Contrôle d’accès basé sur un rôle dans Microsoft Intune.
Le contrôle d’accès en fonction du rôle (RBAC) vous permet de gérer qui a accès aux ressources de votre organisation et ce qu’ils peuvent faire avec ces ressources. En attribuant des rôles à vos utilisateurs Intune, vous pouvez limiter ce qu’ils peuvent voir et modifier. Chaque rôle a un jeu d’autorisations qui déterminent ce à quoi les utilisateurs disposant de ce rôle peuvent accéder et ce qu’ils peuvent modifier au sein de votre organisation.
Pour créer, modifier ou attribuer des rôles, votre compte doit disposer de l’une des autorisations suivantes dans Microsoft Entra ID :
- Administrateur général
- Administrateur de service Intune (également appelé Administrateur Intune)
- Un rôle Intune avec des autorisations de rôle
Rôles
Un rôle définit le jeu d’autorisations accordées aux utilisateurs affectés à ce rôle. Vous pouvez utiliser les rôles intégrés et personnalisés. Les rôles intégrés couvrent des scénarios courants dans Intune. Vous pouvez créer vos propres rôles personnalisés avec le jeu d’autorisations exact dont vous avez besoin. Plusieurs rôles Microsoft Entra sont autorisés à Intune. Pour afficher un rôle dans le Centre d’administration Intune, accédez à Administration du locataire>Rôles>Tous les rôles> choisissent un rôle. Vous pouvez gérer le rôle sur les pages suivantes :
- Propriétés : nom, description, autorisations et balises d’étendue pour le rôle.
- Affectations : liste d’attributions de rôles identifiant quels utilisateurs ont accès à quels utilisateurs/appareils. Un rôle peut avoir plusieurs attributions, et un utilisateur peut figurer dans plusieurs attributions.
Remarque
Pour pouvoir administrer Intune, une licence Intune doit vous être attribuée. Vous pouvez également autoriser les utilisateurs sans licence à administrer Intune en définissant l’option Autoriser l’accès aux administrateurs sans licence sur Oui.
Rôles intégrés
Vous pouvez attribuer des rôles intégrés aux groupes sans configuration supplémentaire. Vous ne pouvez pas supprimer ou modifier le nom, la description, le type ou les autorisations d’un rôle intégré.
- Gestionnaire d’applications : gère les applications mobiles et gérées, peut lire les informations de l’appareil et peut afficher les profils de configuration de l’appareil.
- Endpoint Privilege Manager : gère les stratégies Endpoint Privilege Management dans la console Intune.
- Lecteur de privilèges de point de terminaison : les lecteurs de privilèges de point de terminaison peuvent afficher les stratégies de gestion des privilèges de point de terminaison dans la console Intune.
- Endpoint Security Manager : gère les fonctionnalités de sécurité et de conformité, telles que les bases de référence de sécurité, la conformité des appareils, l’accès conditionnel et les Microsoft Defender pour point de terminaison.
- Opérateur du support technique : effectue des tâches à distance sur les utilisateurs et les appareils, et peut attribuer des applications ou des stratégies aux utilisateurs ou aux appareils.
- Administrateur de rôles Intune: gère les rôles Intune personnalisés et ajoute des affectations pour les rôles Intune intégrés. C’est le seul rôle Intune qui peut affecter des autorisations aux administrateurs.
- Gestionnaire de stratégie et de profil : gère la stratégie de conformité, les profils de configuration, l’inscription auprès d’Apple, les identificateurs d’appareils d’entreprise et les bases de référence de la sécurité.
- Gestionnaire de messages organisationnels : gère les messages de l’organisation dans Intune console.
- Opérateur en lecture seule : affiche des informations sur les utilisateurs, les appareils, l’inscription, la configuration et les applications. Impossible d’apporter des modifications à Intune.
- Administrateur scolaire : gère les Windows 10 dans Intune pour l'Éducation.
- Administrateur de PC cloud : un administrateur de PC cloud dispose d’un accès en lecture et en écriture à toutes les fonctionnalités de PC cloud situées dans la zone PC cloud.
- Lecteur de PC cloud : un lecteur de PC cloud dispose d’un accès en lecture à toutes les fonctionnalités de PC cloud situées dans la zone PC cloud.
Rôles personnalisés
Vous pouvez créer vos propres rôles avec des autorisations personnalisées. Pour plus d’informations sur les rôles personnalisés, consultez Créer un rôle personnalisé.
Microsoft Entra des rôles avec accès Intune
Microsoft recommande de suivre le principe des autorisations minimales en affectant uniquement les autorisations minimales requises pour permettre à un administrateur d’effectuer ses tâches. L’administrateur général et l’administrateur de service Intune sont des rôles privilégiés et l’attribution doit être limitée.
Microsoft Entra rôle | Toutes les données Intune | Données d’audit Intune |
---|---|---|
Administrateur général | Lecture/écriture | Lecture/écriture |
Administrateur de service Intune | Lecture/écriture | Lecture/écriture |
Administrateur de l’accès conditionnel | Aucun | Aucun |
Administrateur de sécurité | Lecture seule (autorisations administratives complètes pour le nœud Sécurité du point de terminaison) | Lecture seule |
Opérateur de sécurité | Lecture seule | Lecture seule |
Lecteur de sécurité | Lecture seule | Lecture seule |
Administrateur de conformité | Aucun | Lecture seule |
Administrateur de conformité des données | Aucun | Lecture seule |
Lecteur global (Ce rôle équivaut au rôle d’opérateur de support technique Intune) | Lecture seule | Lecture seule |
Administrateur du support technique (ce rôle équivaut au rôle d’opérateur de support technique Intune) | Lecture seule | Lecture seule |
Lecteur de rapports | Aucun | Lecture seule |
Conseil
Intune affiche également trois extensions Microsoft Entra : Utilisateurs, Groupes et Accès conditionnel, qui sont contrôlées à l’aide de Microsoft Entra RBAC. En outre, l’administrateur de compte d’utilisateur effectue uniquement Microsoft Entra activités utilisateur/groupe et ne dispose pas des autorisations complètes pour effectuer toutes les activités dans Intune. Pour plus d’informations, consultez RBAC avec Microsoft Entra ID.
