Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les informations contenues dans cet article peuvent vous aider à attribuer des utilisateurs Microsoft Intune rôles de contrôle d’accès en fonction du rôle (RBAC) intégrés ou personnalisés aux utilisateurs qui administrent votre abonnement Intune. Les rôles RBAC sont attribués à des groupes, et non à des utilisateurs individuels.
Avant d’attribuer des rôles à des groupes, vérifiez que vous disposez de suffisamment de groupes pour les différentes tâches d’administration Intune, puis passez en revue l’appartenance de ces groupes. Chaque membre d’un groupe auquel un rôle RBAC est attribué reçoit les autorisations accordées par ce rôle. Les autorisations de plusieurs groupes sont cumulatives pour un utilisateur et il n’existe aucune option permettant de refuser des autorisations spécifiques. Toutefois, vous pouvez utiliser des balises d’étendue avec RBAC pour limiter l’étendue de ce que les différents groupes d’individus peuvent afficher et gérer.
Importante
Microsoft déconseille d’utiliser des comptes disposant d’autorisations Intune au niveau de l’administrateur pour la gestion quotidienne lorsque les rôles à moindres privilèges suffisent. Toutefois, Intune autorisations d’administrateur sont nécessaires lors de l’installation initiale de Intune pour des tâches telles que :
- Ajoutez des utilisateurs à Intune qui servent d’administrateurs Intune. (Voir Ajouter des utilisateurs)
- Créez des groupes d’utilisateurs qui partagent des tâches administratives similaires. (Voir Ajouter des groupes)
- Attribuez des rôles RBAC à des groupes d’utilisateurs, en fournissant à chaque groupe uniquement les autorisations nécessaires pour effectuer leurs tâches quotidiennes. (Cet article)
Après avoir effectué ces étapes, basculez vers un compte disposant uniquement des autorisations nécessaires pour l’administration en cours afin de respecter le principe des privilèges minimum.
Autorisations RBAC requises pour attribuer des rôles
Pour gérer les rôles et les affectations RBAC dans Intune, votre compte doit disposer de l’un des jeux d’autorisations suivants :
Rôle intégré Intune administrateur de rôle Intune. Rôle intégré avec privilèges minimum
Rôle personnalisé qui inclut les catégories et les autorisations de catégorie suivantes :
Rôles :
- Affecter
- Créer
- Supprimer
- Lire
- Update
Organisation :
- Lire
Déployer Intune attributions de rôles
Avant de déployer Intune rôles, familiarisez-vous avec À propos de Intune attributions de rôles, qui fournit des détails sur plusieurs aspects des attributions de rôles Intune.
Connectez-vous au Centre d’administration Microsoft Intune et accédez à Administration du locataire>Rôles>Tous les rôles.
Dans la page rôles Intune - Tous les rôles, vous trouverez tous les rôles Intune disponibles à attribuer dans votre locataire. Chaque rôle a un type qui l’identifie comme un rôle intégré fourni par Intune ou un rôle de Intune personnalisé créé par votre organization.
Sélectionnez le rôle que vous souhaitez attribuer, puis sélectionnez Affectations>+ Attribuer.
Dans la page Informations de base , entrez un Nom et une Description facultative, puis sélectionnez Suivant.
Dans la page Administration Groupes, sélectionnez Ajouter des groupes, puis choisissez un groupe qui contient les utilisateurs auxquels vous souhaitez attribuer les autorisations de rôles.
Conseil
Lorsque vous attribuez un rôle à un groupe, chaque membre de ce groupe reçoit les autorisations accordées par ce rôle. Attribuez uniquement des rôles aux groupes dont vous connaissez l’appartenance et qui n’incluent pas les utilisateurs qui ne doivent pas recevoir les privilèges d’administration fournis par le rôle.
Sélectionnez Suivant.
Dans la page Étendue (groupes), ajoutez des groupes qui contiennent uniquement les utilisateurs ou les appareils que les membres des groupes Administration que vous avez sélectionnés à l’étape précédente doivent être autorisés à gérer. Puis sélectionnez Suivant.
Remarque
Les groupes Tous les utilisateurs et Tous les appareils sont Intune groupes virtuels, et non Microsoft Entra groupes de sécurité. Par conséquent, vous ne pouvez pas les utiliser comme parents pour Microsoft Entra groupes de sécurité dans les affectations d’étendue (groupes). Pour affecter Tous les utilisateurs et Tous les appareils et des groupes de sécurité Microsoft Entra spécifiques, ajoutez-les séparément. Dans le cas contraire, les administrateurs n’auront pas accès à des groupes d’utilisateurs Microsoft Entra spécifiques, même si l’étendue (groupes) du rôle est définie sur Tous les utilisateurs.
L’imbrication est prise en charge pour Microsoft Entra groupes de sécurité.
Dans la page Étendue (balises), choisissez les balises où cette attribution de rôle est appliquée. Sélectionnez Suivant.
Remarque
Lorsque vous définissez des groupes d’étendue, puis que vous attribuez une balise d’étendue, les administrateurs peuvent cibler uniquement les groupes répertoriés dans l’étendue (groupes) de l’attribution de rôle.
Dans la page Vérifier + créer , lorsque vous avez terminé, sélectionnez Créer.
La nouvelle affectation s’affiche dans la liste des affectations.