Configurer des rôles avec RBAC
Chaque rôle RBAC prédéfini dispose de certains accès et de certaines autorisations associés. Cet article explique chacune de ces autorisations. Pour obtenir une liste complète des autorisations par défaut pour chaque rôle intégré, téléchargez le PDF Role-Based Access Control Defaults.
Lorsque vous appliquez des autorisations, vous définissez les groupes d’utilisateurs que le rôle RBAC est autorisé à gérer. L’administrateur par défaut ne peut pas modifier les paramètres d’autorisation appliqués. Par défaut, les autorisations appliquées s’appliquent à tous les groupes d’utilisateurs.
Lorsque vous procédez à une attribution, vous attribuez le rôle RBAC à un groupe, afin que le groupe d’utilisateurs disposent des droits d’administrateur RBAC.
Rôle d’administrateur
Les utilisateurs avec le rôle administrateur prédéfini ont accès ou n’ont pas accès aux fonctionnalités suivantes dans Endpoint Management. Par défaut, Accès autorisé (sauf Portail en libre-service), Fonctionnalités de la console et Appliquer des autorisations sont activés.
Accès autorisé pour les administrateurs
| Accès à la console d’admin | Les administrateurs ont accès à toutes les fonctions de la console Endpoint Management. |
| Accès au portail en libre-service | Par défaut, les administrateurs n’ont pas accès au portail en libre-service. |
| Assistant d’inscription d’appareils partagés | Par défaut, les administrateurs n’ont pas accès à l’assistant d’inscription d’appareils partagés. Cette fonctionnalité est conçue pour les utilisateurs qui ont besoin d’autorisations pour inscrire des appareils partagés. |
| Accès à l’assistance à distance | Les administrateurs ont accès à la fonctionnalité d’assistance à distance. |
| Accès à l’API publique | Les administrateurs ont accès à l’API publique pour réaliser via un programme des actions qui sont disponibles sur la console Endpoint Management. Ces actions comprennent l’administration des certificats, des applications, des appareils, des groupes de mise à disposition et des utilisateurs locaux. |
| Inscription d’appareils COSU | Par défaut, les administrateurs ne sont pas autorisés à inscrire des appareils COSU auprès de votre déploiement Endpoint Management. Cette fonctionnalité est conçue pour les utilisateurs qui ont besoin d’autorisations pour inscrire des appareils COSU. |
Fonctionnalités de la console pour les administrateurs
Les administrateurs ont un accès illimité à la console Endpoint Management.
| Tableau de bord | Le tableau de bord est la première page que les administrateurs voient s’afficher après une ouverture de session sur la console Endpoint Management. Le tableau de bord contient des informations de base sur les notifications et les appareils. |
| Rapports | La page Analyser > Rapports propose des rapports prédéfinis qui vous permettent d’analyser les déploiements d’applications et d’appareils. |
| Appareils | La page Gérer > Appareils vous permet de gérer les appareils des utilisateurs. Vous pouvez ajouter des appareils un par un sur la page, ou importer un fichier de provisioning pour ajouter plusieurs appareils à la fois. |
| Utilisateurs et groupes locaux | La page Gérer > Utilisateurs vous permet d’ajouter, de modifier ou de supprimer des utilisateurs locaux et des groupes d’utilisateurs locaux. |
| Inscription | La page Gérer > Invitations d’inscription vous permet de gérer la manière dont les utilisateurs sont invités à inscrire leurs appareils dans Endpoint Management. |
| Stratégies | La page Configurer > Stratégies d’appareil est la page à partir de laquelle vous gérez les stratégies telles que VPN et Wi-Fi. |
| Application | La page Configurer > Applications vous permet de gérer les applications que les utilisateurs peuvent installer sur leurs appareils. |
| Média | La page Configurer > Média vous permet de gérer le contenu multimédia que les utilisateurs peuvent installer sur leurs appareils. |
| Action intelligente | La page Configurer > Actions vous permet de gérer les réponses pour déclencher des événements. |
| Groupe de mise à disposition | La page Configurer > Groupes de mise à disposition vous permet de gérer les groupes de mise à disposition et les ressources associées. |
| Profil d’inscription | La page Configurer > Profils d’inscription vous permet de configurer des profils d’inscription (modes) pour permettre aux utilisateurs d’inscrire leurs appareils. |
| Alexa for Business | La page Paramètres vous permet de gérer vos profils Alexa for Business. |
| Paramètres | La page Paramètres vous permet de gérer les paramètres du système, tels que les propriétés client et serveur, les certificats et les fournisseurs d’identités. |
| Support | La page Dépannage et support vous permet de réaliser des tâches de résolution des problèmes tels qu’effectuer des diagnostics et générer des journaux. |
Restrictions d’appareil pour les administrateurs
Les administrateurs accèdent aux fonctionnalités des appareils depuis la console par la définition de restrictions d’appareil, la configuration et l’envoi de notifications aux appareils, l’administration des applications sur les appareils, et ainsi de suite.
