrôles de connectivité dans XenMobile Permet de tester la connectivité de certaines fonctionnalités XenMobile, telles que la base de données, DNS et Google Plan.
Documentation Produit Citrix Permet d’accéder au site de documentation Citrix XenMobile public.
Centre de connaissances de Citrix Permet d’accéder au site d’assistance de Citrix pour rechercher des articles de la base de connaissances.
Journaux Permet d’afficher et de télécharger des fichiers journaux.
Macros Permet de remplir les données de propriété d’appareil ou d’utilisateur dans le champ textuel d’un profil, d’une stratégie, d’une notification ou d’un modèle d’inscription. Configurez une stratégie et déployez-la auprès d’un grand nombre d’utilisateurs et de manière à ce que des valeurs spécifiques à l’utilisateur s’affichent pour chaque utilisateur ciblé.
Configuration du PKI Permet d’importer et d’exporter des informations de configuration d’infrastructure de clé publique (PKI).
Utilitaire de signature APNS Permet d’envoyer une demande de certificats APNS ou de télécharger un certificat APNS Secure Mail pour iOS.
Accéder à Citrix Insight Services Permet de charger des journaux sur Citrix Insight Services (CIS) pour obtenir de l’aide avec divers problèmes.
État NetScaler Connector de l’appareil Permet d’effectuer une requête auprès de XenMobile pour connaître l’état d’un appareil tel qu’envoyé à XenMobile NetScaler Connector en fonction de l’ID ActiveSync de l’appareil.

Restreindre l’accès aux groupes

Les utilisateurs de niveau administrateur peuvent appliquer des autorisations à tous les groupes d’utilisateurs.

Rôle de provisioning d’appareils

Important :

Le rôle Provisioning d’appareils s’applique uniquement aux appareils Windows CE.

Les utilisateurs disposant du rôle Provisioning d’appareils prédéfini ont un accès limité aux fonctionnalités de la console. Par défaut, leur autorisation est définie pour tous les groupes d’utilisateurs et ils ne peuvent pas modifier ce paramètre.

Fonctionnalités de la console pour le provisioning d’appareils

Les utilisateurs avec le rôle Provisioning d’appareils ont l’accès limité suivant à la console XenMobile. Par défaut, les fonctionnalités suivantes sont activées.

Restrictions d’appareil

   
Modifier un appareil Permet de modifier les paramètres sur l’appareil.
Ajouter/Supprimer un appareil Permet d’ajouter ou de supprimer des appareils dans XenMobile.

Paramètres pour le provisioning d’appareils

Les utilisateurs du provisioning d’appareils peuvent accéder à la page Paramètres, mais ils ne sont pas autorisés à configurer les fonctionnalités.

Rôle Utilisateur

Les utilisateurs avec le rôle Utilisateur disposent de l’accès limité suivant à XenMobile.

Accès autorisé pour les utilisateurs

   
Portail en libre-service Fournit un accès utilisateur uniquement au portail d’assistance (en libre-service) dans XenMobile.

Fonctionnalités de la console pour les utilisateurs

Les utilisateurs ont l’accès limité suivant à la console XenMobile.