Privileged Identity Management pour Intune
Intune prend en charge deux méthodes d’élévation de rôle. Il existe des différences de performances et de privilèges minimum entre les deux méthodes.
Méthode 1 : Créez une stratégie juste-à-temps (JIT) avec Microsoft Entra Privileged Identity Management (PIM) pour l’Microsoft Entra rôle d’administrateur Intune intégré et attribuez-lui un compte d’administrateur.
Méthode 2 : Utilisez Privileged Identity Management (PIM) pour Groupes avec une attribution de rôle RBAC Intune. Pour plus d’informations sur l’utilisation de PIM pour Groupes avec Intune rôles RBAC, consultez : Configuration de Microsoft Intune accès administrateur juste-à-temps avec Microsoft Entra PIM pour Groupes | Microsoft Community Hub
Lorsque vous utilisez l’élévation PIM pour Microsoft Entra ID rôle d’administrateur Intune intégré, l’élévation se produit généralement dans les 10 secondes. L’élévation basée sur pim Groupes pour Intune rôles personnalisés peut prendre jusqu’à 15 minutes.
Attributions de rôle
Une attribution de rôle définit :
- Les utilisateurs affectés au rôle.
- Les ressources qu’ils peuvent voir.
- Les ressources qu’ils peuvent modifier.
Vous pouvez attribuer des rôles personnalisés et intégrés à vos utilisateurs administrateurs dans Intune. Pour être affecté à un rôle Intune, l’utilisateur doit disposer d’une licence Intune. Pour afficher une attribution de rôle, choisissez Intune Administration>>locataireRôles>Tous les rôles> choisir un rôle >Attributions> choisir une attribution. Dans la page Propriétés , vous pouvez modifier :
- Notions de base : nom et description des attributions.
- Membre : tous les utilisateurs des groupes de sécurité Azure listés sont autorisés à gérer les utilisateurs/appareils figurant dans Étendue (groupes).
- Étendue (Groupes) : les Groupes d’étendue sont Microsoft Entra groupes de sécurité d’utilisateurs ou d’appareils ou les deux pour lesquels les administrateurs dans cette attribution de rôle sont limités à l’exécution d’opérations. Par exemple, le déploiement d’une stratégie ou d’une application sur un utilisateur ou le verrouillage à distance d’un appareil. Tous les utilisateurs et appareils de ces groupes de sécurité Microsoft Entra peuvent être gérés par les utilisateurs dans Membres.
- Balises d’étendue : les utilisateurs dans Membres peuvent voir les ressources qui ont les mêmes balises d’étendue.
Remarque
Les balises d’étendue sont des valeurs de texte de forme libre définies par un administrateur, puis ajoutées à une attribution de rôle. La balise d’étendue ajoutée à un rôle contrôle la visibilité du rôle lui-même, tandis que la balise d’étendue ajoutée dans l’attribution de rôle limite la visibilité des objets Intune (tels que les stratégies et les applications) ou des appareils aux seuls administrateurs de cette attribution de rôle, car l’attribution de rôle contient une ou plusieurs balises d’étendue correspondantes.
Attributions de rôles multiples
Si un utilisateur a plusieurs attributions de rôles, autorisations et balises d’étendue, ces attributions de rôles s’étendent à différents objets comme suit :
- Les autorisations sont incrémentielles dans le cas où deux rôles ou plus accordent des autorisations à un même objet. Un utilisateur disposant d’autorisations de lecture à partir d’un rôle et de lecture/écriture à partir d’un autre rôle, par exemple, dispose d’une autorisation effective de lecture/écriture (en supposant que les affectations pour les deux rôles ciblent les mêmes balises d’étendue).
- Les autorisations d’affectation et les balises d’étendue s’appliquent uniquement aux objets (tels que les stratégies ou applications) dans l’Étendue (groupe) de l’affectation de ce rôle. Les autorisations d’affectation et les balises d’étendue ne s’appliquent pas aux objets dans d’autres attribution de rôles, sauf si l’autre attribution les accorde spécifiquement.
- Les autres autorisations (telles que Créer, Lire, Mettre à jour et Supprimer) et balises d’étendue s’appliquent à tous les objets du même type (par exemple toutes les stratégies ou toutes les applications) dans toutes les affectations de l’utilisateur.
- Les autorisations et les balises d’étendue pour les objets de types différents (tels que les stratégies ou applications) ne s’appliquent pas les unes aux autres. Par exemple, une autorisation de lecture pour une stratégie ne fournit pas d’autorisation de lecture aux applications dans les attributions de l’utilisateur.
- Lorsqu’il n’y a pas de balises d’étendue ou que certaines balises d’étendue sont affectées à partir de différentes affectations, un utilisateur peut uniquement voir les appareils qui font partie de certaines balises d’étendue et ne peut pas voir tous les appareils.