| Effacer un appareil | Permet d’effacer toutes les données et applications d’un appareil, y compris des cartes mémoire si l’appareil en est doté. |
| Effacer la restriction | Permet de supprimer une ou plusieurs restrictions. |
| Effacer les données d’entreprise d’un appareil | Permet d’effacer toutes les données et applications d’entreprise d’un appareil, sans toucher aux données et applications personnelles. |
| Afficher la localisation | Permet d’afficher l’emplacement géographique et définir des restrictions sur un appareil. Inclut : Localiser l’appareil, Suivre l’appareil. |
| Verrouiller un appareil | Permet de verrouiller à distance un appareil de façon à ce que les utilisateurs ne puissent pas utiliser l’appareil. |
| Déverrouiller un appareil | Permet de déverrouiller à distance un appareil de façon à ce que les utilisateurs puissent utiliser l’appareil. |
| Verrouiller le conteneur | Permet de verrouiller à distance le conteneur d’entreprise sur un appareil. |
| Déverrouiller le conteneur | Permet de déverrouiller à distance le conteneur d’entreprise sur un appareil. |
| Réinitialiser le mot de passe du conteneur | Permet de réinitialiser le mot de passe du conteneur d’entreprise. |
| Activer contournement du verrouillage d’activation DEP ASM | Stocke un code de contournement sur un appareil iOS supervisé lorsque le verrouillage d’activation est activé. Pour effacer l’appareil, utilisez ce code pour annuler automatiquement le verrouillage d’activation. |
| Obtenir utilisateurs résidents | Répertorie les utilisateurs qui ont des comptes actifs sur l’appareil actuel. Cette action force une synchronisation entre l’appareil et la console Endpoint Management. |
| Déconnecter utilisateur résident | Force une déconnexion de l’utilisateur actuel. |
| Supprimer utilisateur résident | Supprime la session en cours pour un utilisateur spécifique. L’utilisateur peut se reconnecter. |
| Appelle l’appareil | Permet d’appeler à distance un appareil Windows à plein volume pendant 5 minutes. |
| Redémarrer l’appareil | Permet de redémarrer les appareils Windows à partir de la console Endpoint Management. |
| Déployer vers un appareil | Permet d’envoyer des applications, des notifications, des restrictions, et d’autres ressources à un appareil. |
| Modifier un appareil | Permet de modifier les paramètres sur l’appareil. |
| Notification vers un appareil | Permet d’envoyer une notification à un appareil. |
| Ajouter/Supprimer un appareil | Permet d’ajouter ou de supprimer des appareils dans Endpoint Management. |
| Importer des appareils | Permet d’importer un groupe d’appareils depuis un fichier vers Endpoint Management. |
| Exporter la liste des appareils | Permet de collecter des informations sur les appareils à partir de la page Appareil et de les exporter vers un fichier .csv. |
| Révoquer un appareil | Permet d’empêcher un appareil de se connecter à Endpoint Management. |
| Mode kiosque | Permet de refuser l’accès à toutes les applications sur un appareil. Sur Android, cette restriction empêche les utilisateurs de se connecter à Endpoint Management. Sur iOS, les utilisateurs peuvent se connecter, mais ils ne peuvent pas accéder aux applications. |
| Effacement des applications | Sur Android, cette restriction supprime le compte Endpoint Management de l’utilisateur. Sur iOS, cette restriction supprime les clés de cryptage dont les utilisateurs ont besoin pour pouvoir accéder aux fonctionnalités de Endpoint Management. |
| Voir l’inventaire logiciel | Permet de voir quels logiciels sont installés sur un appareil. |
| Demander la mise en miroir AirPlay | Permet de démarrer le streaming AirPlay. |
| Arrêter la mise en miroir AirPlay | Permet d’arrêter le streaming AirPlay. |
| Activer le mode perdu | Sur la page Gérer > Appareils, vous pouvez placer un appareil supervisé en mode perdu pour le bloquer sur l’écran de verrouillage. Vous pouvez ensuite localiser l’appareil en cas de perte ou de vol. |
| Désactiver le mode perdu | Sur la page Gérer > Appareils, vous pouvez désactiver le mode perdu pour un appareil. |
| Mise à jour de l’OS de l’appareil | Vous pouvez déployer une stratégie de mise à jour d’OS sur les appareils. |
| Arrêter l’appareil | Permet d’arrêter les appareils iOS à partir de la console Endpoint Management. |
| Redémarrer l’appareil | Permet de redémarrer les appareils iOS à partir de la console Endpoint Management. |
| Renouveler le certificat d’inscription d’appareil | Permet de renouveler le certificat CA de l’appareil. |
Utilisateurs et groupes locaux
Les administrateurs gèrent les utilisateurs locaux et les groupes d’utilisateurs locaux sur la page Gérer > Utilisateurs dans Endpoint Management.
| Ajouter/supprimer des utilisateurs locaux |
| Modifier un utilisateur local |
| Importer des utilisateurs locaux |
| Exporter un utilisateur local |
| Groupes d’utilisateurs locaux |
Inscription
Les administrateurs peuvent ajouter et supprimer des invitations d’inscription, envoyer des notifications aux utilisateurs et exporter la table d’inscription vers un fichier .csv.
| Ajouter/supprimer inscription | Permet d’ajouter ou de supprimer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs. |
| Notifier un utilisateur | Permet d’envoyer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs. |
| Exporter la table d’invitation d’inscription | Permet de collecter des informations d’inscription à partir de la page Inscription et de les exporter vers un fichier .csv. |
Stratégies
| Ajouter/Supprimer une stratégie | Permet d’ajouter ou de supprimer une stratégie d’appareil ou d’application. |
| Modifier une stratégie | Permet de modifier une stratégie d’appareil ou d’application. |
| Charger la stratégie | Permet de charger une stratégie d’appareil ou d’application. |
| Cloner la stratégie | Permet de copier une stratégie d’appareil ou d’application. |
| Désactiver la stratégie | Permet de désactiver une stratégie d’application existante. |
| Exporter la stratégie | Permet de collecter des informations sur une stratégie à partir de la page Stratégies d’appareil et de les exporter vers un fichier .csv. |
| Attribuer la stratégie | Permet d’attribuer une stratégie d’appareil à un ou plusieurs groupes de mise à disposition. |
Application
Les administrateurs gèrent les applications sur la page Configurer > Applications dans Endpoint Management.
| Ajouter/supprimer un magasin d’applications ou une application d’entreprise | Permet d’ajouter ou de supprimer une application de magasin d’applications public ou une application non wrappée avec MDX. |
| Modifier un magasin d’applications ou une application d’entreprise | Permet de modifier une application de magasin d’applications public ou une application non encapsulée avec MDX. |
| Ajouter/supprimer une application MDX, Web et SaaS | Permet d’ajouter ou de supprimer des applications. Une application Web est une application provenant de votre réseau interne. Une application SaaS est une application provenant d’un réseau public (SaaS). |
| Modifier une application MDX, Web et SaaS | Permet de modifier les applications. |
| Ajouter/supprimer une catégorie | Permet d’ajouter ou de supprimer une catégorie dans laquelle les applications peuvent s’afficher dans le magasin d’applications. |
| Attribuer une application publique/d’entreprise à un groupe de mise à disposition | Permet d’attribuer une application de magasin d’applications public ou une application non wrappée avec MDX à un groupe de mise à disposition pour déploiement. |
| Attribuer une application MDX/WebLink/SaaS à un groupe de mise à disposition | Permet d’attribuer des applications à un groupe de mise à disposition pour le déploiement sur les appareils d’utilisateurs. Une application WebLink est une application qui ne nécessite pas d’authentification unique. |
| Exporter la liste des applications | Permet de collecter des informations sur les applications à partir de la page Application et de les exporter vers un fichier .csv. |
Média
Permet de gérer le contenu multimédia obtenu à partir d’un magasin d’applications public ou au travers d’une licence VPP.
| Ajouter/supprimer livres App Store ou d’entreprise |
| Attribuer des livres publics/d’entreprise à un groupe de mise à disposition |
| Modifier livres App Store ou d’entreprise |
Action intelligente
| Ajouter/supprimer une action intelligente | Permet d’ajouter ou de supprimer une action qui est définie par un déclencheur (événement, appareil ou propriété utilisateur, ou nom de l’application installée) et la réponse associée. |
| Modifier une action intelligente | Permet de modifier une action qui est définie par un déclencheur (événement, appareil ou propriété utilisateur, ou nom de l’application installée) et la réponse associée. |
| Attribuer une action intelligente à un groupe de mise à disposition | Permet d’attribuer une action à un groupe de mise à disposition pour le déploiement vers les appareils d’utilisateurs. |
| Exporter une action intelligente | Permet de collecter des informations sur une action à partir de la page Actions et de les exporter vers un fichier .csv. |
Groupe de mise à disposition
Les administrateurs gèrent les groupes de mise à disposition à partir de la page Configurer > Groupes de mise à disposition.
| Ajouter/supprimer un groupe de mise à disposition | Permet de créer ou de supprimer un groupe de mise à disposition, ce qui ajoute les utilisateurs spécifiés et les stratégies, les applications et les actions facultatives. |
| Modifier un groupe de mise à disposition | Permet de modifier un groupe de mise à disposition, ce qui modifie les utilisateurs et les stratégies, les applications et les actions facultatives. |
| Déployer un groupe de mise à disposition | Permet de distribuer un groupe de mise à disposition. |
| Exporter un groupe de mise à disposition | Permet de collecter des informations sur un groupe de mise à disposition à partir de la page Groupe de mise à disposition et de les exporter vers un fichier .csv. |
Profil d’inscription
Permet de gérer les profils d’inscription.
| Ajouter/supprimer profil d’inscription |
| Modifier le profil d’inscription |
| Attribuer profil d’inscription à un groupe de mise à disposition |
Alexa for Business
Permet de gérer les profils Alexa for Business.
| Ajouter/Supprimer/Modifier des pièces |
| Ajouter/Supprimer/Modifier des profils de pièces |
| Ajouter/Supprimer/Modifier des groupes de Skills |
Paramètres des administrateurs
Les administrateurs configurent divers paramètres sur les pages Paramètres.
| RBAC | Attribution d’un rôle RBAC |
| LDAP | Permet de gérer un ou plusieurs annuaires compatibles LDAP, tels que Active Directory, pour importer des groupes, comptes d’utilisateurs et propriétés associées. |
| Inscription | Permet d’activer des modes d’inscription pour les utilisateurs ainsi que le portail utilisateur. |
| Gestion des versions | Permet d’afficher la version installée. Inclut : Mise à jour de la gestion des versions |
| Certificats | Modifier le certificat APNS |
| Modèles de notification | Permet de créer des modèles de notification à utiliser dans les actions automatisées, l’inscription et la remise de messages de notification standard aux utilisateurs. |
| Workflows | Permet de gérer la création, l’approbation et la suppression des comptes d’utilisateur à utiliser avec les configurations d’application. |
| Fournisseurs d’informations d’identification | Permet d’ajouter un ou plusieurs fournisseurs d’informations d’identification autorisés à émettre des certificats d’appareil. Les fournisseurs d’informations d’identification contrôlent le format du certificat et les conditions de renouvellement ou de révocation du certificat. |
| Entités PKI | Permet de gérer les entités d’infrastructure de clé publique (générique, Services de certificats Microsoft ou autorité de certification discrétionnaire). |
| Tester la connexion PKI | Permet d’utiliser le bouton Tester la connexion sur la page Paramètres > Entités PKI pour vous assurer que le serveur est accessible. |
| Propriétés de client | Permet de gérer les différentes propriétés sur les appareils d’utilisateur, telles que le type de code secret, le niveau de sécurité et la date d’expiration. |
| Support client | Permet de définir la méthode utilisée par les utilisateurs pour contacter votre service d’assistance (messagerie, téléphone ou ticket d’assistance). |
| Personnalisation du client | Permet de personnaliser le nom du magasin et les vues de magasin par défaut dans le magasin d’applications. Permet d’ajouter un logo personnalisé qui s’affiche sur le magasin d’applications ou Secure Hub. |
| Passerelle SMS opérateur | Permet de configurer des passerelles SMS d’opérateur pour configurer les notifications que Endpoint Management envoie via les passerelles SMS d’opérateur. |
| Serveur de notification | Permet de définir un serveur de passerelle SMTP pour envoyer des e-mails aux utilisateurs. |
| ActiveSync Gateway | Permet de gérer l’accès des utilisateurs à des utilisateurs et à des appareils à l’aide de règles et de propriétés. |
| Google Chrome | Permet de configurer Endpoint Management pour communiquer avec votre compte G Suite. |
| Programme d’inscription des appareils (DEP) Apple | Permet d’ajouter un compte Apple DEP à Endpoint Management. |
| Inscription d’appareils dans Apple Configurator | Permet de configurer les paramètres d’Apple Configurator dans Endpoint Management. |
| Paramètres iOS/VPP | Permet d’ajouter des comptes pour le programme d’achats en volume Apple. |
| Fournisseur de services mobiles | Permet d’utiliser l’interface du fournisseur de services mobiles pour interroger des appareils BlackBerry et d’autres appareils Exchange ActiveSync et d’effectuer des opérations d’émission. |
| NetScaler Gateway | Permet de configurer les paramètres de NetScaler Gateway (maintenant renommé Citrix Gateway) dans Endpoint Management. |
| Contrôle d’accès réseau | Permet de définir les conditions qui déterminent si un appareil est non compatible et par conséquent s’il n’a pas accès au réseau. |
| Samsung KNOX | Permet d’activer ou de désactiver l’interrogation par Endpoint Management des API REST du serveur d’attestation Samsung KNOX. |
| Propriétés du serveur | Permet d’ajouter ou de modifier des propriétés de serveur. Requiert le redémarrage de Endpoint Management sur tous les nœuds. |
| XenApp et XenDesktop | Autorise les utilisateurs à ajouter Citrix Virtual Apps and Desktops (anciennement XenApp et XenDesktop) via Citrix Workspace. |
| Citrix Files | Lors de l’utilisation de Endpoint Management avec Citrix Files Enterprise : permet de configurer les paramètres pour la connexion au compte Citrix Files et au compte de service d’administrateur afin de gérer les comptes d’utilisateurs. Requiert des informations d’identification d’administrateur et de domaine Citrix Files. Lors de l’utilisation de Endpoint Management avec des connecteurs StorageZone : permet de configurer Endpoint Management pour pointer vers les partages réseau et les emplacements SharePoint définis dans les connecteurs StorageZones. |
| Android Entreprise | Permet de configurer les paramètres de serveur Android Entreprise. |
| Fournisseur d’identité (IdP) | Permet de configurer un fournisseur d’identité. |
| Informations d’identification dérivées | Permet de configurer les informations d’identification dérivées pour l’inscription d’appareils iOS. |
| Microsoft Store pour Entreprises | Permet de configurer les paramètres Microsoft Store pour Entreprises dans Endpoint Management. |
| Endpoint Management Tools | Permet d’accéder à la page Endpoint Management Tools. |
| Inscription en bloc de Windows | Permet de configurer les paramètres d’inscription en bloc de Windows. |
Support
Les administrateurs peuvent effectuer diverses tâches de support.
| Contrôles de connectivité dans NetScaler Gateway | Permet de tester la connectivité de NetScaler Gateway par adresse IP. Requiert un nom d’utilisateur et un mot de passe. |
| Contrôles de connectivité dans Endpoint Management | Permet de tester la connectivité de certaines fonctionnalités Endpoint Management, telles que la base de données, DNS et Google Plan. |
| Documentation Produit Citrix | Permet d’accéder au site de documentation Citrix Endpoint Management public. |
| Centre de connaissances de Citrix | Permet d’accéder au site d’assistance de Citrix pour rechercher des articles de la base de connaissances. |
| Journaux | Permet d’afficher et de télécharger des fichiers journaux. |
| Macros | Permet de remplir les données de propriété d’appareil ou d’utilisateur dans le champ textuel d’un profil, d’une stratégie, d’une notification ou d’un modèle d’inscription. Configurez une stratégie et déployez-la auprès d’un grand nombre d’utilisateurs et de manière à ce que des valeurs spécifiques à l’utilisateur s’affichent pour chaque utilisateur ciblé. |
| Configuration du PKI | Permet d’importer et d’exporter des informations de configuration d’infrastructure de clé publique (PKI). |
| Utilitaire de signature APNS | Permet d’envoyer une demande de certificats APNS ou de télécharger un certificat APNS Secure Mail pour iOS. |
| Accéder à Citrix Insight Services | Permet de charger des journaux sur Citrix Insight Services (CIS) pour obtenir de l’aide avec divers problèmes. |
| État d’un appareil envoyé à Citrix Gateway Connector pour Exchange ActiveSync | Permet d’effectuer une requête auprès de Endpoint Management pour connaître l’état d’un appareil tel qu’envoyé au connecteur pour Exchange ActiveSync en fonction de l’ID ActiveSync de l’appareil. |
Restreindre l’accès aux groupes
Les utilisateurs de niveau administrateur peuvent appliquer des autorisations à tous les groupes d’utilisateurs.
Rôle de provisioning d’appareils
Important :
Le rôle Provisioning d’appareils s’applique uniquement aux appareils Windows CE.
Les utilisateurs disposant du rôle Provisioning d’appareils prédéfini ont un accès limité aux fonctionnalités de la console. Par défaut, leur autorisation est définie pour tous les groupes d’utilisateurs et ils ne peuvent pas modifier ce paramètre.
Fonctionnalités de la console pour le provisioning d’appareils
Les utilisateurs avec le rôle Provisioning d’appareils ont l’accès limité suivant à la console Endpoint Management. Par défaut, les fonctionnalités suivantes sont activées.
Restrictions d’appareil
| Modifier un appareil | Permet de modifier les paramètres sur l’appareil. |
| Ajouter/Supprimer un appareil | Permet d’ajouter ou de supprimer des appareils dans Endpoint Management. |
Paramètres pour le provisioning d’appareils
Les utilisateurs du provisioning d’appareils peuvent accéder à la page Paramètres, mais ils ne sont pas autorisés à configurer les fonctionnalités.
Rôle Utilisateur
Les utilisateurs avec le rôle Utilisateur disposent de l’accès limité suivant à Endpoint Management.
Accès autorisé pour les utilisateurs
| Portail en libre-service | Fournit un accès utilisateur uniquement au portail d’assistance (en libre-service) dans Endpoint Management. |
Fonctionnalités de la console pour les utilisateurs
Les utilisateurs ont l’accès limité suivant à la console Endpoint Management.
Accès restreint pour les utilisateurs
| Effacer un appareil | Permet d’effacer toutes les données et applications d’un appareil, y compris des cartes mémoire si l’appareil en est doté. |
| Effacer les données d’entreprise d’un appareil | Permet d’effacer toutes les données et applications d’entreprise d’un appareil, sans toucher aux données et applications personnelles. |
| Afficher la localisation | Permet d’afficher l’emplacement géographique et définir des restrictions sur un appareil. Inclut : Localiser un appareil, Voir l’emplacement d’un appareil, Suivre un appareil, Suivre l’emplacement d’un appareil au fil du temps. |
| Verrouiller un appareil | Permet de verrouiller à distance un appareil de façon à ce qu’il ne puisse pas être utilisé. |
| Déverrouiller un appareil | Permet de déverrouiller à distance un appareil de façon à ce qu’il puisse être utilisé. |
| Verrouiller le conteneur | Permet de verrouiller à distance le conteneur d’entreprise sur un appareil. |
| Déverrouiller le conteneur | Permet de déverrouiller à distance le conteneur d’entreprise sur un appareil. |
| Réinitialiser le mot de passe du conteneur | Permet de réinitialiser le mot de passe du conteneur d’entreprise. |