Accès restreint pour les utilisateurs

   
Effacer un appareil Permet d’effacer toutes les données et applications d’un appareil, y compris des cartes mémoire si l’appareil en est doté.
Effacer les données d’entreprise d’un appareil Permet d’effacer toutes les données et applications d’entreprise d’un appareil, sans toucher aux données et applications personnelles.
Afficher la localisation Permet d’afficher l’emplacement géographique et définir des restrictions sur un appareil. Inclut : Localiser un appareil, Voir l’emplacement d’un appareil, Suivre un appareil, Suivre l’emplacement d’un appareil au fil du temps.
Verrouiller un appareil Permet de verrouiller à distance un appareil de façon à ce qu’il ne puisse pas être utilisé.
Déverrouiller un appareil Permet de déverrouiller à distance un appareil de façon à ce qu’il puisse être utilisé.
Verrouiller le conteneur Permet de verrouiller à distance le conteneur d’entreprise sur un appareil.
Déverrouiller le conteneur Permet de déverrouiller à distance le conteneur d’entreprise sur un appareil.
Réinitialiser le mot de passe du conteneur Permet de réinitialiser le mot de passe du conteneur d’entreprise.
Activer contournement du verrouillage d’activation DEP ASM Stocke un code de contournement sur un appareil iOS supervisé lorsque le verrouillage d’activation est activé. Pour effacer l’appareil, utilisez ce code pour annuler automatiquement le verrouillage d’activation.
Obtenir utilisateurs résidents Répertorie les utilisateurs qui ont des comptes actifs sur l’appareil actuel. Cette action force une synchronisation entre l’appareil et la console XenMobile.
Déconnecter utilisateur résident Force une déconnexion de l’utilisateur actuel.
Supprimer utilisateur résident Supprime la session en cours pour un utilisateur spécifique. L’utilisateur peut se reconnecter.
Appelle l’appareil Permet d’appeler à distance un appareil Windows à plein volume pendant 5 minutes.
Redémarrer l’appareil Permet de redémarrer un appareil Windows.
Mode kiosque Permet de refuser l’accès à toutes les applications sur un appareil. Sur Android, les utilisateurs ne peuvent pas se connecter à XenMobile. Sur iOS, les utilisateurs peuvent se connecter, mais ils ne peuvent pas accéder aux applications.
Effacement des applications Sur Android, cette restriction supprime le compte XenMobile de l’utilisateur. Sur iOS, cette restriction supprime les clés de cryptage dont les utilisateurs ont besoin pour pouvoir accéder aux fonctionnalités de XenMobile.
Voir l’inventaire logiciel Permet de voir quels logiciels sont installés sur un appareil.

Restrictions d’inscription pour les utilisateurs

   
Ajouter/supprimer inscription Permet d’ajouter ou de supprimer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs.
Notifier un utilisateur Permet d’envoyer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs.

Restreindre l’accès aux groupes pour tous les rôles

Pour les quatre rôles par défaut, cette autorisation est définie par défaut et peut être appliquée à tous les groupes d’utilisateurs. Vous ne pouvez pas modifier le rôle.

Pour utiliser la fonctionnalité RBAC

La fonctionnalité de contrôle d’accès basé sur rôle (RBAC) de XenMobile vous permet d’attribuer des rôles prédéfinis ou un ensemble d’autorisations aux utilisateurs et aux groupes. Ces autorisations contrôlent le niveau d’accès des utilisateurs aux fonctions du système.

XenMobile implémente quatre rôles utilisateur par défaut de façon à séparer logiquement l’accès aux fonctions système :

  • Administrateur : accorde un accès complet au système.
  • Provisioning d’appareils : accorde un accès à l’administration de base des appareils pour les appareils Windows CE.
  • Utilisateur : utilisé par les utilisateurs autorisés à inscrire des appareils et à accéder au portail en libre-service.

Vous pouvez également utiliser les rôles par défaut en tant que modèles que vous personnalisez pour créer des rôles utilisateur. Vous pouvez attribuer à ces rôles d’utilisateur l’autorisation d’accéder à des fonctions système supplémentaires.

Vous pouvez attribuer des rôles à des utilisateurs locaux (au niveau de l’utilisateur) ou à des groupes Active Directory (tous les utilisateurs de ce groupe ont les mêmes autorisations). Si un utilisateur appartient à plusieurs groupes Active Directory, les autorisations sont fusionnées pour définir les autorisations de cet utilisateur. Par exemple, si les utilisateurs ADGroupA peuvent localiser les appareils appartenant à l’entreprise, et que les utilisateurs ADGroupB peuvent réinitialiser les appareils appartenant aux employés : un utilisateur qui appartient aux deux groupes peut localiser et réinitialiser les appareils appartenant à l’entreprise et aux employés.

Remarque :

un seul rôle peut être attribué aux utilisateurs locaux.

Vous pouvez utiliser la fonctionnalité RBAC dans XenMobile pour effectuer les opérations suivantes :

  • Créer un rôle.
  • Ajouter des groupes à un rôle.
  • Associer des utilisateurs locaux aux rôles.
  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Cliquez sur Contrôle d’accès basé sur rôle. La page Contrôle d’accès basé sur rôle qui apparaît affiche les quatre rôles utilisateur par défaut, ainsi que tout rôle que vous avez déjà ajouté.

    si vous cliquez sur le signe plus (+) à côté d’un rôle, celui-ci se développe pour afficher toutes les autorisations pour ce rôle.

    Image de configuration de RBAC XenMobile

  3. Cliquez sur Ajouter pour ajouter un rôle d’utilisateur. Cliquez sur l’icône de crayon à droite d’un rôle existant pour modifier le rôle. Ou, Cliquez sur l’icône de la corbeille située à droite d’un rôle que vous avez défini pour supprimer le rôle. Vous ne pouvez pas supprimer les rôles utilisateur par défaut.

    • Lorsque vous cliquez sur Ajouter ou l’icône de crayon, la page Ajouter un rôle ou Modifier le rôle s’affiche.
    • Lorsque vous cliquez sur l’icône de corbeille, une boîte de dialogue de confirmation s’affiche. Cliquez sur Supprimer pour supprimer le rôle sélectionné.
  4. Entrez les informations suivantes pour créer un rôle utilisateur ou pour modifier un rôle utilisateur :

    • Nom RBAC : entrez un nom descriptif pour le nouveau rôle utilisateur. Vous ne pouvez pas modifier le nom d’un rôle existant.
    • Modèle RBAC : si vous le souhaitez, cliquez sur un modèle en tant que point de départ pour le nouveau rôle. Vous ne pouvez pas sélectionner de modèle si vous modifiez un rôle existant.

    Les modèles RBAC sont les rôles utilisateur par défaut. Ils définissent l’accès aux fonctions système dont disposent les utilisateurs associés à ce rôle. Lorsque vous sélectionnez un modèle RBAC, vous pouvez voir toutes les autorisations associées à ce rôle dans les champs Accès autorisé et Fonctionnalités de la console. L’utilisation d’un modèle est facultative ; vous pouvez sélectionner les options que vous voulez attribuer à un rôle directement dans les champs Accès autorisé et Fonctionnalités de la console.

  5. Cliquez sur Appliquer à droite du champ Modèle RBAC pour renseigner les cases Accès autorisé et Fonctionnalités de la console. XenMobile remplit ces champs avec les autorisations d’accès et de fonctionnalités prédéfinies pour le modèle sélectionné.

    Image de configuration de RBAC XenMobile

  6. Sélectionnez et décochez les cases à cocher appropriées dans Accès autorisé et Fonctionnalités de la console pour personnaliser le rôle.

    si vous cliquez sur le triangle à côté de Fonctionnalités de la console, les autorisations spécifiques à cette fonctionnalité s’affichent de façon à ce que vous puissiez les sélectionner ou les désélectionner. Si vous cliquez sur la case à cocher de niveau supérieur, cela interdit l’accès à cette partie de la console. Sélectionnez les options individuelles sous le niveau supérieur pour activer ces options.

  7. Appliquer les autorisations : sélectionnez les groupes auxquels vous voulez appliquer les autorisations sélectionnées. Si vous cliquez sur À des groupes d’utilisateurs spécifiques, une liste des groupes s’affiche à partir de laquelle vous pouvez sélectionner un ou plusieurs groupes.

    Image de configuration de RBAC XenMobile

  8. Cliquez sur Suivant. La page Attribution s’affiche.

    Image de configuration de RBAC XenMobile

  9. Entrez les informations suivantes pour attribuer le rôle à des groupes d’utilisateurs.

    • Sélectionner un domaine : cliquez sur un domaine dans la liste.
    • Inclure des groupes d’utilisateurs : cliquez sur Rechercher pour afficher la liste de tous les groupes disponibles. Ou, tapez un nom de groupe complet ou partiel pour limiter la liste aux seuls groupes portant ce nom.
    • Dans la liste qui s’affiche, sélectionnez les groupes d’utilisateurs auxquels vous souhaitez attribuer le rôle. Lorsque vous sélectionnez un groupe d’utilisateurs, le groupe apparaît dans la liste Groupes d’utilisateurs sélectionnés.

    Image de configuration de RBAC XenMobile

    Remarque :

    pour supprimer un groupe d’utilisateurs de la liste Groupes d’utilisateurs sélectionnés, cliquez sur le X en regard du nom du groupe d’utilisateurs.

  10. Cliquez sur Enregistrer.

Configurer des rôles avec RBAC