Contrôle d’accès en fonction du rôle Intune pour les clients attachés au locataire
S’applique à : Configuration Manager (branche actuelle)
À compter de Configuration Manager version 2207, vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) Intune lors de l’interaction avec des appareils attachés au locataire à partir du centre d’administration Microsoft Intune. Par exemple, lors de l’utilisation d’Intune comme autorité de contrôle d’accès en fonction du rôle, un utilisateur disposant du rôle Opérateur du support technique n’a pas besoin d’un rôle de sécurité attribué ou d’autorisations supplémentaires de Configuration Manager. Le contrôle d’accès en fonction du rôle Intune gère les autorisations sur toutes les pages d’appareils connectés au cloud dans le centre d’administration Microsoft Intune, telles que les chronologie d’appareil, CMPivot et les scripts.
Importante
Actuellement, toute application du contrôle d’accès en fonction du rôle Intune pour l’affichage et l’exécution d’actions sur les appareils attachés au locataire à partir du centre d’administration Microsoft Intune est facultative. Nous recommandons à tous les administrateurs disposant d’environnements de Configuration Manager connectés au cloud de commencer à vérifier les autorisations de contrôle d’accès en fonction du rôle à partir d’Intune.
Les trois étapes générales pour configurer Intune en tant qu’autorité de contrôle d’accès en fonction du rôle pour les appareils attachés au locataire sont les suivantes :
- À partir de la console Configuration Manager, désactivez l’application de Configuration Manager contrôle d’accès en fonction du rôle pour les clients attachés au cloud
- À partir d’Intune, activez la gestion des autorisations utilisateur pour les appareils connectés au cloud
- À partir d’Intune, vérifiez les autorisations de contrôle d’accès en fonction du rôle pour les appareils connectés au cloud
Conditions préalables
- Configuration Manager version 2207 ou ultérieure
- Appareils attachés au locataire
Limitations
- Actuellement, l’étendue n’est pas prise en charge lorsque vous utilisez uniquement le contrôle d’accès en fonction du rôle Intune pour l’affichage et l’exécution d’actions sur les appareils attachés au locataire à partir du centre d’administration Microsoft Intune.
- Actuellement, la page Mises à jour logicielles n’est pas disponible pour les utilisateurs cloud uniquement lors de l’utilisation de l’anneau de mise à jour anticipée de Configuration Manager version 2207.
Désactiver l’application de Configuration Manager contrôle d’accès en fonction du rôle pour les clients attachés au cloud
Pour utiliser le contrôle d’accès en fonction du rôle Intune pour l’attachement de locataire plutôt que Configuration Manager contrôle d’accès en fonction du rôle, suivez les instructions ci-dessous :
À partir de la console Configuration Manager, accédez à Administration>Services cloud>Attach cloud.
L’emplacement de l’option de contrôle d’accès en fonction du rôle varie selon que votre environnement est déjà attaché au cloud ou non.
- Si votre environnement est déjà attaché au cloud, ouvrez les propriétés de CoMgmtSettingsProd. Si vous n’avez pas d’appareils chargés dans le centre d’administration, configurez d’abord cette option. Pour plus d’informations, consultez Activer l’attachement cloud.
- Si votre environnement n’est pas attaché au cloud, sélectionnez Configurer l’attachement au cloud pour ouvrir l’Assistant Configuration de l’attachement au cloud.
Dans l’onglet Configurer le chargement ou la page de l’Assistant, décochez la case de l’option suivante sous le titre Access Control basé sur le rôle :
Appliquer Configuration Manager RBAC pour les requêtes de console cloud qui interagissent avec Configuration Manager
Choisissez OK pour enregistrer la modification apportée aux propriétés CoMgmtSettingsProd , ou continuez pour terminer l’Assistant Attachement au cloud.
Activer le contrôle d’accès en fonction du rôle à partir d’Intune
Pour permettre à Intune de gérer les autorisations utilisateur pour les appareils connectés au cloud, procédez comme suit :
- Ouvrez le centre d’administration Microsoft Intune et connectez-vous en tant qu’utilisateur disposant de l’autorisation Rôles/Mise à jour. Pour plus d’informations sur l’autorisation, consultez Autorisations de rôle personnalisées dans Intune.
- Sélectionnez Administration client>Connecteurs et jetons>Microsoft Endpoint Configuration Manager.
- Dans la bannière, sélectionnez Vous pouvez également gérer les autorisations utilisateur à partir d’Intune. Cliquez ici pour en savoir plus sur cette option.
- Le menu volant Utiliser le RBAC Intune s’affiche.
- Sélectionnez Activé pour l’option Utiliser RBAC Intune , puis choisissez Appliquer.
- La modification peut prendre environ 10 minutes pour prendre effet.
Vérifier les autorisations de contrôle d’accès en fonction du rôle à partir d’Intune
Une fois qu’Intune est défini sur l’autorité de contrôle d’accès en fonction du rôle, vérifiez les autorisations pour vos rôles. Si nécessaire, vous pouvez ajouter ces autorisations aux rôles personnalisés que vous avez créés dans Intune.
- Ouvrez le centre d’administration Microsoft Intune et connectez-vous.
- Sélectionnez Rôles d’administration> deslocataires.
- Sélectionnez un rôle, tel que Gestionnaire d’applications, et passez en revue les autorisations répertoriées pour les appareils connectés au cloud. Si nécessaire, modifiez les autorisations pour les rôles personnalisés que vous avez créés dans Intune.