| Activer contournement du verrouillage d’activation DEP ASM | Stocke un code de contournement sur un appareil iOS supervisé lorsque le verrouillage d’activation est activé. Pour effacer l’appareil, utilisez ce code pour annuler automatiquement le verrouillage d’activation. |
| Obtenir utilisateurs résidents | Répertorie les utilisateurs qui ont des comptes actifs sur l’appareil actuel. Cette action force une synchronisation entre l’appareil et la console Endpoint Management. |
| Déconnecter utilisateur résident | Force une déconnexion de l’utilisateur actuel. |
| Supprimer utilisateur résident | Supprime la session en cours pour un utilisateur spécifique. L’utilisateur peut se reconnecter. |
| Appelle l’appareil | Permet d’appeler à distance un appareil Windows à plein volume pendant 5 minutes. |
| Redémarrer l’appareil | Permet de redémarrer un appareil Windows. |
| Mode kiosque | Permet de refuser l’accès à toutes les applications sur un appareil. Sur Android, les utilisateurs ne peuvent pas se connecter à Endpoint Management. Sur iOS, les utilisateurs peuvent se connecter, mais ils ne peuvent pas accéder aux applications. |
| Effacement des applications | Sur Android, cette restriction supprime le compte Endpoint Management de l’utilisateur. Sur iOS, cette restriction supprime les clés de cryptage dont les utilisateurs ont besoin pour pouvoir accéder aux fonctionnalités de Endpoint Management. |
| Voir l’inventaire logiciel | Permet de voir quels logiciels sont installés sur un appareil. |
Restrictions d’inscription pour les utilisateurs
| Ajouter/supprimer inscription | Permet d’ajouter ou de supprimer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs. |
| Notifier un utilisateur | Permet d’envoyer une invitation d’inscription à un utilisateur ou un groupe d’utilisateurs. |
Restreindre l’accès aux groupes pour tous les rôles
Pour les rôles par défaut, cette autorisation est définie par défaut et peut être appliquée à tous les groupes d’utilisateurs. Vous ne pouvez pas modifier le rôle.
Pour utiliser la fonctionnalité RBAC
La fonctionnalité de contrôle d’accès basé sur rôle (RBAC) de Endpoint Management vous permet d’attribuer des rôles prédéfinis ou un ensemble d’autorisations aux utilisateurs et aux groupes. Ces autorisations contrôlent le niveau d’accès des utilisateurs aux fonctions du système.
Endpoint Management implémente les rôles utilisateur par défaut suivants de façon à séparer logiquement l’accès aux fonctions système :
- Administrateur : accorde un accès complet au système.
- Provisioning d’appareils : accorde un accès à l’administration de base des appareils pour les appareils Windows CE.
- Utilisateur : utilisé par les utilisateurs autorisés à inscrire des appareils et à accéder au portail en libre-service.
Vous pouvez également utiliser les rôles par défaut en tant que modèles que vous personnalisez pour créer des rôles utilisateur. Vous pouvez attribuer à ces rôles d’utilisateur l’autorisation d’accéder à des fonctions système supplémentaires.
Vous pouvez attribuer des rôles à des utilisateurs locaux (au niveau de l’utilisateur) ou à des groupes Active Directory (tous les utilisateurs de ce groupe ont les mêmes autorisations). Si un utilisateur appartient à plusieurs groupes Active Directory, les autorisations sont fusionnées pour définir les autorisations de cet utilisateur. Par exemple, si les utilisateurs ADGroupA peuvent localiser les appareils appartenant à l’entreprise, et que les utilisateurs ADGroupB peuvent réinitialiser les appareils appartenant aux employés : un utilisateur qui appartient aux deux groupes peut localiser et réinitialiser les appareils appartenant à l’entreprise et aux employés.
Remarque :
Un seul rôle peut être attribué aux utilisateurs locaux.
Vous pouvez utiliser la fonctionnalité RBAC dans Endpoint Management pour effectuer les opérations suivantes :
- Créer un rôle.
- Ajouter des groupes à un rôle.
- Associer des utilisateurs locaux aux rôles.
-
Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.
-
Cliquez sur Contrôle d’accès basé sur rôle. La page Contrôle d’accès basé sur rôle qui apparaît affiche les quatre rôles utilisateur par défaut, ainsi que tout rôle que vous avez déjà ajouté.
si vous cliquez sur le signe plus (+) à côté d’un rôle, celui-ci se développe pour afficher toutes les autorisations pour ce rôle.
-
Cliquez sur Ajouter pour ajouter un rôle d’utilisateur. Cliquez sur l’icône de crayon à droite d’un rôle existant pour modifier le rôle. Ou, Cliquez sur l’icône de la corbeille située à droite d’un rôle que vous avez défini pour supprimer le rôle. Vous ne pouvez pas supprimer les rôles utilisateur par défaut.
- Lorsque vous cliquez sur Ajouter ou l’icône de crayon, la page Ajouter un rôle ou Modifier le rôle s’affiche.
- Lorsque vous cliquez sur l’icône de corbeille, une boîte de dialogue de confirmation s’affiche. Cliquez sur Supprimer pour supprimer le rôle sélectionné.
-
Entrez les informations suivantes pour créer un rôle utilisateur ou pour modifier un rôle utilisateur :
- Nom RBAC : entrez un nom descriptif pour le nouveau rôle utilisateur. Vous ne pouvez pas modifier le nom d’un rôle existant.
- Modèle RBAC : si vous le souhaitez, cliquez sur un modèle en tant que point de départ pour le nouveau rôle. Vous ne pouvez pas sélectionner de modèle si vous modifiez un rôle existant.
Les modèles RBAC sont les rôles utilisateur par défaut. Ils définissent l’accès aux fonctions système dont disposent les utilisateurs associés à ce rôle. Lorsque vous sélectionnez un modèle RBAC, vous pouvez voir toutes les autorisations associées à ce rôle dans les champs Accès autorisé et Fonctionnalités de la console. L’utilisation d’un modèle est facultative ; vous pouvez sélectionner les options que vous voulez attribuer à un rôle directement dans les champs Accès autorisé et Fonctionnalités de la console.
-
Cliquez sur Appliquer à droite du champ Modèle RBAC pour renseigner les cases Accès autorisé et Fonctionnalités de la console. Endpoint Management remplit ces champs avec les autorisations d’accès et de fonctionnalités prédéfinies pour le modèle sélectionné.
-
Sélectionnez et décochez les cases à cocher appropriées dans Accès autorisé et Fonctionnalités de la console pour personnaliser le rôle.
si vous cliquez sur le triangle à côté de Fonctionnalités de la console, les autorisations spécifiques à cette fonctionnalité s’affichent de façon à ce que vous puissiez les sélectionner ou les désélectionner. Si vous cliquez sur la case à cocher de niveau supérieur, cela interdit l’accès à cette partie de la console. Sélectionnez les options individuelles sous le niveau supérieur pour activer ces options.
-
Appliquer les autorisations : sélectionnez un ou plusieurs groupes d’utilisateurs pour limiter les groupes que l’administrateur peut gérer. Si vous cliquez sur À des groupes d’utilisateurs spécifiques, une liste des groupes s’affiche à partir de laquelle vous pouvez sélectionner un ou plusieurs groupes.
Par exemple, si un administrateur RBAC dispose d’autorisations sur les groupes d’utilisateurs ActiveDirectory et MSP :
- L’administrateur ne peut accéder aux informations que pour les utilisateurs qui font partie du groupe ActiveDirectory, du groupe MSP ou des deux groupes.
- L’administrateur ne peut afficher aucun autre utilisateur local ou AD. L’administrateur peut afficher les utilisateurs qui sont membres de groupes enfants de l’un ou l’autre de ces groupes.
-
L’administrateur peut envoyer des invitations :
- aux groupes d’autorisations et à leurs groupes enfants
- aux utilisateurs qui sont membres des groupes d’autorisations et de leurs groupes enfants
-
Cliquez sur Next. La page Attribution s’affiche.
-
Entrez les informations suivantes pour attribuer le rôle à des groupes d’utilisateurs.
- Sélectionner un domaine : cliquez sur un domaine dans la liste.
- Inclure des groupes d’utilisateurs : cliquez sur Rechercher pour afficher la liste de tous les groupes disponibles. Ou, tapez un nom de groupe complet ou partiel pour limiter la liste aux seuls groupes portant ce nom.
- Dans la liste qui s’affiche, sélectionnez les groupes d’utilisateurs auxquels vous souhaitez attribuer le rôle. Lorsque vous sélectionnez un groupe d’utilisateurs, le groupe apparaît dans la liste Groupes d’utilisateurs sélectionnés.
Remarque :
Pour supprimer un groupe d’utilisateurs de la liste Groupes d’utilisateurs sélectionnés, cliquez sur le X en regard du nom du groupe d’utilisateurs.
-
Cliquez sur Enregistrer.