Les autorisations Intune suivantes contrôlent l’accès aux appareils Configuration Manager connectés au cloud :
| Autorisation | Description | Rôles intégrés Intune avec l’autorisation |
|---|---|---|
| Appareils attachés au cloud\Afficher les collections | Affiche la page Regroupements pour Configuration Manager appareils connectés au cloud | Gestionnaire d’applications, Endpoint Security Manager, opérateur lecture seule, administrateur scolaire, gestionnaire de profil de stratégie, opérateur de support technique |
| Appareils connectés au cloud\Afficher l’Explorateur de ressources | Affiche la page Explorateur de ressources pour Configuration Manager appareils connectés au cloud | Gestionnaire d’applications, Endpoint Security Manager, opérateur lecture seule, administrateur scolaire, gestionnaire de profil de stratégie, opérateur de support technique |
| Appareils connectés au cloud\Afficher les chronologie | Affiche la page Chronologie pour Configuration Manager appareils connectés au cloud | Gestionnaire d’applications, Endpoint Security Manager, opérateur lecture seule, administrateur scolaire, gestionnaire de profil de stratégie, opérateur de support technique |
| Appareils connectés au cloud\Afficher les mises à jour logicielles | Affiche la page Mises à jour logicielles pour Configuration Manager appareils connectés au cloud | Gestionnaire d’applications, Endpoint Security Manager, opérateur lecture seule, administrateur scolaire, opérateur de support technique |
| Appareils attachés au cloud\Afficher les scripts | Affiche la page Scripts pour Configuration Manager appareils connectés au cloud | Endpoint Security Manager, opérateur Lecture seule, administrateur scolaire, gestionnaire de profil de stratégie, opérateur de support technique |
| Appareils attachés au cloud\Exécuter le script | Affiche l’action Exécuter le script et permet à l’utilisateur d’exécuter des scripts sur Configuration Manager appareils connectés au cloud | Administrateur scolaire, opérateur du support technique |
| Appareils connectés au cloud\Exécuter une requête CMPivot | Affiche la page CMPivot pour Configuration Manager appareils connectés au cloud | Gestionnaire de sécurité des points de terminaison, administrateur scolaire, opérateur du support technique |
| Appareils connectés au cloud\Afficher les détails du client | Affiche la page Détails du client pour Configuration Manager appareils connectés au cloud | Gestionnaire d’applications, Endpoint Security Manager, opérateur lecture seule, administrateur scolaire, gestionnaire de profils de stratégie, opérateur de support technique |
| Appareils connectés au cloud\Afficher les applications | Affiche la page Applications pour Configuration Manager appareils connectés au cloud | Gestionnaire d’applications, opérateur lecture seule, administrateur scolaire, gestionnaire de profil de stratégie, opérateur de support technique |
| Appareils connectés au cloud\Effectuer des actions d’application | Affiche les actions de l’application dans la page Applications et permet à l’utilisateur d’effectuer des actions d’application sur Configuration Manager appareils connectés au cloud | Gestionnaire d’applications, administrateur scolaire, opérateur du support technique |
| Tâches distantes/Rotation de BitLockerKeys (préversion) | Lance une rotation de clé pour les mots de passe de récupération BitLocker sur l’appareil. Affiche la page Clés de récupération pour Configuration Manager appareils connectés au cloud. | Endpoint Security Manager, opérateur du support technique |
Foire aux questions
J’ai des utilisateurs cloud uniquement qui ont besoin d’accéder aux appareils attachés au locataire dans Intune. Cela leur donnera-t-il accès ?
Oui. Lorsqu’un utilisateur est dans le cloud uniquement, dans ce scénario, ce qui signifie qu’il se trouve dans Microsoft Entra ID et qu’il peut accéder à Intune, le RBAC Intune lui donne accès aux appareils attachés au locataire.
Que se passe-t-il si plusieurs hiérarchies Configuration Manager sont connectées à mon locataire ?
Le paramètre Utiliser le contrôle d’accès en fonction du rôle Intune dans le Centre d’administration Microsoft Intune s’applique à toutes les hiérarchies Configuration Manager répertoriées dans le locataire.
Que se passe-t-il si les paramètres Configuration Manager et Intune ne correspondent pas ?
Si le bouton bascule Utiliser le contrôle d’accès en fonction du rôle Intune dans Intune est défini sur Désactivé, Configuration Manager’accès en fonction du rôle sera appliqué, même si la case Appliquer Configuration Manager RBAC pour les requêtes de console cloud qui interagissent avec Configuration Manager case est désactivée. La désactivation de l’option Appliquer Configuration Manager RBAC pour les demandes de console cloud qui interagissent avec Configuration Manager n’a aucun effet tant que le bouton bascule Utiliser RBAC Intune dans Intune n’est pas défini sur Activé.
Que se passe-t-il si ma hiérarchie de test est configurée pour utiliser intune RBAC, mais que ma hiérarchie de production ne l’est pas et qu’elle se trouve dans le même locataire ?
Le paramètre Utiliser le contrôle d’accès en fonction du rôle Intune s’applique à toutes les hiérarchies Configuration Manager répertoriées dans le locataire. Les utilisateurs cloud uniquement peuvent accéder aux appareils attachés au locataire qui sont chargés à partir de la hiérarchie de test, car vous avez également décoché la case pour appliquer Configuration Manager RBAC. Si un utilisateur cloud uniquement tente d’accéder à un appareil attaché au locataire chargé à partir de l’environnement de production, il reçoit une erreur, car les appareils de production appliquent Configuration Manager RBAC. L’utilisateur cloud uniquement reçoit une erreur similaire au message suivant : Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Étapes suivantes
- Passer en revue les chronologie d’un appareil connecté au cloud
- Exécuter une requête CMPivot sur un appareil attaché au cloud
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour